Académique Documents
Professionnel Documents
Culture Documents
Resumo
1 Introdução
Sistemas, por mais seguros que pareçam, vem sendo violados e, paralelamente, novas
maneiras para inibir a ação dos “hackers” vem sendo criadas. Mas sabemos que apenas isso
não basta. Conhecedores da falta de uma legislação específica e da dificuldade de serem
descobertos, esses criminosos se aproveitam da complexa tarefa de identifica-los e puni-los
para tirarem proveito. Surge então, a necessidade de identificar os criminosos e comprovar
seus atos. Esse esforço de produzir provas contundentes de uma violação digital é conhecida
como Computação Forense.
Com a popularidade de ferramentas e técnicas, a análise forense em um computador
vem se tornando cada dia mais fácil, viabilizando sua utilização não só para investigadores
forenses. Sendo assim, em contra-partida, maus intencionados usam da Computação Forenses
para tentar quebrar a confidencialidade de um dado.
Falou-se muito do caso PETROBRAS. Em fevereiro de 2008, foram furtados de um
contêiner, dois computadores portáteis e um disco rígido contendo informações importantes [1].
Outra matéria vinculada recentemente na mídia, foi a da pesquisa realizada pelo
Centro de Segurança e Pesquisa BT. Com a colaboração da Universidade de Glamorgam da
Inglaterra, Universidade Edith Cowan da Austrália e Universidade Longwood dos Estados
Unidos, foram comprados, em vários países, discos rígidos vendidos no mercado paralelo
(leilões virtuais ou não, feiras, etc). Durante a pesquisa mais de 300 discos foram
vasculhados, segundo um porta-voz da BT, o resultado é preocupante, 34% dos discos
continham "informação de um ou outro dado pessoal e comercial, que identificava uma
companhia ou organização". Segundo a reportagem, foram encontrados “informações
delicadas de usuários, incluindo detalhes de contas de banco, históricos médicos, planos de
negócios confidenciais, dados financeiros de corporações, números pessoais de identificação e
descrições detalhadas de trabalhos.”
Porém, o que mais impressionou foi o conteúdo de um HD comprado pelo eBay nos
Estados Unidos. Uma pesquisa nesse disco revelou um detalhamento dos procedimentos de
lançamentos de um míssil THAAD do Sistema de Defesa Norte-Americano. [2]
1.1 Conceito: Computação Forense
A todo instante, um usuário normal, cria e exclui arquivos no disco. Mas, na maioria
dos sistemas computacionais, as informações excluídas permanecem intactas no disco. Isso
ocorre porque o arquivo não é fisicamente excluído, e sim uma operação de exclusão lógica.
Em sistemas de arquivos atuais, um arquivo pode ser gravado em diversas partes do
disco, necessitando então que este arquivo seja referenciado por ponteiros. No
momento em que esse arquivo é deletado o espaço em disco que essas informações
estavam contidas poderão agora receber novos arquivos, isso por terem recebido um
status de espaço não-alocado do sistema no ato da deleção. [6]
Em um disco, recém formatado ou não, podem estar escondidos arquivos que foram
deletados a dias, meses ou até anos. Embora todo o processo de gravação seja digital, a
gravação em mídia é realizada de forma analógica, fazendo do disco um livro aberto quando
usado algum equipamento específico para a leitura de sua superfície.
3 Técnicas Anti-forense
• Criptografia;
• Saneamento de Discos;
• Camuflar (esconder) Dados.
3.1 Criptografia
Saneamento dos dados significa a total remoção do conteúdo de uma mídia, garantindo que
informações que foram deletadas não sejam recuperáveis. Como visto anteriormente, quando um
dado é deletado ele não é totalmente excluído da mídia em que estava, os sistemas apenas apagam
os ponteiros que referenciam o arquivo em questão. Para uma efetiva eliminação, um dado teria que
sobrescrever outro por várias vezes, até que este não seja possível ser recuperado por ferramentas
específicas. Conforme cita os autores Oltsik e Biggar [9], uma empresa que mantem em suas
estações de trabalho informações sigilosas, teria por obrigação de excluir de forma sucinta todos os
arquivos quando submetidos as seguintes situações:
• Falta de conhecimento: O dono dos arquivos não tem noção de como funciona um
sistema de arquivos.
• Falta de preocupação com o problema: A pessoa conhece o problema, mas trata-o com
descaso.
• Falta de preocupação com os dados: A pessoa conhece o problema, está consciente da
importância dos dados, porém não se importa com sua confidencialidade.
• Falta de saber mensurar o problema: O dono das informações, ao entregar seu disco
para outras pessoas, ele não crê que esta pessoa irá vasculhar seus dados.
• Desespero: No intuito de apagar suas informações, a pessoa acaba não realizando
todos os procedimentos para assegurar que foram completamente apagados.
• Falta de ferramentas: A pessoa não tem em mão ferramentas apropriadas para realizar
uma remoção completa das informações.
• Incompetência: O indivíduo tem as ferramentas, porém não tem a competência
necessária de realizar os procedimentos.
• Erros nas ferramentas: A ferramenta escolhida para remover os dados, por algum
motivo, apresenta algum erro, e às vezes por descuido do utilizador, acaba passando
desapercebido por algum aviso de erro ou algo parecido.
• Falha de Hardware: No ato da remoção dos arquivos, o computador pode apresentar
algum problema de hardware, obrigando o utilizador a trocar o disco de computador,
tornando esse procedimento bastante demorado. Ou o utilizador pensa que o defeito
está no disco, quando na verdade não está.
Método Gutmann
Esta norma, do Departamento de Defesa dos Estados Unidos, diz que um disco será
completamente saneado se cada bloco do disco fossem sobrescritos por três vezes. Esses
passos implicam da seguinte maneira:
Método VSITR
Este método tem como objetivo desestabilizar qualquer vestígio de dados que possa
está contido em qualquer região do disco. Considerado por muitos um método seguro de
apagar os dados. [11]
Esteganografia
Data Hidding
Segundo HENRIQUE [5], Data Hiding “são métodos utilizados para esconder dados
em lugares incomuns do sistema de arquivo podendo passar despercebidos por algumas
ferramentas de análise forense computacional.”
São técnicas utilizadas para esconder arquivos em sistemas de armazenamento.
Existem certos locais nos discos rígidos que o Sistema Operacional não consegue “enxergar”
as informações gravadas. Esses espaços receberam, pelos autores BERGHEL, HOELZER e
STHULTZ, o termo warrens. Traduzindo para o português, warrens seria um conjunto de
tocas de coelhos.
O funcionamento de um disco rígido consiste em uma estrutura geométrica e num
conjunto de estruturas de dados aninhados: disco; partição; sistema de arquivos; arquivos;
registros e campos. Os dados podem ser camuflados em todos esses campos. A Figura 2
ilustra todos os mecanismos utilizados para camuflar arquivos em warrens.
4 Conclusão
Na introdução desse artigo, foram citadas algumas reportagens que incentivaram esse
artigo. O uso da criptografia em arquivos considerados ultra-secretos, poderia ter livrado a
Petrobras dos prejuízos causados no roubo de equipamentos.
Se todas as empresas fossem mais cuidadosas com seus dados confidenciais, os dados
da pesquisa realizada pelo Centro de Segurança e Pesquisa BT, seriam menos preocupante.
Assim como nos deparamos com notícias relacionadas com o descaso da segurança,
episódios de boas práticas vem ganhando espaços na mídia. Como o que aconteceu no
episódio do banqueiro Daniel Dantas, preso na Operação Satiagraha. A Polícia Federal fez
uma apreensão de cinco discos rígidos de seu apartamento e, mesmo depois de dois meses de
investigação, não conseguiram decifrar a chave da criptografia que protege informações.
Segundo o delegado responsável pela operação, Protógenez Queiroz, os discos "guardam
segredos da República" [17]. Outro episódio bastante famoso do tratamento correto de
técnicas de segurança, foi o caso Abadia. Segundo uma reportagem da INFO Online [18],
Abadia “usava e-mails com técnicas de esteganografia para dar ordens a comandados.”
Com essas técnicas é possível garantir o resguardo de informações sigilosas. Por outro
lado, com o avanço de técnicas forenses, é sempre necessário buscar novas técnicas para
assegurar a confidencialidade de seus dados.
5 Bibliografia
[1] IDG NOW, Petrobras perde dados sigilosos em furto de computadores, 14 de fevereiro
de 2008. Disponível em: http://idgnow.uol.com.br/seguranca/2008/02/14/petrobras-
perde-dados-sigilosos-em-roubo-de-computadores/
[2] FOLHA Online, Disco rígido à venda no eBay armazena dados sigilosos sobre
mísseis dos EUA, 08 de maio de 2009.
Disponível em: http://www1.folha.uol.com.br/folha/informatica/ult124u562289.shtml
[4] dos REIS, Marcelo Abdalla, Forense Computacional: Procedimentos e Padrões, 2001.
Disponível em: http://www.las.ic.unicamp.br/paulo/papers/2001-SSI-marcelo.reis-
forense.padroes.pdf
[6] FARMER, Dan e VENEMA, Witse, Perícia Forense Computacional, Editora Pearson,
1ª Edição, dezembro de 2006.
[7] BELARMINO, Alexanders T. das N., ROMERO, Átila L., SCARPELLINI, Gustavo de
M., FORTES, Marcelo de A. e CAMPELLO, Rafael S., Levantamento sobre a
utilização de técnicas de microscopia na recuperação de dados em discos rígidos,
setembro de 2004. Disponível em: http://angel.acmesecurity.org/~adriano/papers/anais-
iccyber-dpf-2004.pdf
[8] SCHNEIER, Bruce, Crypto-Gram Newsletter, outubro de 2009. Disponível em: http://
www.schneier.com/crypto-gram-9910.html
[9] OLTSIK, Jon e BIGGAR, Heidi. White Paper: Segurança centrada nas informações e
eliminação de dados, Junho de 2006. Disponível em:
http://brazil.emc.com/collateral/analyst-reports/esg-wp-emc-security-jul-06.pdf
[12] GUTMANN, Peter, Secure Deletion of Data from Magnetic and Solid-State Memory,
2001. Disponível em: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
[13] WIKIPEDIA, National Industrial Security Program, Abril de 2009. Disponível em:
http://en.wikipedia.org/wiki/National_Industrial_Security_Program
[14] PINHEIRO, José Mauricio Santos, Esteganografia Digital, Junho de 2005. Disponível
em: http://www.projetoderedes.com.br/artigos/artigo_esteganografia_digital.php
[16] BERGHEL, Hal, HOELZER, David, STHULTZ, Michael, Data Hiding Tactics for
Windows and Unix File Systems, Maio de 2006. Disponível em:
http://www.berghel.net/publications/data_hiding/data_hiding.php
[17] FOLHA Online, PF não consegue decifrar criptografia dos arquivos de Daniel Dantas,
Agosto de 2008. Disponível em:
http://www1.folha.uol.com.br/folha/brasil/ult96u447378.shtml
[18] INFO Online, Abadía usou e-mail cifrado para traficar, Março de 2008. Disponível
em: http://info.abril.com.br/aberto/infonews/032008/10032008-3.shl