Classificaes e tcnicas de anti-forense computacional.

Henrique Alexandre Torres

Centro de Ps-Graduao e Extenso CPGE Faculdade FUCAPI

CEP 69020 210 Manaus AM Brasil
engenhenrique2@gmail.com
Abstract. This article presents the reader to some of the most widely used anti-forensics
classifications and techniques, aiming to alert computer forensics professionals about
the difficulties they may face when analyzing computing systems of criminals with high
level of computing knowledge.
Resumo. Este artigo apresenta ao leitor algumas das classificaes e tcnicas de anti-
forense computacional mais utilizadas, com o objetivo de alertar profissionais da rea
de forense computacional sobre as dificuldades que estes podero enfrentar ao periciar
sistemas computacionais de criminosos com conhecimento avanado em computao.
1. Introduo
Segundo Rogers (2006), podemos definir o termo anti-forense como a tentativa de
afetar negativamente a existncia, quantidade e/ou qualidade de evidncias de uma cena
de crime, ou tornar a anlise e o exame das evidncias difcil ou impossvel de se
realizar.
Recentemente, a utilizao de tcnicas de anti-forense computacional cada vez
mais avanadas por criminosos tm desafiado diversas percias e grande parte do
problema se deve ao desconhecimento de tais tcnicas. Portanto, o presente trabalho
visa apresentar aos profissionais de forense computacional algumas das classificaes e
tcnicas de anti-forense mais utilizadas, para que estes possam estar preparados para
enfrentar este novo desafio durante suas percias.
2. Classificaes e tcnicas de anti-forense
Mtodos anti-forense so categorizados para tornar a classificao das vrias
ferramentas e tcnicas mais simples. Apesar das divergncias entre as classificaes
adotadas por autores consagrados, como Harris (2006) e Rogers (2006), quatro destas
so comuns a todos: Ocultao de evidncias, Destruio de evidncias, falsificao de
evidncias e a eliminao das fontes de evidncias. Alm destas, Rogers (2006)
considera ainda os ataques contra os processos e ferramentas de forense computacional.
2.1. Ocultao de evidncias
Ocultao de evidncias o processo de tornar dados difceis de serem encontrados e ao
mesmo tempo mant-los acessveis para uso futuro. Algumas das formas mais comuns
de ocultao de dados incluem criptografia e esteganografia. Cada um dos diferentes
mtodos de ocultao de dados dificulta exames forenses digitais e quando combinados
eles podem tornar uma investigao forense quase impossvel.
2.1.1. Encriptao
Uma das tcnicas mais utilizadas para desafiar a computao forense a criptografia de
dados. Isto porque atravs da utilizao de algoritmos de criptografia modernos e de
vrias tcnicas de criptografia, diversos programas disponveis publicamente tornam os
dados virtualmente impossveis de serem lidos sem a chave designada, uma senha
convencional escolhida a critrio do usurio no momento do processo de encriptao.
 A maioria dos programas de criptografia tem a capacidade de executar uma srie
de funes adicionais que tornam esforos forenses digitais cada vez mais inteis.
Algumas dessas funes incluem a utilizao de arquivos como chave criptogrfica
(keyfiles), a encriptao de volumes inteiros e a negao plausvel. A ampla
disponibilidade de softwares que contm estas funes colocou o campo da forense
digital em uma grande desvantagem. Alguns exemplos de ferramentas de encriptao
so o TrueCrypt e o BitLocker Drive Encryption.
2.1.2. Esteganografia
Esteganografia uma tcnica onde a informao ou arquivos esto escondidos dentro de
outro arquivo na tentativa de ocultar dados, deixando-os vista de todos. A
esteganografia produz dados obscuros, normalmente ocultados dentro de dados de
visveis (por exemplo, alguns caracteres de texto escondidos dentro de uma fotografia
digital). Alguns especialistas argumentam que tcnicas de esteganografia no so muito
utilizadas e, portanto, no devem ser levadas muito a srio. Entretanto, a maioria dos
especialistas concorda que a esteganografia tem a capacidade de interromper o processo
forense quando usada corretamente.
2.1.3. Outras formas de ocultao de dados
Outras formas de ocultao de dados envolve o uso de ferramentas e tcnicas para
ocultar dados em vrios locais de um sistema computacional. Alguns desses lugares
incluem a memria principal, diretrios ocultos, espao de folga de arquivos (slack
space), blocos de dados defeituosos, fluxos de dados alternativos, e parties ocultas.
Uma das ferramentas mais conhecidas para esconder dados chamada Slacker e
faz parte da estrutura do Metasploit. O Slacker rompe um arquivo e coloca cada pedao
desse arquivo no espao de folga de outros arquivos, escondendo-o, assim, dos
softwares de anlise forense.
Outra tcnica de ocultao de dados envolve o uso de setores defeituosos. Para
realizar esta tcnica, o usurio muda o estado de um setor especfico de bom para
defeituoso e, em seguida, copia os dados a serem ocultados para este setor. Assim,
algumas ferramentas forenses enxergaro estes setores como defeituosos e prosseguiro
o exame sem qualquer anlise do seu contedo.
2.2. Destruio de evidncias
Os mtodos usados na destruio de evidncias so encarregados de eliminar
permanentemente arquivos especficos ou sistemas de arquivos inteiros. Isto pode ser
feito atravs da utilizao de uma variedade de mtodos que incluem o uso de utilitrios
de limpeza de disco, de arquivos e desmagnetizao/destruio de discos.
2.2.1. Utilitrios de limpeza de disco
Utilitrios de limpeza de disco usam uma variedade de mtodos para substituir os dados
existentes nos discos. A eficcia de ferramentas de limpeza de disco como tcnica anti-
forense muitas vezes contestada, pois alguns acreditam que no so completamente
eficazes. Utilitrios de limpeza de disco tambm so criticados porque eles deixam
sinais de que o sistema de arquivos foi apagado, o que em alguns casos inaceitvel.
Como consequncia, a poltica atualmente empregada pelo Departamento de
Defesa dos Estados Unidos admite a desmagnetizao como a nica forma aceitvel de
sanitizao. Alguns dos utilitrios de limpeza de disco amplamente usados incluem o
BCWipe Total Wipeout, o CyberScrubs cyberCide e o KillDisk.
 2.2.2. Utilitrios de limpeza de arquivos
Utilitrios de limpeza de arquivos so usados para excluir arquivos individuais a partir
de um sistema operacional. A vantagem dos servios de limpeza de arquivos que eles
podem realizar suas tarefas em um perodo relativamente curto de tempo, ao contrrio
de utilitrios de limpeza de disco que levam muito mais tempo. Outra vantagem dos
servios de limpeza de arquivos que eles geralmente deixam uma assinatura muito
menor do que utilitrios de limpeza de disco.
H duas desvantagens principais dos utilitrios de limpeza de arquivo: primeiro,
eles exigem o envolvimento do usurio no processo e, segundo, alguns especialistas
acreditam que os programas de limpeza de arquivos nem sempre corretamente e
completamente limpam informaes do arquivo. Alguns dos utilitrios de limpeza de
arquivos mais utilizados incluem o AEVITA Wipe & Delete, o BCWipe e CyberScrubs
PrivacySuite.
2.2.3. Tcnicas de desmagnetizao/destruio de disco
Desmagnetizao disco um processo pelo qual um campo magntico aplicado a um
dispositivo de suporte digital. O resultado um dispositivo completamente limpo de
todos os dados armazenados anteriormente. A desmagnetizao raramente utilizada
como um mtodo de anti-forense, apesar de ser o meio mais eficaz para garantir que os
dados tenham sido completamente apagados. Isto atribudo ao custo elevado das
mquinas de desmagnetizao.
Uma tcnica mais utilizada para garantir a limpeza de dados a destruio fsica
do dispositivo. O NIST recomenda que "a destruio fsica pode ser realizada utilizando
uma variedade de mtodos, incluindo a desintegrao, a incinerao, pulverizao,
triturao e fuso".
2.3. Falsificao de evidncias
O objetivo da falsificao de evidncias confundir, desorientar e desviar o processo de
anlise forense. A falsificao pode comprometer desde apenas um bit at certa
quantidade de bits contidos em um disco, com o intuito de parecer qualquer outra coisa,
menos a evidncia real (Harris, 2006). O ofuscamento de rastros abrange uma variedade
de tcnicas e ferramentas que incluem limpadores de logs, spoofing, desinformao, uso
de contas zumbis e comandos de trojan.

2.4. Eliminao das fontes de evidncias

Segundo Harris (2006), trata-se do uso de mtodos que impeam que evidncias sejam
criadas. Fazendo uma aluso aos crimes da forense tradicional, similar a utilizar luvas
para no deixar impresses digitais ou embrulhar a arma numa sacola plstica para
impedir que a plvora do tiro se espalhe pela cena do crime. Assim, no mundo virtual
podem ser utilizados programas e sistemas operacionais atravs de memrias portties,
como CDs e pen drives, fazendo com que sejam geradas poucas ou at nenhuma
evidncia no disco local.
2.5. Ataques contra processos e ferramentas da forense computacional
A anti-forense recentemente mudou um pouco sua estratgia, de modo que as
ferramentas e tcnicas esto focadas em atacar no somente as evidncias, mas tamb m
as ferramentas e procedimentos forenses adotados na realizao dos exames. Estes
novos mtodos anti-forenses tm beneficiado de uma srie de fatores que inclue m
procedimentos bem documentados dos exames forenses, vulnerabilidades de
ferramentas forenses amplamente conhecidas e a forte dependncia de examinadores
forenses digitais em suas ferramentas.
Durante um tpico exame forense, o examinador iria criar uma imagem de disco
do computador. Isso impede que o computador original (evidncia) seja contaminado
por ferramentas forenses. Ento, Hashes so criados pelo software de exame forense
para verificar a integridade da imagem. Uma das ltimas tcnicas anti-ferramenta visa
atacar a integridade dos hashes criados. Ao afetar a integridade do hash, qualquer
evidncia coletada durante a investigao pode ser contestada posteriormente.
O uso do recurso de deteco de intruso de chassis, no caso de computador ou
um sensor (como um fotodetector) cheio de explosivos para a autodestruio, tambm
outro exemplo de como a anti-forense pode se privilegiar do conhecimento dos
procedimentos forenses para invalidar uma investigao.
3. Eficcia da anti-forense
Mtodos anti-forenses dependem de vrias deficincias no processo forense, incluindo:
o elemento humano, a dependncia de ferramentas e as limitaes fsicas/lgicas de
computadores. Ao reduzir a suscetibilidade do processo forense para estas fraquezas, o
examinador pode reduzir a probabilidade de mtodos anti-forenses impactarem numa
investigao. Isto pode ser alcanado atravs de uma maior formao para os
investigadores e com a comparao dos resultados obtidos de diversas ferramentas para
uma mesma anlise.

4. Concluso
Do mesmo modo que os criminosos se aproveitaram de um vasto conhecimento sobre
os procedimentos e as ferramentas comumente empregados na forense computacional,
importante que se conheam as ferramentas e os mtodos utilizados pelos criminosos na
tentativa de afetar a anlise pericial para ento combat-los.

Assim, o presente artigo atingiu o seu objetivo no sentido de alertar profissionais

da forense computacional para mais esse desafio que certamente surgir em suas
percias: a anti-forense computacional.

Referncias

Harris, Ryan. Arriving at an anti-forensics consensus: Examining how to define and

control the anti-forense problem. Disponvel em: <http://www.dfrws.org/2006/
proceedings/6-Harris.pdf>. Acesso em: 10 jun. 2013.

Rogers, M. Panel session at CERIAS 2006 Information Security Symposium.

Disponvel em: <http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/
antiforensics.pdf>. Acesso em: 10 jun. 2013.