Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux a

[helldanger1]

Neste artigo serão abordadas as técnicas e métodos usados na perícia forense no intento de levantar evidências que permitam identificar que o sistema foi invadido e de onde partiu o ataque em ambiente Unix/Linux.

Por: Matuzalém Guimarães

Ciência, perícia forense e as implicações legais
Computação forense, segundo Heiser; Kruse (2001) é a ciência da aquisição, recuperação, preservação, e apresentação dos dados que foram manipulados eletronicamente e armazenados em mídias computacionais. Ainda segundo o autor, a computação forense, ao invés de produzir conclusões que exigem interpretação do perito, a computação forense produz de forma direta as informações e dados que servirão como provas diretas em processos judiciais contra criminosos cibernéticos.

De acordo com Costa (2003), com a perícia forense computacional é possível reconstruir os fatos que aconteceram no passado em um sistema e seu uso pode estar relacionado com a coleta de evidências para ações disciplinares internas em uma empresa ou para processos conduzidos pela justiça.


Implicações legais
No modelo proposto por Geus (2001 apud Pollitt, 1995), existe uma hierarquia a ser respeitada com duas classes: a das Implicações Legais e a dos Padrões Técnicos. Para cada uma destas classes há também uma hierarquia a ser seguida. A classe dos Padrões Legais é composta inicialmente pelos Princípios Legais e posteriormente pelas Exigências Legais. Na Classe dos Padrões Técnicos primeiramente são considerados os Princípios Técnicos sucedidos pelas Políticas de Análise e posteriormente as Técnicas e Soluções.

Segundo Costa (2006), para o bom exercício das investigações a figura do perito deve seguir cautelosa e cuidadosamente as normas estabelecidas no Código de Processo Penal Brasileiro, duas destas normas podem ser referenciadas como exemplificação numa abordagem computacional, já que no Brasil não existem leis específicas para crimes digitais que estejam em vigor, são os artigos 170 e 171 do Código de Processo Penal brasileiro.

Cagnani; Santos (2008) confirmam que os artigos 170 e 171 do Código de Processo Penal brasileiro são os mais importantes para a perícia, pois trazem as diretrizes gerais da preservação dos dados e do objetivo do laudo pericial.

O artigo 170 assim descreve as ações periciais em laboratório:

Artigo 170: Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas. Nucci, Código de Processo Penal Comentado, 2008, 386p.

E assim é descrita a forma de lidar com as evidências coletadas;

O perito deverá preservar todos os dispositivos, executar uma cópia integral do(s) disco(s) rígido a serem analisados, executar um hash para comprovação da integridade dos dados, preservar os logs de todo(s) o(s) equipamento(s) envolvidos na investigação é fundamental. De preferência, sem desligar os mesmos e não utilizá-los, visto que o simples ato de ligar e desligar um computador gera gravação, subscrição e/ou modificação de dados, causando eventualmente a perda de dados importantes ou mesmo vitais para uma perfeita, rápida e fácil investigação. Rocha (2003, p.03) apud THEIL.

O artigo 171 descreve o procedimento para reconstruir os eventos;

Artigo 171: Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presume ter sido o fato praticado. Nucci, Código de Processo Penal Comentado, 2008, 386p.

Segundo Cagnani; Santos (2008) adaptando a este artigo se pode documentar quais as ferramentas de software foram utilizadas para a realização da análise, bem como a possível identificação de uma linha de tempo usando uma análise dos MAC times. Desta forma podem-se realizar equiparações na Lei para que possa ser resguardado o devido valor judicial a uma evidência digital.

 

[helldanger1]

Privacidade e aspectos legais
Privacidade
Com relação a privacidade, o artigo 5.º, inciso X assim destaca:

Artigo 5.º, inciso X: são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação (Constituição da República Federativa do Brasil de 1988, 2007).

Vieira (2008) salienta que não se pode, portanto, expor as pessoas a constrangimentos ou de alguma maneira interferir, sem o consentimento do indivíduo, em sua vida particular. Princípios que são, ou ao menos deveriam ser respeitados. Entretanto, a comunicação eletrônica, não completamente abrangida por esta regulamentação, permitiu novas maneiras de se interferir e desrespeitar esse direito individual, fazendo necessária uma urgente regulação jurídica das transmissões de dados, sob pena de ver-se esse fundamental direito violado.

Cagnani; Santos (2008) afirmam que o direito à privacidade, garantido pela Constituição Federal de 1988, evidencia ao perito forense computacional que este tem a obrigação de buscar apenas evidências que tenham algum tipo de relacionamento com a investigação que está sendo realizada. Qualquer suspeita que envolva ao desrespeito a essas normas servirá de razão para que a outra parte envolvida no processo mova uma ação judicial com a finalidade de anular o resultado da perícia realizada.


Aspectos legais
Conforme Espíndula (2001) os aspectos legais constituem-se das formalidades e enquadramentos judiciais a que estão sujeitos os peritos e a função pericial. Tais exigências legais estão dispostas no Código de Processos Penal Brasileiro, no entanto, a legislação processual data de 1941 e, atualmente, o universo de perícias que nela deveria estar regulamentado é bem maior.

Tochetto; Galante; Zarzuela (1995) esclarecem que as exigências legais devem obedecer a princípios que permitam a utilização de evidências digitais por jurisdições com diferentes legislações. Como exemplos de tais princípios podem ser citados os seguintes:
a.a função pericial deve ser exercida por pessoa portadora de nível superior, forensicamente capacitada, com habilitação técnica relacionada à natureza do exame e sem antecedentes que levantem suspeitas acerca de seu caráter e ética;
b.o exame pericial deve produzir um laudo pericial segundo algum modelo preestabelecido;
c.o perito deve ser judicialmente responsável pelos resultados da perícia e pelas evidências, enquanto em sua posse;
d.os casos de suspeição dos peritos devem ser predispostos;
e.o exame pericial deve ser realizado por mais de um perito, permitindo conclusões livres de interpretações pessoais;
f.condição de trabalho adequada deve ser garantida ao perito, especialmente na disponibilidade de equipamentos e materiais necessários ao exame pericial, garantindo a realização de um trabalho eficaz e eficiente;
g.o perito deve lastrear suas assertivas e conclusões com justificativas científicas, de modo que aja do ponto de vista científico, uma única possibilidade para se chegar a tais afirmações;
h.o exame pericial deve preservar os vestígios de modo a permitir a realização de nova perícia.

 

[helldanger1]

Identificação das evidências
Segundo Cagnani; Santos (2008) nessa fase inicial da investigação são necessários o levantamento de todos os dados relativos ao caso, quais as evidências fazem parte, bem como a minúcia de detalhes possíveis referentes às características de cada evidência apresentada para análise.

Alguns dados úteis nessa etapa são: nomes de pessoas e empresas envolvidas, datas, locais e circunstâncias gerais dos fatos que originaram a investigação, bem como o detalhamento das características de cada item colhido como possível prova, computadores, notebooks, disco rígido, pen-drivers, por exemplo.

É vital para o processo que o perito visualize como iniciará os trabalhos e que tipos de dados podem ser relevantes na perícia em questão.

Segundo Reis (2007) o levantamento de evidência segue alguns princípios, listados a seguir:
a.as ações do investigador não devem alterar as evidências;
b.a evidência original deve ser preservada no estado mais próximo possível daquele em que foi encontrado;
c.todas as evidências digitais coletadas e as cópias produzidas devem ser autenticadas por meio de hash criptográfico, a fim de verificar sua integridade;
d.realizar uma imagem (cópia exata) da evidência original sempre que possível, para preservar a integridade deste.
e.todas as informações relativas à investigação devem ser documentadas;
f.as ferramentas utilizadas na investigação devem ser aceitas pelos especialistas forenses e testadas para garantir sua operação correta e confiável.


Referências
HEISER, Jay G.; KRUSE, Warren G. II; Computer Forensics Incident Response Essentials. Addison-Wesley: New York, 2001.