Embed Size (px)
DESCRIPTION
Citation preview
--
Pró-Reitoria de Pós-Graduação e Pesquisa
Lato Sensu em Perícia Digital
Trabalho de Conclusão de Curso
TÉCNICAS ANTIFORENSE EM DESKTOPS
Autor: Carlos André Evangelista de Souza
Orientador: Prof. Esp. João Eriberto Mota Filho
Brasília - DF
2012
CARLOS ANDRÉ EVANGELISTA DE SOUZA
TÉCNICAS ANTIFORENSE EM DESKTOPS
Artigo apresentado ao curso de pós-graduação
em Perícia Digital da Universidade Católica de
Brasília, como requisito parcial para obtenção
do Título de Especialista em Perícia Digital.
Orientador: Prof. Esp. João Eriberto Mota
Filho
Brasília
2012
Artigo de autoria de Carlos André Evangelista de Souza, intitulado “TÉCNICAS
ANTIFORENSE EM DESKTOPS”, apresentado como requisito parcial para obtenção do
grau de Especialização em Perícia Digital da Universidade Católica de Brasília, em 02 de
junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada:
__________________________________________
Professor Esp. João Eriberto Mota Filho
Orientador
Pós em Perícia Digital - UCB
_________________________________________
Professor Msc. Paulo Roberto Corrêa Leão
Examinador
Pós em Perícia Digital - UCB
Brasília
2012
A Deus Pai, infinito em sua misericórdia, que
continua derramando bênçãos sem medidas em
minha vida, e que permitiu a realização deste
trabalho. À minha mãe – Maria Evangelista de
Souza – que sempre lutou pela minha
educação e a dos meus irmãos – Leide Daiane
Evangelista de Souza e Tone Ramos
Evangelista de Souza, e à minha amada esposa
– Silvana Pereira Dantas Evangelista de
Souza, e é graças a eles que consegui.
AGRADECIMENTOS
Aos meus amigos de Serpro por toda troca de experiência acerca do assunto deste
artigo. Aos meus professores, em especial ao meu professor orientador – João Eriberto Mota
Filho, pelo apoio dispensado na confecção desse trabalho.
“Sem esforço não existe vitória, não existe
felicidade plena.”
Chiara Lubich
6
TÉCNICAS ANTIFORENSE EM DESKTOPS
CARLOS ANDRÉ EVANGELISTA DE SOUZA
Resumo:
A atividade de antiforense concentra-se em dificultar ou impossibilitar uma perícia forense
num recurso computacional, enquanto que a perícia forense busca evidências que possam
direcionar o entendimento do caso. O escopo deste trabalho é descrever as técnicas e
ferramentas antiforense mais eficientes e as consequências desses numa perícia “post
mortem”. Essas informações foram coletadas em livros, revistas especializadas, sites
relacionados com o tema e outros trabalhos com conteúdos similares. Além de um estudo de
caso com a aplicação prática de uma dessas técnicas antiforense e o impacto disto na perícia
forense.
Palavras-chave: Forense. Antiforense. Segurança. Perícia Forense. Criptografia
1 INTRODUÇÃO
Como cada vez mais pessoas e empresas optam por realizar seus negócios através de
computadores e da Internet, para a troca de informações, compras online, transações
bancárias, dentre outras atividades relacionadas, o computador passou a fazer parte da vida
de milhões de pessoas, aumentando cada vez mais a dependência desse recurso. Por outro
lado, os ataques de segurança vêm continuamente crescendo em vários aspectos, sofisticação,
velocidade, criticidade, gravidade e compromisso, com isso a pesquisa em segurança da
informação tem tido crescimento ao longo desses últimos anos na investigação forense
computacional.
A forense computacional tem como objetivo realizar uma análise pós-incidente sobre
os sistemas comprometidos e fazer perguntas sobre eventos passados. Permite ao perito, de
posse de um caso, reconstruir um cenário, recuperar arquivos importantes acerca do mesmo e
traçar o perfil do usuário do computador. A informação digital armazenada, gerada,
processada, ou transmitida por sistemas de rede, é usada como fonte de prova. Quanto mais
precisos e completos os dados, melhor e mais abrangente a avaliação pode ser.
Em contrapartida, há técnicas e ferramentas que podem ser utilizadas para frustrar a
forense, apagando definitivamente o arquivo, ocultando ou camuflando dados importantes
para o caso, como logs, cookies, históricos, entre outros. Isso dificulta o trabalho do perito
forense, pois as prováveis evidências que poderiam ser utilizadas como provas foram
comprometidas, reduzindo a quantidade e a qualidade dos dados probatórios.
Sabendo que a segurança e a perícia tentam encontrar as evidências deixadas pelos
crimes, a evolução destes tende sempre a deixar menos vestígios possíveis, ficando cada vez
mais difícil a percepção pela perícia, e dando origem à ciência antiforense, na qual deriva as
técnicas antiforense. Que é o novo grande desafio para a comunidade forense computacional.
Com a popularidade dessas ferramentas antiforense, de fácil obtenção na Internet, é
cada vez mais comum o seu uso não só por peritos forenses, mas por pessoas mal
intencionadas como hackers, crackers, script kiddies, entre outros.
Esse artigo apresenta como pessoas mal intencionadas podem utilizar essas
ferramentas para eliminar seus rastros e a eficácia e eficiência dessas técnicas.
7
1.1 JUSTIFICATIVA
O perito forense tem que ter a ciência das técnicas que podem ser utilizadas para a
destruição, ocultação e camuflagem dos dados e o impacto dessas técnicas na análise “post
mortem”.
No processo de análise de uma perícia forense, conhecer como um invasor ou
criminoso pode atuar, utilizando essas ferramentas e técnicas antiforense, pode fazer a
diferença no resultado final, facilitando a busca por evidências.
Informações acerca dessas ferramentas e técnicas são de fácil obtenção na Internet e
em diversas bibliografias, pois com a utilização de simples filtros em mecanismos de busca é
retornada uma gama de ferramentas para esse fim, além da popularidade de distribuições
Linux como Backtrack, que já traz uma lista interessante dessas ferramentas prontas para
serem utilizadas. Por trabalhar especificamente com administração de ambiente Linux, numa
instituição governamental, que sofre ataques constantemente, entender a simplicidade e a
facilidade da execução dessas ferramentas tornaria possível a aplicação de contramedidas,
evitando problemas futuros.
1.2 DELIMITAÇÃO DO TEMA
Atualmente existe uma grande diversidade de ferramentas e técnicas antiforense, cada
vez mais populares. O foco desta pesquisa é analisar a eficácia e eficiência das principais
técnicas e ferramentas antiforense utilizadas por usuários mal intencionados, tais como:
criptografia, esteganografia, saneamento e camuflagem dos dados, entre outras.
1.3 PROBLEMA
1.3.1 Contextualização do problema
Existem atualmente algumas técnicas e diversas ferramentas antiforense que podem
ser utilizadas para dificultar a perícia forense.
1.3.2 Enunciado do problema
A utilização das principais técnicas e ferramentas antiforense destrói, ocultam e
camuflam os dados de delitos no processo de coleta de evidências numa perícia forense?
8
1.4 HIPÓTESE
As principais técnicas e ferramentas antiforense, quando utilizadas pelo usuário mal
intencionado, destroem, ocultam e camuflam os dados de delitos no processo de coleta de
evidências numa perícia forense.
1.5 PROPÓSITOS
1.5.1 Objetivo Geral
Analisar as principais técnicas e ferramentas antiforense usadas para destruição,
ocultação e camuflagem de dados.
1.5.2 Objetivos Específicos
Para alcançar o objetivo geral é necessário:
a) apresentar o estado da arte de referências sobre técnicas e ferramentas
antiforense e perícia forense;
b) listar as principais técnicas antiforense para destruição, ocultação e camuflagem
de dados;
c) aplicar as principais técnicas e ferramentas antiforense num estudo de caso;
d) coletar uma imagem de um desktop Linux para uso em laboratório; e
e) construir um laboratório que servirá como base para análise.
2. DESENVOLVIMENTO
2.1 REFERENCIAL TEÓRICO
As referências utilizadas são:
a) uma apresentação na Black Hat 2009 cujo titulo é: “Anti-Forensics: The Rootkit
Connection”, feita por Bill Bluden no qual classifica em categorias a antiforense;
b) uma apostila da 4Linux com o titulo de: “Pen Test: Teste de Invasão em Redes
Corporativas” que apresenta com detalhes ferramentas antiforense utilizadas por
hackers e a facilidade de uso tomando como base a distribuição Linux
Backtrack; e
c) um dos livros da coleção Hacking Exposed, com o título: “Hacking Exposed:
Computer Forensics – Secrets & Solutions” que contém um tópico só com
antiforense.
9
2.2 MATERIAIS E METODOLOGIA
As metodologias que caracterizaram esta pesquisa, bem como a forma como será a
coleta e tratamento dos dados, o resultado obtido e as análises desses dados.
2.2.1 Classificação da pesquisa
Os tipos de metodologias a serem utilizadas nesta pesquisa embasaram-se em Vergara
(2010, p.41-44) que a divide em “dois critérios básicos: quanto aos fins e quanto aos meios".
Quanto aos fins, esta pesquisa é aplicada e quanto aos meios de investigação: pesquisa
de laboratório; bibliográfica e estudo de caso.
Pesquisa aplicada porque o intuito deste estudo é ampliar conhecimentos em Perícia
Forense e em situações acadêmicas de assuntos relacionados, bem como na aplicação prática
de técnicas de antiforense computacional com finalidade de obtenção de informações úteis à
investigação criminal, a serem utilizados pelos peritos forenses.
Pesquisa bibliográfica segundo Martins (2011, p.86) “é o ponto de partida de toda
pesquisa, levantamento de informações feito a partir de material coletado em livros, revistas,
artigos, jornais, sites da Internet e em outras fontes escritas, devidamente publicadas”.
Pesquisa em laboratório segundo Vergara (2010, p.43) “é experiência realizada em
local circunscrito”. Serão realizadas simulações em computador a partir de uma imagem real
de um computador atacado para então produzir resultados.
O estudo de caso segundo Martins (2011, p.87) “é um meio para se coletar dados
preservando o caráter unitário do objeto a ser estudado”. De posse de uma imagem de um
computador atacado serão analisadas as técnicas e ferramentas antiforense utilizadas pelo
atacante.
2.2.2 Instrumentos e Procedimentos
O instrumento e procedimentos desta pesquisa correspondem a simulações em
computador e a um estudo de caso cujas fases são descritas a seguir:
a) coleta de uma imagem de um desktop com sistema operacional Linux;
b) montagem em laboratório de uma estrutura que permita a análise das técnicas
antiforense utilizadas na invasão e na tentativa de limpeza dos rastros;
c) serão aplicadas diversas técnicas e ferramentas antiforense na imagem coletada;
e
d) análise dos resultados obtidos em laboratório.
2.3 FORENSE COMPUTACIONAL
Tem como objetivo principal determinar à dinâmica, a materialidade e autoria de
ilícitos ligados à área de informática, tendo como questão principal a identificação e o
processamento de evidências digitais em provas materiais de crime, por meio de métodos
10
técnico-científicos, conferindo-lhe validade probatória em juízo (ELEUTÉRIO; MACHADO,
2010, p.16-17).
É uma área que envolve a análise e coleta de vestígios e evidências digitais em
equipamentos computacionais envolvidos em procedimentos ilícitos e crimes de qualquer
natureza (ELEUTÉRIO; MACHADO, 2011).
Um modelo internacional publicado e divulgado pelo Departamento de Justiça dos
Estados Unidos sugere as seguintes etapas no processo investigativo (BARYAMUREEBA,
2004).
a) coleta: Envolve a busca por evidências, o reconhecimento de provas, coleta de
provas e documentação;
b) exame: Projetado para facilitar a visibilidade de provas, ao explicar sua origem e
significado. Trata-se de revelar informações ocultas e obscuras e a documentação
pertinente;
c) análise: Este olha para o produto do exame para o seu significado e probatório
valor para o caso; e
d) relatórios: Isso leva a escrever um relatório sobre o processo de exame e
pertinentes dados recuperados a partir da investigação em geral.
A análise forense de um sistema envolve um ciclo de coleta de dados e processamento
das informações coletadas. Quanto mais precisos e completos os dados, melhor e mais
abrangente a avaliação pode ser (FARMER; VENEMA, 2007).
2.4 ANTIFORENSE
É qualquer alteração intencional ou acidental que possa obscurecer criptografar ou
esconder dados de ferramentas forenses. A maioria dos suspeitos acredita que, seguindo as
técnicas ilustradas neste artigo e em outras publicações, podem esconder seus rastros.
Tentando fazer isso, porém, muitas vezes apenas ajudam o investigador saber onde procurar
por evidências. Na verdade, um suspeito que tenta esconder a evidência pode realmente
fortalecer o sucesso de um investigador para descobrir isso (PHILIPP et al., 2010. p.223).
Um dos princípios fundamentais da forense é o Principio da Troca de Locard. De
acordo com esse principio qualquer um, ou qualquer coisa, que entra em um local de crime
leva consigo algo do local e deixa alguma coisa para trás quando parte. Este também se aplica
na forense computacional, uma vez que todo evento realizado em um computador deixa
evidências, algumas difíceis de serem identificados ou seguidos, mas existem.
Há várias definições para antiforense e diversos métodos. O Quadro 1 abaixo descreve
uma das classificações possíveis para os métodos antiforense: destruição, ocultação,
eliminação da fonte e falsificação.
Quadro 1 – Classificação dos métodos antiforense.
Nome Destruição Ocultação Eliminação
da fonte
Falsificação
Alterações MACE Apagar as
informações
MACE ou
sobrescrever com
dados inúteis.
Sobrescrever
com os dados
que fornecem
informações
enganosas para
os
investigadores.
Remover/esterilizar Reescrever o Excluir o
11
arquivos conteúdo com
dados aleatórios.
arquivo.
Encapsulamento de
dados
Ocultar um
arquivo em
outro.
Sequestro de Conta Criar evidência
para culpar outra
pessoa por atos
irregulares.
Arquivo
autodestrutivo.
Desabilitar logs Informações
sobre a
atividade não
é gravada.
Fonte: Harris (2006).
Os dados que podem ser utilizados como evidências podem ser destruídos total ou
parcialmente, em nível lógico e físico, evitando que sejam encontrados. Dados sobrescritos
em mídia não podem ser recuperados em nível de software, salvo em condições especiais.
A ocultação das evidências reduz as chances de sucesso numa investigação preliminar,
exigindo que a perícia seja mais minuciosa (HARRIS, 2006). Podem ser utilizados no
processo ferramentas de criptografia e esteganografia, que podem ser obtidas facilmente na
internet além de ser fácil o seu uso.
A eliminação da fonte de evidências probatória envolve a neutralização das fontes.
Não há necessidade de destruir as provas uma vez que nunca são criadas. No entanto, a
própria falta de provas pode tornar-se evidência. Isso parece contraditório se não
considerarmos uma arma completamente desprovida de impressões digitais. Um bom
investigador pode pensar que o criminoso usava luvas, para que ele pudesse assumir que o
assassinato foi cuidadosamente planejado. Essas observações aplicam-se ao mundo digital
(HARRIS, 2006).
Falsificação é o ato de criar uma falsa versão da prova que é projetado para parecer
outra coisa. Isto inclui criação de evidência que funciona como um ataque contra o processo
ou ferramentas (HARRIS, 2006).
Uma das coisas mais simples de entender e usar em uma investigação são os
mactimes. Eles são simplesmente uma maneira abreviada de se referir aos três atributos de
tempo – mtime, atime e ctime – que são anexados a qualquer arquivo ou diretório no UNIX,
Windows e em outros sistemas de arquivos. O atributo atime refere-se à última data/hora em
que o arquivo ou diretório foi acessado. O atributo mtime, ao contrário, muda quando o
conteúdo de um arquivo é modificado. O atributo ctime monitora quando o conteúdo ou as
meta-informações sobre o arquivo mudaram: o proprietário, o grupo, as permissões de
arquivo e assim por diante (FARMER; VENEMA, 2007).
Um mecanismo eficiente de recuperação de arquivos excluídos também pode ser
decisivo durante uma análise forense, uma vez que na tentativa de esconder suas ações, os
invasores podem apagar arquivos que possam denunciar sua presença. O problema é que
existem inúmeras ferramentas para se efetuar uma exclusão de forma segura: são as chamadas
ferramentas de wipping.
12
2.4.1 Criptografia
É uma técnica utilizada para transformar uma informação na sua forma original para
outra ilegível. Isso é feito para que somente pessoas autorizadas, ou detentoras da chave
criptográfica, possam realizar o processo inverso e ler a mensagem original (ELEUTÉRIO;
MACHADO, 2010, p.85).
O uso da criptografia assume que o método utilizado para criptografar é de domínio
público, e a segurança reside na escolha da chave. Exemplificando, os conceitos
criptográficos buscam solucionar os problemas comuns a duas situações básicas: proteger as
informações armazenadas e utilizadas sempre pela mesma entidade, e a proteção de
informações trocadas entre duas pessoas (ou entidades) diferentes.
Todos os algoritmos de criptografia são baseados em dois princípios gerais:
substituição, em que cada elemento no texto claro (bit, letra, grupo de bits ou letras) é
mapeado em outro elemento, e transposição, em que os elementos no texto claro são
reorganizados (STALLINGS, 2008, p.19).
Boa parte dos sistemas de arquivos atuais que suportam criptografia, disponíveis
facilmente para Windows, Mac OS e Linux, criptografam quando o dado é escrito para o
disco e descriptografam quando esses são lidos, tornando-os invisíveis para qualquer atacante
que não tem a chave, trazendo uma proteção efetiva.
2.4.2 Esteganografia
É uma técnica que consiste em ocultar uma mensagem dentro da outra. Enquanto a
criptografia tenta codificar o conteúdo, a esteganografia tenta camuflar uma mensagem dentro
da outra (ELEUTÉRIO; MACHADO, 2010, p.86).
Uma mensagem de texto claro pode estar oculta de duas maneiras. Os métodos de
esteganografia escondem a existência da mensagem, enquanto os métodos de criptografia
tornam a mensagem ininteligível a estranhos por meio de várias transformações do texto
(STALLINGS, 2008, p.34).
Usando as ferramentas de esteganografia disponíveis hoje, os suspeitos podem até
esconder dados, mensagens, arquivos, dentro de arquivos do tipo imagem ou do tipo áudio,
tornando-os imperceptíveis aos sentidos humanos.
O uso dessa técnica pode ser usado para diversos fins, dentre elas, roubo de dados,
ocultação de arquivos pornográficos ou quaisquer outras evidências que possam vir a ajudar
numa análise post-mortem.
2.4.3 Rootkits
São programas simples, geralmente rodando como um serviço isolado e fornecendo
acesso a uma backdoor (SEIFRIED, 2009).
De acordo com (SHADOWSERVER, 2007) Rootkit é um conjunto de programas
maliciosos, projetados para modificar o sistema operacional, do computador atacado, para
ocultar, do usuário do sistema, a invasão, a presença do invasor e de outros programas
maliciosos instalados.
13
Na visão de (MORIMOTO, 2008) Rootkits são “softwares que exploram um conjunto
de vulnerabilidades conhecidas para tentar obter privilégios de root na máquina afetada”.
Rootkits geralmente são utilizados, num cenário de invasão de computador, para
garantir acesso posterior por meio da instalação de uma Backdoor, na remoção dos rastros do
ataque apagando as logs do sistema operacional ou até mesmo na criação de contas de
usuários. Enfim, o objetivo é esconder arquivos, conexões de rede e endereços de memória do
administrador do sistema. As técnicas usadas para obter essa funcionalidade variam, dividindo
os Rootkits em quatro categorias: Virtualizado, Kernel, Biblioteca e Aplicação. Os Rootkits virtualizados são aqueles que modificam a sequência de inicialização da
máquina, iniciando primeiro o Rootkit, que por sua vez inicia o sistema operacional como uma
máquina virtual, podendo interceptar todas as chamadas de sistema do sistema operacional. Os de
kernel funcionam adicionando ou alterando código do kernel (por exemplo, a tabela de chamada
de sistemas) de modo que informações são escondidas diretamente no núcleo do sistema
operacional. Os Rootkits de biblioteca geralmente alteram ou substituem chamadas de sistema por
chamadas alteradas e os de aplicação alteram diretamente aplicativos do sistema.
2.4.4 Wiping
Exclusão de arquivos, esvaziar a lixeira, ou rápida formatação de um disco rígido não
apaga permanentemente os dados, ele simplesmente remove as informações necessárias para
encontrar os arquivos no disco, permitindo a sua recuperação. Assim, limpar realmente o
arquivo no disco é um problema real. Ela pode ser realizada de muitas maneiras diferentes. A
wiping é uma delas e consiste em sobrescrever todos os setores do disco com um padrão de
binário 1's e 0's, substituindo então os dados que ainda persistiam na mídia. Dessa forma não
podendo mais ser recuperados nem acessados. Você pode determinar se as ferramentas de
limpeza foram instaladas através da revisão de programas existentes no disco, mas não pode
mais trazer os dados de volta (PHILIPP et al., 2010, p.237).
2.4.5 Ferramentas
Este item abordará algumas das principais ferramentas antiforense que podem ser
utilizadas para aplicação das técnicas vistas no capitulo anterior.
2.4.5.1 Wipe
É um aplicativo que permite a deleção segura de dados, permitindo que o usuário
defina quais arquivos serão apagados e quantas vezes aqueles blocos de disco, onde os
arquivos apagados estavam alocados (4Linux – Pen Test, 2011, p.261).
2.4.5.2 Scrub
Outra possibilidade para realizar o data wiping, sobrescrevendo os dados deletados
com um padrão determinado de informações, que podem ou não ser removidas no final da
14
informação. Se não forem removidas, o perito forense encontrará apenas “lixo digital” nos
blocos do disco, sem qualquer coerência. (4Linux – Pen Test, 2011, p.262)
Veja os exemplos a seguir:
a) Realizando o data wiping no arquivo.
$ scrub imagem.jpg
scrub: using NNSA NAP-14.x patterns
scrub: padding imagem.jpg with 4078 bytes to fill last fs block
scrub: scrubbing imagem.jpg 12288 bytes (~12KB)
scrub: random |................................................|
scrub: random |................................................|
scrub: 0x00 |................................................|
scrub: verify |................................................|
b) Destruindo todos os arquivos no disco
$ scrub /dev/sda1
2.4.5.3 Steghide
É um programa capaz de esconder dados em vários tipos de arquivos de áudio e de
imagem. Suporta formatos de arquivos JPEG, BMP, WAV e AU para uso como arquivo de
cobertura. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits. No
exemplo abaixo iremos utilizar a imagem de um tux e adicionaremos ao mesmo um arquivo
texto simples contendo algumas informações, como por exemplo, as senhas do sistema.
$ file tux.jpg
tux.jpg: JPEG image data, JFIF standard 1.01
$ md5sum tux.jpg
4e858aa5c73f48695ba5fc3ea5eda380 tux.jpg
Escondendo o arquivo de senhas.
$ steghide embed -cf tux.jpg -ef senha.txt
Enter passphrase:
Re-Enter passphrase:
embedding "senha.txt" in "tux.jpg"... done
Mesmo adicionando outro arquivo a imagem do tux o tipo do arquivo permaneceu o
mesmo. Apenas o hash do arquivo foi alterado, essa informação pode ser utilizada como
contramedida, caso tenha sido guardado anteriormente uma tabela com os hashs dos arquivos.
$ file tux.jpg
tux.jpg: JPEG image data, JFIF standard 1.01
$ md5sum tux.jpg
d0c0713cf2e55140ec912fc465bd7ba9 tux.jpg
15
Extraindo o arquivo escondido
$ steghide extract -sf tux.jpg
Enter passphrase:
wrote extracted data to "senha.txt".
2.4.5.4 Truecrypt
É um software para criação e manutenção de um volume on-the-fly-encrypted
(dispositivo de armazenamento de dados). On-the-fly encriptação significa que os dados são
automaticamente criptografados antes de ser salvo e descriptografado logo após ser carregado,
sem qualquer intervenção do usuário. Não há dados armazenados em um volume
criptografado que possa ser lido (descriptografado) sem usar a senha correta / keyfile (s) ou
chaves de criptografia corretas. O sistema de arquivo inteiro é criptografado (por exemplo,
nomes de arquivos, nomes de pastas, o conteúdo de cada arquivo, espaço livre, metadados,
etc.) (TRUECRYPT FOUDATION, 2012).
O processo de encriptação e decriptação são transparentes para o usuário e serviços
que utilizam o volume encriptado. Ao criar um volume com truecrypt o usário precisará
definir: o tamanho, algoritmo de criptografia, o algoritmo de hash e a senha de segurança.
Após a conclusão dessas definições o truecrypt cria o arquivo ou partição e o preenche com
dados aleatórios, de uma forma que se forem analisados é impossível saber se há dados.
Devido a essa segurança e eficiência, a utilização dessa ferramenta vem se tornando cada vez
mais comum para proteção de dados sigilosos.
Atualmente é compatível com os seguintes sistemas operacionais: Windows 7 (32-bit
and 64-bit), Windows Vista, Windows Vista x64 (64-bit) Edition, Windows XP, Windows XP
x64 (64-bit) Edition, Windows Server 2008 R2 (64-bit), Windows Server 2008, Windows
Server 2008 x64 (64-bit), Windows Server 2003, Windows Server 2003 x64 (64-bit),
Windows 2000 SP4, Mac OS X 10.7 Lion (64-bit and 32-bit), Mac OS X 10.6 Snow Leopard
(32-bit), Mac OS X 10.5 Leopard, Mac OS X 10.4 Tiger, Linux (32-bit and 64-bit versions,
kernel 2.6 or compatible)
Os passos a seguir mostram como criar e criptografar um volume com truecrypt via
linha de comando no Linux.
O primeiro passo é baixar e instalar o pacote.
$ wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-x86.tar.gz
$ tar zxvf truecrypt-7.1a-linux-x86.tar.gz
$ ./truecrypt-7.1a-setup-x86
Apareceram telas basta seguir.
No processo de criação utilizaremos a option –t para que a operação seja executada em
modo texto. A option –c é para o modo iterativo.
$ truecrypt –t –c
16
Serão solicitadas as seguintes informações: Tipo de volume; Path do volume;
Tamanho do volume; Algoritmo de criptografia; Algoritmo de hash; Filesystem; Password.
Para montar o volume criado utilizaremos a option --mount:
$ truecrypt -t --mount /tmp/volume
Enter mount directory [default]:
Enter password for /tmp/volume:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]: No
Para desmontar:
$ truecrypt -t -d /tmp/volume
3. ESTUDO DE CASO
Conforme definido nesse artigo a destruição das evidências poderá ser lógica ou física
parcial ou total. Existem várias formas de essas evidências serem esterilizadas. A seguir, serão
demonstradas maneiras possíveis para realizar essa ação logicamente, via software.
No processo a seguir iremos esterilizar uma partição. Nessas demonstrações iremos
utilizar uma máquina Debian, Linux. Esse ambiente contém uma partição /mnt/pessoal aonde
nesse laboratório irá conter informações relevantes que comprometeriam o usuário dessa
máquina com fotos e planilhas, vide Figura 01.
Figura 01 – Maquina Linux, debian, com partição, /mnt/pessoal, montada.
Nesse passo o usuário resolveu apagar os arquivos comprometedores utilizando o
comando rm entendendo ele que não teriam como serem recuperados. Porém, os arquivos
persistiram no filesystem e apenas a referência dos arquivos foi apagada. Esses arquivos
podem ainda serem recuperados utilizando os comandos fls e icat, por exemplo. Vide Figura
02.
17
Figura 02 – Uma simples exclusão de arquivo não previne uma recuperação futura.
Nesse próximo passo iremos remover definitivamente os arquivos comprometedores
sem risco de recuperação, vide Figura 03.
Figura 03 – Realizando wipe nos arquivos.
Agora iremos realizar o wipe no filesystem. Dessa forma não há como recuperarmos os
arquivos. Vide Figura 04.
18
Figura 04 – Destruindo todos os arquivos no filesystem.
E por fim, o resultado do filesystem após o wipe, vide Figura 05.
Figura 05 – Resultado do hexedit no filesystem.
4. CONCLUSÃO
Mediante o avanço das técnicas antiforense, que podem ser utilizadas para segurança
ou para apagar as evidências de atos ilícitos, cresce cada vez mais o desafio aos peritos
forenses para recuperar e coletar dados para a confecção de um laudo que possa direcionar ao
entendimento do caso. A complexidade para o perito pode ser explicada mediante as
dificuldades que tendem a ser encontradas de diversas formas, como na utilização de técnicas
e ferramentas, de fácil obtenção na Internet, e muitas vezes com procedimentos muito
simples, que facilitam a destruição, ocultação, eliminação ou até mesmo a falsificação das
evidências.
19
A partir das informações coletadas e reportadas neste artigo, além do estudo de caso,
ficou comprovado que o uso das técnicas e ferramentas antiforense possui um impacto mais
que considerável na análise de um delito por um perito, podendo até tornar impossível ou
improvável a coleta de evidências a partir da recuperação de algum dado que ajude no
entendimento do evento.
Muitas vezes a recuperação desses dados, quando possível tecnicamente, passa a não
ser plausível numa análise de custo/beneficio; assim, o retorno dessa informação fica inviável.
Das técnicas antiforense reportadas neste artigo, as que envolvem a destruição dos
dados e eliminação da fonte são as mais simples de serem aplicadas no ambiente, embora em
todas elas, por mais simples que sejam, peçam um pouco de conhecimento técnico. As mais
complexas seriam as que envolvem a criptografia e a falsificação da fonte que exigem um
pouco mais de conhecimento técnico e um cuidado ainda maior no seu uso, pois podem tornar
o dado inacessível até mesmo para o usuário, no caso da criptografia, caso o mesmo seja
descuidado.
O acesso a esses recursos são de fácil obtenção na Internet e o seu uso cada vez mais
simples e automatizado. Tomamos como exemplo distribuições Linux carregáveis em live
CDs, como por exemplo, o Backtrack, que trazem muitos desses softwares compilados num
só lugar e até procedimentos operacionais simples.
Um bom exemplo de uso da técnica antiforense para fim não licito que obteve grande
repercussão na mídia foi o caso do banqueiro Daniel Dantas em que seus discos rígidos, que
foram apreendidos pela Policia Federal, estão criptografados e até o presente momento não se
conseguiu a decodificação desses dados, pois não se tem o conhecimento das senhas
utilizadas no processo de encriptação do sistema de arquivos. Apesar de todo o avanço
tecnológico, não se conseguiu obter essas informações que poderiam ajudar no caso, mesmo
com todo recurso computacional envolvido e até o apoio do FBI.
Logo, com esse crescimento exponencial dessas técnicas antiforense usadas para
ocultar atos ilícitos, o perito forense deve buscar sempre novos conhecimentos, novos
recursos que o auxiliem na sua análise. Óbvio que a experiência desse profissional irá ser o
diferencial, pois na maioria dos casos os usuários infratores não são especializados na área de
informática e provavelmente deixarão evidências dos seus atos ou até mesmo ficarão iludidos
com a falsa segurança de que ao executar uma simples ação de exclusão de um arquivo ou a
limpeza do cache do browser já estarão seguros.
5. TRABALHOS FUTUROS
Como sugestão para novos trabalhos que possam vir a complementar este artigo,
recomenda-se que sejam analisados em trabalhos distintos, separadamente, cada método
antiforense com mais detalhes e aprofundamento.
Abstract:
The activity focuses on anti-forensics difficult or impossible in a forensic computing resource,
while the skill forensic evidence that might seek direct understanding of the case. The scope
of this work is to describe the techniques and tools anti-forensics more efficient and the
consequences of their expertise in a "post mortem". This information was obtained from
information collected in books, magazines, web sites related to the topic and other works with
similar content. In a case study with the practical implementation of these techniques anti-
forensics and its impact on forensic expertise.
20
Keywords: Forensics. Anti-forensics. Security. Encryption.
6. REFERÊNCIAS
BARYAMUREEBA V, TUSHABE F. The Enhanced Digital Investigation Processo Model.
Institute of Computer Science, Makerere University, Uganda, 2004.
BLUDEN, B. Anti-Forensics: The Rootkit Connection, 2009. Disponível em:
https://www.blackhat.com/presentations/bh-usa-09/BLUNDEN/BHUSA09-Blunden-
AntiForensics-PAPER.pdf. Acessado em Novembro 01, 2011.
ELEUTÉRIO, P. M. da Silva; MACHADO, M. Pereira. Desvendando a Computação Forense.
São Paulo: Novatec Editora, 2010.
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional: Teoria e Prática
Aplicada. São Paulo: Prentice-Hall, 2007.
GARFINKEL, Simon, Anti-Forensics: Techniques, Detection and Countermeasures, The 2nd
International Conference on Warfare and Security (ICIW), Naval Postgraduate School,
Monterey, CA, 2007. http://www.simson.net/clips/academic/2007.ICIW.AntiForensics.pdf
HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and
control the anti-forensics problem. 2006. Disponível em: http://dfrws.org/2006/proceedings/6-
Harris.pdf. Acessado em Janeiro 15, 2012.
MARTINS, R. B. Metodologia Científica – Como tornar mais agradável à elaboração de
trabalhos acadêmicos. Curitiba: Juruá Editora, 2011. 1th Edição.
MORIMOTO, Carlos E. Servidores Linux Guia Prático. Porto Alegre: Sul Editores, 2008.
PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics: Secrets &
Solutions. New York: McGrawHill, 2010. 2th Edition.
STALLINGS, William. Criptografia e Segurança de Redes. São Paulo: Pearson Prentice Hall,
2008. 4th Edição.
SEIFRIED, Kurt. Linux Magazine. 2009. Disponível em:
http://www.linuxnewmedia.com.br/lm/article/inseguranca_lm50. Acessado em Janeiro 10,
2012.
SHADOWSERVER. Disponível em: http://www.shadowserver.org. Acessado em Janeiro 10,
2012.
TRUECRYPT FOUNDATION. Truecrypt – Free Open-Source Disk Ecryption Software.
Disponível em: http://www.truecrypt.com. Acessado em Janeiro 15, 2012.
VERGARA, S. C. Projetos e Relatórios de Pesquisa em Administração. São Paulo: Editora
Atlas, 2010. 12th Edição.
21
4LINUX. Apostila Pen Test: Teste de Invasão Redes Corporativas. São Paulo: 2011.
