Da terra dos moinhos - Linux Magazine Online

Eric Gevaert – Fotolia
Explorando a Open Computer Forensics Architecture
CAPA
Da terra dos moinhos
Automatize os processos de análise forense com a
arquitetura desenvolvida pela polícia holandesa.
por Ralf Spenneberg
O
crime digital costuma pôr a
polícia sob pressão. Ela não
tem o pessoal necessário para
coletar e analisar os grandes volumes de
provas digitais que geralmente acompanham investigações mais profundas.
Ao mesmo tempo, provas digitais estão
tornando-se progressivamente importantes – dados de telefones celulares
e computadores de suspeitos podem
fornecer provas circunstanciais e até
fatos reais. A polícia holandesa desenvolveu a Open Computer Forensics
Architecture (OCFA[1]) como uma
ferramenta de código aberto para investigadores criminais profissionais,
sendo que as autoridades holandesas
utilizam essa plataforma modular em
suas próprias investigações. A arquitetura da OCFA é uma combinação de
várias ferramentas e bibliotecas forenses
e divide o processo de análise em duas
partes. Primeiro, os especialistas com
conhecimento de análises forenses digitais extraem o conteúdo de discos
rígidos e outros dispositivos. Depois,
os investigadores criminais usam uma
interface web para analisar os dados
e buscar provas.
Há pacotes da OCFA 2.0.2 para várias distribuições, incluindo formatos
RPM e DEB. Nos arquivos compactados disponíveis para download, há
ainda pacotes extras e guias de instalação que descrevem os pacotes que
requerem instalação manual.
A versão 2.1.0 é a mais atual e somente seu código-fonte está disponível.
Os criadores da OCFA enxergam o
processo de análise como um tipo de
Arquivos
Hash
Desconhecido
Dados
Compactado
Desconhecido
Arquivo
Descompactado
Análise
manual
Análise
do texto
Documento do Office
Imagens
Indexação
Conhecido
Usuário
Figura 1 A OCFA analisa automaticamente a enchente de dados e a coloca à disposição dos investigadores.
44
lavagem digital de dados (Digiwash)
e, portanto, instalam as ferramentas
no diretório /usr/loca/digiwash/.
Um dos maiores obstáculos da
análise forense é o grande volume de
evidências. Os investigadores enfrentam a tarefa de identificar materiais
incriminatórios dentre centenas de
gigabytes de dados irrelevantes. Mas
pular arquivos e diretórios simplesmente porque seus nomes soam inofensivos não é uma solução plausível.
Muitas ferramentas forenses auxiliam
o investigador por meio de análises automáticas e caracterização de arquivos
identificados. O Digiwash leva essa
idéia um passo além, usando o utilitário file para identificar o tipo de
arquivo. Depois, ele segue analisando
automaticamente tipos específicos de
arquivos, economizando um pouco
do trabalho sujo para o investigador.
A OCFA usa o Lucene para indexar
arquivos do Microsoft Word e outros
documentos do MS Office. O texto
puro é extraído com o antiword. Arquivos PDF são convertidos com ajuda do
pdftotext, e o mailwash extrai arquivos e
metadados de caixas de email. Os desenvolvedores até criaram uma forma
de capturar as informações de chaveiros
PGP, mapeando as IDs das chaves de
emails assinados e criptografados a nomes em texto limpo. A OCFA também
agrupa fotos e gera miniaturas.
A plataforma disseca automaticamente arquivos zipados e analisa seu
http://www.linuxmagazine.com.br
OCFA | CAPA
conteúdo. Dessa forma, ela analisa
recursivamente todos os dados, colocando-os à disposição dos investigadores (figura 1).
Impressões digitais
Para reduzir o volume de dados a
serem analisados, os investigadores
forenses podem integrar bancos de
dados de hashes de arquivos conhecidos. Os bancos contêm checksums
MD5 ou SHA1 de arquivos que devem perfeitamente ser ignorados.
Por exemplo, todos os arquivos inalterados que pertençam ao sistema
operacional são irrelevantes, apesar
de os investigadores se interessarem
por qualquer modificação feita por
cavalos de tróia.
Bancos de dados de checksums
de arquivos conhecidos estão disponíveis para download gratuito
no National Institute for Standards
and Technology (NIST)[2]. Outras ferramentas forenses, como o
Autopsy[3], também se baseiam
na National Software Reference
Library (NSRL). A biblioteca está
disponível em formato zipado como
uma coleção de quatro imagens de
CD. Um script em Perl presente
no pacote da OCFA faz referência
aos arquivos ISO para calcular seus
próprios conjuntos de hashes, que
o administrador deve copiar em
seguida para o diretório digiwash/.
O processo de conversão leva algum tempo.
Arquitetura
O roteador é uma parte central da
arquitetura OCFA, pois é responsável pelo processamento recursivo de
arquivos, que ele analisa utilizando
softwares externos antes de retornar
para o processo de análise os arquivos que o processo encontrar (figura 2). Um relay anycast lida com as
comunicações entre os módulos individuais. O relay coordena o envio
de mensagens e também lida com o
balanceamento de carga. Essa técnica
Linux Magazine #46 | Setembro de 2008
permite que os investigadores
rodem múltiplas instâncias
de um módulo em um ambiente distribuído em vários
computadores; em outras
palavras, a OCFA suporta a
execução em clusters.
O framework OCFA pode
usar outros pacotes externos
de software caso necessário.
Um patch permite que usuários integrem ainda o Sleuth
Kit[4] e o Scalpel[5].
Interfaces
misturadas
Roteador
Emails
Compactados
Documentos do Office
Figura 2 O roteador chama os módulos de acordo com
o formato do arquivo, retornando os arquivos
Dados recuperados pela
encontrados.
OCFA ficam disponíveis
para o investigador por meio
da linha de comando. Ele precisa
de privilégios de root para iniciar
uma análise de caso, pois é necessário reiniciar o servidor web Apa- A complexa e demorada instalação
che para isso. Do ponto de vista do da OCFA vale a pena em ambienservidor web, cada novo caso é um tes que suportem projetos de anáVirtualHost. O investigador utiliza lise forense grandes e complexos
então o Apache para acessar os da- – e também nos casos em que as
dos extraídos.
tarefas forenses e de investigação
A interface também informa ao sejam facilmente separáveis. Note,
investigador se a extração dos dados contudo, que as interfaces gráficas
está completa. A interface web exibe espartanas da OCFA não oferecem a
as filas atuais e seus respectivos es- conveniência de outras ferramentas
tados. Em outras palavras, a OCFA dessa área. ■
de fato automatiza a comunicação
entre o investigador e o especialista forense.
Mais informações
A polícia holandesa desenvolveu
[1] OCFA: http://ocfa.
também um programa para Winsourceforge.net
dows, para uso interno. O programa, chamado Washbrush, analisa
[2] NIST e NSRL: http://
caixas de email do Outlook e Ouwww.nsrl.nist.gov
tlook Express e passa os resultados
para o Digiwash. No entanto, esse
[3] Autopsy: http://www.
programa só está disponível para as
sleuthkit.org/autopsy/
autoridades holandesas.
[4] Sleuth Kit: http://www.
Os policiais também estão criansleuthkit.org/
do outros módulos OCFA e uma
interface mais moderna. O software
[5] Scalpel: http://www.
não adotará a licença GPL, mas será
digitalforensicssolu
disponibilizado sob um acordo de
tions.com/Scalpel/
não divulgação (NDA).
Processamento
em massa
45