1. Introdução
A definição de técnicas para a identificação e coleta de evidências digitais é essencial para uma possível ação judicial contra o autor de um ataque bem sucedido. Este fato, faz com que a criação de metodologias para identificar evidências se torne um dos pontos mais importantes de uma análise forense computacional.
Neste artigo constarão detalhes sobre a importância de seguir procedimentos específicos imediatamente depois de um crime por computador e o estudo de uma metodologia, técnicas e ferramentas de forense computacional.
2. O Profissional
Para caracterizar um investigador, também chamado perito, pode-se enfatizar algumas observações importantes sobre sua personalidade e seus princípios. O bom profissional tem de ser antes de tudo uma pessoa de boa conduta, sendo conhecedor dos princípios básicos do direito, de sigilo e privacidade, além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque.
Com o avanço da tecnologia o profissional deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos, inclusive as que não se têm registro de ter ocorrido, mas que já são vistas como uma exploração em potencial de uma determinada vulnerabilidade de um sistema.
Este terá de ter conhecimento das diretivas internas das empresas e instituições envolvidas no processo investigativo, com especial atenção às limitações como diretivas de privacidade, sigilo e escopo ou jurisdição de atuação, sendo uma pessoa que está sempre atualizada com os acontecimentos globais, novas tecnologias, softwares e aplicações hackers.
3. Fontes de Informação
A busca de indícios em um sistema computacional inicia-se com uma varredura minuciosa das informações nele contidas, seja em arquivos ou em memória, dados "deletados" ou não, cifrados ou possivelmente danificados.
De acordo com Adams (2000) existem três tipos de espaços, no computador, que podem conter informações valiosas para uma investigação, que serão detalhados no decorrer do trabalho:
- espaço de arquivos lógicos: refere-se aos blocos do disco rígido que, no momento do exame, estão atribuídos a um arquivo ativo ou à estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode);
- espaço sub aproveitado: espaço formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. São listados nesta categoria todos os tipos de resíduo de arquivos, como a memória RAM e os arquivos sub aproveitados;
- espaço não-alocado: qualquer setor não tomado que esteja ou não em uma partição ativa.
Para fins de ilustração, os dados de um disco rígido foram divididos em camadas parecidas com as do modelo de rede OSI (KUROSE e ROSS, 2003). Encontram-se informações com valor de provas em todas essas camadas.
A Tabela 1 apresenta a localização em determinados sistemas operacionais da alocação de evidências nas camadas de arquivos do sistema. Isso ajuda a determinar o tipo de ferramenta a ser usada para extrair as informações.
De acordo com Adams (2000), em alguns casos, a perícia objetiva responder alguns quesitos pré-estabelecidos, como, por exemplo, "descrever o conteúdo das mídias enviadas para o exame", mas muitas são as fontes de informação para uma análise forense em um sistema computacional. Dentre elas, citam-se as listadas a seguir:
3.1 Sistemas de Arquivos
Representando a maior fonte de informação para o exame forense, os arquivos de dados e executáveis são analisados para se determinar seu conteúdo e funcionalidade no sistema computacional, sendo procurados indícios por palavras-chave, imagens, dados específicos ou programas utilizados para práticas ilícitas.
Além de alterações, exclusão ou até mesmo inclusão de modificações inesperadas em diretórios, arquivos (especialmente aqueles cujo acesso é restrito) podem caracterizar-se como indícios para uma infração. Exemplo: arquivos do tipo doc, txt, imagens, programas executáveis, aplicações instaladas (exe), dentre outras.
3.2 Arquivos de Logs
Estes também representam um papel importante na análise do sistema de arquivos, pois permitem a reconstituição de fatos que ocorreram no sistema computacional, podendo registrar entre outras informações as atividades usuais e não usuais dos usuários, dos processos e do sistema, as conexões e atividades de rede, podendo variar de acordo com o sistema operacional e serviços utilizados.
O arquivo de log serve para a indicação de ações em um determinado sistema operacional ou de alguma aplicação. Um exemplo de arquivo log é o arquivo que contém o histórico dos registros das páginas visitadas por um usuário no acesso a web.
3.3 Espaços Não Utilizados no Dispositivo de Armazenamento
- Estes espaços podem ser caracterizados, na concepção de Freitas (2006) como:
- Espaços não alocados dentro do sistema de arquivos;
- Espaços alocados a arquivos, mas não totalmente utilizados (chamados de file slacks)
- Área de dispositivo de armazenamento que não constituem uma partição de disco ou que não contém um sistema de arquivos;
- Arquivos e diretórios excluídos.
Esses espaços podem conter indícios de algum ato ilícito e devem ser investigados.
3.4 Arquivos Temporários (temp)
Descrito no trabalho de Freitas (2006), alguns programas de processamento, desde o de texto até os que manipulam banco de dados, criam arquivos temporários nos diretórios durante sua execução. Esses arquivos são apagados automaticamente ao final da sessão de trabalho e como podem conter indícios de atos ilícitos deverão ser investigados.
3.5 Setor de Swap
Segundo Freitas (2006), o gerenciamento de memória do sistema operacional utiliza o setor de swap como uma grande área de armazenamento temporário de arquivos, que pode ser descarregados momentaneamente na memória principal, podendo ser tanto um arquivo quanto uma partição inteira do disco. Logo, este setor poderá conter alguma prova de algum ato ilícito e esta deve ser também investigada.
3.6 Setor de Boot
Este setor trabalha na inicialização do sistema operacional, sendo possível, se modificado, carregar qualquer outro tipo de programa durante a inicialização do computador, de acordo com Freitas (2006). Exemplo: inserção de uma instrução no boot que irá inicializar algum tipo de ocorrência maliciosa no sistema operacional. Logo é importante também para o investigador a análise do setor de boot do computador periciado.
3.7 Memória
A memória contém informações voláteis do sistema, que ainda não foram gravadas em disco. De acordo com Freitas (2006), tais informações podem ser acessadas por meio de dumps da memória ou pela geração de core files. Exemplo: buffer de impressora, área de transferência de arquivos.
3.8 Periféricos
Na concepção de Freitas (2006), são quase todos os dispositivos, implantados ou não, em um computador, que obtém memória, sendo esta temporária ou não. Exemplo: impressoras, pendrives, scanners, etc.
4. Considerações Finais
A compreensão de cada camada de observação em um caso de investigação forense computacional ficou mais clara conforme se deu o desenvolvimento teórico e prático da pesquisa e aplicação de práticas forenses.
A forense computacional está se fazendo cada vez mais presente e cada vez menos dispensável pelos motivos apresentados neste trabalho sobre o histórico acelerado de crescimento da base de atividades computacionais nas relações humanas.
A validade técnica e jurídica das metodologias para recuperar dados de computadores envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos têm que ser tecnologicamente robustos para garantir que toda a informação útil como prova seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na evidência original seja alterado, adicionado ou excluído.
Devido à globalização dos crimes digitais é fundamental que sejam feitos, em cada país, esforços constantes a respeito de legislação local, nacional e internacional em conjunto com a padronização de procedimentos, criação e uso de manuais de boas práticas aceitas internacionalmente para a forense computacional.
Fonte: Imasters.