instituto federal do espírito santo bacharelado em - LabSeg

Transcrição

INSTITUTO FEDERAL DO ESPÍRITO SANTO
BACHARELADO EM SISTEMAS DE INFORMAÇÃO
VICTOR LUIZ BERNARDES DA SILVA
ANÁLISE E APLICAÇÃO DE TÉCNICAS ANTI-FORENSES
SERRA
2016
VICTOR LUIZ BERNARDES DA SILVA
ANÁLISE E APLICAÇÃO DE TÉCNICAS ANTI-FORENSES
Trabalho de Conclusão de Curso apresentado a
Coordenadoria de Cursos Superiores em
Informática do Instituto Federal do Espírito Santo,
como requisito parcial para a obtenção do título de
Bacharel em Sistemas de Informação.
Orientador: Prof. Gilberto Neves Sudré Filho
SERRA
2016
Dados Internacionais de Catalogação na Publicação (CIP)
S586a
Silva, Victor Luiz Bernardes da
Análise e aplicação de técnicas anti-forenses / Victor Luiz
Bernardes da Silva. - 2016.
78 f.; il.; 30 cm
Orientador: Prof. Gilberto Neves Sudré Filho.
Monografia (graduação) - Instituto Federal do Espírito Santo,
Coordenadoria de Informática, Curso de Bacharelado em Sistemas
de Informação, 2016.
1. Crimes por computador. 2. Perícia forense computacional. 3.
Computadores - Medidas de segurança. 4. Sistemas de
recuperação da informação - Medidas de segurança. I. Sudré Filho,
Gilberto Neves. II. Instituto Federal do Espírito Santo. III. Título.
CDD 005.8
AGRADECIMENTOS
Agradeço a Deus em primeiro lugar por mais essa conquista.
Agradeço também aos meus pais, Edson e Edna, a minha irmã, Tamyris, pelo o
apoio em todas as decisões e sempre incentivando a nunca desistir.
Agradeço também a Izabela que ao longo desse período de curso esteve ao meu
lado me motivando a estudar sempre.
Agradeço aos meus amigos que estiveram ao meu lado me ajudando, e sempre me
apoiando.
Agradeço aos amigos que fiz no IFES, por todo conhecimento e que trocamos, pelos
momentos de diversão que passamos.
Agradeço também aos meus colegas de trabalho da Etaure por toda a paciência e
pelos ensinamentos.
Agradeço também aos professores
Agradeço também a todos que fizeram parte dessa etapa da minha da minha vida.
Obrigado a Todos
“As vezes temos que ir muito alto para
perceber o quão pequeno você realmente é.”
Felix Baumgartner
RESUMO
A perícia computacional forense vem ajudando as autoridades a combater os
criminosos digitais há anos. Entretanto, as técnicas utilizadas por criminosos
cibernéticos estão evoluindo, de forma que obriga os peritos a sempre melhorar o
processo de investigação. Com isso, tais criminosos procuram esconder seus
rastros utilizando técnicas anti forenses tais como: Esteganografia, criptografia entre
outras. Neste trabalho, analisamos o funcionamento de quatro técnicas anti forense.
Para isso, simularemos um ambiente de ataques a computadores utilizando
ferramentas anti forense e ferramentas de perícia para coletar dados referentes aos
ataques. E será mostrado sua eficácia perante uma possível situação de
investigação.
Palavras-chave: Anti forense. Computação. Segurança da Informação
ABSTRACT
Forensic computer expertise is helping the authorities to combat cybercriminals
years. However, the techniques used by cybercriminals are evolving, so that requires
experts to always improve the investigation process. Thus, these criminals seek to
hide their tracks using anti forensic techniques such as steganography, encryption,
among others. In this paper, we analyze the operation of four anti forensic
techniques. For this, we will simulate a computer attacks environment using anti
forensic tools and expertise tools to collect data for the attacks. It will be shown its
effectiveness against a possible research situation.
Keywords: Anti forensics. Computing. Information security
LISTA DE FIGURAS
Figura 1 - Incidentes reportados................................................................................ 17
Figura 2 - Tipos de incidentes ................................................................................... 18
Figura 3 - Ataque DDoS ............................................................................................ 25
Figura 4 - Etapas da investigação ............................................................................. 34
Figura 5 - Alternate Data Stream............................................................................... 41
Figura 6 - Tela inicial OpenPuff v4.00 ....................................................................... 44
Figura 7 - Imagem original ........................................................................................ 45
Figura 8 - Propriedade da imagem ............................................................................ 46
Figura 9 - Mensagem ocultada .................................................................................. 47
Figura 10 - Propriedade da imagem com mensagem oculta ..................................... 48
Figura 11 - Figura com a mensagem oculta .............................................................. 48
Figura 12 - Comparação entre as imagens original (esquerda) com mensagem
ocultada (direita)..................................................................................... 49
Figura 13 - Comparação entre imagens .................................................................... 50
Figura 14 - Propriedades áudio original .................................................................... 51
Figura 15 - Representação áudio original ................................................................. 52
Figura 16 - Propriedades do áudio com mensagem oculta ....................................... 53
Figura 17 - Representação do áudio com mensagem oculta .................................... 53
Figura 18 - Comparação entre áudio, original (em cima) com mensagem oculta
(abaixo) .................................................................................................. 54
Figura 19 - Comparação entre áudio, original (em cima) com mensagem oculta
(abaixo) WINHEX ................................................................................... 55
Figura 20 - Propriedades video original ..................................................................... 56
Figura 21 - Tela do OpenPuff v4.00 .......................................................................... 57
Figura 22 - Propriedade do video com mensagem oculta ......................................... 57
Figura 23 - Comparação de vídeos original em cima, com mensagem oculta
embaixo .................................................................................................. 58
Figura 24 - Comparação do dump de memória antes e depois do sistema
desligado ................................................................................................ 59
Figura 25 - Hash dos arquivos imagem, áudio e video em ordem ............................ 60
Figura 26 - Propriedades dos arquivos ..................................................................... 62
Figura 27 - Propriedade do volume ........................................................................... 63
Figura 28 - Montagem do volume.............................................................................. 64
Figura 29 - Novo volume ........................................................................................... 65
Figura 30 - Arquivo em branco .................................................................................. 66
Figura 31 - Criação de uma arquivo ADS .................................................................. 67
Figura 32 - Prompt de comandos não exibindo o arquivo ADS ................................. 67
Figura 33 - Tela Stream Armor .................................................................................. 69
Figura 34 - Tela do Eraser ........................................................................................ 70
Figura 35 - Tela do Recuva após uma deleção normal ............................................. 71
Figura 36 - Tela Recuva depois de usado o Eraser .................................................. 72
LISTA DE ABREVIATURAS E SIGLAS
ADS - Alternate Data Streams
AES - Advanced Encryption Standard
AVI - Audio Video Interleave
BMP - Bitmap Image File
CERT.BR - O Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil
CGI.BR - Comitê Gestor da Internet no Brasil
CRYPTREC - Cryptography Research and Evaluation Committees
DDoS - Distributed Denial of Service (Ataque de Negação de Serviço Distribuído)
DoS - Denial of Service (Ataque de Negação de Serviço)
DRAM - Dynamic random-access
EOF - End of File
FAT32 - File Allocation Table
HASH - É uma sequência de bits geradas por um algoritmo de dispersão, em geral
representada em base hexadecimal, que permite a visualização em letras e
números de tamanho fixo de um arquivo, esse número é único
HD - Hard Drive(Disco Rígido)
HFS - Hierarchical File System
Host - Computador ou Máquina Conectado a uma Rede, que Conta com Número
de IP e Nome Definidos
LSB - Least significant bit
NESSIE - New European Schemes for Signatures, Integrity and Encryption
NIC.BR - Núcleo de Informação e Coordenação do Ponto BR
NTFS - New Technology File System
RSA - Ron Rivest, Adi Shamir e Len Adleman
TPVDD - tri-way pixel-value differencing with pseudorandom dithering
TXT - Text file
WAV - Waveform Audio File Format
SUMÁRIO
1
INTRODUÇÃO.............................................................................................. 13
1.1
OBJETIVO GERAL........................................................................................ 14
1.2
OBJETIVOS ESPECÍFICOS......................................................................... 14
1.3
JUSTIFICATIVA............................................................................................ 14
1.4
ESTRUTURAÇÃO DO TRABALHO.............................................................. 15
2
REFERENCIAL TEÓRICO............................................................................ 16
2.1
CRIMES DIGITAIS E LEGISLAÇÃO GERAL................................................ 16
2.1.1 Golpes na internet....................................................................................... 17
2.1.2 Ataques na internet..................................................................................... 24
2.1.3 Códigos maliciosos..................................................................................... 27
2.2
LEGISLAÇÃO ESPECÍFICA PARA INTERNET............................................ 28
2.3
COMPUTAÇÃO FORENSE.......................................................................... 34
2.4
TÉCNICAS ANTI FORENSES...................................................................... 36
3
METODOLOGIA........................................................................................... 43
3.1
ESTEGANOGRAFIA..................................................................................... 44
3.2
CRIPTOGRAFIA............................................................................................ 60
3.3
ALTERNATE DATA STREAM....................................................................... 65
3.4
WIPE............................................................................................................. 69
4
CONSIDERAÇÕES FINAIS.......................................................................... 73
REFERÊNCIAS............................................................................................. 75
13
1 INTRODUÇÃO
A sociedade tem evoluído de uma forma muito rápida e boa parte desse avanço se
deve a tecnologia, e isso levou ao surgimento de um termo sociedade da informação
que pode ser definida de acordo com Coutinho e Lisbôa (2011) como uma
sociedade inserida num processo de mudança constante, fruto dos avanços na
ciência e na tecnologia. E com o auxilio da internet que vem sendo um dos grandes
paradigmas dessa nova sociedade. Essa evolução acabou abrindo inúmeras
possibilidades tanto com a socialização através de redes sociais, mas também lado
negativo que os criminosos agora não precisam de se expor esses criminosos são
conhecidos por cometer "cybercrimes" ou crimes virtuais.
Os crimes virtuais são aqueles delitos praticados utilizando-se como meio a internet.
De Carli (2006) salienta que um dos motivos desses crimes está no anonimato que a
rede mundial de computadores proporciona e em conjunto com a falta ou as falhas
que a atual legislação possui, e o resultado disso é uma sociedade que busca se
proteger e combater essas atitudes. Uma dessas formas é através da pericia digital
forense, que é um processo de investigação que faz o uso de ferramentas que
auxiliam a investigação.
Ferramentas de perícia de computação forense auxiliam investigadores a localizar
criminosos que exploram as vulnerabilidades existentes nos aparelhos eletrônicos.
Conforme Eleutério e Machado (2011) a Perícia Forense ou Análise Digital Forense
é a modalidade de perícia criada para combater os crimes digitais, utilizando
análises e métodos na busca de identificar e coletar evidências comprovadas e
eficientes.
Com o intuito de escapar da pericia os criminosos buscam esconder seus rastros
utilizando técnicas anti forense. Segundo Torres (2013) a utilização dessas técnicas
cada vez mais avançadas por parte dos criminosos têm desafiado os peritos, pois
14
muitos não conseguem acompanhar a evolução dessas técnicas, de forma que a
investigação não possa ser continuada.
1.1 OBJETIVO GERAL
Analisar as principais técnicas anti forense atuais e avaliar sua eficácia.
1.2 OBJETIVOS ESPECÍFICOS

Levantamento dos principais crimes digitais.

Estudo da legislação dos principais crimes digitais

Identificação de técnicas anti forenses mais utilizadas.

Avaliar a dificuldade de aplicação das técnicas anti forenses.
1.3 JUSTIFICATIVA
15
Ao contrário dos trabalhos que buscam melhorias no processo de investigação,
neste temos um atenção em focar nas técnicas anti forense que atrapalham o
processo de investigação criminal computacional forense, com o objetivo de mostrar
como os criminosos tentam esconder seus rastros. E assim melhorar eficiência da
perícia criminal forense.
1.4 ESTRUTURAÇÃO DO TRABALHO
O capítulo 2 trata de uma revisão conceitual que dos assuntos: legislação, crimes
digitais, computação forense e técnicas anti-forense. No capítulo 3 será apresentada
a metodologia de como o trabalho foi feito. No capítulo 4 serão apresentados os
resultados desse trabalho. No capítulo 5 será feita uma conclusão sobre os
resultados em relação ao trabalho apresentado.
16
2 REFERENCIAL TEÓRICO
2.1 CRIMES DIGITAIS E LEGISLAÇÃO GERAL
Segundo Furlaneto Neto e Guimarães (2003), os crimes informáticos podem ser
classificados em digitais puros, mistos e comuns.
1. Crime digital puro - compreende em qualquer conduta ilícita, a qual atenta o
hardware e/ou software de um computador, ou seja, tanto a parte física
quanto a parte virtual do microcomputador.
2. Crime digital misto - seria o que utiliza a Internet para realizar a conduta
ilícita, e o objetivo é diferente do citado anteriormente. Por exemplo, as
transações ilegais de valores de contas correntes.
3. Crime digital comum - é utilizar a Internet apenas como forma de
instrumento para realizar um delito que enquadra no Código Penal, como,
por exemplo, distribuição de conteúdo pornográfico infantil por diversos
meios, como messengers, e-mail, torrent ou qualquer outra forma de
compartilhamento de dados.
Muitos dos crimes digitais, já existiam antes no mundo real, mas com a utilização
dos computadores e internet alguns desses crimes tiveram que ser mudados na
constituição. Alguns deles são caracterizados como incidentes de segurança.
De acordo Ascroft, Daniels e Hart (2004) podemos definir um incidente como
“Qualquer material ilegal, não autorizado, ou inaceitável ação que envolve um
sistema de computador ou uma rede de computadores”.
17
Os alguns dos crimes digitais mais comuns foram divididos em 3: Golpes na internet,
Ataques na internet e Códigos Maliciosos.
2.1.1 Golpes na internet
Vamos analisar dados importantes que mostram o quanto os crimes vem
aumentando com o passar dos anos, com os dados obtidos do CERT.BR que é
mantido pelo NIC.BR do CGI.BR, e atende a qualquer rede brasileira conectada à
Internet. Na figura 1 vemos a quantidade de ataques e na figura 2 temos os tipos de
ataques.
Figura 1 - Incidentes reportados
Fonte: CERT.BR (2012)
18
Figura 2 - Tipos de incidentes
Fonte: CERT.BR (2012)
Podemos ver na Figura 1 que a partir de 2006 ocorreu um grande salto nos
incidentes reportados, sendo que em 2014 foi onde tivemos os maiores níveis.
De acordo com a Cartilha do CERT.BR (2012) muitos dos golpes aplicados na
Internet podem ser considerados crimes contra o patrimônio, tipificados como
estelionato. Dessa forma, o golpista pode ser considerado um estelionatário.

Estelionato
O artigo 171 do código penal - Decreto 2848/40 que está transcrita abaixo:
19
Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo
alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou
qualquer outro meio fraudulento.
A linha que diferencia o estelionato do furto e do roubo está no fato de que a vítima
acaba entregando ao estelionatário o que ele pede, mesmo sem ter sido ameaçada,
apenas porque ela acredita que pode confiar naquela pessoa. Estelionato muitas
vezes está ligado com Engenharia Social. Segundo Eiras (2004) Engenharia Social
é o termo utilizado para a obtenção de informações importantes de uma
organização, através de seus funcionários e colaboradores. Essas informações
podem ser obtidas por ingenuidade ou confiança. Os ataques dessa natureza podem
ser realizados através de telefonemas, envio de mensagens por correio eletrônico,
salas de bate-papo e até mesmo pessoalmente.
Outra atividade muito relacionada com o Estelionato é o phishing. Aqui o golpista
tenta obter informações pessoais da vítima combinando recursos técnicos e
engenharia social. De acordo com a cartilha de segurança do CERT.BR (2012), O
phishing ocorre por meio do envio de mensagens eletrônicas que:
1.
tentam se passar pela comunicação oficial de uma instituição conhecida,
como um banco, uma empresa ou um site popular;
2.
procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou
pela possibilidade de obter alguma vantagem financeira;
3.
informam que a não execução dos procedimentos descritos pode acarretar
sérias consequências como a inscrição em serviços de proteção de crédito e o
cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
4.
tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do
acesso a páginas falsas, que tentam se passar pela páginas oficial da instituição; da
instalação de códigos maliciosos, projetados para coletar informações sensíveis; e
do preenchimento de formulário contidos na mensagem ou em página Web.
20

Invasão
Artigo 154 do código penal - Decreto 2848/40:
Este artigo foi incluído na lei em 2012 devido a criação da Lei n° 12.737, que será
discutido na próxima parte deste capítulo.

Crimes contra Honra
Este crime já existia antes da internet, por este motivo as leis já estavam
consolidadas, dessa forma foi somente estendido para a zona virtual. De acordo
com os Artigos 138, 139 e 140 do código penal - Decreto 2848/40 que estão
transcritas em parte abaixo:
Art. 138 - Caluniar alguém, imputando-lhe falsamente fato definido como
crime: Pena - detenção, de seis meses a dois anos, e multa.
Art. 139 - Difamar alguém, imputando-lhe fato ofensivo à sua reputação:
Pena - detenção, de três meses a um ano, e multa.
Art. 140 - Injuriar alguém, ofendendo-lhe a dignidade ou o decoro: Pena detenção, de um a seis meses, ou multa.
Podemos encaixar aqui os crimes onde o autor usa a internet como forma de
expressão, seja ele criando informações falsas sobre uma pessoa, ofendendo a
pessoa, ou até mesmo fazendo apologia contra um grupo.

Furto
21
De acordo com os Artigos 155 do código penal - Decreto 2848/40 que está transcrita
abaixo:
Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: Pena reclusão, de um a quatro anos, e multa.
O mesmo pode ser associado ao adquirir uma informação que está em um meio
virtual, que pertence a uma pessoa.

Espionagem Eletrônica e Crimes Contra a Propriedade Intelectual
Com a crescente dependência da tecnologia, e o grande volume de dados as
empresas atuais possuem uma grande quantidade de informação associadas a elas
em meios virtuais. Muitas dessas informações possuem caráter sigiloso, logo jamais
deveriam ser divulgadas a não ser que a própria empresa permita.
Atualmente o Brasil não possui uma lei exclusiva para espionagem eletrônica. Um
artigo que melhor se aproxima disso é o Artigo 154 do código penal - Decreto
2848/40 que está transcrita em partes abaixo:
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou
difunde dispositivo ou programa de computador com o intuito de permitir a
prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)
Vigência.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta
prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012) Vigência.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações
eletrônicas privadas, segredos comerciais ou industriais, informações
sigilosas, assim definidas em lei, ou o controle remoto não autorizado do
dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não
constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012) Vigência.
§ 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver
divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos
22
dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012)
Vigência.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado
contra: (Incluído pela Lei nº 12.737, de 2012) Vigência.
I - Presidente da República, governadores e prefeitos; (Incluído pela Lei nº
12.737, de 2012) Vigência.
II - Presidente do Supremo Tribunal Federal; (Incluído pela Lei nº 12.737, de
2012) Vigência.
III - Presidente da Câmara dos Deputados, do Senado Federal, de
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal
ou de Câmara Municipal; ou (Incluído pela Lei nº 12.737, de 2012) Vigência.
IV - dirigente máximo da administração direta e indireta federal, estadual,
municipal ou do Distrito Federal. (Incluído pela Lei nº 12.737, de 2012)
Vigência Ação penal (Incluído pela Lei nº 12.737, de 2012) Vigência.
Vendo o parágrafo 3° observamos que ele descreve sobre espionagem eletrônica,
não apenas cobrindo uma empresa ou instituição, mas inclusive considerando
interceptação de mensagens como crime, logo interceptação de emails também é
colocado como crime.
No parágrafo 4° pode-se ver que caso a espionagem tem como objetivo a
divulgação e venda das informações adquiridas irá ocorrer um aumento em relação
a pena que deverá ser cumprida para aqueles que violarem essa lei.
No parágrafo 5° protege as pessoas que estão vinculadas com o ramo político
garantido uma proteção, já que a pena também aumenta caso o crime seja praticado
contra elas.
Importante citar que muitas dessas informações contêm informações de propriedade
intelectual da empresa. E assim este bem deverá ser protegido, um artigo que vale a
pena ser citado é o Artigo 184 do código penal - Decreto 2848/40 que está transcrito
abaixo:
23
Art. 184. Violar direitos de autor e os que lhe são conexos: (Redação dada
pela Lei nº 10.695, de 1º.7.2003)
Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa. (Redação dada
pela Lei nº 10.695, de 1º.7.2003)
§ 1o Se a violação consistir em reprodução total ou parcial, com intuito de
lucro direto ou indireto, por qualquer meio ou processo, de obra intelectual,
interpretação, execução ou fonograma, sem autorização expressa do autor,
do artista intérprete ou executante, do produtor, conforme o caso, ou de
quem os represente: (Redação dada pela Lei nº 10.695, de 1º.7.2003)
Pena - reclusão, de 2 (dois) a 4 (quatro) anos, e multa. (Redação dada pela
Lei nº 10.695, de 1º.7.2003)
Nesse artigo observando o parágrafo 1° podemos observar que está proibido o uso
e de qualquer obra intelectual com intuito de lucro seja ela diretamente ou
indiretamente, sem a autorização do autor.

Pornografia Infantil e Pedofilia
Segundo Castro e Bulawski (2011): Pedofilia é tratada como uma psicopatologia, um
desvio no desenvolvimento da sexualidade, caracterizado pela atração sexual de
forma compulsiva e obsessiva por crianças e adolescentes. A pornografia infantil é
tipificada em alguns artigos do Estatuto da Criança e do Adolescente pela simples
exposição de cenas de nudez que envolva crianças ou adolescentes, desde que
contenham conotação pornográfica.
Pornografia infantil e pedofilia estão contempladas no código penal através do artigo
Art. 240 e 241 do Estatuto da Criança e do Adolescente - Lei 8069/90 que estão
transcritas em parte abaixo:
Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por
qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança
ou adolescente: (Redação dada pela Lei nº 11.829, de 2008).
24
Pena - reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela
Lei nº 11.829, de 2008).
§ 1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou
de qualquer modo intermedeia a participação de criança ou adolescente nas
cenas referidas no caput deste artigo, ou ainda quem com esses
contracena. (Redação dada pela Lei nº 11.829, de 2008).
O artigo 240 tem como intuito a classificação como crime a participação na criação
de vídeos de pornografia que envolva crianças ou adolescentes, Além de tipificar
como crime aquele que age como um intermediador no processo fazendo com que a
criança ou adolescente participe desse tipo de gravação.
2.1.2 Ataques na internet

DoS e DDoS
De acordo com Douligeris (2003) um ataque DoS é caracterizado quando o acesso a
um computador ou recurso de rede está bloqueada intencionalmente como resultado
da ação maliciosa tomadas por outro usuário. Um ataque DDoS utiliza muitos
computadores para lançar um coordenado ataque DoS contra uma ou mais alvo. Ou
seja, esse tipo de ataque tem com como objetivo impedir que aquele computador ou
serviço trabalhe de forma correta.
O Ataque de DDoS é caracterizado por possuir um computador que coordena o
ataque, através de hosts comprometidos por algum software malicioso, eles são
chamados de handler ou masters. Esses hosts possuem a capacidade de controlar
múltiplos agentes (outros computadores) e esses agentes geram o intenso fluxo de
pacotes que será enviado para a vítima. Podemos ver melhor na figura 3 localizada
abaixo. Este tipo de ataque está previsto na lei Artigo 266 do código penal - Decreto
25
2848/40 que está transcrito abaixo, podemos ver que foi adicionado serviços
telemáticos no parágrafo 1:
Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou
telefônico, impedir ou dificultar-lhe o restabelecimento:
Pena - detenção, de um a três anos, e multa.
Parágrafo único - Aplicam-se as penas em dobro, se o crime é cometido por
ocasião de calamidade pública.
§ 1o Incorre na mesma pena quem interrompe serviço telemático ou de
informação de utilidade pública, ou impede ou dificulta-lhe o
restabelecimento. (Incluído pela Lei nº 12.737, de 2012) Vigência.
§ 2o Aplicam-se as penas em dobro se o crime e cometido por ocasião de
calamidade pública. (Incluído pela Lei nº 12.737, de 2012) Vigência.
Figura 3 - Ataque DDoS
Fonte: DOULIGERIS e MITROSKOTSA (2003)
26

Interceptação e falsificação de Emails
Interceptar um email está previsto como crime no código penal podendo ser vista no
Artigo 1 Escuta Telefônica - Lei 9296/96 que está transcrita abaixo:
Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza,
para prova em investigação criminal e em instrução processual penal,
observará o disposto nesta Lei e dependerá de ordem do juiz competente
da ação principal, sob segredo de justiça.
Parágrafo único. O disposto nesta Lei aplica-se à interceptação do fluxo de
comunicações em sistemas de informática e telemática.
Falsificação de email também esta previsto no código penal brasileiro podendo ser
visto no artigo 298 do código penal - Decreto 2848/40 que está transcrito abaixo:
Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar
documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Falsificação de cartão (Incluído pela Lei nº 12.737, de 2012) Vigência
Parágrafo único. Para fins do disposto no caput, equipara-se a documento
particular o cartão de crédito ou débito. (Incluído pela Lei nº 12.737, de
2012) Vigência Falsidade ideológica

Scan
Segundo Lee, Roedel e Silenok (2003) o Port Scan é uma técnica para descobrir as
fraquezas em host enviando requisições as portas de conexão desse dispositivo.
Embora às vezes usada por administradores de sistema para exploração de rede, o
Port Scan geralmente se refere a varreduras realizadas por usuários malintencionados que buscam a vulnerabilidades de rede. Os efeitos negativos das
varreduras de portas são numerosos e vão desde o desperdício de recursos, a
congestionar a rede, para permitir que futuras, mais graves, ataques.
27
2.1.3 Códigos maliciosos

Vírus
Segundo Souppaya e Scarfone (2013) podemos definir vírus como sendo algo que é
projetado para se auto-replicar e distribuir as cópias para outros arquivos, programas
ou computadores. Cada vírus tem um mecanismo de infecção que pode variar de
relativamente benigna para o extremamente mal-intencionado.

Spywares
Não existe uma definição própria de Spyware. Segundo Saroiu (2003) o termo
"Spyware" é comumente usado para se referir a um software que, a partir da
perspectiva de um usuário, reúne informações sobre o uso e repassa essa
informação de volta a um computador de um terceiro. Esta coleta de dados ocorre
às vezes com, mas muitas vezes sem o consentimento sabendo do usuário.

Spamming
Segundo Banday e Qadri (2011) podemos definir Spamming como sendo qualquer
mensagem ou postagem, independentemente do seu conteúdo, que é enviada para
vários destinatários que não solicitaram a aquela mensagem. Spam também pode
ser definido como várias postagens da mesma mensagem para grupos ou
servidores de lista que não estão relacionados com o tema da mensagem.
28
No Brasil não é crime enviar spam, mas enviar spam com o objetivo de má fé, como
por exemplo furto de informação, pode ser considerado estelionato, e ai passa a ser
crime.
2.2 LEGISLAÇÃO ESPECÍFICA PARA INTERNET
O Brasil possui uma legislação relativamente nova, para tratar crimes digitais. A lei
de maior expressão é a Lei nº 12.737, e também o Marco Civil da Internet (LEI N°
12.965). Abaixo será discutido um pouco sobre cada uma delas.

Lei nº 12.737
A lei é foi apresentada pelo Deputado Federal Paulo Teixeira (PT-SP), devido a
exposição na internet de fotografias da atriz Carolina Dieckmann, depois disso essa
lei passou a ser apelidada de lei “Lei Carolina Dieckmann” que está transcrita
abaixo:
Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos
informáticos e dá outras providências.
Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código
Penal, fica acrescido dos seguintes arts.154-A e 154-B:

Invasão de dispositivo informático
29
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à
rede de computadores, mediante violação indevida de mecanismo de
segurança e com o fim de obter, adulterar ou destruir dados ou
informações sem autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende
ou difunde dispositivo ou programa de computador com o intuito de
permitir a prática da conduta definida no caput.
Reis (2013) descreve o artigo 154-A como sendo um crime do tipo penal misto, pois
possui duas atividades incriminadoras, sendo a primeira relacionada à invasão de
aparelhos de informática, conectado ou não à internet, com a violação de um
mecanismo de segurança com o fim de obter, adulterar ou destruir dados ou
informações sem a autorização do dono daquele produto. Já a segunda conduta
está associada à instalação de vulnerabilidades para obter vantagem ilícita.
Reis (2013) ainda destaca a importância que o dispositivo possua um mecanismo de
segurança, pois caso ele não exista pode impedir que essa lei seja validada. Logo
assim tipificando a invasão como crime apenas caso o mecanismo que protege as
informações seja violado.
Dias (2012) descreve crime do tipo misto como sendo aqueles, em que a conduta
penalmente relevante é representada por mais de um verbo, como por exemplo:
expor e caluniar. Dias (2012) também divide em dois grupos os crimes do tipo misto.
1. Alternativos
Nos alternativos, o agente pode alcançar o fato criminoso realizando uma ou
outra das condutas previstas no tipo. Mas mesmo que o agente realize mais de
um verbo ele terá cometido o crime uma vez só.
2. Cumulativos
30
Nos tipos cumulativos, há a descrição de mais de uma conduta, representada
por verbos diferentes, mas uma é independente da outra, a ponto de, se o
agente realizar mais de uma conduta descrita no tipo, ocorrer um concurso
material, isto é, teremos tantos crimes quanto forem os verbos cometidos.
o
§ 2 Aumenta-se a pena de um sexto a um terço se da invasão resulta
prejuízo econômico.
o
§ 3 Se da invasão resultar a obtenção de conteúdo de comunicações
eletrônicas privadas, segredos comerciais ou industriais, informações
sigilosas, assim definidas em lei, ou o controle remoto não autorizado do
dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta
não constitui crime mais grave.
o
o
§ 4 Na hipótese do § 3 , aumenta-se a pena de um a dois terços se houver
divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos
dados ou informações obtidos.
Nos parágrafos 2°, 3° e 4°. Pode-se analisar que caso a invasão tem resultado em
prejuízo ou que caso o conteúdo que foi adquirido seja divulgado ou no caso da
invasão resultar na obtenção de segredos, seja ele comercial, industrial ou privado.
Terá um acréscimo na pena. Além disso, a lei apresenta uma punição se for usado
contra: Presidente, Governadores, Prefeitos, Ministros do Supremo Tribunal Federal,
Presidente da Câmara e correspondentes a nível municipal, estadual e federal.
o
§ 5 Aumenta-se a pena de um terço à metade se o crime for praticado
contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal
ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual,
municipal ou do Distrito Federal.”
31
O artigo 3° aparece para modificar os artigos 266 e 298 da Lei 2848/40 incorrendo
em mesma pena o indivíduo que interromper o serviço telemático ou de informação
pública, ou ainda impedir ou dificultar o seu estabelecimento, este tipo de crime será
abordado na próxima seção deste capítulo. Sendo agravada a pena no caso de
ocorrer o crime quando de uma calamidade pública. E por o documento particular é
comparado ao cartão de crédito no parágrafo segundo.
o
o
Art. 3 Os arts. 266 e 298 do Decreto-Lei n 2.848, de 7 de dezembro de
1940 - Código Penal, passam a vigorar com a seguinte redação:
“Interrupção ou perturbação de serviço telegráfico, telefônico, informático,
telemático ou de informação de utilidade pública
Art. 266
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de
informação de utilidade pública, ou impede ou dificulta-lhe o
restabelecimento.
o
§ 2 Aplicam-se as penas em dobro se o crime é cometido por ocasião de
calamidade pública.” (NR)
“Falsificação de documento particular
Art. 298.
Falsificação de cartão
Parágrafo único. Para fins do disposto no caput, equipara-se a documento
particular o cartão de crédito ou débito.” (NR)
Marco Civil da Internet
O Marco Civil da Internet é um projeto de lei apresentado em agosto de 2011 pelo
deputado Alessandro Molon (PT-RJ), (oficialmente chamado de Lei nº 12.965, de 23
32
de abril de 2014) é a lei que regula o uso da Internet no Brasil. Nesse tópico a lei
será apresentada e serão destacados os artigos que mais se destacam.
Art. 7°O acesso à internet é essencial ao exercício da cidadania, e ao
usuário são assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e
indenização pelo dano material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet,
salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas,
salvo por ordem judicial;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive
registros de conexão, e de acesso a aplicações de internet, salvo mediante
consentimento livre, expresso e informado ou nas hipóteses previstas em
lei;
De acordo com Santos Júnior, Santos Júnior e Sousa (2015), o Inciso I do Artigo 7
garante ao usuário o direito da inviolabilidade da intimidade e da vida privada, sua
proteção e indenização no caso de dano material ou moral caso essa violação
aconteça. O Incisivo II III buscam garantir a privacidade e o sigilo no usuário, seja
com suas informações sejam elas privadas, ou não.
Outro ponto destacado diz a respeito do Inciso VII, onde predomina o não
fornecimento a terceiros de seus dados pessoais, sejam eles registros de conexão
ou de acesso a qualquer aplicação que esteja na Internet. A não ser que seja com o
consentimento do usuário ou em casos previstos em lei.
Art. 8° A garantia do direito à privacidade e à liberdade de expressão nas
comunicações é condição para o pleno exercício do direito de acesso à
internet.
Parágrafo único. São nulas de pleno direito as cláusulas contratuais que
violem o disposto no caput, tais como aquelas que:
I - impliquem ofensa à inviolabilidade e ao sigilo das comunicações
privadas, pela internet; ou
33
II - em contrato de adesão, não ofereçam como alternativa ao contratante a
adoção do foro brasileiro para solução de controvérsias decorrentes de
serviços prestados no Brasil.
Santos Júnior, Santos Júnior e Sousa (2014), ainda discutem sobre o artigo 8° onde
é garantida a liberdade de expressão e a privacidade na comunicação.
Art. 9° O responsável pela transmissão, comutação ou roteamento tem o
dever de tratar de forma isonômica quaisquer pacotes de dados, sem
distinção por conteúdo, origem e destino, serviço, terminal ou aplicação.
§ 1° A discriminação ou degradação do tráfego será regulamentada nos
termos das atribuições privativas do Presidente da República previstas no
inciso IV do art. 84 da Constituição Federal, para a fiel execução desta Lei,
ouvidos o Comitê Gestor da Internet e a Agência Nacional de
Telecomunicações, e somente poderá decorrer de:
I - requisitos técnicos indispensáveis à prestação adequada dos serviços e
aplicações; e
II - priorização de serviços de emergência.
§ 2° Na hipótese de discriminação ou degradação do tráfego prevista no §
1o, o responsável mencionado no caput deve:
I - abster-se de causar dano aos usuários, na forma do art. 927 da Lei no
10.406, de 10 de janeiro de 2002 - Código Civil;
II - agir com proporcionalidade, transparência e isonomia;
III - informar previamente de modo transparente, claro e suficientemente
descritivo aos seus usuários sobre as práticas de gerenciamento e
mitigação de tráfego adotadas, inclusive as relacionadas à segurança da
rede; e
IV - oferecer serviços em condições comerciais não discriminatórias e
abster-se de praticar condutas anticoncorrenciais.
34
2.3 COMPUTAÇÃO FORENSE
Eleutério e Machado (2011) diz que podemos definir computação forense como
sendo uma ciência que usa técnicas especializadas, para coletar, preservar e
analisar os dados digitais de um computador ou computadores suspeitos de serem
utilizados em um crime virtual, para que dessa forma os mesmos possam ser
utilizados para uma perícia semelhante a que é convencional. Seu objetivo é buscar
as evidências para que o crime seja solucionado.
De acordo com Geus e Reis (2002), o objetivo da computação Forense é fazer uma
investigação com o intuito de provar um determinado fato da forma mais
transparente possível.
O processo de investigação está dividido em quatro etapas como visto na figura 4.
Figura 4 - Etapas da investigação
Fonte: PEREIRA (2010)
35
1.
Coleta
Pereira e outros (2007) afirma que esta etapa é considerada a mais importante, pois
todo o processo de investigação será conduzido a partir das evidências que foram
coletadas. Essa coleta tem que garantir que tudo que foi coletado tenha a
integridade garantida, pois nesse processo não pode acontecer perda ou alteração
de dados, dessa forma poderá comprometer todo o desempenho da investigação.
2.
Exame
Kent e outros (2006) comentam que na segunda etapa o objetivo principal é separar
as informações relevantes das que não possuem importância, como os arquivos do
próprio sistema. Antes de iniciar o processo de exame é necessário definir quais as
ferramentas que serão utilizadas para o exame dos dados. A escolha sobre qual
ferramenta será utilizado pode variar de acordo com a investigação. Portanto a
definição de qual ferramenta pode trazer um maior ou um menor número de
dados úteis para a investigação.
3.
Análise dos dados
Queiroz e Vargas (2010) afirmam que esta etapa tem como objetivo examinar as
informações que foram encontradas na primeira parte do processo que foi a coleta.
Para que no final do processo possa ser formulada uma conclusão referente ao
crime do qual se originou essa investigação. Durante esta etapa deverão ser
investigadas todas as fontes das quais a informação se origina, para que seja
possível encontrar as práticas criminosas que correspondem aos suspeitos.
36
4.
Resultados Obtidos
Tanto Geus e Reis (2002), como Kent e outros (2006) mostram que nesta última
etapa, o objetivo é apresentar um laudo (relatório técnico) com os resultados obtidos
através da investigação. Neste laudo deve ser informado o que foi encontrado nos
dados analisados, além de informações que mostrem como foi todo o processo
pericial desde o início, ferramentas e informações que comprovem a integridade das
informações devem ser relatadas neste laudo.
2.4 TÉCNICAS ANTI FORENSES
Para escapar das autoridades, criminosos escondem seus vestígios utilizando
técnicas anti forenses. Tais técnicas podem são abordadas por Harris (2006), abaixo
é possível ver um divisão, onde foram classificados os tipo de técnicas anti forenses.
Vale ressaltar que essa divisão é semelhante a utilizada em outros meios, não
apenas para a forense computacional, portanto os termos são aplicados a demais
situações.

Destruição de evidências
Destruir uma evidência envolve torná-la inutilizável para o processo investigativo.
Este método causa a parcial ou total destruição da prova, ele não está simplesmente
fazendo provas inacessíveis. Exemplos mundo físico de destruição incluem
impressões digitais limpando uma arma ou derramando água sanitária no sangue
para destruir o DNA.
37

Wipe
De acordo com Guntmann (1996) o wipe pode ser feito utilizando algum
pseudocódigo aleatório com o objetivo de que a informação se perca dessa forma
atuando como uma exclusão segura, sem que possa ser possível recuperar os
dados que estavam contidos antes do processo ser iniciado. No seu trabalho ele
afirma que sobrescrever o HD trinta e cinco vezes com códigos aleatórios é o ideal
para manter a informação irrecuperável.
Atualmente podemos encontrar ferramentas de wipe livres e proprietárias e elas
foram projetadas para destruir permanentemente os dados que estão no HD. Essas
ferramentas trabalham com o objetivo de sobrescrever o disco rígido várias vezes
com códigos binários "0s" e "1s".

Ocultação de evidências
Esconder evidência é o ato de retirar a evidência do ponto de vista de modo que é
menos provável de ser incorporado no processo forense. A evidência não é
destruída/manipulada, no entanto, isso é feito apenas menos visível para o
investigador. No mundo físico, escondendo evidências pode envolver jogando uma
arma em um bueiro ou enterrar um corpo.

Criptografia
Quaresma e Lopes (2008) definem um sistema criptográfico como um conjunto de
técnicas que possibilitam fazer uma mensagem se tornar incompreensível, de forma
que apenas o destinatário dela consiga decifrar o texto e assim ter acesso ao texto
original. Serão apresentados alguns métodos de Criptografia.
38
O primeiro método é chamado de Criptografia simétrica ou chave privada. Oliveira
(2012) apresenta este como um dos mais antigos meios de criptografia. Nesse
método a forma de dar o acesso a mensagem, é igual (simétrica) por este motivo
ambos devem manter o segredo. Na maioria das vezes, esta chave pode ser
representada por uma senha, usada tanto pelo remetente para codificar a
mensagem, como pelo destinatário para decodificá-la.
Uma das maiores vantagens desse processo está na simplicidade que esta técnica
necessita de forma que seja um processo rápido. O principal problema está que
quando a chave de cifrar é a mesma utilizada para o decifrar, pode ser mais fácil
obter a primeira, pois ambas precisam ser compartilhadas entre a origem e o destino
e durante esse processo a senha pode ser interceptada, sendo necessário um canal
de comunicação seguro.
O segundo método é chamado de Criptografia assimétrica ou chave pública. Oliveira
(2012) apresenta esse método sendo proposto pelo matemático Clifford Cocks. Este
processo
era
composto
por
duas
chaves
diferentes
(assimétricas)
e
complementares, uma sendo privada e a outra pública, aqui as chaves não são
senhas como no processo anterior, mas arquivos digitais complexos. A chave
pública fica disponível para qualquer pessoa que tenha a intenção de se comunicar
de forma segura, mas a chave privada fica em poder apenas de cada um dos
titulares. E é apenas com a chave privada que o destinatário poderá decodificar a
mensagem que foi criptografada.
A grande vantagem desse processo está em permitir que qualquer um envie uma
mensagem secreta sem ter a necessidade de compartilhar algo como no processo
simétrico, e assim a confidencialidade da mensagem é garantida enquanto a chave
estiver segura. De acordo com Oliveira (2012) alguns exemplos de algoritmos para
este método de criptografia são: RSA, ElGamal, Diffie-Hellman e Curvas Elípticas.
39

Esteganografia
Wang, H. e Wang, S. (2004) afirmam que a diferença entre esteganografia e
criptografia, está que a segunda não esconde a comunicação em si, mas é feito um
processo que embaralha os dados para evitar que aquela informação possa ser
compreendida por quem não é o destino do conteúdo. A esteganografia e
criptografia podem ser consideradas complementares e ortogonal. De acordo com
Wu e Hwang (2007) esteganografia é um método de comunicação segura que tem o
objetivo de esconder uma informação dentro de uma outra que funcione assim como
uma portadora. a palavra steganography, a qual é composta de duas palavras
gregas steganos e Graphia, significa "escrita oculta" ou "Coberto escrito".
Abaixo serão apresentadas algumas formas de aplicar a esteganografia:
Pode-se aplicar esteganografia em textos como Banerjee et al (2011). Um método
de esteganografia texto-base formato é extra white spaces. Neste método espaços
em branco extra são adicionados no texto para esconder informação. Esses espaços
em branco podem ser adicionados após o final de cada palavra, frase ou parágrafo.
Um único espaço é interpretado como "0" e dois espaços consecutivos são
interpretados como "1".
Outros dois métodos são word shifting e line shifting. No primeiro, os alinhamentos
horizontais de algumas palavras são deslocados, alterando as distâncias entre as
palavras para incorporar informação. Estas mudanças são difíceis de interpretar,
porque diferentes distâncias entre as palavras são muito comuns em documentos.
Outro método de esconder informação é na manipulação de espaços em branco
entre as palavras e parágrafo. No segundo, alinhamentos verticais de algumas
linhas do texto são deslocados para criar uma forma oculta única para incorporar
uma mensagem nele. Métodos de geração aleatória e estatísticos são usados para
gerar cobertura de texto automaticamente de acordo com as propriedades
estatísticas da linguagem.
40
Segundo Beixing et al (2011) é possível utilizar arquivos de áudio para esconder
informações. Atualmente, as técnicas de informação e esconderijos são divididas em
dois tipos: no domínio do tempo e no domínio da frequência. O anterior é
conseguido através da modificação dos arquivos originais e o último transforma e
codifica os arquivos de música em domínio da frequência antes da incorporação de
segredo informações.
De acordo com Laskar e Hemachandran (2012) os dados relacionados com as
imagens digitais podem ser muito grandes para serem transmitidos através da
Internet. Por este motivo algumas técnicas são utilizadas para reduzir os dados para
um tamanho adequado de modo que possa ser enviado pela rede mais facilmente
sem um alto consumo de banda. Esta técnica é chamada compressão. O resultado
disso são imagens com tamanho menor. Existem dois tipos de compressão:
Lossy - A compressão com perdas atinge um elevado nível de compressão e
assim economiza mais espaço, mas ao fazê-lo, os bits podem ser alterados em
grande parte e a originalidade da imagem pode ser afetada.
Lossless - Compressão sem perdas mantém os dados da imagem original e
exatamente a compressão sem perdas imagens são preferidos para esteganografia
como mídia de imagem.
Um método que utiliza imagens que passaram pelo processo de compressão
Lossless é o LSB. Este método de incorporação é baseado no fato de que os bits
menos significativos de uma imagem pode ser pensado como ruído aleatório e,
consequentemente, eles tornam-se não responsivas a qualquer alteração na
imagem. Bit menos significativo (LSB) é o tipo mais comumente usado de esquema
de inserção usado atualmente em esteganografia digital. Este método é
provavelmente a maneira mais fácil de esconder informações em uma imagem e
ainda é surpreendentemente eficaz. A mensagem secreta está escondida alterando
bit menos significativo em uma determinada camada do arquivo de imagem.
41
Para Sherly e Amritha (2010) esteganografia pode ser aplicada também em vídeo,
utilizando um algoritmo chamado TPVDD ele amplia a capacidade da informação
secreta escondida e fornece uma imagem imperceptível para a visão humana com
segurança aprimorada. Um pequeno valor de diferença de pixels consecutivos pode
ser localizado em uma área lisa e um grande está localizado numa área de gumes.
De acordo com as propriedades da visão humana, os olhos podem tolerar mais
mudanças em blocos de ponta afiada do que nos blocos lisos. Ou seja, mais dados
podem ser incorporados nas áreas dos bordos do que em áreas lisas.

Alternate Data Stream
Para Bem e Huebner (2006) ADS é uma característica única de sistemas de
arquivos NTFS introduzida com o Windows NT 3.1 no início de 1990 para fornecer
compatibilidade entre Servidores Windows NT e clientes Macintosh que usam HFS.
Oliveira (2002) descreve como um mecanismo dos sistemas de arquivos NTFS que
permite que um arquivo seja embutido dentro de outro, dessa forma o arquivo
original não tenha seu tamanho alterado. Como apresentado na figura 5.
Figura 5 - Alternate Data Stream
Fonte: BEM; HUBNER (2006)
42

Eliminação de fonte de evidências
A eliminação da fonte evidência envolve neutralizar fontes de prova. Não há
necessidade de destruir as provas, uma vez que nunca é criado. No mundo físico, a
eliminação da fonte pode ser tão simples como o uso de luvas de borracha para
cometer um crime. No entanto, o processo atual de eliminação da fonte em si
poderia criar provas, como a destruição de provas.

Falsificação de evidência
Isso inclui a criação de provas que funciona como um ataque contra o processo ou
ferramentas. Esta categoria é única, pois envolve a edição seletiva de provas ou de
criação de provas inválidas para corromper a validade da evidência real existente.
43
3 METODOLOGIA
Neste capítulo será abordado o processo de Implementação das técnicas
antiforenses e suas análises, informando cada passo que foi feito para a execução
deste trabalho. Aqui será apresentado o ambiente que servirá de teste para os
experimentos
Durante a pesquisa bibliográfica foram selecionadas quatro técnicas: Alternate Data
Stream, Wipe, Criptografia e Esteganografia. Essas técnicas forma escolhidas por
terem sido citadas na maioria das bibliografias encontradas, e isso foi um dos fatores
que justifica a escolha de cada uma delas.
Como o objetivo geral deste trabalho era o de analisar as técnicas anti forense foi
proposto a montagem de um ambiente de teste para que as técnicas abordadas no
trabalho pudessem ser aplicadas, e dessa forma serem analisadas. O ambiente
montado corresponde a um computador desktop contendo o sistema operacional
Windows XP com um HD físico montado sobre o NTFS.
A Metodologia de análise forense foi baseada no que foi apresentado nesses
trabalhos que compreende em exame, análise e interpretação dos resultados
respeitando todos os procedimentos de coleta e também da manipulação, todas as
imagens geradas foram armazenadas em uma fonte que foi utilizada apenas para
este fim.
Foram também utilizadas ferramentas para aplicação de algumas técnicas anti
forenses. E foi feito o uso de softwares de computação forense para poder analisar o
resultado final da aplicação da técnica. Todas as ferramentas que foram utilizadas
nesse trabalho são encontradas gratuitas na internet.
44
3.1 ESTEGANOGRAFIA
Existem diversos softwares com aplicações de técnicas de esteganografia, vão
desde técnicas mais simples até as mais complexas. Não será tratada aqui neste
trabalho cada uma delas, será apresentada uma forma de ocultar uma evidência.
Para a aplicação da esteganografia utilizamos a ferramenta OPENPUFF v4.00
(http://embeddedsw.net/OpenPuff_Steganography_Home.html) que é um software
livre que pode ser usado para esconder arquivos secretos em imagens em
diferentes formatos seja ele em imagem, áudio e vídeo. A utilização da ferramenta é
fácil. É necessário apenas abrir o software, selecionar a opção hide na parte de
steganography como mostrado na figura 6.
Figura 6 - Tela Inicial OpenPuff v4.00
Fonte: Autoria Própria
Foi escolhida esta ferramenta, pois ela compreende as três formas de
esteganografia que serão apresentadas neste trabalho. A seguir temos os
experimentos detalhados em ordem de imagem, áudio e vídeo.
45
Para entender o funcionamento detalhado deste software a figura 7 mostra a
imagem original e a Figura 8 ilustra as propriedades da imagem original. Trata-se de
um arquivo com extensão em BMP. Pode-se observar que o tamanho total da
imagem corresponde exatamente 834.054 bytes e representa 835.584 bytes em
disco. Para que o processo de esteganografia não levante suspeitas por parte de um
investigador é necessário que a imagem tenha o tamanho final e a representação
visual mais próxima possível da original de forma que ao ser encontrada não seja
levantada nenhuma suspeita por parte do investigador. É interessante também que a
imagem tem muitos dados redundantes, para que o processo de esconder um dado
ali seja facilitado. A imagem escolhida possui muitas cores semelhantes facilitando
assim que a compressão de dados ali seja mais eficiente.
Figura 7 - Imagem original
Fonte: hdwallpapers.cat
46
Figura 8 - Propriedade da imagem
A interface do programa precisa que preenchemos algumas informações antes de
executar a esteganografia. Devemos preencher a senha ou as senhas daquele
documento que desejamos aplicar esteganografia, pode ser visto no canto superior
esquerdo como opção 1. No canto superior direito na opção 2 temos o local onde
iremos inserir o que desejamos esconder. No canto inferior esquerdo nomeado
como 3 está o arquivo que escolhemos para servir de carrier, o arquivo que irá
conter a informação. No canto inferior direito na opção 4 podemos selecionar o tipo
de compressão do arquivo variando de Minimum até Maximum.
47
Para ler a mensagem oculta a partir deste arquivo, você terá que usar este software
novamente. Este software irá ler o arquivo e vai decodificar o arquivo oculto dele.
Não é possível extrair o arquivo oculto de qualquer outro software.
Figura 9 - Mensagem ocultada
Na figura 10 notamos que a figura com o arquivo oculto não possui diferença no
tamanho. Mas isso pode ser levado em conta que a mensagem inserida era
pequena e, como destacado anteriormente, a imagem escolhida possui dados
redundantes. Na figura 11 vemos a imagem resultante, e na figura 12 temos um
comparativo entre as duas mensagens a original ao lado esquerdo e a com a
mensagem ao lado direito, onde pode-se ver que não possui diferença da original
para a modificada, dessa forma numa eventual perícia seria praticamente impossível
que fosse identificada como contendo alguma informação sigilosa ou que pudesse
servir para ser utilizada contra o criminoso.
48
Figura 10 - Propriedade da imagem com mensagem oculta
Figura 11 - Figura com a mensagem oculta
49
Figura 12 - Comparação entre as imagens original (esquerda) com mensagem ocultada
(direita)
Caso durante uma investigação essa imagem levantasse suspeita, seria necessário
quebrar a criptografia de 256 bits da senha escolhida pelo usuário para que
tivéssemos acesso a informação contida nela. A figura 13 mostra a comparação em
hexa das duas imagens. Podemos ver na parte de cima a imagem com a mensagem
ocultada e na parte de baixo a imagem original, neles podemos ver algumas
diferenças. Para obter essas informações foi utilizado a ferramenta WinHex
(https://www.x-ways.net/winhex/) que possui dentre suas funcionalidades um
analisador de arquivos binários.
50
Figura 13 - Comparação entre imagens
Foi utilizado também OPENPUFF v4.00 para efetuar esteganografia em áudio. O
processo de ocultação de dados tem um procedimento parecido com o anterior a
diferença está em vez de utilizar um arquivo de BMP utilizamos um WAV. Foi
utilizado para uma visualização o software de edição e criação de áudio Audacity
(http://www.audacityteam.org/download/), nele podemos visualizar o áudio em forma
51
de onda, entre outras formas para se ter uma ideia do quanto a esteganografia pode
distorcer o áudio sem que o ouvido humano perceba ao escutar aquele arquivo. Na
Figura 14 vemos informações do áudio criado, e na figura 15 vemos sua assinatura
em forma de onda. Pela a captação ter sido em um microfone estéreo é exibida duas
ondas.
Figura 14 - Propriedades áudio original
52
Figura 15 - Representação áudio original
Após aplicar o a esteganografia temos na figura 16 as informações do novo arquivo,
e na figura 17 a onda gerada.
53
Figura 16 - Propriedades do áudio com mensagem oculta
Figura 17 - Representação do áudio com mensagem oculta
54
As duas ondas não possuem diferenças. Vemos isso na figura 18 e ao escutar o
áudio gerado não se observa diferença. Assim como na imagem o novo arquivo não
possui diferença em tamanho para o novo.
Figura 18 - Comparação entre áudio, original (em cima) com mensagem oculta (abaixo)
A figura 19 mostra a comparação binária dos dois áudios. Podemos ver na parte de
cima o áudio original e na parte de baixo a o áudio com a mensagem ocultada.
Neles podemos ver claramente que possuem diferenças. Também foi utilizado a
ferramenta WinHex. Aqui podemos ver uma diferença muito maior do que na
imagem.
55
Figura 19 - Comparação entre áudio, original (em cima) com mensagem oculta (abaixo)
WINHEX
Para aplicação da esteganografia o procedimento para este é semelhante aos outros
dois, com a diferença de que agora será um arquivo AVI. Na figura 20 temos as
informações sobre o vídeo original, podemos ver que o seu tamanho é de
15.590.088 bytes e o tamanho em disco é de 15.593.472 bytes.
56
Figura 20 - Propriedades vídeo original
Foi utilizado então a ferramenta OPENPUFF v4.00 para fazer a esteganografia.
Nessa ferramenta foi selecionado o tipo máximo de compressão possível, para que
ficasse o mais próximo do original como pode ser visto na figura 21.
Após utilizar a ferramenta vemos na figura 22 as informações do novo vídeo. Vemos
que o tamanho do novo vídeo difere pouco do original fato que não ocorreu
utilizando outros formatos.
57
Figura 21 - Tela do OpenPuff v4.00
Figura 22 - Propriedade do vídeo com mensagem oculta
58
A figura 23 mostra a comparação binária dos dois vídeos. Podemos ver na parte de
cima o vídeo original e na parte de baixo a o vídeo com a mensagem ocultada.
Neles podemos ver claramente que possuem diferenças. Neste vemos uma
diferença muito maior do que nos outros dois casos. Também foi utilizado a
ferramenta WinHex.
Figura 23 - Comparação de vídeos original em cima, com mensagem oculta embaixo
59
Mas mesmo comparando com o arquivo original só foi possível constatar que elas
estão diferentes, pois temos o original, mas mesmo assim não temos acesso a
mensagem que está ocultada na figura. Seria necessário quebrar a criptografia
como foi falado anteriormente.
Caso fosse feito um dump da memória com o programa aberto OpenPuff v4.00
aberto podemos ter acesso a senha. Mas caso o sistema seja desligado perderemos
essa informação, conforme a figura 24 onde do lado esquerdo temos o dump da
memória com o sistema ligado e a direita temos o sistema religado, para isso foi
utilizado a ferramenta Winhex que possui uma opção de fazer o dump da memória.
A senha que foi utilizada foi "senha123".
Figura 24 - Comparação do dump de memória antes e depois do sistema desligado
Após os experimentos, pode-se perceber que os arquivos gerados através da
utilização dessas ferramentas produzem como resultado final uma cópia fiel ao
60
original com tamanho equivalente de forma que não seria despertada no perito a
curiosidade de se investigar aquele arquivo.
De acordo com os criadores o OpenPuff v4.00 trabalha com um sistema de Multi
criptografia, ou seja, ele utiliza elementos de AES, NESSIE and CRYPTREC que
são mesclados na criação de um único algoritmo que é esse sistema de Multi
criptografia. Portanto caso o investigador fosse analisar seria necessário descobrir a
senha que está bem criptografada e isso poderia demorar um tempo desconhecido.
Foi executado também o calculo do hash utilizando a ferramenta WinMD5Free
(http://www.winmd5.com/), ela executa o cálculo hash MD5 de arquivo. No processo
utilizamos o arquivo original, geramos seu número e comparamos com os resultados
após a aplicação de esteganografia. O resultado está representado na figura abaixo:
Figura 25 - Hash dos arquivos imagem, áudio e vídeo em ordem
Pode-se ver claramente que os números apresentados pela a função Hash foram
diferentes, mostrando que não se trata do mesmo arquivo.
3.2 CRIPTOGRAFIA
61
A criptografia é uma das técnicas muito utilizada, pois a ocultação de uma evidência
pode ser tão complexa que para que a chave de criptografia seja quebrada
revelando a mensagem original pode demorar anos tornando-se inviável.
Para
a
aplicação
da
criptografia
foi
utilizado
a
ferramenta
VeraCrypt
(https://veracrypt.codeplex.com/wikipage?title=Downloads) que adiciona segurança
para os algoritmos usados para o sistema de criptografia de partições e tornando-se
imune a novos desenvolvimentos em ataques de força bruta. Seu funcionamento
acontece da seguinte forma. É criado um conteiner com extensão que for desejada
nesta etapa é necessário selecionar um local para armazenamento, um nome e uma
senha. Vale lembrar que este nome pode ser em qualquer extensão a fim de
camuflar que aquilo que foi criado possa armazenar algo dentro dele, por exemplo,
podemos colocar uma extensão AVI. Após isso será solicitado qual o tamanho e
qual a forma de criptografia será utilizada para aquele conteiner. Após sua criação
devemos utilizar a ferramenta e "montar" esse novo volume utilizando a senha que
foi cadastrada para aquele volume. Sendo assim, teremos acesso às informações
que estão contidas nele.
Para demonstrar o funcionamento da ferramenta foi utilizado uma cópia dos arquivos
originais do tópico de esteganografia, onde iremos inseri-los dentro de um volume.
Foi utilizada uma imagem no formato BMP, um áudio no formato WAV, um vídeo no
formato AVI e um arquivo de texto no formato TXT, sendo um total de quatro
arquivos. Na figura 26 temos as propriedades totais deles.
62
Figura 26 - Propriedades dos arquivos
Foi criado um volume de 20,0 MBytes onde pudemos inserir esses documentos
como visto na figura 27. Como citado anteriormente foi criado um volume com uma
extensão diferente de forma que o próprio sistema operacional contribui para a
camuflagem uma vez que ele reconhece a extensão (AVI). Temos então um vídeo
com 20,0 MBytes.
63
Figura 27 - Propriedade do volume
Uma vez que possuímos o volume criado, utilizamos a ferramenta VeraCrypt com o
objetivo de utilizar essa nova partição criada. Iremos utilizar a opção mount que irá
interpretar essa partição como um novo volume para o computador, e dessa forma
habilitando a mesma para que possamos utiliza-la, exemplificado na figura 28.
64
Figura 28 - Montagem do volume
Com a nova unidade montada e disponível podemos acessá-la normalmente como
se fosse parte do nosso computador. Agora devemos colocar aqui nesta nova
unidade os arquivos que irão ser criptografados. Na figura 29 vemos o novo volume
sem arquivos a esquerda e com os arquivos a direita. Importante ressaltar que o
arquivo do volume continua o mesmo.
65
Figura 29 - Novo volume
A criptografia utilizada pelo VeraCrypt, foi a AES com uma chave de 266-bits de
acordo com a própria documentação. Essa criptografia é eficaz que para ser
quebrada em força bruta demoraria muitos anos.
3.3 ALTERNATE DATA STREAM
O grande facilitador dessa técnica é o fato de não precisar de nenhuma ferramenta
para utilizá-la uma vez que é utilizado o sistema operacional para sua execução
66
através de alguns comandos no prompt de comandos de computadores com o
sistema operacional Windows.
Para a demonstração como o funciona o processo de criação de um arquivo ADS
será criado um TXT como o nome de "arquivoNormal.txt" em branco, ou seja, com 0
Bytes de espaço, conforme apresentado na figura 30. Este será o arquivo em que
iremos incluir uma stream com o nome de "arquivoAds.txt" de forma que o arquivo
inicial permaneça inalterado. Foi utilizado para isso um comando nativo do prompt
de
comando
do
windows
criando
a
seguinte
sentença:
arquivoNormal.txt:arquivoAds.txt". Podemos visualizar isso na figura 31.
Figura 30 - Arquivo em branco
"notepad
67
Figura 31 - Criação de um arquivo ADS
Após este processo podemos ver que mesmo tendo editado e salvado o arquivo
ADS o sistema apresenta apenas o "arquivoNormal.txt" e com 0 Bytes de espaço, de
forma que sua stream permanece invisível para o usuário. Podemos ver isso na
figura 32.
Figura 32 - Prompt de comandos não exibindo o arquivo ADS
68
Uma vez que podemos anexar um arquivo TXT podemos também colocar um
arquivo executável, e assim essa técnica se torna um bom recurso para esconder
programas maliciosos.
Para verificar se essa técnica seria uma boa opção para esconder dados foi utilizado
a ferramenta StreamArmor (http://securityxploded.com/download.php) que trabalha
utilizando uma verificação de ameaças on-line aliado com um scanner de ADS, ele
desenvolvido com também mecanismo de detecção avançada que examina o
arquivo afim de detectar com precisão o tipo stream composto nele. Dessa forma
essa ferramenta é uma grande aliada da análise forense. É possível excluir esses
arquivos uma vez que podem conter conteúdo malicioso e prejudicial tanto para o
sistema quanto para as informações do usuário daquele computador.
Sua utilização é bem simples basta selecionar o diretório ou a opção de scanner
completa e pressionar o botão START SCAN. Após a busca ele retornará os
arquivos que possuem streams. Exibindo o seu tamanho real e seu nome
verdadeiro. Conforme a figura 33 podemos ver destacados em vermelho o tamanho
real da stream criada no canto esquerdo, o verdadeiro nome do arquivo no canto
direito e também podemos ver o conteúdo dessa stream na parte inferior da figura.
69
Figura 33 - Tela Stream Armor
Foi feito nesse caso também o cálculo do hash dos arquivos antes e depois do
processo. E o número gerado foi o mesmo.
3.4 WIPE
Assim como as demais técnicas existem muitas ferramentas que podem fazer o
processo de wipe em um HD, para este projeto foi escolhida uma ferramenta
chamada Erase. Essa ferramenta está disponível gratuitamente na internet, assim
como outras ferramentas ela tem como objetivo sobrescrever as informações
70
presentes em um disco de forma que seja impossível a recuperação desses dados,
e assim mantendo o sigilo daquelas informações. A ferramenta permite selecionar
qual padrão escolhido para o usuário aplicar em seu disco, incluindo o padrão de
Guntmann (1996) em que dizia que seria necessário sobrescrever o arquivo trinta e
cinco vezes para garantir que esse processo seja o ideal. A figura 34 mostra a
interface dessa ferramenta.
Figura 34 - Tela do Eraser
Para o experimento foi utilizado um disco separado do tamanho de 20 MBytes e uma
ferramenta livre, chamada Recuva (https://www.piriform.com/recuva/download).
Essa ferramenta tem como objetivo recuperar dados que foram deletados do HD.
Para o experimento foi inserido um grupo de dez imagens no HD criado. Depois
71
disso apagamos todo conteúdo presente nesse novo disco utilizando apenas uma
deleção simples apertando o botão Delete do computador. Ao utilizar a ferramenta
Recuva podemos selecionar o que desejamos recuperar e marcar todos os tipos de
arquivos. A busca pode ser em todo computador, em alguma pasta especifica ou em
um disco especifico. Neste caso foi escolhido o disco que foi criado que possuía as
imagens. O resultado disso pode ser visto na figura 35.
Figura 35 - Tela do Recuva após uma deleção normal
Podemos ver destacado em vermelho o disco utilizado e as dez imagens que
haviam sido deletas.
Para que a delação seja completa foi utilizado o Eraser (http://eraser.heidi.ie/) para
sobrescrever o disco para saber se depois de usar uma ferramenta própria para isso
podemos encontrar dados no disco. O processo para a segunda parte foi, adicionar
72
novamente as imagens e deletar utilizando as opções de sobrescrita do Eraser, e
depois foi utilizada a ferramenta Recuva novamente para ver se podemos encontrar
algum rastro do HD. Foi utilizada a opção de Guntmann 35, o resultado disso pode
ser visto na figura 36, onde podemos ver que os dados não foram encontrados após
a sua sobrescrita.
Figura 36 - Tela Recuva depois de usado o Eraser
73
4 CONSIDERAÇÕES FINAIS
As técnicas anti forenses são aperfeiçoadas constantemente, de maneira que
algumas ficam cada vez mais eficientes, dificultando ainda mais o processo de
perícia forense já que é necessário que tenha uma evolução também nesse
processo.
Como proposto nos objetivos desde trabalho, foi possível para cada uma das
técnicas apresentadas identificar como ela trabalha através de sua implementação,
a partir disso foi possível também mostrar a eficácia das mesmas perante uma
possível investigação por um perito de computação forense. Também foi
apresentado neste trabalho os principais crimes digitais e a legislação do Brasil que
buscam combatê-los.
A partir dos resultados obtidos com esse trabalho pode-se ver que a criptografia e a
esteganografia são bastante eficazes, já que utilizam algoritmos de criptografia muito
fortes impedindo que eles sejam facilmente quebrados. Com o wipe foi possível
apagar dados de forma simples sobrescrevendo toda uma partição. E após seu uso
nenhum dado foi encontrado, mostrando ser excelente para sobrescrita de dados. O
ADS seu mostrou ser de fácil aplicação, entretanto sua identificação pela ferramenta
forense foi rápida e fácil.
Vale ressaltar que todas as técnicas apresentadas, para que elas possam ser
identificadas, deveriam despertar a curiosidade e o interesse do investigador, então
o local onde ela foi armazenada no caso das imagens e do ADS influencia muito o
julgamento de um perito.
Para trabalhos futuros, poderia ser acrescentadas mais técnicas para análise,
identificando as vulnerabilidades que a elas exploraram, com o objetivo de buscar
novos métodos de combate. Pode-se acrescentar também a possibilidade de ir mais
a fundo nos conhecimentos sobre as técnicas anti forenses e entender
74
computacionalmente como ela trabalha para assim verificar maneiras que possam
prevenir ou até ajudar a solucionar mais rápido problemas que as envolvem. Outro
trabalho futuro poderia ser a análise de mais ferramentas forenses e identificar
aquela que melhor se sai para cada um dos casos, para que assim o perito saiba
melhor qual ferramenta é mais útil para cada situação que ele encontrar.
75
REFERÊNCIAS
BANDAY, M. Tariq; QADRI, Jameel A. SPAM-Technological and Legal Aspects.
Caxemira, 2011.
BANERJEE, Indradip; BHATTACHARYYA, Souvik; SANYAL, Gautam. Text
Steganography using Article Mapping Technique (AMT) and SSCE. Journal of
Global Research in Computer Science, India, v. 2, n. 4, p. 69-75, 2011.
BEIXING, Deng et al. A Novel Steganography Method Based on Modifying
Quantized Spectrum Values of MPEG / Audio Layer III. In: WSEAS International
Conference on Applied Informatics and Communications. 7., 2007, Grécia.
Procedimentos... Grécia, 2007.
BEM, Derek; HUEBNER, Ewa Z. Alternate data streams in forensic
investigations of file systems backups. Disponível em: <https://www.google.com.
br/search?q=Privacidade+na+Internet+com+base+na+Lei+No+12.965&oq=Privacida
de+na+Internet+com+base+na+Lei+No+12.965&aqs=chrome..69i57.394j0j8&sourcei
d=chrome&ie=UTF-8#q=BEM%2C+Derek%3B+HUEBNER%2C+Ewa+Z>.
BRASIL. Lei n. 12.737/12, de 30 de novembro de 2012. Diário Oficial [da]
República Federativa do Brasil, Poder Executivo, Brasília, DF, 03 dez. 2012.
Seção 1, p. 1.
______. Lei n. 12.965, de 23 de abril de 2014. Diário Oficial [da] República
Federativa do Brasil, Poder Executivo, Brasília, DF, 24 abr. 2014. Seção 1, p. 1.
______. Decreto-Lei n. 2848, de 07 de dezembro de 1940. Diário Oficial [da]
República Federativa do Brasil, Poder Executivo, Brasília, DF, 31 dez. 1940.
Seção 1.
______. Lei n. 8069, de 13 de julho de 1990. Diário Oficial [da] República
Federativa do Brasil, Poder Executivo, Brasília, DF, 16 jul. 1990. Seção 1, p. 1.
______. Lei n. 9296, de 24 de julho de 1996. Diário Oficial [da] República
Federativa do Brasil, Poder Executivo, Brasília, DF, 25 jul. 1996. Seção 1, p. 1.
CASTRO,Joelíria Vey de Castro; BULAWSKI, Cláudio Maldaner. O perfil do pedófilo:
uma abordagem da realidade brasileira, Revista Liberdades, São Paulo, n. 6, p. 326, jan./abr. 2011.
76
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE
SEGURANÇA NO BRASIL. Cartilha de segurança para internet: versão 4.0. 2. ed.
São Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em:
<http://cartilha.cert.br/livro/>. Acesso em: 26 ago. 2015.
COUTINHO, Clara; LISBÔA, Eliana. Sociedade da informação, do conhecimento e
da aprendizagem: desafios para educação no século XXI. Revista de Educação, v.
XVIII, n. 1, p. 5-21, 2011
ASHCROFT, John; DANIELS, Deborah. J.; HART, Sarah. V. Forensic examination
of digital evidence: a guide for law enforcement. Washington: Departamento de
Justiça, 2004
DE CARLI, Daniel Michelon. Crimes virtuais no Brasil - Uma análise jurídica.
Santa Maria, 2006. Trabalho de graduação (Disciplina de Computadores e
Sociedade) - Curso de Ciência da Computação, Universidade Federal de Santa
Maria.
PEREIRA, Evandro Della Vecchia. Investigação digital: conceitos, ferramentas e
estudos de caso. In: CONGRESSO TECNOLÓGICO (INFOBrasil). 3., 2010,
Fortaleza. Anais... Fortaleza: [s.n.], 2010.
DIAS, Fabio Freitas. Direito Penal III - Material de apoio e orientação sobre o tipo
penal e doloso: apostila. Santa Maria, 2012
DOULIGERIS, Christos; MITROSKOTSA, Aikaterini. DDoS attacks and defense
mechanisms: Classification and state-of-the-art. Computer Networks, Piraneus
Grécia, 2003.
EIRAS, Marcelo Coradassi. Engenharia Social e Estelionato Eletrônico. 2004. 40
f. Dissertação (Mestrado em Segurança de Informações na Internet) - Instituto
Brasileiro de Propriedade Intelectual, São Paulo, 2004.
ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a
Computação Forense. 1. ed. São Paulo: Novatec, 2011.
FURLANETO NETO, Mário; GUIMARÃES, José Augusto Chaves. Crimes na
internet: elementos para uma reflexão sobre a ética informacional. R. CEJ, Brasília,
n. 20, p. 67-73, jan./mar. 2003.
GEUS, Paulo Lício de, REIS, Marcelo Abdalla dos. Análise Forense de Intrusões em
Sistemas Computacionais: técnicas, procedimentos e ferramentas. In: SEMINÁRIO
NACIONAL DE PERÍCIA EM CRIMES DE INFORMÁTICA. 1., 2002, Maceió.
77
GITTINGS, Keith R. (2001). Where data hides and resides understanding hidden
data in Windows. Estados Unidos.
GUNTMANN, Peter. Secure deletion of data from magnetic and solid-state memory.
In: USENIX SECURITY SYMPOSIUM PROCEEDINGS. 6., 1996, San Jose,
California. Proceedings... San Jose, California: USENIX Association Berkeley, 1996.
HARRIS, Ryan. Arriving at an anti-forensics consensus : examining how to define
and control the anti-forensics problem. Digital Investigation: The International
Journal of Digital Forensics & Incident, v. 3, p. 44-49, set. 2006
KENT, Karen et al. NIST SP 800-86. Guide to integrating forensic techniques into
incident response: recommendations of the national institute of standards and
technology. Estados Unidos: Computer Security, 2006.
LASKAR, Shamin A.; HEMACHANDRAN, Kattamanchi. High capacity data hiding
using LSB steganography and encryption. International Journal of Database
Management Systems (IJDMS), v. 4, n. 6, p. 57-68, dec. 2012
LEE Cynthia Bailey; ROEDEL Chris; SILENOK, Elena. Detection and
characterization of port scan attacks. San Diego (EUA), 2003.
OLIVEIRA, Flávio de Souza. Resposta a incidentes e análise forense para redes
baseadas em Windows 2000. 2002. 144 f. Dissertação (Mestrado em Ciência da
Computação) - Universidade Estadual de Campinas, Campinas, 2002.
OLIVEIRA, Ronielton. Rezende. Criptografia simétrica e assimétrica : os principais
algoritmos de cifragem. Segurança Digital (Revista Online), v. 5, n. 2,. 2012.
PEREIRA, Evandro et al. Forense computacional: fundamentos e desafios atuais. In:
SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS
COMPUTACIONAIS. 7., 2007, Rio de Janeiro. Anais... Rio de janeiro: [SBC], 2007.
QUARESMA, Pedro; LOPES, Elsa. Criptografia. Gazeta de Matemática, Portugal, n.
154, p. 7-11, mar. 2008.
QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e Perícia Forense
Computacional. 1. ed. Rio de Janeiro: Brasport, 2010.
REIS, Wanderlei José dos. Delitos cibernéticos implicações da lei n° 12.737/12.
Revista Jurídica CONSULEX. v. XVII, n. 405, p. 32-35, 1 dez. 2013.
78
SANTOS JÚNIOR, Pedro Almeida da Silva; SANTOS JÚNIOR, Nélio Lustosa;
SOUSA, Fabrício Luís Borges. Privacidade na Internet com base na Lei No
12.965, de 23 de abril de 2014. Potencialidade Regional e Tecnologias Sociais: o
sertão Piauiense em evidência. Apresentação de trabalhos... Piauí, 2015.
SAROIU, Stefan, GRILBBLE, Steven D.; LEVY, Henry. M. Measurement and
analysis of spyware in a university environment. 2004. In: SYMPOSIUM ON
NETWORKED SYSTEMS DESIGN AND IMPLEMENTATION. 1., 2004. CA (USA).
Proceeding... CA (USA): v, 2004.
SOUPPAYA, Murugiah; SCARFONE, Karen. NIST SP 800-83r1. Guide to malware
incident prevention and handling for desktops and laptops. Estados Unidos:
Computer Security, 2013.
SHERLY, A. P.; AMRITHA, P. P. A compressed video steganography using TPVD.
International Journal of Database Management Systems, (IJDMS) v. 2, n. 3, aug.
2010.
TORRES, Henrique Alexandre. Classificações e técnicas de anti forense
computacional. Manaus, 2013
WANG, Huaiquing; WANG, SHUOZHONG. Cyber Warfare: steganography vs.
steganalysis. Communications of the ACM, New York, v. 47, n. 10, p. 76-82, out.
2004.
WU, Nan; HWANG, M. Data Hiding: current status and key issues. International
Journal of Network Security, v. 4, n. 1, p. 1-9, 2007

instituto federal do espírito santo bacharelado em - LabSeg

Transcrição

Documentos relacionados

slides - Marcos Monteiro

Formação em Perito Forense Computacional

O Perito em Forense Computacional

O silêncio contra os inocentes

PERÍCIAS FORESNES - EMENTAS CRIMINALÍSTICA

Autoria, trabalho e técnica Luciana Salazar Salgado Se vemos a

Realizando pericia

procuradoria geral do município do rio de janeiro coordenadoria

TGA - Unisinos

TGA - Unisinos

Pré-projeto apresentado ao Departamento de Ciên

Esteganografia - Marcos Laureano