Nesta seção será apresentado e explicado o funcionamento da modelagem do fluxograma proposto para coleta e análise de evidências.
Conforme a figura a seguir, o processo inicia sua execução com o procedimento de ―1: Identificar possíveis fontes de dados‖. Nesse procedimento, pretende-se identificar todas as
fontes envolvidas em uma investigação, como, por exemplo, máquina(s) invadida(s) pelo suspeito e máquinas utilizadas pelo suspeito.
O procedimento ―2: Coletar dados‖ consiste em coletar toda e qualquer informação acessível, podendo essas serem úteis ou não. O de modo como ocorrerá a coleta será descrito no ―Link: 1 (Coletar Dados)‖, conforme a figura 8.
O procedimento ―3: Examinar dados (Filtragem)‖, será responsável por realizar a filtragem dos dados, reduzindo a quantidade de informações desnecessárias para a investigação. Esse será descrito no ―Link: 2 (Examinar Dados – Filtragem)‖, conforme a figura 11.
Por último, serão analisadas as evidências. Este procedimento determinará a existência ou não de um crime. Seus detalhes serão apresentados no ―Link: 3 (Analisar Dados)‖ conforme a figura 12.
Coleta e análise de evidências:
Figura 7: Modelo de coleta e de análise de evidências. Fonte: Autores (2010).
Após a identificação das possíveis fontes de dados, é iniciada a coleta dos dados. Na continuação, é apresentado o fluxograma proposto para esse processo.
De início, é verificado se houve invasão do suspeito a outra máquina. Caso ―SIM‖, será realizado acesso à máquina invadida pelo suspeito para coleta de dados.
O acesso tem o intuito de verificar possíveis rastros deixados pelo suspeito. Após isso, é iniciada a coleta de dados na máquina invadida. Primeiramente, será realizado o procedimento ―Coletar dados voláteis‖ para que não haja perda de nenhuma possível falha do suspeito. Detalhes desse procedimento encontram-se no ―Link: 1a (Coletar Dados Voláteis)‖ figura 9.
Logo após, será realizado o procedimento ―Coletar dados não-voláteis‖, que trará maior detalhes no ―Link: 1b (Coletar Dados Não-Voláteis)‖ conforme a figura 10.
O próximo passo será o mesmo realizado, caso a resposta da pergunta ―Houve invasão do suspeito à outra maquina?‖ seja ―NÃO‖.
Nesse caso, o procedimento ―Acessar a máquina do suspeito remotamente‖ tem por objetivo coletar dados voláteis, que não são acessíveis com a máquina desligada. Após o acesso remoto à maquina do suspeito, serão coletados os dados voláteis através do procedimento ―Coletar dados voláteis‖, que será descrito no ―Link: 1a (Coletar dados voláteis)‖, figura 9.
Posteriormente, para o procedimento ―Realizar retirada da máquina do suspeito‖ será necessário a retirada da máquina do suspeito, para que possam ser coletados os dados não voláteis. Esta retirada representa a retirada física da máquina.
No procedimento ―Coletar Dados Não-Voláteis‖, é possível notar que existe diferença entre a coleta na máquina do suspeito e a coleta da(s) máquina(s) invadidas pelo suspeito. Essas especificações serão descritas no ―Link: 1b (Coletar dados não-voláteis)‖, conforme a figura 10.
Coletar dados:
Figura 8: Modelo de coleta de dados Fonte: Autores (2010).
O procedimento ―Coletar dados voláteis‖, como posto acima, coletará os dados voláteis, ou seja, dados que são perdidos, caso o computador seja desligado. Esses são dados que podem conter informações de extrema importância para a investigação. Com esse
processo, pode ser identificada a atuação, em tempo real, do suspeito. Verifique cada uma das atividades correspondentes a ―coletar dados voláteis‖, descritas a seguir, na figura 9.
Para a coleta de dados voláteis, pode-se utilizar de utilitários como o ―dd‖, que, como posto por Pereira et al. (2007), pode ser encontrado na maioria das distribuições Linux.
O primeiro passo desse processo será o de ―Coletar sessões de log‖. As sessões de logs possuem a listagem dos usuários que estão conectados, assim, como suas respectivas data e hora de conexão à máquina e o endereço de rede de onde partiram as conexões.
Posteriormente, será executado o procedimento ―Coletar conexões de rede‖. As conexões de rede contêm informações sobre endereços de IP (destino e origem), o estado das conexões, entre outras informações relevantes para análise.
Em seguida, será executado o procedimento ―Coletar estado das portas TCP e UDP‖. Com o estado das portas TCP e UDP, pode-se, por exemplo, verificar vulnerabilidades na máquina.
Depois, será executado o procedimento ―Coletar informações sobre os processos em execução‖. Com isso, pode-se, por exemplo, identificar códigos indevidos, sendo executados pelo suspeito.
Após, será executado o procedimento ―Coletar dados da memória‖. Na memória, ficam armazenados todos os acessos recentes, podendo conter uma infinidade de informações, desde comandos executados até senhas e logins do suspeito.
Posteriormente, será executado o procedimento ―Coletar configuração de rede‖. Nas configurações, podem ser identificados o endereço IP e o MAC Address de cada interface de rede, podendo ser identificadas alterações realizadas com o intuito de invadir, que contém autenticação por MAC Address.
Dando continuidade, será executado o procedimento ―Coletar os comandos executados‖. Através desse, podem-se verificar quais os passos dados pelo suspeito.
Logo depois, será executado o procedimento ―Coletar arquivos abertos‖. Os arquivos abertos podem facilitar no exame dos dados pois, caso seja verificado algo suspeito, pode-se fazer varreduras por palavras chave em busca de informações. Deve-se gerar uma listagem com seus nomes para posterior verificação.
Por último, será executado o procedimento ―Coletar data e hora do sistema operacional‖. Os dados, como a data e a hora, assim, como outras informações de horários, podem ser úteis para reconstrução de eventos e comprovação de crimes.
Coletar dados voláteis:
Figura 9: Modelo de coleta de dados voláteis. Fonte: Autores (2010).
Para a coleta de dados não-voláteis, processo apresentado na figura 10, podem-se utilizar utilitários como o ―dd‖ para duplicação dos dados.
Será verificado: ―Trata-se da maquina do suspeito?‖, pois serão feitas coletas diferentes para máquina do suspeito e para máquinas invadidas pelo suspeito.
No caso em que a resposta é ―NÃO‖, será realizada a coleta dos arquivos de log do sistema, como arquivos que possuam informações, tais como, de acesso à máquina, de comandos executados e, dependendo do que está implementado na máquina, informações para auxiliar a verificação de supostas invasões ou verificação de pessoas autorizadas, fazendo mal uso dos dados.
No caso em que a resposta é ―SIM‖, serão criadas imagens do(s) disco(s). A imagem é uma cópia fiel dos(s) disco(s), contendo também os espaços livres e não utilizados, permitindo uma aproximação do cenário real. Essa etapa deve ser bem documentada e deve seguir a metodologia forense com seus devidos requisitos, como descrita no capítulo 4.
A imagem deve ser restaurada em um equipamento previamente homologado para não haver perda dos dados.
Coletar dados não-voláteis:
Figura 10: Modelo de coleta de dados não voláteis. Fonte: Autores (2010).
Após o término do processo de coleta, é iniciado o exame dos dados. Na figura abaixo, é apresentado o fluxograma proposto para este processo.
O exame dos dados, como segue na figura 11, é a etapa na qual será realizada toda a filtragem dos dados.
Para dar inicio a filtragem, deve-se, primeiramente, executar o procedimento ―Recuperar dados e fragmentos de dados‖, para que se tenha o máximo de informações para iniciar a filtragem.
A recuperação dos dados pode ser realizada através de softwares específicos que buscam no disco todos os dados ou fragmentos que tenham sido excluídos. Vale lembrar que a exclusão não é algo físico e sim lógico, ou seja, o dado permanece no disco até que outro
dado ocupe seu espaço em disco. Assim, os arquivos ocultos, também, podem ser recuperados.
Após a recuperação dos dados, deve ser executado o procedimento ―Utilizar ferramentas e técnicas disponíveis para filtragem‖. Existem técnicas, como, a busca por palavra-chave, que pode ser muito útil, como, também, a busca por tipo de arquivos, entre as demais. Existem, também, várias ferramentas que dão auxílio a essa filtragem.
Exame dos dados:
Figura 11: Modelo de exame de dados. Fonte: Autores (2010).
Após o exame dos dados, é iniciada a análise deles. Na figura 12, é apresentado o fluxograma proposto para este processo.
A análise será o ponto fundamental, pois, através desse, serão identificadas as pessoas, como posto no procedimento ―Identificar pessoas‖. Por pessoas, entende-se identificar os envolvidos em determinada suspeita. Assim também, para os procedimentos posteriores, de ―Identificar locais‖ e ―Identificar eventos‖, os locais são os caminhos que o suspeito
percorreu, como por exemplo, servidores e máquinas. Já dos eventos, trata-se de passos dados pelo suspeito.
De nada adianta obter uma quantidade enorme de informações, se essas não são devidamente correlacionadas. Para isso, segue o procedimento de ―Correlacionar as evidências‖. Após a identificação das informações relevantes, deve-se juntar essas com a finalidade de responder as seguintes questões:
quem é o suspeito? como procedeu? quando procedeu?
Obtendo as respostas dessas perguntas, pode-se chegar a uma evidência.
Análise dos dados:
Figura 12: Modelo de análise de dados. Fonte: Autores (2010).
Após a análise, devem-se interpretar os resultados para concluir se o que foi investigado foi suficiente para criação de uma prova contra o suspeito e, por fim, serão gerados os relatórios conclusivos da investigação.
5.5 CONSIDERAÇÕES FINAIS
Este capítulo teve por objetivo apresentar o modelo proposto de forense computacional. Foi descrito o passo a passo de cada etapa, direcionando assim, a investigação. Ao mesmo tempo, foi mostrado como proceder a análise para que se obtenha o máximo desempenho na aquisição de evidências, sendo possível identificar um responsável pelo incidente.
O modelo estudado, proposto pela National Institute of Justice, traz um modelo totalmente estático, para coleta de dados diretamente em uma máquina. O modelo proposto nesse projeto, teve por objetivo apresentar algo dinâmico, coletando evidências voláteis e não- voláteis, realizando acesso a máquinas envolvidas e apresentando os resultados adquiridos. Além de trazer como base da análise uma amplitude de dados contendo informações valiosas, levando em consideração o acesso remoto em que são coletadas ações que estão sendo realizadas por determinado suspeito.
Buscou-se também, generalizá-lo tornando-o o mais utilizável possível. Com isso, haverá uma infinidade de casos em que o modelo poderá ser utilizado. Também, procurou-se separar ao máximo os procedimentos, facilitando o entendimento do processo de coleta e análise dos dados.
6 ESTUDO DE CASO
O estudo de caso, abaixo, foi realizado em uma empresa fictícia. O incidente, também, foi criado para que fosse possível aplicar o modelo de auditoria forense, proposto no projeto.
Todos os dados apresentados foram previamente simulados para dar veracidade ao caso apresentado e demonstrar a utilização de ferramentas existentes, que dão suporte a perícia computacional.