Início > Segurança > Laudo Técnico Forense Computacional

Laudo Técnico Forense Computacional

De acordo com [1], Forense Computacional pode ser definida como:

A inspeção científica e sistemática em ambientes computacionais, com a finalidade de angariar evidências derivadas de fontes digitais para que seja possível promover a reconstituição dos eventos encontrados (podendo assim, determinar se o ambiente em análise foi utilizado na realização de atividades ilegais ou não autorizadas)

Da definição, inferimos que o objetivo da Forense Computacional é, a partir de métodos científicos e sistemáticos, reconstruir as ações executadas nos diversos ativos de tecnologia utilizados em cyber crimes. O processo de investigação segue as seguintes fases:

4-0

Nesse artigo, vamos tratar do laudo pericial, que é a apresentação formal dos resultados através de um relatório dos dados coletados e analisados nas fases anteriores do processo. Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que ele contenha as seções abaixo:

  • Finalidade da investigação
  • Autor do laudo
  • Resumo do incidente
  • Metodologia
  • Técnicas
  • Softwares e equipamentos empregados
  • Relação de evidências analisadas e seus detalhes
  • Conclusão
  • Anexos
  • Glossário (ou rodapés)

Exemplo: Laudo Pericial Sobre a Natureza dos Artefatos Provenientes da Investigação em Andamento

1. Identificação dos materiais coletados

O senhor José nos enviou um arquivo compactado em 01/01/2016 chamado “Artefatos.zip” que continha os arquivos da investigação em andamento que deveriam ser analisados. Após a descompactação, os seguintes arquivos foram apresentados:

  • Calc.exe.exe
  • hacking_wordcloud.jpg
  • imagesCASYIOUX.jpg
  • notepad.exe

2. Objetivo

O objetivo dessa análise é descrever a natureza de cada arquivo encontrado na investigação em andamento.

3. Estudo preliminar

Como os arquivos da investigação foram coletados pelo senhor José e nos foram enviados para análise, utilizamos um modelo de investigação post-mortem: analisamos os tipos de cada arquivo e tecemos hipóteses sobre o que eram e o que poderia ter ocorrido com cada um deles.

Nossa primeira ação foi analisar a Integridade do arquivo “Artefatos.zip”, pois se constatássemos que esse arquivo eradiferente daquele informado pelo senhor José, a análise nos levaria a uma conclusão falaciosa.

Após constatada a integridade (3.1) do arquivo compactado, analisamos os arquivos que estavam contidos nele. Para cada arquivo, primeiro verificamos se a extensão declarada remetia ao tipo (3.2) de arquivo esperado. Ex.: arquivos com extensão “.jpg” contém imagens que podem ser exibidas em qualquer sistema operacional que tenha modo de exibição gráfico – como o Windows – e na Internet. Também verificamos se os arquivos possuíam algum malware (3.2).

Analisamos (3.3) detalhadamente o arquivo “Calc.exe.exe”, pois suspeitávamos de alguma alteração realizada nele em relação à sua versão original, pois o nome do arquivo era diferente do seu equivalente (o executável da calculadora) no sistema operacional Windows.

Com relação aos arquivos de imagem “hacking_wordcloud.jpg” e “imagesCASYIOUX.jpg”, foi testada a hipótese de presença de esteganografia (3.4), uma técnica utilizada para ocultar uma informação dentro de outra. A suspeita que motivou essa hipótese foi a grande quantidade de informação visual presentes nas imagens.

Para auxílio na análise das hipóteses levantadas, foram utilizadas as ferramentas abaixo:

3.1. Verificação da Integridade do arquivo compactado

  • O md5deep foi útil para cálculo de hash visando garantir a integridade do arquivo
    compactado que continha os artefatos.

3.2. Verificação de tipo dos arquivos e presença de malwares

3.3. Verificação de alteração nos arquivos

  • Utilizamos o OSForensics (http://www.osforensics.com/) para auxiliar na análise dos
    metadados dos arquivos visando reunir mais informações sobre eles.

3.4. Verificação da presença de esteganografia nos arquivos de imagem

4. Análise da integridade do arquivo “Artefatos.zip”

Utilizamos a ferramenta md5deep (3.1) para calcular o hash MD5 do arquivo “Artefatos.zip” enviado pelo professor. Se o resultado fosse diferente daquele informado pelo senhor José, o laudo não seria conclusivo, pois não poderíamos saber se estávamos trabalhando com os artefatos originais da investigação. O resultado foi o seguinte:

69ACD5EFEF6B4A8AA4A107C8D0F08EC – hash informado pelo senhor José
69ACD5EFEF6B4A8AA4A107C8D0F08EC – hash calculado pela ferramenta

Como pode ser observado, o hash informado e o calculado coincidiram.

5. Análise da hipótese de que as extensões dos arquivos não condizem

De acordo com o Anubis (3.2), os arquivos “Calc.exe.exe” e “notepad.exe” são arquivos executáveis do MS Windows. O Anubis também mostrou que os arquivos “hacking_wordcloud.jpg” e “imagesCASYIOUX.jpg” são imagens do tipo JPEG. O relatório completo do Anubis pode ser encontrado no Apêndice A.

6. Análise da hipótese de presença de malwares

De acordo com o Anubis (3.2), nenhum dos arquivos possuía malware. O relatório completo do Anubis pode ser encontrado no Apêndice A.

7. Análise da hipótese de que há alterações nos arquivos em relação à versão original

Utilizando o visualizador de arquivos do OSForensics (3.3), montei a tabela abaixo que contém o nome de cada artefato, seus respectivos tamanhos e as datas de criação, modificação e último acesso:

NOME DO ARQUIVO TAMANHO CRIAÇÃO MODIFICAÇÃO ACESSO
Calc.exe.exe 189,0 KB 13/07/2009 23:39:26 13/07/2009 23:39:26 13/07/2009 23:39:26
hacking_wordcloud.jpg 89,2 KB 18/03/2014 14:47:58 18/03/2014 14:47:58 18/03/2014 14:47:58
imagesCASYIOUX.jpg 8,0 KB 11/05/2014 11:25:20 11/05/2014 11:25:20 11/05/2014 11:25:20
notepad.exe 189,0 KB 13/07/2009 23:39:26 13/07/2009 23:39:26 13/07/2009 23:39:26

Tabela 1 – Informações dos arquivos

Como pode ser observado na Tabela 1, as datas de criação, modificação e último acesso são idênticas para cada arquivo. Com base nas datas, os arquivos não foram modificados. Dessa forma, prossegui com uma segunda hipótese derivada da primeira.

Desde o princípio da investigação, me chamou atenção o arquivo de nome “Calc.exe.exe”. Embora o nome do arquivo seja bem formado de acordo com as convenções do sistema operacional Windows, a duplicidade da extensão “.exe” em um aplicativo padrão do Windows – a calculadora científica – só pode ser causada intencionalmente.

Na Tabela 1, “Calc.exe.exe” e “notepad.exe” têm o mesmo tamanho. Embora seja possível, é pouco provável que duas aplicações diferentes quando compiladas tenham o mesmo tamanho. Sendo assim, procedemos à uma nova análise nesse arquivo com o OSForensics com atenção a outras informações de metadado. Como pode ser visto na imagem abaixo, o nome original desse arquivo era “Notepad”, que estava associado à aplicação “NOTEPAD.EXE”.

captura

Figura 1 – Metadados do arquivo “Calc.exe.exe” de acordo com o OSForensics

Como não é lançada nova versão da Calculadora Científica e nem do Bloco de Notas (do inglês, Notepad) desde 2009, utilizei os executáveis dos seus equivalentes no Windows 7 para comparação. Primeiro, comparei o artefato “Calc.exe.exe” e o executável da calculadora “Calc.exe” do Windows 7:

ATRIBUTOS ARTEFATO INVESTIGADO ARQUIVO NO WINDOWS 7
Nome do arquivo Calc.exe.exe Calc.exe
Tamanho 189,0 KB 897,0 KB
Criação 13/07/2009 23:39:26 13/07/2009 23:38:57
Modificação 13/07/2009 23:39:26 13/07/2009 23:38:57
Acesso 13/07/2009 23:39:26 13/07/2009 23:38:57

Tabela 2 – Comparação entre “Calc.exe.exe” e “Calc.exe” do Windows 7

Pela comparação, constatei diferenças nas datas e nos tamanhos dos arquivos. Em seguida, comparei o artefato “Calc.exe.exe” e o Bloco de Notas (“notepad.exe”) do Windows 7:

ATRIBUTOS ARTEFATO INVESTIGADO ARQUIVO NO WINDOWS 7
Nome do arquivo Calc.exe.exe Cnotepad.exe
Tamanho 189,0 KB 189,0 KB
Criação 13/07/2009 23:39:26 13/07/2009 23:39:26
Modificação 13/07/2009 23:39:26 13/07/2009 23:39:26
Acesso 13/07/2009 23:39:26 13/07/2009 23:39:26

Tabela 3 – Comparação entre “Calc.exe.exe” e “notepad.exe” do Windows 7

Pode-se se observar nas duas tabelas anteriores que “Calc.exe.exe” e “notepad.exe” do Windows 7 são idênticos em tamanho e datas. Comparando as Tabelas 3 e 1, verifiquei também que o arquivo “notepad.exe” do Windows 7 é igual ao artefato “notepad.exe”. Para finalizar, executei o arquivo no Windows 7 e o Bloco de Notas e não a calculadora foi aberto.

8. Análise da hipótese da presença de esteganografia

Suspeitamos que os arquivos “hacking_wordcloud.jpg” e “imagesCASYIOUX.jpg” possuíam informações ocultas (esteganografia) em virtude da quantidade excessiva de informação visual nas imagens. Para provar essa hipótese, utilizamos o Quick Stego (3.4), mas a ferramenta não encontrou indícios da presença de informações ocultas.

9. Conclusões

9.1. O resultado da análise (4) do hash do arquivo compactado “Artefatos.zip” enviado pelo senhor José mostrou que o arquivo era íntegro, ou seja, não havia sido alterado após a coleta dos artefatos, o que o torna válido para análise das demais hipóteses.

9.2. A análise (5) dos tipos de arquivo mostrou que as extensões declaradas condiziam com os tipos dos arquivos: dois arquivos executáveis do Windows (“Calc.exe.exe”, “notepad.exe”) e dois arquivos que continham imagens (“hacking_wordcloud.jpg” e “imagesCASYIOUX.jpg”).

9.3. A análise (6) não acusou presença de malwares nos artefatos investigados.

9.4. A análise (7) mostrou que o arquivo “Calc.exe.exe” era na verdade o Bloco de Notas do Windows (“notepad.exe”).

9.5. A análise (8) dos arquivos “hacking_wordcloud.jpg” e “imagesCASYIOUX.jpg” não mostrou indícios da presença de informações ocultas nas imagens (esteganografia).

APÊNDICE A

Resultados da análise do Anubis (http://anubis.iseclab.org/) para cada artefato proveniente da investigação.

Arquivo “Calc.exe.exe”

Unfortunately your file could not be executed.

It seems the file you provided is a Windows executable (PE) file, 
but the program failed to load/start in our analysis system. 
A typical reason for this error is that some of the required 
library files (dlls) are missing in our system or the program was 
not intended to be run in the operating system we are using.
According to the Unix file command your file is of the following type: 
PE32+ executable for MS Windows (GUI) Mono/.Net assembly

Arquivo “notepad.exe”

Unfortunately your file could not be executed.

It seems the file you provided is a Windows executable (PE) file, 
but the program failed to load/start in our analysis system. 
A typical reason for this error is that some of the required 
library files (dlls) are missing in our system or the program was 
not intended to be run in the operating system we are using.
According to the Unix file command your file is of the following type: 
PE32+ executable for MS Windows (GUI) Mono/.Net assembly

Arquivo “hacking_wordcloud.jpg”

Unfortunately your file could not be executed.

Either your file is not a valid Windows executable or some of its 
startup-dependencies have not been met.
According to the Unix file command your file is of the following type: 
JPEG image data, JFIF standard 1.01

Arquivo “imagesCASYIOUX.jpg”

Unfortunately your file could not be executed.

Either your file is not a valid Windows executable or some of its 
startup-dependencies have not been met.
According to the Unix file command your file is of the following type: 
JPEG image data, JFIF standard 1.01

Referências

1. [Forense Computacional: fundamentos, tecnologias e desafios atuais]

2. [Laudo Técnico Forense Computacional]

Anúncios
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: