Técnicas de Investigação de Cibercrimes – Parte 2/3

Investigação de cibercrimes

Prosseguindo nas técnicas para investigarmos crimes praticados por meios eletrônicos, abordaremos a seguir alguns aspectos muito relevantes na detecção de invasores e na coleta de provas.

Técnicas para detectar leitura e “uploads” de arquivos

Existem algumas técnicas que os investigadores podem usar para determinar que ocorreu um “upload” de arquivos.
Estas técnicas, que exigem o acesso ao computador do invasor, são geralmente de muito sucesso se forem realizadas de forma rápida e correta.
A área que estuda a extração ou supressa de arquivos e informações a partir dos discos rígidos de um computador é chamada de computação forense. Podemos realizar uma análise forense em praticamente qualquer tipo de disco de computador, independentemente do sistema operacional, mas é mais fácil realizá-lo em sistemas “DOS/Windows”, isto devido à forma como o sistema operacional “DOS” gerencia o espaço de arquivos.
O sistema de arquivos “DOS” usa partes não utilizadas de seus discos para armazenar informações temporárias que ele necessita. Além disso, os arquivos não são realmente excluídos de um sistema de arquivos “DOS”.
Como qualquer pessoa que teve que recuperar um arquivo excluído acidentalmente sabe, se o espaço de arquivo não foi substituído, o arquivo geralmente pode ser recuperado. Entretanto, mesmo se uma parte do espaço foi substituído, pode haver muitos vestígios do arquivo que permitem demonstrar que o intruso realizou o “upload”.
Se voltarmos para nossa discussão anterior sobre a leitura de um arquivo de senha durante uma sessão de “telnet”, ele pode ser visto que ele deve ter sido salvo no disco do invasor durante o processo de navegação de arquivos. Durante o processo de quebra de senhas, o “cracker” irá gravar uma cópia de seus resultados no disco também. A menos que o intruso faça um apagamento seguro (um processo em que o espaço do arquivo é sobrescrito várias vezes com caracteres aleatórios), as informações podem ser recuperadas utilizando-se técnicas forenses.
Estas técnicas têm três etapas básicas.
A primeira é a de acessar o disco com segurança. Esta etapa é fundamental porque, se o investigador não toma as precauções necessárias para assegurar que os dados não estão danificados, a prova poderia ser destruída por uma armadilha colocada pelo intruso.
O segundo passo é a extração dos dados num local seguro para a retenção de provas e estudos.
Para realizar esta etapa, o pesquisador deve realizar um “backup” físico do disco: isso é chamado de uma imagem, uma cópia física de segurança de segurança de todos os setores do disco para um arquivo. Dados, como arquivos “BitTorrent”, vão aparecer em um backup lógico. Este é o tipo de “backup” realizado rotineiramente para nos proteger de perda de dados. Dentro dos setores do disco, que geralmente não são visíveis para o usuário, nós podemos ver os restos de arquivos suspeitos. Estes são os arquivos que foram “excluídos”, através de um processo de exclusão do “DOS”, mas ainda não foram completamente substituídos por outros arquivos ativos.
No entanto, porque o layout do disco é baseado em setores físicos, não se pode ver um arquivo inteiro em um só lugar (ou seja, em setores contíguos).
Embora o “DOS” tente manter arquivos no disco fisicamente juntos, quando um disco fica fragmentado, isso não é possível.
Assim, devemos usar a terceira etapa, de análise, para pesquisar e localizar os arquivos de destino.
Para esse efeito, usamos ferramentas forenses que lêem a imagem de disco (o arquivo criado pelo processo de backup físico), organizam as informações em bases de dados lógicos chamados índices, e nos permite realizar pesquisas eficientes, tanto para “ASCII” como para dados binários.
Por enquanto, só é importante que você entenda que é possível apurar-se como o furto de informações ocorreu. No entanto, seu sucesso ou fracasso dependerá da capacidade de proteger o computador suspeito logo após um possível furto e a sua habilidade em extrair dados ocultos em uma forma que permita a sua utilização como prova. Atrasos ou erros em qualquer um desses processos vão acabar com seus esforços.

Desinformação

Desinformação é um elemento de inteligência que tem aplicação no mundo dos negócios. Simplesmente, a desinformação consiste na alteração ou criação de informação para dar uma falsa impressão sobre as atividades de um alvo, sua situação financeira ou planos para o futuro.
A forma mais simples de desinformação são as relações públicas, que se destinam a difundir informações negativas sobre um alvo.
Organizações também usam a desinformação para desorientar os outros, levando-os para longe de seus segredos reais.
Quando um inimigo usa a desinformação através da invasão dos computadores de um alvo, ou para manipular dados do alvo, a coisa pode se tornar extremamente ruim.
Existem várias formas importantes de desinformação que podem envolver criminalidade informática. Elas incluem:

•Alteração de arquivos estratégicos, levando os empregados a situações de engano. Um exemplo disso seria a alteração das tabelas de preços ou documentos estratégicos de preços, utilizados pelo pessoal de campo, levando-os a produzir citações erradas ou propostas de preços enganosas;

•Alteração da informação utilizada na preparação de faturas para produzir recebimentos abaixo do esperado das receitas. Isto é especialmente fácil quando os dados de faturamento bruto são recolhidos automaticamente ou corram faturamentos repetitivos que não são submetidos à revisão por uma pessoa;

•Alteração de fontes de dados num banco de dados críticos, fazendo-a produzir resultados imprecisos;

•Alteração de documentos como certidões de nascimento, carteiras de motoristas, certificados de conclusão de cursos, documentos escolares, ou outros documentos pessoais para cometer fraudes. Esta é muitas vezes referida como a fraude documental e tornou-se muito fácil de ser realizada com o uso de programas de computador sofisticados e poderosos sistemas gráficos;

•Furto ou alteração de documentos sensíveis para embaraçar ou afetar o alvo em uma negociação delicada;

•Alteração de documentos ou dados confidenciais para afetar o resultado de uma negociação, uma proposta de venda, ou outro evento importante.

A desinformação tem elementos de furto de dados, invasão e destruição ou alteração de dados. Quando os dados são furtados e, em seguida modificados, muitas das técnicas utilizadas para capturar o ladrão de dados são adequados. No entanto, quando ocorrem danos ao computador da vítima, prender e condenar o invasor é muito mais difícil.
Se o invasor ataca um computador e nunca realizou o “download” de todos os dados, pode ser difícil provar que ele ou ela realmente foi quem fez o estrago. O problema é que pode ou não haver algum um resíduo da intrusão no computador do criminoso.
É possível que um exame pericial do computador traga frutos para o investigador, mas é mais provável que os métodos de controle do invasor através da rede serão bem sucedidos.
Neste sentido, devemos notar que a maioria dos especialistas acreditava que rotineiramente que cerca de 10% de toda a investigação da criminalidade informática tem a ver com o computador, enquanto os outros 90% achavam simplesmente antiquado o trabalho da polícia.
Com o advento dos computadores na atualidade e sua proliferação em todos os aspectos das nossas vidas, no entanto, o computador tornou-se um bom terreno para que o trabalho de investigação policial fosse realizado a moda antiga.
A rotina de trabalho de investigadores que apuram crimes praticados por meios de computadores e crimes relacionados podem incluir entrevistas com pessoas com conhecimentos técnicos significativos as quais podem confundir os novatos e ofuscar facilmente os fatos durante as entrevistas iniciais, o que acaba levando a uma investigação muito maior.
É sabedoria comum entre investigadores de fraudes, por exemplo, que os primeiros sete dias após a descoberta de uma fraude são fundamentais para a sua solução e repressão. Em outras palavras, o tempo de investigação, em qualquer crime de por meio eletrônico, é da sua essência. Nos crimes de computador conexos, isto é ainda mais verdadeiro, porque as provas podem ser facilmente destruídas por um perito em informática.
A chave para a investigação de crimes informáticos que envolvem a desinformação é a obtenção de cópias do “antes” e “depois” dos arquivos. A natureza das alterações deve ser entendida de forma clara e cópias de tudo o que foi encontrado deve ser usado de forma a implicar efetivamente o invasor.
Por exemplo, tomemos o caso de um ataque de desinformação que substitui um documento sensível com uma versão alterada.
O exame forense do computador do atacante suspeito pode revelar o original e a cópia alterada. Esta é também uma boa maneira de estabelecer a fraude documental.
Se o trabalho está sendo feito na máquina da vítima, porém, você provavelmente vai ter que procurar suas provas em outro lugar.
Mesmo assim, é possível que o atacante tenha realizado alguma tarefa enquanto estava conectado ao computador da vítima, o que vai aparecer na sua máquina, e pode ser rastreado a partir da vítima.
Por exemplo, dados remanescentes de uma árvore de diretórios do computador da vítima encontrados negligentemente na máquina do invasor poderiam estabelecer que ele ou ela teria ganho acesso ao computador daquele.
Uma vez que o invasor foi identificado, é sempre uma boa idéia apreender seu computador e realizar uma análise forense.
Há, evidentemente, outros elementos menos técnicos que podem ser usados para instruir o inquérito.
Por exemplo, pode haver cópias em papel dos documentos alterados nos vários estágios da alteração. Pode haver números “dial-up” na memória dos modems que levam ao computador da vítima. Pode haver dados em disquetes que podem ser extraídos ou arquivos de documentos com senha que podem ser quebradas, gerando informações importantes e incriminadoras.
Uma palavra de alerta: cuidado para não violar qualquer dispositivo legal realizando buscas e apreensões insensatas.
Alguns programas “dial-up” automaticamente guardam registros que podem ser comparados com os períodos de acesso ao computador da vítima. Históricos de “gateways dial-up” devem ser inspecionados cuidadosamente em busca de pistas e associações com outros registros.
Uma boa maneira de capturar um invasor envolvido em desinformação é fornecer um alvo tentador e depois estabelecer as ações do intruso quando ele ou ela tentar alterá-lo. Há importantes questões éticas e legais aqui que devemos discutir. No entanto, o uso de tais dispositivos, chamados de “honeypot” (potes de mel), às vezes podem dar bastante resultados para que o investigador possa identificar o invasor. Lembre-se, em invasões, o tempo é o pior inimigo do atacante.
Do ponto de vista prático, no entanto, normalmente você vai ter que trabalhar apenas com os resultados da ação do criminoso. Isto significa que você provavelmente não terá a oportunidade de pegar ele ou ela “on-line”. Nestes casos, prefira uma abordagem “reversa” para resolver a questão.
Esta abordagem é baseada na declaração “sherlockiana” afirmando acerca de que depois de eliminar o impossível, aquilo que sobra, mesmo parecendo improvável, deve ser a verdade. Portanto, comece por eliminar o óbvio.
A abordagem geral para investigar os aspectos técnicos de qualquer crime por meio eletrônico é:

• Elimine o óbvio;

• Crie hipóteses para o ataque;

• Colete provas, incluindo, possivelmente, os próprios computadores;

• Reconstrua o crime;

• Realizar um rastreamento da origem do computador suspeito;

• Analisar a origem, destino e computadores intermediários;

• Transcreva em arquivo as suas descobertas e todo material probatório sobre a investigação para que possa ser acompanhada e compartilhada quando necessário.

Você pode iniciar esse processo em um caso de desinformação, eliminando os métodos de acesso: O computador vítima tem acesso “dial-in”?; Está conectado à Internet?; É protegido contra acesso pela internet Internet, se for, de que forma?;
Uma forma popular de desinformação é a alteração de dados de páginas da “World Wide Web”. Uma vez que os servidores Web estão normalmente fora de qualquer proteção de firewall, isso é uma coisa fácil de fazer, em muitos casos.
Os métodos para eliminar as vias de acesso variam de acordo com a situação, mas aqui, como em outros tipos de investigações, os registros são seus amigos – se eles são suficientemente detalhados e mantidos por tempo suficiente para cobrir o período do incidente.
Seu primeiro esforço em tais casos deve ser o de obter todos os registros que poderiam mostrar um acesso ao sistema da vítima. Dado que o acesso à vítima é a chave para o dano, a eliminação seletiva de caminhos errados é uma etapa crítica.
O segundo passo nas investigações é tentar reconstituir o crime.
Levando-se em conta os caminhos utilizados para se chegar até a vítima, vamos tentar supor como eles foram usados para obter acesso ilícito. Assim que conseguirmos obter a melhor das hipóteses de cenários de ataque apropriado, devemos testá-los.
É importante que não se tome este passo até serem removidos todos os elementos importantes do computador da vítima. Tal como acontece com todas as evidências, ele deve cumprir os requisitos de originalidade, adequação, etc, não se esqueça da cadeia de custódia e outros elementos de uma adequada coleta de provas.
Se você faz parte de uma agência policial, provavelmente haverá regras que você terá que seguir, caso pretenda seguir esta rota. Devido à sua natureza intrusiva, esses métodos são freqüentemente mais adequados para analistas de uma empresa.
O teste de uma hipótese de intrusão envolve a recriação do crime de uma maneira mais exata possível. Oportuno lembrarmos que tais esforços tendem a fechar mais um dos caminhos possíveis para o sistema da vítima, estreitando o campo de possíveis atacantes.
Outro ponto importante é que durante esta fase você pode descobrir se mais do que provável que nenhum incidente tenha ocorrido. Isso não significa que a vítima está agindo de má-fé. Significa simplesmente que você acabou sendo pego pelas estatísticas, pois muitos computadores falham ou sucumbem por erros dos próprios usuários atacados. Esta parte da sua investigação vai ajudar a revelar se este era o caso.
Se o ataque foi especialmente sofisticado, esta parte da sua investigação vai ajudar a revelar quão bem realizado foi. No entanto, mesmo os mais sofisticados ataques deixam suas marcas. O problema é que, muitas vezes, as marcas não levam ninguém. Estabelecer o fato de uma intrusão e a fonte da mesma são coisas muito diferentes. Realisticamente, tanto você como a vítima devem estar preparado para esse resultado. Na maioria dos casos, intrusões são os incidentes mais difíceis de serem ligados a um indivíduo.
Enquanto você pode assumir que todos os crimes de computador conexos são, em sua base, intrusões, quando falamos de intrusões queremos dizer aqueles eventos onde o acesso ao computador usando um canal de comunicação secreta é a característica principal.
Por exemplo, o furto de dados pode ocorrer de uma variedade de formas, algumas das quais envolvendo o acesso legítimo por usuários autorizados. Enquanto nós poderíamos dizer que o método de acesso a este computador, em qualquer incidente, embora importante, não será provavelmente a principal evidência, que possa envolver o atacante.
Em um incidente em que não há nenhuma outra evidência tangível, o método de acesso torna-se um fator crítico. Muitas vezes, é fundamental, não tanto por causa de seu valor como prova irrefutável, mas porque ele pode nos levar para o atacante, que nós possamos usar outros métodos para resolver o crime. Como comentaremos adiante, a investigação da negação de acesso também tem este elemento da utilização da invasão em si para chegar ao atacante.
Uma nota final sobre as técnicas tradicionais de investigação na era do computador: não há substituto para a intuição treinada de um investigador experiente. As questões técnicas que estamos discutindo são, na melhor das hipóteses, o suporte para que o processo de investigação avance.
Se a prova técnica, devidamente recolhida, diz que uma coisa é verdade, acredite. Computadores, contrariamente à opinião popular, não mentem. É, naturalmente, possível fazê-los deturpar informações, mas eles só estão executando as determinações de seus mestres humanos.
Suas imprecisões são, na melhor das hipóteses, manifestações superficiais.
Na investigação da criminalidade informática não há ditado mais verdadeiro do que “devemos olhar abaixo da superfície”.

Deixe uma resposta