222550834

GRUPO CHARLIE
LAUDO TCNICO DE FORENSE

COMPUTACIONAL
Caso: Cenrio 6
PERITOS
ANDERSON RICARDO DE FARIA CORREA
FELIPE MATEUS TOLEDO MELO
MARCELO ANDERSON FERREIRA MACIEL
So Paulo, 23 de janeiro de 2014.

Laudo Tcnico de Forense Computacional
Grupo Charlie
p. 2 de 26
CENRIO 6
So Paulo, 23/JAN/2014
CORREA, Anderson Ricardo de Faria

MELO, Felipe Mateus Toledo
MACIEL, Marcelo Anderson Ferreira
Laudo Tcnico de Forense Computacional do Cenrio 6 So Paulo,
2014, 26p.
Trabalho de concluso de curso (TCC), para obteno de grau de
Especializao em Forense Computacional. Faculdade Impacta de
Tecnologia. Curso Superior de Ps-Graduao em Percia Forense
Computacional: Investigao de Fraudes e Direito Digital, 2014.
Grupo Charlie
CENRIO 6
p. 3 de 26
Sumrio
VISO ............................................................................
............................................................. 5
Quem somos .....................................................................
..................................................... 5
Breve resumo do histrico dos peritos: ...........................................
....................................... 6
OBJETIVO .......................................................................
........................................................... 7
Impedimentos ...................................................................
...................................................... 7
PROCESSO DE COLETA .............................................................
............................................. 8
EXAME ..........................................................................
............................................................. 9
Ferramentas utilizadas .........................................................
.................................................. 9
ANLISE ..........................................................................
........................................................ 10
Metodologia aplicada ...........................................................
................................................. 10
Informaes da mdia de aquisio ........................................................
.............................. 10
Time Zone ......................................................................
....................................................... 10
Informaes do disco rgido coletado .................................................
.................................. 10
INVESTIGAO .......................................................................
............................................... 11
Identificao do Sistema Operacional ...............................................
................................... 11
Hora e data do ltimo logon do sistema ...........................................
.................................... 11
Identificao do nome da mquina e do domnio ..........................................
....................... 11
Conexes de rede em uso...........................................................
......................................... 12
Documentao dos softwares instalados na mquina .....................................
.................... 12
RESPOSTAS AOS QUESITOS .........................................................
...................................... 13
Quesito 1: H informaes com a classificao de sigiloso ou confidencial? ...............
...... 13
Quesito 2: Existem relatrios de incidentes de segurana na mquina? .................
........... 13
Quesito 3: H alguma evidncia que indique desconformidade no uso dos recursos
computacionais? ................................................................
................................................................ 13
Quesito 4: H arquivos de pacotes de dados TCP perdidos na mquina? ................
......... 16
Quesito 5: Nos pacotes PCAP, h algum que tenha indcio de comunicao VOIP entre as
informaes trafegadas? Se sim, qual o IP de origem e o de destino? ................
............................ 16
CADEIA DE CUSTDIA ...............................................................
........................................... 17
ATA NOTARIAL ...................................................................
.................................................... 18
Timesheet ......................................................................
........................................................... 19
Anexos .........................................................................
............................................................. 20
Anexo 1 Documentos com o termo Sigiloso ..........................................
......................... 20
Anexo 2 Documentos com o termo Confidencial ......................................
...................... 20
Anexo 3 - Arquivos Deletados ...................................................
........................................... 21
Anexo 4 - Software Pirata ......................................................
............................................... 21
Anexo 5 - Baixou Thor ..........................................................
................................................ 21
Anexo 6 - Confidencial .........................................................
................................................. 21
Grupo Charlie
CENRIO 6
p. 4 de 26
Anexo 7 - Informaes da Mquina .....................................................
................................. 22
Anexo 8 - Pendrive de Aquisio ....................................................
..................................... 25
Anexo 9 - Informaes do HD ........................................................
...................................... 26

Grupo Charlie
CENRIO 6
p. 5 de 26
VISO
Quem somos
Somos o Grupo Charlie, que atua no mercado de investigao de fraudes
digitais e percia forense computacional h 5 anos. A seguir, um breve his
trico de
formao dos peritos que investigaram este caso.
Grupo Charlie
CENRIO 6
p. 6 de 26
Breve resumo do histrico dos peritos:
Anderson Ricardo de Faria Correa
Analista de Sistemas, com formao Tcnica em Informtica pelo Instituto
Tcnico Braslio Flores de Azevedo.
Possui formao e ttulo de Tecnlogo em Anlise e Desenvolvimento de
Sistemas pela Faculdade Impacta de Tecnologia.
estudante de Investigao e Preveno a Fraudes e Direito Digital no curso
de Ps Graduao em Forense Computacional pela Faculdade Impacta de
Tecnologia.
Foi Gerente de TI, tendo como principais funes a de Arquiteto de Software,
Analista de Infraestrutura e Chefe de Segurana da Informao, na Vegus. Co
m
mais de 6 anos de experincia, trabalhou como Desenvolvedor de Software, Analista
de Requisitos, Analista de Infraestrutura e Banco de Dados.
Felipe Mateus Toledo Melo
Foi analista de Investigao e Preveno a Fraudes, h 4 anos trabalhando
no segmento de e-commerce.
Possui formao e ttulo de Tecnlogo em Processos Gerenciais pela
Universidade Nove de Julho.

Tecnologia.
Marcelo Maciel
Foi analista de Redes de Computadores h 5 anos, suportando ambientes de
grandes provedores de telecomunicaes internacionais.
Formado em Sistemas de Informao pelo Instituto Adventista So Paulo
Campus III.
Tecnologia.
Grupo Charlie
CENRIO 6
p. 7 de 26
OBJETIVO
Conforme solicitado pela CPI de Controle de Acesso Criminoso Redes
Pblicas o objetivo desta percia procurar por informaes sigilosas e confidenciais
que porventura estejam armazenadas de maneira descriptografada na mquina
disponibilizada pela empresa Secure Info Ltda ME, que realiza anlise de incidente
s
de segurana em mquinas de rgo pblicos, alm disso deseja-se verificar
artefatos que comprovem o uso inadequado s polticas de segurana da
informao da empresa.
Impedimentos
Declaramos que os peritos que fazem parte desta investigao no possuem
nenhuma ligao ntima com o investigado, portanto no h como declarar
impedimento ou suspeio.
Grupo Charlie
CENRIO 6
p. 8 de 26
PROCESSO DE COLETA
No dia 09 de Dezembro de 2013 as 11:00, a equipe de peritos compareceu a
empresa Secure Info Ltda ME no endereo Praa da S, 385 / So Paulo - SP
,
acompanhados do Diretor Anfrsio Luiz dos Santos e do escrevente Aurlio Adriano
Costa do Nascimento, do 26 Tabelionato de Notas de So Paulo, para efet
uar o
processo de aquisio do disco rgido da mquina que foi disponibilizada pela
empresa.
Ao chegar no estabelecimento, nos deparamos com a equipe trabalhando,
momento este em que o Diretor entrou na sala e disponibilizou o comp
utador para
anlise pela equipe de peritos. O computador em questo de utilizao nica e
exclusiva do funcionrio Bruno da Silva Costa, que estava de frias no momento da
coleta. O referido dispositivo encontrava-se desligado e no haviam dispo
sitivos
externos ou mdias (hd externo, pendrive, disquete, SD Cards, CD/DVD/Blur

ay)
conectados ao mesmo, como tambm no haviam webcam, microfones, fones de
ouvido ou caixas de som ligados ao computador. O gabinete do computad
or
apreendido do tipo torre, da marca Dell, registrado sob n de srie CTFSZX1.
Primeiramente foram efetuadas fotos do ambiente e do computador alvo d
a
percia. Conforme imagens anexas, possvel observar o estado original do
computador antes do incio da aquisio pelo Grupo Charlie.
O computador foi desligado da tomada para evitar qualquer possibilidade
do
mesmo iniciar o sistema operacional, comprometendo desta forma a prova.
Aps a abertura do gabinete do computador, efetuou-se a retirada do dis
co
rgido, onde este foi acoplado na unidade de duplicao de disco com um
bloqueador de escrita e a aquisio feita pelo software FTK Imager.
Feito esse processo, foi dado por finalizado o processo de aquisio de
dados.

Grupo Charlie
CENRIO 6
p. 9 de 26
EXAME
Ferramentas utilizadas
A investigao foi realizada com base em ferramentas especficas de forense
computacional entre outras ferramentas. Segue abaixo a lista das ferram
entas
utilizadas:
FTK Imager verso 3.1.4 http://www.accessdata.com/
OSForensics verso 2.2.1000 http://www.osforensics.com/
Net Witness http://brazil.emc.com/security/rsa-netwitness.htm/
Wireshark http://www.wireshark.org/
Grupo Charlie
CENRIO 6
p. 10 de 26
ANLISE
Metodologia aplicada
Utilizamos a metodologia post-mortem, que consiste em efetuar uma cpia
binria (cpia fiel do contedo de armazenamento da mdia) utilizando ferramen
tas
homologadas para este fim. Utilizamos o formato E01 com o auxlio de u
m
bloqueador de escrita, para evitar a alterao da integridade da prova.

Informaes da mdia de aquisio
As informaes da mdia preparada para receber o contedo da prova podem
ser visualizadas conforme anexo 8.
Time Zone
O Time Zone utilizado para a investigao foi GMT -3:00.
Informaes do disco rgido coletado
Informaes tcnicas relacionadas ao disco rgido em anlise podem ser
verificadas no anexo 9.
Grupo Charlie
CENRIO 6
p. 11 de 26
INVESTIGAO
Identificao do Sistema Operacional
Atravs da chave de registro localizada em
\Windows\System32\Config\SOFTWARE\ Microsoft\Windows NT\CurrentVersion,
identificou-se o seguinte:
Nome do sistema operacional: Microsoft Windows XP, com Service
Pack 3
Verso do sistema operacional: 5.1
Id do produto: 55274-640-1199294-23693
Identificou-se tambm que o diretrio de instalao est localizado em
C:\WINDOWS, onde possvel identificar a estrutura de pasta
C:\WINDOWS\Documents and Settings, estrutura esta que refora a
afirmativa de o sistema operacional ser o Windows XP.
Esta informao tambm pode ser averiguada em
\WINDOWS\system32\prodspec.ini.
Hora e data do ltimo logon do sistema
Atravs da chave de registro localizada em
\Windows\System32\Config\SAM\Domains\Account\Users identificou-se o usurio
que efetuou o ltimo logon, utilizando o TimeZone GMT-3:00:
Usurio: Manutencao (Id: 1003)
Conta criada: 04/02/2013 s 08:44:37
ltimo logon: 06/02/2013 s 14:32:28
Quantidade de logins: 18
Neste computador, apesar de existir outros usurios cadastrados, somente o
usurio Manutencao o utilizava, pois no h registro de logons com outros
usurios.
Identificao do nome da mquina e do domnio
Conforme informao na chave de registro:
SYSTEM\CurrentControlSet002\Services\Tcpip\Parameters foi possvel identificar as
seguintes informaes:
Hostname: LAB-06-ALKAMAI
Domnio: Mquina no participava de nenhum Domnio do Active
Directory

Grupo Charlie
CENRIO 6
p. 12 de 26
Conexes de rede em uso
Conforme informao nas chaves de registro:
SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{B6CA80441C2F-4A5A-8B3D-D7B17AB656D3} e
HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E32511CEBFC108002BE10318}\ B6CA8044-1C2F-4A5A-8B3D-D7B17AB656D3
identificamos os dados de conexes de rede abaixo:
Nome: Local area network (Id: {0C2E92E0-E092-43A8-8030D04BC1A517B2})
Definida por DHCP
IP: 192.168.101.132
Mscara de rede: 255.255.255.0
Servidor DHCP: 192.168.101.254
Servidor DNS: 192.168.101.1
No haviam outras conexes de rede
Documentao dos softwares instalados na mquina
De acordo com informaes obtidas da chave de registro:
HKLM\software\Microsoft\Windows\Current Version\Uninstall segue lista de
softwares instalados na mquina:
Microsoft Office Enterprise 2007 (Access, Excel, Power Point, Publisher,
Outlook, Word, Infopath, OneNote. Verso 12.0.4518.1014
VMware Tools. Verso 9.2.1.16070
Internet Explorer 8. Verso 20090308.140743.
Netwitness Investigator PE 9.6
VNC Server. Verso 5.0.4
VNC Viewer. Verso 5.0.4
Teamviewer 8. Verso 8.0.16642
WinPcap. Verso 4.1.0.2001
Wireshark (32bit). Verso 1.8.5
Grupo Charlie
CENRIO 6
p. 13 de 26
RESPOSTAS AOS QUESITOS
Quesito 1: H informaes com a classificao de sigiloso ou confidencial?
Sim. Identificamos 40 arquivos que contm o termo confidencial e 14
arquivos com o termo sigiloso como possvel verificar nos anexos.
No h definies por parte da Secure Info, nem mesmo por parte da CPI
sobre a definio de como realizar a classificao de arquivos como sendo
confidenciais ou sigilosos, portanto efetuamos apenas a busca por arqui
vos que
contenham os termos supracitados.
Alm de termos encontrado arquivos que continham o termo confidencial e
sigiloso, encontramos 3 arquivos com a palavra Confidencial no nome do arquivo,
conforme anexos 1 e 2.
Quesito 2: Existem relatrios de incidentes de segurana na mquina?
No. Realizando a busca por palavras chaves utilizando os termos Relatrio,
Incidentes, Segurana e at mesmo analisando manualmente os arquivos do
usurio Manutencao, no identificamos nenhum arquivo que se assemelhe a um
relatrio de incidente de segurana que porventura tenha sido confeccionado por um
dos analistas que utilizam esta mquina.
Quesito 3: H alguma evidncia que indique desconformidade no uso dos
recursos computacionais?
Conforme declarado na proposta de servios de investigao enviado ao
Grupo Charlie, caracterizam-se como desconformidade no uso dos computadores o
armazenamento de informaes que identifiquem pessoas como carto de credito,
nmero de telefone ou CPF de maneira descriptografada, relatrios de incid
entes
que possam descrever mtodos de ataques, dumps de trfego de rede e o u
so da
internet, cujo contedo fuja do mbito profissional.
Grupo Charlie
CENRIO 6
p. 14 de 26
Informaes que identifiquem pessoas:
Conforme verificado, foram localizados os seguintes arquivos:
Diretrio: \Windows\Documents and Settings\Manutencao\My Documents\
aprovados_fies_20062.pdf
balanco_financeiro0808.xls
balanco_financeiro1206.xls
6724.doc
Confidencialidade e Sigilo
Relatrio de incidentes que possam descrever mtodos de ataque:
No identificamos nenhum relatrio de incidente.
Dump de trfego de rede:
Diretrio: \Windows\Documents and Settings\Manutencao\My Documents\
1.pcap
035.pcap
tor.pcap
001.pcap
Vnc.pcap
Diretrio: \Windows\Documents and Settings\Manutencao\My Documents\nt
attack
inside.tcpdump.gz
inside.tcpdump
outside.tcpdump.gz
outside.tcpdump
lbnl.anon-ftp.03-01-10.tcpdump.gz
lbnl.anon-ftp.03-01-10.tcpdump
lbnl.anon-ftp.03-01-11.tcpdump.gz
lbnl.anon-ftp.03-01-11.tcpdump
Diretrio: \\Windows\Documents and Settings\Manutencao\My Documents\

rtp_example.raw.gz
Grupo Charlie
CENRIO 6
p. 15 de 26
Uso indevido da internet:
Foram identificados os seguintes usos em desconformidade:
De acordo com os registros de acessos a internet encontrados no arqu
ivo
\Documents and Settings\Manutencao\Local
Settings\History\History.IE5\index.dat, foram identificados acessos indevidos a
intenet, como: Acesso a sites de hacking (geradores de CPF/CNPJ,
geradores de nmeros de cartes de crdito, mdias sociais, sites de
download de software pirata,
Utilizao do Software TOR Browser
Ainda de acordo com o histrico de internet, foi verificado o download
do
arquivo tor-browser-2.3.25-2_en-US.exe, que o executvel do software TOR
Browser, que possibilita a navegao na internet sem os filtros de contro
les
corporativos.
Foi identificado o arquivo instalador salvo no caminho \Documents and
Settings\Manutencao\My Documents\Downloads.
Foi identificada a pasta Tor Browser, que o contedo aps execuo do
arquivo tor-browser-2.3.25-2_en-US.exe.
Foram identificados variados arquivos pessoais salvos no
caminho:\Documents and Settings\Manutencao\My Documents
a)
b)
c)
d)
e)
f)
g)
aprovados_fies_200602.pdf
RosaRibeiroClaudiaCunhaEvaFanzeres1.doc
controlepessoal.xls
Controle Financeiro.xls
cronograma-fisico-financeiro.xls
ddcNaoreembolsavel.xls
despesas_pessoais.xls

Grupo Charlie
CENRIO 6
p. 16 de 26
Quesito 4: H arquivos de pacotes de dados TCP perdidos na mquina?
Sim. Conforme o quesito respondido anteriormente, foram localizados 10
arquivos de pacotes de dados no objeto da percia, sendo que 5 deles
possuem
extenso .pacp, 4 deles possuem extenso .tcpdump e 1 que possui extenso .raw.
Quesito 5: Nos pacotes PCAP, h algum que tenha indcio de comunicao
VOIP entre as informaes trafegadas? Se sim, qual o IP de origem e o de
destino?
Sim, foi possvel identificar uma comunicao VoIP nos arquivos de captura
de dados encontrados na mquina.

No arquivo merged_voip_roaming_session.pcap foi possvel identificar as
seguintes informaes:
IP de origem: 192.168.213.140
IP de destino: 192.168.213.151
Porta TCP de comunicao: 8000
Protocolo: RTP
Mesmo no sendo um arquivo PCAP conforme o solicitado no quesito, no
arquivo rtp_example.raw.gz, que tambm uma forma de armazenamento de
captura de dados, foi possvel identificar as seguintes informaes:
IP de origem: 10.1.3.143, Porta TCP de comunicao: 5000
IP de destino: 10.1.6.18, Porta TCP de comunicao: 2006
Protocolo: RTP
Codec: g711A
Codec: g711U
Grupo Charlie
CENRIO 6
p. 17 de 26
CADEIA DE CUSTDIA
Grupo Charlie
CENRIO 6
p. 18 de 26
ATA NOTARIAL
Objeto: Verificao da coleta da evidncia digital na empresa Secure Info
Ltda ME.
Saibam todos os que virem esta ata notarial que ao nono dia do ms d
e
dezembro de dois mil e treze (09/12/2013), s 11h00min (hora legal brasile
ira), em
So Paulo, SP, Repblica Federativa do Brasil, no 26 Tabelionato de Notas de So
Paulo, eu, Aurlio Adriano Costa do Nascimento, escrevente autorizado pel
o
Tabelio, recebo a solicitao verbal dos peritos forenses Anderson Correa,
Felipe
Melo e Marcelo Maciel, representando a empresa Grupo Charlie, cadastrad
a sob o
CNPJ 11.669.325/0001-88. Reconheo a identidade do presente e sua capacid
ade
para o ato, dou f. Verifico e presencio o seguinte: PRIMEIRO - a par
tir das
11h15min (hora legal brasileira), a equipe de peritos compareceu empre
sa
supracitada, localizada no endereo Praa da S, 385, So Paulo/SP CEP 010010000, acompanhado do Diretor Anfrsio Luiz dos Santos e deste que vos
escreve,
para efetuar a processo de aquisio da do disco rgido da mquina que foi
disponibilizada pela empresa, que dou f. SEGUNDO Nada mais havendo, lavro a
presente ata para os efeitos do inciso IV do art. 334 do Cdigo de P
rocesso Civil
Brasileiro e de acordo com a competncia exclusiva que me conferem a L
ei n
8.935/1994, em seus incisos III dos arts. 6 e 7
e art. 364 do Cdigo de
Processo
Civil Brasileiro. Ao final, esta ata foi lida em voz alta, achada co
nforme e assinada
pelo solicitante e por mim. Escrita pelo escrevente Aurlio Adriano Cost
a do
Nascimento e assinada pelo Tabelio substituto Hlcio Thales Pavan Bertoldo. Dou
f.

Grupo Charlie
CENRIO 6
p. 19 de 26
TIMESHEET
Preparao 20 horas
Visita e aquisio
6 horas
Registro de evidncias da aquisio
9 horas
Investigao e respostas ao quesitos 100 horas
Laudo tcnico
50 horas
Total: 185 horas
Grupo Charlie
CENRIO 6
p. 20 de 26
ANEXOS
Anexo 1 Documentos com o termo Sigiloso
Anexo 2 Documentos com o termo Confidencial

Grupo Charlie
CENRIO 6
p. 21 de 26
Anexo 3 - Arquivos Deletados
Anexo 4 - Software Pirata
Anexo 5 - Baixou Thor
Anexo 6 - Confidencial

Grupo Charlie
CENRIO 6
p. 22 de 26
Anexo 7 - Informaes da Mquina

Grupo Charlie
CENRIO 6
p. 23 de 26

Grupo Charlie
p. 24 de 26
CENRIO 6

Grupo Charlie
CENRIO 6
p. 25 de 26
Anexo 8 - Pendrive de Aquisio

Grupo Charlie
CENRIO 6
p. 26 de 26
Anexo 9 - Informaes do HD
______________________________________________
ANDERSON RICARDO DE FARIA CORREA
______________________________________________
FELIPE MATEUS TOLEDO MELO
______________________________________________
MARCELO ANDERSON FERREIRA MACIEL

222550834

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

222550834

Transféré par

Droits d'auteur :

Formats disponibles

GRUPO CHARLIE

LAUDO TCNICO DE FORENSE

So Paulo, 23 de janeiro de 2014.

CORREA, Anderson Ricardo de Faria

Laudo Tcnico de Forense Computacional

estudante de Investigao e Preveno a Fraudes e Direito Digital no curso

externos ou mdias (hd externo, pendrive, disquete, SD Cards, CD/DVD/Blur

Laudo Tcnico de Forense Computacional

bloqueador de escrita, para evitar a alterao da integridade da prova.

Laudo Tcnico de Forense Computacional

Diretrio: \\Windows\Documents and Settings\Manutencao\My Documents\

Laudo Tcnico de Forense Computacional

de dados encontrados na mquina.

Laudo Tcnico de Forense Computacional

Anexo 2 Documentos com o termo Confidencial

Laudo Tcnico de Forense Computacional

Anexo 3 - Arquivos Deletados

Anexo 4 - Software Pirata

Anexo 5 - Baixou Thor

Laudo Tcnico de Forense Computacional

Anexo 7 - Informaes da Mquina

Laudo Tcnico de Forense Computacional

Laudo Tcnico de Forense Computacional

Laudo Tcnico de Forense Computacional

Laudo Tcnico de Forense Computacional

MARCELO ANDERSON FERREIRA MACIEL

Vous aimerez peut-être aussi