Perícia Forense
Perícia Forense
em Segurança da Informação
A Ciência Forense Computacional abrange todas as questões
relacionadas aos crimes praticados na Internet ou fora dela, chamados cibercrimes. Estudando como coletar evidências de crimes e violações, analisar e documentar casos, esta ciência, relativamente nova, segue as principais metodologias internacionais usadas e adotadas por todos os países do mundo na investigação de crimes e delitos comuns.
A Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital. A aplicação desses métodos nem sempre se dá de maneira simples.
Evidência digital entende-se pela informação armazenada ou transmitida em formatos ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o que requer a atenção de um especialista certificado ou bastante experiente a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como parte de um
laudo pericial.
Introdução
Introdução
Código de Processo Penal
CAPÍTULO II
DO EXAME DO CORPO DE DELITO, E DAS PERÍCIAS EM
GERAL
Artigo 170: "Nas perícias de laboratório, os peritos guardarão
material suficiente para a eventualidade de nova perícia. Sempre
que conveniente, os laudos serão ilustrados com provas
fotográficas, ou microfotográficas, desenhos ou esquemas“.
Artigo 171: "Nos crimes cometidos com destruição ou rompimento
de obstáculo a subtração da coisa, ou por meio de escalada, os
peritos, além de descrever os vestígios, indicarão com que
Aspectos legais fundamentais
Aspectos legais fundamentais
● Defacements com violação de dados de sites; ● Defacements com difamação em sites;
● Ataques a servidores; ● e-mails falsos;
● Roubo de dados (ex.: usando phishing scam); ● Difamação;
● Ameaças;
● Retiradas e transferências de contas bancárias;
● Investigações sobre pedofilia (pornografia infanto-juvenil);
● Investigações sobre crimes comuns com indícios de provas em
computadores e/ou mídias;
Situações que justificariam a necessidade de perícia
Situações que justificariam a necessidade de perícia
●
Profundos conhecimentos técnicos;
●
Conhecimento de ferramentas específicas;
●Ética
Características básicas do perito
Características básicas do perito
- O perito não é um policial nem juiz...
- Não pode se envolver pessoalmente em prisões ou julgar
os praticantes dos delitos descobertos
Identificar a origem de ataques
Investigar e rastrear o uso de mensagens eletrônicas Constatar:
✔ mau uso em equipamentos de informática ✔ uso de software não autorizado
✔ violação de direitos de autor de programas de computador ✔ destruição ou alteração indevida de dados
✔ furto eletrônico de informações
✔ duplicação indevida de dados e softwares
✔ acesso não autorizado a sistema de computador ou redes de
computadores
Atribuições do perito forense computacional
Atribuições do perito forense computacional
● Preservar dispositivos através cópia fiel e integral de mídias ● Preservar a integridade dos dados (hash)
● Preservação dos Logs
“ … Ata Notarial é uma forma pela qual o tabelião , mediante
solicitação das partes Interessadas, lavra um instrumento público
de narrativa daquilo que foi verificado em seus sentidos, sem
omissão de opinião, para, na conclusão, tê-la com a mesma
finalidade de provas pré-constituídas para serem avaliadas nas
esferas judicial, extrajudicial e administrativa a partir dos fatos nela
colhidos, observando-se um detalhe: o tabelião é responsável pela
veracidade do que vai à Ata Notarial e, consequentemente, sua
validade perante os que a ela recorrerem ...”
Claudemir Queiroz e Raffael Vargas (2010, p.25)
Ata Notarial
Ata Notarial
“Agora, algumas palavras sobre a procura das coisas. Quando
você procura algo específico, suas chances de encontrá-lo são bem
menores. Porque, entre todas as coisas do mundo, você está
procurando apenas uma. Ao procurar qualquer coisa, suas chances
de encontrá-la são bem maiores. Já que, entre todas as coisas do
mundo, você tem a certeza de encontrar algumas delas.”
Daryl Zero, The Zero Effect
O que devemos procurar ?!
O que devemos procurar ?!
O conhecimento básico das leis ajudará a identificar os
vestígios digitais que poderão conduzir às evidências
procuradas, e ainda, mostrar como proceder de maneira
legal para coleta dos mesmos.
Ver http://criminalisticaforense.wordpress.com/2011/12/11/vestigios-evidencias-e-indicios/
Como orientar nossa procura ?!
Como orientar nossa procura ?!
Exemplo: Estelionato por meio de phishing scam
Exemplo: Estelionato por meio de phishing scam
Estelionato:
Art. 171 (CP) - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento
O perito não deverá proceder à análise de dados ou “invasão” de
sistemas de um suspeito sem ordem judicial, sob risco de incorrer
em invasão de privacidade (crime)
A análise de servidores de arquivos deverá ser precedida de clara
delimitação da área a ser analisada
A política de segurança da instituição deverá
ser respeitada, sempre que existir
Repeito à privacidade !!
Repeito à privacidade !!
Dos Direitos e Garantias Fundamentais
CAPÍTULO I
DOS DIREITOS E DEVERES INDIVIDUAIS E COLETIVOS
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
... ...
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; (Vide Lei nº 9.296, de 1996)
Repeito à privacidade !!
Repeito à privacidade !!
LEI Nº 9.296, DE 24 DE JULHO DE 1996
Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.
Parágrafo único. O disposto nesta Lei aplica-se à interceptação do
fluxo de comunicações em sistemas de informática e telemática.
Art. 2° Não será admitida a interceptação de comunicações telefônicas quando ocorrer qualquer das seguintes hipóteses:
I - não houver indícios razoáveis da autoria ou participação em infração penal;
Repeito à privacidade !!
Repeito à privacidade !!
LEI Nº 9.296, DE 24 DE JULHO DE 1996
Art. 7° Para os procedimentos de interceptação de que trata esta Lei, a autoridade policial poderá requisitar serviços e técnicos especializados às concessionárias de serviço público.
… …
Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.
Pena: reclusão, de dois a quatro anos, e multa.
Repeito à privacidade !!
Repeito à privacidade !!
Lei nº 12.737, de 30 de Novembro de 2012
Lei nº 12.737, de 30 de Novembro de 2012
…..
Art. 1º Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências.
…..
"Invasão de dispositivo informático
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
Lei nº 12.737, de 30 de Novembro de 2012
Lei nº 12.737, de 30 de Novembro de 2012
§ 3º Se da invasão resultar a obtenção de conteúdo de
comunicações eletrônicas privadas, segredos comerciais ou industriais,
informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado
contra:
I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal."
Repeito à privacidade !!
Repeito à privacidade !!
Interceptação de dados - Grampo na LAN
tap ou hub Console de Monitoramento sw co m p ort mirr orin g TAP HUB
Ordem de Volatilidade
Ordem de Volatilidade
Tipos de dados
Tempo de Vida
Registradores, memória periféricos, caches, etc. nanossegundos
Memória principal 10 nanossegundos
Estado da rede Milissegundos
Processos em execução Segundos
Disco Minutos
Disquetes, mídias de backup Anos
Ordem de Volatilidade
Ordem de Volatilidade
CUIDADO
CUIDADO
Ao realizar-se qualquer operação em uma camada, as
informações em todas as camadas superiores a esta serão
destruídas !!
Por exemplo, a execução de um simples comando para
recuperar alguma informação poderá destruir, dentre outros,
o conteúdo dos registradores, de porções da memória física,
e registros de data/hora no sistema de arquivos!!
Confiabilidade das Informações
Confiabilidade das Informações
Análise das informações a partir de um sistema
computacional para tirar conclusões
Você está realmente vendo vestígios do ocorrido, ou o que
o invasor deseja que acredite ?
Análise criteriosa
Múltiplas fontes de informação independentes entre si
Verificação de inconsistências entre as informações destas
diversas fontes
Exemplo 1 – Verificar consistência dos registros de login
Exemplo 1 – Verificar consistência dos registros de login
Exemplo 1 – Verificar consistência dos registros de login
Exemplo 1 – Verificar consistência dos registros de login
MAC Times
MAC Times
Algumas vezes, determinar-se quando um incidente ocorreu, pode ser
mais interessante do que determinar o que exatamente aconteceu
Há duas formas de coletar-se dados referentes ao tempo:
- Observando-se diretamente as atividades
- Observando-se os efeitos secundários destas atividades sobre o ambiente
MAC Time, é abreviação para:
- mtime (modification time)
atributo referente a última modificação do conteúdo de um arquivo - atime (access time)
atributo referente a última data/hora de acesso ao arquivo (leitura) - ctime (creation time, change time)
atributo referente a última alteração dos metadados de um arquivo (proprietário, grupo, permissões, …)
MAC Times
MAC Times
Metadados de um arquivo
Metadados de um arquivo
Hard Links UID e GID TamanhoData de criação, ou última modificação do arquivo
Trabalhando com MAC Times
Trabalhando com MAC Times
2.1:
2.1: Verificação dos MAC Times de arquivo comum
2.2:
Considerações sobre os MAC Times
Considerações sobre os MAC Times
CUIDADO
O cáclulo do hash do arquivo poderá alterar o atime
Exemplo 2.3:
Considerações sobre os MAC Times
Considerações sobre os MAC Times
Exemplo 2.4:
Exemplo 2.4: Alteração do atime do arquivo pela interface gráfica
2.4.1. Criação de um arquivo de teste e verificação do MAC Time inicial
Considerações sobre os MAC Times
Considerações sobre os MAC Times
Exemplo 2.4:
Exemplo 2.4: Alteração do atime do arquivo pela interface gráfica
Considerações sobre os MAC Times
Considerações sobre os MAC Times
Exemplo 2.4:
Exemplo 2.4: Alteração do atime do arquivo pela interface gráfica
Considerações sobre os MAC Times
Considerações sobre os MAC Times
CUIDADO
Ferramentas para gerenciamento de arquivos podem alterar o atime
Exemplo 2.5:
Considerações sobre os MAC Times
Considerações sobre os MAC Times
CUIDADO
MAC Times podem ser facilmente forjados
Exemplo 2.6:
Considerações sobre os MAC Times
Considerações sobre os MAC Times
Conduza a investigação preferencialmente sobre uma cópia fiel
do objeto questionado, montada READ ONLY
Os MAC Times informam apenas a última vez em que um
arquivo foi modificado, não permitindo a elaboração de um
histórico
Os MAC Times não permitem a identificação do autor da ação
MAC Times podem ser de pouca utilidade em sistemas
Timeline
Timeline
A criação da timeline dá-se em duas fases:
I. Inicialmente, procede-se à coleta de informações a partir
de diferentes fontes, tais como, sistemas de arquivos e
logs, dentre outras; as quais são salvas em um arquivo
em formato body. Este arquivo é criado por ferramentas
como o fls do TSK.
II.O segundo passo é classificar e mesclar todos os dados
temporais em uma única linha do tempo. Este passo é
feito usando-se ferramentas como o mactime, um script
Simplificadamente, a timeline é uma
forma de demonstrar a cronologia dos
acontecimentos, com a finalidade de
facilitar o entendimento do ocorrido.
Timeline
Timeline
Exemplo
Processo investigativo
Processo investigativo
Electronic Discovery Reference Model
Electronic Discovery Reference Model
Electronic discovery, também conhecida como e-discovery,
refere-se a qualquer método de busca, pesquisa,
localização e obtenção de dados e informações eletrônicos
com a intenção de utilizá-los como evidências, em um
processo judicial.
Ref.: http://pt.wikipedia.org/wiki/Electronic_discovery
Processo investigativo
Processo investigativo
Electronic Discovery Reference Model
Electronic Discovery Reference Model
Electronically Stored Information (ESI), ou informação
armazenada eletronicamente, conforme definido pela
Federal Rules of Civil Procedure (FRCP) é toda
informação criada, manipulada, comunicada, armazenada
e melhor utilizada em formato digital, exigindo o uso de
hardware e software.
Ref.: http://pt.wikipedia.org/wiki/Electronic_discovery
Framework altamente detalhado, composto por 6
estágios, com 9 processos distintos, utilizado como
referência para descoberta e recuperação de dados
digitais, de forma eficiente e com boa relação
custo-benefício.
Processo investigativo
Processo investigativo
Electronic Discovery Reference Model
Electronic Discovery Reference Model
INFORMATIOM
MANAGEMENT
Estágio 1
Trata da melhoria do ambiente e do gerenciamento
da ESI, desde sua criação até seu descarte, a fim de
mitigar riscos e despesas.
IDENTIFICATION
Estágio 2
Identificação de fontes potenciais de ESI relevante,
determinando-se escopo e profundidade das mesmas,
já considerando ainda, a possibilidade de adoção de
PRESERVATION
Assegura que a ESI não venha
a ser indevidamente adulterada
(hashes, imagem forense) ou
perdida,
garantindo
sua
utilização na esfera jurídica
COLLECTION
Cria a massa de dados bruta a
ser processada, validada e
Estágio 3
PROCESSING
Processa
os
dados
obtidos:
constrói a cadeia de custódia,
procede
à
filtragem
e
de-duplicação, extrai metadados e
strings, ...
REVIEW
Organiza os documentos em
sub-conjuntos de acordo com sua
relevância. É quando a equipe
jurídica começa a traçar sua
estratégia
PRODUCTION
Estágio 5
Simplificadamente, corresponde a resposta à
quesitação formulada em formato, e com
mecanismos, adequados
PRESENTATION
Estágio 6
Processo de Investigação
Processo de Investigação
Resumidamente: Fases
✔ Coleta dos dados; ✔ Exame dos dados;
✔ Análise das informações ✔ Interpretação dos resultados
Processo de Investigação
Processo de Investigação
1. Coleta de dados
1. Coleta de dados 1.1 Premissas
✔ Deverão ser estabelecidas prioridades, considerando a volatilidade
e relevância dos dados, bem como, o esforço necessário à sua aquisição
✔ Preservar e comprovar a integridade dos dados (HASH) 1.2 Fontes de informação
✔ Mídias: HD's, CD's, DVD's, pendrives, memory cards, ….
✔ Memória: RAM, memória virtual, registradores, caches, buffers, …. ✔ Rede: captura do tráfego de rede (equipamentos ligados)
Processo de Investigação
Processo de Investigação
1. Coleta de dados
1. Coleta de dados
1.3 Dispositivos para coleta de dados – Interfaces Externas
Interface externa SATA/USB
Processo de Investigação
Processo de Investigação
1. Coleta de dados
1. Coleta de dados
1.3 Dispositivos para coleta de dados – Bloqueadores de Escrita
Serial ATA DriveLock
DriveLock PCI/IDE
Processo de Investigação
Processo de Investigação
1. Coleta de dados
1. Coleta de dados
Processo de Investigação
Processo de Investigação
1. Coleta de dados
1. Coleta de dados
1.3.2 Dispositivos para coleta de dados
Processo de Investigação
Processo de Investigação
1.4 Considerações sobre a coleta de dados remota
1.4 Considerações sobre a coleta de dados remota
✔ Atentar ao tamanho das mídias e às limitações dos equipamentos de
coleta
✔ Criptografar os dados antes de transmiti-los via rede ✔ Estação pericial remota deverá ser confiável e adequada ✔ Garantir a integridade dos dados
1.5 Considerações sobre a coleta de dados armazenados externamente
1.5 Considerações sobre a coleta de dados armazenados externamente
✔ Data centers de terceiros
✔ Backups em provedores de hospedagem ✔ Sistemas de arquivos remotos
Processo de Investigação
Processo de Investigação
1.6 Considerações sobre a preservação e identificação dos dados
1.6 Considerações sobre a preservação e identificação dos dados
- A alteração de dados pode ser comparada a alteração da cena de um crime na vida real !!
✔ Garantir o bloqueio da mídia original (read-only) antes da cópia,
impedirá a alteração dos dados durante os procedimentos de coleta
✔ A fidelidade dos dados da cópia deverá ser atestada por peritos e
testemunhas, antes de a mídia original poder ser liberada
✔ Perito oficial tem fé pública
✔ Perito convidado necessita de testemunhas
✔ Todo material apreendido para análise, deverá ser cuidadosamente
relacionado em um documento denominado CADEIA DE CUSTÓDIA
Processo de Investigação
Processo de Investigação
Cadeia de Custódia
Cadeia de Custódia
“ A Cadeia de Custódia é um processo usado para manter e documentar a
história cronológica da evidência, para garantir a idoneidade e o rastreamento das evidências utilizadas em processos judiciais.”
Ref.: CADEIA DE CUSTÓDIA: UMA ABORDAGEM PRELIMINAR LOPES, M.; GABRIEL, M. M.; BARETA, G. M. S.
Conteúdo da Cadeia de Custódia
Conteúdo da Cadeia de Custódia
Data e hora de coleta da evidência
Identificação de quem a evidência foi apreendida Nome da pessoa que coletou a evidência
Descrição detalhada da evidência Nome e assinatura dos envolvidos
Identificação do caso e da evidência (tags)
Processo de Investigação
Processo de Investigação
Cadeia de Custódia
Processo de Investigação
Processo de Investigação
Cadeia de Custódia
Cadeia de Custódia
Obtendo informações do objeto questionado
Obtendo informações do objeto questionado
HD Externo
HD Externo
HD externo, o objeto questionado
Dados para preenchimento da cadeia de custódia
Processo de Investigação
Processo de Investigação
Cadeia de Custódia
Cadeia de Custódia
Obtendo informações do objeto questionado
Obtendo informações do objeto questionado
Pen drive
Pen drive
Pen drive, o objeto questionado
Processo de Investigação
Processo de Investigação
2. Exame dos dados
2. Exame dos dados
Objetivos
- Filtrar, avaliar e extrair informações relevantes
- Emprego de técnicas e ferramentas especializadas para:
✔
dump da memória volátil
✔
recuperação e análise de dados persistentes, etc.
✔National Software Reference Library: conjunto de
assinaturas de softwares e documentos
disponibilizado para filtragem de dados
Processo de Investigação
Processo de Investigação
3. Análise das informações
3. Análise das informações
Objetivos
Interpretação dos dados coletados
✔identificação dos envolvidos
✔estabelecimento da cronologia
✔levantamento de eventos e locais
Processo de Investigação
Processo de Investigação
4. Interpretação e apresentação dos Resultados
4. Interpretação e apresentação dos Resultados
Objetivo:
Elaboração de laudo pericial
✔
Conclusão imparcial, clara e concisa
✔Exposição dos métodos utilizados
✔
Deve apresentar as conclusões do perito de forma
simples e de fácil interpretação, para apresentação em
julgamentos (dados técnicos deverão ser comentados)
✔
Fase tecnicamente chamada de substanciação da
Processo de Investigação
Processo de Investigação
Formato final do laudo pericial
Formato final do laudo pericial
O laudo pericial final deve conter:
✔
Finalidade da investigação
✔
Identificação do(s) autor(es) do laudo
✔
Resumo do caso/incidente
✔
Relação de evidências analisadas com os respectivos
detalhes
Processo de Investigação
Processo de Investigação
Magic Numbers – Assinaturas dos arquivos
Magic Numbers – Assinaturas dos arquivos
● Magic Number é um número hexadecimal,
normalmente com 4 bytes, inserido no início de um arquivo, a fim de determinar o tipo do mesmo
● É referenciado também como a “assinatura” do
arquivo
Exemplos
JPEG
FF D8 FF E0
PNG
89 50 4E 47
Adobe PDF 25 50 44 46
GIF
47 49 46 38
Processo de Investigação
Processo de Investigação
Magic Numbers: Assinaturas dos arquivos
Magic Numbers: Assinaturas dos arquivos
Processo de Investigação
Processo de Investigação
Magic Numbers: Assinaturas dos arquivos
Magic Numbers: Assinaturas dos arquivos
Utilização do comando hexdump para
verifi-car o magic number do arquivo:
magic number em little endian
Processo de Investigação
Processo de Investigação
Magic Numbers – Assinaturas dos arquivos
Magic Numbers – Assinaturas dos arquivos
●
Observa-se, portanto, tratar-se na verdade
de um arquivo do tipo jpeg, e não txt.
●
O comando file utiliza-se de três formas distintas para
determinar o tipo do arquivo analisado (ver página de
manual), e poderá ajudar a ratificar a informação fornecida
pelo hexdump.
Processo de Investigação
Processo de Investigação
Magic Numbers
Magic Numbers
Assinatura do MBR
Assinatura do MBR
Processo de Investigação
Processo de Investigação
Imagem para perícia
Em muitos casos, a criação de uma imagem fiel da mídia
(HD) constitui o ponto de partida de uma investigação
Tal imagem deverá ser o produto de uma cópia bit a bit da
mídia original, e base para uma “dead analysis”
O dd é uma das ferramentas de linha de comando mais
amplamente utilizadas para criação de imagens em
formato raw
Processo de Investigação
Processo de Investigação
Imagem para perícia
Em muitos casos, a criação de uma imagem fiel da mídia (HD) constitui o
ponto de partida de uma investigação
Tal imagem deverá ser o produto de uma cópia bit a bit da mídia original,
e base para uma “dead analysis”
O dd é uma das ferramentas de linha de comando mais amplamente
Processo de Investigação
Processo de Investigação
Vantagens das imagens RAW
Vantagens das imagens RAW
Independe de ferramentas específicas;
Formato facilmente “montável”
Variedade de ferramentas disponíveis, tanto para
interfaces de linha de comando (CLI), quanto para
interfaces gráficas (GUI)
Processo de Investigação
Processo de Investigação
Desvantagens das imagens RAW
Desvantagens das imagens RAW
Não permitem a adição dos dados da investigação ao
arquivo raw
Difícil de montar em caso da segmentação da imagem (por
exemplo, uma imagem de 200GB, segmentada em 5
imagens de 40GB)
Pode tornar algumas operações mais lentas em função do
Processo de Investigação
Processo de Investigação
Outros tipos de imagens
Outros tipos de imagens
Expert Witness (E01)
Formato proprietário do EnCase
SGZIP
Formato utilizado pelo pyFlag, baseado no gzip, código
aberto, somente Linux
AFF (Advanced Forensic Format)
Formato aberto e extensível para armazenamento de
imagens de disco
O formato AFF original é constituído por um único arquivo
Trabalhando com imagens RAW – ferramenta dd
Trabalhando com imagens RAW – ferramenta dd
Exemplo 4.1:
Exemplo 4.2:
Exemplo 4.2: Clonando a partição /boot
Trabalhando com imagens RAW – ferramenta dd
Trabalhando com imagens RAW – ferramenta dd
Esterilização da mídia – disk wiping
Esterilização da mídia – disk wiping
Denomina-se disk wiping o processo de sobrescrever-se as
informações da mídia, bit a bit, a fim de garantir-se o
descarte seguro da mesma, sem possibilidade de
recuperação dos dados anteriormente gravados.
Portanto, a utilização de tal técnica sem respaldo nas
políticas de segurança da instituição, poderá caracterizar
comportamento suspeito.
Exemplo 4.3:
Exemplo 4.3: Utilização da ferramenta dd para disk wipe
Trabalhando com imagens RAW – ferramenta dd
I. SLACK SPACE
I. SLACK SPACE
O espaço utilizável nos discos rígidos dos computadores é
dividido em setores de igual tamanho.
Quando um usuário precisa armazenar informações, o
sistema operacional aloca automaticamente os sectores a
serem utilizados.
Em muitos casos, a informação a ser armazenada não irá
utilizar todo o espaço disponível no(s) sector(es)
alocado(s).
Quando isso acontece, a informação anteriormente
armazenada no disco permanecerá na parte não utilizada
Obtendo informações escondidas
I. SLACK SPACE
I. SLACK SPACE
Obtendo informações escondidas
Obtendo informações escondidas
I. SLACK SPACE
I. SLACK SPACE
Isto significa que, mesmo que a maior parte do disco tenha
sido regravada com novos dados, é provável que algumas
evidências ainda permaneçam no slack space, podendo
assim, serem recuperadas através de técnicas forenses.
Obtendo informações escondidas
I.I Verificando o SLACK SPACE
I.I Verificando o SLACK SPACE
Obtendo informações escondidas
Obtendo informações escondidas
I.II Manipulando o SLACK SPACE
I.II Manipulando o SLACK SPACE
Ocultando dados no slack space
Ocultando dados no slack space
Obtendo informações escondidas
Obtendo informações escondidas
string oculta no slack space
string a ocultar no slack space
I.II Manipulando o SLACK SPACE
I.II Manipulando o SLACK SPACE
Limpando o slack space
Limpando o slack space
Obtendo informações escondidas
Obtendo informações escondidas
string oculta removida
-
-
Cenário
Cenário
Análise de ataques via rede
Análise de ataques via rede
host 1 host 2
- Considerações gerais
- Considerações gerais
1.Tenha sempre em mente as características de cada fase
do processo de perícia (coleta, exame, análise e laudo)
2.Na fase de coleta, observe atentamente a ordem de
volatilidade dos dados, preserve o ambiente da melhor
maneira possível, gere o hash de cada arquivo produzido
pela saída dos comandos utilizados. Gere também o
hash de cada ferramenta (comando) utilizada para análise
do sistema
3.Na fase de exame, após a extração/filtragem dos dados
coletados, preserve os arquivos originais obtidos
durante a fase de coleta
Análise de ataques via rede
Análise de ataques via rede
- Considerações gerais
- Considerações gerais
4.Na fase de análise, cruze os dados filtrados na etapa
anterior, procurando por inconsistências
5.O laudo deverá ser acompanhado por todo material
coletado – arquivos com a saída dos comando, dump de
memória, imagens das midias, relatório fotográfico, ...
Análise de ataques via rede
Análise de ataques via rede
➢
Medidas iniciais para coleta de dados após um ataque
Medidas iniciais para coleta de dados após um ataque
via rede
via rede
1.Mantenha a máquina ligada e desconecte o cabo de rede
2.Não interaja desnecessariamente com a máquina
3.Inicie imediatamente a perícia, ou chame um perito
qualificado
4.Neste último caso, acompanhe atentamente o trabalho do
perit
oAnálise de ataques via rede
Análise de ataques via rede
FASE I
COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Na máquina a ser periciada:
1.Logar como root
2.Montar um dispositivo de armazenamento externo (pen
drive,HD):
Atenção à capacidade de armazenamento do mesmo:
neste dispositivo serão armazenados o dump da RAM, os
arquivos com as saídas dos comandos utilizados durante
a investigação, hashes, ….
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: MEMÓRIA FÍSICA (RAM)
Comandos:
#dd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo> #dcfldd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo> [hash=alg1,alg2 hashlog=<nome_arq>]
Comandos relacionados:
a serem utilizados neste momento apenas em caso de incerteza sobre tais informações,
em caso contrário, deverão ser executados após a realização do dump da memória
• uname -a: determinação da versão do kernel corrente
• cat /etc/lsb-release: determinação da versão da distribuição (UBUNTU) • free -m: determinação da memória física a ser lida pelo comando dd (dcfldd)
Observações:
➢A partir da versão 2.6 do kernel Linux, a opção CONFIG_STRICT_DEVMEM vem habilitada por default, impedindo que dispositivos não autorizados acessem o diretório /dev/mem
➢Para possibilitar o acesso ao mesmo, deve-se utilizar o módulo fmem, parte do projeto FORIANA
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: Status da rede
Comandos:
Verificação das portas e conexões ativas
#netstat -tunap | tee /media/forense/netstat #lsof -i | tee /media/forense/lsof
Verificação de conexões ocultas
#unhide-tcp | tee /media/forense/unhide-tcp
Verificação da tabela de rotas
#route -n | tee /media/forense/route
Verificação das configurações de rede(1)
#ifconfig | tee /media/forense/ifconfig
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: Processos ativos
Comandos:
Verificação dos processos ativos
#ps aux | tee /media/forense/ps
Verificação de processos ocultos
#unhide proc | tee /media/forense/uhproc Comandos relacionados
#unhide sys | tee /media/forense/uhsys #unhide brute | tee /media/forense/uhbrute
Observações:
1. Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade:
Comandos complementares:
Verificação dos usuários logados no sistema
#w | tee /media/forense/w
#last -F | tee /media/forense/last
Verificação da data/hora do sistema
#date | tee /media/forense/date(1)
Histórico dos comandos emitidos pelo invasor
#history | tee /media/forense/history(2)
Tempo de operação do sistema
#uptime | tee /media/forense/uptime
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Inventário dos dispositivos montados
#mount | tee /media/forense/mount
Verificação dos sistemas de arquivos
#df -hT | tee /media/forense/df
Verificação do esquema de particionamento do disco
#fdisk -l | tee /media/forense/fdisk
Inventário dos pacotes instalados
#dpkg -l | tee /media/forense/dpkg
Observações:
1.Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Módulos carregados pelo kernel
#lsmod | tee /media/forense/lsmod
Observações:
1.Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos de um usuário especifico
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos alterados nos últimos 10 minutos
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos regulares acessados a menos de 1 dia
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos com tamanho zero
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos com permissões especificas
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Atestando a integridade dos arquivos gerados
- Gerar dois hashes distintos para cada arquivo gerado:
#md5sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar>
#sha256sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar> Finalizados os procedimentos, desmontar e remover o dispositivo de armazenamento externo, conectando-o a outra máquina, confiável, a fim de verificar-se a correta gravação dos arquivos gerados.
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
IMAGEM FORENSE (RAW)
- Réplica (cópia) exata, bit a bit, integra, do objeto questionado
TIPOS DE IMAGENS FORENSES (RAW)
- LÓGICA:
Imagem de uma única partição do dispositivo Ex.: /dev/sda1 ; /dev/sda2
- FÍSICA
Imagem contendo todas as partições do dispositivo, mais informações tabela de partições
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
AQUISIÇÃO DA IMAGEM RAW (POST MORTEM)
• Caso a aquisição da imagem forense venha a ser executada em processo
post mortem, a máquina deverá então ser desligada sem permitir a
escrita de qualquer dado no disco. Para tal, puxe o cabo de alimentação da mesma, ao invés de desligá-la de forma convencional.
• A aquisição da imagem poderá ser feita por equipamentos especializados,
ou pela utilização de live cd forense, uma vez que os sistemas de arquivos deverão ser montados read-only.
• Havendo ou não necessidade de apreensão do objeto questionado, o(s)
formulário(s) da cadeia de custódia deverá(ão) ser corretamente preenchido(s) antes de os trabalhos in loco serem dados como encerrados.
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
AQUISIÇÃO DA IMAGEM RAW (VIA REDE)
• Caso a aquisição da imagem forense venha a ser executada via rede,
deve-se atentar às condições do ambiente para que o mesmo não comprometa o trabalho de aquisição (redes com altas taxas de perda de pacotes, sniffers na rede, …)
FERRAMENTAS MAIS COMUMENTE UTILIZADAS
• NETCAT
• Utilitário destinado a estabelecer conexões fim-a-fim, clear-text, entre
hosts de uma rede. Rápido, deve ser utilizado para fins forenses apenas em ambientes altamente confiáveis.
•
• SSH
• Utilitário destinado a estabelecer conexões fim-a-fim criptografadas entre
hosts de uma rede. Mais seguro quando comparado ao Netcat, é a opção mais indicada para uso, especialmente, se em ambientes não confiáveis.
Análise de ataques via rede
Análise de ataques via rede
- Adquirindo uma imagem RAW com NETCAT - Adquirindo uma imagem RAW com NETCAT
Análise de ataques via rede
Análise de ataques via rede
TCP
Objeto questionado Estação forense
IP 192.168.10.5 /24 IP 192.168.10.10 /24
listen 9000 #dcfldd if=/dev/sda | nc 192.168.10.10 9000 -q5
- Adquirindo uma imagem RAW com NETCAT - Adquirindo uma imagem RAW com NETCAT
ESTAÇÃO FORENSEESTAÇÃO FORENSE
Análise de ataques via rede
Análise de ataques via rede
- Adquirindo uma imagem RAW com NETCAT - Adquirindo uma imagem RAW com NETCAT
OBJETO QUESTIONADOOBJETO QUESTIONADO
Análise de ataques via rede
Análise de ataques via rede
Fechar conexão 5s após término da leitura dos
- Adquirindo uma imagem RAW com SSH - Adquirindo uma imagem RAW com SSH
Análise de ataques via rede
Análise de ataques via rede
TCP
Objeto questionado Estação forense
IP 192.168.0.59 /24 IP 192.168.0.58 /24
ssh-server - sem compressão
- Adquirindo uma imagem RAW com SSH (sem compressão) - Adquirindo uma imagem RAW com SSH (sem compressão)
OBJETO QUESTIONADOOBJETO QUESTIONADO
Análise de ataques via rede
Análise de ataques via rede
- Adquirindo uma imagem RAW com SSH (compressão com gzip) - Adquirindo uma imagem RAW com SSH (compressão com gzip)
OBJETO QUESTIONADOOBJETO QUESTIONADO
Análise de ataques via rede
Análise de ataques via rede
- Montando imagens RAW - Montando imagens RAW
Verificando as características da imagemVerificando as características da imagem
Análise de ataques via rede
Análise de ataques via rede
- Montando imagens RAW - Montando imagens RAW
Análise de ataques via rede
Análise de ataques via rede
• A saída do fdisk mostra que a imagem RAW física do objeto questionado
tem quatro partições, com sistema de arquivos FAT32
• A primeira partição inicia-se no setor 2048, cada setor possui 512 bytes • O loopback não consegue interpretar a tabela de partições, portanto, para
montagem da imagem raw, é necessário calcular o offset (deslocamento) que indicará onde cada partição se inicia
• offset=<setor de início da partição> x <tamanho do setor>
offset da primeira partição = 2048 x 512 = 1048576
• Como esta imagem é um arquivo, o comando mount deverá utilizar o
dispositivo loop para montá-lo
- Montando imagens RAW – Montagem da primeira partição - Montando imagens RAW – Montagem da primeira partição
Análise de ataques via rede
Análise de ataques via rede
Informações da primeira partição
- Explorando imagens RAW – COMANDO FLS (TSK) - Explorando imagens RAW – COMANDO FLS (TSK)
fls lista os arquivos e nomes de diretório em um sistema de arquivos. Ele processa o fls lista os arquivos e nomes de diretório em um sistema de arquivos. Ele processa o conteúdo de um determinado diretório e pode exibir informações sobre arquivos
conteúdo de um determinado diretório e pode exibir informações sobre arquivos
excluídos. Ver http://wiki.sleuthkit.org/index.php?title=Fls
excluídos. Ver http://wiki.sleuthkit.org/index.php?title=Fls
Análise de ataques via rede
Análise de ataques via rede
- Explorando imagens RAW – COMANDO FLS (TSK) - Explorando imagens RAW – COMANDO FLS (TSK)
Análise de ataques via rede
Análise de ataques via rede
nome da imagem tipo de
- Explorando imagens RAW – COMANDO FLS (TSK) - Explorando imagens RAW – COMANDO FLS (TSK)
Análise de ataques via rede
Análise de ataques via rede
arquivo regular deletado *
- Gerando arquivo body – COMANDO FLS (TSK) - Gerando arquivo body – COMANDO FLS (TSK)
Análise de ataques via rede
Análise de ataques via rede
output em
- Criando uma TimeLine – COMANDO MACTIME (TSK) - Criando uma TimeLine – COMANDO MACTIME (TSK)
Análise de ataques via rede
Análise de ataques via rede
mactime cria uma timeline ASCII com base na saída da ferramenta fls. Ele pode ser usado para detectar comportamentos anormais e reconstruir eventos. O comando fls deve usar a flag -m para gerar uma saída com timestamps.
- Criando uma TimeLine – COMANDO MACTIME (TSK) - Criando uma TimeLine – COMANDO MACTIME (TSK)
Análise de ataques via rede
Análise de ataques via rede
saída delimitada, gerando arquivo csv
- Criando uma TimeLine – COMANDO MACTIME (TSK) - Criando uma TimeLine – COMANDO MACTIME (TSK)
Visualização do arquivo CSV com LibreOffice CALCVisualização do arquivo CSV com LibreOffice CALC
Análise de ataques via rede
- Tabela de atividades do comando MACTIME (TSK) - Tabela de atividades do comando MACTIME (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Na página ao lado, preencha ao menos o campo Host Name, e clique no botão Add Host
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Adicionado o novo host, clique em Add Image para adicionar aimagem a analisar
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Forneça o caminho para a imagem, escolhendo o tipo e método de impor-tação mais adequados. Clique em NEXT para continuar
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Verifique no quadro File System Details os detalhes sobre as partições do disco e clique em ADD
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Aguarde o final do processo de verificação e importação da imagem, verifique as infor-mações retornadas pelo sistema,e, estando tudo certo, clique em OK
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
A criação da TimeLine exige a prévia criação do arquivo de dados, logo, clique na opção Create Data File no menu na parte superior.
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Ajuste os parâmetros de saída conforme sua necessidade e clique em OK
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
O Autopsy iniciará a criação da Timeline, gerando o hash da mesma, e salvando no diretório indicado.
- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)
Análise de ataques via rede
Análise de ataques via rede
Anexos
Anexos
1. Pedofilia
2. Quesitação
3. Estrutura de diretórios Linux
4. Definições
1. Pedofilia
1. Pedofilia
“Desvio sexual caracterizado pela atração por crianças ou
adolescentes sexualmente imaturos, com os quais os portadores
dão vazão ao erotismo pela prática de obscenidades ou de atos
libidinosos”
Delton Croce (1995)
●
É uma doença e/ou um desvio
de comportamento
●
Não pode ser confundida com
PEDOFILIA - LEI Nº 11.829, DE25 DE NOVEMBRO DE 2008
PEDOFILIA - LEI Nº 11.829, DE25 DE NOVEMBRO DE 2008
Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente:
Pena - reclusão, de 4 (quatro) a 8 (oito) anos, e multa.
§ 1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de qualquer modo intermedeia a participação de criança ou adolescente nas cenas referidas no caput deste artigo, ou ainda quem com esses contracena.
§ 2o Aumenta-se a pena de 1/3 (um terço) se o agente comete o crime: I - no exercício de cargo ou função pública ou a pretexto de exercê-la;
II - prevalecendo-se de relações domésticas, de coabitação ou de hospitalidade; ou III - prevalecendo-se de relações de parentesco consangüíneo ou afim até o terceiro grau, ou por adoção, de tutor, curador, preceptor, empregador da vítima ou de quem, a qualquer outro título, tenha autoridade sobre ela, ou com seu consentimento.
2. Quesitação
2. Quesitação
É essencial que os quesitos estejam diretamente relacionados ao
fato investigado, que sejam claros e específicos:
1. Evitar que os quesitos referenciem todo o conteúdo da mídia questionada. Ex.: “Descreva os arquivos existentes no disco rígido”
2. Evitar que os quesitos induzam à verificação individual de todos os arquivos presentes na mídia questionada. Ex.: “Há arquivos relacionados a <tal pessoa ou empresa> na mídia questionada ?”
3. Evitar quesitos que exijam conhecimento jurídico de um perito especialista em informática. Ex.: “Existe algum indício de crime na mídia questionada ?”
4. Sempre que possível, utilizar quesitos específicos, que permitam buscas com base em palavras-chave. Ex.: “Existem na mídia questionada, arquivos relacionados à empresa XPTO ?”
5. Sempre que possível, utilizar quesitos específicos e detalhados: Ex.: “Há, na mídia questionada, mensagens de correio eletrônico enviadas pela conta usuario@dominio.com.br, contendo anexos em formato .pdf ?”