instituto federal do espírito santo bacharelado em - LabSeg
Transcrição
instituto federal do espírito santo bacharelado em - LabSeg
INSTITUTO FEDERAL DO ESPÍRITO SANTO BACHARELADO EM SISTEMAS DE INFORMAÇÃO VICTOR LUIZ BERNARDES DA SILVA ANÁLISE E APLICAÇÃO DE TÉCNICAS ANTI-FORENSES SERRA 2016 VICTOR LUIZ BERNARDES DA SILVA ANÁLISE E APLICAÇÃO DE TÉCNICAS ANTI-FORENSES Trabalho de Conclusão de Curso apresentado a Coordenadoria de Cursos Superiores em Informática do Instituto Federal do Espírito Santo, como requisito parcial para a obtenção do título de Bacharel em Sistemas de Informação. Orientador: Prof. Gilberto Neves Sudré Filho SERRA 2016 Dados Internacionais de Catalogação na Publicação (CIP) S586a Silva, Victor Luiz Bernardes da Análise e aplicação de técnicas anti-forenses / Victor Luiz Bernardes da Silva. - 2016. 78 f.; il.; 30 cm Orientador: Prof. Gilberto Neves Sudré Filho. Monografia (graduação) - Instituto Federal do Espírito Santo, Coordenadoria de Informática, Curso de Bacharelado em Sistemas de Informação, 2016. 1. Crimes por computador. 2. Perícia forense computacional. 3. Computadores - Medidas de segurança. 4. Sistemas de recuperação da informação - Medidas de segurança. I. Sudré Filho, Gilberto Neves. II. Instituto Federal do Espírito Santo. III. Título. CDD 005.8 AGRADECIMENTOS Agradeço a Deus em primeiro lugar por mais essa conquista. Agradeço também aos meus pais, Edson e Edna, a minha irmã, Tamyris, pelo o apoio em todas as decisões e sempre incentivando a nunca desistir. Agradeço também a Izabela que ao longo desse período de curso esteve ao meu lado me motivando a estudar sempre. Agradeço aos meus amigos que estiveram ao meu lado me ajudando, e sempre me apoiando. Agradeço aos amigos que fiz no IFES, por todo conhecimento e que trocamos, pelos momentos de diversão que passamos. Agradeço também aos meus colegas de trabalho da Etaure por toda a paciência e pelos ensinamentos. Agradeço também aos professores Agradeço também a todos que fizeram parte dessa etapa da minha da minha vida. Obrigado a Todos “As vezes temos que ir muito alto para perceber o quão pequeno você realmente é.” Felix Baumgartner RESUMO A perícia computacional forense vem ajudando as autoridades a combater os criminosos digitais há anos. Entretanto, as técnicas utilizadas por criminosos cibernéticos estão evoluindo, de forma que obriga os peritos a sempre melhorar o processo de investigação. Com isso, tais criminosos procuram esconder seus rastros utilizando técnicas anti forenses tais como: Esteganografia, criptografia entre outras. Neste trabalho, analisamos o funcionamento de quatro técnicas anti forense. Para isso, simularemos um ambiente de ataques a computadores utilizando ferramentas anti forense e ferramentas de perícia para coletar dados referentes aos ataques. E será mostrado sua eficácia perante uma possível situação de investigação. Palavras-chave: Anti forense. Computação. Segurança da Informação ABSTRACT Forensic computer expertise is helping the authorities to combat cybercriminals years. However, the techniques used by cybercriminals are evolving, so that requires experts to always improve the investigation process. Thus, these criminals seek to hide their tracks using anti forensic techniques such as steganography, encryption, among others. In this paper, we analyze the operation of four anti forensic techniques. For this, we will simulate a computer attacks environment using anti forensic tools and expertise tools to collect data for the attacks. It will be shown its effectiveness against a possible research situation. Keywords: Anti forensics. Computing. Information security LISTA DE FIGURAS Figura 1 - Incidentes reportados................................................................................ 17 Figura 2 - Tipos de incidentes ................................................................................... 18 Figura 3 - Ataque DDoS ............................................................................................ 25 Figura 4 - Etapas da investigação ............................................................................. 34 Figura 5 - Alternate Data Stream............................................................................... 41 Figura 6 - Tela inicial OpenPuff v4.00 ....................................................................... 44 Figura 7 - Imagem original ........................................................................................ 45 Figura 8 - Propriedade da imagem ............................................................................ 46 Figura 9 - Mensagem ocultada .................................................................................. 47 Figura 10 - Propriedade da imagem com mensagem oculta ..................................... 48 Figura 11 - Figura com a mensagem oculta .............................................................. 48 Figura 12 - Comparação entre as imagens original (esquerda) com mensagem ocultada (direita)..................................................................................... 49 Figura 13 - Comparação entre imagens .................................................................... 50 Figura 14 - Propriedades áudio original .................................................................... 51 Figura 15 - Representação áudio original ................................................................. 52 Figura 16 - Propriedades do áudio com mensagem oculta ....................................... 53 Figura 17 - Representação do áudio com mensagem oculta .................................... 53 Figura 18 - Comparação entre áudio, original (em cima) com mensagem oculta (abaixo) .................................................................................................. 54 Figura 19 - Comparação entre áudio, original (em cima) com mensagem oculta (abaixo) WINHEX ................................................................................... 55 Figura 20 - Propriedades video original ..................................................................... 56 Figura 21 - Tela do OpenPuff v4.00 .......................................................................... 57 Figura 22 - Propriedade do video com mensagem oculta ......................................... 57 Figura 23 - Comparação de vídeos original em cima, com mensagem oculta embaixo .................................................................................................. 58 Figura 24 - Comparação do dump de memória antes e depois do sistema desligado ................................................................................................ 59 Figura 25 - Hash dos arquivos imagem, áudio e video em ordem ............................ 60 Figura 26 - Propriedades dos arquivos ..................................................................... 62 Figura 27 - Propriedade do volume ........................................................................... 63 Figura 28 - Montagem do volume.............................................................................. 64 Figura 29 - Novo volume ........................................................................................... 65 Figura 30 - Arquivo em branco .................................................................................. 66 Figura 31 - Criação de uma arquivo ADS .................................................................. 67 Figura 32 - Prompt de comandos não exibindo o arquivo ADS ................................. 67 Figura 33 - Tela Stream Armor .................................................................................. 69 Figura 34 - Tela do Eraser ........................................................................................ 70 Figura 35 - Tela do Recuva após uma deleção normal ............................................. 71 Figura 36 - Tela Recuva depois de usado o Eraser .................................................. 72 LISTA DE ABREVIATURAS E SIGLAS ADS - Alternate Data Streams AES - Advanced Encryption Standard AVI - Audio Video Interleave BMP - Bitmap Image File CERT.BR - O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil CGI.BR - Comitê Gestor da Internet no Brasil CRYPTREC - Cryptography Research and Evaluation Committees DDoS - Distributed Denial of Service (Ataque de Negação de Serviço Distribuído) DoS - Denial of Service (Ataque de Negação de Serviço) DRAM - Dynamic random-access EOF - End of File FAT32 - File Allocation Table HASH - É uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números de tamanho fixo de um arquivo, esse número é único HD - Hard Drive(Disco Rígido) HFS - Hierarchical File System Host - Computador ou Máquina Conectado a uma Rede, que Conta com Número de IP e Nome Definidos LSB - Least significant bit NESSIE - New European Schemes for Signatures, Integrity and Encryption NIC.BR - Núcleo de Informação e Coordenação do Ponto BR NTFS - New Technology File System RSA - Ron Rivest, Adi Shamir e Len Adleman TPVDD - tri-way pixel-value differencing with pseudorandom dithering TXT - Text file WAV - Waveform Audio File Format SUMÁRIO 1 INTRODUÇÃO.............................................................................................. 13 1.1 OBJETIVO GERAL........................................................................................ 14 1.2 OBJETIVOS ESPECÍFICOS......................................................................... 14 1.3 JUSTIFICATIVA............................................................................................ 14 1.4 ESTRUTURAÇÃO DO TRABALHO.............................................................. 15 2 REFERENCIAL TEÓRICO............................................................................ 16 2.1 CRIMES DIGITAIS E LEGISLAÇÃO GERAL................................................ 16 2.1.1 Golpes na internet....................................................................................... 17 2.1.2 Ataques na internet..................................................................................... 24 2.1.3 Códigos maliciosos..................................................................................... 27 2.2 LEGISLAÇÃO ESPECÍFICA PARA INTERNET............................................ 28 2.3 COMPUTAÇÃO FORENSE.......................................................................... 34 2.4 TÉCNICAS ANTI FORENSES...................................................................... 36 3 METODOLOGIA........................................................................................... 43 3.1 ESTEGANOGRAFIA..................................................................................... 44 3.2 CRIPTOGRAFIA............................................................................................ 60 3.3 ALTERNATE DATA STREAM....................................................................... 65 3.4 WIPE............................................................................................................. 69 4 CONSIDERAÇÕES FINAIS.......................................................................... 73 REFERÊNCIAS............................................................................................. 75 13 1 INTRODUÇÃO A sociedade tem evoluído de uma forma muito rápida e boa parte desse avanço se deve a tecnologia, e isso levou ao surgimento de um termo sociedade da informação que pode ser definida de acordo com Coutinho e Lisbôa (2011) como uma sociedade inserida num processo de mudança constante, fruto dos avanços na ciência e na tecnologia. E com o auxilio da internet que vem sendo um dos grandes paradigmas dessa nova sociedade. Essa evolução acabou abrindo inúmeras possibilidades tanto com a socialização através de redes sociais, mas também lado negativo que os criminosos agora não precisam de se expor esses criminosos são conhecidos por cometer "cybercrimes" ou crimes virtuais. Os crimes virtuais são aqueles delitos praticados utilizando-se como meio a internet. De Carli (2006) salienta que um dos motivos desses crimes está no anonimato que a rede mundial de computadores proporciona e em conjunto com a falta ou as falhas que a atual legislação possui, e o resultado disso é uma sociedade que busca se proteger e combater essas atitudes. Uma dessas formas é através da pericia digital forense, que é um processo de investigação que faz o uso de ferramentas que auxiliam a investigação. Ferramentas de perícia de computação forense auxiliam investigadores a localizar criminosos que exploram as vulnerabilidades existentes nos aparelhos eletrônicos. Conforme Eleutério e Machado (2011) a Perícia Forense ou Análise Digital Forense é a modalidade de perícia criada para combater os crimes digitais, utilizando análises e métodos na busca de identificar e coletar evidências comprovadas e eficientes. Com o intuito de escapar da pericia os criminosos buscam esconder seus rastros utilizando técnicas anti forense. Segundo Torres (2013) a utilização dessas técnicas cada vez mais avançadas por parte dos criminosos têm desafiado os peritos, pois 14 muitos não conseguem acompanhar a evolução dessas técnicas, de forma que a investigação não possa ser continuada. 1.1 OBJETIVO GERAL Analisar as principais técnicas anti forense atuais e avaliar sua eficácia. 1.2 OBJETIVOS ESPECÍFICOS Levantamento dos principais crimes digitais. Estudo da legislação dos principais crimes digitais Identificação de técnicas anti forenses mais utilizadas. Avaliar a dificuldade de aplicação das técnicas anti forenses. 1.3 JUSTIFICATIVA 15 Ao contrário dos trabalhos que buscam melhorias no processo de investigação, neste temos um atenção em focar nas técnicas anti forense que atrapalham o processo de investigação criminal computacional forense, com o objetivo de mostrar como os criminosos tentam esconder seus rastros. E assim melhorar eficiência da perícia criminal forense. 1.4 ESTRUTURAÇÃO DO TRABALHO O capítulo 2 trata de uma revisão conceitual que dos assuntos: legislação, crimes digitais, computação forense e técnicas anti-forense. No capítulo 3 será apresentada a metodologia de como o trabalho foi feito. No capítulo 4 serão apresentados os resultados desse trabalho. No capítulo 5 será feita uma conclusão sobre os resultados em relação ao trabalho apresentado. 16 2 REFERENCIAL TEÓRICO 2.1 CRIMES DIGITAIS E LEGISLAÇÃO GERAL Segundo Furlaneto Neto e Guimarães (2003), os crimes informáticos podem ser classificados em digitais puros, mistos e comuns. 1. Crime digital puro - compreende em qualquer conduta ilícita, a qual atenta o hardware e/ou software de um computador, ou seja, tanto a parte física quanto a parte virtual do microcomputador. 2. Crime digital misto - seria o que utiliza a Internet para realizar a conduta ilícita, e o objetivo é diferente do citado anteriormente. Por exemplo, as transações ilegais de valores de contas correntes. 3. Crime digital comum - é utilizar a Internet apenas como forma de instrumento para realizar um delito que enquadra no Código Penal, como, por exemplo, distribuição de conteúdo pornográfico infantil por diversos meios, como messengers, e-mail, torrent ou qualquer outra forma de compartilhamento de dados. Muitos dos crimes digitais, já existiam antes no mundo real, mas com a utilização dos computadores e internet alguns desses crimes tiveram que ser mudados na constituição. Alguns deles são caracterizados como incidentes de segurança. De acordo Ascroft, Daniels e Hart (2004) podemos definir um incidente como “Qualquer material ilegal, não autorizado, ou inaceitável ação que envolve um sistema de computador ou uma rede de computadores”. 17 Os alguns dos crimes digitais mais comuns foram divididos em 3: Golpes na internet, Ataques na internet e Códigos Maliciosos. 2.1.1 Golpes na internet Vamos analisar dados importantes que mostram o quanto os crimes vem aumentando com o passar dos anos, com os dados obtidos do CERT.BR que é mantido pelo NIC.BR do CGI.BR, e atende a qualquer rede brasileira conectada à Internet. Na figura 1 vemos a quantidade de ataques e na figura 2 temos os tipos de ataques. Figura 1 - Incidentes reportados Fonte: CERT.BR (2012) 18 Figura 2 - Tipos de incidentes Fonte: CERT.BR (2012) Podemos ver na Figura 1 que a partir de 2006 ocorreu um grande salto nos incidentes reportados, sendo que em 2014 foi onde tivemos os maiores níveis. De acordo com a Cartilha do CERT.BR (2012) muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrimônio, tipificados como estelionato. Dessa forma, o golpista pode ser considerado um estelionatário. Estelionato O artigo 171 do código penal - Decreto 2848/40 que está transcrita abaixo: 19 Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento. A linha que diferencia o estelionato do furto e do roubo está no fato de que a vítima acaba entregando ao estelionatário o que ele pede, mesmo sem ter sido ameaçada, apenas porque ela acredita que pode confiar naquela pessoa. Estelionato muitas vezes está ligado com Engenharia Social. Segundo Eiras (2004) Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma organização, através de seus funcionários e colaboradores. Essas informações podem ser obtidas por ingenuidade ou confiança. Os ataques dessa natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e até mesmo pessoalmente. Outra atividade muito relacionada com o Estelionato é o phishing. Aqui o golpista tenta obter informações pessoais da vítima combinando recursos técnicos e engenharia social. De acordo com a cartilha de segurança do CERT.BR (2012), O phishing ocorre por meio do envio de mensagens eletrônicas que: 1. tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular; 2. procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira; 3. informam que a não execução dos procedimentos descritos pode acarretar sérias consequências como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito; 4. tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela páginas oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulário contidos na mensagem ou em página Web. 20 Invasão Artigo 154 do código penal - Decreto 2848/40: Este artigo foi incluído na lei em 2012 devido a criação da Lei n° 12.737, que será discutido na próxima parte deste capítulo. Crimes contra Honra Este crime já existia antes da internet, por este motivo as leis já estavam consolidadas, dessa forma foi somente estendido para a zona virtual. De acordo com os Artigos 138, 139 e 140 do código penal - Decreto 2848/40 que estão transcritas em parte abaixo: Art. 138 - Caluniar alguém, imputando-lhe falsamente fato definido como crime: Pena - detenção, de seis meses a dois anos, e multa. Art. 139 - Difamar alguém, imputando-lhe fato ofensivo à sua reputação: Pena - detenção, de três meses a um ano, e multa. Art. 140 - Injuriar alguém, ofendendo-lhe a dignidade ou o decoro: Pena detenção, de um a seis meses, ou multa. Podemos encaixar aqui os crimes onde o autor usa a internet como forma de expressão, seja ele criando informações falsas sobre uma pessoa, ofendendo a pessoa, ou até mesmo fazendo apologia contra um grupo. Furto 21 De acordo com os Artigos 155 do código penal - Decreto 2848/40 que está transcrita abaixo: Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: Pena reclusão, de um a quatro anos, e multa. O mesmo pode ser associado ao adquirir uma informação que está em um meio virtual, que pertence a uma pessoa. Espionagem Eletrônica e Crimes Contra a Propriedade Intelectual Com a crescente dependência da tecnologia, e o grande volume de dados as empresas atuais possuem uma grande quantidade de informação associadas a elas em meios virtuais. Muitas dessas informações possuem caráter sigiloso, logo jamais deveriam ser divulgadas a não ser que a própria empresa permita. Atualmente o Brasil não possui uma lei exclusiva para espionagem eletrônica. Um artigo que melhor se aproxima disso é o Artigo 154 do código penal - Decreto 2848/40 que está transcrita em partes abaixo: § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012) Vigência. § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012) Vigência. § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: (Incluído pela Lei nº 12.737, de 2012) Vigência Pena reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012) Vigência. § 4º Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos 22 dados ou informações obtidos. (Incluído pela Lei nº 12.737, de 2012) Vigência. § 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: (Incluído pela Lei nº 12.737, de 2012) Vigência. I - Presidente da República, governadores e prefeitos; (Incluído pela Lei nº 12.737, de 2012) Vigência. II - Presidente do Supremo Tribunal Federal; (Incluído pela Lei nº 12.737, de 2012) Vigência. III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou (Incluído pela Lei nº 12.737, de 2012) Vigência. IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. (Incluído pela Lei nº 12.737, de 2012) Vigência Ação penal (Incluído pela Lei nº 12.737, de 2012) Vigência. Vendo o parágrafo 3° observamos que ele descreve sobre espionagem eletrônica, não apenas cobrindo uma empresa ou instituição, mas inclusive considerando interceptação de mensagens como crime, logo interceptação de emails também é colocado como crime. No parágrafo 4° pode-se ver que caso a espionagem tem como objetivo a divulgação e venda das informações adquiridas irá ocorrer um aumento em relação a pena que deverá ser cumprida para aqueles que violarem essa lei. No parágrafo 5° protege as pessoas que estão vinculadas com o ramo político garantido uma proteção, já que a pena também aumenta caso o crime seja praticado contra elas. Importante citar que muitas dessas informações contêm informações de propriedade intelectual da empresa. E assim este bem deverá ser protegido, um artigo que vale a pena ser citado é o Artigo 184 do código penal - Decreto 2848/40 que está transcrito abaixo: 23 Art. 184. Violar direitos de autor e os que lhe são conexos: (Redação dada pela Lei nº 10.695, de 1º.7.2003) Pena - detenção, de 3 (três) meses a 1 (um) ano, ou multa. (Redação dada pela Lei nº 10.695, de 1º.7.2003) § 1o Se a violação consistir em reprodução total ou parcial, com intuito de lucro direto ou indireto, por qualquer meio ou processo, de obra intelectual, interpretação, execução ou fonograma, sem autorização expressa do autor, do artista intérprete ou executante, do produtor, conforme o caso, ou de quem os represente: (Redação dada pela Lei nº 10.695, de 1º.7.2003) Pena - reclusão, de 2 (dois) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 10.695, de 1º.7.2003) Nesse artigo observando o parágrafo 1° podemos observar que está proibido o uso e de qualquer obra intelectual com intuito de lucro seja ela diretamente ou indiretamente, sem a autorização do autor. Pornografia Infantil e Pedofilia Segundo Castro e Bulawski (2011): Pedofilia é tratada como uma psicopatologia, um desvio no desenvolvimento da sexualidade, caracterizado pela atração sexual de forma compulsiva e obsessiva por crianças e adolescentes. A pornografia infantil é tipificada em alguns artigos do Estatuto da Criança e do Adolescente pela simples exposição de cenas de nudez que envolva crianças ou adolescentes, desde que contenham conotação pornográfica. Pornografia infantil e pedofilia estão contempladas no código penal através do artigo Art. 240 e 241 do Estatuto da Criança e do Adolescente - Lei 8069/90 que estão transcritas em parte abaixo: Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente: (Redação dada pela Lei nº 11.829, de 2008). 24 Pena - reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de 2008). § 1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de qualquer modo intermedeia a participação de criança ou adolescente nas cenas referidas no caput deste artigo, ou ainda quem com esses contracena. (Redação dada pela Lei nº 11.829, de 2008). O artigo 240 tem como intuito a classificação como crime a participação na criação de vídeos de pornografia que envolva crianças ou adolescentes, Além de tipificar como crime aquele que age como um intermediador no processo fazendo com que a criança ou adolescente participe desse tipo de gravação. 2.1.2 Ataques na internet DoS e DDoS De acordo com Douligeris (2003) um ataque DoS é caracterizado quando o acesso a um computador ou recurso de rede está bloqueada intencionalmente como resultado da ação maliciosa tomadas por outro usuário. Um ataque DDoS utiliza muitos computadores para lançar um coordenado ataque DoS contra uma ou mais alvo. Ou seja, esse tipo de ataque tem com como objetivo impedir que aquele computador ou serviço trabalhe de forma correta. O Ataque de DDoS é caracterizado por possuir um computador que coordena o ataque, através de hosts comprometidos por algum software malicioso, eles são chamados de handler ou masters. Esses hosts possuem a capacidade de controlar múltiplos agentes (outros computadores) e esses agentes geram o intenso fluxo de pacotes que será enviado para a vítima. Podemos ver melhor na figura 3 localizada abaixo. Este tipo de ataque está previsto na lei Artigo 266 do código penal - Decreto 25 2848/40 que está transcrito abaixo, podemos ver que foi adicionado serviços telemáticos no parágrafo 1: Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento: Pena - detenção, de um a três anos, e multa. Parágrafo único - Aplicam-se as penas em dobro, se o crime é cometido por ocasião de calamidade pública. § 1o Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. (Incluído pela Lei nº 12.737, de 2012) Vigência. § 2o Aplicam-se as penas em dobro se o crime e cometido por ocasião de calamidade pública. (Incluído pela Lei nº 12.737, de 2012) Vigência. Figura 3 - Ataque DDoS Fonte: DOULIGERIS e MITROSKOTSA (2003) 26 Interceptação e falsificação de Emails Interceptar um email está previsto como crime no código penal podendo ser vista no Artigo 1 Escuta Telefônica - Lei 9296/96 que está transcrita abaixo: Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça. Parágrafo único. O disposto nesta Lei aplica-se à interceptação do fluxo de comunicações em sistemas de informática e telemática. Falsificação de email também esta previsto no código penal brasileiro podendo ser visto no artigo 298 do código penal - Decreto 2848/40 que está transcrito abaixo: Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Pena - reclusão, de um a cinco anos, e multa. Falsificação de cartão (Incluído pela Lei nº 12.737, de 2012) Vigência Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito. (Incluído pela Lei nº 12.737, de 2012) Vigência Falsidade ideológica Scan Segundo Lee, Roedel e Silenok (2003) o Port Scan é uma técnica para descobrir as fraquezas em host enviando requisições as portas de conexão desse dispositivo. Embora às vezes usada por administradores de sistema para exploração de rede, o Port Scan geralmente se refere a varreduras realizadas por usuários malintencionados que buscam a vulnerabilidades de rede. Os efeitos negativos das varreduras de portas são numerosos e vão desde o desperdício de recursos, a congestionar a rede, para permitir que futuras, mais graves, ataques. 27 2.1.3 Códigos maliciosos Vírus Segundo Souppaya e Scarfone (2013) podemos definir vírus como sendo algo que é projetado para se auto-replicar e distribuir as cópias para outros arquivos, programas ou computadores. Cada vírus tem um mecanismo de infecção que pode variar de relativamente benigna para o extremamente mal-intencionado. Spywares Não existe uma definição própria de Spyware. Segundo Saroiu (2003) o termo "Spyware" é comumente usado para se referir a um software que, a partir da perspectiva de um usuário, reúne informações sobre o uso e repassa essa informação de volta a um computador de um terceiro. Esta coleta de dados ocorre às vezes com, mas muitas vezes sem o consentimento sabendo do usuário. Spamming Segundo Banday e Qadri (2011) podemos definir Spamming como sendo qualquer mensagem ou postagem, independentemente do seu conteúdo, que é enviada para vários destinatários que não solicitaram a aquela mensagem. Spam também pode ser definido como várias postagens da mesma mensagem para grupos ou servidores de lista que não estão relacionados com o tema da mensagem. 28 No Brasil não é crime enviar spam, mas enviar spam com o objetivo de má fé, como por exemplo furto de informação, pode ser considerado estelionato, e ai passa a ser crime. 2.2 LEGISLAÇÃO ESPECÍFICA PARA INTERNET O Brasil possui uma legislação relativamente nova, para tratar crimes digitais. A lei de maior expressão é a Lei nº 12.737, e também o Marco Civil da Internet (LEI N° 12.965). Abaixo será discutido um pouco sobre cada uma delas. Lei nº 12.737 A lei é foi apresentada pelo Deputado Federal Paulo Teixeira (PT-SP), devido a exposição na internet de fotografias da atriz Carolina Dieckmann, depois disso essa lei passou a ser apelidada de lei “Lei Carolina Dieckmann” que está transcrita abaixo: Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências. Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, fica acrescido dos seguintes arts.154-A e 154-B: Invasão de dispositivo informático 29 Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. Reis (2013) descreve o artigo 154-A como sendo um crime do tipo penal misto, pois possui duas atividades incriminadoras, sendo a primeira relacionada à invasão de aparelhos de informática, conectado ou não à internet, com a violação de um mecanismo de segurança com o fim de obter, adulterar ou destruir dados ou informações sem a autorização do dono daquele produto. Já a segunda conduta está associada à instalação de vulnerabilidades para obter vantagem ilícita. Reis (2013) ainda destaca a importância que o dispositivo possua um mecanismo de segurança, pois caso ele não exista pode impedir que essa lei seja validada. Logo assim tipificando a invasão como crime apenas caso o mecanismo que protege as informações seja violado. Dias (2012) descreve crime do tipo misto como sendo aqueles, em que a conduta penalmente relevante é representada por mais de um verbo, como por exemplo: expor e caluniar. Dias (2012) também divide em dois grupos os crimes do tipo misto. 1. Alternativos Nos alternativos, o agente pode alcançar o fato criminoso realizando uma ou outra das condutas previstas no tipo. Mas mesmo que o agente realize mais de um verbo ele terá cometido o crime uma vez só. 2. Cumulativos 30 Nos tipos cumulativos, há a descrição de mais de uma conduta, representada por verbos diferentes, mas uma é independente da outra, a ponto de, se o agente realizar mais de uma conduta descrita no tipo, ocorrer um concurso material, isto é, teremos tantos crimes quanto forem os verbos cometidos. o § 2 Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. o § 3 Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. o o § 4 Na hipótese do § 3 , aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. Nos parágrafos 2°, 3° e 4°. Pode-se analisar que caso a invasão tem resultado em prejuízo ou que caso o conteúdo que foi adquirido seja divulgado ou no caso da invasão resultar na obtenção de segredos, seja ele comercial, industrial ou privado. Terá um acréscimo na pena. Além disso, a lei apresenta uma punição se for usado contra: Presidente, Governadores, Prefeitos, Ministros do Supremo Tribunal Federal, Presidente da Câmara e correspondentes a nível municipal, estadual e federal. o § 5 Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.” 31 O artigo 3° aparece para modificar os artigos 266 e 298 da Lei 2848/40 incorrendo em mesma pena o indivíduo que interromper o serviço telemático ou de informação pública, ou ainda impedir ou dificultar o seu estabelecimento, este tipo de crime será abordado na próxima seção deste capítulo. Sendo agravada a pena no caso de ocorrer o crime quando de uma calamidade pública. E por o documento particular é comparado ao cartão de crédito no parágrafo segundo. o o Art. 3 Os arts. 266 e 298 do Decreto-Lei n 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação: “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública Art. 266 § 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. o § 2 Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR) “Falsificação de documento particular Art. 298. Falsificação de cartão Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.” (NR) Marco Civil da Internet O Marco Civil da Internet é um projeto de lei apresentado em agosto de 2011 pelo deputado Alessandro Molon (PT-RJ), (oficialmente chamado de Lei nº 12.965, de 23 32 de abril de 2014) é a lei que regula o uso da Internet no Brasil. Nesse tópico a lei será apresentada e serão destacados os artigos que mais se destacam. Art. 7°O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; De acordo com Santos Júnior, Santos Júnior e Sousa (2015), o Inciso I do Artigo 7 garante ao usuário o direito da inviolabilidade da intimidade e da vida privada, sua proteção e indenização no caso de dano material ou moral caso essa violação aconteça. O Incisivo II III buscam garantir a privacidade e o sigilo no usuário, seja com suas informações sejam elas privadas, ou não. Outro ponto destacado diz a respeito do Inciso VII, onde predomina o não fornecimento a terceiros de seus dados pessoais, sejam eles registros de conexão ou de acesso a qualquer aplicação que esteja na Internet. A não ser que seja com o consentimento do usuário ou em casos previstos em lei. Art. 8° A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet. Parágrafo único. São nulas de pleno direito as cláusulas contratuais que violem o disposto no caput, tais como aquelas que: I - impliquem ofensa à inviolabilidade e ao sigilo das comunicações privadas, pela internet; ou 33 II - em contrato de adesão, não ofereçam como alternativa ao contratante a adoção do foro brasileiro para solução de controvérsias decorrentes de serviços prestados no Brasil. Santos Júnior, Santos Júnior e Sousa (2014), ainda discutem sobre o artigo 8° onde é garantida a liberdade de expressão e a privacidade na comunicação. Art. 9° O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação. § 1° A discriminação ou degradação do tráfego será regulamentada nos termos das atribuições privativas do Presidente da República previstas no inciso IV do art. 84 da Constituição Federal, para a fiel execução desta Lei, ouvidos o Comitê Gestor da Internet e a Agência Nacional de Telecomunicações, e somente poderá decorrer de: I - requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações; e II - priorização de serviços de emergência. § 2° Na hipótese de discriminação ou degradação do tráfego prevista no § 1o, o responsável mencionado no caput deve: I - abster-se de causar dano aos usuários, na forma do art. 927 da Lei no 10.406, de 10 de janeiro de 2002 - Código Civil; II - agir com proporcionalidade, transparência e isonomia; III - informar previamente de modo transparente, claro e suficientemente descritivo aos seus usuários sobre as práticas de gerenciamento e mitigação de tráfego adotadas, inclusive as relacionadas à segurança da rede; e IV - oferecer serviços em condições comerciais não discriminatórias e abster-se de praticar condutas anticoncorrenciais. 34 2.3 COMPUTAÇÃO FORENSE Eleutério e Machado (2011) diz que podemos definir computação forense como sendo uma ciência que usa técnicas especializadas, para coletar, preservar e analisar os dados digitais de um computador ou computadores suspeitos de serem utilizados em um crime virtual, para que dessa forma os mesmos possam ser utilizados para uma perícia semelhante a que é convencional. Seu objetivo é buscar as evidências para que o crime seja solucionado. De acordo com Geus e Reis (2002), o objetivo da computação Forense é fazer uma investigação com o intuito de provar um determinado fato da forma mais transparente possível. O processo de investigação está dividido em quatro etapas como visto na figura 4. Figura 4 - Etapas da investigação Fonte: PEREIRA (2010) 35 1. Coleta Pereira e outros (2007) afirma que esta etapa é considerada a mais importante, pois todo o processo de investigação será conduzido a partir das evidências que foram coletadas. Essa coleta tem que garantir que tudo que foi coletado tenha a integridade garantida, pois nesse processo não pode acontecer perda ou alteração de dados, dessa forma poderá comprometer todo o desempenho da investigação. 2. Exame Kent e outros (2006) comentam que na segunda etapa o objetivo principal é separar as informações relevantes das que não possuem importância, como os arquivos do próprio sistema. Antes de iniciar o processo de exame é necessário definir quais as ferramentas que serão utilizadas para o exame dos dados. A escolha sobre qual ferramenta será utilizado pode variar de acordo com a investigação. Portanto a definição de qual ferramenta pode trazer um maior ou um menor número de dados úteis para a investigação. 3. Análise dos dados Queiroz e Vargas (2010) afirmam que esta etapa tem como objetivo examinar as informações que foram encontradas na primeira parte do processo que foi a coleta. Para que no final do processo possa ser formulada uma conclusão referente ao crime do qual se originou essa investigação. Durante esta etapa deverão ser investigadas todas as fontes das quais a informação se origina, para que seja possível encontrar as práticas criminosas que correspondem aos suspeitos. 36 4. Resultados Obtidos Tanto Geus e Reis (2002), como Kent e outros (2006) mostram que nesta última etapa, o objetivo é apresentar um laudo (relatório técnico) com os resultados obtidos através da investigação. Neste laudo deve ser informado o que foi encontrado nos dados analisados, além de informações que mostrem como foi todo o processo pericial desde o início, ferramentas e informações que comprovem a integridade das informações devem ser relatadas neste laudo. 2.4 TÉCNICAS ANTI FORENSES Para escapar das autoridades, criminosos escondem seus vestígios utilizando técnicas anti forenses. Tais técnicas podem são abordadas por Harris (2006), abaixo é possível ver um divisão, onde foram classificados os tipo de técnicas anti forenses. Vale ressaltar que essa divisão é semelhante a utilizada em outros meios, não apenas para a forense computacional, portanto os termos são aplicados a demais situações. Destruição de evidências Destruir uma evidência envolve torná-la inutilizável para o processo investigativo. Este método causa a parcial ou total destruição da prova, ele não está simplesmente fazendo provas inacessíveis. Exemplos mundo físico de destruição incluem impressões digitais limpando uma arma ou derramando água sanitária no sangue para destruir o DNA. 37 Wipe De acordo com Guntmann (1996) o wipe pode ser feito utilizando algum pseudocódigo aleatório com o objetivo de que a informação se perca dessa forma atuando como uma exclusão segura, sem que possa ser possível recuperar os dados que estavam contidos antes do processo ser iniciado. No seu trabalho ele afirma que sobrescrever o HD trinta e cinco vezes com códigos aleatórios é o ideal para manter a informação irrecuperável. Atualmente podemos encontrar ferramentas de wipe livres e proprietárias e elas foram projetadas para destruir permanentemente os dados que estão no HD. Essas ferramentas trabalham com o objetivo de sobrescrever o disco rígido várias vezes com códigos binários "0s" e "1s". Ocultação de evidências Esconder evidência é o ato de retirar a evidência do ponto de vista de modo que é menos provável de ser incorporado no processo forense. A evidência não é destruída/manipulada, no entanto, isso é feito apenas menos visível para o investigador. No mundo físico, escondendo evidências pode envolver jogando uma arma em um bueiro ou enterrar um corpo. Criptografia Quaresma e Lopes (2008) definem um sistema criptográfico como um conjunto de técnicas que possibilitam fazer uma mensagem se tornar incompreensível, de forma que apenas o destinatário dela consiga decifrar o texto e assim ter acesso ao texto original. Serão apresentados alguns métodos de Criptografia. 38 O primeiro método é chamado de Criptografia simétrica ou chave privada. Oliveira (2012) apresenta este como um dos mais antigos meios de criptografia. Nesse método a forma de dar o acesso a mensagem, é igual (simétrica) por este motivo ambos devem manter o segredo. Na maioria das vezes, esta chave pode ser representada por uma senha, usada tanto pelo remetente para codificar a mensagem, como pelo destinatário para decodificá-la. Uma das maiores vantagens desse processo está na simplicidade que esta técnica necessita de forma que seja um processo rápido. O principal problema está que quando a chave de cifrar é a mesma utilizada para o decifrar, pode ser mais fácil obter a primeira, pois ambas precisam ser compartilhadas entre a origem e o destino e durante esse processo a senha pode ser interceptada, sendo necessário um canal de comunicação seguro. O segundo método é chamado de Criptografia assimétrica ou chave pública. Oliveira (2012) apresenta esse método sendo proposto pelo matemático Clifford Cocks. Este processo era composto por duas chaves diferentes (assimétricas) e complementares, uma sendo privada e a outra pública, aqui as chaves não são senhas como no processo anterior, mas arquivos digitais complexos. A chave pública fica disponível para qualquer pessoa que tenha a intenção de se comunicar de forma segura, mas a chave privada fica em poder apenas de cada um dos titulares. E é apenas com a chave privada que o destinatário poderá decodificar a mensagem que foi criptografada. A grande vantagem desse processo está em permitir que qualquer um envie uma mensagem secreta sem ter a necessidade de compartilhar algo como no processo simétrico, e assim a confidencialidade da mensagem é garantida enquanto a chave estiver segura. De acordo com Oliveira (2012) alguns exemplos de algoritmos para este método de criptografia são: RSA, ElGamal, Diffie-Hellman e Curvas Elípticas. 39 Esteganografia Wang, H. e Wang, S. (2004) afirmam que a diferença entre esteganografia e criptografia, está que a segunda não esconde a comunicação em si, mas é feito um processo que embaralha os dados para evitar que aquela informação possa ser compreendida por quem não é o destino do conteúdo. A esteganografia e criptografia podem ser consideradas complementares e ortogonal. De acordo com Wu e Hwang (2007) esteganografia é um método de comunicação segura que tem o objetivo de esconder uma informação dentro de uma outra que funcione assim como uma portadora. a palavra steganography, a qual é composta de duas palavras gregas steganos e Graphia, significa "escrita oculta" ou "Coberto escrito". Abaixo serão apresentadas algumas formas de aplicar a esteganografia: Pode-se aplicar esteganografia em textos como Banerjee et al (2011). Um método de esteganografia texto-base formato é extra white spaces. Neste método espaços em branco extra são adicionados no texto para esconder informação. Esses espaços em branco podem ser adicionados após o final de cada palavra, frase ou parágrafo. Um único espaço é interpretado como "0" e dois espaços consecutivos são interpretados como "1". Outros dois métodos são word shifting e line shifting. No primeiro, os alinhamentos horizontais de algumas palavras são deslocados, alterando as distâncias entre as palavras para incorporar informação. Estas mudanças são difíceis de interpretar, porque diferentes distâncias entre as palavras são muito comuns em documentos. Outro método de esconder informação é na manipulação de espaços em branco entre as palavras e parágrafo. No segundo, alinhamentos verticais de algumas linhas do texto são deslocados para criar uma forma oculta única para incorporar uma mensagem nele. Métodos de geração aleatória e estatísticos são usados para gerar cobertura de texto automaticamente de acordo com as propriedades estatísticas da linguagem. 40 Segundo Beixing et al (2011) é possível utilizar arquivos de áudio para esconder informações. Atualmente, as técnicas de informação e esconderijos são divididas em dois tipos: no domínio do tempo e no domínio da frequência. O anterior é conseguido através da modificação dos arquivos originais e o último transforma e codifica os arquivos de música em domínio da frequência antes da incorporação de segredo informações. De acordo com Laskar e Hemachandran (2012) os dados relacionados com as imagens digitais podem ser muito grandes para serem transmitidos através da Internet. Por este motivo algumas técnicas são utilizadas para reduzir os dados para um tamanho adequado de modo que possa ser enviado pela rede mais facilmente sem um alto consumo de banda. Esta técnica é chamada compressão. O resultado disso são imagens com tamanho menor. Existem dois tipos de compressão: Lossy - A compressão com perdas atinge um elevado nível de compressão e assim economiza mais espaço, mas ao fazê-lo, os bits podem ser alterados em grande parte e a originalidade da imagem pode ser afetada. Lossless - Compressão sem perdas mantém os dados da imagem original e exatamente a compressão sem perdas imagens são preferidos para esteganografia como mídia de imagem. Um método que utiliza imagens que passaram pelo processo de compressão Lossless é o LSB. Este método de incorporação é baseado no fato de que os bits menos significativos de uma imagem pode ser pensado como ruído aleatório e, consequentemente, eles tornam-se não responsivas a qualquer alteração na imagem. Bit menos significativo (LSB) é o tipo mais comumente usado de esquema de inserção usado atualmente em esteganografia digital. Este método é provavelmente a maneira mais fácil de esconder informações em uma imagem e ainda é surpreendentemente eficaz. A mensagem secreta está escondida alterando bit menos significativo em uma determinada camada do arquivo de imagem. 41 Para Sherly e Amritha (2010) esteganografia pode ser aplicada também em vídeo, utilizando um algoritmo chamado TPVDD ele amplia a capacidade da informação secreta escondida e fornece uma imagem imperceptível para a visão humana com segurança aprimorada. Um pequeno valor de diferença de pixels consecutivos pode ser localizado em uma área lisa e um grande está localizado numa área de gumes. De acordo com as propriedades da visão humana, os olhos podem tolerar mais mudanças em blocos de ponta afiada do que nos blocos lisos. Ou seja, mais dados podem ser incorporados nas áreas dos bordos do que em áreas lisas. Alternate Data Stream Para Bem e Huebner (2006) ADS é uma característica única de sistemas de arquivos NTFS introduzida com o Windows NT 3.1 no início de 1990 para fornecer compatibilidade entre Servidores Windows NT e clientes Macintosh que usam HFS. Oliveira (2002) descreve como um mecanismo dos sistemas de arquivos NTFS que permite que um arquivo seja embutido dentro de outro, dessa forma o arquivo original não tenha seu tamanho alterado. Como apresentado na figura 5. Figura 5 - Alternate Data Stream Fonte: BEM; HUBNER (2006) 42 Eliminação de fonte de evidências A eliminação da fonte evidência envolve neutralizar fontes de prova. Não há necessidade de destruir as provas, uma vez que nunca é criado. No mundo físico, a eliminação da fonte pode ser tão simples como o uso de luvas de borracha para cometer um crime. No entanto, o processo atual de eliminação da fonte em si poderia criar provas, como a destruição de provas. Falsificação de evidência Isso inclui a criação de provas que funciona como um ataque contra o processo ou ferramentas. Esta categoria é única, pois envolve a edição seletiva de provas ou de criação de provas inválidas para corromper a validade da evidência real existente. 43 3 METODOLOGIA Neste capítulo será abordado o processo de Implementação das técnicas antiforenses e suas análises, informando cada passo que foi feito para a execução deste trabalho. Aqui será apresentado o ambiente que servirá de teste para os experimentos Durante a pesquisa bibliográfica foram selecionadas quatro técnicas: Alternate Data Stream, Wipe, Criptografia e Esteganografia. Essas técnicas forma escolhidas por terem sido citadas na maioria das bibliografias encontradas, e isso foi um dos fatores que justifica a escolha de cada uma delas. Como o objetivo geral deste trabalho era o de analisar as técnicas anti forense foi proposto a montagem de um ambiente de teste para que as técnicas abordadas no trabalho pudessem ser aplicadas, e dessa forma serem analisadas. O ambiente montado corresponde a um computador desktop contendo o sistema operacional Windows XP com um HD físico montado sobre o NTFS. A Metodologia de análise forense foi baseada no que foi apresentado nesses trabalhos que compreende em exame, análise e interpretação dos resultados respeitando todos os procedimentos de coleta e também da manipulação, todas as imagens geradas foram armazenadas em uma fonte que foi utilizada apenas para este fim. Foram também utilizadas ferramentas para aplicação de algumas técnicas anti forenses. E foi feito o uso de softwares de computação forense para poder analisar o resultado final da aplicação da técnica. Todas as ferramentas que foram utilizadas nesse trabalho são encontradas gratuitas na internet. 44 3.1 ESTEGANOGRAFIA Existem diversos softwares com aplicações de técnicas de esteganografia, vão desde técnicas mais simples até as mais complexas. Não será tratada aqui neste trabalho cada uma delas, será apresentada uma forma de ocultar uma evidência. Para a aplicação da esteganografia utilizamos a ferramenta OPENPUFF v4.00 (http://embeddedsw.net/OpenPuff_Steganography_Home.html) que é um software livre que pode ser usado para esconder arquivos secretos em imagens em diferentes formatos seja ele em imagem, áudio e vídeo. A utilização da ferramenta é fácil. É necessário apenas abrir o software, selecionar a opção hide na parte de steganography como mostrado na figura 6. Figura 6 - Tela Inicial OpenPuff v4.00 Fonte: Autoria Própria Foi escolhida esta ferramenta, pois ela compreende as três formas de esteganografia que serão apresentadas neste trabalho. A seguir temos os experimentos detalhados em ordem de imagem, áudio e vídeo. 45 Para entender o funcionamento detalhado deste software a figura 7 mostra a imagem original e a Figura 8 ilustra as propriedades da imagem original. Trata-se de um arquivo com extensão em BMP. Pode-se observar que o tamanho total da imagem corresponde exatamente 834.054 bytes e representa 835.584 bytes em disco. Para que o processo de esteganografia não levante suspeitas por parte de um investigador é necessário que a imagem tenha o tamanho final e a representação visual mais próxima possível da original de forma que ao ser encontrada não seja levantada nenhuma suspeita por parte do investigador. É interessante também que a imagem tem muitos dados redundantes, para que o processo de esconder um dado ali seja facilitado. A imagem escolhida possui muitas cores semelhantes facilitando assim que a compressão de dados ali seja mais eficiente. Figura 7 - Imagem original Fonte: hdwallpapers.cat 46 Figura 8 - Propriedade da imagem Fonte: Autoria Própria A interface do programa precisa que preenchemos algumas informações antes de executar a esteganografia. Devemos preencher a senha ou as senhas daquele documento que desejamos aplicar esteganografia, pode ser visto no canto superior esquerdo como opção 1. No canto superior direito na opção 2 temos o local onde iremos inserir o que desejamos esconder. No canto inferior esquerdo nomeado como 3 está o arquivo que escolhemos para servir de carrier, o arquivo que irá conter a informação. No canto inferior direito na opção 4 podemos selecionar o tipo de compressão do arquivo variando de Minimum até Maximum. 47 Para ler a mensagem oculta a partir deste arquivo, você terá que usar este software novamente. Este software irá ler o arquivo e vai decodificar o arquivo oculto dele. Não é possível extrair o arquivo oculto de qualquer outro software. Figura 9 - Mensagem ocultada Fonte: Autoria Própria Na figura 10 notamos que a figura com o arquivo oculto não possui diferença no tamanho. Mas isso pode ser levado em conta que a mensagem inserida era pequena e, como destacado anteriormente, a imagem escolhida possui dados redundantes. Na figura 11 vemos a imagem resultante, e na figura 12 temos um comparativo entre as duas mensagens a original ao lado esquerdo e a com a mensagem ao lado direito, onde pode-se ver que não possui diferença da original para a modificada, dessa forma numa eventual perícia seria praticamente impossível que fosse identificada como contendo alguma informação sigilosa ou que pudesse servir para ser utilizada contra o criminoso. 48 Figura 10 - Propriedade da imagem com mensagem oculta Fonte: Autoria Própria Figura 11 - Figura com a mensagem oculta Fonte: Autoria Própria 49 Figura 12 - Comparação entre as imagens original (esquerda) com mensagem ocultada (direita) Fonte: Autoria Própria Caso durante uma investigação essa imagem levantasse suspeita, seria necessário quebrar a criptografia de 256 bits da senha escolhida pelo usuário para que tivéssemos acesso a informação contida nela. A figura 13 mostra a comparação em hexa das duas imagens. Podemos ver na parte de cima a imagem com a mensagem ocultada e na parte de baixo a imagem original, neles podemos ver algumas diferenças. Para obter essas informações foi utilizado a ferramenta WinHex (https://www.x-ways.net/winhex/) que possui dentre suas funcionalidades um analisador de arquivos binários. 50 Figura 13 - Comparação entre imagens Fonte: Autoria Própria Foi utilizado também OPENPUFF v4.00 para efetuar esteganografia em áudio. O processo de ocultação de dados tem um procedimento parecido com o anterior a diferença está em vez de utilizar um arquivo de BMP utilizamos um WAV. Foi utilizado para uma visualização o software de edição e criação de áudio Audacity (http://www.audacityteam.org/download/), nele podemos visualizar o áudio em forma 51 de onda, entre outras formas para se ter uma ideia do quanto a esteganografia pode distorcer o áudio sem que o ouvido humano perceba ao escutar aquele arquivo. Na Figura 14 vemos informações do áudio criado, e na figura 15 vemos sua assinatura em forma de onda. Pela a captação ter sido em um microfone estéreo é exibida duas ondas. Figura 14 - Propriedades áudio original Fonte: Autoria Própria 52 Figura 15 - Representação áudio original Fonte: Autoria Própria Após aplicar o a esteganografia temos na figura 16 as informações do novo arquivo, e na figura 17 a onda gerada. 53 Figura 16 - Propriedades do áudio com mensagem oculta Fonte: Autoria Própria Figura 17 - Representação do áudio com mensagem oculta Fonte: Autoria Própria 54 As duas ondas não possuem diferenças. Vemos isso na figura 18 e ao escutar o áudio gerado não se observa diferença. Assim como na imagem o novo arquivo não possui diferença em tamanho para o novo. Figura 18 - Comparação entre áudio, original (em cima) com mensagem oculta (abaixo) Fonte: Autoria Própria A figura 19 mostra a comparação binária dos dois áudios. Podemos ver na parte de cima o áudio original e na parte de baixo a o áudio com a mensagem ocultada. Neles podemos ver claramente que possuem diferenças. Também foi utilizado a ferramenta WinHex. Aqui podemos ver uma diferença muito maior do que na imagem. 55 Figura 19 - Comparação entre áudio, original (em cima) com mensagem oculta (abaixo) WINHEX Fonte: Autoria Própria Para aplicação da esteganografia o procedimento para este é semelhante aos outros dois, com a diferença de que agora será um arquivo AVI. Na figura 20 temos as informações sobre o vídeo original, podemos ver que o seu tamanho é de 15.590.088 bytes e o tamanho em disco é de 15.593.472 bytes. 56 Figura 20 - Propriedades vídeo original Fonte: Autoria Própria Foi utilizado então a ferramenta OPENPUFF v4.00 para fazer a esteganografia. Nessa ferramenta foi selecionado o tipo máximo de compressão possível, para que ficasse o mais próximo do original como pode ser visto na figura 21. Após utilizar a ferramenta vemos na figura 22 as informações do novo vídeo. Vemos que o tamanho do novo vídeo difere pouco do original fato que não ocorreu utilizando outros formatos. 57 Figura 21 - Tela do OpenPuff v4.00 Fonte: Autoria Própria Figura 22 - Propriedade do vídeo com mensagem oculta Fonte: Autoria Própria 58 A figura 23 mostra a comparação binária dos dois vídeos. Podemos ver na parte de cima o vídeo original e na parte de baixo a o vídeo com a mensagem ocultada. Neles podemos ver claramente que possuem diferenças. Neste vemos uma diferença muito maior do que nos outros dois casos. Também foi utilizado a ferramenta WinHex. Figura 23 - Comparação de vídeos original em cima, com mensagem oculta embaixo Fonte: Autoria Própria 59 Mas mesmo comparando com o arquivo original só foi possível constatar que elas estão diferentes, pois temos o original, mas mesmo assim não temos acesso a mensagem que está ocultada na figura. Seria necessário quebrar a criptografia como foi falado anteriormente. Caso fosse feito um dump da memória com o programa aberto OpenPuff v4.00 aberto podemos ter acesso a senha. Mas caso o sistema seja desligado perderemos essa informação, conforme a figura 24 onde do lado esquerdo temos o dump da memória com o sistema ligado e a direita temos o sistema religado, para isso foi utilizado a ferramenta Winhex que possui uma opção de fazer o dump da memória. A senha que foi utilizada foi "senha123". Figura 24 - Comparação do dump de memória antes e depois do sistema desligado Fonte: Autoria Própria Após os experimentos, pode-se perceber que os arquivos gerados através da utilização dessas ferramentas produzem como resultado final uma cópia fiel ao 60 original com tamanho equivalente de forma que não seria despertada no perito a curiosidade de se investigar aquele arquivo. De acordo com os criadores o OpenPuff v4.00 trabalha com um sistema de Multi criptografia, ou seja, ele utiliza elementos de AES, NESSIE and CRYPTREC que são mesclados na criação de um único algoritmo que é esse sistema de Multi criptografia. Portanto caso o investigador fosse analisar seria necessário descobrir a senha que está bem criptografada e isso poderia demorar um tempo desconhecido. Foi executado também o calculo do hash utilizando a ferramenta WinMD5Free (http://www.winmd5.com/), ela executa o cálculo hash MD5 de arquivo. No processo utilizamos o arquivo original, geramos seu número e comparamos com os resultados após a aplicação de esteganografia. O resultado está representado na figura abaixo: Figura 25 - Hash dos arquivos imagem, áudio e vídeo em ordem Fonte: Autoria Própria Pode-se ver claramente que os números apresentados pela a função Hash foram diferentes, mostrando que não se trata do mesmo arquivo. 3.2 CRIPTOGRAFIA 61 A criptografia é uma das técnicas muito utilizada, pois a ocultação de uma evidência pode ser tão complexa que para que a chave de criptografia seja quebrada revelando a mensagem original pode demorar anos tornando-se inviável. Para a aplicação da criptografia foi utilizado a ferramenta VeraCrypt (https://veracrypt.codeplex.com/wikipage?title=Downloads) que adiciona segurança para os algoritmos usados para o sistema de criptografia de partições e tornando-se imune a novos desenvolvimentos em ataques de força bruta. Seu funcionamento acontece da seguinte forma. É criado um conteiner com extensão que for desejada nesta etapa é necessário selecionar um local para armazenamento, um nome e uma senha. Vale lembrar que este nome pode ser em qualquer extensão a fim de camuflar que aquilo que foi criado possa armazenar algo dentro dele, por exemplo, podemos colocar uma extensão AVI. Após isso será solicitado qual o tamanho e qual a forma de criptografia será utilizada para aquele conteiner. Após sua criação devemos utilizar a ferramenta e "montar" esse novo volume utilizando a senha que foi cadastrada para aquele volume. Sendo assim, teremos acesso às informações que estão contidas nele. Para demonstrar o funcionamento da ferramenta foi utilizado uma cópia dos arquivos originais do tópico de esteganografia, onde iremos inseri-los dentro de um volume. Foi utilizada uma imagem no formato BMP, um áudio no formato WAV, um vídeo no formato AVI e um arquivo de texto no formato TXT, sendo um total de quatro arquivos. Na figura 26 temos as propriedades totais deles. 62 Figura 26 - Propriedades dos arquivos Fonte: Autoria Própria Foi criado um volume de 20,0 MBytes onde pudemos inserir esses documentos como visto na figura 27. Como citado anteriormente foi criado um volume com uma extensão diferente de forma que o próprio sistema operacional contribui para a camuflagem uma vez que ele reconhece a extensão (AVI). Temos então um vídeo com 20,0 MBytes. 63 Figura 27 - Propriedade do volume Fonte: Autoria Própria Uma vez que possuímos o volume criado, utilizamos a ferramenta VeraCrypt com o objetivo de utilizar essa nova partição criada. Iremos utilizar a opção mount que irá interpretar essa partição como um novo volume para o computador, e dessa forma habilitando a mesma para que possamos utiliza-la, exemplificado na figura 28. 64 Figura 28 - Montagem do volume Fonte: Autoria Própria Com a nova unidade montada e disponível podemos acessá-la normalmente como se fosse parte do nosso computador. Agora devemos colocar aqui nesta nova unidade os arquivos que irão ser criptografados. Na figura 29 vemos o novo volume sem arquivos a esquerda e com os arquivos a direita. Importante ressaltar que o arquivo do volume continua o mesmo. 65 Figura 29 - Novo volume Fonte: Autoria Própria A criptografia utilizada pelo VeraCrypt, foi a AES com uma chave de 266-bits de acordo com a própria documentação. Essa criptografia é eficaz que para ser quebrada em força bruta demoraria muitos anos. 3.3 ALTERNATE DATA STREAM O grande facilitador dessa técnica é o fato de não precisar de nenhuma ferramenta para utilizá-la uma vez que é utilizado o sistema operacional para sua execução 66 através de alguns comandos no prompt de comandos de computadores com o sistema operacional Windows. Para a demonstração como o funciona o processo de criação de um arquivo ADS será criado um TXT como o nome de "arquivoNormal.txt" em branco, ou seja, com 0 Bytes de espaço, conforme apresentado na figura 30. Este será o arquivo em que iremos incluir uma stream com o nome de "arquivoAds.txt" de forma que o arquivo inicial permaneça inalterado. Foi utilizado para isso um comando nativo do prompt de comando do windows criando a seguinte sentença: arquivoNormal.txt:arquivoAds.txt". Podemos visualizar isso na figura 31. Figura 30 - Arquivo em branco Fonte: Autoria Própria "notepad 67 Figura 31 - Criação de um arquivo ADS Fonte: Autoria Própria Após este processo podemos ver que mesmo tendo editado e salvado o arquivo ADS o sistema apresenta apenas o "arquivoNormal.txt" e com 0 Bytes de espaço, de forma que sua stream permanece invisível para o usuário. Podemos ver isso na figura 32. Figura 32 - Prompt de comandos não exibindo o arquivo ADS Fonte: Autoria Própria 68 Uma vez que podemos anexar um arquivo TXT podemos também colocar um arquivo executável, e assim essa técnica se torna um bom recurso para esconder programas maliciosos. Para verificar se essa técnica seria uma boa opção para esconder dados foi utilizado a ferramenta StreamArmor (http://securityxploded.com/download.php) que trabalha utilizando uma verificação de ameaças on-line aliado com um scanner de ADS, ele desenvolvido com também mecanismo de detecção avançada que examina o arquivo afim de detectar com precisão o tipo stream composto nele. Dessa forma essa ferramenta é uma grande aliada da análise forense. É possível excluir esses arquivos uma vez que podem conter conteúdo malicioso e prejudicial tanto para o sistema quanto para as informações do usuário daquele computador. Sua utilização é bem simples basta selecionar o diretório ou a opção de scanner completa e pressionar o botão START SCAN. Após a busca ele retornará os arquivos que possuem streams. Exibindo o seu tamanho real e seu nome verdadeiro. Conforme a figura 33 podemos ver destacados em vermelho o tamanho real da stream criada no canto esquerdo, o verdadeiro nome do arquivo no canto direito e também podemos ver o conteúdo dessa stream na parte inferior da figura. 69 Figura 33 - Tela Stream Armor Fonte: Autoria Própria Foi feito nesse caso também o cálculo do hash dos arquivos antes e depois do processo. E o número gerado foi o mesmo. 3.4 WIPE Assim como as demais técnicas existem muitas ferramentas que podem fazer o processo de wipe em um HD, para este projeto foi escolhida uma ferramenta chamada Erase. Essa ferramenta está disponível gratuitamente na internet, assim como outras ferramentas ela tem como objetivo sobrescrever as informações 70 presentes em um disco de forma que seja impossível a recuperação desses dados, e assim mantendo o sigilo daquelas informações. A ferramenta permite selecionar qual padrão escolhido para o usuário aplicar em seu disco, incluindo o padrão de Guntmann (1996) em que dizia que seria necessário sobrescrever o arquivo trinta e cinco vezes para garantir que esse processo seja o ideal. A figura 34 mostra a interface dessa ferramenta. Figura 34 - Tela do Eraser Fonte: Autoria Própria Para o experimento foi utilizado um disco separado do tamanho de 20 MBytes e uma ferramenta livre, chamada Recuva (https://www.piriform.com/recuva/download). Essa ferramenta tem como objetivo recuperar dados que foram deletados do HD. Para o experimento foi inserido um grupo de dez imagens no HD criado. Depois 71 disso apagamos todo conteúdo presente nesse novo disco utilizando apenas uma deleção simples apertando o botão Delete do computador. Ao utilizar a ferramenta Recuva podemos selecionar o que desejamos recuperar e marcar todos os tipos de arquivos. A busca pode ser em todo computador, em alguma pasta especifica ou em um disco especifico. Neste caso foi escolhido o disco que foi criado que possuía as imagens. O resultado disso pode ser visto na figura 35. Figura 35 - Tela do Recuva após uma deleção normal Fonte: Autoria Própria Podemos ver destacado em vermelho o disco utilizado e as dez imagens que haviam sido deletas. Para que a delação seja completa foi utilizado o Eraser (http://eraser.heidi.ie/) para sobrescrever o disco para saber se depois de usar uma ferramenta própria para isso podemos encontrar dados no disco. O processo para a segunda parte foi, adicionar 72 novamente as imagens e deletar utilizando as opções de sobrescrita do Eraser, e depois foi utilizada a ferramenta Recuva novamente para ver se podemos encontrar algum rastro do HD. Foi utilizada a opção de Guntmann 35, o resultado disso pode ser visto na figura 36, onde podemos ver que os dados não foram encontrados após a sua sobrescrita. Figura 36 - Tela Recuva depois de usado o Eraser Fonte: Autoria Própria 73 4 CONSIDERAÇÕES FINAIS As técnicas anti forenses são aperfeiçoadas constantemente, de maneira que algumas ficam cada vez mais eficientes, dificultando ainda mais o processo de perícia forense já que é necessário que tenha uma evolução também nesse processo. Como proposto nos objetivos desde trabalho, foi possível para cada uma das técnicas apresentadas identificar como ela trabalha através de sua implementação, a partir disso foi possível também mostrar a eficácia das mesmas perante uma possível investigação por um perito de computação forense. Também foi apresentado neste trabalho os principais crimes digitais e a legislação do Brasil que buscam combatê-los. A partir dos resultados obtidos com esse trabalho pode-se ver que a criptografia e a esteganografia são bastante eficazes, já que utilizam algoritmos de criptografia muito fortes impedindo que eles sejam facilmente quebrados. Com o wipe foi possível apagar dados de forma simples sobrescrevendo toda uma partição. E após seu uso nenhum dado foi encontrado, mostrando ser excelente para sobrescrita de dados. O ADS seu mostrou ser de fácil aplicação, entretanto sua identificação pela ferramenta forense foi rápida e fácil. Vale ressaltar que todas as técnicas apresentadas, para que elas possam ser identificadas, deveriam despertar a curiosidade e o interesse do investigador, então o local onde ela foi armazenada no caso das imagens e do ADS influencia muito o julgamento de um perito. Para trabalhos futuros, poderia ser acrescentadas mais técnicas para análise, identificando as vulnerabilidades que a elas exploraram, com o objetivo de buscar novos métodos de combate. Pode-se acrescentar também a possibilidade de ir mais a fundo nos conhecimentos sobre as técnicas anti forenses e entender 74 computacionalmente como ela trabalha para assim verificar maneiras que possam prevenir ou até ajudar a solucionar mais rápido problemas que as envolvem. Outro trabalho futuro poderia ser a análise de mais ferramentas forenses e identificar aquela que melhor se sai para cada um dos casos, para que assim o perito saiba melhor qual ferramenta é mais útil para cada situação que ele encontrar. 75 REFERÊNCIAS BANDAY, M. Tariq; QADRI, Jameel A. SPAM-Technological and Legal Aspects. Caxemira, 2011. BANERJEE, Indradip; BHATTACHARYYA, Souvik; SANYAL, Gautam. Text Steganography using Article Mapping Technique (AMT) and SSCE. Journal of Global Research in Computer Science, India, v. 2, n. 4, p. 69-75, 2011. BEIXING, Deng et al. A Novel Steganography Method Based on Modifying Quantized Spectrum Values of MPEG / Audio Layer III. In: WSEAS International Conference on Applied Informatics and Communications. 7., 2007, Grécia. Procedimentos... Grécia, 2007. BEM, Derek; HUEBNER, Ewa Z. Alternate data streams in forensic investigations of file systems backups. Disponível em: <https://www.google.com. br/search?q=Privacidade+na+Internet+com+base+na+Lei+No+12.965&oq=Privacida de+na+Internet+com+base+na+Lei+No+12.965&aqs=chrome..69i57.394j0j8&sourcei d=chrome&ie=UTF-8#q=BEM%2C+Derek%3B+HUEBNER%2C+Ewa+Z>. BRASIL. Lei n. 12.737/12, de 30 de novembro de 2012. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 03 dez. 2012. Seção 1, p. 1. ______. Lei n. 12.965, de 23 de abril de 2014. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 24 abr. 2014. Seção 1, p. 1. ______. Decreto-Lei n. 2848, de 07 de dezembro de 1940. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 31 dez. 1940. Seção 1. ______. Lei n. 8069, de 13 de julho de 1990. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 16 jul. 1990. Seção 1, p. 1. ______. Lei n. 9296, de 24 de julho de 1996. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 25 jul. 1996. Seção 1, p. 1. CASTRO,Joelíria Vey de Castro; BULAWSKI, Cláudio Maldaner. O perfil do pedófilo: uma abordagem da realidade brasileira, Revista Liberdades, São Paulo, n. 6, p. 326, jan./abr. 2011. 76 CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de segurança para internet: versão 4.0. 2. ed. São Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em: <http://cartilha.cert.br/livro/>. Acesso em: 26 ago. 2015. COUTINHO, Clara; LISBÔA, Eliana. Sociedade da informação, do conhecimento e da aprendizagem: desafios para educação no século XXI. Revista de Educação, v. XVIII, n. 1, p. 5-21, 2011 ASHCROFT, John; DANIELS, Deborah. J.; HART, Sarah. V. Forensic examination of digital evidence: a guide for law enforcement. Washington: Departamento de Justiça, 2004 DE CARLI, Daniel Michelon. Crimes virtuais no Brasil - Uma análise jurídica. Santa Maria, 2006. Trabalho de graduação (Disciplina de Computadores e Sociedade) - Curso de Ciência da Computação, Universidade Federal de Santa Maria. PEREIRA, Evandro Della Vecchia. Investigação digital: conceitos, ferramentas e estudos de caso. In: CONGRESSO TECNOLÓGICO (INFOBrasil). 3., 2010, Fortaleza. Anais... Fortaleza: [s.n.], 2010. DIAS, Fabio Freitas. Direito Penal III - Material de apoio e orientação sobre o tipo penal e doloso: apostila. Santa Maria, 2012 DOULIGERIS, Christos; MITROSKOTSA, Aikaterini. DDoS attacks and defense mechanisms: Classification and state-of-the-art. Computer Networks, Piraneus Grécia, 2003. EIRAS, Marcelo Coradassi. Engenharia Social e Estelionato Eletrônico. 2004. 40 f. Dissertação (Mestrado em Segurança de Informações na Internet) - Instituto Brasileiro de Propriedade Intelectual, São Paulo, 2004. ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. 1. ed. São Paulo: Novatec, 2011. FURLANETO NETO, Mário; GUIMARÃES, José Augusto Chaves. Crimes na internet: elementos para uma reflexão sobre a ética informacional. R. CEJ, Brasília, n. 20, p. 67-73, jan./mar. 2003. GEUS, Paulo Lício de, REIS, Marcelo Abdalla dos. Análise Forense de Intrusões em Sistemas Computacionais: técnicas, procedimentos e ferramentas. In: SEMINÁRIO NACIONAL DE PERÍCIA EM CRIMES DE INFORMÁTICA. 1., 2002, Maceió. 77 GITTINGS, Keith R. (2001). Where data hides and resides understanding hidden data in Windows. Estados Unidos. GUNTMANN, Peter. Secure deletion of data from magnetic and solid-state memory. In: USENIX SECURITY SYMPOSIUM PROCEEDINGS. 6., 1996, San Jose, California. Proceedings... San Jose, California: USENIX Association Berkeley, 1996. HARRIS, Ryan. Arriving at an anti-forensics consensus : examining how to define and control the anti-forensics problem. Digital Investigation: The International Journal of Digital Forensics & Incident, v. 3, p. 44-49, set. 2006 KENT, Karen et al. NIST SP 800-86. Guide to integrating forensic techniques into incident response: recommendations of the national institute of standards and technology. Estados Unidos: Computer Security, 2006. LASKAR, Shamin A.; HEMACHANDRAN, Kattamanchi. High capacity data hiding using LSB steganography and encryption. International Journal of Database Management Systems (IJDMS), v. 4, n. 6, p. 57-68, dec. 2012 LEE Cynthia Bailey; ROEDEL Chris; SILENOK, Elena. Detection and characterization of port scan attacks. San Diego (EUA), 2003. OLIVEIRA, Flávio de Souza. Resposta a incidentes e análise forense para redes baseadas em Windows 2000. 2002. 144 f. Dissertação (Mestrado em Ciência da Computação) - Universidade Estadual de Campinas, Campinas, 2002. OLIVEIRA, Ronielton. Rezende. Criptografia simétrica e assimétrica : os principais algoritmos de cifragem. Segurança Digital (Revista Online), v. 5, n. 2,. 2012. PEREIRA, Evandro et al. Forense computacional: fundamentos e desafios atuais. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS. 7., 2007, Rio de Janeiro. Anais... Rio de janeiro: [SBC], 2007. QUARESMA, Pedro; LOPES, Elsa. Criptografia. Gazeta de Matemática, Portugal, n. 154, p. 7-11, mar. 2008. QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e Perícia Forense Computacional. 1. ed. Rio de Janeiro: Brasport, 2010. REIS, Wanderlei José dos. Delitos cibernéticos implicações da lei n° 12.737/12. Revista Jurídica CONSULEX. v. XVII, n. 405, p. 32-35, 1 dez. 2013. 78 SANTOS JÚNIOR, Pedro Almeida da Silva; SANTOS JÚNIOR, Nélio Lustosa; SOUSA, Fabrício Luís Borges. Privacidade na Internet com base na Lei No 12.965, de 23 de abril de 2014. Potencialidade Regional e Tecnologias Sociais: o sertão Piauiense em evidência. Apresentação de trabalhos... Piauí, 2015. SAROIU, Stefan, GRILBBLE, Steven D.; LEVY, Henry. M. Measurement and analysis of spyware in a university environment. 2004. In: SYMPOSIUM ON NETWORKED SYSTEMS DESIGN AND IMPLEMENTATION. 1., 2004. CA (USA). Proceeding... CA (USA): v, 2004. SOUPPAYA, Murugiah; SCARFONE, Karen. NIST SP 800-83r1. Guide to malware incident prevention and handling for desktops and laptops. Estados Unidos: Computer Security, 2013. SHERLY, A. P.; AMRITHA, P. P. A compressed video steganography using TPVD. International Journal of Database Management Systems, (IJDMS) v. 2, n. 3, aug. 2010. TORRES, Henrique Alexandre. Classificações e técnicas de anti forense computacional. Manaus, 2013 WANG, Huaiquing; WANG, SHUOZHONG. Cyber Warfare: steganography vs. steganalysis. Communications of the ACM, New York, v. 47, n. 10, p. 76-82, out. 2004. WU, Nan; HWANG, M. Data Hiding: current status and key issues. International Journal of Network Security, v. 4, n. 1, p. 1-9, 2007
Documentos relacionados
Esteganografia - Marcos Laureano
communications. So, main objective of this work is to study the main techniques of steganography and its applications in images and text and some methods and applications of steganalysis.
Leia mais