UNIVERSIDADE DO SUL DE SANTA CATARINA RODRIGO DE ABREU AUGUSTO
ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA ATAQUES DIRECIONADOS
Florianopolis 2015
RODRIGO DE ABREU AUGUSTO
ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA ATAQUES DIRECIONADOS
Trabalho de Conclusão de Curso apresentado ao Curso de Graduação em Sistemas de Informação da Universidade do Sul de Santa Catarina, como requisito parcial à obtenção do título de Bacharel em Ciência da Computação.
Orientador: Prof. Luiz Otavio Botelho.
Florianopolis 2015
RODRIGO DE ABREU AUGUSTO
ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA ATAQUES DIRECIONADOS
Trabalho de Conclusão de Curso apresentado ao Curso de Graduação em Sistemas de Informação da Universidade do Sul de Santa Catarina, como requisito parcial à obtenção do título de Bacharel em Ciência da Computação.
Florianópolis, 16 de novembro de 2015.
______________________________________________________
Professor e orientador Luiz Otávio Botelho Lento, Me. Universidade do Sul de Santa Catarina
______________________________________________________
Prof. Saulo Popov Zambiasi, Dr. Universidade do Sul de Santa Catarina
______________________________________________________
Prof.ª Maria Inés Castiñeira, Dra. Universidade do Sul de Santa Catarina
A minha família, que sempre esteve presente em todos os momentos da minha vida, me dando total apoio e a possibilidade de tornar isso possível, e a Deus.
AGRADECIMENTOS
A Neli Maria de Abreu Augusto, Celoni Augusto, Alessandro de Abreu Augusto, Leandro de Abreu Augusto, Gabriela de Abreu Augusto, Lara de Seixas Kuzniecow, João Arthur Ferreira, Gabriel Eller Wilpert, Lucas Testoni Schmitt, Gustavo Alves, Matheus Costa Antunes,
Eduardo Fernandes, Carlos Roberto Augusto Junior, Matheus Cardoso Serafim, Bruno Jorge Augusto, Donald Cardoso Serafim, Thiago Costa Antunes, Renato Silva, Tatiane Mendes, e por fim, agradeço a Luiz Otavio Botelho Lento, por todo apoio e contribuição para a
RESUMO
A forense computacional é a ciência que compreende a aquisição, prevenção, recuperação e análise de evidências computacionais, que foram processados eletronicamente e armazenados em mídias computacionais. Este trabalho visa elaborar um conjunto de diretrizes para analise de ataques direcionados em sistemas computacionais, baseado no modelo forense. Para adquirir o conhecimento necessário para elaboração do projeto, foram estudados os assuntos sobre forense computacional, suas implicações legais, como adquirir, preservar, analisar e apresentar os dados de uma investigação. Sobre segurança da informação, seus conceitos, suas características, mecanismos, suas politicas de segurança e formas de proteção. Sobre ataques direcionados, seus métodos, suas características e seu funcionamento. Com isso, baseado no modelo forense foram estabelecidas diretrizes para analise de ataques direcionados, visando melhorar os aspectos que envolvem a segurança de informação. Cada etapa foi descrita detalhadamente e apresentada através de fluxogramas para melhor entendimento. Para a validação do modelo foi realizado um estudo de caso, no qual foram obtidos os resultados esperados com a utilização das diretrizes propostas neste projeto.
Palavras-chave: Forense computacional. Segurança. Ataques direcionados. Análise de Ataques direcionados.
ABSTRACT
The computational forensic is the science that understands the acquisition, prevention, recovery and analysis of computational evidences, that were processed electronically and stored in computational media. This work aims at to elaborate a set of lines of direction for analysis of attacks directed in computational systems based in the forensic model. To acquire the knowledge necessary for elaboration of this project, were studied the subjects on computational forensic, as its legal implications, to acquire, to preserve, to analyse and to present the data of the investigation. On security of information, its concepts, its characteristics, mechanisms, its security politics and forms of protection. On directed attacks, its methods, its characteristics and it’s functioning. With this, based in the forensic model, guidelines of direction for analysis of directed attacks were established, aiming at to improve the aspects that involve the information security. Each step was described in detail and presented through flowcharts for a better understanding. For the validation of the model, a case study was accomplished, where the expected results were obtained with the use of the guidelines proposed in this project.
LISTA DE SIGLAS
BIND - Berkeley Internet Name Domain DoS - Denial Of Service
DDoS - Distributed Denial of Service DNS - Domain Name System
FTP - File Transfer Protocol
ICMP - Internet Control Message Protocol IMAP - Internet Message Access Protocol IDS - Intrusion Detection System
UDP - User Datagram Protocol POP - Post Office Protocol TCP - Transfer Control Protocol
TCP SYN - Transfer Control Protocol Synchronize URL - Uniform Resource Locator
LISTA DE FIGURAS
Figura 01 - Distributed denial-of-service
Figura 02 - Atacante envia pacote com endereço alterado
Figura 03 – Atacante inserido no caminho entre vítima e maquina com endereço alterado. Figura 04 - Buffer Overflow
Figura 05 - Pesquisa sobre Phishing Figura 06 - Investigação computacional Figura 07 - Estrutura Hierárquica Figura 08 - Etapas do Desenvolvimento Figura 9: Etapas do modelo forense
Figura 10: Modelo de análise de ataques direcionados Figura 11: Processo de Ataque
Figura 12: Identificar indícios de um possível ataque Figura 13: Coletar dados
Figura 14: Coleta de dados voláteis Figura 15: Coleta de dados não voláteis Figura 16: Exame de dados
Figura 17: Analise dos dados
Figura 18: Log de acesso ao servidor.
Figura 19: Lista de e-mails enviados aos alunos com domínio suspeito. Figura 20: E-mail recebido pelos alunos.
Figura 21: E-mail com indício de Spear Phishing. Figura 22: Intranet da Universidade
Figura 23: Forma de interagir com alunos através da intranet da Universidade. Figura 24: Ubuntu – FDTK utilizado para facilitar o exame dos dados.
Figura 25: Cabeçalho de arquivo. Figura 26: Recuperação de arquivos. Figura 27: Exemplo de metadados. Figura 28: Lista de e-mails maliciosos. Figura 29: MAC TIMES do e-mail recebido.
SUMÁRIO 1 I NTRODUÇÃO ... 1 1.1 PROBLEMÁTICA ...2 1.2 OBJETIVOS ...3 1.2.1 Objetivo geral ...3 1.2.2 Objetivos Específicos...3 1.3 JUSTIFICATIVA ...4 1.4 ESTRUTURA DA MONOGRAFIA ...4 2 ATAQUES CONVENCIONAIS ... 6 2.1 NEGAÇÃO DE SERVIÇO...6
2.1.1 Ataques por Inundação ...6
2.1.2 Ataques por Amplificação ...7
2.1.3 Ataques por Exploração de Protocolos ...7
2.1.4 Ataques Distribuídos ...8
2.2 IP SPOOFING ...9
2.2.1 Ataque em uma Única Direção ...10
2.2.2 Mudança Básica de Endereço IP ...11
2.2.3 Uso de Roteamento de Origem para Interceptar Pacotes ...11
2.2.4 Explorar Relação de Confiança entre Maquinas Unix ...13
2.3 BUFFER OVERFLOW ...13 2.4 ENGENHARIA SOCIAL ...14 2.4.1 Phishing ...16 2.5 BACKDOORS ...19 2.6 SNIFFING ...19 2.7 ATAQUES DIRECIONADOS ...20 2.7.1 Exploit ...21 2.7.2 Zero-day ...24
2.7.3 Advanced Persistent Threat ...25
2.8 FORENSE COMPUTACIONAL ...27
2.8.1 INTRODUZINDO A FORENSE ...28
2.8.2 Implicações Legais ...30
2.8.3 Metodologia Forense para Obtenção de Evidencias ...31
2.8.4 Equipe Forense ...38
2.8.5 Considerações Finais ...40
3 MÉTODO... 41
3.1 CARACTERIZAÇÃO DO TIPO DE PESQUISA ...41
3.1.1 Pesquisa Aplicada ...41 3.1.2 Pesquisa Bibliográfica ...41 3.1.3 Estudo de Caso ...42 3.2 ETAPAS ...42 3.3 DELIMITAÇÕES ...43 4 DESENVOLVIMENTO ... 44 4.1 PROPOSTA DA SOLUÇÃO ...44 4.2 TERMINOLOGIA ...46
4.3 DESCRIÇÃO DO DIAGRAMA PROPOSTO ...47
4.4 CONSIDERAÇÕES DO CAPÍTULO ...59
5 TESTE E VERIFICAÇÃO ... 60
5.1 APRESENTAÇÃO DO CASO...60
5.3 LAUDO PERICIAL ...72 5.4 CONSIDERAÇÕES FINAIS ...74 6 CONCLUSÃO ... 75 6.1 TRABALHOS FUTUROS ...76 REFERÊNCIAS...78 APÊNDICE – CRONOGRAMA...84
1 INTRODUÇÃO
Nas últimas décadas, o uso da tecnologia tem sido de grande utilidade em todas as áreas do comércio, também, no dia-a-dia das pessoas.
Com o surgimento da internet houveram vários benefícios para a sociedade, mas, também surgiram práticas ilícitas como malwares1 (tipos de softwares maliciosos) e phishing2 (captação de dados de forma fraudulenta) que afetam computadores pessoais e corporativos. Segundo Macedo (2012) “o computador e as tecnologias atuais têm causado uma mudança radical de como a sociedade funciona. Tanto no âmbito profissional como no pessoal, nossa vida depende de vários serviços que se apoiam em computadores e redes de comunicação”.
Através de ataques aos usuários e sistemas, o cyber crime (crime praticado na internet) está cada vez mais difícil de ser investigado devido à possibilidade de anonimato, tornando-se mais comum nos ambientes computacionais ao longo do tempo.
Segundo Henry Shawn citado em (SILVA, 2014), “diretor adjunto da divisão informática do Federal Bureau of Investigation (FBI), os ataques cibernéticos estão entre as maiores ameaças na atualidade”.
Entre as ocorrências mais comuns em relação aos ataques praticados estão, a perda ou alteração de dados importantes para uma organização, roubo de informações confidenciais e outros crimes como pedofilia e fraudes.
Macedo (2012) também cita que, existem várias medidas de segurança que podem ser tomadas para preservar o ambiente computacional ao acesso indevido. No entanto, é difícil que em algum momento uma brecha não seja explorada.
Conforme Silva (2014):
É lugar comum hoje em dia dizer que segurança das informações virou prioridade para empresas de todos os segmentos e portes. Dados não faltam para justificar essa crescente preocupação: 60 mil novos malwares (softwares maliciosos) por dia; 8 mil novos sites infectados por dia; mais de 100 bilhões de spam’s disparados diariamente pelo mundo todo; além dos incontáveis danos causados às informações corporativas por imperícia ou negligências dos próprios funcionários, sabotagem, defeitos em equipamentos e outros.
1
O malware é qualquer tipo de software indesejado, instalado sem o devindo consentimento do usuário e que explora vulnerabilidades ainda não detectadas. (MADEIRA, 2012, p. 28).
2
O phishing é um tipo de ataque baseado em engenharia social na qual os criminosos usam e-mails para levar pessoas a revelar informações pessoais ou instalar software malicioso em seu computador. (MADEIRA, 2012, p. 22).
“A Forense Computacional é a ciência que estuda a aquisição, preservação, documentação, recuperação e análise de dados que estão em formato eletrônico e que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.” (QUEIROZ, 2007, p. 03).
Desse modo, segurança da informação vem para auxiliar na tentativa de resolução do problema, em que se tem perda ou alteração de dados importantes para a organização, e que
nem sempre os causadores são as pessoas, mas, também, brechas encontradas no sistema. Por conseguinte, este trabalho tem por objetivo utilização de um modelo forense
computacional para apoiar a implementação de diretrizes forense a ataques direcionados, visando melhorar a segurança da informação.
1.1 PROBLEMÁTICA
Segundo da Silva (2014):
Atualmente, não existe espaço para novas gerações que não tenham contato, desde cedo, com telefones celulares, tablets, smarphones, laptops e outros meios. Após o término da II Guerra Mundial, as telecomunicações foram associadas à computação e, com isso, iniciava-se um novo setor do conhecimento humano chamado de tecnologia da informação.
Conforme Madeira (2012), Com a proliferação da internet, as empresas nunca estiveram tão expostas, justamente quando a informação é o bem de maior valor em uma organização.
Para da Silva (2014), os ataques cibernéticos se apresentam em uma escala mundial crescente, silenciosa e se caracterizam como um dos grandes desafios do século XXI. Todas as pessoas, empresas, governos e entidades que utilizam o espaço cibernético estão expostos a riscos.
Ainda Ng (2007), apesar de ser uma boa iniciativa, as práticas forenses computacionais ainda não são realizadas da melhor forma nas organizações, mesmo porque, não possuem conhecimento especializado, naturalmente, o processo de análise não tem a qualidade necessária.
Neste caso, é importante a criação de uma cultura dentro da empresa que adote as práticas forenses, de modo que, diminuam as fraudes e perdas da organização.
1.2 OBJETIVOS
São apresentados a seguir os objetivos desse trabalho.
1.2.1 Objetivo geral
Este trabalho tem como objetivo utilizar um modelo forense para estabelecer um conjunto diretrizes para análise de ataques direcionados.
1.2.2 Objetivos específicos
Os objetivos específicos deste trabalho são:
estudar forense computacional e seus tipos;
estudar ataques direcionados e seus tipos;
estudar mecanismos de defesa;
estudar ataques convencionais;
desenvolver um conjunto de diretrizes, com base em um modelo forense, focado em ataques direcionados;
1.3 JUSTIFICATIVA
Conforme Bustamante (2006), as evidências que um criminalista encontra geralmente não podem ser vistas a olho nu e são dependentes de ferramentas e meios para obtê-las. Cabe ao profissional de informática coletar as evidências de modo que sejam admitidas em juízo, para isso produzindo um laudo pericial.
Para Azevedo et al. (2011):
O crescente uso e a grande aplicação de sistemas informatizados e da tecnologia trazem riscos, como o mau uso da tecnologia por parte de pessoas que criam sistemas motivadores de práticas ilícitas, como também por parte daquelas que, mesmo não os criando, utilizam-se deles.
Escolheu-se o tema por ser a segurança da informação uma necessidade estratégica para o negócio das organizações e o dia-a-dia das pessoas no uso da tecnologia e de sistemas informatizados. A afirmativa deve-se ao fato de que, em ambos os casos existe a necessidade trabalhar em ambientes seguros, garantindo a disponibilidade, integridade e confiabilidade das informações.
Com isso, garantir que a prática forense faça parte do processo organizacional e contribua na segurança contra os vazamentos de informações.
1.4 ESTRUTURA DA MONOGRAFIA
Este trabalho está dividido em seis capítulos. A seguir, será apresentada a estrutura do trabalho:
Capítulo 1 – Introdução: Este capítulo apresenta a introdução, problema, os objetivos e a justificativa do trabalho.
Capítulo 2 – Revisão bibliográfica: Nesse capítulo é referenciado o conteúdo que se faz necessário para a fundamentação teórica que embasará o projeto.
Capítulo 3 – Metodologia: Apresentação da metodologia de pesquisa, a proposta da solução e as delimitações do projeto.
Capítulo 4 – Desenvolvimento: Nesse capítulo será desenvolvido um conjunto de diretrizes com base em um modelo forense, focado em ataques direcionados;
Capítulo 5 – Proposta da Solução: Validação das diretrizes em um estudo de caso; Capítulo 6 – Conclusões e trabalhos futuros: Este capítulo apresenta as conclusões
deste trabalho e sugestões para trabalhos futuros.
2 ATAQUES CONVENCIONAIS
Os ataques são cada vez mais projetados para roubar informações de forma silenciosa, explorar vulnerabilidades, sem deixar para trás qualquer dano que poderia ser observado por um usuário, por isso, é necessário definir regras para impedi-los.
2.1 NEGAÇÃO DE SERVIÇO
Os ataques de negação de serviço (DoS – Denial of Service) “utilizam um computador para tirar de operação um serviço ou um computador conectado à Internet”. Seguindo os exemplos abaixo (CERT.br - Parte I, 2006; p. 9/14):
“Gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usuário não consiga utilizá-lo”;
“Gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível, de modo que qualquer computador desta rede fique indisponível”;
“Tirar serviços importantes de um provedor do ar, impossibilitando o acesso dos usuários a suas caixas de correio no servidor de e-mail ou ao servidor Web”.
Com isso, recursos são explorados, impossibilitando usuários de utiliza-los, por estarem indisponíveis ou extremamente lentos (ROMERO et.al, 2003).
2.1.1 Ataques por Inundação
Segundo Neves (2014; p. 6), “Ataques por inundação se caracterizam por enviarem um grande volume de tráfego ao sistema da vítima primária de modo a congestionar sua banda”.
Ainda afirma que o impacto deste ataque pode causar lentidão ao sistema, derrubá-lo ou sobrecarregar a rede da vítima, utilizando pacotes UDP (User Datagram Protocol) ou ICMP (Internet Control Message Protocol).
Sendo assim, o alvo do ataque fica praticamente impossibilitado de realizar qualquer operação.
2.1.2 Ataques por Amplificação
Ataques por amplificação enviam requisições forjadas para diversos computadores ou para um endereço IP broadcast, que posteriormente responderão as requisições, alterando o endereço IP de origem das requisições para o IP da vítima, direcionando todas as respostas ao alvo do ataque. (NEVES, 2014).
Conforme Sab et al. (2013; p. 1):
Um endereço de IP de broadcast é um recurso encontrado em roteadores que, quando escolhido como endereço de destino, faz com que o roteador efetue um broadcast, replicando o pacote e enviando para todos os endereços de IP pertencentes a um intervalo determinado.
Desta forma, os endereços de broadcast ampliam e refletem o tráfego do ataque, reduzindo a banda da vítima. (NEVES, 2014).
2.1.3 Ataques por Exploração de Protocolos
Segundo Neves (2014; p. 8):
Se caracterizam por consumir excessivamente os recursos da vítima explorando alguma característica específica ou falha de implementação de algum protocolo
instalado no seu sistema, fazendo uso indevido de pacotes TCP SYN3 (Transfer Control Protocol Synchronize) ou de pacotes TCP PUSH+ACK4.
2.1.4 Ataques Distribuídos
Segundo Douligeris et al. (2004, apud Rocha; p. 10):
Ataque distribuído de negação de serviço (DDoS, distributed denial-of-service) é um ataque onde múltiplos sistemas comprometidos são usados para executar um ataque DoS coordenado contra um ou mais alvos, adicionando a dimensão de muitos para um ao ataque DoS. Por meio de uma tecnologia de cliente/servidor, o intruso é capaz de multiplicar a eficácia do ataque DoS significativamente aproveitando o recurso de múltiplos computadores recrutados involuntariamente.
Figura 01: Ataque de Negação de Serviço
Reproduzida de:Gangte (2013).
3
SYN é o primeiro pacote enviado através de uma conexão TCP e indica a intenção de conexão. (SAB. et. al, 2013)
4
PSH é um flag que indica que os dados devem ser transmitidos imediatamente, mesmo que o buffer não esteja totalmente preenchido, e o ACK é um flag que indica que o endereço de destino recebeu corretamente os dados (SAB. et. al, 2013).
Como demonstrado na figura acima, múltiplos sistemas em todo o mundo estão iniciando um ataque contra uma única vítima. Se os ataques DoS são difíceis de evitar vindos de uma única fonte, muito mais difícil é a proteção contra o DDoS que está vindo de múltiplas máquinas em múltiplas localidades.
2.2 IP SPOOFING
É uma técnica que mascara o endereço real do atacante no intuito de escondê-lo, sendo muito utilizado em tentativas de acesso a sistemas onde a autenticação é baseada em endereços IP, utilizado nas relações de confiança de uma rede interna. (ROMERO et.al, 2003).
Segundo Martins (2009; p. 1):
O ataque ocorre quando o invasor fabrica um pacote contendo um falso endereço de origem, fazendo com que o host atacado acredite que a conexão está vindo de outro local, geralmente se passando por um host que tem permissão para se conectar a outra máquina.
Esse método funciona porque as relações de confiança das redes se baseiam apenas na autenticação de endereços IP, que são facilmente mascarados, o que facilita a aplicação dessa técnica (MARTINS, 2009).
Conforme Romero et al. (2003; p. 9) “o IP Spoofing não é exatamente uma forma de ataque, mas sim uma técnica que é utilizada na grande maioria dos ataques, pois ele ajuda a esconder a identidade do atacante”. E cita que através da técnica de IP Spoofing, o hacker consegue atingir os seguintes objetivos:
“Obter acesso às máquinas que confiam no IP que foi falsificado”;
“Capturar conexões já existentes (para isto é necessário utilizar-se também de outras técnicas como predizer o número de sequência) e burlar os filtros de pacotes dos firewalls que bloqueiam o tráfego baseado nos endereços de origem e destino”.
2.2.1 Ataque em uma Única Direção
Segundo Romero et al. (2003; p 8):
No Flying blind attack (ataque em uma única direção), o atacante envia um pacote com o endereço IP alterado para a vítima, que recebe o pacote e encaminha para o endereço IP listado como receptor e não para o atacante, fazendo com que o mesmo envie pacotes para á maquina com o endereço IP alterado, mas não recebendo nenhum de volta.
Figura 02: Atacante envia um pacote com endereço alterado.
Reproduzida de: Romero et al. (2003).
Como mostra a figura, o atacante envia o pacote com o endereço alterado para a vitima, forjando seu endereço e não recebe nenhum pacote de volta, apenas envia.
Segundo Romero et al.(2003) “o atacante não enxerga nenhuma resposta da vítima, no entanto ele pode se inserir no caminho entre a máquina vítima e a máquina cujo endereço está sendo alterado, sendo capaz de interceptar as respostas”, como mostrado na Figura 03.
Figura 03: Atacante inserido no caminho entre vítima e maquina com endereço alterado.
Reproduzida de: Romero et al. (2003).
O atacante se insere entre as maquinas, escondendo sua identidade para interceptar os pacotes e analisar o que está sendo enviando.
2.2.2 Mudança Básica de Endereço IP
Segundo Romero et al. (2003; p. 10).
O spoofing de um endereço IP consiste em mudar o endereço IP de uma máquina, de forma a ficar igual de outra máquina. A forma mais simples de efetuar essa alteração é ir até as configurações da rede e mudar o endereço IP da máquina. Fazendo isto, todos os pacotes que são enviados possuem um endereço IP igual ao endereço que o atacante quer falsificar. Dessa forma, todas as respostas são encaminhadas de volta para o endereço forjado ao invés da máquina do atacante. Este tipo de alteração possui diversas limitações, mas em termos de ataques de DoS, às vezes é necessário somente um único pacote é capaz de indisponibilizar a máquina.
2.2.3 Uso de Roteamento de Origem para Interceptar Pacotes
Segundo Romero et al. (2003; p. 10):
Um dos grandes problemas do spoofing é que o tráfego retorna de volta para o endereço que sofreu spoofing o atacante nunca visualiza os pacotes devolvidos. O
Flying blind é efetivo somente em pequenos ataques. Porém em ataques avançados, o atacante quer enxergar os dois lados da conversação. Um modo de alcançar esse objetivo é o atacante se inserir no meio do caminho no qual o pacote normalmente irá trafegar. A Internet é muito dinâmica em termos de como o roteamento é feito. Ele pode ser alterado a cada dia, hora ou até mesmo a cada minuto. Entretanto, há um modo de garantir que um pacote adotou um determinado caminho por meio da Internet, e no caso do spoofing, que este caminho passa através da máquina do atacante. É possível fazer isso com o roteamento de origem o qual é construído dentro do protocolo TCP/IP. O roteamento de origem especifica o caminho que o pacote vai passar.
Há dois tipos de roteamento de origem, conforme segue (ROMERO et al., 2003; p. 10):
Louse Source Routing (LSR): “O remetente especifica uma lista de endereços IP pelos quais o tráfego ou o pacote irá passar, mas ele também poderá ir através e qualquer endereço que ele necessita, não se preocupando com o seu percurso na rede”.
Strict Source Routing (SRS): “O remetente especifica o caminho exato que o pacote deve seguir. Se o caminho exato não pode ser seguido, o pacote é descartado e uma mensagem ICMP é encaminhada para o remetente”.
O roteamento de origem possui enormes benefícios para o spoofing. Um atacante envia um pacote para um destino com um endereço que sofreu spoofing, mas especifica um loose source roouting e coloca seu endereço IP na lista. Então, quando o receptor responde, o pacote é enviado de volta para o endereço que sofreu spoofing, porém antes ele passa pela máquina do atacante. Este ataque não é um flying blind, porque o atacante pode ver ambos os lados da conversa (ROMERO et al., 2003; p. 10).
O atacante pode querer especificar vários endereços além do seu, desse modo se alguém interceptá-lo, ele pode não atingir com precisão o alvo (a máquina do atacante). Segundo, o strict sourcer outing poderia também ser usado, porém é mais difícil porque o atacante precisa saber o caminho exato que o pacote deve percorrer. Dessa forma, como ambos os modos funcionam, é mais interessante utilizar o loose source routing, visto que ele é mais simples e tem grandes chances de sucesso (ROMERO et al., 2003; p. 10).
2.2.4 Explorar Relação de Confiança entre Maquinas Unix
Nos ambientes Unix, para facilitar a movimentação das maquinas, relações de confiança são estabelecidas entre si (ROMERO et. al, 2003).
Que do ponto de vista do spoofing, as relações de confiança são fáceis de serem exploradas. Por exemplo, se um atacante sabe que um servidor A confia em alguém vindo da máquina Y, o qual possui endereço IP 10.10.10.5, o atacante falsifica seu endereço para 10.10.10.5, assim ele terá o acesso permitido nos demais servidores sem que seja solicitada uma senha de acesso, por que o endereço IP é confiável. O problema principal é ainda visualizar as respostas encaminhadas, porque todas as respostas são enviadas de volta para o IP que está sofrendo spoofing, e não para o endereço do atacante.
2.3 BUFFER OVERFLOW
Um buffer overflow é resultado do armazenamento em um buffer de uma quantidade maior de dados do que sua capacidade, inserindo muitos dados dentro da pilha de memória, sobrescrevendo outras informações que estão na pilha.
Para Aranha (2003):
Uma falha de segurança comumente encontrada em software é a vulnerabilidade a buffer overflow. Apesar de ser uma falha bem-conhecida e bastante séria, que se origina exclusivamente na incompetência do programador durante a implementação do programa, o erro repete-se sistematicamente a cada nova versão ou produtos liberados. Alguns programas já são famosos por frequentemente apresentarem a falha, como o Sendmail, módulos do Apache, e boa parte dos produtos da Microsoft.
Segundo Romero et al. (2003; p. 13):
Grande parte das vulnerabilidades encontradas nos sistemas é referente à buffer overflow, sendo o ataque mais empregado desde 1997 segundo os boletins da CERT, geralmente usadas para executar códigos arbitrários nos sistemas, sendo considerados de alto risco. Além da possibilidade de execução de comandos arbitrários, que é a situação mais grave do problema, o buffer overflow pode resultar em perda ou modificação dos dados, em perda do controle do fluxo de execução do sistema (“segmentation violation", no Unix, ou "gerenal protection fault", no Windows) ou em paralisação do sistema.
O objetivo é estourar o buffer e sobrescrever parte da pilha para alterar as variáveis locais, parâmetros ou endereços de retorno. O endereço de retorno é alterado com o intuito de apontar para o local de armazenamento do código que será executado, aproveitando-se dos privilégios do usuário que irá executar o programa vulnerável. (ARANHA, 2003).
Figura 04: Buffer Overflow
Reproduzida de: Romero et al. (2003).
O buffer sem controle do tamanho é explorado. No Passo 01, o ataque é feito com a inserção de uma string grande em uma rotina que não checa os limites do buffer. Com isso, a string ultrapassa o tamanho do buffer, sobrescrevendo as demais áreas da memória. No Passo 02, o endereço de retorno é sobrescrito por outro endereço, que está incluído na string e aponta para o código do ataque. No Passo 03, o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. No Passo 04, a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado” (ROMERO et al., 2003; p. 15).
2.4 ENGENHARIA SOCIAL
O método de ataque conhecido como “engenharia social” tem por objetivo enganar e ludibriar pessoas, a fim de obter informações que possam comprometer a segurança da organização (NAKAMURA & GEUS, 2002; p. 55).
Mitnick e Simon (2003, p. 3) sustentam a tese de que o fator humano é o elo mais fraco da segurança e definem da seguinte forma a técnica que explora a vulnerabilidade humana:
A Engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.
Tendo isso em vista, os seguintes exemplos para ilustram os tipos de ataque que utilizam esse método (CERT, 2006, p. 7):
Um desconhecido liga para a casa de alguém e diz ser do suporte técnico do provedor dele. Nesta ligação, ele diz que a conexão com a Internet está apresentando algum problema e, então, pede a senha para corrigi-lo;
Você recebe uma mensagem de e-mail, supostamente do fornecedor do seu antivírus, dizendo que seu computador está infectado por um vírus. A mensagem sugere que a pessoa instale um a ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador;
Alguém recebe uma mensagem de e-mail, onde o remetente é o gerente ou alguém do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se for executado o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela utilizada para se ter acesso à conta bancária, aguardando que se digite a senha.
Mitnick e Simon (2003) explicam que a maioria das pessoas supõe que não será enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável que não levanta suspeita enquanto explora a confiança da vítima.
2.4.1 Phishing
Para Markus Jakobsson (2007, tradução nossa) o Phishing pode ser descrito a partir de um casamento celebrado entre a tecnologia e a engenharia social. Embora este fenômeno possa ser bem sucedido num panorama em que um destes fatores prevalece sobre o outro, as hipóteses de sucesso serão muito maiores se o prevaricador conseguir conciliar ambos de forma estratégica.
Segundo Cert.br (2012; p. 1), O phishing ocorre por meio do envio de mensagens eletrônicas que:
“Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular”;
“Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira”;
“Informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o
cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito”;
“Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis, e do preenchimento de formulários contidos na mensagem ou em páginas Web”.
Ainda afirma (2012; p. 1) “para atrair à atenção do usuário as mensagens apresentam diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços, a imagem de pessoas e assuntos em destaque no momento”. Como as situações abaixo:
“Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros”;
“Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma mensagem contendo um link para o site da rede social ou da companhia aérea que você utiliza. Ao clicar, você é direcionado para uma página Web falsa onde é
solicitado o seu nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar mensagens ou emitir passagens aéreas”;
“Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo um formulário com campos para a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário e apresenta um botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são transmitidos para os golpistas”;
“Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu computador”; e
“Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados pessoais, como nome de usuário e senha”.
Outra das características funcionais deste vírus é a sua função de Key Logger, que permite a gravação de tudo o que o utilizador digita no seu teclado, transpondo essa informação para um ficheiro de texto, no qual se incluirá o username e o password de acesso bancário digitado pelo utilizador.
Um relatório trimestral divulgado pela McAfee (Security Scan) revelou que o phishing continua como uma das principais táticas de golpes em organizações.
Figura 05: Pesquisa sobre Phishing
A pesquisa mostra que 80% não conseguiram identificar um a cada sete e-mails de phishing no questionário elaborado. O departamento de finanças e RH são os que apresentaram pior desempenho na detecção dos golpes, o que preocupa dada as informações corporativas sigilosas presentes nestes setores (McAfee, 2014).
2.4.1.1 Pharming
Basicamente modifica a relação que existe entre o nome de um site e seu respectivo servidor web. Em vez de dependerem totalmente dos usuários para clicar em links atraentes contidos em mensagens de e-mail falsas, os ataques de pharming redirecionam suas vítimas para websites falsos, mesmo se elas digitarem o endereço da Web correto para o seu banco ou outros serviços on-line no navegador da Web.
Para a Cert.br, pharming é um tipo específico de phishing que envolve a redireção da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain
Name System). Como das formas citadas abaixo:
Por meio do comprometimento do servidor de DNS do provedor que você utiliza;
Pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS do seu computador; e
Pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de DNS do seu computador ou modem de banda larga.
Segundo Peixoto (2010) o pharming, portanto, é a nova geração do ataque de phishing, apenas sem o uso da “isca” (o e-mail com a mensagem enganosa). O vírus reescreve arquivos do PC que são utilizados para converter os endereços de internet (URLs) em números que formam os endereços IP (números decifráveis pelo computador).
2.5 BACKDOORS
“A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto” (CERT.br, 2006).
Segundo Chaves et al. (2012; p. 2):
Os atacantes, após terem comprometido um sistema, normalmente utilizam um mecanismo para conseguir acesso a esse sem que uma vulnerabilidade em um software tenha que ser explorada. Esse é frequentemente instalado com a intenção de facilitar o retorno do atacante, bem como dificultar a sua detecção.
Desta forma, consistem em explorar vulnerabilidades existentes nos programas instalados nos computadores para invadi-los e garantir que tenham acesso futuramente ao mesmo, sem que sejam notados (CERT.br, 2006).
2.6 SNIFFING
Segundo a Agencia Estadual de Tecnologia da Informação de Pernambuco (ATI), Sniffing consiste na captura de informações diretamente do fluxo de pacotes no mesmo segmento de rede onde o atacante instalou o software. Seus alvos preferidos são senhas que trafegam sem criptografia, e-mails e qualquer outro tipo de informação que passe em texto
plano.
Conforme a Cert.br, Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Esta técnica pode ser utilizada de forma:
Legítima: por administradores de redes, para detectar problemas, analisar
desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados;
Maliciosa: por atacantes, para capturar informações sensíveis, como senhas, números de cartão de crédito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja, sem criptografia;
Para Meneghel (1998), o sniffing provoca uma perda de segurança a diversos níveis:
Passwords, talvez o objetivo mais comum, que conduz a falhas de segurança significativas e de difícil detecção;
Números de contas bancárias, cartões de crédito, etc.;
Informação privada, de correio eletrônico, ou comunicação em trânsito entre um cliente e um servidor, por exemplo; e
Protocolos de baixo nível, esta é uma exploração do sniffing que o torna
particularmente útil para futuros ataques, nomeadamente através do conhecimento que é possível obter sobre os endereços de hardware das interfaces existentes na rede, endereços IP das interfaces remotas, informação de roteamento IP, ports de uma ligação TCP/IP, números de sequência dos pacotes, etc.
2.7 ATAQUES DIRECIONADOS
Tem como objetivo buscar informações específicas. Não são ataques conhecidos ou previstos pelos sistemas de defesas. Logo, não existem regras para impedir estes tipos de ataques.
Segundo Miller (2012; p. 6), Devido à sua natureza direcionada, os executores de ameaças persistentes avançadas muitas vezes têm objetivos diferentes dos hackers comuns, incluindo um maior foco nos seguintes objetivos, em vez de roubos simples:
Manipulação política: Maneira requerida para mobilizar multidões;
Espionagem militar: Obter informações sigilosas relativas a organizações governamentais;
Espionagem econômica: Observar ações e movimentações econômicas de países e estados.
Espionagem técnica: Obter informações através de dispositivos manipulados.
Extorsão financeira: Obter vantagens financeiras através de informações obtidas ilegalmente.
2.7.1 Exploit
Conforme Pedrosa (2007), o termo exploit, vem do inglês, que em português significa, literalmente, explorar.
“São pequenos utilitários ou exemplos de código que podem ser usados para explorar vulnerabilidades específicas, podendo ser usados diretamente, ou ser incorporados em vírus, cavalos de tróia, ferramentas de detecção de vulnerabilidades e outros tipos de softwares” (MORIMOTO, 2008).
Existem exploits para diversas finalidades e eles podem ser encontrados como arquivos executáveis, ou até mesmo dentro de um comando de protocolo de rede. Eles são códigos escritos com o intuito de explorar vulnerabilidades em algum sistema que geralmente são ocasionados por erros de programação. Conforme afirma Almeida (2008; p. 1):
Na linguagem da Internet é usado comumente para se referir a pequenos códigos de programas desenvolvidos especialmente para explorar falhas introduzidas em aplicativos por erros involuntários de programação. Esses exploits, que podem ser preparados para atacar um sistema local ou remotamente, variam muito quanto à sua forma e poder de ataque. Pelo fato de serem peças de código especialmente preparadas para explorar falhas muito específicas, geralmente há um diferente exploit para cada tipo de aplicativo, para cada tipo de falha ou para cada tipo de sistema operacional. Os exploits podem existir como programas executáveis ou, quando usados remotamente, podem estar ocultos, por exemplo, dentro de uma mensagem de correio eletrônico ou dentro de determinado comando de um protocolo de rede.
2.7.1.1 Tipos de Exploit
Existe uma diversidade muito grande de exploits no mundo, cada um tem uma característica e atuam de uma determinada maneira.
2.7.1.1.1 Exploits Locais
Exploram a vulnerabilidade de sistemas e programas para conseguir acesso ao root (administrador) da máquina. Alguns contêm pequenos trojans para permitir acesso ao invasor e eles executam seus scripts no servidor a partir da Shell adquirida. Embora exista uma infinidade de exploits locais com finalidades diferentes, essa técnica basicamente consiste em conseguir acesso a Shell, copiar e compilar o código” (NUNES, 2011; p. 5).
2.7.1.1.2 Exploits Remotos
“Diferentemente dos exploits locais, basta apenas uma base (host) para rodá-lo. Esses exploits exploram bugs remotamente para conceder o acesso ao sistema e geralmente às vulnerabilidades mais comuns usadas são as de BIND, FTP, IMAP e POP” (NUNES, 2011; p. 6):
BIND é o servidor do protocolo DNS (Domain Name System), muito utilizado na internet, principalmente em sistemas Unix. O protocolo FTP é um dos mais usados para a transferência de arquivos na internet e também é usado em servidores que utilizam esse tipo de serviço. IMAP por sua vez refere-se a um protocolo gerenciador de correio eletrônico, onde as mensagens ficam armazenadas em um servidor e é possível acessá-las de qualquer computador. Esses recursos são melhores que os oferecidos pelo POP3, onde a função é mesma, porém o POP quando conectado com o servidor online, transfere os arquivos para apenas uma máquina na qual pode gerenciar os arquivos sem qualquer conexão com internet” (NUNES, 2011; p. 6).
2.7.1.1.3 Exploits de Aplicação Web
Exploram falhas relacionadas a aplicações web, por exemplo, apache, SQL entre outros (NUNES, 2011).
2.7.1.1.4 Buffer Overflow
Segundo Pedrosa (2007; p. 1):
O buffer overflow acontece quando um programa grava dados numa determinada variável passando, porém, uma quantidade maior de dados do que estava previsto pelo programa. Essa situação pode possibilitar a execução de um código arbitrário, necessitando apenas que este seja devidamente posicionado na área de memória do processo.
O princípio é estourar o buffer e sobrescrever parte da pilha, alterar o valor das variáveis locais, valores dos parâmetros e/ou endereço de retorno da pilha. Alterando o endereço de retorno para que ele aponte para a área em que o código a ser executado encontra-se armazenado (código malicioso dentro do próprio buffer estourado ou até algum trecho de código presente no programa vulnerável) (ARANHA, 2003).
Conforme Pedrosa (2007; p. 1), “os exploits quase sempre fazem proveito de uma falha conhecida como buffer overflow (sobrecarga da memória buffer)”.
2.7.1.1.5 Sql Injection
Ocorre na camada de banco de dados de uma aplicação em virtude de uma filtragem inadequada dos dados para gerar queries SQL. Consiste em utilizar os comandos SQL previstos na aplicação para executar ações de interesse do atacante, expondo ou alterando dados de forma não prevista (MALERBA, 2010).
Ainda afirma que, sua potencialidade é enorme. Como implica a possibilidade do atacante injetar queries no banco de dados do sistema alvo, significa dizer que ele terá todos os privilégios de acesso que a aplicação possuir. Pode ser possível expor informações sigilosas, alterá-las ou mesmo destruir toda a base de dados.
2.7.2 Zero-day
Segundo Singel (2007; p. 1), “Á tática de se aproveitar de vulnerabilidades em softwares antes que suas desenvolvedoras corrijam as brechas é chamada de ataque de Dia Zero”.
Ainda afirma, “O termo originalmente descreve vulnerabilidades exploradas no mesmo dia em que a correção foi desenvolvida, ou seja, as equipes de TI trabalharam tendo em mente “zero” dias para remediar o problema”.
2.7.2.1 Funcionamento de um Ataque Zero-day
Segundo Singel (2007), até mesmo um usuário cuidadoso, que mantém antivírus atualizado e preocupa-se com o acesso a páginas suspeitas, pode tornar-se vítima de um ataque como esse. Esse mesmo indivíduo, quando acessou em setembro de 2006, um blog hospedado pelo HostGator (Provedor na Califórnia), foi direcionado para um site que explorava um bug no antigo formato de imagem da Microsoft e teve um malware instalado em sua maquina.
2.7.3 Advanced Persistent Threat
Conforme Romero (2012) são técnicas de explorações personalizadas que visam ganhar acesso ao um alvo específico, coletar e extrair informações durante um longo período.
Ameaças cibernéticas tradicionais, muitas vezes, mudam rapidamente de alvo se não conseguem penetrar sua meta inicial, mas uma APT tentará continuamente até que cumpra o objetivo. E, uma vez que consiga, pode se disfarçar e se transformar quando necessário, o que torna difícil identificá-lo ou pará-lo” (COMPUTERWOLRD, 2013; p. 1).
Segundo Gusmão (2014), á primeira vista, não é tão diferente de um malware, tanto que a infecção se dá por phishing tradicional, até aproveitando brechas em programas conhecidos, como Word e leitores de PDF, porém, o foco é apenas em um só alvo.
Ainda afirma, são todos ataques que foram bolados e pensados para buscar informações apenas de um lugar. Os golpes exigem planejamento e investimento alto por parte dos atacantes, e, por isso mesmo, miram em alvo que podem render um bom retorno. O National Institute of Standards and Technology (NIST), define os ataques persistentes e avançados da seguinte maneira (MILLER, 2012; p. 4):
A ameaça persistente avançada é um adversário com níveis sofisticados de conhecimento e recursos significativos, que lhe permitem, através do uso de vários vetores de ataque (por exemplo, ataques online, físicos e ludibriação), gerar oportunidades para atingir seus objetivos, que são geralmente estabelecer e ampliar sua presença dentro da infraestrutura de tecnologia da informação das organizações, com a finalidade de vazar informações continuamente e/ou sabotar ou impedir aspectos críticos de uma missão, programa ou organização, ou ainda se colocar em uma posição para fazê-lo no futuro. Além disso, a ameaça persistente avançada persegue seus objetivos repetidamente por um período prolongado, adaptando-se aos esforços do defensor de resistir a ela, com o propósito de manter o nível de interação necessário para executar seus objetivos.
Desta forma, a ameaça persistente avançada, é definida em três palavras (MILLER, 2012):
Avançada: o invasor tem recursos técnicos significativos para explorar
vulnerabilidades, explorações e habilidades de codificação, mas também a
capacidade de descobrir e tirar proveito de vulnerabilidades até então desconhecidas;
Persistente: as ameaças persistentes avançadas frequentemente ocorrem por um período prolongado. Diferentemente dos ataques de curta duração que tiram proveito de oportunidades temporárias, as ameaças persistentes avançadas podem durar anos. Vários vetores de ataque podem ser usados, desde ataques pela Internet até
engenharia social. Pequenas violações de segurança podem ser combinadas com o tempo para obtenção de acesso a dados mais significativos;
Ameaça: para haver uma ameaça, deve haver um invasor com motivação e capacidade para realizar um ataque bem-sucedido.
Não existe uma proteção única para ataques desse tipo. A união de várias tecnologias bem como a conscientização dos colaboradores podem reduzir em muito o risco de ataques do tipo APT serem bem sucedidos (ROMERO, 2012).
O segredo para se defender contra ameaças persistentes avançadas é uma defesa total. Se tiver tempo suficiente, um invasor determinado conseguirá violar a maioria dos perímetros de rede. Uma defesa bem-sucedida irá (MILLER, 2012):
Dificultar a penetração inicial;
Reduzir o potencial para escalonamento de privilégios, caso uma conta seja comprometida;
Limitar o dano que pode ser infligido por uma conta comprometida, mesmo que seja privilegiada;
Detectar contas comprometidas e atividades suspeitas logo no início; e
Reunir informações úteis para uma investigação pericial, a fim de que se possa determinar que danos ocorreram, quando e por quem.
Estes métodos de exploração utilizam uma grande variedade de técnicas e são
diariamente renovados e personalizados para alvos específicos, que tornam o APT um ataque de difícil identificação e de grande preocupação para as organizações.
2.8 FORENSE COMPUTACIONAL
Esta seção aborda o tema da forense computacional, englobando sua parte jurídica e suas metodologias.
É a preservação, identificação, extração, documentação e interpretação dos meios relacionados ao computador para a análise da causa raiz e/ou das evidências. Como mostra a figura abaixo, as fases de um processo de investigação:
Figura 06: Etapas de Investigação
Reproduzida de: QUEIROZ (2007).
Este tema vem ganhando destaque, pois há um grande aumento no roubo de informações digitais, que são auxiliados por métodos e ferramentas que tornam possíveis eliminar evidências que possam servir de prova.
2.8.1 INTRODUZINDO A FORENSE
É a aplicação de técnicas cientificas que dão auxílio nas investigações, usadas para localizar provas e incriminar possíveis suspeitos.
Para Bustamante (2006) “a computação forense pode ser definida como uma coleção e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento de forma que sejam admitidas em juízo”.
Segundo Queiroz (2007; p. 3/4):
A Forense Computacional foi criada com o objetivo de suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional..
Conforme Madeira (2012, p. 25):
Existem várias medidas de segurança que uma empresa pode empregar para preservar seu ambiente computacional ao acesso indevido. No entanto, mesmo quando bem empregadas, é difícil que em algum momento uma brecha não seja explorada. Quando isso acontece, o incidente tem de ser analisado para que contramedidas sejam empregadas, ou seja, a partir da análise do incidente, criar uma ambiente mais seguro.
A forense computacional tem como objetivo suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas, através da utilização de métodos científicos e sistemáticos, para que essas informações passem a serem caracterizadas como evidências e, posteriormente, como provas legais de fato.
É apresentado na figura a seguir, uma estrutura hierárquica que é separada em dois níveis de classes, aspectos legais e aspectos técnicos (Ubrich e Valle, 2005, apud Vargas, 2007):
Figura 07: Estrutura Hierárquica
Reproduzida de: Vargas (2007).
Na classe dos Aspectos Legais encontram-se as exigências legais, baseadas na área de Direito, às quais devem estar sujeitos os procedimentos periciais. Já a classe dos Aspectos Técnicos corresponde às questões práticas da área computacional (Vargas, 2007).
Para que não se infrinja a lei, existe a necessidade de trabalhar com os dois níveis em conjunto.
O fato de a informação ser um bem de maior valor em uma organização faz com que seja de grande importância para as empresas ter uma visão estratégica para identificar os fatores que influenciam diretamente o processo de análise, alcançando os objetivos esperados.
Há diversos fatores que estimulam uma visão estratégica da forense para as empresas. Alguns deles são (NG, 2007):
motivadores: são os principais responsáveis quando uma organização pensa em definir ou iniciar um processo de análise forense;
planejamento: é o processo que visa a determinar a direção a ser seguida para alcançar o resultado esperado;
custos de análise: muitos fatores podem influenciar os custos, como o tempo de análise e/ou a qualidade resultados.
2.8.2 Implicações Legais
É fundamental existir um embasamento jurídico para garantir que a realização de qualquer processo de análise forense dentro de uma organização, seja documentado e validado legalmente.
Ng (2007, p. 59) afirma que:
Toda atividade e procedimentos devem ser documentados, e esta documentação deve ser feita com cuidado e de forma detalhada, pois é a forma de garantir que todas as atividades foram realizadas de uma forma válida, para não gerar dúvidas quanto aos mesmos e, consequentemente, invalidar evidências no caso de um julgamento.
Não são somente as grandes empresas que estão em risco. Qualquer organização, mesmo as pequenas, de qualquer tipo de ramo, é um potencial alvo. Por isso, é necessário que as empresas contratem especialistas forenses, pois, os mesmos possuem conhecimento a respeito da legislação e os procedimentos a serem seguidos.
Segundo Guimarães et al. (2001; p. 3/4):
No Brasil não existem normas específicas que regem a forense computacional, contudo existem normas gerais que abrangem todos os tipos de perícia (ditadas no Código de Processo Penal), podendo ser adotadas no âmbito computacional, salvo algumas peculiaridades.
Com isso, o perito deve seguir à risca as normas contidas no Código de Processo Penal, dentre elas pode-se destacar duas para exemplificar a sua possível abordagem computacional (GUIMARÃES, 2001; p. 3/4):
Art. 170: “Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas.”;
Art. 171: “Nos crimes cometidos com destruição ou rompimento de obstáculo a
subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado.”
Para a primeira norma, sempre é possível fazer cópias digitais das mídias que estão sendo investigadas para que possam ser usadas futuramente caso necessário. Já para a segunda, é sempre necessário documentar tudo o que é feito na análise como as ferramentas de software utilizadas e identificar uma linha de tempo da época dos fatos.
“Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletrônica enquanto não se tem uma padronização das metodologias de análise forense.” (GUIMARÃES et al., 2001).
Desta forma é importante sempre seguir a politica de segurança. Ao invadir um sistema e/ou analisar dados de um suspeito, deve-se tomar muito cuidado, pois sem uma ordem judicial, o perito pode ser indiciado criminalmente por invasão de privacidade.
2.8.3 Metodologia Forense para Obtenção de Evidencias
Atualmente, o aumento na capacidade de armazenamento de dados e dos crimes cibernéticos, é muito grande em relação ao número de peritos, dificultando a obtenção de evidências.
“As evidências são peças utilizadas por advogados nos tribunais e cortes do mundo inteiro, mas para que sejam consideradas provas válidas é muito importante que o perito realize o processo de investigação de maneira cuidadosa e sistemática” (PEREIRA et al., 2007, p. 17). Desta forma, as mesmas devem ser preservadas e documentadas.
O propósito do exame forense é a extração de informações de qualquer vestígio relacionado ao caso investigado, que permitam a formulação de conclusões acerca da infração (PINHEIRO, 2007).
Para a aquisição de dados, é importante também, estabelecer padrões. Os padrões metodológicos seguem o princípio de que todas as organizações que lidam com a
investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidencias (PINHEIRO, 2009).
De acordo com Adams (2000, apud Vargas, 2007), atualmente já existem padrões metodológicos bem definidos e desenvolvidos pelo SWGDE (Scientific Working Group on Digital Evidence), que é o representante norte-americano na International Organization on Computer Evidence (IOCE). Tais padrões foram apresentados durante a International Hi-Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro de 1999.
Conforme Vargas (2007), esses padrões seguem o princípio de que todas as organizações que lidam com a investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidências.
Ainda afirma que, esse nível de qualidade pode ser atingido através da elaboração de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica internacional.
Para Vacca (2005, tradução nossa), existem cinco propriedades que a evidência deve ter para ser útil:
aceitável: é a regra básica. A evidência deve ser capaz de ser usada no tribunal ou de outra forma;
autêntica: a evidência deve estar relacionada ao crime;
completa: a evidência não deve mostrar só uma perspectiva do incidente;
confiável: os procedimentos de coleta e da análise não devem deixar dúvida da autenticidade e da veracidade da evidência;
acreditável: a evidência, que vai ser apresentada deve ser claramente compreensível e acreditável para o júri.
É importante registrar a localização da cena, as condições dos aparelhos eletrônicos que o perito esta analisando e realizar a documentação detalhada do processo, utilizando vídeo, fotografia e anotações para que possam ser transmitidos os detalhes da cena.
Ainda, Vacca (2005, tradução nossa) diz que, quando se coleta e analisa uma evidência, há quatro procedimentos gerais que se deve seguir: identificação, preservação, análise e apresentação da evidência.
2.8.3.1 Obtenção e Coleta de Dados
É onde se inicia a investigação, sendo definidas estratégias para chegar ao resultado esperado, encontrar evidências.
Segundo Vargas (2007), os procedimentos adotados na coleta devem ser formais, seguindo metodologias e padrões de como se obter provas para apresentação judicial, como um checklist, de acordo com as normas internacionais de padronização.
Ainda afirma que (2007; p. 1) na hora da identificação dos dados:
É extremamente necessário saber separar os fatos dos fatores, que possam vir a influenciar ou não um crime, para estabelecer uma correlação na qual se faz um levantamento das ligações relevantes como datas, nomes de pessoas, autarquias, etc, dentre as quais foi estabelecida a comunicação eletrônica.
Deve-se ter conhecimento do sistema que será manipulado, utilizar as ferramentas certas para coletar as evidências, de modo que não sejam tomadas ações precipitadas, garantindo a integridade dos dados.
Buscar por vestígios de um crime em um sistema computacional consiste em uma varredura minuciosa nas informações que estão armazenadas nele. A análise dessas informações passa pelos dispositivos de armazenamento de massa até a memória volátil (REIS & GEUS, 2001, apud CLEMENTE, 2009).
Para Cansian (2000; p. 141/156), “é importante sempre fazer a coleta de dados de acordo com a ordem de maior volatilidade para a de menor, dos elementos mais utilizados”:
registros de memória periférica, cache;
memória principal;
estado da rede, rotas, interfaces;
processos em execução;
discos e partições;
fitas, disquetes e outros meios magnéticos;
Outra forma de obter evidências é remotamente, utilizando outro computador para acessar o equipamento que está sendo analisado.
Há, também, casos em que os dados adquiridos estão fora do local físico da
investigação, como por exemplo, provedores de internet ou servidores cooperativos. Nessa situação, um mandato judicial é necessário para a realização da obtenção das informações (PEREIRA et al., 2007).
2.8.3.2 Preservação
Será necessária a utilização de ferramentas apropriadas e de confiança do perito para que as evidências coletadas sejam preservadas o mais próximo possível do seu estado original. Qualquer tipo de alteração ou manipulação de uma evidência, esta perde o seu valor, sendo descartada pelo perito.
Um perito Forense Computacional experiente, de acordo com Kerr (2001, apud Vargas, 2007; p. 1):
Terá de ter certeza de que uma evidência extraída deverá ser adequadamente manuseada e protegida para se assegurar de que nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos maus procedimentos usados na investigação e que nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense.
Com isso, Freitas (2006; p. 8/10), lista alguns exemplos de procedimentos para a preservação dos dados:
“Inicialmente, devem-se criar imagens do sistema investigado, para que as potenciais provas possam ser posteriormente analisadas”;
“Se o caso necessitar de uma análise ao vivo, salvar as evidências em dispositivos e bloqueá-los contra regravação”;
“Todas as evidências deverão ser lacradas em sacos e etiquetadas”;
“A etiqueta deverá conter um número para a identificação das evidências, o número do caso, a data e o horário em que a evidência foi coletada e o nome da pessoa que a está levando para a custódia, além do nome de quem coletou essas evidências”;
“Etiquetar todos os cabos e componentes do computador, para que, depois, possam ser montados corretamente quando chegar ao laboratório”;
“Os HDs deverão ser armazenados em sacos antiestática, para evitar danos e, também, para que os dados não sejam corrompidos”;
“Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto, sujeira, calor excessivo, eletricidade e estática”;
“Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e trancadas para evitar a adulteração até o momento em que poderão ser examinadas e analisadas”;
“Todas as mudanças feitas durante essa fase deverão ser documentadas e justificadas (cadeia de custódia)”.
Na cadeia de custódia, é informado onde as evidências estavam em certo momento e quem era o responsável por elas durante a perícia (Freitas, 2006).
As provas digitais devem ser manuseadas com cuidado para preservar a integridade do dispositivo físico, bem como os dados que ele contém. “Algumas evidências requerem coleta especial, embalagem, transporte e técnicas. Os dados podem ser danificados ou alterados por campos eletromagnéticos como os gerados pela eletricidade estática, ímãs, transmissores de rádio e outros dispositivos.” (U.S. Departament of Justice, 2001, p. 21, tradução nossa). Seguindo estas precauções citadas, os incidentes tendem a diminuir, e a preservação dos dados executada de forma correta.
2.8.3.3 Análise
A análise forense computacional necessita de diversas ferramentas que ajudarão o investigador a coletar, documentar, preservar e processar as informações coletadas no sistema investigativo (HOLPERIN et al. 2007).
Na concepção de Kerr (2001, apud Vargas, 2007), a análise será a pesquisa propriamente dita, onde o investigador se detém especificamente nos elementos relevantes ao caso em questão, pois todos os filtros de camadas de informação anteriores já foram transpostos.
