Uma Abordagem sobre Forense Computacional

Uma Abordagem sobre Forense Computacional
Patrícia Lima Quintão, Carla da Silva Teixeira, Mônica de Lourdes Souza Batista,
Raffael Gomes Vargas
Bacharelado em Sistemas de Informação – Faculdade Metodista Granbery (FMG)
Rua Batista de Oliveira, 1145 – CEP 36010-530 – Juiz de Fora – MG – Brazil
[email protected], [email protected],
[email protected], [email protected]
Resumo
Nas últimas décadas a utilização de computadores tornou-se parte integrante
da vida das pessoas, permitindo o aparecimento de vários tipos de crimes
eletrônicos. Nesse contexto, é importante que as organizações se preparem
para investigar casos que envolvam a informática e adotem procedimentos
válidos e confiáveis que permitam recuperar os dados dos computadores
envolvidos em atividades criminosas. São apresentados neste trabalho noções
de forense computacional e ferramentas que podem ser utilizadas para auxiliar
na coleta, manutenção e análise de evidências.
Palavras-Chave: Forense Computacional, Perícia Aplicada à Informática.
Abstract
In the last decades the use of computers became an integrated part of
people life, allowing the appearing of many electronic crimes. In this
context, is important that the agencies get ready to investigate the
chaos that involves informatics and adopt valid and trustworthy
procedures that allows the rescue of computer's data involved in
criminals activity. In this work, we present basic notions of computer forensics
and tools that can be used to collect, keep and analyze evidences.
INTRODUÇÃO
Atualmente, muitas empresas que utilizam a Internet possuem algum aparato de
segurança, como por exemplo, firewalls e VPNs, para evitar que sua rede seja invadida
por hackers. Mas essas ferramentas de segurança são softwares que possuem muitas
linhas de código, e que podem conter algum erro de programação.
Mesmo que a empresa tome todas as medidas para se proteger dos ataques, ela
não está totalmente livre de ser invadida (OLIVEIRA, 2001). Falhas de segurança
podem acontecer, visto que alguma vulnerabilidade ainda não divulgada pode ser
utilizada ou um novo tipo de ataque pode ser explorado. Dessa forma, não se pode
Revista Eletrônica da Faculdade Metodista Granbery - http://re.granbery.edu.br - ISSN 1981 0377
Faculdade de Sistemas de Informação - N. 3, JUL/DEZ 2007
afirmar que um determinado aparato de segurança está isento de falhas (OLIVEIRA,
GUIMARÃES e GEUS, 2002).
No caso de um incidente de segurança é muito importante adotar políticas para
que os danos sejam menores. É necessário que haja metodologias para que, uma vez
descoberta a invasão, seja possível identificar, coletar e manipular as evidências sem
que as mesmas sejam distorcidas, além de planejar alguma medida de segurança contra
os invasores (OLIVEIRA, 2001).
Nesse contexto, esse trabalho tem como objetivo destacar as etapas do processo de
uma perícia forense computacional, bem como algumas ferramentas e hardwares
utilizados no processo de uma investigação forense.
Para isso o trabalho apresenta as seguintes seções além desta introdução. A
segunda seção define a Ciência Forense. Na terceira seção é destacado o conceito de
Forense Computacional. A quarta seção apresenta os processos de uma perícia forense
computacional. A quinta seção aborda um conjunto de ferramentas que oferecem
suporte às etapas do processo de investigação forense. Na sexta seção são apresentados
alguns hardwares utilizados em perícia no mercado. Por fim, tem-se as considerações
finais do trabalho e as referências bibliográficas utilizadas.
CIÊNCIA FORENSE
Quando se escuta o termo forense, logo vem à mente o meio policial, no qual
policiais e peritos tentam solucionar algum mistério. Nesse contexto, eles devem
analisar delicadamente todo tipo de objetos, de sinais e de marcas que faziam parte da
cena do crime.
A análise forense se inicia quando os policiais chegam ao local do crime e isolam
o perímetro para evitar a exposição excessiva e a possível contaminação das evidências.
Após essa fase, tem-se a etapa de identificação e coleta de todo o tipo de dado e material
que possa ajudar na resolução do caso em questão. Uma vez realizada essas duas fases,
inicia-se a análise laboratorial das evidências (OLIVEIRA, 2001).
FORENSE COMPUTACIONAL
Devido ao surgimento de casos que envolvem o meio computacional, tornou-se
necessário o desenvolvimento de uma nova disciplina forense, cujo objetivo é criar
metodologias e acumular conhecimentos para a aquisição, manipulação e análise de
evidências digitais. A Forense Computacional é o ramo da criminalística que
compreende a aquisição, prevenção, restauração e análise de evidências computacionais,
que podem ser os componentes físicos ou dados que foram processados eletronicamente
e armazenados em mídias computacionais (VARGAS, QUINTÃO e GRIZENDI, 2007).
Palmer and Corporation (2001) destacam que a Forense Computacional pode ser
definida como a inspeção científica e sistemática em ambientes computacionais, com o
objetivo de angariar evidências derivadas de fontes digitais, tendo como objetivo
promover a reconstituição dos eventos encontrados (dessa forma, pode-se determinar se
o ambiente em análise foi utilizado na realização de atividades ilegais ou não
autorizadas.
Para resolver um mistério computacional é necessário examinar o sistema nos
mínimos detalhes, ou seja, da maneira que um detetive examina a cena de um crime.
Dessa forma, o perito que está realizando a análise deve conhecer profundamente o
sistema operacional em que está trabalhando para identificar e entender as relações de
causa e efeito de todas as ações tomadas durante a análise (OLIVEIRA, GUIMARÃES
e GEUS, 2002).
Para que o perito conduza uma análise forense computacional de maneira eficaz é
necessário que ele tenha uma série de habilidades, como, por exemplo, raciocínio
lógico, mente aberta e o entendimento das relações de causa e efeito. Todas essas
habilidades (que são encontradas nos programadores) são utilizadas durante a busca de
um erro em um programa (REIS e GEUS, 2001).
A Forense Computacional é uma área de pesquisa muito recente e poucos são os
trabalhos sobre esse assunto no Brasil. É importante que esta área se desenvolva, pois
muitos hackers utilizam os computadores em atividades criminosas (VARGAS,
QUINTÃO e GRIZENDI, 2007).
O PROCESSO DA PERÍCIA FORENSE COMPUTACIONAL
Segundo Pereira et al (2007) pode-se dividir as fases de um processo de
investigação forense computacional em quatro etapas, identificadas como: coleta dos
dados, exame dos dados, análise das informações e interpretação dos resultados, que
serão melhor detalhadas a seguir.
Coleta dos dados
Essa parte inicial do processo de realização da perícia em informática é de grande
importância para o sucesso da análise pericial. Nesse momento, coleta-se o máximo de
provas (dados relacionados ao evento) possível, que são os artefatos a serem utilizados.
É importante que seja utilizada uma metodologia clara e objetiva no momento da coleta
das provas (MELO, 2005).
As evidências digitais devem ser manipuladas com bastante cuidado, para que não
sejam danificadas ou destruídas, o que pode ocorrer por meio de vírus, campos
eletromagnéticos, choques mecânicos, eletricidade estática, entre outros. Os
procedimentos utilizados durante o processo devem ser bem documentados e
reprodutíveis partindo de uma cópia das evidências originais, para que possuam valor
legal (PEREIRA, 2007).
Exame dos dados
Nessa fase são selecionadas e utilizadas ferramentas e técnicas apropriadas a cada
tipo de dado coletado, com o objetivo de identificar e extrair as informações relevantes
ao caso que está sendo investigado, mas sempre com a preocupação de manter a
integridade dos dados (PEREIRA et al, 2007).
Análise das informações
Nesta fase, segundo Pereira et al (2007) é feita uma análise dos dados filtrados na
etapa anterior, com o objetivo de se obter informações úteis e relevantes que possam
responder às perguntas que deram origem à investigação.
Pretende-se identificar nessa fase, o autor, o que fez, quando fez, quais os danos
de seu ato e como realizou o crime (FREITAS, 2006), se possível tentando identificar o
modus operanti (modo de operação) do potencial atacante. Para que tenha sucesso nesse
processo é preciso saber como, onde e como procurar as evidências (MELO, 2005).
Nessa fase são analisadas e avaliadas as possibilidades de como o incidente pode
ter ocorrido (hipóteses) (MENEGOTTO, 2006).
Interpretação dos resultados
Nessa etapa final do processo de investigação é gerado um relatório (laudo
pericial) no qual devem estar descritos os procedimentos realizados e os resultados
obtidos (PEREIRA et al, 2007).
Um laudo pericial corresponde a um relatório técnico sobre a investigação, no
qual são apontados fatos, procedimentos, análise e resultados. O laudo é realizado a
partir das provas; a decisão é toda da justiça. O maior segredo de uma investigação, para
seu sucesso, consiste em verificar se há ou não destruição ou alteração das provas. As
provas devem ser protegidas de tal forma que não percam a sua veracidade (FREITAS,
2006).
O relatório de resposta a incidente depende diretamente de como os dados
investigados foram manipulados. Tem-se casos de criminosos que saíram ilesos devido
à coleta e à manipulação de dados de maneira incorreta. Os relatórios devem ser
concisos, coerentes e representar o foco da investigação (PEREIRA, 2007).
FERRAMENTAS PERICIAIS
A seguir são destacadas oito ferramentas que podem ser utilizadas em uma perícia
computacional, a saber: Ilook, GetDataBack, SmartWhois, eMailTrackerPro, EnCase,
PromqryUI 1.0, OllyDBG, Camouflage.
–
Ilook
O software ILook, ilustrado na Figura 1, trata-se de uma ferramenta de forense
computacional usada para analisar os meios digitais dos sistemas computacionais
apreendidos. Desenvolvido por Elliot Spencer (ILOOK, 2007), esse software tem
potencialidades para examinar imagens inclusive de outras ferramentas de forense
computacional, como SafeBack e Encase, e também de discos virtuais.
Figura 1. Tela principal da ferramenta ILook (EVIDENCIAL DIGITAL, 2007)
–
GetDataBack
A ferramenta GetDataBack é um recuperador de dados , que deve ser instalado no
Windows (vide Figura 2). Sendo assim, o computador que será usado para recuperação
de dados deverá possuir um HD com o Windows instalado mais o GetDataBack.
Basicamente em todos os recuperadores passivos pode-se encontrar um menu ou botão
para mapeamento dos dados e um outro para salvar esses dados em um disco rígido
extra, não modificando o HD com problema (EVIDÊNCIA DIGITAL, 2007).
Figura 2. Tela principal da ferramenta GetDataBack (EVIDÊNCIA DIGITAL, 2007)
–
SmartWhois
A ferramenta SmartWhois, criada pela Tamasoft, auxilia na verificação de IPs e de
domínios na Internet, por meio de acessos diretos a mais de 60.000 bases de dados do
estilo Whois, no mundo, buscando resultados mais completos dentro de segundos
(TAMOSOFT, 2007). Utilizada de forma correta, a ferramenta permite que o usuário
possa visualizar todas as informações contidas sobre o endereço IP, hostname ou
domínio, como país, cidade, estado, nome do fornecedor de rede, administrador e
informações do contato da assistência técnica.
Para que isso seja possível, basta digitar a indicação do IP ou domínio da
organização desejada e a ferramenta apresenta na tela a localização da empresa
correspondente aos dados digitados no sistema, como informado anteriormente. Esta
ferramenta utiliza padrões de dados que um Whois não utiliza, assim podendo
identificar a origem de mensagens suspeitas de e-mail, auxiliar em estudos mais
completos sobre registros, entre outras formas de auxílio.
A Figura 3 ilustra a tela de abertura da ferramenta SmartWhois. O usuário indica
qual o domínio ou o IP que se deseja investigar (nesse caso “granbery.edu.br”) e a
ferramenta retorna todas as informações desse domínio ou IP. Segundo Vargas, Quintão
e Grizendi (2007) é uma ferramenta de grande utilidade quando se deseja, por exemplo,
investigar uma determinada correspondência eletrônica que omite os dados do
remetente. Nesse caso, basta digitar o endereço do IP do servidor que a ferramenta
auxiliará na busca de todos os dados necessários na identificação do remetente.
Figura 3. Tela principal da ferramenta SmartWhois (VARGAS, 2006)
–
eMailTrackerPro
Criada e distribuída pela empresa Visualware (VISUALWARE, 2007), segundo
Vargas, Quintão e Grizendi (2007) a ferramenta eMailTrackerPro analisa o cabeçalho
de um e-mail, informa o IP da máquina que enviou a mensagem e o país ou a região do
mundo de onde se originou o e-mail, mostrando a localização em um mapa mundi,
conforme visto na Figura 4. Também identifica o uso do misdirection, tática usada pelos
spammers para cobrir seus rastros; e possui integração com a ferramenta VisualRoute,
também da Visualware para a obtenção de informações sobre o IP que originou a
mensagem (VISUALWARE, 2007).
O eMailTrackerPro pode ser utilizado para acompanhar todo e-mail recebido por
uma suposta vítima. Isso significa que se recebido um spam, a ferramenta poderá
verificar de onde foi enviado o e-mail, capturando a pessoa ou a máquina transmissora
do spam; além disso a ferramenta permite a visualização de todos os e-mails do usuário
antes da entrega em seu host ou computador. Essa característica faz uma varredura de
cada entrega do e-mail e identifica rapidamente de onde originaram e se são
misdirected.
Na Figura 4, apresenta-se à esquerda a rota de um determinado e-mail por IPs e a
rota do mesmo no mapa mundi, e, à direita, indica-se a empresa responsável pelos
serviços de e-mail. Pode-se utilizar essa ferramenta quando se deseja, por exemplo,
investigar se as informações confidenciais de uma suposta organização foram vendidas
antes mesmo de chegar “às mãos” da empresa responsável por esse serviço. Nesse caso,
faz-se uma busca da rota por onde esse e-mail passou, informando quando houve o
desvio da informação confidencial (VARGAS, QUINTÃO e GRIZENDI, 2007).
Figura 4. Tela da Ferramenta eMailTracker com Rota de IPs
–
EnCase
A ferramenta EnCase, criada e patenteada pela empresa Guidance Software, que é
diretamente ligada ao setor forense computacional, é uma das ferramentas mais
completas no que se refere à perícia forense, pois além de auxiliar na recuperação de
arquivos excluídos, padroniza laudos periciais, organiza um banco de dados com as
evidências, faz o encryption (fornece senhas do arquivo) e o decryption (“quebra” as
senhas) dos arquivos, analisa hardwares, logs, formatos e tipos de e-mails e fornece uma
opção de se manusear a evidência sem danificá-la, além de outras características
(GUIDANCE, 2007).
De acordo com Christófaro (2006) a ferramenta EnCase da Guidance Software
surgiu no cenário da Computação Forense em 1998 nos Estados Unidos, dois anos
depois ela se tornaria a principal ferramenta forense. Naquela época, a maioria dos
examinadores se utilizavam do prompt dos sistemas operacionais em suas investigações;
a proposta de um ambiente compatível com os populares ponteiros e janelas do
Windows da Microsoft era ousada, uma vez que na visão dos examinadores forenses o
prompt era mais poderoso e ainda oferecia mais opções de controle, além do mais a
ferramenta irá ser composta por quatro recursos básicos que permitem sua
funcionalidade abrangente. Esses recursos serão vistos a seguir (GUIDANCE, 2007):
–
análise detalhada do sistema: a ferramenta é capaz de descobrir arquivos
ocultos e excluídos, detectar rootkits, procurar documentos, identificar processos
de invasores, reconstruir atividade de Web e de e-mails, até decodificar certos
tipos de criptografia e identificar comunicação não autorizada na rede;
–
análise paralela: este tópico analisa com rapidez um grande número de
computadores ao mesmo tempo, reunindo informações críticas sobre seu estado
e conteúdo. A análise paralela é o recurso básico que permite produzir
velocidades de pesquisa empresarial e reação a incidentes muito superiores às
tecnologias concorrentes;
–
correção: após a identificação de um evento mal-intencionado, a ferramenta
auxilia a detê-lo e controlá-lo. Em quase todos os casos de reação a incidentes, é
possível ver o problema, mas não fazer algo a respeito ou não fazer nada, ou
então, usar ferramentas de terceiros para remediar a situação, o que pode
significar a desativação de pelo menos uma parte da rede. Com a ferramenta
pode-se documentar o incidente detalhadamente, acessar os computadores
comprometidos e corrigir o problema;
–
integração: a ferramenta é capaz de ser integrada à infra-estrutura de segurança
existente na empresa para proporcionar reação a incidentes em tempo real
automatizada. Os alertas gerados por tecnologias de monitoração, com os
sistemas IDS1 e SIG2, ativam reações automatizadas pela ferramenta, permitindo
aos profissionais de segurança reagir a centenas e potencialmente a milhares de
alertas por dia, logo após o evento ocorrer.
A Figura 5 ilustra uma verificação da caixa de entrada de e-mail, utilizando
métodos de busca e investigação da ferramenta EnCase em e-mails. Pode-se utilizar
essa ferramenta quando se deseja, por exemplo, investigar os dados em um computador
que foram excluídos ao se formatar logicamente a máquina.
1
2
IDS: Sistema de detecção de invasores
SIG: Ferramenta de gerenciamento de informações seguras
Figura 5. Tela do EnCase com visualização dos anexos de e-mail (VARGAS, 2006)
Segundo Andrade (2005), nessa situação a ferramenta pode auxiliar o perito na
busca de dados nos setores não utilizados do HD e, logo após, fazer uma busca em todos
os e-mails enviados à suposta vítima, podendo com essa ferramenta recuperá-los,
mesmo se estiverem em uma área que foi formatada.
–
PromqryUI
A ferramenta em questão permite a detecção de um sniffer de rede em execução
nos computadores com os sistemas operacionais Windows Server 2003, Windows XP
ou Windows 2000.
O sniffer de rede é um software ou hardware criado para obter os dados que
passam por uma rede. Uma vez obtidos, esses dados capturados podem ser utilizados
para análise do tráfego de rede, execução de aplicações na rede e demais fins de
segurança. Também pode ser usado com fins ilegítimos, incluindo o roubo de dados,
quebras de senha e mapeamento de rede.
Um sniffer de rede pode ser executado em modo não-promíscuo ou modo
promíscuo. O modo promíscuo ocorre quando a placa do adaptador de rede copia todos
os quadros que passam pela rede para um buffer local, independentemente do endereço
de destino. Esse modo permite que os sniffers de rede capturem todo o tráfego de rede
na sub-rede local do sniffer ou na rede local virtual (VLAN), que pode incluir difusões,
difusões ponto a ponto e difusões seletivas (MICROSOFT, 2007).
A ferramenta auxilia na inserção de um único sistema ou um intervalo de sistemas
à lista, sendo possível adicionar sistemas por endereço IP ou por nome. Se um nome for
adicionado, PromqryUI tenta determinar o nome para um endereço IP, se não for
possível determinar o nome para um endereço IP, a consulta falhará.
A Figura 6 apresenta todos os sistemas adicionados à lista, que serão
automaticamente salvos ao sair do PromqryUI; já a lista Systems To Query será
preenchida automaticamente com os sistemas e intervalos salvos.
Figura 6. Sistemas adicionados e intervalos salvos (MICROSOFT, 2007)
É possível usar as opções de ping e detalhamento para iniciar a consulta aos
sistemas selecionados. O resultado da consulta, destacando se foram encontradas
interfaces em execução no modo promíscuo, é exibido em seguida, conforme ilustrado
na Figura 7.
Quando PromqryUI (ou Promqry) localiza um host com interface em execução no
modo promíscuo, PromqryUI usa o WMI3 para consultar o host a respeito de
informações adicionais com o objetivo de facilitar a identificação desse host, como
apresentado na Figura 8 (MICROSOFT, 2007).
3
WMI: Windows Management Instrumentation, infra-estrutura que possui recursos de linha de
comando e de criação de script, você pode monitorar e controlar os eventos do sistema
relacionados a aplicativos, componentes de hardware e redes.
Figura 7. Consulta feita e apresentação de interface promíscua (MICROSOFT, 2007)
–
OllyDBG
O OllyDbg é uma ferramenta chamada de debugador, que permite o
acompanhamento, passo a passo, da execução de programas, além de possuir um
desassemblador muito conciso, que apresenta todas as linhas de comando, podendo
observar o conteúdo dos registradores e de posições da memória.
Essa ferramenta processa várias ações demonstradas em uma janela com quatro
painéis. É apresentado na Figura 8 um breakpoint numa área de um código, de um vírus
desassemblado. Observe que no canto inferior direito da Figura 8 há uma área de texto
com o nome paused ( isso quer dizer que todas as modificações poderão ser feitas com o
programa parado). No canto inferior esquerdo aparece o texto program entry point
indicando que a execução está parada naquele momento e o ponteiro está no ponto de
entrada do programa.
Figura 8. Breakpoint no OllyDbg (OLLYDBG, 2007)
–
Camouflage
A Camouflage é uma ferramenta de uso simples, que utiliza princípios básicos de
esteganografia para poder “ocultar” arquivos dentro de outros arquivos.
A esteganografia está presente em nosso cotidiano nas várias formas possíveis,
tanto em uma nota de 1 real, apresentando formas que não poderão ser vistas a olho nu e
somente com auxílio de equipamentos, lentes, reagentes químicos, ou fotorreagentes,
como apresentado na Figura 9, quanto em um documento que poderá conter inúmeras
mensagens ocultas.
Figura 10. Cédula de Real
Esta ferramenta é utilizada por muitos terroristas para enviar e receber
informações através de imagens, em textos, áudio, vídeo e até em pacotes TCP/IP.
Hoje, o perito forense em informática deve estar muito atento a qualquer tipo de
imagem aparentemente inofensiva, pois dentro dela pode estar alguma informação
altamente valiosa para a perícia de um caso.
Para um perito forense é necessário conhecer todos os formatos de imagens para
avaliar o tamanho real, em disco, de um arquivo de imagem. Como em qualquer
tecnologia nova, na esteganografia ainda não há ferramentas que possam avaliar 100%
uma imagem, por isso a necessidade de investimentos e estudos no assunto.
A ferramenta freeware denominada Camouflage utiliza um determinado arquivo,
nesse caso um arquivo de imagem, para “camuflar” demais arquivos. Como exemplo,
na Figura 10, a ferramenta foi ilustrada com o uso de um arquivo de imagem intitulado
PericiaGranbery.jpg para camuflar um arquivo de texto, do tipo .txt, denominado
senhas.txt.
Figura 10. Escolha do arquivo de imagem
Como apresentado anteriormente e exemplificado na Figura 11 é escolhido um
arquivo de imagem para que seja camuflado o arquivo de texto, sendo que o arquivo de
imagem não sofrerá alterações na imagem, podendo trafegar pela Internet sem nenhum
problema, mas se a pessoa que receber esse arquivo tiver a ferramenta Camuflage, é
possível verificar se existe algo encoberto utilizando a opção UnCamuflage, assim
podendo receber o arquivo e extrair o dado camuflado.
Figura 11. Extração do arquivo camuflado
Na seção seguinte serão destacados exemplos de hardwares que podem ser
utilizados na perícia forense computacional.
HARDWARES UTILIZADOS EM PERÍCIA
Para realizar um processo de análise válido, é indispensável um conjunto de
ferramentas confiável e, principalmente, que as evidências coletadas possam ser
utilizadas em uma disputa judicial. A seguir, são apresentadas algumas ferramentas para
auxiliar o perito em seu trabalho, com uma breve descrição de sua utilização e
finalidade.
–
FastBlock 2
A empresa Guidance Software, além de desenvolver softwares para perícia
forense, como o EnCase, também desenvolve hardwares para a área de perícia forense
computacional, em conjunto com a empresa Wiebe Tech, como o FastBlock2 Lab
Edition e Fiel Edition (GUIDANCE, 2007).
O hardware Fiel Edition é uma ferramenta portátil, como apresentada na
Figura 12, capaz de fazer bloqueios, criptografia, leituras e cópias de disco rígidos no
próprio local do incidente a ser periciado. O hardware promove assim não só a coleta de
dados, mas também a proteção dos dados coletados, apresentando tecnologias de
comunicação ATA, SATA e USB (GUIDANCE, 2007).
Figura 12. FastBloc2 Fiel Edition
Já o hardware Lab Edition é uma ferramenta não portátil, como apresentada na
Figura 13, utilizada somente em ambientes laboratoriais. Além de fornecer todas as
funções da versão Fiel Edition, trabalha também com tecnologias de comunicação
FireWare e ATA, que a outra versão não fornece. Além de serem compatíveis com
software EnCase, trabalham diretamente com uma ferramenta denominada Computer
Forensic Software Recognition para poder reaver, reorganizar e exportar estes dados
coletados. As duas ferramentas trabalham tanto em plataformas Windows e Unix,
quanto em plataforma Mac, atendendo assim os principais sistemas operacionais, que
estão presentes hoje no mercado (GUIDANCE, 2007).
Figura 13. FastBloc2 Lab Edition
–
Estação F.R.E.D
Este hardware, ilustrado na Figura 14, consiste em uma estação de perícia
produzida pela Digital Intelligence, Inc. (http://www.digitalintelligence.com), para
aquisição e análise de evidências em computadores. Possui recursos não encontrados em
estações padrão de mercado e configuração bastante flexível. Pode-se ter: disco flexível
de 3 ½ e 5 ¼, drives de ZIP, JAZ e DITTO, discos IDE e SCSI, etc. Também possui
bloqueadores de escrita por hardware (FREITAS, 2005).
Figura 14. F.R.E.D - Forensic Recovery of Evidence Device (FREITAS, 2006)
CONSIDERAÇÕES FINAIS
Este trabalho apresentou um tema bastante atual e que tem recebido significativa
atenção tanto da comunidade científica quanto da indústria: a forense computacional.
Foram destacadas as etapas de uma perícia forense computacional, bem como
ferramentas que podem ser utilizadas em uma investigação.
A forense computacional trabalha com dados físicos e reais, mas numa realidade
digital, na qual os dados físicos são informações elétricas, eletrônicas, magnéticas,
eletromagnética e em outras formas mais ou menos voláteis. Os dados mudam, as
tecnologias mudam, os equipamentos mudam, os conhecimentos mudam, tudo que
conhecemos muda e sempre mudará, por isso há a necessidade da busca de
conhecimentos para a aquisição e um maior detalhamento de evidências.
Como proposta de trabalhos futuros cita-se a possibilidade de realizar um estudo
mais avançado sobre ferramentas específicas para um determinado ambiente (linux ou
windows), com o objetivo de exemplificar o uso dessas ferramentas em um caso real de
perícia computacional.
REFERÊNCIAS BIBLIOGRÁFICAS
ANDRADE, T. F. de. Perícia Forense Computacional Baseada em Sistema
Operacional Windows. Trabalho de Conclusão de Curso, Jaraguá do Sul, Santa
Catarina, 2005.
CRHISTÓFARO, G. T. Forense Computacional em Ambientes de Redes - EnCase,
Apresentação na III Conferência Internacional de Investigação em Crimes
Cibernéticos - IcCyber, Brasília, 2006.
FREITAS, A. R. de. Perícia Forense Aplicada à Informática. Trabalho de Curso de
Pós-Graduação “Lato Sensu”em Internet Security. IBPI. 2003.
_________Perícia Forense Aplicada a Informática: Ambiente Microsoft. Rio de
Janeiro: Brasport, 2006.
GUIDANCE.
About
EnCase®
Forensic.
Disponível
em:
<http://www.guidancesoftware.com/products/ef_index.aspx/>. Acesso em: 14 ago.
2007.
ILOOK. Disponível em: <http://www.ilook-forensics.org/>. Acesso em: 6 set. 2007.
LEE, H. C., PALMBACH, T. M., MILLER, M. T. Henry Lee’s Crime Scene
Handbook. San Diego: Academic Press.2001.
MICROSOFT. Descrição do Promqry 1.0 e PromqryUI 1.0. Disponível em:
<http://support.microsoft.com/kb/892853/>. Acesso em: 6 set. 2007.
MELO, Sandro. Disponível em <http//www.linux.com.br>. Acesso em: 13 mar. 2005.
MENEGOTTO, V. H. Análise Forense: Processo de Investigação Digital. Disponível
em: <http://www.axur.com.br/artigo.php?id=67>. Acesso em: 10 dez. 2006.
OLIVEIRA, F. S. Metodologias de Análise Forense para Ambientes Baseados em
NTFS. 2001.
OLIVEIRA, F. S.; GUIMARÃES, C. C.; GEUS, P. L. Resposta a Incidentes para
Ambientes Corporativos Baseado em Windows. 2002.
OLLYDBG. Disponível em: <http://www.ollydbg.de/>. Acesso em: 10 set. 2007.
PALMER, G. and CORPORATION, M. A Road Map for Digital Forensic Research.
Technical Report. 2001.
PEREIRA, Marcos Nascimento Borges. Disponível em:
<http://www.forensedigital.com.br>. Acesso em: 12 mai. 2007.
PEREIRA et al. Forense Computacional: Fundamentos, Tecnologias e Desafios
Atuais. Anais do VII Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais, pp. 03-53, Rio de Janeiro, 2007.
PERITO CRIMINAL. Disponível em <http://www.peritocriminal.com.br/> Acesso em
abril de 2007.
REIS, M. A.; GEUS, P. L. Forense Computacional: Procedimentos e Padrões. 2001.
TAMOSOFT. Disponível em: <http://www.tamos.com/products/smartwhois/>. Acesso
em: 03 ago. 2007.
VARGAS. R. G.; QUINTÃO, P.L; GRIZENDI, L.T. Perícia Forense Computacional.
Anais do I Workshop de Trabalhos de Iniciação Científica e de Graduação da
Faculdade Metodista Granbery, pp. 20-29, Juiz de Fora, Maio de 2007.
VARGAS, R. G. Processos e Padrões em Perícia Forense Aplicado a Informática.
Trabalho de Conclusão de Curso, Bacharelado em Sistemas de Informação,
Faculdade Metodista Granbery, Juiz de Fora, Minas Gerais, 2006.
VISUALWARE.
eMailTrackerPro
®
2007.
Disponível
<http://www.emailtrackerpro.com/index.html>. Acesso em: 19 abr. 2007.
em: