Um estudo bibliogrfico acerca do tema: Percia

computacional forense aplicada a redes

Ivon
1

RESUMO
Este artigo trata de um estudo bibliogrfico acerca do tema percia
computacional forense baseado em trabalhos de investigao j publicados.
Foi feito um panorama geral do que seria a internet e qual a sua importncia
para a sociedade atualmente, uma vez que se trata do meio onde ocorrem as
mais variadas condutas ilcitas, como transferncia de valores, crimes contra a
honra, sabotagem, entre outros. Alm de um apanhado geral do que seja
percia forense computacional, alguns conceitos como: processo Forense,
Tipos de Percia Forense Computacional.
Palavras chave: Percia forense; processo forense; computao
forense.
ABSTRACT
This article is a bibliographical study on the subject computer forensic expertise
based on research already published. An overview of what would be the
internet and what is its importance to society today was made, since it is the
medium in which occur the most varied illicit conduct, as transfer values, honor
crimes, sabotage, among others. In addition to an overview of what computer
forensics, some concepts as: Forensic process, Types of Computer Forensics.
Keywords: Forensics Expertise; forensic process; computer
forensics.
1.INTRODUO
Baseado em trabalhos de investigao j publicados no meio cientfico,
o presente artigo se prope a apresentar uma reviso bibliogrfica acerca do

1
Especializando em .....
tema: Percia computacional forense aplicada a redes, tema ainda pouco
difundido apesar do avano das Tecnologias da Informao e Comunicao
(TIC's). O artigo busca contribuir tambm na identificao de regras e
procedimentos com vistas segurana da informao.
Buscaremos, antes de tudo, dar um panorama geral do que seria a
internet e qual a sua importncia para a sociedade atualmente, uma vez que se
trata do meio onde ocorrem as mais variadas condutas ilcitas, como
transferncia de valores, crimes contra a honra, sabotagem, entre outros, alm
de tratarmos de alguns conceitos de crimes informticos e suas diferentes
classificaes.
Traremos, tambm, um breve relato do que seja Percia Forense
Computacional, Processo Forense, Tipos de Percia Forense Computacional.
Por fim, traremos um apanhado geral do que seja percia forense
computacional aplicada a redes que para Vacca (2005) uma coleta,
preservao, anlise e apresentao de evidncias relacionadas a ambientes
computacionais.

2.INTERNET
No conceito trazido pelo Ministrio da Cincia e Tecnologia do Brasil,
internet um sistema de redes de computadores uma rede de redes que
pode ser utilizado por qualquer pessoa, em qualquer parte do mundo, onde
haja um ponto de acesso, e que oferece um amplo leque de servios bsicos,
tais como correio eletrnico, acesso livre ou autorizado a informaes em
diversos formatos digitais, transferncia de arquivos
(grifos do autor).
Nos dizeres de Marco Antonio Zanellato, a internet uma cadeia
mundial de redes de computadores pblicos ou privados, ligados uns aos
outros por equipamentos informticos heterogneos e que fornecem os mais
variados servios. Para ele, so trs os elementos que caracterizam a internet:
(a) uma cadeia de redes (rseau de rseaux); (b) em escala mundial; (c)
cujos equipamentos informticos expressam a mesma linguagem e utilizam as
mesmas tcnicas para fazer circular a informao.
A internet fruto da evoluo tecnolgica proporcionada pela sociedade
de massa, sendo certo que as informaes so passadas para um nmero
absolutamente indeterminado de pessoas em curtos espaos de tempo. Mas
no s. Alm de facilitar a comunicao entre as pessoas e possibilitar a
disseminao rpida de informaes, a internet ainda facilita muito a vida de
quem possui acesso a um computador a ela conectado.
Atualmente possvel que o indivduo, sem sair de casa, troque
correspondncias, arquivos, idias, comunique-se em tempo real, faa
pesquisas, utilize servios e compre produtos9. Existem, inclusive, diversos
servios estatais que so prestados pela internet. possvel, por exemplo,
inscrever-se na Previdncia Social pela internet, alm de muitas outras
facilidades que a internet oferece para o cotidiano do ser humano.
Assim, a internet uma rede mundial de computadores, que facilita ao extremo
o relacionamento entre diversas pessoas, fsicas ou jurdicas, seja no sentido
pessoal ou comercial.
A internet permite a rpida comunicao, envio de mensagens e
arquivos, transmisso de textos, ofertas de produtos ou servios, compras,
pesquisas etc., mas tambm permite a prtica de condutas ilcitas, pois, como
no poderia ser diferente, tudo aquilo que surge para facilitar a vida e a
convivncia humana, tambm acompanhado de prticas criminosas que vem
para prejudicar o cidado.

3. PERCIA FORENSE COMPUTACIONAL

Vacca (2005) define percia forense computacional como a coleta,
preservao, anlise e apresentao de evidncias relacionadas a ambientes
computacionais. Estas evidncias podem ser teis em investigaes de crimes
cibernticos ou mesmo no relacionados diretamente ao campo da
computao. Podem, ainda, servir como instrumento de anlise de
vulnerabilidades em sistemas, bem como verificar o nvel de utilizao dos
recursos computacionais pelos usurios. Em outras palavras, o processo de
anlise metdica de dados, equipamentos e mdias, em busca de evidncias
que possam melhor detalhar atividades realizadas em determinado meio
computacional.
Segundo Ferreira (1 999), o termo percia significa sabedoria, prtica,
experincia, habilidade em alguma cincia ou arte; segundo o mesmo autor, o
termo forense refere-se ao que vem do foro judicial; dos tribunais ou a eles
relativo. Sob essa perspectiva, pode-se afirmar que percia forense refere-se
utilizao de conhecimentos e habilidades em determinada cincia aplicados
em carter judicial.
Com base nestas definies, pode-se caracterizar percia computacional
forense como um ramo que combina elementos jurdicos e da cincia da
computao. Esta combinao visa coletar e analisar dados em sistemas,
redes, bancos de dados e dispositivos de armazenamento, e possibilita a
apresentao de evidncias em ambientes jurdicos, sindicncias e processos
de elucidao de prticas lesivas ao ambiente computacional, de forma geral.
4 PROCESSO FORENSE
Kent et al. (2006) sugere que o processo pericial seja realizado
baseando-se em quatro fases: coleta, extrao, anlise e documentao. Este
processo bsico aplica-se percia forense computacional de maneira geral,
assim cabe sua utilizao em percia aplicada a redes.
Coleta
Diz respeito identificao e coleta de dados que podem,
potencialmente, conter evidncias digitais, seguindo procedimentos que visem
preservar a integridade dos dados e dispositivos. Este passo deve ocorrer
imediatamente aps o conhecimento do incidente, visando reduzir eventuais
perdas de informao.
Esta fase subdivide-se em outras duas: identificao de possveis fontes
de dados e aquisio ou coleta dos dados (KENT et al., 2006). Na primeira, o
analista deve ser capaz de identificar e recolher todas as possveis fontes de
dados, tais como computadores, laptops, servidores, dispositivos de
armazenamento e celulares entre outros. Com os avanos da tecnologia, novas
fontes de dados surgem diariamente, o que demanda do analista um ndice
elevado de atualizao tecnolgica (KENT et al., 2006).
importante, tambm, verificar a presena de informaes teis
localizadas em outros locais, tais como provedores de acesso, a fim de
detectar, por exemplo, possveis conexes de rede suspeitas. A aquisio ou
coleta de dados, por sua vez, subdivide-se em trs passos: desenvolvimento
de plano para aquisio de dados, aquisio propriamente dita e verificao da
integridade dos dados. O desenvolvimento do plano de aquisio visa
elaborao do mesmo tendo em vista a combinao dos seguintes fatores:
valor da fonte, volatilidade e quantidade de esforo requerido.
A aquisio de dados pode ser realizada localmente, agindo diretamente
sobre os sistemas que esto sendo analisados, ou remotamente. Entretanto,
ter a capacidade de realizar este trabalho localmente permite maior controle do
perito sobre as operaes.
A verificao de integridade dos dados pode ser realizada utilizando-se
funes matemticas de comparao de resumos (digests) da fonte de
evidncia em relao aos dados coletados, determinando a correspondncia
dos dados.
Extrao
A segunda fase envolve a extrao de contedo da informao de
interesse particular, utilizando-se mtodos forenses, visando preservar a
integridade do material. Isto significa que a extrao de dados e sua posterior
anlise so realizadas na cpia forense, de modo a manter inalteradas as
evidncias digitais presentes na fonte (KENT et al., 2006).
Anlise
A terceira fase refere-se anlise dos dados extrados, utilizando-se
ferramentas e metodologias apropriadas. O intuito desta fase , com base na
anlise realizada, determinar adequadamente as razes do incidente ou a
impossibilidade de quaisquer concluses face aos dados obtidos (KENT et
al.,2006).
Apresentao
A tarefa do perito forense, nesta fase, elaborar relatrio tcnico, com a
finalidade de documentar e apresentar os resultados obtidos na fase anterior.
Em particular, a atividade de documentao e comunicao foca sobre os
seguintes aspectos das fases anteriores: mtodo de coleta/aquisio, anlise
dos fatos e o valor tcnico do contedo analisado (KENT et al., 2006).
5. TIPOS DE PERCIA FORENSE COMPUTACIONAL
A anlise realizada em percia forense computacional divide-se em dois
tipos ou metodologias, que esto diretamente ligadas volatilidade dos dados
periciais (LILLARD et al.,201 0):
Anlise Post-Mortem
Anlise realizada sobre dados no volteis, localizados nas diferentes
fontes. Esta anlise prev a cpia dos dados em mdia distinta, preservando-se
as evidncias originais, como forma de manter a integridade das provas, bem
como permitir a eventual repetio da anlise (LILLARD et al., 201 0)
(MACEDO, 201 0).
Anlise em Tempo Real (Live)
Este tipo de anlise consiste na coleta e anlise de dados com alto
ndice de volatilidade, tais que o eventual desligamento da fonte de dados
ocasione a perda destas informaes. Como exemplos, pode-se citar a captura
de estado da memria, lista de processos ativos, usurios conectados e
conexes de rede, entre outros (LILLARD et al., 201 0) (MACEDO, 201 0).
6.Percia Forense Computacional Aplicada a Redes
Kim, Kim e Noh (2004, p. 1 76) definem percia computacional forense
aplicada a redes como sendo a ao de capturar, gravar e analisar trilhas de
auditoria de redes, visando descobrir a fonte de brechas de segurana e outras
informaes relacionadas a problemas de segurana de redes.
Percia forense de redes assim definida por Palmer (2001 , p.1 7):
utilizao de tcnicas cientificamente comprovadas para coletar, unir,
identificar, examinar, correlacionar, analisar e evidenciar provas digitais de
mltiplas fontes de processamento e transmisso, com a finalidade de revelar
fatos relacionados inteno do atacante ou medio do sucesso obtido em
atividades no autorizadas, as quais tenham como objetivo interromper,
corromper ou comprometer componentes do sistema, bem como fornecer
informaes que contribuam para a resposta ou recuperao destas
atividades.
O conceito bsico de percia forense em redes de computadores
trabalhar com dados encontrados em uma conexo de rede, analisando
entradas e sadas de trfego entre hosts e redes distintas. Mediante utilizao
de equipamentos de proteo, tais como firewalls e sistemas de deteco de
intruso (IDS), bem como dispositivos de rede, como roteadores, so gerados
registros de dados trafegados (logs), que so utilizados em anlises e
procedimentos de percia forense em redes. Os objetivos destes procedimentos
periciais so encontrar fontes de eventuais ataques e indcios de atos ilcitos na
rede de dados, em carter interno ou externo a esta, possibilitando envidar os
devidos esforos necessrios em mbito jurdico e/ou administrativo. Isto
validado atravs da definio disponvel em Searchsecurity (201 2), ao afirmar
que a percia forense em redes consiste na captura, gravao e anlise de
eventos de rede, com objetivo de descobrir a fonte de ataques de segurana.
Assim, pode-se afirmar que a percia forense em redes de computadores
envolve o monitoramento de trfego da rede e determinao da existncia de
qualquer anomalia neste trfego que indique a ocorrncia de um ataque. Caso
as suspeitas se confirmem, ento deve ser determinada, em seguida, a
natureza do ataque. Ento, o trfego capturado, preservado, analisado e
uma resposta ao incidente deve ser obtida da maneira mais eficiente possvel,
dadas as condies.
O nmero cada vez maior de incidentes de segurana, assim como o
incremento no nvel de sofisticao dos ataques e exploits, so as principais
motivaes para a melhoria e o estudo continuado de tcnicas de percia
forense em redes de computadores. Somado a isso, o maior nmero de
transaes comerciais realizadas em rede requer condies de segurana
favorveis por parte de organizaes e clientes, bem como o atendimento a
rgos reguladores, em determinados ramos de atuao, no que tange o
cumprimento de normas que garantam um nvel mnimo de segurana. Assim,
a percia forense em redes visa atender as necessidades de todos os
envolvidos.
7. SISTEMAS DE PERCIA FORENSE DE REDES
Garfinkel (2012) classifica os sistemas de percia de redes em dois tipos:
catch-it-as-you-can e stop-look-and-listen.
Os sistemas Catch-It-As-You-Can so aqueles onde todos os pacotes
passam por um ponto de trfego comum, sendo capturados e armazenados.
Sua anlise realizada em sequncia, em modo de lote. Esta forma de
tratamento requer maior espao de armazenamento. Estes sistemas so
baseados em anlises post-mortem (GARFINKEL, 2012).
Os sistemas Stop-Look-and-Listen so sistemas onde os pacotes sofrem uma
espcie de triagem ou anlise prvia, e somente algumas informaes so
salvas para anlise futura. Este mtodo requer maior poder de processamento
para alcanar melhores resultados, vez que sua anlise prvia ocorre em
tempo real, conforme prev o tipo de anlise em tempo real (live), citado
anteriormente (GARFINKEL, 201 2).
8. FERRAMENTAS DE ANLISE FORENSE DE REDES (NFAT)
As ferramentas de anlise forense de redes (Network Forensic Analysis
Tools - NFAT) permitem o monitoramento de redes, visando reunir informaes
sobre trfego, auxiliar na investigao e colaborar para a elaborao de
respostas aos incidentes de segurana, de forma adequada. Auxiliam, ainda,
na anlise de intruses e m utilizao de recursos de rede, preveno a
possveis ataques, avaliao de riscos, avaliao de desempenho da rede e
proteo de propriedade intelectual (SIRA, 2003).
Segundo Singh (2009), trs so as funes bsicas que as NFAT devem
desempenhar: captura de trfego, anlise do trfego capturado, conforme
necessidades do perito, e interao apropriada entre o analista e a ferramenta.
Estas ferramentas, em conjunto com firewalls e IDS, viabilizam a preservao
de registros de trfego, o que determinante para o levantamento de
evidncias, bem como para caracterizar eventuais repeties e similaridades
em movimentos de ataque (COREY et al., 2002). Facilitam, assim, a
organizao das informaes capturadas e a descoberta de padres de trfego
na rede.
Algumas destas solues so agrupadas e disponibilizadas em distribuies
Linux, especialmente construdas para fins de percia forense. So exemplos
desse tipo de distribuio Caine, INSERT e Protech (LJUBUNCIC, 201 2)
(MALWARE HELP.ORG, 2012).
Existem, atualmente, vrias ferramentas com estes propsitos, sejam
elas solues livres ou comerciais. As ferramentas Kismet (KERSHAW, 201 2),
tcpdump (TCPDUMP/ LIBPCAP, 2012) e Xplico (COSTA; FRANCESCHI, 2012)
esto disponveis para plataformas Unix-like, enquanto a ferramenta
NetworkMiner (NETRESEC, 2012) est disponvel somente para a plataforma
Windows. Algumas delas, como Netflow (FORENSICS WIKI, 201 2),
desenvolvida para o ambiente Cisco, so especficas de plataformas
proprietrias e com propsitos estritamente definidos. Outras, tais como
NetDetector (NIKSUN, 2012), nmap (LYON, 201 2), Snort (SNORT BRASIL,
201 2) e Wireshark (COMBS et al., 201 2), possuem verses para diversas
plataformas, embora sejam desenvolvidas por comunidades ligadas filosofia
open-source, exceo da primeira, que tem foco e desenvolvimento
comerciais.
Alm das solues citadas, os sistemas operacionais tambm possuem,
em suas instalaes padres, aplicaes em linha de comando, as quais
podem ser utilizadas como ferramentas de apoio s NFAT. So exemplos
destes utilitrios: traceroute, netstat, ping, whois, nslookup, wget, arp, iperf, lft,
tcpreplay, entre muitos outros (FORENSICWIKI, 2012).
9.CONSIDERAES FINAIS
A segurana em redes considerada, atualmente, como um grande
ponto de ateno e de preocupao, dada a importncia das comunicaes em
rede para a sociedade, assim como toda a infraestrutura que as suportam.
Diversas tcnicas tm sido desenvolvidas e melhoradas, visando identificar a
ocorrncia de atividades maliciosas e possveis ataques em uma rede.

10.REFERENCIAS BIBLIOGRFICAS
1. KENT, K. et al. Guide to Integrating Forensic Techniques intoIncident
Response: Recommendations of the National Institute of Standards and
Technology. Gaithersburg:
2. NIKSUN. NIKSUN: NetDetector Alpine. Disponvel em:
<http://www.niksun.com/product.php?id=4>. Acesso em: 22 ago. 2014.
3. LYON, G.. Guia de Referncia do Nmap: Pgina do Manual.Disponvel
em: <http://nmap.org/man/pt_BR/>. Acesso em: 22 ago. 2014.
4. PIMENTA, F. A. Percia forense computacional baseada em sistema
operacional Windows XP Professional. Sorocaba, 2007. Disponvel em:
<http://www.datasecurity.com.br/index.php/biblioteca/file/1 2-pericia-
forensecomputacional-baseada-em-sistema-operacionalwindows-
xpprofessiona l>. Acesso em: 23 ago. 2014.
5. VACCA, J. R. Computer Forensics: Computer Crime SceneInvestigation.
2. ed. Hingham: Charles River Media, 2005.