Professional Documents
Culture Documents
Braslia - DF
2012
CARLOS ANDR EVANGELISTA DE SOUZA
Braslia
2012
Artigo de autoria de Carlos Andr Evangelista de Souza, intitulado TCNICAS
ANTIFORENSE EM DESKTOPS, apresentado como requisito parcial para obteno do
grau de Especializao em Percia Digital da Universidade Catlica de Braslia, em 02 de
junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada:
__________________________________________
Professor Esp. Joo Eriberto Mota Filho
Orientador
Ps em Percia Digital - UCB
_________________________________________
Professor Msc. Paulo Roberto Corra Leo
Examinador
Ps em Percia Digital - UCB
Braslia
2012
A Deus Pai, infinito em sua misericrdia, que
continua derramando bnos sem medidas em
minha vida, e que permitiu a realizao deste
trabalho. minha me Maria Evangelista de
Souza que sempre lutou pela minha
educao e a dos meus irmos Leide Daiane
Evangelista de Souza e Tone Ramos
Evangelista de Souza, e minha amada esposa
Silvana Pereira Dantas Evangelista de
Souza, e graas a eles que consegui.
AGRADECIMENTOS
Aos meus amigos de Serpro por toda troca de experincia acerca do assunto deste
artigo. Aos meus professores, em especial ao meu professor orientador Joo Eriberto Mota
Filho, pelo apoio dispensado na confeco desse trabalho.
Sem esforo no existe vitria, no existe
felicidade plena.
Chiara Lubich
6
Resumo:
A atividade de antiforense concentra-se em dificultar ou impossibilitar uma percia forense
num recurso computacional, enquanto que a percia forense busca evidncias que possam
direcionar o entendimento do caso. O escopo deste trabalho descrever as tcnicas e
ferramentas antiforense mais eficientes e as consequncias desses numa percia post
mortem. Essas informaes foram coletadas em livros, revistas especializadas, sites
relacionados com o tema e outros trabalhos com contedos similares. Alm de um estudo de
caso com a aplicao prtica de uma dessas tcnicas antiforense e o impacto disto na percia
forense.
1 INTRODUO
Como cada vez mais pessoas e empresas optam por realizar seus negcios atravs de
computadores e da Internet, para a troca de informaes, compras online, transaes
bancrias, dentre outras atividades relacionadas, o computador passou a fazer parte da vida
de milhes de pessoas, aumentando cada vez mais a dependncia desse recurso. Por outro
lado, os ataques de segurana vm continuamente crescendo em vrios aspectos, sofisticao,
velocidade, criticidade, gravidade e compromisso, com isso a pesquisa em segurana da
informao tem tido crescimento ao longo desses ltimos anos na investigao forense
computacional.
A forense computacional tem como objetivo realizar uma anlise ps-incidente sobre
os sistemas comprometidos e fazer perguntas sobre eventos passados. Permite ao perito, de
posse de um caso, reconstruir um cenrio, recuperar arquivos importantes acerca do mesmo e
traar o perfil do usurio do computador. A informao digital armazenada, gerada,
processada, ou transmitida por sistemas de rede, usada como fonte de prova. Quanto mais
precisos e completos os dados, melhor e mais abrangente a avaliao pode ser.
Em contrapartida, h tcnicas e ferramentas que podem ser utilizadas para frustrar a
forense, apagando definitivamente o arquivo, ocultando ou camuflando dados importantes
para o caso, como logs, cookies, histricos, entre outros. Isso dificulta o trabalho do perito
forense, pois as provveis evidncias que poderiam ser utilizadas como provas foram
comprometidas, reduzindo a quantidade e a qualidade dos dados probatrios.
Sabendo que a segurana e a percia tentam encontrar as evidncias deixadas pelos
crimes, a evoluo destes tende sempre a deixar menos vestgios possveis, ficando cada vez
mais difcil a percepo pela percia, e dando origem cincia antiforense, na qual deriva as
tcnicas antiforense. Que o novo grande desafio para a comunidade forense computacional.
Com a popularidade dessas ferramentas antiforense, de fcil obteno na Internet,
cada vez mais comum o seu uso no s por peritos forenses, mas por pessoas mal
intencionadas como hackers, crackers, script kiddies, entre outros.
Esse artigo apresenta como pessoas mal intencionadas podem utilizar essas
ferramentas para eliminar seus rastros e a eficcia e eficincia dessas tcnicas.
7
1.1 JUSTIFICATIVA
O perito forense tem que ter a cincia das tcnicas que podem ser utilizadas para a
destruio, ocultao e camuflagem dos dados e o impacto dessas tcnicas na anlise post
mortem.
No processo de anlise de uma percia forense, conhecer como um invasor ou
criminoso pode atuar, utilizando essas ferramentas e tcnicas antiforense, pode fazer a
diferena no resultado final, facilitando a busca por evidncias.
Informaes acerca dessas ferramentas e tcnicas so de fcil obteno na Internet e
em diversas bibliografias, pois com a utilizao de simples filtros em mecanismos de busca
retornada uma gama de ferramentas para esse fim, alm da popularidade de distribuies
Linux como Backtrack, que j traz uma lista interessante dessas ferramentas prontas para
serem utilizadas. Por trabalhar especificamente com administrao de ambiente Linux, numa
instituio governamental, que sofre ataques constantemente, entender a simplicidade e a
facilidade da execuo dessas ferramentas tornaria possvel a aplicao de contramedidas,
evitando problemas futuros.
1.3 PROBLEMA
1.4 HIPTESE
1.5 PROPSITOS
2. DESENVOLVIMENTO
As metodologias que caracterizaram esta pesquisa, bem como a forma como ser a
coleta e tratamento dos dados, o resultado obtido e as anlises desses dados.
2.4 ANTIFORENSE
Os dados que podem ser utilizados como evidncias podem ser destrudos total ou
parcialmente, em nvel lgico e fsico, evitando que sejam encontrados. Dados sobrescritos
em mdia no podem ser recuperados em nvel de software, salvo em condies especiais.
A ocultao das evidncias reduz as chances de sucesso numa investigao preliminar,
exigindo que a percia seja mais minuciosa (HARRIS, 2006). Podem ser utilizados no
processo ferramentas de criptografia e esteganografia, que podem ser obtidas facilmente na
internet alm de ser fcil o seu uso.
A eliminao da fonte de evidncias probatria envolve a neutralizao das fontes.
No h necessidade de destruir as provas uma vez que nunca so criadas. No entanto, a
prpria falta de provas pode tornar-se evidncia. Isso parece contraditrio se no
considerarmos uma arma completamente desprovida de impresses digitais. Um bom
investigador pode pensar que o criminoso usava luvas, para que ele pudesse assumir que o
assassinato foi cuidadosamente planejado. Essas observaes aplicam-se ao mundo digital
(HARRIS, 2006).
Falsificao o ato de criar uma falsa verso da prova que projetado para parecer
outra coisa. Isto inclui criao de evidncia que funciona como um ataque contra o processo
ou ferramentas (HARRIS, 2006).
Uma das coisas mais simples de entender e usar em uma investigao so os
mactimes. Eles so simplesmente uma maneira abreviada de se referir aos trs atributos de
tempo mtime, atime e ctime que so anexados a qualquer arquivo ou diretrio no UNIX,
Windows e em outros sistemas de arquivos. O atributo atime refere-se ltima data/hora em
que o arquivo ou diretrio foi acessado. O atributo mtime, ao contrrio, muda quando o
contedo de um arquivo modificado. O atributo ctime monitora quando o contedo ou as
meta-informaes sobre o arquivo mudaram: o proprietrio, o grupo, as permisses de
arquivo e assim por diante (FARMER; VENEMA, 2007).
Um mecanismo eficiente de recuperao de arquivos excludos tambm pode ser
decisivo durante uma anlise forense, uma vez que na tentativa de esconder suas aes, os
invasores podem apagar arquivos que possam denunciar sua presena. O problema que
existem inmeras ferramentas para se efetuar uma excluso de forma segura: so as chamadas
ferramentas de wipping.
12
2.4.1 Criptografia
uma tcnica utilizada para transformar uma informao na sua forma original para
outra ilegvel. Isso feito para que somente pessoas autorizadas, ou detentoras da chave
criptogrfica, possam realizar o processo inverso e ler a mensagem original (ELEUTRIO;
MACHADO, 2010, p.85).
O uso da criptografia assume que o mtodo utilizado para criptografar de domnio
pblico, e a segurana reside na escolha da chave. Exemplificando, os conceitos
criptogrficos buscam solucionar os problemas comuns a duas situaes bsicas: proteger as
informaes armazenadas e utilizadas sempre pela mesma entidade, e a proteo de
informaes trocadas entre duas pessoas (ou entidades) diferentes.
Todos os algoritmos de criptografia so baseados em dois princpios gerais:
substituio, em que cada elemento no texto claro (bit, letra, grupo de bits ou letras)
mapeado em outro elemento, e transposio, em que os elementos no texto claro so
reorganizados (STALLINGS, 2008, p.19).
Boa parte dos sistemas de arquivos atuais que suportam criptografia, disponveis
facilmente para Windows, Mac OS e Linux, criptografam quando o dado escrito para o
disco e descriptografam quando esses so lidos, tornando-os invisveis para qualquer atacante
que no tem a chave, trazendo uma proteo efetiva.
2.4.2 Esteganografia
uma tcnica que consiste em ocultar uma mensagem dentro da outra. Enquanto a
criptografia tenta codificar o contedo, a esteganografia tenta camuflar uma mensagem dentro
da outra (ELEUTRIO; MACHADO, 2010, p.86).
Uma mensagem de texto claro pode estar oculta de duas maneiras. Os mtodos de
esteganografia escondem a existncia da mensagem, enquanto os mtodos de criptografia
tornam a mensagem ininteligvel a estranhos por meio de vrias transformaes do texto
(STALLINGS, 2008, p.34).
Usando as ferramentas de esteganografia disponveis hoje, os suspeitos podem at
esconder dados, mensagens, arquivos, dentro de arquivos do tipo imagem ou do tipo udio,
tornando-os imperceptveis aos sentidos humanos.
O uso dessa tcnica pode ser usado para diversos fins, dentre elas, roubo de dados,
ocultao de arquivos pornogrficos ou quaisquer outras evidncias que possam vir a ajudar
numa anlise post-mortem.
2.4.3 Rootkits
2.4.4 Wiping
2.4.5 Ferramentas
Este item abordar algumas das principais ferramentas antiforense que podem ser
utilizadas para aplicao das tcnicas vistas no capitulo anterior.
2.4.5.1 Wipe
2.4.5.2 Scrub
informao. Se no forem removidas, o perito forense encontrar apenas lixo digital nos
blocos do disco, sem qualquer coerncia. (4Linux Pen Test, 2011, p.262)
$ scrub imagem.jpg
scrub: using NNSA NAP-14.x patterns
scrub: padding imagem.jpg with 4078 bytes to fill last fs block
scrub: scrubbing imagem.jpg 12288 bytes (~12KB)
scrub: random |................................................|
scrub: random |................................................|
scrub: 0x00 |................................................|
scrub: verify |................................................|
$ scrub /dev/sda1
2.4.5.3 Steghide
$ file tux.jpg
tux.jpg: JPEG image data, JFIF standard 1.01
$ md5sum tux.jpg
4e858aa5c73f48695ba5fc3ea5eda380 tux.jpg
$ file tux.jpg
tux.jpg: JPEG image data, JFIF standard 1.01
$ md5sum tux.jpg
d0c0713cf2e55140ec912fc465bd7ba9 tux.jpg
15
2.4.5.4 Truecrypt
Os passos a seguir mostram como criar e criptografar um volume com truecrypt via
linha de comando no Linux.
$ wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-x86.tar.gz
$ tar zxvf truecrypt-7.1a-linux-x86.tar.gz
$ ./truecrypt-7.1a-setup-x86
Apareceram telas basta seguir.
$ truecrypt t c
16
Para desmontar:
$ truecrypt -t -d /tmp/volume
3. ESTUDO DE CASO
Conforme definido nesse artigo a destruio das evidncias poder ser lgica ou fsica
parcial ou total. Existem vrias formas de essas evidncias serem esterilizadas. A seguir, sero
demonstradas maneiras possveis para realizar essa ao logicamente, via software.
No processo a seguir iremos esterilizar uma partio. Nessas demonstraes iremos
utilizar uma mquina Debian, Linux. Esse ambiente contm uma partio /mnt/pessoal aonde
nesse laboratrio ir conter informaes relevantes que comprometeriam o usurio dessa
mquina com fotos e planilhas, vide Figura 01.
4. CONCLUSO
Mediante o avano das tcnicas antiforense, que podem ser utilizadas para segurana
ou para apagar as evidncias de atos ilcitos, cresce cada vez mais o desafio aos peritos
forenses para recuperar e coletar dados para a confeco de um laudo que possa direcionar ao
entendimento do caso. A complexidade para o perito pode ser explicada mediante as
dificuldades que tendem a ser encontradas de diversas formas, como na utilizao de tcnicas
e ferramentas, de fcil obteno na Internet, e muitas vezes com procedimentos muito
simples, que facilitam a destruio, ocultao, eliminao ou at mesmo a falsificao das
evidncias.
19
A partir das informaes coletadas e reportadas neste artigo, alm do estudo de caso,
ficou comprovado que o uso das tcnicas e ferramentas antiforense possui um impacto mais
que considervel na anlise de um delito por um perito, podendo at tornar impossvel ou
improvvel a coleta de evidncias a partir da recuperao de algum dado que ajude no
entendimento do evento.
Muitas vezes a recuperao desses dados, quando possvel tecnicamente, passa a no
ser plausvel numa anlise de custo/beneficio; assim, o retorno dessa informao fica invivel.
Das tcnicas antiforense reportadas neste artigo, as que envolvem a destruio dos
dados e eliminao da fonte so as mais simples de serem aplicadas no ambiente, embora em
todas elas, por mais simples que sejam, peam um pouco de conhecimento tcnico. As mais
complexas seriam as que envolvem a criptografia e a falsificao da fonte que exigem um
pouco mais de conhecimento tcnico e um cuidado ainda maior no seu uso, pois podem tornar
o dado inacessvel at mesmo para o usurio, no caso da criptografia, caso o mesmo seja
descuidado.
O acesso a esses recursos so de fcil obteno na Internet e o seu uso cada vez mais
simples e automatizado. Tomamos como exemplo distribuies Linux carregveis em live
CDs, como por exemplo, o Backtrack, que trazem muitos desses softwares compilados num
s lugar e at procedimentos operacionais simples.
Um bom exemplo de uso da tcnica antiforense para fim no licito que obteve grande
repercusso na mdia foi o caso do banqueiro Daniel Dantas em que seus discos rgidos, que
foram apreendidos pela Policia Federal, esto criptografados e at o presente momento no se
conseguiu a decodificao desses dados, pois no se tem o conhecimento das senhas
utilizadas no processo de encriptao do sistema de arquivos. Apesar de todo o avano
tecnolgico, no se conseguiu obter essas informaes que poderiam ajudar no caso, mesmo
com todo recurso computacional envolvido e at o apoio do FBI.
Logo, com esse crescimento exponencial dessas tcnicas antiforense usadas para
ocultar atos ilcitos, o perito forense deve buscar sempre novos conhecimentos, novos
recursos que o auxiliem na sua anlise. bvio que a experincia desse profissional ir ser o
diferencial, pois na maioria dos casos os usurios infratores no so especializados na rea de
informtica e provavelmente deixaro evidncias dos seus atos ou at mesmo ficaro iludidos
com a falsa segurana de que ao executar uma simples ao de excluso de um arquivo ou a
limpeza do cache do browser j estaro seguros.
5. TRABALHOS FUTUROS
Como sugesto para novos trabalhos que possam vir a complementar este artigo,
recomenda-se que sejam analisados em trabalhos distintos, separadamente, cada mtodo
antiforense com mais detalhes e aprofundamento.
Abstract:
The activity focuses on anti-forensics difficult or impossible in a forensic computing resource,
while the skill forensic evidence that might seek direct understanding of the case. The scope
of this work is to describe the techniques and tools anti-forensics more efficient and the
consequences of their expertise in a "post mortem". This information was obtained from
information collected in books, magazines, web sites related to the topic and other works with
similar content. In a case study with the practical implementation of these techniques anti-
forensics and its impact on forensic expertise.
20
6. REFERNCIAS
MORIMOTO, Carlos E. Servidores Linux Guia Prtico. Porto Alegre: Sul Editores, 2008.
PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics: Secrets &
Solutions. New York: McGrawHill, 2010. 2th Edition.
4LINUX. Apostila Pen Test: Teste de Invaso Redes Corporativas. So Paulo: 2011.