You are on page 1of 22

--

Pr-Reitoria de Ps-Graduao e Pesquisa


Lato Sensu em Percia Digital
Trabalho de Concluso de Curso

TCNICAS ANTIFORENSE EM DESKTOPS

Autor: Carlos Andr Evangelista de Souza


Orientador: Prof. Esp. Joo Eriberto Mota Filho

Braslia - DF
2012
CARLOS ANDR EVANGELISTA DE SOUZA

TCNICAS ANTIFORENSE EM DESKTOPS

Artigo apresentado ao curso de ps-graduao


em Percia Digital da Universidade Catlica de
Braslia, como requisito parcial para obteno
do Ttulo de Especialista em Percia Digital.

Orientador: Prof. Esp. Joo Eriberto Mota


Filho

Braslia
2012
Artigo de autoria de Carlos Andr Evangelista de Souza, intitulado TCNICAS
ANTIFORENSE EM DESKTOPS, apresentado como requisito parcial para obteno do
grau de Especializao em Percia Digital da Universidade Catlica de Braslia, em 02 de
junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada:

__________________________________________
Professor Esp. Joo Eriberto Mota Filho
Orientador
Ps em Percia Digital - UCB

_________________________________________
Professor Msc. Paulo Roberto Corra Leo
Examinador
Ps em Percia Digital - UCB

Braslia
2012
A Deus Pai, infinito em sua misericrdia, que
continua derramando bnos sem medidas em
minha vida, e que permitiu a realizao deste
trabalho. minha me Maria Evangelista de
Souza que sempre lutou pela minha
educao e a dos meus irmos Leide Daiane
Evangelista de Souza e Tone Ramos
Evangelista de Souza, e minha amada esposa
Silvana Pereira Dantas Evangelista de
Souza, e graas a eles que consegui.
AGRADECIMENTOS

Aos meus amigos de Serpro por toda troca de experincia acerca do assunto deste
artigo. Aos meus professores, em especial ao meu professor orientador Joo Eriberto Mota
Filho, pelo apoio dispensado na confeco desse trabalho.
Sem esforo no existe vitria, no existe
felicidade plena.
Chiara Lubich
6

TCNICAS ANTIFORENSE EM DESKTOPS

CARLOS ANDR EVANGELISTA DE SOUZA

Resumo:
A atividade de antiforense concentra-se em dificultar ou impossibilitar uma percia forense
num recurso computacional, enquanto que a percia forense busca evidncias que possam
direcionar o entendimento do caso. O escopo deste trabalho descrever as tcnicas e
ferramentas antiforense mais eficientes e as consequncias desses numa percia post
mortem. Essas informaes foram coletadas em livros, revistas especializadas, sites
relacionados com o tema e outros trabalhos com contedos similares. Alm de um estudo de
caso com a aplicao prtica de uma dessas tcnicas antiforense e o impacto disto na percia
forense.

Palavras-chave: Forense. Antiforense. Segurana. Percia Forense. Criptografia

1 INTRODUO

Como cada vez mais pessoas e empresas optam por realizar seus negcios atravs de
computadores e da Internet, para a troca de informaes, compras online, transaes
bancrias, dentre outras atividades relacionadas, o computador passou a fazer parte da vida
de milhes de pessoas, aumentando cada vez mais a dependncia desse recurso. Por outro
lado, os ataques de segurana vm continuamente crescendo em vrios aspectos, sofisticao,
velocidade, criticidade, gravidade e compromisso, com isso a pesquisa em segurana da
informao tem tido crescimento ao longo desses ltimos anos na investigao forense
computacional.
A forense computacional tem como objetivo realizar uma anlise ps-incidente sobre
os sistemas comprometidos e fazer perguntas sobre eventos passados. Permite ao perito, de
posse de um caso, reconstruir um cenrio, recuperar arquivos importantes acerca do mesmo e
traar o perfil do usurio do computador. A informao digital armazenada, gerada,
processada, ou transmitida por sistemas de rede, usada como fonte de prova. Quanto mais
precisos e completos os dados, melhor e mais abrangente a avaliao pode ser.
Em contrapartida, h tcnicas e ferramentas que podem ser utilizadas para frustrar a
forense, apagando definitivamente o arquivo, ocultando ou camuflando dados importantes
para o caso, como logs, cookies, histricos, entre outros. Isso dificulta o trabalho do perito
forense, pois as provveis evidncias que poderiam ser utilizadas como provas foram
comprometidas, reduzindo a quantidade e a qualidade dos dados probatrios.
Sabendo que a segurana e a percia tentam encontrar as evidncias deixadas pelos
crimes, a evoluo destes tende sempre a deixar menos vestgios possveis, ficando cada vez
mais difcil a percepo pela percia, e dando origem cincia antiforense, na qual deriva as
tcnicas antiforense. Que o novo grande desafio para a comunidade forense computacional.
Com a popularidade dessas ferramentas antiforense, de fcil obteno na Internet,
cada vez mais comum o seu uso no s por peritos forenses, mas por pessoas mal
intencionadas como hackers, crackers, script kiddies, entre outros.
Esse artigo apresenta como pessoas mal intencionadas podem utilizar essas
ferramentas para eliminar seus rastros e a eficcia e eficincia dessas tcnicas.
7

1.1 JUSTIFICATIVA

O perito forense tem que ter a cincia das tcnicas que podem ser utilizadas para a
destruio, ocultao e camuflagem dos dados e o impacto dessas tcnicas na anlise post
mortem.
No processo de anlise de uma percia forense, conhecer como um invasor ou
criminoso pode atuar, utilizando essas ferramentas e tcnicas antiforense, pode fazer a
diferena no resultado final, facilitando a busca por evidncias.
Informaes acerca dessas ferramentas e tcnicas so de fcil obteno na Internet e
em diversas bibliografias, pois com a utilizao de simples filtros em mecanismos de busca
retornada uma gama de ferramentas para esse fim, alm da popularidade de distribuies
Linux como Backtrack, que j traz uma lista interessante dessas ferramentas prontas para
serem utilizadas. Por trabalhar especificamente com administrao de ambiente Linux, numa
instituio governamental, que sofre ataques constantemente, entender a simplicidade e a
facilidade da execuo dessas ferramentas tornaria possvel a aplicao de contramedidas,
evitando problemas futuros.

1.2 DELIMITAO DO TEMA

Atualmente existe uma grande diversidade de ferramentas e tcnicas antiforense, cada


vez mais populares. O foco desta pesquisa analisar a eficcia e eficincia das principais
tcnicas e ferramentas antiforense utilizadas por usurios mal intencionados, tais como:
criptografia, esteganografia, saneamento e camuflagem dos dados, entre outras.

1.3 PROBLEMA

1.3.1 Contextualizao do problema

Existem atualmente algumas tcnicas e diversas ferramentas antiforense que podem


ser utilizadas para dificultar a percia forense.

1.3.2 Enunciado do problema

A utilizao das principais tcnicas e ferramentas antiforense destri, ocultam e


camuflam os dados de delitos no processo de coleta de evidncias numa percia forense?
8

1.4 HIPTESE

As principais tcnicas e ferramentas antiforense, quando utilizadas pelo usurio mal


intencionado, destroem, ocultam e camuflam os dados de delitos no processo de coleta de
evidncias numa percia forense.

1.5 PROPSITOS

1.5.1 Objetivo Geral

Analisar as principais tcnicas e ferramentas antiforense usadas para destruio,


ocultao e camuflagem de dados.

1.5.2 Objetivos Especficos

Para alcanar o objetivo geral necessrio:


a) apresentar o estado da arte de referncias sobre tcnicas e ferramentas
antiforense e percia forense;
b) listar as principais tcnicas antiforense para destruio, ocultao e camuflagem
de dados;
c) aplicar as principais tcnicas e ferramentas antiforense num estudo de caso;
d) coletar uma imagem de um desktop Linux para uso em laboratrio; e
e) construir um laboratrio que servir como base para anlise.

2. DESENVOLVIMENTO

2.1 REFERENCIAL TERICO

As referncias utilizadas so:


a) uma apresentao na Black Hat 2009 cujo titulo : Anti-Forensics: The Rootkit
Connection, feita por Bill Bluden no qual classifica em categorias a antiforense;
b) uma apostila da 4Linux com o titulo de: Pen Test: Teste de Invaso em Redes
Corporativas que apresenta com detalhes ferramentas antiforense utilizadas por
hackers e a facilidade de uso tomando como base a distribuio Linux
Backtrack; e
c) um dos livros da coleo Hacking Exposed, com o ttulo: Hacking Exposed:
Computer Forensics Secrets & Solutions que contm um tpico s com
antiforense.
9

2.2 MATERIAIS E METODOLOGIA

As metodologias que caracterizaram esta pesquisa, bem como a forma como ser a
coleta e tratamento dos dados, o resultado obtido e as anlises desses dados.

2.2.1 Classificao da pesquisa

Os tipos de metodologias a serem utilizadas nesta pesquisa embasaram-se em Vergara


(2010, p.41-44) que a divide em dois critrios bsicos: quanto aos fins e quanto aos meios".
Quanto aos fins, esta pesquisa aplicada e quanto aos meios de investigao: pesquisa
de laboratrio; bibliogrfica e estudo de caso.
Pesquisa aplicada porque o intuito deste estudo ampliar conhecimentos em Percia
Forense e em situaes acadmicas de assuntos relacionados, bem como na aplicao prtica
de tcnicas de antiforense computacional com finalidade de obteno de informaes teis
investigao criminal, a serem utilizados pelos peritos forenses.
Pesquisa bibliogrfica segundo Martins (2011, p.86) o ponto de partida de toda
pesquisa, levantamento de informaes feito a partir de material coletado em livros, revistas,
artigos, jornais, sites da Internet e em outras fontes escritas, devidamente publicadas.
Pesquisa em laboratrio segundo Vergara (2010, p.43) experincia realizada em
local circunscrito. Sero realizadas simulaes em computador a partir de uma imagem real
de um computador atacado para ento produzir resultados.
O estudo de caso segundo Martins (2011, p.87) um meio para se coletar dados
preservando o carter unitrio do objeto a ser estudado. De posse de uma imagem de um
computador atacado sero analisadas as tcnicas e ferramentas antiforense utilizadas pelo
atacante.

2.2.2 Instrumentos e Procedimentos

O instrumento e procedimentos desta pesquisa correspondem a simulaes em


computador e a um estudo de caso cujas fases so descritas a seguir:
a) coleta de uma imagem de um desktop com sistema operacional Linux;
b) montagem em laboratrio de uma estrutura que permita a anlise das tcnicas
antiforense utilizadas na invaso e na tentativa de limpeza dos rastros;
c) sero aplicadas diversas tcnicas e ferramentas antiforense na imagem coletada;
e
d) anlise dos resultados obtidos em laboratrio.

2.3 FORENSE COMPUTACIONAL

Tem como objetivo principal determinar dinmica, a materialidade e autoria de


ilcitos ligados rea de informtica, tendo como questo principal a identificao e o
processamento de evidncias digitais em provas materiais de crime, por meio de mtodos
10

tcnico-cientficos, conferindo-lhe validade probatria em juzo (ELEUTRIO; MACHADO,


2010, p.16-17).
uma rea que envolve a anlise e coleta de vestgios e evidncias digitais em
equipamentos computacionais envolvidos em procedimentos ilcitos e crimes de qualquer
natureza (ELEUTRIO; MACHADO, 2011).
Um modelo internacional publicado e divulgado pelo Departamento de Justia dos
Estados Unidos sugere as seguintes etapas no processo investigativo (BARYAMUREEBA,
2004).
a) coleta: Envolve a busca por evidncias, o reconhecimento de provas, coleta de
provas e documentao;
b) exame: Projetado para facilitar a visibilidade de provas, ao explicar sua origem e
significado. Trata-se de revelar informaes ocultas e obscuras e a documentao
pertinente;
c) anlise: Este olha para o produto do exame para o seu significado e probatrio
valor para o caso; e
d) relatrios: Isso leva a escrever um relatrio sobre o processo de exame e
pertinentes dados recuperados a partir da investigao em geral.

A anlise forense de um sistema envolve um ciclo de coleta de dados e processamento


das informaes coletadas. Quanto mais precisos e completos os dados, melhor e mais
abrangente a avaliao pode ser (FARMER; VENEMA, 2007).

2.4 ANTIFORENSE

qualquer alterao intencional ou acidental que possa obscurecer criptografar ou


esconder dados de ferramentas forenses. A maioria dos suspeitos acredita que, seguindo as
tcnicas ilustradas neste artigo e em outras publicaes, podem esconder seus rastros.
Tentando fazer isso, porm, muitas vezes apenas ajudam o investigador saber onde procurar
por evidncias. Na verdade, um suspeito que tenta esconder a evidncia pode realmente
fortalecer o sucesso de um investigador para descobrir isso (PHILIPP et al., 2010. p.223).
Um dos princpios fundamentais da forense o Principio da Troca de Locard. De
acordo com esse principio qualquer um, ou qualquer coisa, que entra em um local de crime
leva consigo algo do local e deixa alguma coisa para trs quando parte. Este tambm se aplica
na forense computacional, uma vez que todo evento realizado em um computador deixa
evidncias, algumas difceis de serem identificados ou seguidos, mas existem.
H vrias definies para antiforense e diversos mtodos. O Quadro 1 abaixo descreve
uma das classificaes possveis para os mtodos antiforense: destruio, ocultao,
eliminao da fonte e falsificao.

Quadro 1 Classificao dos mtodos antiforense.


Nome Destruio Ocultao Eliminao Falsificao
da fonte
Alteraes MACE Apagar as Sobrescrever
informaes com os dados
MACE ou que fornecem
sobrescrever com informaes
dados inteis. enganosas para
os
investigadores.
Remover/esterilizar Reescrever o Excluir o
11

arquivos contedo com arquivo.


dados aleatrios.
Encapsulamento de Ocultar um
dados arquivo em
outro.
Sequestro de Conta Criar evidncia
para culpar outra
pessoa por atos
irregulares.
Arquivo
autodestrutivo.
Desabilitar logs Informaes
sobre a
atividade no
gravada.
Fonte: Harris (2006).

Os dados que podem ser utilizados como evidncias podem ser destrudos total ou
parcialmente, em nvel lgico e fsico, evitando que sejam encontrados. Dados sobrescritos
em mdia no podem ser recuperados em nvel de software, salvo em condies especiais.
A ocultao das evidncias reduz as chances de sucesso numa investigao preliminar,
exigindo que a percia seja mais minuciosa (HARRIS, 2006). Podem ser utilizados no
processo ferramentas de criptografia e esteganografia, que podem ser obtidas facilmente na
internet alm de ser fcil o seu uso.
A eliminao da fonte de evidncias probatria envolve a neutralizao das fontes.
No h necessidade de destruir as provas uma vez que nunca so criadas. No entanto, a
prpria falta de provas pode tornar-se evidncia. Isso parece contraditrio se no
considerarmos uma arma completamente desprovida de impresses digitais. Um bom
investigador pode pensar que o criminoso usava luvas, para que ele pudesse assumir que o
assassinato foi cuidadosamente planejado. Essas observaes aplicam-se ao mundo digital
(HARRIS, 2006).
Falsificao o ato de criar uma falsa verso da prova que projetado para parecer
outra coisa. Isto inclui criao de evidncia que funciona como um ataque contra o processo
ou ferramentas (HARRIS, 2006).
Uma das coisas mais simples de entender e usar em uma investigao so os
mactimes. Eles so simplesmente uma maneira abreviada de se referir aos trs atributos de
tempo mtime, atime e ctime que so anexados a qualquer arquivo ou diretrio no UNIX,
Windows e em outros sistemas de arquivos. O atributo atime refere-se ltima data/hora em
que o arquivo ou diretrio foi acessado. O atributo mtime, ao contrrio, muda quando o
contedo de um arquivo modificado. O atributo ctime monitora quando o contedo ou as
meta-informaes sobre o arquivo mudaram: o proprietrio, o grupo, as permisses de
arquivo e assim por diante (FARMER; VENEMA, 2007).
Um mecanismo eficiente de recuperao de arquivos excludos tambm pode ser
decisivo durante uma anlise forense, uma vez que na tentativa de esconder suas aes, os
invasores podem apagar arquivos que possam denunciar sua presena. O problema que
existem inmeras ferramentas para se efetuar uma excluso de forma segura: so as chamadas
ferramentas de wipping.
12

2.4.1 Criptografia

uma tcnica utilizada para transformar uma informao na sua forma original para
outra ilegvel. Isso feito para que somente pessoas autorizadas, ou detentoras da chave
criptogrfica, possam realizar o processo inverso e ler a mensagem original (ELEUTRIO;
MACHADO, 2010, p.85).
O uso da criptografia assume que o mtodo utilizado para criptografar de domnio
pblico, e a segurana reside na escolha da chave. Exemplificando, os conceitos
criptogrficos buscam solucionar os problemas comuns a duas situaes bsicas: proteger as
informaes armazenadas e utilizadas sempre pela mesma entidade, e a proteo de
informaes trocadas entre duas pessoas (ou entidades) diferentes.
Todos os algoritmos de criptografia so baseados em dois princpios gerais:
substituio, em que cada elemento no texto claro (bit, letra, grupo de bits ou letras)
mapeado em outro elemento, e transposio, em que os elementos no texto claro so
reorganizados (STALLINGS, 2008, p.19).
Boa parte dos sistemas de arquivos atuais que suportam criptografia, disponveis
facilmente para Windows, Mac OS e Linux, criptografam quando o dado escrito para o
disco e descriptografam quando esses so lidos, tornando-os invisveis para qualquer atacante
que no tem a chave, trazendo uma proteo efetiva.

2.4.2 Esteganografia

uma tcnica que consiste em ocultar uma mensagem dentro da outra. Enquanto a
criptografia tenta codificar o contedo, a esteganografia tenta camuflar uma mensagem dentro
da outra (ELEUTRIO; MACHADO, 2010, p.86).
Uma mensagem de texto claro pode estar oculta de duas maneiras. Os mtodos de
esteganografia escondem a existncia da mensagem, enquanto os mtodos de criptografia
tornam a mensagem ininteligvel a estranhos por meio de vrias transformaes do texto
(STALLINGS, 2008, p.34).
Usando as ferramentas de esteganografia disponveis hoje, os suspeitos podem at
esconder dados, mensagens, arquivos, dentro de arquivos do tipo imagem ou do tipo udio,
tornando-os imperceptveis aos sentidos humanos.
O uso dessa tcnica pode ser usado para diversos fins, dentre elas, roubo de dados,
ocultao de arquivos pornogrficos ou quaisquer outras evidncias que possam vir a ajudar
numa anlise post-mortem.

2.4.3 Rootkits

So programas simples, geralmente rodando como um servio isolado e fornecendo


acesso a uma backdoor (SEIFRIED, 2009).
De acordo com (SHADOWSERVER, 2007) Rootkit um conjunto de programas
maliciosos, projetados para modificar o sistema operacional, do computador atacado, para
ocultar, do usurio do sistema, a invaso, a presena do invasor e de outros programas
maliciosos instalados.
13

Na viso de (MORIMOTO, 2008) Rootkits so softwares que exploram um conjunto


de vulnerabilidades conhecidas para tentar obter privilgios de root na mquina afetada.
Rootkits geralmente so utilizados, num cenrio de invaso de computador, para
garantir acesso posterior por meio da instalao de uma Backdoor, na remoo dos rastros do
ataque apagando as logs do sistema operacional ou at mesmo na criao de contas de
usurios. Enfim, o objetivo esconder arquivos, conexes de rede e endereos de memria do
administrador do sistema. As tcnicas usadas para obter essa funcionalidade variam, dividindo
os Rootkits em quatro categorias: Virtualizado, Kernel, Biblioteca e Aplicao.
Os Rootkits virtualizados so aqueles que modificam a sequncia de inicializao da
mquina, iniciando primeiro o Rootkit, que por sua vez inicia o sistema operacional como uma
mquina virtual, podendo interceptar todas as chamadas de sistema do sistema operacional. Os de
kernel funcionam adicionando ou alterando cdigo do kernel (por exemplo, a tabela de chamada
de sistemas) de modo que informaes so escondidas diretamente no ncleo do sistema
operacional. Os Rootkits de biblioteca geralmente alteram ou substituem chamadas de sistema por
chamadas alteradas e os de aplicao alteram diretamente aplicativos do sistema.

2.4.4 Wiping

Excluso de arquivos, esvaziar a lixeira, ou rpida formatao de um disco rgido no


apaga permanentemente os dados, ele simplesmente remove as informaes necessrias para
encontrar os arquivos no disco, permitindo a sua recuperao. Assim, limpar realmente o
arquivo no disco um problema real. Ela pode ser realizada de muitas maneiras diferentes. A
wiping uma delas e consiste em sobrescrever todos os setores do disco com um padro de
binrio 1's e 0's, substituindo ento os dados que ainda persistiam na mdia. Dessa forma no
podendo mais ser recuperados nem acessados. Voc pode determinar se as ferramentas de
limpeza foram instaladas atravs da reviso de programas existentes no disco, mas no pode
mais trazer os dados de volta (PHILIPP et al., 2010, p.237).

2.4.5 Ferramentas

Este item abordar algumas das principais ferramentas antiforense que podem ser
utilizadas para aplicao das tcnicas vistas no capitulo anterior.

2.4.5.1 Wipe

um aplicativo que permite a deleo segura de dados, permitindo que o usurio


defina quais arquivos sero apagados e quantas vezes aqueles blocos de disco, onde os
arquivos apagados estavam alocados (4Linux Pen Test, 2011, p.261).

2.4.5.2 Scrub

Outra possibilidade para realizar o data wiping, sobrescrevendo os dados deletados


com um padro determinado de informaes, que podem ou no ser removidas no final da
14

informao. Se no forem removidas, o perito forense encontrar apenas lixo digital nos
blocos do disco, sem qualquer coerncia. (4Linux Pen Test, 2011, p.262)

Veja os exemplos a seguir:

a) Realizando o data wiping no arquivo.

$ scrub imagem.jpg
scrub: using NNSA NAP-14.x patterns
scrub: padding imagem.jpg with 4078 bytes to fill last fs block
scrub: scrubbing imagem.jpg 12288 bytes (~12KB)
scrub: random |................................................|
scrub: random |................................................|
scrub: 0x00 |................................................|
scrub: verify |................................................|

b) Destruindo todos os arquivos no disco

$ scrub /dev/sda1

2.4.5.3 Steghide

um programa capaz de esconder dados em vrios tipos de arquivos de udio e de


imagem. Suporta formatos de arquivos JPEG, BMP, WAV e AU para uso como arquivo de
cobertura. O algoritmo de criptografia padro o Rijndael com uma chave de 128 bits. No
exemplo abaixo iremos utilizar a imagem de um tux e adicionaremos ao mesmo um arquivo
texto simples contendo algumas informaes, como por exemplo, as senhas do sistema.

$ file tux.jpg
tux.jpg: JPEG image data, JFIF standard 1.01
$ md5sum tux.jpg
4e858aa5c73f48695ba5fc3ea5eda380 tux.jpg

Escondendo o arquivo de senhas.

$ steghide embed -cf tux.jpg -ef senha.txt


Enter passphrase:
Re-Enter passphrase:
embedding "senha.txt" in "tux.jpg"... done

Mesmo adicionando outro arquivo a imagem do tux o tipo do arquivo permaneceu o


mesmo. Apenas o hash do arquivo foi alterado, essa informao pode ser utilizada como
contramedida, caso tenha sido guardado anteriormente uma tabela com os hashs dos arquivos.

$ file tux.jpg
tux.jpg: JPEG image data, JFIF standard 1.01
$ md5sum tux.jpg
d0c0713cf2e55140ec912fc465bd7ba9 tux.jpg
15

Extraindo o arquivo escondido

$ steghide extract -sf tux.jpg


Enter passphrase:
wrote extracted data to "senha.txt".

2.4.5.4 Truecrypt

um software para criao e manuteno de um volume on-the-fly-encrypted


(dispositivo de armazenamento de dados). On-the-fly encriptao significa que os dados so
automaticamente criptografados antes de ser salvo e descriptografado logo aps ser carregado,
sem qualquer interveno do usurio. No h dados armazenados em um volume
criptografado que possa ser lido (descriptografado) sem usar a senha correta / keyfile (s) ou
chaves de criptografia corretas. O sistema de arquivo inteiro criptografado (por exemplo,
nomes de arquivos, nomes de pastas, o contedo de cada arquivo, espao livre, metadados,
etc.) (TRUECRYPT FOUDATION, 2012).
O processo de encriptao e decriptao so transparentes para o usurio e servios
que utilizam o volume encriptado. Ao criar um volume com truecrypt o usrio precisar
definir: o tamanho, algoritmo de criptografia, o algoritmo de hash e a senha de segurana.
Aps a concluso dessas definies o truecrypt cria o arquivo ou partio e o preenche com
dados aleatrios, de uma forma que se forem analisados impossvel saber se h dados.
Devido a essa segurana e eficincia, a utilizao dessa ferramenta vem se tornando cada vez
mais comum para proteo de dados sigilosos.
Atualmente compatvel com os seguintes sistemas operacionais: Windows 7 (32-bit
and 64-bit), Windows Vista, Windows Vista x64 (64-bit) Edition, Windows XP, Windows XP
x64 (64-bit) Edition, Windows Server 2008 R2 (64-bit), Windows Server 2008, Windows
Server 2008 x64 (64-bit), Windows Server 2003, Windows Server 2003 x64 (64-bit),
Windows 2000 SP4, Mac OS X 10.7 Lion (64-bit and 32-bit), Mac OS X 10.6 Snow Leopard
(32-bit), Mac OS X 10.5 Leopard, Mac OS X 10.4 Tiger, Linux (32-bit and 64-bit versions,
kernel 2.6 or compatible)

Os passos a seguir mostram como criar e criptografar um volume com truecrypt via
linha de comando no Linux.

O primeiro passo baixar e instalar o pacote.

$ wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-x86.tar.gz
$ tar zxvf truecrypt-7.1a-linux-x86.tar.gz
$ ./truecrypt-7.1a-setup-x86
Apareceram telas basta seguir.

No processo de criao utilizaremos a option t para que a operao seja executada em


modo texto. A option c para o modo iterativo.

$ truecrypt t c
16

Sero solicitadas as seguintes informaes: Tipo de volume; Path do volume;


Tamanho do volume; Algoritmo de criptografia; Algoritmo de hash; Filesystem; Password.

Para montar o volume criado utilizaremos a option --mount:

$ truecrypt -t --mount /tmp/volume


Enter mount directory [default]:
Enter password for /tmp/volume:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]: No

Para desmontar:

$ truecrypt -t -d /tmp/volume

3. ESTUDO DE CASO

Conforme definido nesse artigo a destruio das evidncias poder ser lgica ou fsica
parcial ou total. Existem vrias formas de essas evidncias serem esterilizadas. A seguir, sero
demonstradas maneiras possveis para realizar essa ao logicamente, via software.
No processo a seguir iremos esterilizar uma partio. Nessas demonstraes iremos
utilizar uma mquina Debian, Linux. Esse ambiente contm uma partio /mnt/pessoal aonde
nesse laboratrio ir conter informaes relevantes que comprometeriam o usurio dessa
mquina com fotos e planilhas, vide Figura 01.

Figura 01 Maquina Linux, debian, com partio, /mnt/pessoal, montada.

Nesse passo o usurio resolveu apagar os arquivos comprometedores utilizando o


comando rm entendendo ele que no teriam como serem recuperados. Porm, os arquivos
persistiram no filesystem e apenas a referncia dos arquivos foi apagada. Esses arquivos
podem ainda serem recuperados utilizando os comandos fls e icat, por exemplo. Vide Figura
02.
17

Figura 02 Uma simples excluso de arquivo no previne uma recuperao futura.

Nesse prximo passo iremos remover definitivamente os arquivos comprometedores


sem risco de recuperao, vide Figura 03.

Figura 03 Realizando wipe nos arquivos.

Agora iremos realizar o wipe no filesystem. Dessa forma no h como recuperarmos os


arquivos. Vide Figura 04.
18

Figura 04 Destruindo todos os arquivos no filesystem.

E por fim, o resultado do filesystem aps o wipe, vide Figura 05.

Figura 05 Resultado do hexedit no filesystem.

4. CONCLUSO

Mediante o avano das tcnicas antiforense, que podem ser utilizadas para segurana
ou para apagar as evidncias de atos ilcitos, cresce cada vez mais o desafio aos peritos
forenses para recuperar e coletar dados para a confeco de um laudo que possa direcionar ao
entendimento do caso. A complexidade para o perito pode ser explicada mediante as
dificuldades que tendem a ser encontradas de diversas formas, como na utilizao de tcnicas
e ferramentas, de fcil obteno na Internet, e muitas vezes com procedimentos muito
simples, que facilitam a destruio, ocultao, eliminao ou at mesmo a falsificao das
evidncias.
19

A partir das informaes coletadas e reportadas neste artigo, alm do estudo de caso,
ficou comprovado que o uso das tcnicas e ferramentas antiforense possui um impacto mais
que considervel na anlise de um delito por um perito, podendo at tornar impossvel ou
improvvel a coleta de evidncias a partir da recuperao de algum dado que ajude no
entendimento do evento.
Muitas vezes a recuperao desses dados, quando possvel tecnicamente, passa a no
ser plausvel numa anlise de custo/beneficio; assim, o retorno dessa informao fica invivel.
Das tcnicas antiforense reportadas neste artigo, as que envolvem a destruio dos
dados e eliminao da fonte so as mais simples de serem aplicadas no ambiente, embora em
todas elas, por mais simples que sejam, peam um pouco de conhecimento tcnico. As mais
complexas seriam as que envolvem a criptografia e a falsificao da fonte que exigem um
pouco mais de conhecimento tcnico e um cuidado ainda maior no seu uso, pois podem tornar
o dado inacessvel at mesmo para o usurio, no caso da criptografia, caso o mesmo seja
descuidado.
O acesso a esses recursos so de fcil obteno na Internet e o seu uso cada vez mais
simples e automatizado. Tomamos como exemplo distribuies Linux carregveis em live
CDs, como por exemplo, o Backtrack, que trazem muitos desses softwares compilados num
s lugar e at procedimentos operacionais simples.
Um bom exemplo de uso da tcnica antiforense para fim no licito que obteve grande
repercusso na mdia foi o caso do banqueiro Daniel Dantas em que seus discos rgidos, que
foram apreendidos pela Policia Federal, esto criptografados e at o presente momento no se
conseguiu a decodificao desses dados, pois no se tem o conhecimento das senhas
utilizadas no processo de encriptao do sistema de arquivos. Apesar de todo o avano
tecnolgico, no se conseguiu obter essas informaes que poderiam ajudar no caso, mesmo
com todo recurso computacional envolvido e at o apoio do FBI.
Logo, com esse crescimento exponencial dessas tcnicas antiforense usadas para
ocultar atos ilcitos, o perito forense deve buscar sempre novos conhecimentos, novos
recursos que o auxiliem na sua anlise. bvio que a experincia desse profissional ir ser o
diferencial, pois na maioria dos casos os usurios infratores no so especializados na rea de
informtica e provavelmente deixaro evidncias dos seus atos ou at mesmo ficaro iludidos
com a falsa segurana de que ao executar uma simples ao de excluso de um arquivo ou a
limpeza do cache do browser j estaro seguros.

5. TRABALHOS FUTUROS

Como sugesto para novos trabalhos que possam vir a complementar este artigo,
recomenda-se que sejam analisados em trabalhos distintos, separadamente, cada mtodo
antiforense com mais detalhes e aprofundamento.

Abstract:
The activity focuses on anti-forensics difficult or impossible in a forensic computing resource,
while the skill forensic evidence that might seek direct understanding of the case. The scope
of this work is to describe the techniques and tools anti-forensics more efficient and the
consequences of their expertise in a "post mortem". This information was obtained from
information collected in books, magazines, web sites related to the topic and other works with
similar content. In a case study with the practical implementation of these techniques anti-
forensics and its impact on forensic expertise.
20

Keywords: Forensics. Anti-forensics. Security. Encryption.

6. REFERNCIAS

BARYAMUREEBA V, TUSHABE F. The Enhanced Digital Investigation Processo Model.


Institute of Computer Science, Makerere University, Uganda, 2004.

BLUDEN, B. Anti-Forensics: The Rootkit Connection, 2009. Disponvel em:


https://www.blackhat.com/presentations/bh-usa-09/BLUNDEN/BHUSA09-Blunden-
AntiForensics-PAPER.pdf. Acessado em Novembro 01, 2011.

ELEUTRIO, P. M. da Silva; MACHADO, M. Pereira. Desvendando a Computao Forense.


So Paulo: Novatec Editora, 2010.

FARMER, Dan; VENEMA, Wietse. Percia Forense Computacional: Teoria e Prtica


Aplicada. So Paulo: Prentice-Hall, 2007.

GARFINKEL, Simon, Anti-Forensics: Techniques, Detection and Countermeasures, The 2nd


International Conference on Warfare and Security (ICIW), Naval Postgraduate School,
Monterey, CA, 2007. http://www.simson.net/clips/academic/2007.ICIW.AntiForensics.pdf

HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and


control the anti-forensics problem. 2006. Disponvel em: http://dfrws.org/2006/proceedings/6-
Harris.pdf. Acessado em Janeiro 15, 2012.

MARTINS, R. B. Metodologia Cientfica Como tornar mais agradvel elaborao de


trabalhos acadmicos. Curitiba: Juru Editora, 2011. 1th Edio.

MORIMOTO, Carlos E. Servidores Linux Guia Prtico. Porto Alegre: Sul Editores, 2008.
PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics: Secrets &
Solutions. New York: McGrawHill, 2010. 2th Edition.

STALLINGS, William. Criptografia e Segurana de Redes. So Paulo: Pearson Prentice Hall,


2008. 4th Edio.

SEIFRIED, Kurt. Linux Magazine. 2009. Disponvel em:


http://www.linuxnewmedia.com.br/lm/article/inseguranca_lm50. Acessado em Janeiro 10,
2012.

SHADOWSERVER. Disponvel em: http://www.shadowserver.org. Acessado em Janeiro 10,


2012.

TRUECRYPT FOUNDATION. Truecrypt Free Open-Source Disk Ecryption Software.


Disponvel em: http://www.truecrypt.com. Acessado em Janeiro 15, 2012.

VERGARA, S. C. Projetos e Relatrios de Pesquisa em Administrao. So Paulo: Editora


Atlas, 2010. 12th Edio.
21

4LINUX. Apostila Pen Test: Teste de Invaso Redes Corporativas. So Paulo: 2011.

You might also like