RESUMO Este artigo trata de um estudo bibliogrfico acerca do tema percia computacional forense baseado em trabalhos de investigao j publicados. Foi feito um panorama geral do que seria a internet e qual a sua importncia para a sociedade atualmente, uma vez que se trata do meio onde ocorrem as mais variadas condutas ilcitas, como transferncia de valores, crimes contra a honra, sabotagem, entre outros. Alm de um apanhado geral do que seja percia forense computacional, alguns conceitos como: processo Forense, Tipos de Percia Forense Computacional. Palavras chave: Percia forense; processo forense; computao forense. ABSTRACT This article is a bibliographical study on the subject computer forensic expertise based on research already published. An overview of what would be the internet and what is its importance to society today was made, since it is the medium in which occur the most varied illicit conduct, as transfer values, honor crimes, sabotage, among others. In addition to an overview of what computer forensics, some concepts as: Forensic process, Types of Computer Forensics. Keywords: Forensics Expertise; forensic process; computer forensics. 1.INTRODUO Baseado em trabalhos de investigao j publicados no meio cientfico, o presente artigo se prope a apresentar uma reviso bibliogrfica acerca do
1 Especializando em ..... tema: Percia computacional forense aplicada a redes, tema ainda pouco difundido apesar do avano das Tecnologias da Informao e Comunicao (TIC's). O artigo busca contribuir tambm na identificao de regras e procedimentos com vistas segurana da informao. Buscaremos, antes de tudo, dar um panorama geral do que seria a internet e qual a sua importncia para a sociedade atualmente, uma vez que se trata do meio onde ocorrem as mais variadas condutas ilcitas, como transferncia de valores, crimes contra a honra, sabotagem, entre outros, alm de tratarmos de alguns conceitos de crimes informticos e suas diferentes classificaes. Traremos, tambm, um breve relato do que seja Percia Forense Computacional, Processo Forense, Tipos de Percia Forense Computacional. Por fim, traremos um apanhado geral do que seja percia forense computacional aplicada a redes que para Vacca (2005) uma coleta, preservao, anlise e apresentao de evidncias relacionadas a ambientes computacionais.
2.INTERNET No conceito trazido pelo Ministrio da Cincia e Tecnologia do Brasil, internet um sistema de redes de computadores uma rede de redes que pode ser utilizado por qualquer pessoa, em qualquer parte do mundo, onde haja um ponto de acesso, e que oferece um amplo leque de servios bsicos, tais como correio eletrnico, acesso livre ou autorizado a informaes em diversos formatos digitais, transferncia de arquivos (grifos do autor). Nos dizeres de Marco Antonio Zanellato, a internet uma cadeia mundial de redes de computadores pblicos ou privados, ligados uns aos outros por equipamentos informticos heterogneos e que fornecem os mais variados servios. Para ele, so trs os elementos que caracterizam a internet: (a) uma cadeia de redes (rseau de rseaux); (b) em escala mundial; (c) cujos equipamentos informticos expressam a mesma linguagem e utilizam as mesmas tcnicas para fazer circular a informao. A internet fruto da evoluo tecnolgica proporcionada pela sociedade de massa, sendo certo que as informaes so passadas para um nmero absolutamente indeterminado de pessoas em curtos espaos de tempo. Mas no s. Alm de facilitar a comunicao entre as pessoas e possibilitar a disseminao rpida de informaes, a internet ainda facilita muito a vida de quem possui acesso a um computador a ela conectado. Atualmente possvel que o indivduo, sem sair de casa, troque correspondncias, arquivos, idias, comunique-se em tempo real, faa pesquisas, utilize servios e compre produtos9. Existem, inclusive, diversos servios estatais que so prestados pela internet. possvel, por exemplo, inscrever-se na Previdncia Social pela internet, alm de muitas outras facilidades que a internet oferece para o cotidiano do ser humano. Assim, a internet uma rede mundial de computadores, que facilita ao extremo o relacionamento entre diversas pessoas, fsicas ou jurdicas, seja no sentido pessoal ou comercial. A internet permite a rpida comunicao, envio de mensagens e arquivos, transmisso de textos, ofertas de produtos ou servios, compras, pesquisas etc., mas tambm permite a prtica de condutas ilcitas, pois, como no poderia ser diferente, tudo aquilo que surge para facilitar a vida e a convivncia humana, tambm acompanhado de prticas criminosas que vem para prejudicar o cidado.
3. PERCIA FORENSE COMPUTACIONAL
Vacca (2005) define percia forense computacional como a coleta, preservao, anlise e apresentao de evidncias relacionadas a ambientes computacionais. Estas evidncias podem ser teis em investigaes de crimes cibernticos ou mesmo no relacionados diretamente ao campo da computao. Podem, ainda, servir como instrumento de anlise de vulnerabilidades em sistemas, bem como verificar o nvel de utilizao dos recursos computacionais pelos usurios. Em outras palavras, o processo de anlise metdica de dados, equipamentos e mdias, em busca de evidncias que possam melhor detalhar atividades realizadas em determinado meio computacional. Segundo Ferreira (1 999), o termo percia significa sabedoria, prtica, experincia, habilidade em alguma cincia ou arte; segundo o mesmo autor, o termo forense refere-se ao que vem do foro judicial; dos tribunais ou a eles relativo. Sob essa perspectiva, pode-se afirmar que percia forense refere-se utilizao de conhecimentos e habilidades em determinada cincia aplicados em carter judicial. Com base nestas definies, pode-se caracterizar percia computacional forense como um ramo que combina elementos jurdicos e da cincia da computao. Esta combinao visa coletar e analisar dados em sistemas, redes, bancos de dados e dispositivos de armazenamento, e possibilita a apresentao de evidncias em ambientes jurdicos, sindicncias e processos de elucidao de prticas lesivas ao ambiente computacional, de forma geral. 4 PROCESSO FORENSE Kent et al. (2006) sugere que o processo pericial seja realizado baseando-se em quatro fases: coleta, extrao, anlise e documentao. Este processo bsico aplica-se percia forense computacional de maneira geral, assim cabe sua utilizao em percia aplicada a redes. Coleta Diz respeito identificao e coleta de dados que podem, potencialmente, conter evidncias digitais, seguindo procedimentos que visem preservar a integridade dos dados e dispositivos. Este passo deve ocorrer imediatamente aps o conhecimento do incidente, visando reduzir eventuais perdas de informao. Esta fase subdivide-se em outras duas: identificao de possveis fontes de dados e aquisio ou coleta dos dados (KENT et al., 2006). Na primeira, o analista deve ser capaz de identificar e recolher todas as possveis fontes de dados, tais como computadores, laptops, servidores, dispositivos de armazenamento e celulares entre outros. Com os avanos da tecnologia, novas fontes de dados surgem diariamente, o que demanda do analista um ndice elevado de atualizao tecnolgica (KENT et al., 2006). importante, tambm, verificar a presena de informaes teis localizadas em outros locais, tais como provedores de acesso, a fim de detectar, por exemplo, possveis conexes de rede suspeitas. A aquisio ou coleta de dados, por sua vez, subdivide-se em trs passos: desenvolvimento de plano para aquisio de dados, aquisio propriamente dita e verificao da integridade dos dados. O desenvolvimento do plano de aquisio visa elaborao do mesmo tendo em vista a combinao dos seguintes fatores: valor da fonte, volatilidade e quantidade de esforo requerido. A aquisio de dados pode ser realizada localmente, agindo diretamente sobre os sistemas que esto sendo analisados, ou remotamente. Entretanto, ter a capacidade de realizar este trabalho localmente permite maior controle do perito sobre as operaes. A verificao de integridade dos dados pode ser realizada utilizando-se funes matemticas de comparao de resumos (digests) da fonte de evidncia em relao aos dados coletados, determinando a correspondncia dos dados. Extrao A segunda fase envolve a extrao de contedo da informao de interesse particular, utilizando-se mtodos forenses, visando preservar a integridade do material. Isto significa que a extrao de dados e sua posterior anlise so realizadas na cpia forense, de modo a manter inalteradas as evidncias digitais presentes na fonte (KENT et al., 2006). Anlise A terceira fase refere-se anlise dos dados extrados, utilizando-se ferramentas e metodologias apropriadas. O intuito desta fase , com base na anlise realizada, determinar adequadamente as razes do incidente ou a impossibilidade de quaisquer concluses face aos dados obtidos (KENT et al.,2006). Apresentao A tarefa do perito forense, nesta fase, elaborar relatrio tcnico, com a finalidade de documentar e apresentar os resultados obtidos na fase anterior. Em particular, a atividade de documentao e comunicao foca sobre os seguintes aspectos das fases anteriores: mtodo de coleta/aquisio, anlise dos fatos e o valor tcnico do contedo analisado (KENT et al., 2006). 5. TIPOS DE PERCIA FORENSE COMPUTACIONAL A anlise realizada em percia forense computacional divide-se em dois tipos ou metodologias, que esto diretamente ligadas volatilidade dos dados periciais (LILLARD et al.,201 0): Anlise Post-Mortem Anlise realizada sobre dados no volteis, localizados nas diferentes fontes. Esta anlise prev a cpia dos dados em mdia distinta, preservando-se as evidncias originais, como forma de manter a integridade das provas, bem como permitir a eventual repetio da anlise (LILLARD et al., 201 0) (MACEDO, 201 0). Anlise em Tempo Real (Live) Este tipo de anlise consiste na coleta e anlise de dados com alto ndice de volatilidade, tais que o eventual desligamento da fonte de dados ocasione a perda destas informaes. Como exemplos, pode-se citar a captura de estado da memria, lista de processos ativos, usurios conectados e conexes de rede, entre outros (LILLARD et al., 201 0) (MACEDO, 201 0). 6.Percia Forense Computacional Aplicada a Redes Kim, Kim e Noh (2004, p. 1 76) definem percia computacional forense aplicada a redes como sendo a ao de capturar, gravar e analisar trilhas de auditoria de redes, visando descobrir a fonte de brechas de segurana e outras informaes relacionadas a problemas de segurana de redes. Percia forense de redes assim definida por Palmer (2001 , p.1 7): utilizao de tcnicas cientificamente comprovadas para coletar, unir, identificar, examinar, correlacionar, analisar e evidenciar provas digitais de mltiplas fontes de processamento e transmisso, com a finalidade de revelar fatos relacionados inteno do atacante ou medio do sucesso obtido em atividades no autorizadas, as quais tenham como objetivo interromper, corromper ou comprometer componentes do sistema, bem como fornecer informaes que contribuam para a resposta ou recuperao destas atividades. O conceito bsico de percia forense em redes de computadores trabalhar com dados encontrados em uma conexo de rede, analisando entradas e sadas de trfego entre hosts e redes distintas. Mediante utilizao de equipamentos de proteo, tais como firewalls e sistemas de deteco de intruso (IDS), bem como dispositivos de rede, como roteadores, so gerados registros de dados trafegados (logs), que so utilizados em anlises e procedimentos de percia forense em redes. Os objetivos destes procedimentos periciais so encontrar fontes de eventuais ataques e indcios de atos ilcitos na rede de dados, em carter interno ou externo a esta, possibilitando envidar os devidos esforos necessrios em mbito jurdico e/ou administrativo. Isto validado atravs da definio disponvel em Searchsecurity (201 2), ao afirmar que a percia forense em redes consiste na captura, gravao e anlise de eventos de rede, com objetivo de descobrir a fonte de ataques de segurana. Assim, pode-se afirmar que a percia forense em redes de computadores envolve o monitoramento de trfego da rede e determinao da existncia de qualquer anomalia neste trfego que indique a ocorrncia de um ataque. Caso as suspeitas se confirmem, ento deve ser determinada, em seguida, a natureza do ataque. Ento, o trfego capturado, preservado, analisado e uma resposta ao incidente deve ser obtida da maneira mais eficiente possvel, dadas as condies. O nmero cada vez maior de incidentes de segurana, assim como o incremento no nvel de sofisticao dos ataques e exploits, so as principais motivaes para a melhoria e o estudo continuado de tcnicas de percia forense em redes de computadores. Somado a isso, o maior nmero de transaes comerciais realizadas em rede requer condies de segurana favorveis por parte de organizaes e clientes, bem como o atendimento a rgos reguladores, em determinados ramos de atuao, no que tange o cumprimento de normas que garantam um nvel mnimo de segurana. Assim, a percia forense em redes visa atender as necessidades de todos os envolvidos. 7. SISTEMAS DE PERCIA FORENSE DE REDES Garfinkel (2012) classifica os sistemas de percia de redes em dois tipos: catch-it-as-you-can e stop-look-and-listen. Os sistemas Catch-It-As-You-Can so aqueles onde todos os pacotes passam por um ponto de trfego comum, sendo capturados e armazenados. Sua anlise realizada em sequncia, em modo de lote. Esta forma de tratamento requer maior espao de armazenamento. Estes sistemas so baseados em anlises post-mortem (GARFINKEL, 2012). Os sistemas Stop-Look-and-Listen so sistemas onde os pacotes sofrem uma espcie de triagem ou anlise prvia, e somente algumas informaes so salvas para anlise futura. Este mtodo requer maior poder de processamento para alcanar melhores resultados, vez que sua anlise prvia ocorre em tempo real, conforme prev o tipo de anlise em tempo real (live), citado anteriormente (GARFINKEL, 201 2). 8. FERRAMENTAS DE ANLISE FORENSE DE REDES (NFAT) As ferramentas de anlise forense de redes (Network Forensic Analysis Tools - NFAT) permitem o monitoramento de redes, visando reunir informaes sobre trfego, auxiliar na investigao e colaborar para a elaborao de respostas aos incidentes de segurana, de forma adequada. Auxiliam, ainda, na anlise de intruses e m utilizao de recursos de rede, preveno a possveis ataques, avaliao de riscos, avaliao de desempenho da rede e proteo de propriedade intelectual (SIRA, 2003). Segundo Singh (2009), trs so as funes bsicas que as NFAT devem desempenhar: captura de trfego, anlise do trfego capturado, conforme necessidades do perito, e interao apropriada entre o analista e a ferramenta. Estas ferramentas, em conjunto com firewalls e IDS, viabilizam a preservao de registros de trfego, o que determinante para o levantamento de evidncias, bem como para caracterizar eventuais repeties e similaridades em movimentos de ataque (COREY et al., 2002). Facilitam, assim, a organizao das informaes capturadas e a descoberta de padres de trfego na rede. Algumas destas solues so agrupadas e disponibilizadas em distribuies Linux, especialmente construdas para fins de percia forense. So exemplos desse tipo de distribuio Caine, INSERT e Protech (LJUBUNCIC, 201 2) (MALWARE HELP.ORG, 2012). Existem, atualmente, vrias ferramentas com estes propsitos, sejam elas solues livres ou comerciais. As ferramentas Kismet (KERSHAW, 201 2), tcpdump (TCPDUMP/ LIBPCAP, 2012) e Xplico (COSTA; FRANCESCHI, 2012) esto disponveis para plataformas Unix-like, enquanto a ferramenta NetworkMiner (NETRESEC, 2012) est disponvel somente para a plataforma Windows. Algumas delas, como Netflow (FORENSICS WIKI, 201 2), desenvolvida para o ambiente Cisco, so especficas de plataformas proprietrias e com propsitos estritamente definidos. Outras, tais como NetDetector (NIKSUN, 2012), nmap (LYON, 201 2), Snort (SNORT BRASIL, 201 2) e Wireshark (COMBS et al., 201 2), possuem verses para diversas plataformas, embora sejam desenvolvidas por comunidades ligadas filosofia open-source, exceo da primeira, que tem foco e desenvolvimento comerciais. Alm das solues citadas, os sistemas operacionais tambm possuem, em suas instalaes padres, aplicaes em linha de comando, as quais podem ser utilizadas como ferramentas de apoio s NFAT. So exemplos destes utilitrios: traceroute, netstat, ping, whois, nslookup, wget, arp, iperf, lft, tcpreplay, entre muitos outros (FORENSICWIKI, 2012). 9.CONSIDERAES FINAIS A segurana em redes considerada, atualmente, como um grande ponto de ateno e de preocupao, dada a importncia das comunicaes em rede para a sociedade, assim como toda a infraestrutura que as suportam. Diversas tcnicas tm sido desenvolvidas e melhoradas, visando identificar a ocorrncia de atividades maliciosas e possveis ataques em uma rede.
10.REFERENCIAS BIBLIOGRFICAS 1. KENT, K. et al. Guide to Integrating Forensic Techniques intoIncident Response: Recommendations of the National Institute of Standards and Technology. Gaithersburg: 2. NIKSUN. NIKSUN: NetDetector Alpine. Disponvel em: <http://www.niksun.com/product.php?id=4>. Acesso em: 22 ago. 2014. 3. LYON, G.. Guia de Referncia do Nmap: Pgina do Manual.Disponvel em: <http://nmap.org/man/pt_BR/>. Acesso em: 22 ago. 2014. 4. PIMENTA, F. A. Percia forense computacional baseada em sistema operacional Windows XP Professional. Sorocaba, 2007. Disponvel em: <http://www.datasecurity.com.br/index.php/biblioteca/file/1 2-pericia- forensecomputacional-baseada-em-sistema-operacionalwindows- xpprofessiona l>. Acesso em: 23 ago. 2014. 5. VACCA, J. R. Computer Forensics: Computer Crime SceneInvestigation. 2. ed. Hingham: Charles River Media, 2005.