instituto federal do espírito santo curso superior de
Transcrição
instituto federal do espírito santo curso superior de
INSTITUTO FEDERAL DO ESPÍRITO SANTO CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES FRANCINE PEROVANO BATISTA LORENNA ROCHA ROSA AVALIAÇÃO DAS DISTRIBUIÇÕES LIVRES PARA PERÍCIA FORENSE SERRA 2014 FRANCINE PEROVANO BATISTA LORENNA ROCHA ROSA AVALIAÇÃO DAS DISTRIBUIÇÕES LIVRES PARA PERÍCIA FORENSE Trabalho de Conclusão de Curso apresentado à Coordenadoria de Cursos Superiores em Informática do Instituto Federal do Espírito Santo como requisito parcial para a obtenção do título de Tecnólogo em Redes de Computadores. Orientador: Prof. Gilberto Neves Sudré Filho. SERRA 2014 Dados Internacionais de Catalogação na Publicação (CIP) B333a Batista, Francine Perovano Avaliação das distribuições livres para perícia forense / Francine Perovano Batista, Lorenna Rocha Rosa. – 2014. 86 f. ; il. ; 30 cm Orientador: Prof. Gilberto Neves Sudré Filho. Monografia (graduação) – Instituto Federal do Espírito Santo, Coordenadoria dos Cursos Superiores de Informática, Curso Superior de Tecnologia em Redes de Computadores, 2014. 1. Crime por computador. 2. Computadores – Medidas de segurança. 3. Prática forense – Software livre. I. Rosa, Lorenna Rocha. II. Sudré Filho, Gilberto Neves. III Instituto Federal do Espírito Santo. IV. Título. CDD: 005.8 RESUMO Nas últimas décadas a Internet e a inclusão digital cresceram abruptamente e como consequência os crimes digitais aumentaram exponencialmente. Por este motivo são necessárias técnicas e ferramentas apropriadas para investigação dos delitos cometidos contra ou através dos meios de informação. Para o desenvolvimento deste trabalho utilizamos conceitos jurídicos e informáticos a fim de fazer uma explanação do conceito de crimes digitais, perícia forense e suas vertentes. Este trabalho de conclusão de curso objetiva avaliar dentre cinco distribuições para perícia forense em software livre (BACKTRACK, CAINE, DEFT, FDTK, PERIBR) e no final mostrar qual se destacará melhor perante a avaliação que será realizada através de critérios específicos. Palavras-chave: Crimes digitais. Computação forense. Ferramentas. ABSTRACT In recent decades the Internet and digital inclusion grew sharply and as a consequence the digital crimes have increased exponentially. For this reason are necessary techniques and appropriate tools to investigate the crimes committed against or through the media. To develop this work we use legal and IT concepts in order to make an explanation of the concept of digital crime, forensic and its variations. This job completion course aims to evaluate from five distributions for forensic expertise in free software (BACKTRACK, CAINE, DEFT, FDTK, PERIBR) and at the end show which will stand out better before the assessment to be performed by specific criteria. Keywords: Digital crimes. Computer forensics. Tools. LISTA DE FIGURAS Figura 1- Fases de um processo de investigação ............................................ 28 Figura 2 - Tela do Encase...................................................................................34 Figura 3 - Evidence Processing Categories. .................................................... 36 Figura 4 - Tela inicial, modo texto, do BackTrack. ............................................ 38 Figura 5 - Visualização da Estrutura das Ferramentas do BackTrack 5 R3. .... 39 Figura 6 - Opções de inicialização para o BackTrack 5......................................41 Figura 7 – Caine Interface. ............................................................................... 43 Figura 8 – Menu de ferramentas forense do CAINE 4.0. ................................. 44 Figura 9 – Tela do WinTaylor. .......................................................................... 46 Figura 10 – Desktop DEFT 7.2. ........................................................................ 48 Figura 11 – Ferramentas DEFT 7.2.................................................................. 49 Figura 12 – Tela DART 2.0............................................................................... 51 Figura 13 – Desktop FDTK 3.0. ........................................................................ 53 Figura 14 – Estrutura Ferramentas FDTK. ....................................................... 54 Figura 15 – Informações sobre a ferramenta md5su......................................... 55 Figura 16 - Desktop PeriBr ............................................................................... 58 Figura 17 - Opções de Inicialização do PeriBr ................................................. 59 Figura 18 - Tela principal do PeriBr .................................................................. 60 LISTA DE TABELAS Tabela 1 – Ferramentas inclusas no BackTrack versus Quantidade. .................40 Tabela 2 – Categorias das ferramentas inclusas no CAINE versus Quantidade.45 Tabela 3 – Categorias das ferramentas inclusas no DEFT versus Quantidade. .50 Tabela 4 – Categorias das ferramentas inclusas no FDTK versus Quantidade. .54 Tabela 5 – Categorias das ferramentas inclusas no PeriBr versus Quantidade..60 Tabela 6 – Critério 1: Maturidade da Distribuição. ..............................................65 Tabela 7 – Critério 4: Frequência de Atualização................................................69 Tabela 8 – Avaliação dos Critérios. .....................................................................70 LISTA DE GRÁFICOS Gráfico 1 - Avaliação dos critérios....................................................................70 LISTA DE ABREVIATURAS E SIGLAS BMP BitMaP BSD Berkeley Software Distribution CAINE Computer Aided Investigative Environment CD Compact Disc CDFS Compact Disk File System CP Código Penal DART Digital Advanced Response Toolkit DEFT Digital Evidence & Forensics Toolkit DVD Digital Versatile Disc EXT2 Second Extended File System FAT File Allocation Table FDTK Forense Digital ToolKit FTK Forense ToolKit GIF Graphics Interchange Format HFS Hierarchical File System HTML HyperText Markup Language ISO International Organization for Standardization JPG Joint Photographic Experts Group KDE K Desktop Enviroment LXDE Lightweight X11 Desktop Environment MD5 Message-Digest algorithm 5 NTFS New Technology File System ONU Organização das Nações Unidas PERIBR Perícia Brasil PHLAK Professional Hacker’s Linux Assault Kit PST Personal Store RAID Redundant Array of Inexpensive Disk RFID Radio-Frequency IDentification RTF Rich Text Format TIFF Tagged Image File Format UDF Universal Disk Format UFS Unix File System UNISINOS Universidade do Vale do Rio dos Sinos USP Ubuntu System Panel WAP Wireless Application Protocol WEP Wired Equivalent Privacy SUMÁRIO 1 INTRODUÇÃO........................................................................................ 13 1.1 PROBLEMA............................................................................................. 14 1.2 OBJETIVOS.............................................................................................14 2 REFERENCIAL TEÓRICO...................................................................... 16 2.1 CRIME DIGITAL...................................................................................... 16 2.2 PUNIÇÕES DOS CRIMES DIGITAIS...................................................... 18 2.2.1 Crimes digitais e suas devidas punições............................................19 2.2.2 Lei Azeredo e Lei Carolina Dieckmann................................................24 2.2.3 Marco Civil da Internet.......................................................................... 24 2.3 INVESTIGAÇÃO...................................................................................... 26 2.4 COMPUTAÇÃO FORENSE..................................................................... 29 3 FERRAMENTAS..................................................................................... 31 3.1 FERRAMENTAS PROPRIETÁRIAS....................................................... 31 3.1.1 EnCase Forensic.................................................................................... 31 3.1.2 FTK.......................................................................................................... 34 3.2 DISTRIBUIÇÕES LINUX PARA FORENSE............................................ 36 3.2.1 BackTrack............................................................................................... 37 3.2.2 CAINE......................................................................................................42 3.2.3 DEFT Linux............................................................................................. 47 3.2.4 FDTK....................................................................................................... 52 3.2.5 PeriBr...................................................................................................... 56 3.3 FERRAMENTAS PROPRIETÁRIAS X FERRAMENTAS LIVRES.......... 61 4 AVALIAÇÃO DAS DISTRIBUIÇÕES LIVRES........................................64 4.1 DEFINIÇÃO DOS CRITÉRIOS................................................................ 64 4.2 JUSTIFICATIVAS PARA AS NOTAS...................................................... 65 4.2.1 Critério 1: Maturidade da distribuição................................................. 65 4.2.2 Critério 2: Número de ferramentas / Tipos de ferramentas............... 66 4.2.3 Critério 3: Qualidade dos fóruns.......................................................... 67 4.2.4 Critério 4: Frequência de atualização.................................................. 68 4.3 JUSTIFICATIVAS PARA OS PESOS...................................................... 69 4.4 AVALIAÇÃO DOS CRITÉRIOS............................................................... 69 5 CONSIDERAÇÕES FINAIS.................................................................... 71 REFERÊNCIAS....................................................................................... 73 GLOSSÁRIO........................................................................................... 83 13 1 INTRODUÇÃO O crescimento do mundo digital, principalmente o da Internet, traz diversos benefícios e comodidade para a sociedade, em geral. Porém tal crescimento acelerado está, também, contribuindo para o crescimento dos crimes digitais, como disse Oliveira (2007, p. 14): A facilidade e a velocidade em que a informação circula pela Internet trouxeram inúmeras vantagens para a sociedade moderna, pois através de pequenos dispositivos é possível realizar transações bancárias, consultar qualquer tipo de informação, conectar e interagir com lugares distantes e trocar mensagens com pessoas do mundo todo em questão de poucos minutos. Ao mesmo tempo, criminosos viram na Internet possibilidades infinitas de fraudar ou roubar informações, utilizando programas disponíveis na própria rede ou devido à falta de conhecimento dos usuários através de e-mails falsificados. Alencastro afirma que no Brasil, ”[...] em 2010, os crimes virtuais no país aumentaram em torno de 600% e cerca de 30% sequer estão previstos na lei” (2011). Devido a esse grande aumento de ocorrências dos diversos tipos de crimes digitais surgiu à necessidade de se elaborar algum método que pudesse solucionar tais crimes. Para suprir essa necessidade surgiu o que chamamos de Computação Forense, que de acordo com Bustamante (2006) pode ser definida, “[...] como uma coleção e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento de forma que sejam admitidas em juízo.”. É um campo de pesquisa relativamente novo e que está crescendo, principalmente, pelo fato de que as instituições legais necessitam combater os crimes digitais (GUIMARÃES et al, 2001, p. 1). A Computação Forense baseiase no uso de métodos científicos para realizar uma investigação, e vem ajudando cada vez mais no esclarecimento dos diversos crimes digitais que vem surgindo ao longo do tempo. Para que um investigador consiga coletar e analisar os dados, envolvidos na investigação, o uso de ferramentas adequadas é fundamental para solucionar os crimes virtuais. Com isso, diversas ferramentas voltadas para computação forense foram desenvolvidas a fim de ajudar o investigador nesta tarefa. 14 Este trabalho tem por objetivo avaliar algumas distribuições livres que são voltadas para computação forense. 1.1 PROBLEMA Para que os crimes digitais sejam solucionados é preciso encontrar evidências que possam servir como provas do delito. Existem diversas ferramentas específicas que podem ser utilizadas durante a busca de evidências. O problema é que muitas delas são pagas (software proprietário) e muito caras, ou seja, para utilizá-las você precisa comprar uma licença de uso, o que significa um alto custo. Partindo deste pressuposto, este trabalho visa mostrar que existem soluções em software livre com as mesmas funções dos softwares proprietários que estão disponíveis a custo zero na internet. Para isso, será gerado um comparativo entre algumas distribuições livres voltadas para perícia forense. As distribuições escolhidas serão avaliadas por meio de critérios específicos, destacando as suas principais vantagens e desvantagens. 1.2 OBJETIVOS O objetivo geral deste trabalho é realizar uma análise de algumas distribuições livres existentes para a perícia forense. A partir da definição dos critérios para avaliação faremos um comparativo dessas distribuições. Os objetivos específicos incluem: 15 Conhecer e avaliar algumas distribuições forenses livres voltadas para a investigação de crimes digitais; e Realizar um comparativo dessas distribuições de acordo com critérios estabelecidos. 16 2 REFERENCIAL TEÓRICO 2.1 CRIME DIGITAL Entende-se como crime digital qualquer atividade ilegal onde um computador, ou até mesmo uma rede, se torna o alvo de um ataque ou um meio para a realização de um crime. Segundo Rossini (2002, p. 138): [...] o melhor conceito para ‘delito informático’ é o cunhado pela Organização para a Cooperação Econômica e Desenvolvimento da ONU: “O crime de informática é qualquer conduta ilegal não ética, ou não autorizada, que envolva processamento automático de dados e/ou transmissão de dados”. Assim, de uma maneira bem generalizada, podemos descrever crimes digitais, como toda atividade ilícita que envolve o uso de infraestrutura tecnológica. Os crimes podem ser categorizados em dois tipos, aqueles cometidos com o uso de computadores como ferramenta de ataque, e crimes cometidos contra o computador (hardware), onde o mesmo é danificado ou prejudicado de alguma maneira. (WEBER, 2010). Como um bom exemplo de crime digital, podemos citar um caso que aconteceu com a atriz Carolina Dieckmann, que teve suas fotos pessoais furtadas de seu computador pessoal e que depois foram divulgadas na Internet. De acordo com o portal G1, da emissora Globo, os culpados por terem roubado as fotos foram indiciados por furto, extorsão qualificada e difamação. Mais pra frente trataremos melhor sobre a questão da punição dos crimes digitais. (G1, 2012). 17 Os crimes digitais podem ser divididos em dois grupos: crimes próprios e impróprios. Os crimes próprios são aqueles que só podem ser cometidos através do uso da informática, e só pode ser consumado devido à existência da mesma, por exemplo, pirataria de software, invasão de e-mail, propagação de vírus, dentre outros. Já os crimes impróprios são crimes já existentes, na qual os criminosos utilizam os recursos da informática como meio para executá-los, como por exemplo, ameaças, calúnia, pedofilia, etc. (MORAIS, BITTENCOURT e CLEMENTINO, 2012). Os crimes digitais podem ser classificados em três grupos, crimes virtuais puros, mistos e comuns. O crime virtual puro compreende qualquer ação ilegal que prejudique o hardware ou software de um computador. Crime virtual misto é aquele onde a Internet é a condição para a realização do crime. Por exemplo, transações ilegais de valores de contas corrente, na qual o criminoso retira pequenas quantias de várias contas e transfere as mesmas para uma conta. E por fim temos o crime virtual comum, que é quando se utiliza a Internet apenas como meio para realizar um ato ilegal que se enquadre no Código Penal (CP). (NETO e GUIMARÃES, 2003). Neto e Guimarães (2003) citam alguns dos crimes que são praticados com o uso do computador e que foram relacionados pela Organização das Nações Unidas (ONU) no Décimo Congresso sobre Prevenção de Delito e Tratamento do Delinquente, celebrado em Viena, entre os dias 10 e 17 de abril de 2000. Abaixo podemos ver alguns desses crimes que foram relacionados: a) Espionagem industrial: espionagem realizada por pessoas contratadas para empresas com o intuito de copiar segredos comercias de suas concorrentes. b) Sabotagem de sistemas: ataques que consistem no envio de várias mensagens a um site e assim impedindo que os verdadeiros usuários acessem o mesmo. 18 c) Sabotagem e vandalismo de dados: pessoas mal intencionadas invadem sites, apagando ou alterando o conteúdo, o que pode causar grandes prejuízos para as empresas. d) Pesca ou averiguação de senhas secretas: criminosos enganam os usuários para que os mesmos revelem suas senhas, utilizando métodos da engenharia social ou até mesmo programas que capturam as informações digitadas pelo usuário. e) Estratagemas: uso de diversas técnicas para “esconder” computadores que se assemelham, eletronicamente, com outros para obter acesso a algum sistema restrito. f) Pornografia infantil: distribuição de conteúdos que envolvam a pornografia infantil. g) Jogos de azar: quando o indivíduo usufrui dos jogos eletrônicos, por exemplo, ele pode programar para a máquina sempre ganhar. 2.2 PUNIÇÕES DOS CRIMES DIGITAIS Com o crescimento acelerado da Internet, percebe-se que o número de crimes digitais também aumenta. Em um estudo realizado pela empresa de segurança Symantec, foi verificado que dois terços dos internautas no mundo já foram vítimas de crimes digitais. Revelando ainda que o Brasil é o segundo país no ranking das nações com maior número de vítimas. Este número aumenta cada vez mais, devido à falta de impunidade. (TABORDA, 2010). 19 Em uma entrevista, o advogado Alexandre Atheniense explica que, “sem lei específica, os crimes típicos de internet dificilmente são punidos, porque a legislação penal não admite analogia. Se o fato não está definido como crime não há punição”. (NEVES, 2010). No Brasil não se tem uma legislação concreta que envolva os diversos crimes digitais, assim o indivíduo que praticar algum crime deverá ser julgado de acordo com o Código Penal Brasileiro, como diz Maria Neves ”Na ausência de uma lei específica, a Justiça tem recorrido principalmente ao Código Penal (Decreto-Lei 2.848/40) para punir os chamados crimes digitais ou cibernéticos”. (2010). 2.2.1 Crimes digitais e suas devidas punições A seguir serão mostrados alguns crimes que estão previstos no Código Penal Brasileiro (BRASIL, 1940): CP Art 138: Calúnia Caluniar alguém, imputando-lhe falsamente fato definido como crime. Pena - detenção, de seis meses a dois anos, e multa. CP Art 139: Difamação Difamar alguém, imputando-lhe fato ofensivo à sua reputação. Pena - detenção, de três meses a um ano, e multa. 20 CP Art 140: Injuria Injuriar alguém, ofendendo-lhe a dignidade ou o decoro. Pena - detenção, de um a seis meses, ou multa. CP Art 147: Ameaça Ameaçar alguém, por palavra, escrito ou gesto, ou qualquer outro meio simbólico, de causar-lhe mal injusto e grave. Pena - detenção, de um a seis meses, ou multa. CP Art 153: Divulgação de segredo Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem. Pena – detenção, de um a seis meses, ou multa. CP Art 155: Furto Subtrair, para si ou para outrem, coisa alheia móvel. Pena - reclusão, de um a quatro anos, e multa. CP Art 163: Dano Destruir, inutilizar ou deteriorar coisa alheia. 21 Pena - detenção, de um a seis meses, ou multa. CP Art 171: Estelionato Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento. Pena - reclusão, de um a cinco anos, e multa. CP Art 184: Plágio - Violação de direitos autorais Violar direito de autor de obra literária, científica ou artística. Pena - detenção de três meses a um ano, ou multa. CP Art 208: Escárnio por motivo de religião Escarnecer de alguém publicamente, por motivo de crença ou função religiosa; impedir ou perturbar cerimônia ou prática de culto religioso; vilipendiar publicamente ato ou objeto de culto religioso. Pena - detenção, de um mês a um ano, ou multa. CP Art 228: Favorecimento da prostituição Induzir ou atrair alguém à prostituição, facilitá-la ou impedir que alguém a abandone. Pena - reclusão, de dois a cinco anos. CP Art 233: Praticar ato obsceno em lugar público 22 Praticar ato obsceno em lugar público, ou aberto ou exposto ao público. Pena - detenção, de três meses a um ano, ou multa. CP Art 287: Apologia ao crime Fazer, publicamente, apologia de fato criminoso ou de autor de crime. Pena - detenção, de três a seis meses, ou multa. CP Art 307: Falsidade ideológica Atribuir-se ou atribuir à terceiro falsa identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem. Pena - detenção, de três meses a um ano, ou multa, se o fato não constitui elementos de crime mais grave. CP Art 313-A: Inserção de dados falsos em sistema Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou banco de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano. Pena – reclusão de dois a doze anos e multa. Existem, também, outros crimes que são julgados pela Lei Brasileira como: Envio de um e-mail anônimo 23 É vedado o anonimato no Brasil Artigo 5º da constituição federal, inciso IV. Crime de racismo (Art. 20 da Lei Nº 7716/89) Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional. Pena: reclusão de um a três anos e multa. Pedofilia (Art. 247 da Lei Nº 8069/90) Divulgar, total ou parcialmente, sem autorização devida, por qualquer meio de comunicação, nome, ato ou documento de procedimento policial, administrativo ou judicial relativo à criança ou adolescente a que se atribua ato infracional. Pena - multa de três a vinte salários de referência, aplicando-se o dobro em caso de reincidência. Jogos de azar (Art. 50 da L.C.P.) Estabelecer ou explorar jogo de azar em lugar público ou acessível ao público, mediante o pagamento de entrada ou sem ele: (Vide DecretoLei nº 4.866, de 23.10.1942) (Vide Decreto-Lei 9.215, de 30.4.1946) Pena - prisão simples, de três meses a um ano, e multa, de dois a quinze contos de réis, estendendo-se os efeitos da condenação à perda dos moveis e objetos de decoração do local. 24 2.2.2 Lei Azeredo e Lei Carolina Dieckmann No dia 2 de abril de 2013, o Código Penal passou a dispor de artigos que tipificam os “delitos informáticos” e estabelecer penas para quem cometê-los (PEREIRA, 2013), devido as Leis nº 12.735/12 e 12.737/12 entrarem em vigor. A Lei nº 12.735/12, apelidada de Lei Azeredo por ter sido uma proposta feita pelo ex-senador Eduardo Azeredo, “[...] tipifica condutas realizadas mediante uso de sistema eletrônico, digitais ou similares, que sejam praticadas contra sistemas informatizados.” (CASSANTI, 2013). Um dos artigos, desta lei, determina a instalação de delegacias especializadas, para o combate aos crimes digitais. E um outro trata sobre crimes decorrentes de racismo, onde um juiz pode ordenar que qualquer publicação, de natureza racista, seja suspensa. (CONGO, 2013). Já a Lei nº 12.737/12, conhecida como Lei Carolina Dieckmann que faz referência a atriz que teve suas fotos íntimas roubadas e espalhadas na internet, “[...] criminaliza as condutas cometidas através da internet, tais como: invasão de computadores, roubo e/ou furto de senhas e de conteúdos de e-mails e a derrubada intencional de sites, inclusive oficiais [...]”. (CASSANTI, 2013) 2.2.3 Marco Civil da Internet No dia 22 de abril de 2014, foi aprovado pela Câmera dos Deputados o projeto de lei do Marco Civil da Internet. Porém o projeto não é recente, vem sendo debatido desde 2009 no Brasil. O Marco Civil visa proibir o acesso de terceiros a dados, correspondências ou comunicação pela rede além de garantir a liberdade de expressão, proteção da privacidade e dos dados pessoais. (BBC BRASIL, 2014). 25 O Marco Civil da Internet (projeto de lei 21626/11) de acordo com o site da BBC Brasil (2014): [...] é um projeto de lei que estabelece princípios e garantias do uso da rede no Brasil. Segundo o deputado Alessandro Molon (PT-RJ), autor da proposta, a ideia é que o marco civil funcione como uma espécie de "Constituição" da internet, definindo direitos e deveres de usuários e provedores da web no Brasil. O autor da proposta ainda ressalta que o Marco Civil é [...] apenas um primeiro passo em direção a uma legislação sobre internet no país. É uma espécie de lei guarda-chuva, uma lei maior debaixo da qual virão depois outras leis regulando ou determinando áreas específicas da internet, como por exemplo, o comércio eletrônico. (BBC BRASIL, 2014). A seguir veremos o que muda após a aprovação do Marco Civil da Internet. Direitos: de acordo com o projeto de lei os usuários de internet no Brasil têm direito a (BBC BRASIL, 2014): Inviolabilidade e sigilo de suas comunicações. Só ordens judiciais para fins de investigação criminal podem mudar isso; Não suspensão de sua conexão, exceto em casos de não pagamento; Manutenção da qualidade contratada da sua conexão; Informações claras nos contratos de prestação de serviços de operadoras de internet, o que inclui detalhes sobre proteção de dados pessoais; Não fornecimento a terceiros sobre registros de conexão à internet. Neutralidade: a neutralidade da rede define que os provedores não podem oferecer conexões diferenciadas pelo tipo de uso, como por exemplo, para acesso somente as redes sociais ou a e-mails. (MENDES, 2014) 26 Retirada de conteúdo: segundo o projeto do Marco Civil os provedores e aplicações na internet não poderão ser responsabilizados pela maneira que os usuários utilizarão a rede e/ou pelas publicações feitas por terceiros. (MENDES, 2014) Fim do marketing dirigido: o projeto prevê que as empresas de acesso não poderão observar o conteúdo das informações trocadas pelos usuários na rede. As empresas utilizam essa técnica para fins comerciais bem como para publicidade, o que não será mais permitido. Portanto será proibido monitorar, filtrar, analisar ou fiscalizar o conteúdo das informações dos usuários na rede. (MENDES, 2014) Sigilo e privacidade: os provedores de acesso deverão guardar os registros das horas de acesso dos usuários, à conexão, por um prazo de 6 (seis) meses e que deverá ser feito em um ambiente controlado. Porém não será autorizado o registro das páginas e do conteúdo acessado pelo usuário. (MENDES, 2014) 2.3 INVESTIGAÇÃO Para que haja uma punição, em relação aos crimes virtuais, é necessário encontrar evidências que comprovem o crime. E para isso são necessárias pessoas qualificadas que sejam capazes de solucioná-los. No Brasil há uma grande falta de profissionais especializados, na qual chamamos de perito forense ou investigador, que possam averiguar de forma adequada os crimes digitais. De acordo com Taborda “[...] No Brasil um crime digital demora em média 43 dias para ser solucionado, levando a um prejuízo de US$ 1.408,09.” (2010). Podemos chamar a fase responsável por conseguir evidências, de investigação. De acordo com o delegado José Mariano de Araujo Filho, “[...] 27 uma investigação criminal é um esforço por parte de um agente público para descobrir informações sobre um crime” (2011). Ele também afirma que existem duas preocupações que se tornam o principal foco da atuação das forças policiais: comprovar o crime e quem o cometeu. Ultimamente, os advogados estão passando a utilizar as evidências digitais nos tribunais. Mas para que elas possam ser consideradas provas válidas, o perito deve ter o máximo de cuidado na hora da investigação, para que as evidências possam ser preservadas e documentadas, com a finalidade de torná-las autênticas. (PEREIRA et al, 2007). Sendo assim, o processo de investigação, tanto para fins judiciais como empresariais, deve garantir a integridade e autenticidade dos dados coletados e dos resultados obtidos. Ou seja, deve garantir que as informações obtidas, a partir das evidências, não foram alteradas. (LISITA et al, 2009). No tribunal pode ser utilizado um laudo, onde deverão ser informados os métodos utilizados na perícia, para comprovar a autenticidade das evidências obtidas na investigação. (FREITAS, 2006). De acordo com Kent et al (2006), as fases de um processo de investigação são: Coleta dos dados, Exame dos dados, Análise das Informações e Interpretação dos dados. Para entender melhor o que significa cada uma das etapas, seguem as definições: Coleta dos dados: nesta primeira fase os dados devem ser coletados, preservando a integridade dos mesmos. Sendo assim os equipamentos devem conter uma identificação, que deve ser registrada. (PEREIRA et al, 2007). Esta coleta deve ser realizada em tempo hábil, devido a possível perda dos dados voláteis. Exame dos dados: nessa segunda fase os dados serão processados com o auxílio de ferramentas e técnicas, apropriadas para cada tipo de dado coletado, a fim de extrair as informações relevantes ao caso, sempre preservando a integridade dos dados. (PEREIRA et al, 2007). 28 Análise das informações: a fase seguinte do processo é analisar os resultados obtidos no exame dos dados, com o intuito de obter informações úteis que possam responder as questões que deram início ao processo de investigação. (Kent et al, 2006). Interpretação dos resultados: na fase final do processo os resultados adquiridos na análise serão relatados. Deverá ser gerado um relatório contendo uma descrição dos procedimentos adotados e os resultados alcançados. (PEREIRA et al, 2007). Na Figura 1 podemos observar as quatro fases de um processo de investigação, a ordem em que elas são realizadas e os procedimentos que devem ser adotados em cada etapa. Figura 1 - Fases de um processo de investigação Fonte: NEUKAMP (2012, p. 15) 29 2.4 COMPUTAÇÃO FORENSE Com o alto índice de crimes digitais, no final da década de 1980 e começo da década de 1990, as agências legais dos Estados Unidos se uniram a fim de proporcionar um treinamento para seus funcionários, para lidar com estes crimes. Com isso, houve um crescimento do número de profissionais especializados que eram capazes de solucionar crimes digitais. Devido a este fato, um termo que já era utilizado em outras áreas, passou a ser incorporado também à computação, surgindo o termo Computação Forense. (BORGES e TAVARES, 2006). Em um de seus artigos, Rohr define o termo forense como “[...] o conjunto de técnicas de coleta e análise de dados usadas em investigações, sejam elas de incidentes criminais ou dentro de uma empresa.” (2011). Já Bustamante afirma que “A computação forense pode ser definida como uma coleção e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento de forma que sejam admitidas em juízo.” (2006). A partir deste conceito, podemos entender que a Computação Forense trata de forma exclusiva as áreas que são ligadas à informática. Com a grande quantidade do uso de computadores a computação forense também cresce, ajudando cada vez mais no esclarecimento dos diversos crimes digitais. Para que estes crimes sejam “desvendados” é necessário encontrar evidências que provem o delito. Temos que a Computação Forense baseia-se no uso de métodos científicos para realizar uma investigação, porém, a utilização desses métodos nem sempre significa ser uma tarefa simples, visto que hoje em dia, devido ao surgimento de novas tecnologias, a parte de encontrar uma evidência torna-se cada vez mais árdua. Tais evidências que são encontradas podem não ser vistas a olho nu, o que vai depender de ferramentas e meios para obtê-las. Assim, caberá a um profissional coletar as mesmas para que sejam utilizadas em juízo. (BUSTAMANTE, 2006). 30 A partir dos conceitos apresentados, podemos entender que o objetivo principal da computação forense: [...] é buscar extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais do fato. (BUSTAMANTE, 2006). 31 3 FERRAMENTAS Para que um investigador consiga coletar, preservar, processar e documentar as informações desejadas, para a investigação, será necessário o auxílio de um conjunto de ferramentas. (HOLPERIN e LEOBONS, 2007). Com o intuito de ajudar o investigador nesta tarefa, foram desenvolvidas diversas ferramentas voltadas para a computação forense. A seguir serão apresentadas algumas ferramentas forenses do tipo “proprietário” e algumas distribuições, baseadas em software livre, na qual serão avaliadas neste trabalho. 3.1 FERRAMENTAS PROPRIETÁRIAS No mercado existem duas ferramentas proprietárias que se destacam por suas funcionalidades, Encase Forensic e a Forensic Toolkit (FTK). Mas a empresa ou pessoa que quiser adquirir alguma destas ferramentas deverá desembolsar um bom dinheiro. Em uma entrevista cedida ao site da TechBiz Forense Digital, Sandro Süffert diz que o custo médio de uma licença de um ano, do Encase ou FTK, gira em torno de R$20 mil. (MAIA, 2010). 3.1.1 EnCase Forensic O EnCase é uma ferramenta para análise forense baseada em ambiente Windows, e que desde 1998 é a preferida dos investigadores. Nos Estados Unidos, esta ferramenta é muito utilizada por agências do governo, polícia e em investigações militares e empresariais. O EnCase permite a otimização do 32 trabalho do examinador, segundo o seu fabricante o uso desta ferramenta reduz em até 65% do tempo de investigação. E suas características não invasivas, permitem a realização de uma perícia sem que haja alteração dos dados, além disso, proporciona vários relatórios detalhados do conteúdo investigado. (BUSTAMANTE, 2006). Vargas (2007) diz que: A ferramenta EnCase é uma das ferramentas mais completas no que se refere a perícia forense, pois além de auxiliar recuperação de arquivos deletados, padroniza laudos periciais, organiza um Banco de Dados com as evidências, faz o encryption (fornece senhas) e o decryption (quebra as senhas) dos arquivos, analisa hardwares, analisa logs, analisa formatos e tipos de e-mails e fornece uma opção de se manusear a evidência sem danificá-la, além de outras características mais avançadas. Segundo Freitas (2006, p. 140) as principais características do EnCase são: Suporte a Unicode; Várias alternativas de aquisição de mídia digital; Gerenciamento de múltiplos processos de investigação; Pesquisa e análise utilizando palavras-chaves, hashes, assinaturas e filtros; Gallery View, visualiza rapidamente todos os arquivos de imagens (BitMaP (BMP), Joint Photographic Experts Group (JPG), Graphics Interchange Format (GIF) e Tagged Image File Format (TIFF)); Timeline View, permite visualizar atividades em sistema de arquivos através do tempo; 33 Report View, relatórios sobre o caso podem ser gerados em Rich Text Format (RTF) ou HyperText Markup Language (HTML) com detalhes sobre a estrutura de dados/disco analisada. Suporte aos sistemas de arquivo: File Allocation Table (FAT12) (disquete), FAT16, FAT32, New Technology File System (NTFS), Hierarchical File System (HFS), HFS+, Solaris UFS, Second Extended file system (EXT2/3), Reiser, Berkeley Software Distribution (BSD) FFS, Palm, Compact Disk File System (CDFS), Joliet, Universal Disk Format (UDF) e International Organization for Standardization (ISO) 9660; Suporte a configurações de disco como Redundant Array of Inexpensive Disk (RAID 5), Mirror, Striped; Suporta email em arquivos Personal Store (PST), inclusive PST comprimidos, criptografados e com senha. A Figura 2 mostra uma caixa de entrada de email, de um suposto criminoso, que foi verificada utilizando a ferramenta EnCase. 34 Figura 2 - Tela do EnCase Fonte: BUSTAMANTE (2006) O Encase é propriedade da Guidance Software (https://www.encase.com/), que é uma empresa reconhecida globalmente, principalmente, em forense digital. (GUIDANCE SOFTWARE, acesso em 10 de dez. de 2013.) 3.1.2 FTK Uma das ferramentas mais utilizadas mundialmente é o FTK. Quando comparada com o EnCase, a líder do mercado, FTK apresenta algumas limitações como a falta de uma linguagem própria para a elaboração de scripts, filtros e consultas. Porém apresenta uma maior facilidade de uso em relação ao EnCase e seu custo, visto que tanto do software quanto do treinamento é expressivamente menor. Para superar algumas dessas limitações a ferramenta FTKScript foi criada, com o objetivo de fornecer alguns recursos complementares ao FTK como a questão dos filtros e consultas, geração 35 rápida de listas de hashes, geração automática de bookmarks e linha de tempo dos arquivos. (HOELZ, 2007). O FTK é conhecido no mercado como uma das principais ferramentas para análise de e-mail. Suas principais características são (PIMENTA, 2007, p.34): Recupera e-mails excluídos; Possui ferramenta de visualização de registro; Gera auditoria de logs e relatórios de casos; Recupera automaticamente arquivos excluídos e partições; Visualiza mais de 270 formatos diferentes de arquivos; O FTK Explorer permite que se navegue rapidamente pelas imagens encontradas; Suporta vários sistemas de arquivos como NTFS, FAT12, FAT16, FAT32, Linux Ext2 e Ext3; Suporta os formatos de imagens de outros programas como o EnCase; Suportado por vários clientes de e-mail como o Outlook, Outlook Express, Yahoo, Hotmail etc.; Pesquisa, visualiza, imprime e exporta mensagens de e-mails e anexos; Extrai informações da maioria dos arquivos compactados. 36 Na Figura 3 podemos observar que além dessas características, o FTK também permite controlar como os dados serão processados. Figura 3 - Evidence Processing Categories Fonte: ACCESSDATA - FTK. O FTK é uma ferramenta criada pelo grupo Access Data (http://accessdata.com/products/computer-forensics/ftk). 3.2 DISTRIBUIÇÕES LINUX PARA FORENSE Além das ferramentas “proprietárias” também existem as distribuições livres, que contém ferramentas voltadas para a forense computacional. A seguir listaremos algumas dessas distribuições, são elas: BackTrack, Computer Aided Investigative Environment (CAINE), Digital Evidence & Forensic Toolkit Linux (DEFT), Forense Digital ToolKit (FDTK) e Perícia Brasil (Peri-BR). Estas ferramentas são objetos desse estudo. 37 3.2.1 BackTrack BackTrack é uma distribuição Linux, baseada na distribuição Slackware, com o foco em testes de segurança e penetração, conhecidos como pen tests. BackTrack foi criado a partir da combinação de duas distribuições relacionadas com segurança – Whax e Auditor Security Collection. BackTrack substituiu essas distribuições e ganhou uma grande popularidade. É uma distribuição que pode ser iniciada diretamente pelo Live Compact Disc/Digital Versatile Disc (CD/DVD), sem a necessidade de instalar em disco, ou mídia removível. Atualmente BackTrack contém mais de 300 ferramentas diferentes e atualizadas, utilizando-se de uma estrutura que permite encontrar ferramentas para uma tarefa específica. (ASSUMPÇÃO, 2012). Em relação à interface gráfica, é possível escolher entre dois ambientes: K Desktop Enviroment (KDE) ou Fluxbox. A interface gráfica KDE é mais fácil de ser usada, por oferecer uma visão clara para os usuários. Porém é uma interface “pesada”, que não é recomendada para computadores com pouca memória RAM. Já o Fluxbox é bem mais leve que o KDE, porém não possui a mesma facilidade de manipulação. A escolha do ambiente gráfico pode ser realizada através da tela de boot do sistema. (GUGIK, 2012). Backtrack é iniciado em modo texto, sendo assim para iniciar a interface gráfica basta digitar o comando “startx”. Na Figura 4 podemos observar como é a interface inicial do BackTrack, no modo texto. 38 Figura 4 - Tela inicial, modo texto, do BackTrack Fonte: MAYAN (2011). Na versão 5R3 do BackTrack as ferramentas são dividas nas seguintes categorias: Coleta de Informações Inventário de vulnerabilidades Ferramentas de exploração Escalonamento de privilégios Acesso à manutenção 39 Engenharia reversa Ferramentas de Radio-Frequency IDentification (RFID) Penetração Forense Ferramentas de relatório Serviços Diversos A figura abaixo mostra como é feita a estrutura das ferramentas nesta distribuição. Figura 5 - Visualização da Estrutura das Ferramentas do BackTrack 5 R3 Fonte: Autoria própria. 40 A categoria “Forense” contém cerca de 60 ferramentas que estão sub-dividas de acordo com as suas funcionalidades, como podemos observar na tabela abaixo: Tabela 1 – Ferramentas inclusas no BackTrack versus Quantidade FERRAMENTAS Anti-Virus Forensics Tools QTD. APROX. DE FERRAMENTAS 2 Digital Anti Forensics 1 Digital Forensics 3 Forensic Analysis Tools 11 Forensic Carving Tools 9 Forensic Hashing Tools 6 Forensic Imaging Tools 4 Forensic Suites 5 Network Forensics 8 Password Forensics Tools 3 PDF Forensics Tools 3 RAM Forensics Tools 5 Fonte: Autoria própria Como já foi dito anteriormente, um processo de investigação deve garantir a integridade e autenticidade das informações coletadas. Para isso, BackTrack permite um modo, chamado forense, que inicia o computador sem um disco swap e outras configurações de memória, o que vai gerar uma garantia de que o sistema operacional não altere os dados durante a análise. (STANGER, 2011). Podemos visualizar os modos de inicialização disponíveis nesta distribuição na figura a seguir. 41 Figura 6 - Opções de inicialização para o BackTrack 5 Fonte: STANGER, (2011, p. 73). BackTrack também apresenta um ponto forte em relação a capacidade de realizar testes em redes sem fio, através do aplicativo aircrack-ng. É um aplicativo que rapidamente pode quebrar uma rede 802.11 baseada em criptografia Wired Equivalent Privacy (WEP) ou Wireless Application Protocol (WAP). Outro recurso que chama a atenção em Backtrack é o modo invisível, na qual não gerado o tráfego de rede típico de um sistema que está sendo iniciado, ou seja, ele inicia sem se anunciar na rede. Assim não será possível localizá-lo usando um rastreador de rede. (STANGER, 2011). Sobre a questão de atualizações, Stanger (2011, p. 76) explica que: Ao longo dos anos, percebi que os mantenedores do BackTrack são bem rígidos no que diz respeito a versões. Eles não suportam versões antigas e tentam manter a melhor e mais recente. Ainda 42 assim, na minha situação, muitos clientes querem ficar com a versão já instalada, pois perceberam que funciona. Atualmente BackTrack se encontra na versão 5 R3 e pode ser baixado através do site da distribuição: http://www.backtrack-linux.org/, onde também é possível encontrar mais informações. 3.2.2 CAINE CAINE é uma distribuição GNU/Linux italiana que foi criada a partir de um projeto de tese de graduação de Giancarlo Giustini, porém atualmente o projeto CAINE é mantido por Nanni Bassetti. (CAINE, acesso em 11 de dez. de 2013) CAINE oferece um ambiente forense completo, foi desenvolvido para integrar ferramentas de software existentes e fornecer uma interface gráfica amigável. Os principais objetivos do projeto CAINE é oferecer (CAINE, acesso em 11 de dez. de 2013): Um ambiente interoperável que auxilie o investigador digital durante as quatro fases da investigação digital; Uma interface gráfica amigável; Uma compilação semi-automática do relatório final. Um fato interessante é que seu desenvolvedor disponibilizou para download quatro formatos diferentes da distribuição, que permite utilizá-la em diferentes ambientes. São eles (VIEIRA, 2011): 43 Máquina virtual (VM): o investigador pode executar a distribuição pelo VirtualBox, por exemplo, diretamente. Live-CD: as ferramentas podem ser executadas como um Live-CD ou instalá-lo em uma máquina. Caine Portable – NBCaine: permite a execução direta da distribuição pelo pendrive, ou outro dispositivo USB. Caine-From-Deb: caso o usuário tenha uma máquina com o Ubuntu, a partir da versão 10.04, rodando, este pacote permite instalar as principais ferramentas do CAINE, transformando esta máquina em uma estação de investigação forense. A interface gráfica é baseada no Gnome. Mas o foco ficou com a interface principal que está acessível através menu “Caine Interface”. (RODRIGUES, 2009). Na figura abaixo podemos visualizar a estrutura desta interface principal. Figura 7 - Caine Interface Fonte: Autoria própria. 44 Vieira (2011) explica que nesta interface é: [...] onde as principais ferramentas para uma investigação básica estão reunidas, separadas em categorias e que permitem a criação de um relatório automatizado a partir dos dados adquiridos em sua utilização. CAINE possui diversas de ferramentas voltadas para a forense computacional e uma boa automatização de processos, inclusive o de geração de relatórios finais. (TACIO, 2011). Na Figura 8 é possível visualizar algumas dessas ferramentas. Figura 8 - Menu de ferramentas forense do CAINE 4.0 Fonte: Autoria própria. 45 Nesta distribuição as ferramentas não estão divididas de acordo com as fases de uma investigação, estão divididas da seguinte maneira: Tabela 2 – Categorias das ferramentas inclusas no CAINE versus Quantidade Mobile Forensics QTD. APROX. DE FERRAMENTAS 3 Network forensics 6 Caine Interface 13 + 18 Ferramentas 18 CATEGORIA Fonte: Autoria própria Existem mais ferramentas que, também, podem ser utilizadas em sistemas Windows através do WinTaylor, que é uma interface forense construída para Windows e está inclusa no Live-CD do CAINE. WinTaylor herda a filosofia de design do CAINE, proporciona um conjunto interno de programas forenses bastante conhecidos e, também, uma integração simples e completa de software forense. Durante a execução do WinTaylor o código fonte do programa é disponibilizado, para garantir a transparência das operações realizadas. Este código é visível e editável, assim beneficia os desenvolvedores e preserva os bons padrões dos softwares forenses de fonte aberta (Open Source). (CAINE, acesso em 11 de dez. de 2013). A figura abaixo mostra como é a tela principal do WinTaylor. 46 Figura 9 - Tela do WinTaylor Fonte: CAINE – WINTAYLOR (2012). WinTaylor possui as seguintes características (CAINE, acesso em 11 de dez. de 2013): Ferramentas de criação de relatórios; Estrutura de guias, o que proporciona um esquema lógico para o processo de investigação. Ferramentas de linha de comando; Ferramentas Sysinternals atualizadas; 47 Ferramenta versátil de hashing; Ferramenta de captura de tela. CAINE é uma distribuição que recebe atualizações frequente e atualmente se encontra na versão 4.0, e pode ser baixada através do site: http://www.Cainelive.net/page5/page5.html, onde também é possível encontrar mais detalhes, como por exemplo, a lista de ferramentas contidas na distribuição. 3.2.3 DEFT Linux DEFT é uma distribuição Linux Live-CD, baseada no Ubuntu, que tem como objetivo de disponibilizar ferramentas voltadas para a forense computacional, repostas a incidentes, cyber inteligência e que tem como padrão a interface gráfica Lightweight X11 Desktop Environment (LXDE). (NEVES, 2012). Através da Figura 10 é possível visualizar como é área de trabalho desta distribuição. 48 Figura 10 - Desktop DEFT 7.2 Fonte: Autoria própria. O diferencial do DEFT é que ele apresenta um ambiente agradável, fácil de utilizar e interpretar, a fim de facilitar o seu manuseio e de suas ferramentas. (TACIO, 2011). Com já vimos anteriormente, um software é considerado adequado para a atividade de perícia digital se assegurar que os dados não sejam alterados e fornecer meios para garantir a preservação das informações adquiridas. No DEFT, para esta finalidade, foram implementadas algumas características para evitar que alterações possam ocorrer, por exemplo, na inicialização, não se utiliza a partição swap no sistema submetido à análise. (FRATEPIETRO et al, 2009). 49 DEFT inclui um excelente sistema de detecção de hardware e as melhores aplicações de código aberto voltadas para as atividades de forense computacional. Através do utilitário log2timeline, que é um framework na qual oferece uma única ferramenta para análise de arquivos de log e elementos suspeitos que são encontrados nos sistemas, é possível criar uma linha do tempo que pode ser analisada pelos investigadores. (UNDER LINUX, 2011). A figura seguinte mostra a estrutura de organização do menu e algumas ferramentas disponíveis. Figura 11 - Ferramentas DEFT 7.2 Fonte: Autoria própria. 50 Como podemos observar na figura acima, nesta distribuição as ferramentas estão dividas da seguinte maneira: Tabela 3 – Categorias das ferramentas inclusas no DEFT versus Quantidade CATEGORIA Analisys tools QTD. APROX. DE FERRAMENTAS 30 Antimalware tools 4 Carving tools 5 Hashing tools 9 Imaging tools 6 Moblie Forensics 6 Network Forensics 3 OSINT tools 29 Password Recovery 7 Reporting Tools 7 + 5 Ferramentas 5 Fonte: Autoria própria. Desde a versão 6, ferramentas voltadas para o sistema Windows, na qual não exista uma equivalente para Linux, foram integradas e emuladas diretamente no DEFT Linux. É possível acessar estas ferramentas, através do DART que é um aplicativo na qual reúne softwares voltados para a atividade forense e respostas à incidentes. Este aplicativo pode ser executado através do software Wine. (FRATEPIETRO et al, 2009). A seguir, podemos visualizar a tela desse aplicativo através da figura. 51 Figura 12 - Tela DART 2.0 Fonte: Autoria própria. DEFT recebe atualizações constantes e a versão 7.2 foi a última a ser produzida para ambientes de 32bits. (NEVES, 2012). Atualmente a distribuição se encontra na versão 8, exclusiva para ambientes de 64 bits, e pode ser baixada através do site: http://www.deftlinux.net/download/, onde também é possível encontrar maiores informações desta ferramenta, inclusive baixar o manual do DEFT. 52 3.2.4 FDTK FDTK é uma distribuição Linux que foi criada por Paulo Neukamp durante a elaboração do seu trabalho de conclusão do curso de Segurança da Informação da Unisinos, no ano de 2007. No ano seguinte a FDTK foi escolhida pela Unisinos para ser utilizada na disciplina de Forense Computacional. No mesmo período de sua criação, FDTK foi disponibilizada para a comunidade, e desde então vem sendo utilizada em vários cursos e por profissionais da área como uma opção aos altos custos e pelo potencial didático que essa ferramenta apresenta. É uma distribuição portada para o Português do Brasil, baseada em Ubuntu, focada em forense computacional e que utiliza o ambiente gráfico GNOME. (FAGUNDES et al, 2011). O projeto FDTK inicialmente foi criado com o objetivo de auxiliar o ensino na disciplina de Forense Computacional. Sendo assim, o projeto reuniu as ferramentas open source mais utilizadas por profissionais. FDTK é fruto do estudo de dez distribuições Linux, voltadas para a Forense Computacional, são elas: DEFT, BackTrack, INSERT, FCCU, Helix, Operator, Professional Hacker’s Linux Assault Kit (PHLAK), L.A.S. Linux, nUbuntu e Knoppix-STD. Foi reunindo as qualidades de cada uma dessas distribuições, que FDTK foi composta. (FAGUNDES et al, 2011). A Figura 13 exibe como é a área de trabalho desta distribuição. 53 Figura 13 - Desktop FDTK 3.0 Fonte: Autoria própria. FDTK possui uma grande variedade de ferramentas voltadas para a forense que podem ajudar o investigador em todos os passos de uma investigação forense, desde a criação da imagem de um disco e coleta de dados, até a criação de relatórios dos dados obtidos durante a perícia. (TACIO, 2011). É uma distribuição formada por mais de 100 ferramentas, que são divididas em três etapas: coleta, exame e análise das evidências. Ao inserir esta estrutura no âmbito educacional, permite que o aluno possa visualizar toda teoria apresentada, assim como a sua integração com a prática. E nenhuma das distribuições estudadas apresentou esta facilidade de acesso às ferramentas disponíveis. (FAGUNDES et al, 2011). Através da figura abaixo conseguimos observar como está organizada a estrutura das ferramentas. 54 Figura 14 - Estrutura Ferramentas FDTK Fonte: Autoria própria. Como vimos anteriormente, no FDTK as ferramentas estão distribuídas da seguinte forma: Tabela 4 – Categorias das ferramentas inclusas no FDTK versus Quantidade Coleta dos Dados QTD. APROX. DE FERRAMENTAS 24 Exame dos Dados 84 Análise das Evidências 16 Toolkits 2 CATEGORIA Fonte: Autoria própria. 55 Uma ferramenta que está presente na FDTK, é a ophcrack que capaz de revelar senhas de sistemas Windows. Mas talvez a principal vantagem dessa distribuição, é quando as ferramentas são executadas pelo terminal. Depois de abrir o terminal são mostradas informações de auxilio, como opções de comando e descrições da ferramenta, em português. Dessa forma qualquer usuário pode entender como a ferramenta funciona e como ele pode usá-la, até mesmo um usuário leigo. Na Figura 15 podemos observar algumas dessas informações, neste caso sobre a ferramenta md5sum que checa e lê MessageDigest algorithm 5 (MD5). (TACIO, 2011). Figura 15 - Informações sobre a ferramenta md5su Fonte: TACIO (2011). 56 A versão 2.0 da FDTK trouxe algumas novidades para a distribuição, uma nova interface e várias alterações foram feitas. Entre essas alterações pode-se destacar (NEUKAMP, 2008): Não utiliza SWAP; Não monta automaticamente as unidades de disco encontradas; Menus totalmente reescritos; Remoção do pyFLAG (incompatibilidade). Algumas dessas alterações são essenciais para garantir a integridade dos dados durante uma investigação. Alex Sandro Weyer, afirma que: Essa distribuição está em constante desenvolvimento e caracterizase não apenas pela quantidade de ferramentas, mas também por uma interface amigável, estruturada conforme as etapas do processo de perícia e, ainda pela preocupação com o idioma português. (2011, p. 9). Atualmente a distribuição FDTK se encontra na versão 3.0 e pode se baixada através do site da distribuição: http://fdtk.com.br/www/, que também contem maiores informações. 3.2.5 PeriBr PeriBr é um Live-CD de perícia digital que foi desenvolvido como trabalho de pós-graduação em perícia digital da Universidade Católica de Brasília, em 57 2009. É uma distribuição baseada no Ubuntu e com a interface gráfica Gnome. Suas principais características são (COSTA, 2012): Apresentas as ferramentas PyFlag, PTK , Autopsy, Guymager e Dhash; O menu é formado por categorias, de acordo com as fases de uma investigação; O menu USP foi introduzido e traduzido para o português do Brasil; Scripts foram criados para cada uma das ferramentas, que exibem informações sobre as mesmas; Não realiza a montagem automática de dispositivos, e quando faz fica em read-only por padrão. Na figura seguinte podemos visualizar como está organizada a área de trabalho desta distribuição. 58 Figura 16 - Desktop PeriBr Fonte: RODRIGUES (2009). PeriBr apresenta várias ferramentas forenses. São mais de 170 ferramentas destinadas para coleta, exame e análise de dados, e como já foi dito, o menu está categorizado nas etapas de uma investigação (RAMOS et al, 2009). Existe, praticamente, uma entrada para cada utilitário forense. Além de o menu separar as funcionalidades por grupo, ele também fornece um “tip” que indica a funcionalidade da ferramenta. Outra característica dessa distribuição, é que o boot tem a opção de iniciar pelo modo texto ou pelo modo gráfico, como mostra a Figura 17. (RODRIGUES, 2009). 59 Figura 17 - Opções de Inicialização do PeriBr Fonte: PERIBR (2012). PeriBr apresenta uma diferença básica quando comparado com a distribuição FDTK, é o toolkit PyFlag, que na versão atual do FDTK não está funcionando devido a problemas de incompatibilidade, o toolkit PTK e mais algumas ferramentas que não se encontram no FDTK. Porém a distribuição FDTK foi usada como base para o desenvolvimento do Peribr, assim como o DEFT, Helix, BackTrack, FCCU e o Caine. A ideia de dividir o menu por etapas, foi baseada no trabalho do Aderbal e Neukamp, criadores do FDTK. (AUGUSTUS, 2009). Na figura abaixo conseguimos visualizar essa estrutura do menu. 60 Figura 18 - Tela principal do PeriBr Fonte: PERIBR (2012). Como podemos observar na figura acima, nesta distribuição as ferramentas estão divididas da seguinte maneira: Tabela 5 – Categorias das ferramentas inclusas no PeriBr versus Quantidade Coleta dos Dados QTD. APROX. DE FERRAMENTAS 52 Exame dos Dados 113 CATEGORIA Análise de Evidências 8 Toolkits 3 Fonte: Autoria própria. 61 Segundo Marcel Augustus (2009): O objetivo final era criar uma distribuição com as ferramentas que o perito deseja ter. Mostrar que isso não era uma tarefa impossível, e passar um caminho a ser seguido aos que desejam criar seu próprio conjunto de ferramentas. Talvez um dos pontos negativos desta distribuição é que só existe a versão 1.0 até o momento, e pode ser baixada através do site http://sourceforge.net/projects/peribr/files/. 3.3 FERRAMENTAS PROPRIETÁRIAS X FERRAMENTAS LIVRES No mercado existem várias ferramentas proprietárias voltadas para a análise forense, porém com o custo muito elevado. Existem também as ferramentas livres, como vimos anteriormente, que são disponibilizadas de forma gratuita pela internet. (POPOLIN, 2011). Mas antes de destacar as vantagens e desvantagens dessas ferramentas, vamos abordar os requisitos que as mesmas devem apresentar para que as evidências possam ser utilizadas em juízo. Para que a evidência possa ser admitida em um tribunal ela deve ser relevante e confiável. A confiabilidade das evidências é determinada pelo juiz (em oposição a um júri) em um pré-julgamento chamado de Daubert Hearing. A responsabilidade do juiz nesse pré-julgamento é determinar se a metodologia e as técnicas utilizadas para identificar as evidências serão aceitas, ou seja, determinar se a evidência é confiável. O processo Daubert aborda quatro categorias que são usadas para avaliar um procedimento (CARRIER, 2002, p.3): Teste: o procedimento foi testado? 62 Taxa de erro: existe uma taxa de erro no procedimento? Publicação: será que o procedimento foi publicado e revisado? Aceitação: o procedimento é aceito na comunidade científica, relevante? Usando as diretrizes do teste Daubert, Carrier (2002, p.9) conclui que as ferramentas de código aberto aderem de forma mais clara e abrangente aos requisitos desse teste do que as ferramentas proprietárias. As ferramentas de código aberto, baseadas em GNU/Linux, estão entre as preferidas para investigação forense, as fatos que contribuem para isso são (VIOTTI, 2005, p.78): O sistema operacional está disponível para várias plataformas de hardware; Rápido desenvolvimento, proporcionado pelas contribuições da comunidade adepta ao software livre; Garantia de que o projeto não vai acabar, pois qualquer um com conhecimento específico pode continuar o projeto; Existe uma grande quantidade de ferramentas de código aberto voltadas para forense computacional. Outro ponto abordado está relacionado à questão de modificações no software. Mancilha (2011, p. 22) afirma que: Quando um software é criado nem sempre atende completamente às necessidades dos usuários, com isto programadores procuram desenvolver soluções para resolver estes problemas, no entanto, quando o software é proprietário, modificações só podem ser feitas pelo proprietário ou com sua permissão. 63 Ferramentas de código aberto podem ter um benefício legal sobre as ferramentas proprietárias, pois elas têm o procedimento documentado, isto permite ao investigador verificar se a ferramenta faz o que realmente afirma (CARRIER, acesso em 05 de fev. 2014). Mas é importante destacar que as ferramentas de código fechado apresentam vários benefícios, porém com um custo elevado. 64 4 AVALIAÇÃO DAS DISTRIBUIÇÕES LIVRES 4.1 DEFINIÇÃO DOS CRITÉRIOS Quando um usuário utiliza uma distribuição Linux pela primeira vez, é coerente que ele não saiba quais critérios deverá definir para avaliar a distribuição. Sendo assim surge a necessidade de uma proposta para a criação de um conjunto básico de requisitos para que este novo usuário saiba escolher a melhor distribuição (CAMPOS, acesso em 06 de outubro de 2014). Partindo desse pressuposto, para definição dos critérios de avaliação das distribuições, utilizados neste trabalho, levamos em consideração algumas características relevantes que podem auxiliar os peritos, principalmente na questão da manutenção das distribuições. Ao buscarmos fontes para este trabalho nos deparamos com certas dificuldades de confiabilidade e integridade das informações disponíveis, e esta situação foi crucial para a definição dos critérios adotados, cujo foco visa apoiar os peritos na tomada de decisão na hora de escolher qual ferramenta utilizar nos processos de investigação. Sendo assim, definimos os seguintes critérios de avaliação: Maturidade da distribuição: neste critério consideramos o tempo na qual cada distribuição está no “mercado”. Número de ferramentas/Tipos de ferramentas: neste critério consideramos a como as ferramentas estão estruturadas e a quantidade em cada distribuição. Qualidade dos Fóruns: neste critério consideramos a qualidade, confiabilidade e rapidez nos questionamentos feitos nos fóruns de cada distribuição. 65 Frequência de atualização: neste critério consideremos a quantidade de versões que surgiram ao longo do tempo. 4.2 JUSTIFICATIVAS PARA AS NOTAS 4.2.1 Critério 1: Maturidade da Distribuição Considerando quanto tempo cada distribuição existe pontuamos as distribuições analisadas de acordo com a disposição abaixo: Tabela 6 - Critério 1: Maturidade da Distribuição Critério 1: Maturidade da Distribuição Nota Distribuição Tempo 4 BACKTRACK Sete anos e cinco meses 4 DEFT Seis anos e dez meses 4 FDTK Seis anos e quatro meses 3 CAINE Quatro anos e um mês 3 PERIBR Quatro anos Fonte: Autoria própria. As distribuições BACKTRACK, DEFT e FDTK ficaram com a mesma classificação já que tem pequena diferença de tempo no mercado. Igualamos as distribuições CAINE e PERIBR utilizando o mesmo critério anterior. 66 4.2.2 Critério 2: Número de ferramentas / Tipos de ferramentas FDTK (Nota 5): na distribuição FDTK as ferramentas estão dividas de acordo com as fases do processo de uma investigação, também possui sub-menus, para cada etapa específica, o que facilita o acesso a cada uma de acordo com a sua funcionalidade específica, além de contar com um texto de autoajuda que informa um pequeno resumo sobre o que tal ferramenta faz, quando o ponteiro do mouse fica sobre o nome da ferramenta e ser uma distribuição brasileira. FDTK possui cerca 126 ferramentas voltadas para a perícia forense. Com isso, achamos que a distribuição possui um número de ferramentas / tipos de ferramentas ótimos. PERIBR (Nota 5): nesta distribuição as ferramentas estão dividas de acordo com as fases do processo de uma investigação, além disso, exibe no final uma lista com todas as ferramentas disponíveis para aquela etapa da investigação. PERIBR também possui sub-menus, dentro das etapas, e uma quantidade de 176 ferramentas voltadas para a perícia forense. Assim como na FDTK, achamos que a distribuição possui um número de ferramentas / tipos de ferramentas ótimos. DEFT (Nota 4): é uma distribuição na qual a divisão das ferramentas não é feita de acordo com as fases de uma investigação, mas algumas estão dividas por categorias facilitando o manuseio das mesmas. DEFT possui cerca de 111 ferramentas, além disso também conta com uma quantidade de 95 ferramentas incluídas no DART, um aplicativo que reúne softwares voltados para a atividade forense e respostas a incidentes voltados para Windows. Sendo assim, esta distribuição possui um número de ferramentas / tipos de ferramentas bons. BACKTRACK (Nota 3): BACKTRACK possui mais de 300 ferramentas para análise e testes de vulnerabilidades. As ferramentas estão divididas em 67 categorias. Na categoria “Forensics” desta distribuição estão incluídas cerca de 60 ferramentas, que são dividas de acordo com as suas funcionalidades. Porém as ferramentas não estão divididas de acordo com as etapas de um processo de investigação, o que talvez possa ser um ponto negativo na questão de agilidade em uma investigação. Sendo assim, achamos que tem um número de ferramentas / tipos de ferramentas regulares. CAINE (Nota 3): a distribuição CAINE possui um menu, “Forensic Tools”, onde estão reunidas algumas ferramentas voltadas para a forense, sendo 40 ferramentas. CAINE também possui uma interface forense construída para Windows que fornece um conjunto de ferramentas forenses, cerca de 17 Ferramentas, além de existir mais utilidades atrás do botão "More Tools". Porém, as ferramentas nesta distribuição também não estão divididas de acordo com as etapas de um processo de investigação, mas possui um número de ferramentas / tipos de ferramentas regulares. 4.2.3 Critério 3: Qualidade dos fóruns CAINE (Nota 5): a distribuição CAINE recebeu esta nota, neste critério, pois consideramos o fórum disponibilizado de muito boa qualidade. A resposta foi rápida e de qualidade por ter suprido a nossa pergunta, e foi respondida pelo gerente do projeto CAINE. Com isso, achamos o fórum de ótima qualidade. FDTK (Nota 5): a distribuição FDTK recebeu esta nota, neste critério, pois mesmo que a pergunta foi respondia 3 dias depois de ser postada no fórum disponibilizado, foi respondida pelo próprio criador da distribuição e de qualidade por ter sido uma resposta clara e objetiva. Em nossa opinião, um fórum de ótima qualidade. 68 BACKTRACK (Nota 2): a distribuição BACKTRACK recebeu esta nota, neste critério, pois no site oficial da distribuição não foi possível realizar o cadastro no fórum e em um site brasileiro, que disponibiliza algumas informações relativas a esta distribuição, não obtivemos nenhuma resposta à pergunta postada no fórum. Só obtivemos uma resposta em um site que aborda várias discussões, inclusive um fórum da distribuição BACKTRACK, porém não foi muito boa. Mas de maneira generalizada, um fórum de qualidade regular. PERIBR (Nota 2): a distribuição PERIBR recebeu esta nota, neste critério, pois conseguimos realizar o cadastro e postar um pergunta no fórum disponibilizado, porém até a data de hoje não obtivemos nenhuma resposta à pergunta postada. Sendo assim, podemos considerar um fórum de qualidade regular. DEFT (Nota 1): a distribuição DEFT recebeu esta nota, neste critério, pois conseguimos realizar o cadastro no fórum, porém até a data de hoje não obtivemos a ativação da conta pelo administrador, que é necessária para postar alguma coisa no fórum disponibilizado no site oficial da distribuição. Por esse motivo consideramos o fórum de péssima qualidade. 4.2.4 Critério 4: Frequência de atualização Neste critério avaliamos as distribuições de acordo com a quantidade de versões que surgiram desde o primeiro lançamento de cada uma. Sendo assim, a distribuição das notas em nossa opinião se deu da seguinte maneira: 69 Tabela 7 - Critério 4: Frequência de Atualização Critério 4: Frequência de Atualização Nota Distribuição Quantidade de Versões 4 DEFT 16 versões 4 BACKTRACK 13 versões 3 CAINE 8 versões 3 FDTK 4 versões 2 PERIBR 1 versão Fonte: Autoria própria. 4.3 JUSTIFICATIVAS PARA OS PESOS Ao criarmos um conjunto de critérios, para avaliação das distribuições, podemos optar em atribuir pesos para os mesmos, a ideia é de que os critérios sejam objetivos e possam formar a preferência do usuário (CAMPOS, acesso em 06 de outubro de 2014). Com isso, nesta avaliação, acreditamos que todos os critérios, em conjunto, contribuem para o bom funcionamento de uma distribuição e por isso decidimos que todos os critérios terão o mesmo peso de avaliação. 4.4 AVALIAÇÃO DOS CRITÉRIOS A avaliação dos critérios se deu através da atribuição de notas e ficou da seguinte maneira: 70 Tabela 8 - Avaliação dos Critérios Avaliação das Distribuições Critérios FDTK Caine BackTrack DEFT PeriBR Maturidade da Distribuição Número de Ferramentas / Tipos de Ferramentas Qualidade dos Fóruns 4 3 4 4 3 5 3 3 4 5 5 5 2 1 2 Frequência de Atualização Total 3 3 4 4 2 17 14 13 13 12 OBS: Notas 1 a 5 de e Peso 1 LEGENDA 1 – Péssimo / 2 – Ruim / 3 – Regular / 4 – Bom / 5 - Ótimo Fonte: Autoria própria. Através do gráfico baixo, também podemos, visualizar o resultado desta avaliação. Gráfico 1 - Avaliação dos Critérios Fonte: Autoria própria. 71 5 CONSIDERAÇÕES FINAIS O crescimento acelerado da Internet trouxe como consequência o aumento dos crimes digitais. Com isso foram desenvolvidas diversas técnicas e ferramentas destinadas à investigação de crimes informáticos. Este trabalhou apresentou uma avaliação de cinco distribuições livres, voltadas para perícia forense (BACKTRACK, CAINE, DEFT, FDTK, PERIBR) que foram analisadas com a finalidade de mostrar qual se destacou melhor considerando a maturidade, número de ferramentas, qualidades nos fóruns e frequência de atualização de cada uma das distribuições. Durante o desenvolvimento deste trabalho percebemos que as distribuições analisadas oferecem um grande beneficio econômico por estarem disponíveis gratuitamente na internet. Ao longo do desenvolvimento, também, tivemos muita dificuldade em encontrar fontes confiáveis que pudessem fornecer informações concretas das distribuições. No resultado final desta avaliação concluímos que a melhor distribuição dentre as avaliadas foi a FDTK. A distribuição apresentou algumas características relevantes, que foram percebidas durante a avaliação, como por exemplo, pelo fato da FDTK oferecer uma estrutura que divide as ferramentas de acordo com as fases de um processo de investigação, na qual contribuíram para que essa distribuição obtivesse a melhor avaliação, além do fato de ser uma distribuição brasileira. O estudo da perícia forense e o desenvolvimento de ferramentas apropriadas devem ser constantes, pelo fato dos meios de comunicação continuar a crescer rapidamente e com isso a cada dia surgem novos tipos de ataques. 72 Sendo assim, um próximo passo deste trabalho seria a análise de novas distribuições e/ou avaliação de novas ferramentas que serão incluídas nas distribuições já estudadas. 73 REFERÊNCIAS ACCESSDATA – FTK. Disponível em: <http://accessdata.com/products/ computer-forensics/ftk>. Acesso em: 10 de dez. de 2013. ALENCASTRO, Bruno. Crimes virtuais têm crescimento de 600%. Disponível em: <http://www.correiodopovo.com.br/Impresso/?Ano=116& Numero=175&Caderno=0&Noticia=272013>. Acesso em: 09 de dez. de 2013. ARAUJO FILHO, J. M. Cybercrimes: porque confundir investigação criminal com perícia? Disponível em: <http://mariano.delegadodepolicia. com/cybercrimes-porque-confundir-investigacao-criminal-com-pericia/>. Acesso em: 09 de dez. de 2013. ASSUMPÇÃO, M. R. P. BackTrack é atualmente a melhor distribuição de Linux com foco em testes de penetração em sistemas (Pentesting). Disponível em: <http://www.tutorialgratis.com.br/linux/239-backtrack-eatualmente-a-melhor-distribuicao-de-linux-com-foco-em-testes-de-penetracaoem-sistemas-pentesting>. Acesso em: 10 de dez. de 2013. AUGUSTUS, Marcel. Distribuição PeriBR. Disponível em: <http://br.groups.yahoo.com/group/PericiaForense/message/17795>. Acesso em: 05 de fev. de 2014. BBC Brasil. Entenda as polêmicas sobre o Marco Civil da Internet. Disponível em: <http://www.bbc.co.uk/portuguese/noticias/2014/03/140219_ marco_civil_internet_mm.shtml>. Acesso em: 20 de jun. de 2014. BORGES, L., TAVARES, D. M. Um Ambiente Seguro de logs como Auxilio a Computação Forense. Disponível em: <ftp://ftp.registro.br/pub/gts/gts08/10logs-forense.pdf>. Acesso em: 09 de dez. de 2013. BRASIL. DECRETO-LEI N. 2.848, de 7 de Dezembro de 1940. CÓDIGO PENAL. Disponível em: <http://www6.senado.gov.br/legislacao/Lista Publicacoes.action?id=102343>. Acesso em: 09 de dez. de 2013. 74 BRASIL. DECRETO-LEI Nº 3.688, de 3 de Outubro de 1941. Lei das Contravenções Penais. Capítulo VII: Das Contravenções Relativas à Polícia de Costumes. Art. 50. Disponível em: <http://www.planalto.gov.br/ ccivil_03/decreto-lei/del3688.htm>. Acesso em: 09 dez. de 2013. BRASIL. Lei nº 7.716 de 05 de Janeiro de 1989. Art. 20 da Lei do Crime Racial – Lei 7716/89. Disponível em: <http://www.jusbrasil.com.br/legislacao/ anotada/2769125/art-20-da-lei-7716-89>. Acesso em: 09 de dez. de 2013. BRASIL. Lei nº 8.069 de 13 de Julho de 1990. Art. 247 do Estatuto da Criança e do Adolescente - Lei 8069/90. Disponível em: <http://www.jusbrasil.com.br/legislacao/anotada/2316520/art-247-do-estatutoda-crianca-e-do-adolescente-lei-8069-90>. Acesso em: 09 de dez. de 2013. BRASIL. Lei nº 12.735, de 30 de Novembro de 2012. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm>. Acesso em: 09 de dez. de 2013. BUSTAMANTE, Leonardo. Computação Forense - Preparando o ambiente de trabalho. Disponível em: <http://imasters.com.br/artigo/4335/gerencia-deti/computacao-forense-preparando-o-ambiente-de-trabalho>. Acesso em: 10 de dez. de 2013. BUSTAMANTE, Leonardo. Introdução à computação forense. Disponível em: <http://imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense/ >. Acesso em: 10 de dez. de 2013. CAINE. History of the Project. Disponível em: <http://www.caine-live.net/ page4/history.html>. Acesso em: 11 de dez. de 2013. CAINE. About the Project and Feedbacks. Disponível em: <http://www.cainelive.net/page4/page4.html>. Acesso em: 11 de dez. de 2013. CAINE. WinTaylor 1.5. Disponível em: <http://www.caine-live.net/ page2/ page2.html>. Acesso em: 11 de dez. de 2013. CAMARGO, Camila. O que é Software Livre? Disponível em: <http://www. tecmundo.com.br/linux/218-o-que-e-software-livre-.htm>. Acesso em: 03 de dez. de 2014. 75 CAMPOS, Augusto. Como escolher uma distribuição Linux. Disponível em: https://www.ibm.com/developerworks/community/blogs/752a690f-8e93-4948b7a3-c060117e8665/entry/como_escolher_uma_distribui_C3_A7_C3_A3o_ linux2?lang=en>. Acesso em: 06 de out. de 2014. CARRIER, Brian. Open Source Digital Forensics. Disponível em: <http://www2.opensourceforensics.org/home>. Acesso em: 05 de fev. de 2014. CARRIER, Brian. Open Source Digital Forensics Tools: The Legal Argument. Disponível em: <http://www.digital-evidence.org/papers/opensrc _legal.pdf>. Acesso em: 05 de fev. de 2014. CARTILHA DE SEGURANÇA PARA INTERNET. 2.1. O que são logs? Disponível em: <http://www.terra.com.br/informatica/especial/cartilha/ incidentes_2_1.htm>. Acesso em: 03 de dez. de 2014. CASSANTI, Moisés. Crimes pela internet: Novas leis reforçam a luta contra essas ações. Disponível em: <http://biblioo.info/crimes-pela-internet/>. Acesso em: 09 de dez. de 2013. CISNEIROS, Hugo. O que diabos é o swap no Linux? Disponível em: <http://www.devin.com.br/linux-swap/>. Acesso em: 03 de dez. de 2014 COLUNISTA PORTAL EDUCAÇÃO. Conceito e Requisitos de Laudo Pericial. Disponível em: <http://www.portaleducacao.com.br/direito/artigos/ 36321/conceito-e-requisitos-de-laudo-pericial>. Acesso em: 03 de dez. de 2014. CONGO, Mariana. Lei Carolina Dieckmann e Lei Azeredo entram em vigor hoje; saiba onde denunciar. Disponível em: <http://blogs.estadao.com.br/ radar-tecnologico/2013/04/02/lei-carolina-dieckmann-e-lei-azeredo-entram-emvigor-hoje-saiba-onde-denunciar/>. Acesso em: 10 de dez. de 2013. COSTA, Ricardo F. Caine e PeriBR: Ferramentas Forenses que permitem completo monitoramento do seu PC. Disponível em: <http://www.linuxdes complicado.com.br/2012/02/caine-e-peribr-ferramentas-forenses-que.html>. Acesso em: 30 de jan. de 2014. CUNHA, Fabiano. Dicionário Informal. Disponível em: <http://www.dicionario informal.com.br/framework/>. Acesso em: 03 de dez. de 2014. DEFT Linux. Disponível em: <http://www.deftlinux.net/about/>. Acesso em: 05 de fev. de 2014. 76 DICIONÁRIO MICHAELIS. Disponível em: <http://michaelis.uol.com.br/ moderno/portugues/definicao/evidencia%20_962730.html>. Acesso em: 03 de dez. de 2014. DICIONÁRIO MICHAELIS. Disponível em: <http://michaelis.uol.com.br/ moderno/ingles/index.php?lingua=ingles-portugues&palavra=hardware>. Acesso em: 03 de dez. de 2014. DICIONÁRIO PRIBERAM DA LÍNGUA PORTUGUESA. Disponível em: <http://www.priberam.pt/dlpo/delito>. Acesso em: 03 de dez. de 2014. DICIONÁRIO PRIBERAM DA LÍNGUA PORTUGUESA. Disponível em: <http://www.priberam.pt/dlpo/Software>. Acesso em: 03 de dez. de 2014. ELIAS, Marcos. O que é interface gráfica? Disponível em: <http://www. explorando. com.br/o-que-e-interface-grafica>. Acesso em: 03 de dez. de 2014. FAGUNDES, Leonardo. L., NEUKAMP, Paulo A., SILVA, Pamela. C. Ensino da Forense Digital Baseado em Ferramentas Open Source. Disponível em: <http://www.icofcs.org/2011/ICoFCS2011-PP10.pdf>. Acesso em: 30 de jan. de 2014. FARIA, Caroline. Método Científico. Disponível em: <http://www.infoescola. com/ciencias/metodo-cientifico/>. Acesso em: 03 de dez. de 2014. FRATEPIETRO, S., ROSSETTI, S., CHECCO, P. D. DEFT Manuale d’uso. Disponível em: <http://www.deftlinux.net/doc/ITA-deft7.pdf>. Acesso em: 30 de jan. de 2014. FREITAS, Andrey R. Perícia Forense Aplicada à Informática: Ambiente Microsoft. 1. ed. Rio de Janeiro: Brasport, 2006. G1. Suspeitos do roubo das fotos de Carolina Dieckmann são descobertos. Disponível em: <http://g1.globo.com/rio-de-janeiro/noticia/ 2012/05/suspeitos-do-roubo-das-fotos-de-carolina-dieckmann-sao-descobertos. html>. Acesso em: 10 de dez. de 2013. GONÇALVES, Eduardo C. Unicode: conceitos básicos. Disponível em: <http://www.devmedia.com.br/unicode-conceitos-basicos/25169>. Acesso em: 03 de dez. de 2014. 77 GUIDANCE SOFTWARE. About Guidance Software. Disponível em: <https://www.encase.com/about/Pages/about-guidance-software.aspx >. Acesso em: 10 dez. de 2013. GUGIK, Gabriel. BackTrack 5.4.2 - Distribuição destinada para testes de segurança em seu PC e em sua rede. Disponível em: <http://www.baixaki. com.br/linux/download/backtrack.htm>. Acesso em: 12 de dez. de 2013. GUIMARÃES, C. C., OLIVEIRA, F. S., REIS, M. A., GEUS, P. L. Forense Computacional: Aspectos Legais e Padronização. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2001-WSeg-flavio.oliveira-marcelo. reis-forense.pdf >. Acesso em: 09 de dez. de 2013. HOELZ, Bruno W. P. Estendendo as funcionalidades do FTK. Disponível em: <http://www.icofcs.org/2007/ICoFCS2007-pp14.pdf>. Acesso em: 12 de dez. de 2013. HOLPERIN, M., LEOBONS, R. Análise Forense - Ferramentas. Disponível em: <http://www.gta.ufrj.br/grad/07_1/forense/>. Acesso em: 10 de dez. de 2013. KENT, K., CHEVALIER, S., GRANCE, T., DANG, H. Guide to Integrating Forensic Techniques into Incident Response. Disponível em: <http:// cybersd.com/sec2/800-86Summary.pdf >. Acesso em: 10 de dez. de 2013. LISITA, B. L., MOURA, T. S. M., PINTO, T. J. Forense Computacional em Memória Principal. Disponível em: <http://www.forensetec.com.br/novo/ monografias/monografia-Thiagos-Brenno.pdf>. Acesso em: 09 de dez. de 2013. MAIA, R. Entrevista da Semana: Sandro Süffert Fala Sobre Ferramentas de Forense. Disponível em: <http://forensedigital.com.br/new/entrevista-dasemana-sandro-suffert-fala-sobre-ferramentas-de-forense/>. Acesso em: 11 de dez. de 2013. MANCILHA, J. D. Análise Forense em Ambiente Linux e Windows: uma Atualização Teórica. Disponível em: <http://fatecsjc.edu.br/trabalhos-degraduacao/wp-content/uploads/2012/04/Analise-Forense-em-Ambiente-Linux-eWindows.pdf>. Acesso em: 06 de fev. de 2014. MARTINS, Elaine. Cuidado com a engenharia social. Disponível em: <http:// www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-engenharia social.htm>. Acesso em: 11 de dez. de 2013. 78 MARTINS, Gustavo. O que é hash? Disponível em: <http://www.htmlstaff.org/ver.php?id=23966>. Acesso em: 03 de dez. de 2014. MAYAN, W. Instalação: BackTrack 5. Disponível em: <http://f1dicas.blogspot. com.br/2011/05/instalacao-backtrack-5.html>. Acesso em: 11 de dez. de 2013. MENDES, Priscilla. Senado aprova Marco Civil da Internet. Disponível em: <http://g1.globo.com/politica/noticia/2014/04/senado-aprova-marco-civil-dainternet.html>. Acesso em: 20 de jun. de 2014. MORAIS, A. BITTENCOURT, P. CLEMENTINO, J. C. Crimes Digitais e suas Implicações. Disponível em: <http://fgh.escoladenegocios.info/revistaalumni/ artigos/edEspecialMaio2012/vol2_noespecial_artigo_12.pdf>. Acessado em: 10 de dez. de 2013. NETO, M. Furlaneto, GUIMARÃES, J. A. Chaves. Crimes na Internet: elementos para uma reflexão sobre a ética informacional. Disponível em: <http://www2.cjf.jus.br/ojs2/index.php/revcej/article/viewFile/523/704>. Acesso em: 11 de dez. de 2013. NEUKAMP, Paulo. FDTK-UbuntuBr-V2. Disponível em: <http://pneukamp. blogspot.com.br/2008/11/fdtk-ubuntubr-v2.html>. Acesso em: 06 de fev. de 2014. NEUKAMP, Paulo A. Minicurso Forense Digital - UniInfo-2012. Disponível em: <http://www.fdtk.com.br/files/Minicurso_Forense-2012-1.pdf>. Acesso em: 12 de dez. de 2013. NEVES, Josan. DEFT Linux 7.2 lançada!. Disponível em: <http://caminhandolivre.wordpress.com/2012/10/25/deft-linux-7-2-lancadaoutubro-2012/>. Acesso em: 30 de jan. 2014. NEVES, Maria. Falta de lei sobre crimes digitais leva à impunidade, diz especialista. 2010. Disponível em: <http://www2.camara.gov.br/agencia/ noticias/CIENCIA-E-TECNOLOGIA/192143-FALTA-DE-LEI-SOBRE-CRIMESDIGITAIS-LEVA-A-IMPUNIDADE,-DIZ-ESPECIALISTA.html>. Acesso em: 11 de dez. de 2013. NOBLETT, M. G., POLLITT, M. M., PRESLEY, L. A. Recovering and Examining Computer Forensic Evidence. Disponível em: <http://www. fbi.gov/about-us/lab/forensic-science-communications/fsc/oct2000/computer. htm/>. Acesso em: 06 de fev. de 2014. 79 OLIVEIRA, Sabrina. V. Perícia Forense em Sistemas GNU/Linux. Disponível em: <http://www.multicast.com.br/sergio/arquivos/monografia-pos-segurancapericia-forense.pdf>. Acesso em: 11 de dez. de 2013. PELTIER, Justin. Forensic Toolkit v2.0. Disponível em: <http://www. scmagazine.com/forensic-toolkit-v20/review/2380/>. Acesso em: 09 de dez. de 2013. PEREIRA, E. D. V. Investigação Digital: conceitos, ferramentas e estudos de caso. Disponível em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-268766-Investigacao%20Digital.pdf>. Acesso em: 12 de dez. de 2013. PEREIRA, E., FAGUNDES, L., NEUKAMP, P., LUDWIG, G., KONRATH, M. Forense Computacional: fundamentos, tecnologias e desafios atuais. Disponível em: <http://www.dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ ceseg:2007-sbseg-mc1.pdf>. Acesso em: 12 de dez. de 2013. PEREIRA, Leonardo. 'Lei Carolina Dieckmann' entra em vigor; entenda o que muda. Disponível em: <http://olhardigital.uol.com.br/noticia/lei-carolinadieckmann-entra-em-vigor;-entenda-o-que-muda/33515>. Acesso em: 10 de dez. de 2013. PEREIRA, André L. O que é script? Disponível em: <http://www.tecmundo. com.br/programacao/1185-o-que-e-script-.htm>. Acesso em: 03 de dez. de 2014. PERIBR. Disponível em: <http://sourceforge.net/projects/peribr/>. Acesso em: 05 de fev de 2014. PIMENTA, Flávio A. Perícia forense computacional baseada em sistema operacional Windows XP Professional. Disponível em: <http://www.datasecurity.com.br/index.php/biblioteca/file/12-pericia-forensecomputacional-baseada-em-sistema-operacional-windows-xp-professional >. Acesso em: 12 de dez. de 2013. POPOLIN, J. G. Análise de Ferramentas para Computação Forense em Sistemas NTFS. Disponível em: <http://www.ginux.ufla.br/files/mono-Jose GeraldoPopolin_0.pdf>. Acesso em: 06 de fev. de 2014. QUE CONCEITO. Conceito de Software Proprietário. Disponível em: <http://queconceito.com.br/software-proprietario>. Acesso em: 03 de dez. de 2014. 80 RAMOS, A. D., SATURNINO, A. T., FERREIRA, P. H. A. 3AP.BR – Um novo conceito de Live CD para Forense Computacional. Disponível em: <http://www.forensetec.com.br/novo/monografias/monografia-allder-andrepedro.pdf>. Acesso em: 06 de fev. de 2014. RODRIGUES, Tony. Caine 0.4. Disponível em: <http://forcomp.blogspot.com. br/2009_01_01_archive.html>. Acesso em: 12 de dez. de 2013. RODRIGUES, Tony. Computação Forense 0800. Disponível em: <http://www.slideshare.net/tonyrodrigues/computacaoforense0800tonyrodriguesv1>. Acesso em: 12 de dez. de 2013. RODRIGUES, Tony. PeriBr. Disponível em: <http://forcomp.blogspot.com.br/ 2009/12/peribr.html>. Acesso em: 06 de fev. de 2014. ROHR, Altieres. Pacotão de segurança: computação forense e proteção total do PC. Disponível em: <http://g1.globo.com/tecnologia/noticia/2011/07/ pacotao-de-seguranca-computacao-forense-e-protecao-total-do-pc.html>. Acesso em: 10 de dez. de 2013. ROSSINI, A. E. S. Caderno Jurídico da Escola Superior do Ministério Público do Estado de São Paulo Ano 2 - Vol 1- n.º 4 - Julho/2002: Brevíssimas Considerações sobre Delitos Informáticos. Disponível em: <http://www.esmp.sp.gov.br/publicacoes/caderno_4.pdf>. Acesso em: 12 de dez. de 2013. STANGER, James. Investigação de Rede com BackTrack. Disponível em: <http://www.linuxnewmedia.com.br/images/uploads/pdf_aberto/LM_81_72_77_ 06_tut-investiguesuarede.pdf>. Acesso em: 11 de dez. de 2013. SUDRÉ, Gilberto. Perícia Computacional Forense. Disponível em: <http://revista.espiritolivre.org/iiforumrel/wp-content/uploads/2012/06/Gilberto Sudre_PericiaComputacionalForense_II-ForumREL.pdf>. Acesso em: 06 de fev. 2014. TABORDA, Cauã. Crimes digitais já afetaram 2/3 do mundo. Disponível em: <http://info.abril.com.br/noticias/seguranca/crimes-digitais-ja-afetaram-2-3-domundo-08092010-6.shl>. Acesso em: 09 de dez. de 2013. TACIO, Paulo. Linux Forense em Português – Brasil. Disponível em: <http://www.mundodoshackers.com.br/linux-forense-em-portugues-brasil>. Acesso em: 29 de jan. de 2014. 81 TACIO, Paulo. Mais um Sistema Forense – DEFT. Disponível em: <http://www.mundodoshackers.com.br/mais-um-sistema-forense-deft>. Acesso em: 29 de jan. de 2014. TACIO, Paulo. [ATUALIZAÇÃO] CAINE 2.5.1 SUPERNOVA. Disponível em: <http://www.mundodoshackers.com.br/atualizacao-caine-2-5-1-supernova>. Acesso em: 12 de dez. de 2013. TACIO, Paulo. COMO GERAR E CHECAR HASHS MD5. Disponível em: <http://www.mundodoshackers.com.br/como-gerar-e-checar-hashs-md5>. Acesso em: 03 de dez. de 2014. TACIO, Paulo. LISTA DE DISPOSITIVOS PARA PENTEST. Disponível em: <http://www.mundodoshackers.com.br/lista-de-dispositivos-para-pentest>. Acesso em: 03 de dez. de 2014. UNDER LINUX. DEFT Linux 6.1.1 para Melhorar as Análises Forenses. Disponível em: <https://under-linux.org/content.php?r=3688>. Acesso em: 29 de jan. de 2014. VARGAS, Raffael. Perícia Forense Computacional – Ferramentas Periciais. Disponível em: <http://imasters.com.br/artigo/6485/gerencia-de-ti/periciaforense-computacional-ferramentas-periciais>. Acesso em: 09 de dez. de 2013. VIEIRA, Luiz. CAINE - Computer Aided INvestigative Environment. Disponível em: <http://www.vivaolinux.com.br/artigo/Distribuicao-CAINE-Linuxpara-forense-digital-em-LiveCD-pendrive-maquina-virtual-ou-direto-em-seuUbuntu-10.04>. Acesso em: 12 de dez. de 2013. VIEIRA, Luiz. Forense Computacional com Software Livre. Disponível em: <http://forumsoftwarelivre.com.br/2011/arquivos/palestras/Forense%20Comput acional%20com%20Software%20Livre.pdf>. Acesso em: 11 de dez. de 2013. VIOTTI, Alberto. L. A. Possibilidades de Uso de Software Livre como Ferramentas de Análise em Investigações Digitais. Disponível em: <http://www.ginux.ufla.br/files/mono-AlbertoViotti.pdf>. Acesso em: 06 de fev. de 2014. WEBER, Claudio. Fechando o Cerco aos Criminosos da Internet Agora o Bicho Vai Pegar. Disponível em: <http://claudioweberreporter.blogspot.com. br/2010/08/fechando-o-cerco-aos-criminosos-da.html?zx=e9b268a918e341a1>. Acesso em: 11 de dez. de 2013. 82 WEYER, Alex Sandro. Perícia Computacional – Ferramentas, Técnicas Disponíveis e Estudo de Caso. Disponível em: <http://www.ulbra.inf.br/ joomla/images/documentos/TCCs/2011_02/PROJETO_RC_ALEX_SANDRO_ WEYER.pdf>. Acesso em: 30 de jan. de 2014. WIKIPÉDIA. Toolkit. Disponível em: <http://pt.wikipedia.org/wiki/Toolkit>. Acesso em: 03 de dez. de 2014. 83 GLOSSÁRIO D Delito: “Infração à lei, ao dever; crime; culpa.” (DICIONÁRIO PRIBERAM DA LÍNGUA PORTUGUESA, acesso em 03 de dez. de 2014) E Engenharia Social: “engenharia social são as práticas utilizadas para se obter informações sigilosas ou importantes de empresas e sistemas, enganando e explorando a confiança das pessoas.” (MARTINS, 2008) Evidências: “Qualidade daquilo que é evidente, que é incontestável, que todos veem ou podem ver e verificar.” (DICIONÁRIO MICHAELIS, acesso em 03 de dez. de 2014) F Framework: “[...] um conjunto de classes implementadas em uma linguagem específica, usadas para auxiliar o desenvolvimento de software.” (CUNHA, 2010) H 84 Hardware: [...] conjunto de unidades físicas que compõem um computador ou seus periféricos. [...] (DICIONÁRIO MICHAELIS, acesso em 03 de dez. de 2014) Hash: é uma cadeia de dados simplificada (a partir de uma sequência maior) que serve para facilitar buscas e comparações, auxiliando a obtenção de informações dentro delas de forma mais rápida. (MARTINS, 2009) I Interface Gráfica: é um conceito da forma de interação entre o usuário do computador e um programa por meio de uma tela ou representação gráfica, visual, com desenhos, imagens, etc. Geralmente é entendido como a “tela” de um programa. (ELIAS, 2010) L Laudo pericial: “é uma peça técnica formal que apresenta o resultado de uma perícia. Nele deve ser relatado tudo o que fora objeto dos exames levado a efeito pelos peritos.” (COLUNISTA PORTAL EDUCAÇÃO, 2013) Log: “Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurança, eles normalmente são gerados por firewalls1 ou por sistemas de detecção de intrusão.” (CARTILHA DE SEGURANÇA PARA INTERNET, acesso em 03 de dez. de 2014) 85 M MD5: “é um algoritmo de hashs de 128bits [...], com ele é possível gerar uma hash de 32 caracteres independente do formato, nome ou tamanho do arquivo, [...].” (TACIO, 2012) Métodos Científicos: “maneira ou o conjunto de regras básicas empregadas em uma investigação científica com o intuito de obter resultados o mais confiáveis quanto for possível.” (FARIA, acesso em 03 de dez. de 2014) P Partição Swap: “[...]é a memória virtual (também é conhecido como área de troca). A memória virtual funciona como uma extensão da memória RAM, que fica armazenada no disco.[...]” (CISNEIROS, 2013) Pentest: “[...] significa teste de penetração (sem trocadilho) ou teste de invasão, aonde o hacker ou cracker faz diversos testes em uma rede ou em um sistema procurando por vulnerabilidades que possibilitem um ataque. [...]” (TACIO, 2011) S Scripts: “[...] são “roteiros” seguidos por sistemas computacionais e trazem informações que são processadas e transformadas em ações efetuadas por um programa principal. [...]” (PEREIRA, 2012) 86 Software: “Conjunto de programas, processos, regras e, eventualmente, documentação, relativos ao funcionamento de um conjunto de tratamento de informação.” (DICIONÁRIO PRIBERAM DA LÍNGUA PORTUGUESA, acesso em 03 de dez. de 2014) Software Livre: “qualquer programa que pode ser copiado, usado, modificado e redistribuído de acordo com as necessidades de cada usuário. [...]”. (CAMARGO, 2008) Software Proprietário: “[...] programas informáticos na qual o usuário não pode acessar o código fonte ou ter acesso restrito e, portanto, está limitado em suas possibilidades de uso, modificação e redistribuição.” (QUE CONCEITO, acesso em 03 de dez. de 2014) T Toolkit: “é um conjunto de widgets, elementos básicos de uma GUI. Normalmente são implementados como uma biblioteca de rotinas ou uma plataforma para aplicativos que auxiliam numa tarefa.” (WIKIPÉDIA, acesso em 03 de dez. de 2014) U Unicode: “[...] é um padrão adotado mundialmente que possibilita com que todos os caracteres de todas as linguagens escritas utilizadas no planeta possam ser representados em computadores.” (GONÇALVES, acesso em 03 de dez. de 2014)