faculdade norte capixaba de são mateus

Transcrição

0
FACULDADE NORTE CAPIXABA DE SÃO MATEUS
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS
FABRÍCIO SANTOS SACRAMENTO
ESTUDO SOBRE AS FERRAMENTAS DE REDE PARA PERÍCIA FORENSE:
ESTUDO DE CASO DO ARQUIVO EVIDENCIAS.PCAP
SÃO MATEUS
2012
1
Trabalho de conclusão do curso apresentado ao
Programa de Superior Tecnológico em Análise e
Desenvolvimento de Sistemas da Faculdade
Norte Capixaba de São Mateus, como requisito
para obtenção do grau de Tecnólogo em Analise
e Desenvolvimento de Sistemas.
Orientador: Prof. Ramilton Costa Gomes Junior
SÃO MATEUS
2012
2
Catalogação na fonte elaborada pela “Biblioteca Dom Aldo Gerna”/UNISAM
S123e
Sacramento, Fabrício Santos
Estudo sobre as ferramentas de rede para perícia forense: estudo de caso do Arquivo
Evidencias.pcap. / – São Mateus: UNISAM /Faculdade Norte Capixaba de São Mateus,
2012.
64.f : enc.
Orientador: Ramilton Costa Gomes Junior
Trabalho de conclusão de curso (Tecnólogo em Análise e Desenvolvimento de
Sistemas)
UNISAM / Faculdade Norte Capixaba de São Mateus, 2012.
1.Tcpdump 2.Xplico 3.Wireshark 4.Laudo pericial I. Sacramento, Fabrício Santos
II.UNISAM / Faculdade Norte Capixaba de São Mateus, 2012. III. Título.
CDD 004.6068
3
Trabalho de conclusão do curso apresentado ao Programa de Superior Tecnológico em Análise e
Desenvolvimento de Sistemas da Faculdade Norte Capixaba de São Mateus, como requisito para
obtenção do grau de Tecnólogo em Analise e Desenvolvimento de Sistemas.
Aprovada em 24 de Novembro de 2012
COMISSÃO EXAMINADORA
___________________________________________
Prof. Ramilton Costa Gomes Junior
Faculdade Norte Capixaba de São Mateus
Orientador
___________________________________________
Prof. Lucas Costa Jardim
Membro 1
___________________________________________
Prof. Temístocles Rocha
Membro 2
4
Primeiramente dedico a Deus, porque
sem ele não sou nada nesse mundo, e
não faço nada se não for da sua vontade.
E com amor e carinho a minha mãe e
minha família por acreditar no meu
potencial.
E as todas as pessoas que fazem parte
na minha vida que sempre quis o meu
bem.
5
Agradeço a Deus por mais um sonho
sendo realizado. A minha futura noiva
Mariana Félix pela compreensão de eu
me dedicar aos meus estudos e não dá-la
atenção alguns dias e a todos meus
colegas de classe que fizeram parte da
minha primeira graduação.
Aos meus professores e Coordenadores
de curso e em especial ao meu professor
e orientador Ramilton Costa Gomes
Júnior por acreditar em mim e ter me
auxiliado para o desenvolvimento do TCC.
6
RESUMO
Este trabalho aqui proposto tem como objetivo mostrar ferramentas de rede para
uma perícia forense, explicando as suas funções e mostrar uma análise pericial no
arquivo evidencias.pcap, que é um arquivo capturado por uma ferramenta de sniffer
de rede Tcpdump, que será analisado por ferramentas como Xplico, Wireshark e
entre outras, O arquivo capturado contém informações de e-mail enviado por Ann
Dercover, uma mulher que saiu da cadeia sob fiança, e a polícia quer saber do seu
paradeiro, para isso será usado ferramentas de rede para uma análise pericial no
arquivo onde contém evidencias sobre Ann Dercover. Com a análise concluída será
feito uma laudo pericial onde contém tudo que foi realizado pelo perito forense de
forma clara e objetiva antes, durante e após análises sobre o evidencias.pcap a qual
foi investigado.
PALAVRAS-CHAVE: Tcpdump. Xplico. Wireshark. Laudo Pericial.
7
ABSTRACT
This work proposed here aims to show network tools for forensics. Explaining their
functions and show an expert analysis on evidencias.pcap file, which is a file
captured by a network sniffer tool tcpdump, which will be analyzed by tools like
Xplico, Wireshark and among others, The captured file contains information from email sent by Dercover Ann, a woman who walked out of jail on bail, and police want
to know of his whereabouts, it will be used for network tools for forensic analysis
where the file contains evidence about Ann Dercover. With the analysis will be done
a complete expert report which contains everything that was done by the forensic
expert to clearly and objectively before, during and after analyzes of evidencias.pcap
which was investigated.
KEY WORDS: Tcpdump. Xplico. Wireshark. Expert report.
8
LISTA DE FIGURAS
FIGURA 1 - ATIVIDADES OPERACIONAIS DA COMPUTAÇÃO FORENSE. FONTE
MELO (2009). ............................................................................................................ 14
FIGURA 3 - PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO. FONTE CAMPOS
(2007) ........................................................................................................................ 20
FIGURA 2 - REDE DE PERÍMETRO. FONTE: BOSCO (2006) ................................ 23
FIGURA 4 - VULNERABILIDADE - FONTE: LAUREANO (2005 P.18) ..................... 25
FIGURA 5 - MODUS OPERANDI (INVASÃO). FONTE MELO (2009 P. 21)............. 26
FIGURA 6 - CICLO DA PERÍCIA FORENSE. FONTE MELO (2009 P.15) ............... 27
FIGURA 7 - CHAOSREADER EXTRAINDO SEÇÕES HTTP. FONTE
BRENDANGREGG.COM (2003) ............................................................................... 32
FIGURA 8 - TELA PRINCIPAL DO XPLICO. FONTE WIKI.XPLICO.ORG (2012) .... 33
FIGURA 9 - COMANDO TCPDUMP DE CAPTURA DE PACOTES EM TODA REDE.
.................................................................................................................................. 36
FIGURA 10 - EXECUÇÃO DO COMANDO FILE PARA OBTER INFORMAÇÕES DO
ARQUIVO. ................................................................................................................. 36
FIGURA 11 - COMPARANDO O HASH DOS ARQUIVOS. ...................................... 37
FIGURA 12 - ABRINDO O ARQUIVO NO WIRESHARK. ......................................... 37
FIGURA 13 - MOSTRANDO RESULTADO DE UMA CAPTURA DE PACOTES...... 37
FIGURA 14 - FILTRANDO PACOTES SMTP. .......................................................... 38
FIGURA 15 - MOSTRANDO FLUXO DE DADOS NO PACOTE DA LINHA 56. ....... 38
FIGURA 16 - COMANDO DO TCPFLOW PARA RECONSTRUIR AS SESSÕES DO
ARQUIVO. ................................................................................................................. 39
FIGURA 17 - MOSTRADO AS SESSÕES EXISTENTE NO ARQUIVO. .................. 39
FIGURA 18 - MOSTRANDO CONTEÚDO DA PRIMEIRA SESSÃO. ....................... 40
FIGURA 19 - DECODIFICANDO CONTEÚDOS BASE64. ....................................... 40
FIGURA 20 - DECODIFICANDO CONTEÚDO BASE64. .......................................... 42
FIGURA 21 - MOSTRANDO CONTEÚDO DA TERCEIRA SESSÃO. ...................... 43
9
FIGURA 22 - COPIANDO CONTEÚDO DA LINHA 61 A 3700 PARA ARQUIVO.TXT.
.................................................................................................................................. 46
FIGURA 23 - DADOS SENDO DECODIFICADOS E SENDO COPIADO PARA
ARQUIVO.DOCX. ..................................................................................................... 46
FIGURA 24 - INFORMAÇÃO DENTRO DO ARQUIVO.DOCX. ................................ 47
FIGURA 25 - MOSTRANDO O HASH DO ARQUIVO.DOCX.................................... 47
FIGURA 26 - INICIANDO SERVIÇOS DO SERVIDOR WEB E DO XPLICO. ........... 48
FIGURA 27 - TELA DE LOGIN DO XPLICO. ............................................................ 48
FIGURA 28 - TELA DE INCLUSÃO DE NOVO CASO NO XPLICO. ........................ 49
FIGURA 29 - TELA INICIAL DO XPLICO COM EVIDENCIAS.PCAP A SER
ANALISANDO. .......................................................................................................... 49
FIGURA 30 - LISTA DE E-MAILS NO ARQUIVO EVIDENCIAS.PCAP .................... 50
FIGURA 31 - E-MAIL ENVIADO PARA [email protected]............................... 50
FIGURA 32 - E-MAIL ENVIADO PARA [email protected]. ................ 50
FIGURA 33 - MOSTRANDO ANEXO BAIXADO E EXTRAÍDO PARA PASTA
3_FILES. ................................................................................................................... 51
FIGURA 34- MOSTRANDO MAPA QUE ESTAVA DENTRO DO ARQUIVO NO
ANEXO. ..................................................................................................................... 51
10
LISTA DE GRÁFICOS
GRÁFICO 1 - INCIDENTES REPORTADOS AO CERT.BR -- NO PRIMEIRO
TRIMESTRE DE 2012. FONTE CERT.BR. ............................................................... 25
GRÁFICO 2 - GRAU DE VOLATILIDADE VS TEMPO DE VIDA. FONTE MELO
(2009 P.34)................................................................................................................ 30
11
LISTA DE SILGAS
CERT – Centro de Estudos, Resposta e Tratamento de Incidentes.
FTP – File Transfer Protocol
HTML – Hypertext Markup Language
HTTP – Hypertext Transfer Protocol
IDS – Intrusion detection system
IMAP – Internet Message Access Protocol
IP – Internet Protocol
POP – Post Office Protocol
SIP – Session Initiation Protocol
SMTP – Simple Mail Transfer Protocol
TCP – Transmission Control Protocol
UDP – User Datagram Protocol
12
SUMÁRIO
1
INTRODUÇÃO ......................................................................................... 14
1.1
JUSTIFICATIVA DO TEMA ...................................................................... 15
1.2
DELIMITAÇÃO DO TEMA ........................................................................ 15
1.3
FORMULAÇÃO DO PROBLEMA ............................................................. 15
1.4
OBJETIVOS ............................................................................................. 16
1.4.1
OBJETIVO GERAL ........................................................................................ 16
1.4.2
OBJETIVOS ESPECÍFICOS ............................................................................. 16
1.5
HIPÓTESE ............................................................................................... 16
1.6
META........................................................................................................ 17
1.7
METODOLOGIA ....................................................................................... 17
1.7.1
CLASSIFICAÇÃO DA PESQUISA ..................................................................... 17
1.7.2
TÉCNICAS PARA COLETA DE DADOS .............................................................. 18
1.7.3
FONTES PARA COLETA DE DADOS ................................................................. 18
1.7.4
POSSIBILIDADE DE TRATAMENTO E ANÁLISE DOS DADOS ................................ 18
1.8
APRESENTAÇÃO DO CONTEÚDO DAS PARTES DO TRABALHO ...... 19
2
REFERENCIAL TEÓRICO ....................................................................... 20
2.1
SEGURANÇA DA INFORMAÇÃO ............................................................ 20
2.2
O QUE É PERÍCIA FORENSE COMPUTACIONAL? ............................... 22
2.3
SEGURANÇA DE PERÍMETRO ............................................................... 23
2.4
INVASÃO DE SISTEMAS ......................................................................... 24
2.4.1
MODUS OPERANDI DE UM INVASOR .............................................................. 26
2.5
PROCESSOS DE ANÁLISE FORENSE................................................... 27
2.5.1
AQUISIÇÃO ................................................................................................. 27
2.5.2
IDENTIFICAÇÃO ........................................................................................... 28
2.5.3
AVALIAÇÃO ................................................................................................ 28
2.5.4
APRESENTAÇÃO ......................................................................................... 28
2.6
COLETA DE ENVIDÊNCIAS DIGITAIS .................................................... 29
2.6.1
FORENSE IN VIVO (LIVE FORENSIC ANALYSIS) ................................................ 29
13
2.6.2
FORENSE DE REDE (NETWORK FORENSIC) ..................................................... 30
2.6.3
FORENSE POST MORTEM (POST MORTEM ANALYSIS) ...................................... 31
2.7
FERRAMENTAS PARA ANÁLISE FORENSE DE REDE......................... 31
2.7.1
NGREP ....................................................................................................... 31
2.7.2
CHAOSREADER ........................................................................................... 32
2.7.3
XPLICO ...................................................................................................... 33
2.8
LAUDO PERICIAL. ................................................................................... 34
3
ESTUDO DE CASO ................................................................................. 35
3.1
EVIDENCIAS.PCAP - OBJETO DE ESTUDO DA PESQUISA ................. 35
3.2
APRESENTAÇÃO DOS DADOS .............................................................. 35
3.3
ANÁLISE DOS DADOS ............................................................................ 36
CONCLUSÃO E RECOMENDAÇÕES ..................................................... 53
4.1
CONCLUSÃO ........................................................................................... 53
4.2
RECOMENDAÇÕES ................................................................................ 54
5
REFERÊNCIAS BIBLIOGRÁFICAS ........................................................ 55
APÊNDICE A – LAUDO PERICIAL ...................................................................... 58
14
1 INTRODUÇÃO
Quando falamos perícia forense de rede de computadores não pensamos somente
em investigação, pensamos também em ferramentas, metodologias de investigação
e armazenamento de evidências, pois cada pensamento desses é importante para
cumprimento das atividades da perícia forense em rede.
A forense de rede de acordo com Melo (2009 p. 49)
Pode ser compreendida com a ação do perito em coletar dados do demais
ativos de rede envolvidos com um Incidente de Segurança para que,
durante a Post Mortem Análise, esses dados correlacionados com demais
evidências coletadas na Live Análise, sejam argumentos de apoio a
conclusões quando à ação do invasor.
As ferramentas de rede para perícia forense são muitos importantes para esse
processo, pois elas coletam dados de todos os ativos disponíveis na rede como:
IDS, IPS, Servidor de Logs, conexões capturadas por Sniffer de rede.
E para a coleta de evidências existem três etapas: Forense In Vivo, Forense de rede
e Forense Post Mortem. Essas etapas ajudam o perito forense na construção do
Laudo Pericial que é onde estará tudo que foi feito durante a investigação.
Figura 1 - Atividades Operacionais da Computação Forense. Fonte Melo (2009).
15
E esse trabalho tem como finalidade mostrar ferramentas da perícia forense de rede
de computadores, mostrar como é feito uma análise dos dados da mesma depois de
um incidente (invasão), ou uma investigação. Ao decorrer do trabalho serão
mostrados processos importantes para essa perícia afim de construção de um laudo
pericial com todos os resultados feito na análise pericial forense de rede.
1.1
JUSTIFICATIVA DO TEMA
Ferramentas de Perícia Forense de rede atuam na área de segurança digital com
intuito de apoiar a área criminal. A perícia forense usa uma ciência ou tecnologia
para uma investigação em uma instituição ou local. Um perito forense com as
ferramentas examinam crimes eletrônicos como pornografia, roubos, provar fatos e
até recuperação de dados. Por esses fatos e outros a Ferramentas de rede para
Perícia Forense vem ganhado espaço no mercado e precisa de profissionais nessa
área.
1.2
DELIMITAÇÃO DO TEMA
As ferramentas de perícia forense de rede ajudam o perito computacional há
obtenção de evidências para solução do caso proposto, e depois passando todos os
dados coletados para padronização de laudos pericial até a apresentação das
mesmas perante a justiça. Com esse apoio ferramental será feito uma receptação de
e-mail, e as informações será gravada no arquivo evidencias.pcap que é o objeto de
estudo do trabalho desenvolvido, será mostrado passo a passo da análise usando
as ferramentas e os dados colhidos nas pericias serão apresentados no Laudo
Pericial.
1.3
FORMULAÇÃO DO PROBLEMA
Quais ferramentas de redes são usadas por um perito forense computacional de
rede, quando ocorre uma ocorrência em uma rede de computadores?
16
1.4
OBJETIVOS
São as intenções potenciais resultante das sucessivas interações da necessidade e
foco do projeto no qual são divididos em objetivo geral e os objetivos específicos.
1.4.1 OBJETIVO GERAL
Apresentar ferramentas para perícia forense de rede, e mostrar as finalidade e
funções, com intuito de mostrar como ocorre uma análise pericial forense de rede
usando essas ferramentas.
1.4.2 OBJETIVOS ESPECÍFICOS
•
Apresentar ferramentas que podem ser utilizadas na Análise Forense de
Rede.
•
Demonstrar a importância das ferramentas forense de Rede.
•
Apresentar o resultado da análise através de um Laudo Pericial, usando as
ferramentas de Forense de Rede.
1.5
HIPÓTESE
Segundo Pádua (2002) a hipótese propõe antecipadamente uma suposta resposta
para o problema, que ao decorrer da pesquisa será solucionado, confirmado. Sua
função é fixar a direção a ser seguido, orientando a coleta de dados ao decorrer da
pesquisa.
A hipótese que poderemos notar é:
Boas ferramentas de perícia forense de rede podem ajudar a obter melhores
informações para a construção de um laudo pericial, diante da situação que está por
vim, então ferramentas da perícia forense ajuda a esclarecer melhor essas
situações. Responder com as ferramentas, Wireshark, Xplico e Tcpdump, entre
outras.
17
1.6
META
Demonstrar a importância das ferramentas para a perícia forense de rede.
1.7
METODOLOGIA
Conjunto de técnicas e procedimentos utilizados para direcionar. Métodos ou
caminhos a serem percorridos no processo de criação do projeto.
1.7.1 CLASSIFICAÇÃO DA PESQUISA
A Pesquisa foi desenvolvida tem como classificação exploratória e descritiva.
Pesquisas que tem características melhores para o desenvolvimento do trabalho de
acordo com tema abordado.
Segundo Cervo; Bervian; Da Silva (2006 p.63). “A pesquisa exploratória é
normalmente o passo inicial no processo de pesquisa pela experiência e um auxílio
que traz a formulação de hipóteses significativas para posteriores pesquisas.”
A necessidade de se aprofundar mais no tema fez com que fosse utilizada uma
pesquisa exploratória e uma pesquisa descritiva, para melhor diagnóstico do assunto
proposto.
Pesquisas descritivas descrevem as “características de determinada população ou
fenômeno ou, então, o estabelecimento de relações entre variáveis”. (GIL, 2002, p.
42).
Foi escolhida a pesquisa exploratória para o desenvolvimento do projeto, por que
ferramentas de análise forense de rede vêm ganhado espaço atualmente devidos as
incidentes em computadores e de acordo com o tema abordado se faz o uso e
estudo de leitura, livros e outras biografias com informações do projeto. Também
será utilizada a pesquisa descritiva, pois justifica- se pelo fato de analisar
ferramentas de rede para perícia forense mostrando suas importâncias e
funcionalidades.
18
1.7.2 TÉCNICAS PARA COLETA DE DADOS
De acordo com Ferrão (2008, p. 58).
Para realização de uma pesquisa cientifica, há necessidade de coleta de
dados. De acordo com os objetivos da pesquisa, esses dados podem ser
coletados pelas seguintes técnicas: pesquisa documental, bibliográfica, de
campo (entrevista, questionário e experimental) e de laboratório.
Conforme Barros e Lehfeld (2000 p.70) “Pesquisa bibliográfica é a que se efetua
tentando-se resolver um problema ou adquirir conhecimentos a partir do emprego
predominante de informações advindas de material gráfico, sonoro e informatizado”.
A utilização de pesquisa bibliográfica para o desenvolvimento do projeto foi dada
pelo fato do levantamento do tema por pesquisas, trabalhos, livros e artigos já
publicados por outros estudiosos.
1.7.3 FONTES PARA COLETA DE DADOS
As fontes para coleta de dados classificam-se em fontes primárias e secundárias.
Segundo Andrade (2001) as fontes primárias são feitas a partir de textos e obras
originais, algo que não foi trabalhado, já as fontes secundárias refere-se a
determinadas fontes primarias, que são feitas e originadas a partir de fontes
primárias que constituem em fontes das pesquisas bibliográficas.
Neste trabalho serão utilizadas fontes primárias e secundárias para responder aos
objetivos e problema proposto, pois serão abordados assuntos ainda não discutidos
e também utilizaremos explicações e avaliações vindas de fontes de pesquisa
bibliográfica.
1.7.4 POSSIBILIDADE DE TRATAMENTO E ANÁLISE DOS DADOS
Segundo Vergara (2007 p.59) “Tratamento dos dados refere-se àquela seção na
qual se explicita para o leitor como se pretende tratar os dados a coletar, justificando
por que tal tratamento é adequado aos propósitos do projeto.”.
19
Os dados coletados através foram utilizados como base, confirmação e
fundamentação para o desenvolvimento deste trabalho e foi utilizada a codificação,
seleção e tabulação dos dados para análise por meio da leitura e observação e
interpretação dos dados coletados.
1.8
APRESENTAÇÃO DO CONTEÚDO DAS PARTES DO TRABALHO
Este trabalho encontra-se estruturado em cincos capítulos, de acordo com que
gradativamente os assuntos foram sendo trabalhados. Assim o trabalho ficou
dividido da seguinte forma:
No primeiro capítulo foi descrito uma introdução, assim como a delimitação,
justificativa do tema proposto, foi apresentado o objetivo geral e os objetivos
específicos, a hipótese, formulação do problema e as metodologias a serem
utilizadas ao decorrer do trabalho.
No segundo capítulo fala sobre forense computacional, segurança da informação,
processos de análise forense, coletas de evidências digitais e sobre ferramentas
para análise forense de rede e outros assuntos que proporcionam a fundamentação
necessária para realização do estudo de caso. Trata-se da fundamentação teórica e
base de todo o trabalho.
No terceiro capítulo, é realizado o estudo de caso, são apresentados os dados
colhidos e a análise realizada.
O quarto capítulo mostra-se a conclusão final deste trabalho e também sugestões
sobre o tema abordado.
No quinto e último capítulo contém as referências bibliográficas utilizadas para
elaboração do trabalho.
20
2 REFERENCIAL TEÓRICO
2.1
SEGURANÇA DA INFORMAÇÃO
De acordo com Campos (2007) existem três princípios básicos em um sistema da
segurança da informação: 1) confidencialidade, 2) integridade e 3) disponibilidade.
Se um ou mais desses princípios forem desrespeitados haverá uma quebra na
segurança da informação.
Figura 2 - Princípios de segurança da informação. Fonte Campos (2007)
Moraes (2010, p.105) diz que “o principio da confidencialidade é proteger a
informação em sistemas, recursos e processos para que eles não sejam acessados
por pessoas não autorizadas.”.
Confidencialidade é a garantia do resguardo das informações dadas pessoalmente
em confiança e a proteção contra a sua revelação não autorizada.
A Confidencialidade mantém a privacidade de informações contidas no computador
bloqueado assim acesso de uma pessoa que não tenha autorização para ler e ver
esses dados, pois esses dados são confidenciais.
21
A integridade é quando os dados não podem ser alterados, ou removidos sem
autorização, é a garantia de que a informação não foi alterada durante a sua
transmissão.
Se a integridade for quebrado é sinal que a confidencialidade da informação
também já foi quebrada.
A integridade está relacionada com a proteção da informação para que os
dados não sejam intencionalmente ou acidentalmente alterados sem a
devida autorização. [...] o objetivo da garantia da integridade dos dados é
prevenir a existência de fraude ou erro de processamento. (MORAES 2010
p. 103).
O princípio da disponibilidade de acordo com Moraes (2010 p.106) está relacionado
“a garantia de que o sistema vai estar sempre acessível quando o usuário precisar.”.
Disponibilidade é a necessidade de um serviço estar disponível para os usuários
sempre que eles necessitarem das informações.
A segurança de uma informação não tem somente na confidencialidade e sua
integridade mais também na sua disponibilidade aos usuários sempre que eles
precisar ter acesso a ela. E o nível da segurança se divide em segurança Física e
Lógica que tem como objetivo proteção para minimizar a probabilidade de ocorrência
de um ataque.
Segundo Tavares, Carvalho e Botelho (2003) A segurança Física de uma empresa
pode constituir um dos mais importantes elementos no que diz respeito à
salvaguarda da informação. A segurança física tem como objetivo proteger
equipamentos e informações contra usuários não autorizados, prevenindo o acesso
a esses recursos. A segurança física deve se basear em perímetros predefinidos nas
imediações dos recursos computacionais, podendo ser explicita como uma sala
cofre, ou implícita, como área de acesso restrito. E a segurança física pode ser
abordada em duas formas, a primeira é a Segurança de acesso que trata das
medidas de proteção contra o acesso físico não autorizado, e a segunda é a
22
Segurança ambiental que trata da prevenção de danos por causas naturais como,
por exemplo, chuvas.
De acordo com Tavares, Carvalho e Botelho (2003 p.79) “Sem a existência de
medidas de segurança lógica, a informação em suporte digital encontra-se exposta a
ataques.”. Alguns acessos á informação são passivos, na medida em que apenas
capturam os dados, sem os alterar, enquanto que outros são ativos, afetando a
informação com o intuito de corrompê-la ou destruir. Por isso, A segurança lógica
inclui controles de acesso, segurança de software e segurança em rede.
2.2
O QUE É PERÍCIA FORENSE COMPUTACIONAL?
Melo (2009) diz que a perícia forense computacional é um processo onde se usa
conhecimentos das Técnicas e Metodologias da Computação Forense, com o apoio
ferramental apropriado para coletar dados e artefatos com objetivo de qualificar
esses dados como provas e vestígios no âmbito judicial.
A Computação forense é uma nova ramificação da Ciência da Computação, que
com ferramentas de apoio ela irá de combate aos crimes eletrônicos, crimes que
cada dia mais vem crescendo no contexto computacional, nas redes de
computadores e na própria internet.
E no Brasil os crimes eletrônicos estão crescendo cada vez mais de acordo com o
crescimento da informatização, pois existem pessoas sem cuidados com seus emails, redes sociais e também seus arquivos do seu computador pessoal, visando
assim cracker 1 querendo invadir sua máquina para tentar obter tais dados, como
fotos, número de CPF, senhas de cartão de créditos, RG. Para localizar, analisar e
identificar como ocorreram essas invasões é usado ferramentas de perícia forense
de rede.
1
Pessoas que tem por objetivo invadir sistemas em redes ou computadores. O nome cracker tem
relação com modificação de código, onde são modificados para comprometer funcionalidades dos
programas.
23
Novos campos profissionais vão surgindo de formar a desvendar e solucionar casos
que necessitam de inteligência e aprofundamento para atuar na perícia de crimes,
Assim vai surgindo os peritos forenses computacionais que tem características e
perfil necessários para dar respostas justiça. E para ter esse perfil profissional o
perito deve ter formação superior em tecnologia, especialização, domínio
tecnológico, ter boa redação para relatar os fatos do caso no laudo pericial e
também de saber línguas estrangeira principalmente inglês.
2.3
SEGURANÇA DE PERÍMETRO
Segurança de perímetro é usada para proteger o acesso da rede corporativa com a
internet, deixando a rede protegida contra quaisquer perigos, Conectando assim
com internet com mais segurança. Como ilustra a figura 2 abaixo.
Segurança de Perímetro
Figura 3 - Rede de Perímetro. Fonte: Bosco (2006)
De acordo com Andrade (2007 p.18) “o perímetro é uma área delimitada por
recursos físicos e lógicos. Tem como objetivo impedir o acesso não autorizado e
manter a integridade das informações da organização”.
24
Existem dois tipos de perímetros, o perímetro exterior e o perímetro interior. O
perímetro exterior de acordo com Guimarães, Lins e Oliveira (2006 p.22) “representa
o ponto de separação entre os recursos que estão sob o controle e os recursos que
não estão sob o controle, com exceção da rede VPN2.” Já o perímetro interior “são
relacionados a um recurso particular que se pretende proteger”.
Para implementar a segurança de perímetro em uma rede de computadores são
usados diferentes dispositivos como firewalls, roteadores que controlam o
encaminhamento de mensagens e pacotes que trafegam na rede tanto externa e
interna.
São usados proxies 3 sistema intermediário entre o usuário e servidor, que
desempenha a função de conexão do computador local à internet e bloqueado assim
conexões e sites não autorizados e ids sistema de detecção de intrusos durante o
acesso na internet.
2.4
INVASÃO DE SISTEMAS
Conforme cita Guimarães, Lins e Oliveira (2006) Ataques de segurança são ações
que comprometem a disponibilidade, integridade de informações pertencentes a
uma organização através de uma invasão em seu sistema.
Todo sistema sofre ataquem de maneiras diferentes, em alguns desses ataques
afetam o sistema operacional já em outros afetam absolutamente nada, um bom
exemplo é um caso de vírus e de trojans.
Além disso, a invasão ocorre por falta de segurança que as organizações
apresentam nos seus meios internos, sendo por funcionários mal intencionados,
atividades que colocam as informações em perigos, etc. e também por meios
externos, sendo através da internet.
2
Virtual Private Network ou Rede Privada Virtual é uma rede privada construída sobre a infraestrutura
de uma rede pública, normalmente a Internet.
3
Proxy é um servidor intermediário que atende a requisições do cliente como um serviço, arquivo,
conexão, página web, ou outro recurso disponível no outro servidor.
25
Os ataques acontecem quando as vulnerabilidades não são tratadas ou os
problemas não são reparados depois de um incidente. Veja na figura 4 abaixo o
processo que uma vulnerabilidade pode acarretar em uma organização.
Figura 4 - Vulnerabilidade - Fonte: Laureano (2005 p.18)
Assim claramente mostra o gráfico 1 abaixo mostrado os 10 países ondem
ocorreram mais incidentes em suas redes de computadores.
Gráfico 1 - Incidentes Reportados ao CERT.br -- No primeiro trimestre de 2012. Fonte CERT.br.
26
2.4.1 MODUS OPERANDI DE UM INVASOR
Melo (2009) diz que o modus operandi é o modo de atuar um invasor, é o perito
classificar quais foram às técnicas utilizadas pelo invasor e também saber a sua
metodologia usada.
Figura 5 - Modus Operandi (Invasão). Fonte Melo (2009 p. 21).
Como mostra a Figura 5, O processo de uma invasão em sistema computacional
gera dados periciais. Esse fator é determinante para uma perícia, pois isso será
importante para o perito forense, e a forma de como os servidores foram instalados,
os IDS, firewalls, ajudará o perito a construir os passos do invasor.
O conhecimento do modus operandi para o perito possibilita a ter uma visão melhor
sobre o processo da invasão do sistema, possibilita antecipar onde serão gerados
dados para uma perícia forense computacional, e conhecendo o modus operandi
fica melhor para atuar diante a um incidente de segurança ocorrido.
27
2.5
PROCESSOS DE ANÁLISE FORENSE
Podemos dividir a partir de um ponto de vista macro o processo de Perícia Forense
em quatro etapas, conforme ilustra a Figura 6:
Figura 6 - Ciclo da Perícia Forense. Fonte Melo (2009 p.15)
2.5.1 AQUISIÇÃO
Segundo Melo (2009 p.14) “Aquisição é a fase inicial, etapa propícia para a
aplicação da Forense In Vivo. O Perito Forense atua coletando potencias dados e
artefatos relacionados ao Incidente de Segurança.”.
É a primeira fase do processo onde se reúne o máximo de provas, que são artefatos
a serem analisados. E para ter uma análise pericial de sucesso é fundamental
coletar materiais de qualidade.
E para coletar esses materiais existem diversas fontes de coletas de dados pericias
algumas delas são: Exame em Servidores, Computadores Pessoais, Sistema de
Rede, Mídias de Armazenamento Computacional e Equipamento Eletrônico
Programável. E o perito deve manusear vários tipos mídias de armazenamento
como Disquetes, CDs, DVDs, Pen-drives e Cartuchos.
28
2.5.2 IDENTIFICAÇÃO
O processo de Identificação segundo Melo (2009 p.14) “É a fase que o Perito analisa
os dados levantados durante a Forense In Vivo, identifica dados periciais e artefatos
qualificáveis como vestígios, evidências, ou provas.”. Nessa fase o perito consiste
uma análise pericial que tem como objetivo organizar os artefatos encontrados,
buscando associar os artefatos identificados no processo, antes do desligamento do
equipamento que é a Análise In Vivo e depois do desligamento que é a Análise Post
Mortem.
2.5.3 AVALIAÇÃO
Para Melo (2009 p.14) o Processo de Avaliação é a “Fase em que o perito faz
análise mais pontual sobre cada dado pericial ou artefato, caracterizando-o e
mantendo-o como vestígio, evidência ou prova, ou desqualificando-o.”.
A avaliação é um processo que se repete para cada dado pericial e artefato com o
processo de identificação conforme mostra a Figura 6.
É nessa fase que o perito forense mostra suas principais habilidades nas atividades,
pois cada dado é identificado e avaliado se for um dado para uso o perito mantém o
dado se não o mesmo é descartado.
A perícia pode ter como objetivo coletar dados para fins de provas de crimes, mais
não somente vinculados à invasão, ou ao uso não autorizado de um servidor em
uma rede, mais também para fins de provas de crimes eletrônicos e computacionais
como fraudes financeiras e pedofilia, e se tornando assim a perícia uma ferramenta
fundamental para fins judiciais.
2.5.4 APRESENTAÇÃO
De acordo com Melo (2009) Apresentação é fase final, é onde se elabora o laudo
pericial com todos os detalhes do caso que o processo da perícia forense tem como
objetivo desvendar, a partir de ponto cabe o perito apresentar o laudo pericial com
29
tudo que foi analisado, como foi o modus operandi e como ocorreu a Perícia forense
decorrente ao Incidente de Segurança, pois se deve mostrar tudo necessário para
que seja possível apresenta-lo a pessoa responsável pelo caso ou até mesmo para
um tribunal.
2.6
COLETA DE ENVIDÊNCIAS DIGITAIS
O perito forense quando começa fazer uma perícia em um sistema onde sua
segurança foi violada, ele busca coletar evidências que possibilitam identificar como
e quanto à violação da segurança afetou as informações e o próprio sistema
operacional.
Para Queiroz e Vargas (2010) considere uma evidência o vestígio existente mesmo
antes do início de um fato ocorrido, é um material que contem informações e pode
está relacionada com o fato que buscamos apurar em uma investigação ou perícia.
A coleta de evidências pode ser dividida em três partes: Forense in Vivo, Forense de
Rede e Post Mortem. Os objetivos dessas três analisem é a coleta máxima de
evidências digitais.
2.6.1 FORENSE IN VIVO (LIVE FORENSIC ANALYSIS)
A Forense In Vivo é a etapa onde ocorre no momento em o perito entra em contato
com o incidente, onde o computador ainda está ligado, processos rodando e os
ativos da rede ainda em funcionamento, nessa etapa o perito uso apoio ferramental
e técnicas adequadas para realizar a coleta de dados periciais.
Tudo que é coletado é gravado em outro computador que é usado na análise
pericial. Para Melo (2009) Forense In Vivo é a etapa que consiste na coleta de
evidência antes que o sistema seja desligado da fonte elétrica, onde tem por objetivo
registrar o estado do sistema. Buscar evidências em um sistema operacional é fazer
uma varredura nas informações que nele residem, tanto dados em arquivos de
memória apagados ou não.
30
Durante esse cenário aparece o conceito de ordem de volatilidade, onde mostra o
tempo de vida das evidências e seu nível de volatilidade em algum dispositivo do
computador.
O Gráfico 2 mostra o tempo de uma evidência pode variar de acordo com os locais
onde ela está armazenada, que são: Mídias, Disco Rígido, Estado do S.O, Tráfego
na rede, Memória RAM, Memória de periféricos e registradores Cache.
Gráfico 2 - Grau de Volatilidade VS tempo de Vida. Fonte Melo (2009 p.34).
2.6.2 FORENSE DE REDE (NETWORK FORENSIC)
A Forense de rede é a etapa onde o perito forense analisa e coleta informações de
todos os ativos da rede que registaram alguma informação sobre o incidente de
segurança, é onde é analisado o servidor, IDS, Conexões capturadas por Sniffer e o
IPS.
A Network forensic de acordo com Melo (2009) consiste em coletar informações da
rede, tanto no servidor e nos ativos de rede que tem informações pertinentes. Podese dizer que a Forense de Rede pode ser dividida em dois momentos, o primeiro é
quando o perito forense analisa e coleta informações de comunicações de rede do
servidor e o segundo é analise e coleta informações de comunicações de redes em
outros ativos como servidor de logs, firewall, roteadores e entre outros.
31
2.6.3 FORENSE POST MORTEM (POST MORTEM ANALYSIS)
Na última etapa da coleta de evidências é a Forense Post Mortem, é onde o perito
analise e coleta de dados depois do computador desligado fazendo assim analise
em mídias, CD-ROM ‘s, HDs e as informações coletadas nessa etapa faz um
cruzamento com todas as outras informações reunidas nas etapas anteriores, com
objetivo de reconstruir todos os fatos possíveis, para obter o máximo de
conhecimento afim da elaboração do Laudo Pericial.
Diz Melo (2009) que a forense post mortem é a etapa mais demorada de uma perícia
computacional por quer é a consolidação do cruzamento te tudo que foi colhido na
Live Análise com o que é identificado na analise de disco e informações de ativos de
rede que foram colhidos durante a Forense de rede.
2.7
FERRAMENTAS PARA ANÁLISE FORENSE DE REDE
Segundo Queiroz e Vargas (2010) Ferramentas de perícia forense computacional
são capazes de atender a todas as etapas de uma investigação em Forense, o que
vai determinar a escolha das ferramentas diante de muitas no mercado será o tipo
de caso a ser analisado.
Algumas das funções mais principais das ferramentas forense de rede são: analisar
o tráfego, conexões, estatísticas na rede, com o objetivo de extrair, capturar pacotes
PCAP, que são pacotes capturados depois de um monitoramento da ferramenta no
tráfego da rede.
2.7.1 NGREP
Segundo Jordan Ritter (2006 p. 01).
Ngrep se esforça para fornecer a maioria das características comuns GNU
GREP, aplicando-os à camada de rede. Ngrep é uma ferramenta pcapaware que permitirá que você especifique expressões regulares estendidas
ou hexadecimais para o jogo contra cargas de dados de pacotes.
É uma ferramenta pcap-aware que permitirá que você especifique expressões
regulares estendidas ou hexadecimais para o jogo contra cargas de dados de
pacotes. Ele é executado via linha de comando. Além de depurar protocolos, como
HTTP, SMTP, FTP ele identificar e analisar as comunicações de rede anômalas, tais
32
como aquelas entre worms, vírus e também armazenar, ler e reprocessar arquivos
pcap.
E para instalar basta dar o comando: # aptitude install ngrep.
2.7.2 CHAOSREADER
Conforme (Brendan Gregg p.01)
Chaosreader é uma ferramenta de freeware para traçar TCP / UDP //...
Sessões e buscar dados de aplicativos de Snoop ou Tcpdump registros. Este
é um tipo de "qualquer-snarf" do programa, ele vai buscar sessões telnet,
arquivos FTP, HTTP transferências (HTML, GIF, JPEG,...), e-mails SMTP,...
A partir dos dados capturados dentro de registros de tráfego de rede.
Chaosreader é uma ferramenta inteligente feita em Script Perl que processa
informações de arquivos PCAP ela faz reconstrução de sessões TCP e recupera
arquivos de imagem e buscam sessões telnet, arquivos FTP, HTTP, transferências
(HTML, GIF, JPEG, e-mails SMTP) e ainda tira relatórios imagem com conteúdo de
HTTP get/post.
Para fazer a instalação da Ferramenta basta baixe o arquivo no site:
http://sourceforge.net/projects/chaosreader/files/chaosreader/0.94/chaosreader0.94/
download. Logo após o download do arquivo, de permissão para executar o arquivo
através do comando: # chmod +x chaosreader0.94 e para executar a ferramenta
faça esse comando: # ./chaosreader0.94 arquivo.pcap.
Figura 7 - Chaosreader extraindo seções HTTP. Fonte Brendangregg.com (2003)
33
2.7.3 XPLICO
Júnior (2012) fala que o Xplico é uma ferramenta forense de análise de rede que
captura o tráfego da Internet, rede local e seus protocolos como: HTTP, SIP, IMAP,
POP, SMTP, TCP, UDP, IPV6 e outros.
Algumas das características do Xplico são:
•
Porta Independente Protocolo de Identificação (PIPI) para cada protocolo de
aplicação;
•
Multithreading;
•
Saída de dados e informações em banco de dados SQLITE ou banco de
dados MYSQL e/ou arquivos;
•
TCP ACK remontagem com a verificação de qualquer pacote;
•
Interface gráfica automatizada.
Comando de instalação do Xplico é: sudo apt-get install tcpdump tshark apache2
php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli
libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox
lame libnet1 libnet1-dev php5-sqlite.
Figura 8 - Tela Principal do Xplico. Fonte wiki.xplico.org (2012)
34
2.8
LAUDO PERICIAL.
Laudo Pericial de acordo com Queiroz, Vargas (2010 p. 29) “Laudo Pericial é uma
peça fundamental de um processo para qual é exigido, ele traduz tudo que foi
realizado pelo perito de forma clara e objetiva antes, durante e após seus estudos
sobre o caso em investigação.”.
O laudo pericial tem como objetivo oferecer e dispor ao encarregado de julgar o caso
tudo que atesta de forma positiva ou negativa seus passos ao longo de uma perícia
forense.
No laudo pericial o perito narrar fatos levado à consideração a veracidade de tudo
que ele descreve, pois ele tem que ser realista e objetivo, pois isso ajudará a pessoa
que julgará o caso à compreensão de todos os fatos ocorridos.
O perito não pode escrever palavras difíceis da área computacional, pois nem
sempre quem vai julgar o caso saberá entender essas palavras tais como bits e
bytes, temos que levar em conta que quem jugará o caso não é o perito forense, ele
só irá fazer uma análise do caso investigado e através de um laudo pericial passará
para o juiz assim julgar.
35
3 ESTUDO DE CASO
Consiste em descrever e recolher informações acerca de um evento, pessoa,
empresa, instituição, etc. O estudo de caso tem por objetivo, examinar, analisar, os
aspectos importantes e características do objeto a ser estudado.
3.1
EVIDENCIAS.PCAP - OBJETO DE ESTUDO DA PESQUISA
Depois de ser libertada sobre fiança, Ann Dercover desaparece! Felizmente sua
conexão de rede estava sendo monitorado pela polícia antes de deixar a cidade.
Segundo o Chefe de polícia de Boston, acredita que Ann pode ter comunicado com o
seu amante o Senhor Secreto X por e-mail, antes de fugir. A agora a polícia resta
desvendar que informações estão nesse e-mail. Tais como:
1.
Qual é o endereço de e-mail de Ann?
2.
Qual é a senha de e-mail de Ann?
3.
Qual é o endereço de e-mail amante secreto x de Ann?
4.
Quais informações então no e-mail ou dos e-mails?
5.
Se houve anexo, qual o nome do anexo e o seu Md5sum?
6.
O que tem dentro do anexo?
7.
Qual o Assunto do e-mail ou dos e-mails?
Com essas respostas respondidas, a polícia ficará mais perto de saber para onde
Ann Dercover foi. E para essa investigação será usada ferramentas de rede para a
perícia.
3.2
APRESENTAÇÃO DOS DADOS
Neste tópico são apresentados os dados resultantes da análise realizada no arquivo
evidencias.pcap capturado pelo tcpdump uma ferramenta de sniffer de rede. Os
dados extraídos do arquivo serão mostrados através de imagens e linhas de
comando no Shell 4. Mostrando assim passo a passo da captura do arquivo onde
contém informações do e-mail e mostrar também as análises que será feita nele.
4
O Shell é um módulo que atua como interface usuário - sistema operacional, possuindo diversos
comandos internos que permitem ao usuário solicitar serviços do sistema operacional.
36
3.3
ANÁLISE DOS DADOS
Toda rede onde Ann acessou seu e-mail estava sendo monitorada por uma
ferramenta de Sniffing 5 de rede chamada tcpdump 6. Essa ferramenta é utilizada via
terminal através de comandos. O comando dado para captura do arquivo
evidencias.pcap foi da seguinte maneira:
Figura 9 - Comando tcpdump de captura de pacotes em toda rede.
Após a execução do comando a rede já estará sendo monitorada e salvado todos os
dados no arquivo evidencias.pcap. E todo tráfego vai esta sendo salvado no arquivo
evidencias.pcap. Antes de começar a análise dos pacotes no arquivo vamos
executar o comando file em evidencias.pcap no terminal para saber que tipo de
arquivo irá ser analisado.
Figura 10 - Execução do comando file para obter informações do arquivo.
Após execução do comando, podemos ver que o arquivo se trata de uma captura no
tcpdump, ou seja, é uma captura de quadros ethernet. Para começar a periciar o
arquivo vamos fazer uma cópia de segurança e depois verificar se os dois arquivos
possui o mesmo hash 7, garantido que o arquivo original seja igual ao arquivo
copiado. Para isso executamos os seguintes comandos no terminal:
5
Sniffing é o procedimento capaz de interceptar e registrar o tráfego de dados em uma rede de
computadores.
6
Tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de
computadores
7
Um hash é uma sequência de bits gerados por um algoritmo de dispersão, em geral representada
em base hexadecimal, que permite a visualização em letras e números.
37
Figura 11 - Comparando o hash dos arquivos.
Confirmado que os dois arquivos são iguais vamos abrir evidencias.pcap no
Wireshark, uma ferramenta de análise de tráfego de rede. Nela vamos entender
melhor o tráfego de pacotes contidos arquivo, Comando para abrir arquivo no
Wireshark via terminal:
Figura 12 - Abrindo o arquivo no Wireshark.
Tela Inicial Wireshark:
Figura 13 - Mostrando resultado de uma captura de pacotes.
38
Na tela principal, temos a lista dos pacotes, com várias informações, como o
remetente e o destinatário, protocolo usado e uma coluna que mostra mais
informações sobre o pacote. Existem vários protocolos no arquivo, para ter uma
análise melhor vamos filtrar apenas os protocolos SMTP que é o protocolo padrão
para envio de e-mail através da internet. Digitando em filter a palavra SMTP,
conforme a figura 15 abaixo:
Figura 14 - Filtrando pacotes SMTP.
Vamos seguir o fluxo de dados selecionando a linha 56 que no caso é um pacote,
com botão direito do mouse e depois clicar na opção Follow TCP Stream.
Figura 15 - Mostrando fluxo de dados no pacote da linha 56.
39
De acordo com a Figura 16 acima já podemos observar que houve uma
autenticação de login, então está claro que Ann teve acesso a sua caixa de e-mail e
enviou e-mail. Para melhorar à análise do arquivo evidencias.pcap, vamos extrair as
sessões que existem no arquivo. Assim analisaremos sessão por sessão, para isso
vamos utilizar outra ferramenta de perícia forense de rede chamada Tcpflow. Essa
ferramenta reconstrói os fluxos de dados de em um arquivo, separando as sessões
para análise. Para fazer isso digitamos o seguinte comando no terminal:
Figura 16 - Comando do Tcpflow para reconstruir as sessões do arquivo.
Após executamos o comando, o Tcpflow separou as sessões contida no arquivo.
Gerando assim quatro arquivos, que no caso é quatros sessões contidas em
evidencias.pcap.
Figura 17 - Mostrado as sessões existente no arquivo.
Os números informados no nome das sessões são os IP de origem e destino, e a
porta utilizada para o tráfego dos pacotes na rede.
Explicando:
064.012.102.142. | 00587 | - | 192.168.001.159. | 01036
IP de Origem
Porta
IP do destinatário
Porta
40
Vamos fazer análise de sessão por sessão no próprio terminal. Para analisar a
primeira digitamos o seguindo comando no terminal:
$ cat 064.012.102.142.00587-192.168.001.159.01036
Após a execução do comando no terminal será mostrado o conteúdo da primeira
sessão.
Figura 18 - Mostrando Conteúdo da primeira sessão.
Na linha 235 está claro que houve um acesso ao e-mail. Pois o servidor responde ao
cliente que é o computador que Ann está acessando, com a seguinte mensagem
“Autenticação com Sucesso”, para descobrir que autenticação foi essa, o cliente
informou dados pedidos pelo servidor na linha 334 que são “VXNlcm5hbWU6” e
“UGFzc3dvcmQ6” esse conteúdo está Codificado em base64, para saber o que o
servidor requisitou ao computador onde Ann estava vamos decodificar essas
informações digitamos os seguintes comandos no terminal:
Figura 19 - Decodificando conteúdos base64.
41
O servidor requisitou a Ann para digitar o nome do usuário do e-mail e a senha, para
saber que Username e o Password que Ann digitou. Vamos analisar a segunda
sessão. Para isso tem que ser executado o seguindo comando no terminal:
$ cat 192.168.001.159.01036-064.012.102.142.00587
Após a execução do comando será mostrado o conteúdo da segunda sessão.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
EHLO annlaptop
AUTH LOGIN
c25lYWt5ZzMza0Bhb2wuY29t
NTU4cjAwbHo=
MAIL FROM: <[email protected]>
RCPT TO: <[email protected]>
DATA
Message-ID: <000901ca49ae$89d698c0$9f01a8c0@annlaptop>
From: "Ann Dercover" <[email protected]>
To: <[email protected]>
Subject: lunch next week
Date: Sat, 10 Oct 2009 07:35:30 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01CA497C.3E4B6020"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
This is a multi-part message in MIME format.
------=_NextPart_000_0006_01CA497C.3E4B6020
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Sorry-- I can't do lunch next week after all. Heading out of town. =
Another time! -Ann
------=_NextPart_000_0006_01CA497C.3E4B6020
Content-Type: text/html;
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2900.2853" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
42
42.
43.
44.
45.
46.
47.
48.
49.
50.
<BODY bgColor=3D#ffffff>
<DIV><FONT face=3DArial size=3D2>Sorry-- I can't do lunch next week =
after all.=20
Heading out of town. Another time! -Ann</FONT></DIV></BODY></HTML>
------=_NextPart_000_0006_01CA497C.3E4B6020-.
QUIT
No texto acima está legível um envio de um e-mail. Na linha 2 mostra que houve um
acesso ao e-mail e na linha 3 e 4 mostra “c25lYWt5ZzMza0Bhb2wuY29t” e
“NTU4cjAwbHo=” que provavelmente deve ser o nome do usuário e a senha do email de Ann que o servidor requisitou, Para descobrimos digitamos no terminal o
mesmo comando da decodificação base64 anterior.
Figura 20 - Decodificando conteúdo base64.
Já com essas informações coletas, podemos então já responder a 1ª e a 2ª pergunta
que a polícia quer desvendar, que é, qual o endereço de e-mail de Ann? Resposta:
“[email protected]” e a senha que é “558r00lz”. Na linha 5 mostra o e-mail de
Ann e na linha 6 mostra o e-mail do destinatário que é o e-mail do marido dela. Já
na linha 11 está o assunto do e-mail que é “Almoço na próxima semana”. E o
conteúdo do e-mail aparece nas linhas 28 e 29, onde Ann diz ao seu Marido: “Sorry-I can't do lunch next week after all. Heading out of town. Another time! - Ann” que
traduzido é “Desculpe – eu não posso fazer o almoço na próxima semana depois de
tudo. Saindo da cidade. Outra vez! - Ann”. Já com duas sessões analisadas a polícia
já conclui que Ann está querendo sair da cidade. Continuando a análise das sessões
vamos analisar a terceira. Executando o comando no terminal.
$ cat 064.012.102.142.00587-192.168.001.159.01038
Após a execução do comando será mostrado o conteúdo da terceira sessão.
43
Figura 21 - Mostrando conteúdo da terceira sessão.
Dentro da terceira sessão mostra que Ann efetuou um segundo login, pois o horário
do acesso na primeira sessão no cabeçalho do arquivo é 15:35:16 horas, já na
terceira sessão o horário é 15:37:56 horas. O conteúdo é o mesmo, porque o
servidor está requisitando as mesmas informações que são Username e Password
que na sessão encontra codificado mais na primeira sessão já foram decodificadas.
Já com essa análise finalizada, vamos analisar a última sessão, com o seguinte
comando no terminal:
$ cat 192.168.001.159.01038-064.012.102.142.00587
Após a execução do comando será mostrado o conteúdo da quarta sessão.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
EHLO annlaptop
AUTH LOGIN
c25lYWt5ZzMza0Bhb2wuY29t
NTU4cjAwbHo=
MAIL FROM: <[email protected]>
RCPT TO: <[email protected]>
DATA
Message-ID: <001101ca49ae$e93e45b0$9f01a8c0@annlaptop>
From: "Ann Dercover" <[email protected]>
To: <[email protected]>
Subject: rendezvous
44
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
Date: Sat, 10 Oct 2009 07:38:10 -0600
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_000D_01CA497C.9DEC1E70"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
This is a multi-part message in MIME format.
------=_NextPart_000_000D_01CA497C.9DEC1E70
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_000E_01CA497C.9DEC1E70"
------=_NextPart_001_000E_01CA497C.9DEC1E70
Content-Type: text/plain;
Hi sweetheart! Bring your fake passport and a bathing suit. Address =
attached. love, Ann
------=_NextPart_001_000E_01CA497C.9DEC1E70
Content-Type: text/html;
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2900.2853" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV><FONT face=3DArial size=3D2>Hi sweetheart! Bring your fake passport =
and a=20
bathing suit. Address attached. love, Ann</FONT></DIV></BODY></HTML>
------=_NextPart_001_000E_01CA497C.9DEC1E70-------=_NextPart_000_000D_01CA497C.9DEC1E70
Content-Type: application/octet-stream;
name="secretrendezvous.docx"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="secretrendezvous.docx"
UEsDBBQABgAIAAAAIQDleUAGfwEAANcFAAATAAgCW0NvbnRlbnRfVHlwZX
45
NdLnhtbCCiBAIooAACAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAC0VMluwjAQvVfqP0S+VsTQQ1VVBA5dji1S6QcYexKsepNttr/vOEBEKQ
SpwCVSPH7LPI/dHy61yubgg7SmIL28SzIw3Ap[.................Continuação.................
.......]MAd29yZC9mb250VGFibGUueG1sUEsBAi0AFAAGAAgAAAAhAKVR8wbY
AQAA2QMAABAAAAAAAAAAAAAAAAAA5iMDAGRvY1Byb3BzL2FwcC54bWx
QSwUGAAAA AA0ADQBEAwAA9CYDAAAA
3701
3702 ------=_NextPart_000_000D_01CA497C.9DEC1E70-3703
3704.
3705 QUIT
No conteúdo da quarta sessão mostra que Ann está acessando seu e-mail pela
segunda vez e está digitando seu usuário de e-mail e senha em um login nas linhas
3 e 4, Essas linhas se encontram codificadas em base64 mais na análise da
segunda sessão esses dados já foram decodificados onde o seu usuário é
“[email protected]” e a senha que é “558r00lz”, e mais abaixo na linha 5 mostra
que Ann está enviando outro e-mail, só que agora para um endereço diferente que é
“[email protected]” e no assunto do e-mail é “rendezvous 8”.
Nas linhas 33 e 34 mostra o conteúdo do e-mail onde Ann diz: “Hi sweetheart! Bring
your fake passport and a bathing suit. Address attached. love, Ann”. Que traduzido é
“Oi querido! Traga o seu passaporte falso e um maiô. Endereço anexado. amor,
Ann”. Com o conteúdo do e-mail analisado a polícia não tem mais duvidas sobre
Ann ter uma amante e está querendo fugir da cidade. Na linha 56 fica claro que
houve
um
anexo,
pois
mostra
o
nome
de
um
arquivo
chamado
“secretrendezvous.docx” que traduzido é “encontrosecreto.docx”. Na linha 57 mostra
8
De origem francesa rendezvous significa encontro, encontrar alguém, encontro marcado. Local para
encontros amorosos.
46
a codificação do arquivo transferido que é base64. E da linha 61 até a linha 3700
mostra o arquivo que foi anexado no e-mail em codificação base64. Como o arquivo
em muito grande cerca 132 paginas só está mostrando uma parte dela acima. E a
parte que está falta está entre [... Continuação...]. Para extrair e depois descodificar
o arquivo anexado, deve-se copiar o conteúdo que está na linha 61 até 3700 da
quarta sessão 192.168.001.159.01038-064.012.102.142.00587, e colar em um
arquivo com extensão texto, para fazer esse processo rápido, Execute o comando
sed 9 no terminal:
Figura 22 - Copiando conteúdo da linha 61 a 3700 para arquivo.txt.
Após a execução do comando todo conteúdo que está na linha 61 até a linha 3700
na quarta sessão será copiando para dentro do arquivo.txt, após esse comando
vamos agora decodificar todo o conteúdo do arquivo.txt, assim todos dados
decodificados será jogado para um arquivo com extensão docx, para isso execute o
seguindo comando no terminal:
Figura 23 - Dados sendo decodificados e sendo copiado para arquivo.docx.
9
Sed é um editor de fluxo. Muito utilizado nos sistemas operacionais tipo Unix, que atua em linha de
comandos.
47
Após a execução do comando todas as informações decodificadas serão jogadas no
arquivo docx, para descobrir seu conteúdo é só abri-lo pelo Libre Office onde será
mostrado o conteúdo conforme a figura 25 abaixo.
Figura 24 - Informação dentro do arquivo.docx.
Além do mapa para onde Ann pretende fugir com seu Amante, existe uma
mensagem que a Ann escreveu para seu amante dizendo: “Meet me at the fountain
near the rendezvous point. Address below. I’m bringing all the cash.” que traduzido é
“Encontre-me na fonte perto do ponto de encontro. Endereço abaixo. Estou levando
todo o dinheiro.”. E para saber o hash do anexo, digitamos o seguindo comando no
terminal:
Figura 25 - Mostrando o hash do arquivo.docx
O hash do anexo do e-mail é 9e423e11db88f01bbff81172839e1923.
Para fazer uma análise rápida e menos detalhada no arquivo evidencias.pcap sem
usar muito linha de comandos e com o mesmo objetivo de descobrir o que tem
48
dentro do arquivo, analisaremos evidencias.pcap com o Xplico, uma Ferramenta de
Análise Forense de rede toda automatizada. E antes de iniciar o Xplico, devemos
verificar se o servidor web 10 esta rodando, e por ultimo iniciar o Xplico. Conforme os
comandos abaixo:
Figura 26 - Iniciando serviços do servidor web e do Xplico.
Abriremos o Xplico no navegador web digitando a seguinte url: 127.0.1.1:9876/ e por
padrão o usuário e a senha para fazer no login na ferramenta é Xplico. Conforme a
figura abaixo:
Figura 27 - Tela de login do Xplico.
10
Servidor web é um computador ou programa de computador responsável por
aceitar pedidos HTTP de clientes, geralmente os navegadores, e servi-los com
respostas HTTP, incluindo opcionalmente dados, que geralmente são páginas web,
tais como documentos HTML com objetos embutidos (imagens, etc.).
49
Após o login temos que criar um novo caso para analisar o evidencias.pcap
conforme a figura 29 abaixo:
Figura 28 - Tela de inclusão de novo caso no Xplico.
Para iniciar a análise temos que criar uma nova sessão e depois fazer o upload do
arquivo evidencias.pcap, feito isso a tela Xplico ficará de acorda com a figura abaixo:
Figura 29 - Tela Inicial do Xplico com evidencias.pcap a ser analisando.
Percebemos que existem dois e-mails enviados, o mesmo numero de e-mails
enviados da primeira análise feita manualmente, para ver o conteúdo desses e-mails
clicamos em Correio e depois em E-mail de acordo com a figura 31 abaixo.
50
Figura 30 - Lista de e-mails no arquivo evidencias.pcap
Confirmamos assim os dois e-mails enviados por Ann, para ver o conteúdo devemos
clicar no e-mail, primeiro clicamos no e-mail enviado para [email protected].
Figura 31 - E-mail enviado para [email protected].
Sem precisar executar nenhum comando via terminal, pelo Xplico já conseguimos
ver o que tem dentro do e-mail. Agora voltamos na página anterior e clicamos no email enviando para [email protected], nele também já podemos ver o
conteúdo do e-mail exclusive anexo do arquivo secretrendezvous.docx:
Figura 32 - E-mail enviado para [email protected].
51
Para obter o anexo do e-mail é só clicar no anexo e fazer o Download, após ter
baixando deverá extrai-lo, clicando em cima do arquivo zip com botão direito e
depois clicar em extrair aqui.
Figura 33 - Mostrando anexo baixado e extraído para pasta 3_FILES.
Após ser extraído, será criada uma pasta com o nome 3_FILES e dentro dela haverá
todo conteúdo do anexo. E a imagem do anexo ficará dentro da pasta media que
está dentro da pasta Word.
Figura 34- Mostrando mapa que estava dentro do arquivo no anexo.
52
Depois da perícia do arquivo evidencias.pcap e das analises de sessões por
sessões a polícia desvenda as respostas das setes perguntas:
1.
Resposta: [email protected]
2.
Resposta: 558r00lz
3.
4.
Resposta: No primeiro e-mail enviado para seu marido, está o seguinte conteúdo:
“Desculpe – eu não posso fazer o almoço na próxima semana depois de tudo.
Saindo da cidade. Outra vez! - Ann”. No segundo e-mail enviado para seu amante,
Ann diz: “Oi querido! Traga o seu passaporte falso e um maiô. Endereço anexado.
amor, Ann” e junto ao e-mail está um anexo.
5.
Resposta:
Junto
ao
secretrendezvous.docx
e-mail
está
e
o
um
documento
Md5sum
do
docx
com
nome
arquivo
é
9e423e11db88f01bbff81172839e1923.
6.
Resposta: Tem uma mensagem que Ann diz: “Encontre-me na fonte perto do ponto
de encontro. Endereço abaixo. Estou levando todo o dinheiro.” e um mapa da Playa
del Carmem em México.
7.
Resposta: No primeiro e-mail para seu Marido o assunto é “Almoço na próxima
semana” e no segundo e-mail para seu Amante o assunto é “Encontro Secreto”.
53
4 CONCLUSÃO E RECOMENDAÇÕES
4.1
CONCLUSÃO
A perícia forense de rede em computadores consiste em investigar, mas também
devemos pensar em ferramentas, metodologias de investigação e armazenamento
de evidências. Todos esses pensamentos e processos são muito importantes para
cumprir as análises da pericia forense de rede.
O objetivo geral desse trabalho veio mostrar ferramentas para a perícia forense de
rede, as suas finalidades, funções e os processos para análise pericial. No capitulo 2
e 3 o objetivo geral foi aplicado mostrando a parte teórica e prática das ferramentas
de rede alcançado assim os objetivos específicos onde foram mostradas as
ferramentas que podem se usadas na análise forense e demostrando as
importâncias de cada uma nos processos feitos na perícia.
As ferramentas de rede que foram usadas no trabalho atendeu o estudo de caso,
dessa forma considera que a hipótese levantada no item 1.5 é verdadeira, pois boas
ferramentas ajudam sim a uma análise pericial forense para construção de um laudo
pericial.
Ao final deste estudo concluo que as ferramentas de rede para perícia forense é
muito importante para a análise pericial em ocorrência em uma rede de
computadores, uma vez que se abre uma investigação pericial o perito está disposto
a ser coerente e não fraudar a investigação.
As análises pode ser uma ação judicial então se deve ter respeito e mostrar suas
habilidades no processo de perícia, a fim de solucionar o caso coletando evidencias
e trata-las com todos os recursos possíveis e depois apresenta-los em um laudo
pericial contendo todos os passos durante e depois da ocorrência e todas as
informações coletadas na análise.
54
4.2
RECOMENDAÇÕES
Em decorrência do desenvolvimento deste trabalho, foi possível perceber que vários
assuntos importantes merecem ser mais bem detalhados, para compreensão mais
aprofundada do tema exposto, no entanto, por não pertencerem ao escopo principal
ou por ser muito extensos. A sugestão é que sejam elaborados em trabalhos futuros.
Alguns dos temas que podem ser discutidos com mais detalhes são:
• Ferramentas para perícia em sistemas operacionais GNU/Linux.
Todas as ferramentas citadas no trabalho funcionam nos sistemas operacionais
GNU/Linux. Mais existem muitas outras poderosas para esse sistema operacional
que não foram citadas neste trabalho.
•
Abordagem das leis de crimes virtuais como pedofilia, racismo, preconceito e
outros.
• Redes de Computadores
• Sistemas Operacionais
• Criptografia
• Ética na Perícia Forense
55
5 REFERÊNCIAS BIBLIOGRÁFICAS
1.
ANDRADE, Maria Margarida de. Introdução à metodologia do trabalho
científico: elaboração de trabalhos na graduação. 5 ed. São Paulo: Atlas,
2001.
2.
ANDRADE, Paulo Henrique Coelho. Segurança de perímetro de Rede em
conformidade com os padrões NBR ISSO/IEC (BS7799) e C2. Lavras:
2007, 55 p. Monografia (Pós-Graduação em Administração em Redes Linux)
– Universidade Federal de Lavras, Lavras, 2007.
3.
BARROS, Aidil Jesus da Silveira; LEHFELD, Neide Aparecida de Souza.
Fundamentos de Metodologia Cientifica. 2. ed. São Paulo: Pearson Makron
Books, 2000.
4.
BOSCO,
J.
Segurança
de
Perímetro.
Disponível
<http://www.inf.ufsc.br/~bosco/ensino/ine5680/material-segredes/SegurancaPerimetro.ppt>. Acesso em 22/05/2012.
5.
CAMPOS, André. Sistema de Segurança da Informação: Controlando os
riscos. 2. ed. Florianópolis: Visual Book, 2007
6.
CERT.br, Ponto de informação e coordenação do Ponto BR. Incidentes
Reportados ao CERT.br -- Janeiro a Março de 2012. . Disponível em
<http://www.cert.br/stats/incidentes/2012-jan-mar/top-atacantescc.html/>
Acesso em 20/06/2012
7.
CERVO, Amado L.; BERVIAN, Pedro A.; SILVA, Roberto da. Metodologia
científica. 6 .ed. São Paulo: Pearson Education do Brasil, 2006.
8.
FERRÃO, Romário Gava. Metodologia científica para iniciantes em
pesquisa. 3. ed. Espírito Santo: Incaper, 2008.
9.
GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo:
Atlas, 2002
10.
GREEG,
Brendan.
Chaosreader.
Disponível
<http://chaosreader.sourceforge.net/>. Acesso em 25/06/2012
11.
GUIMARAES, Alexandre Guedes; LINS, Rafael Dueire; OLIVEIRA, Raimundo.
Segurança com redes privadas virtuais: VPNs. 1. ed. Rio de Janeiro:
Brasport, 2006.
12.
JÚNIOR, Paulo Roberto. Ferramenta Forense de Análise de Rede (NFAT) –
Xplico.
Disponível
em
<http://www.vivaolinux.com.br/artigos/impressora.php?codigo=11484/>
Acesso em 10/05/2012
em:
em
56
13.
LAUREANO, Marcos Aurélio Pchek. Gestão de segurança da informação.
Disponível
em:
<http://www.mlaureano.org/aulas_material/gst/apostila
_versao_20.pdf>. Acesso em 06/11/2011
14.
MELO, Sandro. Computação Forense com Software Livre. 1 ed. Rio de
Janeiro: Alta Books, 2009
15.
MORAES, Alexandre Fernandes de. Redes sem fio: Instalação, configuração
e segurança. São Paulo: Érica Ltda, 2010.
16.
PÁDUA, Elisabete Matallo Marchesini de. Metodologia da pesquisa. 7. Ed.
São Paulo: Papirus editora, 2002.
17.
QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e Perícia Forense
Computacional. 1ª ed. Rio de Janeiro: Brasport, 2010.
18
RITTER,
Jordan.
Ngrep
–
Rede
Grep.
<http://ngrep.sourceforge.net/> Acesso em 23/06/2012.
19
VERGARA, Sylvia Constant. Projetos e relatórios de pesquisa em
administração. 8. ed. São Paulo: Atlas, 2007.
Disponível
em
57
APÊNDICE
58
APÊNDICE A – LAUDO PERICIAL
Perito Contador
CPF 111.111.111-11
CRC-PR CO 033333/O-3
LAUDO PERICIAL
CRC/ES SM – 033333/0-3
JUSTIÇA FEDERAL
SEÇÃO JUDICIÁRIA DO ESPÍRITO SANTO
42ª VARA FEDERAL DE SÃO MATEUS
PROCESSO: 88.00.000-2
AÇÃO: EVIDENCIAS.PCAP
EXEQÜENTE: FULANO CIPRIANO DA SILVA
EXECUTADO: ANN DERCOVER
DATA DE ENTREGA DO LAUDO: 05 de Novembro de 2012
59
SUMÁRIO
I – OBJETIVO...........................................................................................2
II - RESPOSTAS DAS ANÁLISES...........................................................3
III – CONCLUSÃO....................................................................................4
IV – ENCERRAMENTO............................................................................4
60
I – OBJETIVO
Depois de ser libertada sobre fiança, Ann Dercover desaparece! Felizmente sua
conexão de rede estava sendo monitorado pela polícia antes de deixar a cidade.
Segundo o Chefe de polícia, acredita que Ann pode ter comunicado com o seu
amante o Senhor Secreto X por e-mail, antes de fugir. A agora a polícia resta
desvendar que informações estão nesse e-mail. Tais como:
8.
9.
10.
11.
12.
13.
14.
Com essas respostas respondidas, a polícia ficará mais perto de saber para onde
Ann Dercover foi. E para essa investigação será usada ferramentas de rede para a
perícia.
O objetivo desse laudo pericial é mostrar as informações coletadas depois da análise
feita nos dados capturados no e-mail de Ann Dercover.
61
II - RESPOSTAS DAS ANÁLISES
Depois da perícia do arquivo evidencias.pcap e das analises de sessões por
sessões a polícia desvenda as respostas das setes perguntas:
Resposta: 558r00lz
Resposta: No primeiro e-mail enviado para seu marido, está o seguinte conteúdo:
“Desculpe – eu não posso fazer o almoço na próxima semana depois de tudo.
Saindo da cidade. Outra vez! - Ann”. No segundo e-mail enviado para seu amante,
Ann diz: “Oi querido! Traga o seu passaporte falso e um maiô. Endereço anexado.
amor, Ann” e junto ao e-mail está um anexo.
Resposta:
Junto
ao
secretrendezvous.docx
e-mail
está
e
o
um
documento
Md5sum
do
docx
com
nome
arquivo
é
9e423e11db88f01bbff81172839e1923.
Resposta: Tem uma mensagem que Ann diz: “Encontre-me na fonte perto do ponto
de encontro. Endereço abaixo. Estou levando todo o dinheiro.” e um mapa da Playa
del Carmem em México.
Resposta: No primeiro e-mail para seu Marido o assunto é “Almoço na próxima
semana” e no segundo e-mail para seu Amante o assunto é “Encontro Secreto”.
62
III – CONCLUSÃO
Dado o estudo do processo e das diligências realizadas, este Perito
conclui que houve dois envio de e-mail por Ann, sendo um para seu marido e outro
para amante com um anexo de um mapa da Praia de Carmem em México.
Ainda informa o Perito que não são necessários esclarecimentos
adicionais, uma vez que ficou claro houve o envio dos e-mails e a cidade para aonde
a executada pretende fugir.
IV – ENCERRAMENTO
Tendo encerrado os trabalhos periciais, lavro o presente Laudo Pericial
que contém 5 (cinco) páginas, impressas e rubricadas no anverso, com 4 (quatro)
anexos abaixo relacionados, também devidamente rubricados em todas as páginas.
São anexos deste Laudo:
Imagens:
Tela Inicial do Xplico com evidencias.pcap a ser analisando.
E-mail enviado para [email protected].
E-mail enviado para [email protected]
Mostrando mapa que estava dentro do arquivo no anexo.
Firmo o presente,
São Mateus, 05 de Novembro de 2012.
_________________________________
Perito Contador
CPF 111.111.111-11
CRC-ES SM 033333/O-3
63
ANEXOS – IMAGENS
Imagem 1 - Tela Inicial do Xplico com evidencias.pcap a ser analisando.
Imagem 2 - E-mail enviado para [email protected].
Imagem 3 - E-mail enviado para [email protected].
64
Imagem 4 - Mostrando mapa que estava dentro do arquivo no anexo.

faculdade norte capixaba de são mateus

Transcrição

Documentos relacionados

PERÍCIAS FORESNES - EMENTAS CRIMINALÍSTICA

DP424 - Portal do Direito UFPR

Formação em Perito Forense Computacional

procuradoria geral do município do rio de janeiro coordenadoria

slides - Marcos Monteiro

TGA - Unisinos

TGA - Unisinos

TRAUMATOLOGIA FORENSE E O ESTUDO DAS LESÕES

ESPECIALIZAÇÃO LATO SENSU PERÍCIA FORENSE E

publico alvo objetivo programação palestrante