Computao forense
5
FACULDADE DE JUAZEIRO DO NORTECURSO DE SISTEMAS DE INFORMAO
MARCELO SANTANA SANTOS DE MELO
USO DE TCNICAS PARA TER EFICICIA NO PROCESSO DE ANLISE EM
COMPUTAO FORENSE COM MDIAS SSD REMOVVEIS ULTILIZANDO FERRAMENTAS
OPEN SOURCE
JUAZEIRO DO NORTE CE
2014FACULDADE DE JUAZEIRO DO NORTECURSO DE SISTEMAS DE
INFORMAO
MARCELO SANTANA SANTOS DE MELO
USO DE TCNICAS PARA TER EFICINCIA NO PROCESSO DE ANLISE EM
COMPUTAO FORENSE COM MDIAS SSD REMOVVEIS UTILIZANDO FERRAMENTAS
OPEN SOURCE
Monografia apresentada ao curso de Sistema de Informao para a
obteno do Grau de Bacharel em Sistemas de Informao.
Orientado por: Cicero Woshington S. Leite
JUAZEIRO DO NORTE2014FACULDADE DE JUAZEIR DO NORTESISTEMAS DE
INFORMAO
MARCELO SANTANA SANTOS DE MELO
USO DE TCNICAS PARA TER EFICINCIA NO PROCESSO DE ANLISE EM
COMPUTAO FORENSE COM MDIAS SSD REMOVVEIS, UTILIZANDO FERRAMENTAS
OPEN SOURCE
Esta Monografia foi julgada adequada para a obteno do Grau de
bacharelado, e aprovada na sua forma final pela Faculdade de
Juazeiro do Norte
Data: ____/____/____
Nota: _____________
________________________________________________Prof. Msc Cicero
Woshington S. LeiteOrientadoror FJN
__________________________________________________Prof Cicero
Samuel Clemente RodriguesAvaliador - FJN
__________________________________________________Prof. Msc.
Isydrio Alves DonatoAvaliador - FJN
JUAZEIRO DO NORTE - CE2014
Autorizao para Publicao Eletrnica de Trabalhos Acadmicos
Na qualidade de titular dos direitos autorais do trabalho
citado, em consonncia com a Lei n 9610/98, autorizo a Faculdade de
Juazeiro do norte disponibilizar gratuitamente em sua Biblioteca
Digital, e por meios eletrnicos, em particular pela Internet,
extrair cpia sem ressarcimento dos direitos autorais, o referido
documento de minha autoria, para leitura, impresso e/ou download,
conforme permisso concedida.
AGRADECIMENTOS
A Deus primeiramente, e a minha famlia que me deram apoio em
todo o decorrer do curso, deste o primeiro semestre at este
momento. Ao orientador professor Cicero Woshington S. Leite, que
teve muita pacincia nas correes dos erros de ortografia e
concordncia, tambm ajudou a chegar no devido objetivo, assim
conseguindo atingir o termino do trabalho.Quero agradecer a minha
esposa Elaine Avelino Sato de Melo que teve muita pacincia comigo,
no decorrer do curso, me apoiando nos momentos difceis, ajudando no
desenvolvimento do trabalho lendo o mesmo e vendo os erros.E por
ltimo aos professores do curso de sistema de informao que me
ajudaram a adquirir o conhecimento necessrio para a elaborao do
trabalho e vida profissional.
RESUMO
Nos ltimos anos foi grande o crescimento da populao brasileira
que passou a ter acesso aos sistemas de informao. Dados do IBGE
(Instituto Brasileiro de Geografia e Estatstica) expem um aumento
significativo de pessoas que passaram a ter acesso a tecnologia
como smartphone, tablet e dispositivos que possibilitam
armazenamentos em SSD (sigla em ingls solid-state-drive) removveis
ou no.Assim com a demanda crescente, isto ir implicar no aumentar
da quantidade de dispositivos com forma de armazenamento SSD
(SOLID-STATE DRIVE) para a anlise forense. Cabe o perito o uso de
uma ou mais tcnicas na resoluo dos processos criminais na rea da
computao forense, motivando o perito a chegar a um resultado mais
abrangente e eficiente.Este trabalho consiste em analisar sistemas
operacionais, que em sua plataforma sejam open source, onde tenham
suporte para computao forense. Feito a escolha do sistema caber
anlise de ferramentas contidas no sistema operacional, e adequadas
para cada fase da percia computacional forense. Com a as
ferramentas escolhidas ter por meio de estudos os resultados em
forma de quadros, e por expor o que foi feito no trabalho.
Palavras-Chaves: Anlise; Forense; SSD; Ferramentas; Perito;
Percia.
ABSTRACT
In recent years has been large growth in the population who had
access to information systems. Data from the IBGE (Brazilian
Institute of Geography and Statistics) 2011 expose a significant
increase in people who now have access to technology like
smartphone, and tablet devices that allow storage on SSD
(abbreviation solid-state drive) removable or not.Therefore, with
the growing demand, this will imply the increase of the number of
devices with storage form SSD (SOLID-STATE DRIVE) for forensic
analysis. Expert fit using one or more techniques in solving
criminal cases in the area of computer forensics, prompting experts
to arrive at a more comprehensive and efficient outcome.This work
consists of analyzing operating systems, which in its open platform
source where they have support for computer forensics are. Made the
choice of system will fit analysis tools contained in the operating
system, and appropriate for each phase of forensic computer
expertise. With the chosen tools will through studies results in
form of tables and for exposing what has been done at work.
Keywords: Analysis; Forensic; SSD; Tools; Expert; Expertise.
SUMRIO
1. INTRODUO42. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS62.1
SISTEMAS OPERACIONAIS62.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX72.3
SEGURANA DE INFORMAO.73. CONCEITOS BASICOS SOBRE FORENSE E
TCNICAS83.1 FORENSE.83.2 COMPUTAO FORENSE.83.3 O PERITO DE COMPUTAO
FORENSE.93.4 PROCESSOS E TIPOS ANLISES EM COMPUTAO FORENSE.103.5
FERRAMENTAS E TCNICAS DE APOIO AO PERITO.114. ESTUDOS E TESTES124.1
OBTENO E COLETA DOS DADOS124.1.2 ESCOLHA DO SISTEMA OPERACIONAL
FORENSE134.1.3 ANLISE DE FERRAMENTA GERAO DE IMAGEM174.2 PRESERVAO
E IDENTIFICAO194.3 ANLISE.214.3.1 TCNICAS UTILIZADAS.214.3.2
ESCOLHA DA FERRAMENTA PARA ANLISE.224.4 APRESENTAO DOS
DADOS30CONCLUSO31REFERNCIAS BIBLIOGRFICAS33APNDICE35ANEXO36
LISTA DE FIGURAS
Caine Fonte (http://www.caine-live.net/)13DEFT (fonte:
http://www.deftlinux.net/screenshot/).14FDTK (fonte:
http://fdtk.com.br/www/sobre/).15resultado do DD (fonte: Prprio
Autor)18Resultado DCFLDD (fonte: Prprio autor)18Uso do FLS para
listar arquivos na mdia (fonte prprio autor).24FLS resultado na
tela (fonte: Prprio autor)24Usando a ferramenta Icat para recuperao
de dados (fonte: prprio autor).25Tela inicial do Autopsy
(fonte:http://www.sleuthkit.org.autopsy).26Pagina de analise
Autopsy (fonte: prprio autor).27DFF Tela inicial (fonte: prprio
autor).28Tela de dados DFF (fonte: prprio autor).29
LISTA DE SMBOLOS, ABREVEAES E NOMECLATURAS.
ASCII ------- AMERICAN STANDARD CODE FOR INFORMATION
INTERCHANGECAINE ----- COMPUTER AIDED INVESTIGATIVE ENVIRONMENTCPP
---------- CDIGO DE PROCESSO PENALDCFLDD --- DEFENSE COMPUTER
FORENSICS LAB DATA DUPLICATIONDD ----------- DATA
DUPLICATIONDART-------- DIGITAL ADVANCED RESPONSE
TOOLKITDEFT---------- DIGITAL EVIDENCE & FORENSIC TOOLKITDFF
---------- DIGITAL FORENSICS FRAMEWORKFAT ---------- FILE
ALLOCATION TABLEHDD --------- HARD DISK DRIVEMB -----------
MEGABYTENTFS -------- NEW TECHNPLOGY FIRME SYSTEMPC ------------
PERSONAL COMPUTERSSD ---------- SOLID-STATE DRIVETCC ---------
TRABALHO DE COMCLUSO DE CURSOUDF ---------- UNIVERSAL DISK
FORMAT
1. INTRODUO
Nos ltimos anos foi grande o crescimento da populao brasileira
que passou a ter acesso aos sistemas de informao. Dados do IBGE
(Instituto Brasileiro de Geografia e Estatstica) de 2011 expem um
aumento significativo de pessoas que passaram a ter acesso a
tecnologia como smartphone, tablet e dispositivos que possibilitam
armazenamentos em SSD (sigla em ingls solid-state-drive) removveis
ou no. Informaes do site de um fabricante em equipamentos HDD (Hard
Disk Driver) e SSD mostram quantitativamente esta afirmao, em que a
IDC (International Data Corporation) prev um crescimento nas vendas
dos dispositivos SSD (SOLID-STATE DRIVE) em 51% entre os anos de
2010 a 2015.A informtica pode ser usada como ferramenta de
trabalho, lazer ou tambm para auxiliar crimes como pedofilia. Ou
seja, constantemente em reportagens nos jornais, uma pessoa no
precisa ter total conhecimento para usar esta tecnologia para o bem
ou mal Assim com a demanda crescente, isto ir implicar no aumentar
da quantidade de dispositivos com forma de armazenamento SSD
(SOLID-STATE DRIVE) para a anlise forense. Cabe ao perito decidir
pelo uso de uma ou mais tcnicas na resoluo dos processos criminais
na rea da computao forense, motivando o perito a chegar a um
resultado mais abrangente e preciso.Para efetuar um processo de
investigao em computao forense deve-se seguir uma srie de etapas
nos quais segundo (MARTINELLI, VICTOR 2013) so. Obteno e coleta de
dados; preservao; identificao; anlise e apresentao.Todas as fases
obrigatoriamente so seguidas em sequncia, e sero documentados os
resultados de cada umas das etapas.O objetivo deste trabalho
consiste em analisar um conjunto de ferramentas e sistemas
operacionais nos quais todos sejam open source, e que no fim tragam
um resultado final eficiente, de acordo a cada diferente etapa
exigida na computao forense.Os objetivos especficos consistem em
obter ferramentas contidas nos sistemas operacionais baseado na
computao forense para suprir com cada uma das fases do exame
forense, tendo em foco a eficincia nos resultados. Ser feito
comparaes entre as ferramentas que melhor auxiliem na obteno e
coleta, preservao, identificao, anlise dos dados no fim tendo
apresentao dos dados de forma quantitativa descritiva.
Com a obteno dos resultados ser feito um estudo de caso usando
cada ferramenta. Relacionando o tipo de crime e tcnica utilizada
para o exposio dos dados. Com o recolhimento de referncias
bibliogrficas teremos o estudo de tcnicas diferentes para cada um
dos tipos de exames em computao forense. Tendo o estudo de cada
ferramenta como por exemplo: uma que faa a imagem de mdias SSD
(solid-state-drive) sendo ela DD (Data Duplication) e comparando
com a DCFLDD (Defense Computer Forensics LAB Data Duplication).
Dando como resultado, qual ferramenta melhor faz preservao dos
dados e menor tempo ou com resultados mais precisos. Assim
coletando dados para auxilio nas fases subsequentes.A organizao
deste trabalho consiste da seguinte forma: No Segundo e terceiro
captulos apresentam estudos bibliogrficos sobre o contedo
destacado, onde o segundo mostra os conceitos bsicos de sistemas
computacionais e o terceiro sobre os conceitos bsicos de computao
forense. O quarto captulo deste trabalho apresenta um estudo de
caso completo, juntamente com os estudos de caso, fazendo os testes
para resultar na soluo do problema.Por fim vem a concluso do que
foi feito em todo o trabalho, seguido dos trabalhos futuros,
referencias, apndice e anexo.
[footnoteRef:1] [1: O foco deste trabalho so dispositivos de
armazenamentos]
2. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS
Este captulo apresenta o referencial terico sobre dispositivos
de armazenamento. Estrutura de arquivos, aborda brevemente a
estrutura dos sistemas operacionais Linux e Windows, em especial
dos sistemas que so objeto de estudo deste trabalho. Tambm
apresenta uma breve introduo sobre segurana da informao.
2.1 SISTEMAS OPERACIONAIS
Segundo Tanenbaum (2003) Sistema operacional, so programas que
mantm o controle entre o hardware e o software, gerenciando os
componentes de entrada e sada como, memria e discos, fazendo o
gerenciamento da comunicao entre mquina e usurio.Para Oliveira,
Carissimi e Toscani (2010) o sistemas operacionais tem como
objetivo fazer que o computador seja mais eficaz e eficiente em
buscar melhores resultados obtidos pelo hardware.De acordo com
Tanenbaum (2003) a memria RAM (random acess memory) o segundo
principal componente de qualquer computador, pois ela que
responsvel por parte da capacidade de processamento do dispositivo
junto com o processador.Caine (Computer Aided INvestigative
Environment) uma distribuio italiana para anlise ao vivo.
Atualmente est na verso 5.0 juntamente com a verso 12.04 do Sistema
operacional Ubuntu Linux, ele gerenciado por Nanni Bassetti (LEHR,
2014).DEFT (Digital Evidence & Forensic Toolkit) uma distribuio
usada para anlise em computao forense, baseado no GNU Linux.
Atualmente est na verso 8.2, lanado em agosto de 2014. (FRATEPIETRO
e ROSSETTI, 2012)FTDK O projeto FDTK-UbuntuBr uma distribuio Linux
criada a partir da j consagrada distribuio Ubuntu, e rene mais de
100 ferramentas capazes de atender a todas as etapas de um
investigao em Forense Computacional, oferecendo a possiblidade de
ser utilizada como Live CD e tambm ser instalada em um equipamento
transformando-o em uma estao Forense. Essa distribuio est em
constante desenvolvimento e caracteriza-se no apenas pela
quantidade de ferramentas, mas tambm por uma interface amigvel,
estruturada conforme as etapas do processo de percia e, ainda pela
preocupao por ser distribuda no idioma portugus. (Disponvel em
(http://fdtk.com.br/www/sobre/ acesso 17 setembro 2014).
2.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX
O Windows pode ler at quatro tipo de sistemas arquivos ele so,
FAT, NTFS, UDF CDFS para cada uns deles a organizao por diretrio em
que esta os arquivos, para a nomenclatura da partio do disco
(Diviso unidade de Disco) a atribudo uma letra a partir da
consoante C (MACHADO, 2007).Diretrio conjunto de referncias para
encontrar arquivos que so um conjunto de dados, nele existem
informaes aonde algum usurio colocou por algum motivo (OLIVEIRA,
2010).No Linux os sistemas de arquivos formado por blocos,
diretrios e sub diretrios, no a atribuio de letras para unidade de
disco, mais sim caminho de diretrios, exemplificado para o Linux o
caminho /dev/sda equivale a uma unidade de disco (NEMENTH,
2007).Segundo Tanenbaum (2003) o inode representa o apontador de um
bloco em um setor no disco, serve para dar acesso ao determinado
arquivos sendo representado por nmeros.
2.3 SEGURANA DE INFORMAO.
A informao dever conter confiabilidade, integridade e
disponibilidade, aonde confiabilidade esta quando ele s acessvel
por autorizao, integral quando no h erros e disponvel para quem
tenha acesso a mesma. (COSTA, 2010).Conforme Marcacini (2010) Hash
Code so sequncias de bits representados por um algoritmo, no que
retorna uma chave criptografada (Informao no legvel), trs exemplos
de Hash MD4, MD5, e SHA-1.De acordo Eleutrio (2010) a funo do Hash
garantir a legitimidade da informao, pois ele responsvel para
mostrar, a partir de algoritmos, se a imagem gerada de uma mdia
igual a outra ou no.De acordo com Costa (2011), prova digital a
informao apresentada em binrio como prova do crime, mdia digital o
dispositivo original obtido na coleta e duplicao pericial a cpia
precisa da mdia coletada para anlise.
3. CONCEITOS BASICOS SOBRE FORENSE E TCNICAS
Para compreender o trabalho proposto no projeto, e a sua
contribuio, um estudo em todos os pr-requisitos obrigatrio, e quais
as ferramentas utilizadas no trabalho. Neste captulo estaremos
apresentando os conceitos bsicos de forense, e quais reas so
utilizadas. Dar uma abordagem em crime de informtica, qual legislao
aplicada, sistemas operacionais com ferramentas forense, tipos de
anlises tcnicas relacionadas para cada caso de investigao, e por
fim os mtodos usados.
3.1 FORENSE.
Segundo Chamello (2006) a cincia forense atuante em vrias
disciplinas como, qumica, biologia, matemtica, computao, telefonia,
entre algumas outras, para ter como objetivo, a contribuio em
anlise civil e criminal. J Martinelli (apud SAFERTEIN 2001) em
resumo, a forense est na aplicao das reas da cincia de acordo com a
lei.
3.2 COMPUTAO FORENSE.
A computao forense analisa o homem no uso de equipamentos
eletrnicos computacionais, nos quais envolvam dados relativos ao
seu crime, estes dados podem ser utilizados no meio ou fim como
prova judicial, assim se tornando um laudo tcnico pericial judicial
(COSTA,2011). Portanto, a computao forense tem como objetivo
principal determinar a dinmica, a materialidade e autoria dos fatos
ilcitos ligados rea de informtica, tendo como questo principal a
identificao e o processamentos de evidncias digitais, em provas
cientficas, conferindo-lhe validade probatria em juzo (ELEUTRIO,
2010).Segundo Mello (2007), o crime de informtica todo aquele
procedimento que atenta contra os dados, que faz na forma em que
estejam armazenados, compilados, transmissveis ou em
transmisso.Para Eleutrio (apud CROCE 2010) pedofilia o desvio
sexual caracterizado pela atrao por crianas ou adolescentes
sexualmente imaturos, com os quais os portadores do vazo ao
erotismo pela prtica de obscenidades ou de ato libidinosos.Conforme
NG (2007), no Brasil no existem normas especficas para crimes
virtuais. Os aspectos legislativos esto em discusso desde 1995.
Um fator desafiador que apresenta o prprio campo jurdico. No
existem normas especificas para enquadrar certos delitos que
ocorrem neste grande mundo virtual, sem contar as aes realizadas em
jurisdies internacionais, que dependem de acordos entre os pases
envolvidos. (NG, 2007, p60).
Segundo Eleutrio (2010, p.16), o cdigo de processo penal (CPP)
determina em seu artigo 158 que: Quando a infrao deixar vestgios,
ser indispensvel o exame de corpo de delito, direto ou indireto, no
podendo supri-lo a confisso do acusado.
Os principais exames forenses em informticas so: Exames e
procedimentos em de crime de informtica, Exames em dispositivos de
armazenamentos computacional CD, DVD, PEN DRIVES E HD, exames em
aparelhos de telefonia, exames em sites de internet e exames em
mensagens eletrnicas (e-mails) (ELEUTRIO, 2010, p19).
3.3 O PERITO DE COMPUTAO FORENSE.
Conforme Mota Filho (2014) para ser perito em forense deve ser
paciente, detalhista, ser especialista em sistemas operacionais e
file systems (sistemas de arquivos), ser conhecedor de vrias
ferramentas para anlise pericial, estar em constante atualizao e o
imprescindvel, gostar de aprender.J Vargas e Queiroz (2010) o
perito em computao forense tem que ser uma pessoa especializada na
rea computacional, ter pacincia, pois uma anlise pode durar vrios
dias ou meses, ser perceptivo e ter interesse em vrios assuntos,
ter boa escrita e estudar sobre a legislao criminalista.Para
Martinelli, Victor (2013, p, 23):
Dentre as principais atribuies do perito computacional podemos
citar: a identificao de suspeitos e fontes que evidenciam os
ilcitos, obteno e preservao das evidncias digitais anlise de tais
evidncias e a apresentao das mesmas em um relatrio com todas
concluses da anlise - sempre por meio da utilizao de procedimentos
padronizados e aceitos pela comunidade cientfica, com objetivo de
que todas as evidncias sejam aceitas pelos tribunais, servindo como
prova legalmente vlida
O perito no Brasil atuante em cargo pblico como especialista em
tecnologia da informao, nomeado pela polcia federal de acordo com
artigo Lei N 7.270, 10 dezembro 1984 no cdigo civil. Tambm pode
atuar como tcnico nos processos extra jurdicos. (Martinelli,
Victor, 2013).
3.4 PROCESSOS E TIPOS ANLISES EM COMPUTAO FORENSE.
Para Eleutrio (2010), os principais exames em informtica so:
exame feito no local do crime, em dispositivos de armazenamento com
HD e SSD, exames em telefonia e exames feitos em sites de internet
ou acesso nos mesmos.A anlise em dispositivo computacional deve ser
feita por um perito especializado, com certificao na rea indicada,
o caso citado refere-se ao perito em computao forense. Dentre as
atribuies exigidas na legislao brasileira podemos citar as
seguintes: (MARTINELLI, 2013).Em todas as fases de um processo na
computao forense, obrigatoriamente a documentao de todas, tambm
deve ser includa nomes dos equipamentos recolhidos em custdia pelo
perito, forma de manuseio, conter as assinaturas das testemunhas e
do perito (QUEIROZ, CLAUDEMIR, 2010).Para Freitas (2006, p, 2), a
percia forense possui quatro procedimentos bsicos: todas a
evidncias devem ser identificadas, preservadas, analisadas e
apresentadas.J Eleutrio (2010) apresenta as fases desta forma:
preservao, extrao anlise e formalizao dos dados.Martinelli (2013)
cita a existncia de dois tipos de exames, que so os seguintes: live
forensics e post-mortem forensics, onde a primeira se trata da
anlise ao vivo, ou seja, quando o sistema se encontra ainda ligado
no ato da apreenso, e a segunda sendo a coleta e anlise
posteriormente.J Costa (2011), nomeia as anlises como a quente ou
on line, onde feita a coleta dos dados na memria RAM (Random Acess
Memory), com o dispositivo ainda ligado, e a anlise a frio ou off
line, onde faz a apreenso dos equipamentos e feita a extrao dos
dados em laboratrio. Segundo Rosa (2005), para todas as anlises de
dados ou sistemas, deve ser seguido uma ordem ou ciclo para o
processamento das informaes, tendo o devido cuidado para que no
seja feito ou deixe algum registro nos dados originais, isto deve
ser feito com o auxlio de ferramentas de apoio.De Acordo com
Micheloni, Marelli e Eshghi (2012)
Uma unidade de estado slido (SSD) um dispositivo de
armazenamento que incorpora memria de estado slido e emula um disco
rgido para armazenar dados. Porque um SSD emula uma unidade de
disco rgido HD, que normalmente utiliza interfaces de disco rgido e
protocolos, como Parallel ATA, Serial ATA, Serial Attached SCSI e
Fibre Channel e podem facilmente substitu-lo a maioria das aplicaes
da ONU.
3.5 FERRAMENTAS E TCNICAS DE APOIO AO PERITO.
Sleuth Kit um conjunto de ferramentas para anlise forense
computacional, criado e mantido por Brian Carrier. Dentre as
ferramentas esto as seguintes, ILS, BLKLS, FLS, FSSTAT, FFIND,
MACTIME, DISK, STAT e Autopsy, que a interface grfica das
ferramentas anteriores. (CARRIER, 2014).Para MELLO e Sandro (2009),
DD uma ferramenta da distribuio Unix, que tem como principal
objetivo converter mdia em imagem.DCFLDD (DEFENSE COMPUTER
FORENSICS LAB) uma verso melhorada do DD, esta ferramenta tem como
principais utilidades a gerao de imagem em mdia e o clculo de hash
da imagem junto com a mdia no processo, tambm mostra o progresso da
tarefa. (HARBOUR, 2006).MAC TIME a forma abreviada de trs atributos
referente a tempo de acesso em uma arquivo que so: modificao,
acesso e alterao de estados, onde o primeiro a data de modificao, o
seguindo data de acesso e o terceiro data de alterao (MARTINELLI,
2013)Metadados so dados de um arquivo aonde contem data e hora,
sobre acesso e modificao (COSTA, 2011).Busca por palavra-chave um
tipo de tcnica que utiliza cdigo binrio, fazendo pesquisa por
string com o padro ASCII, tendo como vantagens fazer a varredura em
todos os sistemas de arquivos (NG, REYNALDO, 2007).Indicio de
arquivo apagados. Sistemas operacionais no apaga um arquivos, ele
apenas remove sua referncia em um bloco, passando de ocupado para
livre, esta tcnica consiste em localizar os arquivos deletados
nessas referencias (QUEIROZ, 2010).DFF (Digital Forensics
Framework) um distribuio open source para analise em computao
forense em todas a fase de uma percia. (FRATEPIETRO e ROSSETTI,
2012).
4. ESTUDOS E TESTES
Tendo como objetivo a escolha de ferramentas na qual melhor se
adequa a terem eficincia nos processos de anlise em computao
forense, cabe ser feita a diviso das exposies dos dados para cada
uma das fases. Este captulo ser divido de acordo com as fases de
uma percia forense, baseado com o modelo exposto por (MARTINELLI,
2013).O estudo de caso que est sendo abordado, tem como material
evidenciado a extrao de dados em um dispositivo SSD, obtido a
partir de um Tablet, e o crime relacionado para esta percia
enquadrar pedofilia, lembrando que a mdia e os resultados obtidos
no tem nenhuma ligao com um caso real, os mesmos apenas so
referncias para fins acadmicos, assim os dados exposto na ltima
fase no ter valor jurdico. 4.1 OBTENO E COLETA DOS DADOS
Nesta fase d incio a percia digital, estando imprescindvel a
escolha das ferramentas certas, para cada uma das etapas. De acordo
com Eleutrio (2010), o perito deve estar acompanhado por duas
testemunhas que at o fim da percia far parte de todas as etapas, e
tendo as assinaturas na documentao da evidncia.O estudo de caso que
ser proposto na percia, estar sendo feito de modo post-mortem
forensics ou seja os materiais so apreendidos e feito a percia em
laboratrio.A partir de ponto inicia a anlise de qual sistema
operacional forense open source, contm ferramentas bsicas, que
melhor se adqua a anlise digital em casos de pedofilia e, em relao
as tcnicas utilizadas para a resoluo deste tipo de caso. A escolha
dos sistemas operacionais sero realizadas das seguintes formas:
Qual sistema operacional instalvel, live CD e contm ferramentas
para anlise live forensics e post-mortem forensics em todos os
tipos de sistemas de arquivos, e em cada fase da percia, assim no
sendo preciso a instalao de pacotes adicionais; Qual sistema
operacional tem ferramenta para anlise sobre linha do tempo e
recuperao de dados; Qual sistema no faz montagem de unidade SDD de
modo leitura e escrita automaticamente, pois se for feito ser
prejudicado a segunda fase na qual se d a preservao dos dados; Qual
sistema est mais atualizado com o conjunto de ferramentas Sleuth
Kit, que so o conjunto de ferramentas bsicas para percia
digital.
4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE
Os sistemas operacionais foram escolhidos, a partir de matrias
publicadas em fontes da internet, onde so artigos publicados com
amostras das utilidades de cada um dos sistemas. Uma das fontes de
pesquisa, foi de uma publicao no blog de Diego Macedo em 23 de
outubro de 2012, na qual faz um breve resumo dos sistemas
operacionais Caine, DEFT e FTDK. As outras fontes de pesquisa so os
sites da distribuio dos sistemas operacionais expostos. partir
disto, ser feita uma relao do conjunto de ferramentas de cada
sistema operacional pr-instalado, juntamente com a comparao do
requisitos expostos no captulo 4.1. Caine (Computer Aided
Investigative Environment) uma distribuio italiana mais voltada
para a anlise ao vivo, ou seja, em dispositivos ainda ligados.
Baseado no Ubuntu 12.04, sua ltima verso atualizada foi a 5.0.
Figura 1Caine Fonte (http://www.caine-live.net/)
O Caine tem um ambiente agradvel e de fcil operabilidade, as
principais caractersticas deste sistema operacional forense so:
Ter ferramentas acessveis para todas as quatro fases de uma
percia digital; Montagem de mdia por padro em modo s de leitura;
Possuir pacotes adicionais para anlise on line como a ferramenta
Win Ufo utilizada para anlise em sistema operacional Windows.
Sendo feito um resumo sobre o sistema operacional Caine, ele
bastante eficiente para anlise on line, por conter ferramentas
compatveis para vrios sistemas operacionais, sendo eles em
computador ou smartphone, exemplificando Windows, MAC e Linux para
computador e Android, IOS e Blackberry para smartphone. Mas no
fator anlise off line, a instalao do mesmo em alguns modelos de
hardware entra em incompatibilidade.
DEFT (Digital Evidence & Forensic Toolkit)
Figura 2 DEFT (fonte: http://www.deftlinux.net/screenshot/). um
sistema operacional de origem italiana, ambiente grfico de fcil
usabilidade, possui todas a ferramentas bsicas para percia em
computao forense online e off-line, em sistemas operacionais
Windows, Linux, Android, e IOS, dentre as ferramentas esto as
seguintes: Para anlise em Windows o DART (Digital Advanced Response
Toolkit), um conjunto de ferramenta para anlise online, onde possui
recursos como dump de memria, aonde feita a imagem da mesma,
recuperao de dados, antivrus e anlise em rede; No Linux dispe
ferramentas para todas as fases da percia, entre as existentes, o
Autopsy responsvel por anlise de arquivos onde podem serem
utilizadas tcnicas como: Mac time; indcios de arquivos apagados,
esta mesma ferramenta tem suporte para utilizao em Windows; Para
percia em Smartphone o DEFT contm ferramentas que auxiliam no dump
de memria em Iphone, anlise de banco de dados em Android e trfico
de rede.
FDTK (Forense Digital ToolKit).
Figura 3 FDTK (fonte: http://fdtk.com.br/www/sobre/).
Sistema operacional criado por Paulo Neukamp para trabalhado de
concluso, o FDTK se torna diferenciado em dois pontos. O primeiro a
relao das ferramentas instaladas no sistema, elas so divididas de
acordo com cada fase da percia e o segundo ponto, consiste
implementao de um manual em portugus com o passo a passo de cada
uma, assim ajudando na utilizao das tcnicas por usurios
iniciantes.No Sistemas Operacional FDTK disponibiliza para a fase
inicial, um modelo de formulrio cadeia e custdia em formato Excel.
O ponto falho no sistema operacional no conter ferramentas para
anlise em Windows de modo online, e alm disto, a verso UBUNTU 9.04
no atualizada, assim quando a instalao do sistema operacional em
computador mais atual, tende a ser incompatvel com o sistema.
Quadro com os resultados dos requisitos obtidos pelos sistemas
operacionais
CAINEDEFTFDTK
Live CD e INSTALAVEL/FERRAMENTALIVE FORENSICS E POST-MORTEM
FORENSICSSim / Sim/para Windows Win UfoSIM /SIM/ PARA WINDOWS
/DFFSim/ Sim/No
PACOTE SLEUTH KITSim/SimSim /SimSIM/SIM
Montagem SSD Automtico/Leitura ou Manual/EscritaAuto em
leituraNo AutomticoMonta automtico
MAC TIMEMAC TIME Mac Time, FLSMAC TIMR, MACROUBER
Recupera dados PHOTO REC,FORESMOST, FLS
PROTO REC, RECOVER, FORESMOST, FLSRECOVERPROTO REC, FORESMOST,
FLS
Data de atualizao17 janeiro 201410 agosto 201411 julho 2011
Sistema operacionalUBUNTU 12.04UBUNTU 12.04UBUNTU 9.04
Quadro 1 Resultado sistemas operacionais (fonte: prprio
autor).
No quadro 1 expe uma comparao entre os sistemas operacionais
Caine, DEFT e FDTK, aonde os resultados foram os seguinte: Todos os
sistemas operacionais analisados tem opo de instalao e, rodam por
live cd. J na questo ferramenta de anlise em sistema operacional,
sem ser preciso ter da boot pelo live cd, o Caine contm o Win Ufo,
que um pacote de ferramentas para anlise em Windows, caso o PC est
ligado no ato da apreenso. O DEFT disponibiliza o DART que contm
vrias ferramentas voltada para iniciante em uma percia Windows com
o mesmo propsito do Win -Ufo. O FDTK no disponibiliza nenhuma
ferramenta para este tipo de anlise; Caine, DEFT e FDTK contm
instalado Autopsy juntamente Sleuth kit; Montagem de modo automtico
dos trs sistemas operacionais analisados, o FDTK foi o nico que faz
montagem de modo leitura e escrita automtico, assim se for feita
uma percia em um dispositivo a partir da porta USB (Universal
Serial Bus) ter que ser configurado, pois no feito isto, prejudicar
a fase seguinte; Mac Time: todos os sistemas operacionais
analisados vem com ferramenta para anlise de linha do tempo, tcnica
para resoluo de casos como pedofilia. Recuperao de dados: todos tem
vrias ferramentas para recuperao de dados. Atualizao do S.O.: o
Caine e DEFT tem como Ubuntu distribuio GUI 12.04 e verses
atualizadas deste ano da prpria distribuio Caine 5.0 e DEFT 8.2. J
o FDTK est com Ubuntu 9.04 e sua ltima atualizao foi no ano de
2011, com a verso 3.0.
Partindo dos resultados expostos, chega concluso que o DEFT o
sistema operacional forense que ser utilizado para as exposies na
anlise forense computacional, pois ele o que mais se enquadra nos
requisitos definidos. A prxima seo mostra a comparao, que tem como
objetivo definir a melhor ferramenta para obteno e coleta dos
dados.
4.1.3 ANLISE DE FERRAMENTA GERAO DE IMAGEM
Levando em conta a eficincia como objetivo, as ferramentas
analisadas fazem parte do sistema operacional DEFT, deste modo no
perdendo tempo na instalao de ferramentas adicionais. Feito o
levantamento das ferramentas contidas no sistema operacional DEFT
para a gerao de imagem. Disponvel em
http://www.deftlinux.net/doc/EN-deft7.pdf. Acesso em 20 de novembro
de 2014. Foram extradas duas ferramentas para os testes, resultando
em uma que far parte do processo investigativo. As mesmas so DD e
DCFLDD.Seguindo o critrio abaixo, teremos a escolha de uma das duas
ferramentas citadas:1. Ferramenta que tenha sua linha de comandos,
simples e objetiva;2. Tenha preciso na cpia da imagem;3. Ferramenta
com melhor desempenho;4. Seja prtica, ajudando em uma ou mais fases
do processo.Os testes feitos a seguir foram com um tablet, onde o
armazenamento interno SSD. As imagens geradas a partir dele, sero
utilizadas no decorrer do processo, lembrando que os resultados
adquiridos na anlise do dispositivo, no tem nenhuma relao com caso
real, apenas esto sendo feito para fins acadmicos. As configuraes
do dispositivo evidenciado e tambm do computador usado para a
extrao dos dados esto nos apndices A e B.
A figura abaixo mostra a linha de comando bsica, juntamente com
o resultado usando a ferramenta DD para extrao da imagem na mdia
interna do dispositivo.
Figura 4 resultado do DD (fonte: Prprio Autor)O comando time
colocado antes do DD, apresenta o tempo utilizado na gerao da
imagem que foi de 9 minutos e 21 segundos. Seguido do comando dd
if=/dev/sdb onde o dd a ferramenta utilizada e if=/dev/sdb o
caminho que aponta para a mdia SSD, logo aps
of=/dev/root/Desktop/evidence/caso01/ssd_imagem.img que ser aonde
armazenar a imagem coletada.Em seguida foi feita o processo com o
DCFLDD e chegaram no seguinte resultado:
Figura 5 Resultado DCFLDD (fonte: Prprio autor) Foi utilizado o
mesmo dispositivo para a comparao com o DCFLDD, modificando s o
nome da imagem e acrescentando o comando hash=md5,sha1,shal512,
resultando no hash da mdia e imagem ssd_interno.img coletado.Com
isto o quadro de comparao expe os seguintes resultados:
Quadro 2 resultado ferramenta gerao de imagemferramentaLINHA DE
COMANDO SIMPLESPRECISO NA CPIAMELHOR DESEMPENHOPRATICIDADE
ddSIMSIMBAIXOS FAZ IMAGEM
dcflddSIMSIMRAPIDAIMAGEM E HASH
(Fonte: prprio autor).
Os dados expostos na tabela 02, descrevem os critrios definidos
para a escolha da ferramenta de gerao de imagem: Critrio 1 tanto DD
como DCFLDD a linha de comando simples e de fcil aprendizagem;
Critrio 2. J neste caso a ferramenta DD no traz clareza para o
perito na gerao da imagem, pois o processo feito de modo oculto, no
mostrando o decorrer do mesmo, mais partindo do fato preciso o
consta no DD pois o mtodo de cpia bit a bit no entanto o DCFLDD faz
uma gerao de processo da imagem, mostrando a etapa de 8 a 8 mega
bytes at o trmino; Critrio 3. Nesta etapa foi medida a eficincia de
cada ferramenta, fazendo uma comparao de tempo levado para a gerao
da imagem. O DCFLDD teve um desempenho bem mais efetivo com o tempo
de 8 minutos e 46 segundos, aonde alm de coletar a imagem, fez o
clculo do Hash da mdia em md5, sha1 e shal512. J na ferramenta DD o
tempo foi de 9 minutos e 21 segundos para a gerao da imagem e no
foi feito o clculo do hash, pois o DD no d suporte para ser feito
isto na mesma linha de comando; Critrio 4. Por tambm fazer o hash
da mdia, o DCFLDD se sobressai nesta fase, como j foi dito no
critrio 3.
Com o dados obtidos nos quatro critrios, foi chegado a concluso
entre as ferramentas disponveis para gerao de imagem no DEFT, em
que a mais eficiente a DCFLDD, pois ela alm de fazer o bsico e ter
melhor desempenho com tempo de gerao de imagem mais rpida, dar
suporte para clculo de hash podendo ser utilizada em outras fases
do processo. 4.2 PRESERVAO E IDENTIFICAO
Segundo Costa (2011), nesta fase feita a identificao dos dados e
cpia da mesma, documentao de todos os processos, desde o hash
gerado pela imagem, testemunha, perito, os materiais apreendidos do
suspeito e, por fim preenchimento do formulrio de cadeia e custdia
contendo todos os dados expostos. De acordo com Martinelli (2013),
o formulrio de cadeia e custdia no tem padro definido, ele deve
conter os dados relacionados ao tipo de processo analisado.Seguindo
este conceito, foi feita uma modificao no modelo defendido por
Costa (2013), na qual foi usada uma planilha e o preenchimento da
mesma, j com os dados obtidos na fase anterior com os seguintes
campos: Caso Nmero: 001. Pagina N: 1DETALHES DO DISPOSITIVO E MDIA.
Nmero do Item:001. Descrio: Tablet. Fabricante: CCE. Modelo:
Motion.tab Nmero de srie:20080411413fc082DETALHES SOBRE A IMAGEM
DOS DADOS. Data/ Hora: 16 de Setembro de 2014 s 22:41. Criado por:
Marcelo Santana S. de Melo. Mtodo Usado: Ferramenta DCFLDD com Hash
md5, sha1, shal512. Nome da imagem: ssd_imagem1.img. Parte: 3
copias. Driver: SSD 5.1 GB / 5117050880 Setores.
Hash:(md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676.
(sha512):fd61446c2cfd92e511f6bdbf8cf9a4626189e95b3c2a744f3289e8fc211e57300cc36d107b46abe59b68e38a51b0dbd4c7133d1f547e7843fbe7e106205e1a19.
No formulrio ainda existem os campos de cadeia e custdia, onde
se colocam detalhes como: destino do material apreendido, data e
hora e os participantes do processo de entrega das evidncias. Os
mesmos no foram preenchidos por no se tratar de um processo
investigativo real. O formulrio completo est exposto no Anexo
A.
4.3 ANLISE.
Na fase de anlise o perito deve ter conhecimento de todas as
outras fases anteriores, assim estando apto a escolher qual tcnica
juntamente com a ferramenta adequada utilizar para expor os dados,
na fase seguinte apresentao de dados.
4.3.1 TCNICAS UTILIZADAS.
Segundo Martinelli (2013), em um caso de pedofilia deve analisar
acesso de internet, imagens gravadas do disco e conexes
compartilhadas.As tcnicas utilizadas nestas fases so definidas de
acordo com cada percia especfica, neste caso por se tratar de
pedofilia e a anlise ser de modo post-mortem forensics, em imagem
coletada de mdia SSD, seguiremos as tcnicas expostas por NG (2007),
o que cabe ser analisado so: imagens e vdeos contido no dispositivo
suspeito, utilizando as tcnicas de MAC TIME, indcios de arquivos
apagados e busca binria tipo de pesquisa por palavra chave.MAC TIME
tcnica feita por busca de arquivos mtadados de acordo com o
sistema, onde contm informaes contidas do arquivo como: data, hora
em que foi criado, aberto, modificado e acessado, os nomes dados
para cada tempo de acesso a um arquivos mtadado so
respectivamente:Mtime (modification time) hora em que o contedo
sofre modificao, atime (access time) ltima hora que arquivo foi
aberto e ctime (Change time), mostra hora em que os registos do
arquivo foi modificado no caso permisses (COSTA, 2011). Este nomes
so dados para sistemas de arquivos Unix, no caso de Windows o ctime
no e considerado como alterao mais sim como uma criao de um
arquivo.Indcio de arquivos apagados, consiste na tcnica de busca em
arquivos que foram deletados, ao caso do suspeito j tenha deletados
contedos que os considerem ilcitos.Busca binria consiste em uma
tcnica utilizada com tipo de expresses regulares (GREP), onde o
perito tem uma experincia sobre o caso especfico, para que saiba
fazer a escolha das palavras certas. Por exemplo: em um caso de
pedofilia, as palavras chaves tendem a serem extenses de arquivos
como imagem ou vdeos, s tendo uma problemtica, se esta busca for
feita em uma unidade de um sistema operacional, aonde tem vrios
arquivos de sistemas com estas extenses, o perito cabe a fazer duas
listas de busca no por extenses e sim por nomes, uma com palavras
chaves com lista se adequando para o caso especfico abordado e
outras com nomes de arquivos de sistemas onde as a lista so
palavras do caso periciado e a outra consistem em arquivos de
sistemas, com isto o perito obtm uma melhor preciso na busca.
4.3.2 ESCOLHA DA FERRAMENTA PARA ANLISE.
Seguindo as tcnicas expostas no sub captulo 4.3.1 na qual so
utilizadas para percia computacional em casos como pedofilia,
sonegao fiscal entre outros, agora cabe ser feita a anlise com a
ferramenta que traga mais eficincia nesta etapa. Assim dados os
requisitos obrigatrios para a escolha da mesma, a partir das
tcnicas abordadas em que os requisitos so:
Requisito 1: Ferramenta que tenha suporte para anlise Mac Time;
Requisito 2: Ferramenta que possa fazer anlise por busca binaria;
Requisito 3: Ferramenta que faa recuperao de indcios em arquivos
apagados; Requisito 4: Ferramenta que tenha suporte para anlise em
vrios sistemas operacionais; Requisito 5: Ferramenta que traga
melhor eficincia para o perito em seu ambiente, tendo a diminuio do
tempo de anlise para o mesmo.
Com base nestes requisitos e o manual do DEFT sistema
operacional utilizado no trabalho, foi escolhido ferramentas para
as comparaes dos dados, correlacionando as tcnicas utilizadas na
percia forense computacional, assim para que no trmino do estudo
chegue escolha de uma ou mais ferramentas, e por fim trazendo um
resultado eficiente. Os resultados extrados pela ferramentas
escolhida contar na prxima fase apresentao de dados.
As ferramentas escolhidas para o estudo de caso foram o Autopsy
interface grfica do pacote sleuth kit e o DFF (DIGITAL FORENSICS
FRAMEWORK). A escolha destas ferramentas foi com base aos
requisitos abordados, em que elas do suporte para anlise nos
sistemas operacionais Windows e Linux. A seguir se dar um resumo
das funcionalidades de cada ferramenta e suas utilidades,
posteriormente caber os teste juntamente com a comparao detalhada
de cada funo correlacionando com os requisitos focados.Autopsy -
Mdulo com interface grfica do pacote digital forense sleuth kit,
contm todas as ferramentas do pacote para anlise, juntamente com a
opo de exportar o laudo em qualquer etapa da percia. A descrio de
algumas ferramenta do sleuth kit junto com as funes esto disponvel
em http://www.sleuthkit.org/sleuthkit/man, as mesmas so executadas
pelo Autopsy ou separadamente em modo texto.
Blkcalc faz correo de dados binrios em unidades com problema, ou
seja: ele corrige erros de uma unidade j com problema a partir de
outra em perfeito estado; Blkcat apresenta contedo em unidade;
Blkls faz a listagem dos arquivos de uma unidade em disco ou
imagem; Blkstat mostra detalhes como, setor e os sistemas de
arquivos; FCAT faz busca de contedo por nome; Ffind faz uma
verificao a partir do inode; Fls lista arquivo de uma unidade ou
imagem, apagados ou no; Icat busca arquivo com base no inode, esta
ferramenta pode de usada para recuperao de dados; Mactime
ferramenta para anlise da linha do tempo.
DFF (Digital Forensics Framework), tem uma distribuio open
source, em que disponibiliza ferramentas para anlise em Windows e
Linux para todas as etapas da percia, na mesma constitui
disponibilidade com verso grfica ou por linha de comando. O ponto
falho nesta distribuio est em que, nem todas as ferramentas esto
disponvel na verso grtis, pois o DFF, constitui de trs verses, DFF,
DFF pro e DFF live.A seguir a lista dividida por modulo de
ferramentas disponvel na verso grtis do DFF (Digital Forensics
Framework). Modulo builtins: cd, fg, link, find e history; Modulo
metacam: compoundfile, metaexif e time line; Modulo hash:
ferramenta Hash.
Na verso gratuita no disponibiliza o manual do produto, e no
site a parte de suporte com manuais consiste em manuteno na data
pesquisada 20 de setembro 2014.Para justificar a escolha do Autopsy
e DFF como as ferramentas a serem utilizadas no estudo de caso,
estar a mostra um exemplo de recuperao de dados, utilizando parte
do pacote sleuth kit, est tcnica faz parte do requisito 3,
recuperao de indcios de arquivos apagados.
Figura 6 Uso do FLS para listar arquivos na mdia (fonte prprio
autor).
Na figura 6 mostra um exemplo feito com a ferramenta FLS, para
listar arquivos da mdia utilizada no processo como evidncia, aonde
os resultados obtidos esto gravados em um arquivo com o nome
evidencia_ssd_interno.txt. O comando time mostra o tempo real do
processo, que foi 1 minuto e 12 segundos, fls a ferramenta
utilizada juntamente com o argumento r no qual pede para mostrar
todos os ficheiros existentes, /root/Desktop/case01/ssd_interno.img
determina o local da mdia armazenado seguido de >
/root/Desktop/case01/evidencia_ssd_interno.txt onde grava os dados
obtidos do comando fls r. Nota-se que os resultados obtidos ficam
expostos em um arquivo aparte, assim cabe ao perito analisar os
documento evidencia_ssd_interno.txt. Outro modo ser feita a
visualizao na tela, sem ter que direcionar o resultado para um
documento externo.
Figura 7FLS resultado na tela (fonte: Prprio autor)
A figura 7 mostra o resultado do comando fls r na tela, a seguir
o resumo dos resultados obtidos em uma linha da exposta.
+ r/r as permisses do arquivo; * 263 descreve que o arquivo se
encontra apagado e o inode do mesmo 263; Smdl2tmp1.asec consiste no
arquivo.Agora a fase de recuperao dos dados:
Figura 8 Usando a ferramenta Icat para recuperao de dados
(fonte: prprio autor).Icat uma ferramenta em que faz busca por
referncia a um dado, na figura 8 mostra uma busca pelo arquivo
referenciado no inode 1621, depois salvo com o nome de
IMG_20140815_1807719.jpg.Os exemplos expostos nas figuras 6, 7 e 8
mostram uma forma para recuperao de arquivos apagados sobre linha
de comando, o que se nota nestes exemplos, a necessidade do perito
ter uma vasto conhecimento do caso especificado para se ter xito na
extrao dos dados. Neste caso por se tratar de uma busca cega no
qual cabe uma anlise detalhada. Este fato tende a fazer o processo
de investigao ficar cada vez mais demorada. Por isto que
imprescindvel o uso de uma ferramenta em que tenha um ambiente
flexvel com mais vrias funes disponveis. Com este exemplo se
justifica a escolha do Autosy e DFF para o estudo de caso, pois as
duas tem os requisitos citados.A seguir um detalhamento do processo
de anlise dos dados com a imagem gerada na fase de obteno e coleta
dos dados pelo DCFLDD usando o Autopsy e posteriormente com DFF,
consequentemente se dar a comparao da anlise por meio de tabela, e
por fim o resultado em forma descritiva chegado a escolha de uma
das duas ferramentas. A verso do Autopsy analisada a 2.24, baseada
em web ou seja, todo procedimento executado via navegador web. Na
tela inicial o ambiente bastante simples e objetivo, apresentado as
opes bsicas para o incio da percia.
Figura 9 Tela inicial do Autopsy
(fonte:http://www.sleuthkit.org.autopsy).
No caso abordado a opo desejada new case (novo caso), na tela
seguinte mostra um formulrio simples com enumerado em:1. Nome do
caso: onde se preenche com nome e nmero;2. Descrio do caso3. Os
investigadores do caso, aqui pode colocar o investigador e
testemunha, neste item divide-se em forma alfabtica da vogal a at a
consoante J assim pode ser, relacionada 10 pessoas relacionadas a
percia.Na terceira tela mostra o caminho aonde est armazenado os
dados da percia e te induz a selecionar o investigador e cadastrar
o objeto periciado, ao clicar em add Host temos uma pgina com outro
formulrio aonde a enumerao equivale da seguinte forma:1. Nome do
Host: preenchido com o objeto periciado;2. Discriminao;3. Time
Zone: hora da localidade;4. Timeskew adjustment: Fuso horrio
preenchido de forma numrica;5. Alert Hash Database: opo para
arquivos mos no caso de pesquisa por palavra chave6. Ignore Hash
Database: arquivos bons, caso de pesquisa por palavra chave.Ao
trmino desta etapa vem adicionar a imagem que em seguida colocado o
caminho onde foi gravado a imagem gerada pelo DCFLDD, nesta tela
consiste uma opo, bastante, acessvel, o clculo de hash da imagem
analisada. Com isto pode garantir mais confiabilidade nesta etapa,
pois a comparao do hash gerado na fase inicial com o desta fase
extremamente importante. Ao trmino o software mostra um
detalhadamente o resumo da imagem juntamente com o Hash MD5
calculado.Na fase de anlise o Autopsy contm as opes file analise,
pesquisa por palavra chave.Tipos de arquivos detalhe da imagem,
Meta dados, Data Unit. A figura 10 mostra a anlise da imagem
extrada do objeto periciado no caso, os campos que se apresentam na
cor vermelha consistem em arquivos j no alocados ou seja apagados,
juntamente com o nome do arquivo vem a descrio dos metadados,
criao, modificao e ltimo acesso, depois o nmero do inode em aponta
para o dado.
Figura 10 Pagina de analise Autopsy (fonte: prprio autor).
Com a descrio passo a passo de uma anlise utilizando a
ferramenta Autopsy, percebe-se que esta ferramenta se enquadra em
todos os requisitos determinados no estudo de caso, por ser fcil a
utilizao e contm todas os conjuntos de ferramentas necessria para a
anlise como pedofilia, com a utilizao de tcnicas como: pesquisa por
palavra-chave; indcios de arquivos apagados e Mac time.DFF (Digital
Forensics Framework), em sua verso analisada 1.3.0 para Linux, o
ambiente de trabalho similar do Explorer do Windows. Para a
utilizao desta ferramenta pelo perito em computao forense, deve-se
contm um conhecimento da mesma a partir de manuais, pois a
ferramenta no passa usabilidade no seu ambiente. Ainda descrevendo
o DFF em seu ambiente inicial, h opes de anlise local por unidade
de disco, anlise por imagem, mdulo root e Bookmaks que seriam os
favoritos.
Figura 11DFF Tela inicial (fonte: prprio autor).
Nesta etapa da anlise gerada uma imagem a partir da unidade SSD
do objeto de pesquisa, para isto desse-se utilizar a opo open
evidence localizar o arquivo de mdia e selecionar a opo logical
file, abrindo em forma de rvore os diretrios em que constam os
arquivos da unidade selecionada.
Figura 12 Tela de dados DFF (fonte: prprio autor).
A figura 12 mostra detalhadamente de como se aloca os dados no
ambiente DFF, em que os as colunas com arquivos marcados na cor
vermelho, so arquivos apagados e a coluna da direita os atributos
dos dados metadados do mesmo, na parte superior, aparece um boto
para pesquisa por palavra-chave.Com esta breve descrio observa-se
que o DFF comparado com Autopsy contm as mesma funcionalidade
expostas para a escolha da ferramenta, mais existe uma simples
diferena nas duas, o fator em que o Autopsy ser indutivo assim
trazendo melhor eficincia na utilizao da mesma, pois o passo a
passo do Autopsy se sobressai. Assim o resultado do quadro de
comparao complementar fica desta forma:
MAC TIMEBUSCA BINRIAARQUIVOS APAGADOSVARIOS SISTEMASFCIL
UTILIZAO
AUTOPSYSIMSIMSIMSIMSIM
DFFSIMSIMSIMSIMNO
(Fonte: Prprio autor)
4.4 APRESENTAO DOS DADOS
Esta fase se constitui em expor os dados em uma percia
computacional de forma descritiva, cada perito tem um modelo de
apresentao, ou seja um laudo pericial igual no muito provvel de um
perito a outro (MELLO, 2009).Pr o objetivo deste trabalho ser:
apresentar ferramenta em que tenha maior eficincia nas etapas de
uma percia em computao forense. Esta fase se expem o laudo da
percia, aonde se tornam meramente um exemplo para fins acadmicos
neste caso, j que o objetos anlise no tem valor jurdico. Mesmo
tendo em conta este fator, ser apresentado os resultados adquirido
pelo objeto periciado de forma resumida, j com as ferramentas
escolhidas nos estudos de caso.
CASO 01 ANALISE DE UM TABLET SUSPEITO POR PEDOFILIA
Perito: Marcelo Santana S. de Melo; Testemunha 1: No houve
testemunhas; Data de incio da percia:17 de Agosto de 2014. Data de
apresentao dados: 28 de setembro de 2014 Tipo de anlise: a frio
feita em laboratrio Tipos de tcnicas: Pesquisa por palavra-chave,
indcios de arquivos apagados e metadados; Ferramenta utilizadas:
DCFLDD para gerao da imagem e Autopsy; Mdia analisada :SSD 5.1 GB /
5117050880 Setores; Hash da mdia:
(md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676(sha512):fd61446c2cfd92e511f6bdbf8cf9a4626189e95b3c2a744f3289e8fc211e57300cc36d107b46abe59b68e38a51b0dbd4c7133d1f547e7843fbe7e106205e1a19.
Na mdia foi extrada uma imagem para a preservao dos dados, aonde
coube ser feita duas cpias integral das mesma, com o nomeado de
ssd_interno.img em diretrios diferente, com a uma das trs imagens,
foi feita uma anlise em toda a mdia, utilizando as seguintes
tcnicas: pesquisa por palavra, indcios de arquivos apagados e o
mactime em quem consiste na anlise das datas modificao, acesso e
criao dos arquivos suspeitos.Resultado: foi analisado todo o
dispositivo sendo encontrado 2.1 Giga bytes em fotos e 1.2 Giga
byte em vdeos o restante do contedo consta de arquivo de sistema,
dentre este 3.3 Giga Bytes foi evidenciado a quantidade de 5
arquivos suspeitos com o contedo de fotos, aonde o mesmas foram
apagadas, sendo feita a recuperao delas com a ferramenta Autopsy,
no obteve nenhum indcio de fator ilcitos no contedo, assim tendo a
seguinte resultado nesta mdia: no contm nenhuma prova que comprove
indcios ilcitos no mesmo.Este laudo foi apenas um breve exemplo do
contedo exposto na fase apresentao de dados no caso de um laudo
para fins criminais. O que consta no trabalho o formulrio de cadeia
e custdia disponvel no Anexo A, os dados do dispositivo analisado
disponvel no Apndice A e B.
CONCLUSO
Este captulo tem o como objetivo a apresentao dos resultados do
estudo de caso dentre as quatro fases abordadas no trabalho. Onde
foi obtido o objetivo esperado, em que se constam na obteno de
ferramentas que traga eficincia nos processos de uma percia em
computao forense. A exposio dos dados dividida por fases como tem
sido feito no trabalho em si, sendo comentados os resultados de
cada ferramenta analisada, deste da escolhida e a no utilizada. Na
fase de obteno e coleta dos dados, chegou concluso que: a
ferramenta mais eficiente DCFLDD, por ser fcil a utilizao simples e
objetiva em sua linha de comando e principalmente por calcular o
Hash de uma s vez no processo de coleta. A outra ferramenta testada
foi o DD, em que se teve resultado no to satisfatrio s por no ter
funes extras alm de gerao de imagem em mdia SSD ou HDD, mesmo assim
no se pode descartar a mesma em um percia computacional, pois o DD
faz de forma objetiva o bsico no que se pede na sua funo coleta de
dados sem a perca de informao. A segunda fase preservao, foi
exposto um formulrio j com os dados da fase anterior, assim
trazendo mais rapidez e consequentemente eficincia.Terceira fase
anlise, coube ao analisador buscando em referncias bibliogrficas a
escolha das melhores tcnicas, juntamente com uma ferramenta que se
enquadre em todos os requisitos anexando com as tcnicas utilizadas,
com isto chega-se a Autopsy ferramenta de fcil utilizao de que pode
ser feita anlise em Windows e Linux, e o melhor desta ferramenta
est em poder exportar o resultado da anlise em formato de texto,
html ou planilha, assim ajudando o perito na elaborao na apresentao
dos dados que consiste na ltimas etapa. O DFF ferramenta no
escolhida nesta fase os pontos falhos se devem s modo da
praticidade, em seu ambiente de trabalho, assim obrigado ao perito
ter maior familiaridade com o DFF. Com os resultados obtidos no
trabalho chegou ao conjunto de 3 ferramenta para uma anlise em
computao forense, envolvendo caso de pedofilia, DCFLDD para gerao
de imagem, Autopsy como ferramenta para anlise e um editor de texto
para a elaborao do laudo final. As ferramentas juntamente com o
sistema operacional escolhido no trabalho tem, como objetivo suprir
com as fase de uma percia computacional, tendo como base a anlise
de dados. Assim podem ser utilizada no s em caso de pedofilia, mais
tambm em outros como: pirataria; violao de direitos autorais e
sonegao fiscal. Estas ferramentas s tendem a ser falhas em que se
tratamos no processo da anlise contendo contedo de internet online,
aonde se consta o computador ainda ligado. A mesma adequada para
anlise em laboratrio, assim caberia o perito utilizao de
ferramentas apropriadas para obter resultados satisfatrios.Partindo
deste resultado tende o seguinte fato: para cada anlise h o uso da
tcnica certa para a percia em computao forense, e o perito tende a
escolher uma apropriada a ser utilizada, para ter eficincia em uma
percia. Alm das ferramentas apropriadas vem o imprescindvel que
consiste: o perito ser qualificado e especializado no caso em que
foi encarregado, pois no adianta estar com as melhores ferramentas
para uma percia, se o perito no possui conhecimento bastante para
utiliz-las de forma mais eficiente.Na fase de desenvolvimento deste
trabalho coube ser feita obteno de ferramenta que traga eficincia
em anlise de dados nas mdias SDD, com isto coube as possibilidades
de trabalhos futuros e oportunidades para aperfeioar na soluo de
novas propostas.Anlise em mdias MTP (MEDIA TRANSFER PROTOCOL).
Consiste em formatos de mdia utilizados por aparelhos como
smartphones e mquinas digitais, aonde a gerao de uma imagem exige
tcnicas apropriadas e ferramentas especficas, pois o DD, DFLDD, no
do suporte.Utilizao de ferramentas anti - forense para caso como
pedofilia e sonegao fiscal com o sistema operacional KALI, CAINE e
DEFT, tendo como objetivo apagar registros e dados, para que no ato
de uma percia no se ache rastros.
REFERNCIAS BIBLIOGRFICAS
BURNETT, Steve; PAINE, Stephen. Criptografia e segurana: o guia
oficial RSA. Rio de Janeiro: Campus, 2002. 367 p. Traduo: Edson
Fumankiewicz. CARRIER, Brian Manual sleuthkit Disponvel em: Acesso
em13 set de 2014.COSTA, Marcelo Antnio Sampaio Lemos. Computao
Forense. 3. ed. Campinas, SP: Millennium, 2011. 159 p.ELEUTRIO,
Pedro Monteiro da Silva. Desvendando a Computao Forense. So Paulo:
Novatec, 2010. 200 p.FACHIN, Odlia Fundamentos de Metodologia 5.
Ed. So Paulo: Saraiva, 2006.FRATEPIETRO, Stefano; ROSSETTI,
Alessandro; CHECCO, Paolo dal. DEFT 7 MANUAL: Digital Evidence
& Forensic Toolkit. 2012. Disponvel em: . Acesso em: 28 ago.
2014. FREITAS, Andrey Rodrigues de. Pericia Forense aplica
Informtica: ambiente Microsoft. Rio de Janeiro: Brasport, 2006. 216
p.FDTK-UbuntuBr Forense Digital ToolKit Disponvel em <
http://fdtk.com.br/www/sobre> acesso 17 set 2014.HARBOUR,
Nicholas; RUBIN, Paul. Manual do DCFLDD. 2006. Disponvel em: .
Acesso em: 29 set. 2014.IBGE, 2011 Acesso Internet e posse de
telefone mvel celular para uso pessoal Disponvel em: acesso 18 de
ago 2014. LEHR, John. Computer Aided Investigative Environment.
Disponvel em: . Acesso em: 21 set. 2014. MARTINELLI, Victor.
Introduo computao forense: Teoria e viso pratica. Rio de Janeiro:
Bookmaker, 2013. 109 p. MACDO, Diego. Computao Forense com Software
Livre. 2012. Disponvel em: . Acesso em: 15 ago. 2014.MACHADO,
Francis B. Arquitetura de sistemas operacionais. 4. ed, Rio de
Janeiro: LTC, 2007. 308 p. MELO, Sandro. Computao forense com
software livre: Conceitos, Tcnicas, Ferramentas e Estudos de Casos.
So Paulo: Atlas, 2009. 168 p.MICHELONI, Rino; MARELLI, Alessia;
ESHGHI, Kam. . Inside Solid State Drives (SSDs): Integrated divice
tecnology Enterprise. Agrate Brianza, Italy: Springer, 2012. 399 p.
MOTA FILHO, Joo Eriberto. Percia forense computacional. 2014.
Disponvel em: . Acesso em: 8 ago. 2014. NEMETH, Evi Manual Completo
do Linux. So Paulo: Pearson Prentice Hall, 2007. Traduo Edson
Furmankiewicz.NG, Reynaldo. Forense Computacional Corporativa. Rio
de Janeiro: Brasport, 2007. 158 p.OLIVEIRA, Rmulo Silva de;
CARISSIMI, Alexandre da Silva; TOSCANI, Simo Sirineo. Sistemas
Operacionais. 4. ed. Porto Alegre: Bookman, 2010. 374 p. (11).ROSA,
Fabrcio. Crimes de Informtica. 2. ed. Frana, SP: Bookseller, 2005.
142 p.SEAGATE, A demanda por dispositivos de armazenamento em um
mundo de dados conectado Disponvel em: acesso 20 de ago de
2014.TANENBAUM, Andrew S. Sistemas operacionais modernos. 2. ed. So
Paulo: Prentice Hall, 2003. 672 p. Traduo: Ronaldo A. L. Gonalves.
VARGAS, Rafael; QUEIROZ, Claudemir. Investigao e pericia Forense
Computacional: certificaes, leis processuais e estudo de caso. Rio
de Janeiro: Brasport, 2010. 156 p.
APNDICE
A EQUIPAMENTO ULTILIZADO NO PROCESSO
O equipamento utilizado foi um Netbook da marcada Asus, com as
configuraes de fbrica modifica para o experimento.
Tipo de computador porttil pessoal. Fabricante Asus. Sistema
Operacional DEFT. Processador Intel Aton N550 Dual Core. Memria RAM
2GB DD3 10600. Disco Rgido Toshiba MK7559GSXF = 750GB (LBA
1465149168 SETORES) LINUX. Monitor LED 10.1 Polegadas.
Foi utilizado um cabo USB 2.0 de marca Samsung para a conexo do
dispositivo periciado e o Netbook.
B EQUIPAMENTO ANALISADO.
O equipamento recolhido para anlise se encontra com as seguintes
caractersticas:
Tipo de dispositivo: Tablet porttil. Fabricante: CCE. Sistema
operacional: Android verso 4.0. Processador: single-core Cortex A8
de 1,2 GHz Memria RAM: 1GB Armazenamento interno: SSD 5.1GB.
ANEXO
A FORMULARIO DE CADEIA E CUSTODIA
O formulrio usado para a apresentao dos dispositivos analisado
foi baseado com o modelo exposto por (COSTA,2011).
Formulrio cadeia e custodia 1 (fonte: COSTA, 2013).Plan1
FOMULRIO DE CADEIA E CUSTODIA
CASO NUMERO.:NUMERO DE PAGINAS:
DETALHE DE EQUIPAMENTO E MDIANumero do item:Descrio
FabricanteModelonumero de srie
IMAGEM DOS DADOSDataHoraCriado porMetodo Usado
Nome da imagempartesDriverHash
CADEIA E CUSTDIA
DESTINODATA/HORA SAIDADATA/HORA
CHEGADAMOTIVOData:Data:Hora:Hora:Data:Data:Hora:Hora:Data:Data:Hora:Hora:
Assinatura peritoAssinatura Tetesmunha
Assinatura TetesmunhaAssinatura Tetesmunha
Plan2
