GCC 106 METODOLOGIA CIENTFICA

UFLA - UNIVERSIDADE FEDERAL DE LAVRAS

OZIEL FERNANDES

METODOLOGIA PARA INTERCEPTAO DE DADOS

CIFRADOS APLICADA EM INVESTIGAES
CRIMINAIS

LAVRAS-MG
2015

NOME DO ALUNO

METODOLOGIA PARA INTERCEPTAO DE DADOS

CIFRADOS APLICADA EM INVESTIGAES
CRIMINAIS

Monografia trabalho de Metodologia Cientfica,

GCC 106, UFLA Universidade Federal de
Lavras

Orientador: Prof. Dr Andr Luiz Zambalde

Lavras-MG
2015

1 INTRODUO
Um dos desafios da informtica forense que, apesar de j existir h bastante tempo,
comea a ser encontrado cada vez mais frequentemente, a recuperao de dados
protegidos.

1.1 CONTEXTUALIZAO
Segundo (IASHCHENKO, 2002), a criptografia, ou estudo das cifras, foi por muito
tempo uma cincia secreta porque era utilizada, primordialmente, para garantir a
segurana do Estado e segredos militares.
Entretanto, durante os anos 80 e 90, a criptografia se tornou um importante aspecto
das comunicaes comerciais. O crescimento da computao pessoal e da internet
mudaram a criptografia de uma extica tecnologia exclusivamente militar para uma
tecnologia crucial em comrcio eletrnico (WHITEFIELD, 2007).
Notou-se que, apesar de no ser mais tratada como uma tecnologia de uso
exclusivamente militar, o usurio comum, ao utilizar seu computador pessoal, ainda
ignorava a existncia de tais sistemas de segurana, por vrios motivos: por falta de
interesse, por no possuir acesso a tal tecnologia, ou mesmo por no achar
necessrio.
Neste cenrio, infere-se que, at alguns anos atrs, eram poucos os casos em que
era necessrio desproteger os dados de uma pessoa para, s ento, ter acesso
aos mesmos; a maioria dos dados no possua quaisquer barreiras para sua
visualizao, como senhas de acesso, criptografia, e outros.
1.2 PROBLEMAS E OBJETIVOS
Existe uma grande oferta de dispositivos com criptografia embarcada celulares,
notebooks, entre outros) e de aplicativos para criptografia e autenticao no
mercado. Podem ser encontrados aplicativos com diferentes faixas de preo (alguns
inclusive sem custo, como o GPG1 - Gnu Privacy Guard e o Truecrypt2);
direcionados para objetivos especficos (proteo de e-mail, de servidores de acesso
remoto, de arquivos, de discos rgidos, de comunicao falada, de bate-papo
instantneo, de comrcio eletrnico, entre outros); e para diferentes tipos de
usurios (uso pessoal, corporativo, governamental).
Tais dispositivos e aplicativos j so objetos de busca e apreenso ou
interceptaes telemticas, e a tendncia que essa situao torne-se cada vez
mais comum. Ainda, a depender do nvel de sofisticao e dos cuidados tomados
nas escolhas de algoritmos, chaves e senhas utilizados nos mesmos, ataques de
dicionrio, fora bruta, ou mesmo a explorao de uma possvel falha de segurana
tornam-se inviveis, ou no mnimo extremamente complicadas e com poucas
chances de sucesso, pois envolvem:
Pesquisar sobre as tecnologias empregadas;

Reproduzir o ambiente original em que o aplicativo funcionava;

Entender o funcionamento do aplicativo ou dispositivo de segurana;
Realizar engenharia reversa e estudar o cdigo, a fim de descobrir alguma falha no
aplicativo ou alguma brecha que possa ser utilizada em um ataque de fora bruta, de
dicionrio ou outro;
Dependendo da complexidade da senha, a lista a ser utilizada num ataque de fora
bruta ser extremamente extensa.
Todos esses fatores expostos atingem diretamente a eficcia das investigaes
policiais e dos exames periciais. A utilizao de um aplicativo que cifra conversas
instantneas, por exemplo, torna intil boa parte de uma interceptao telemtica
autorizada judicialmente. Um disco rgido completamente cifrado pode comprometer
fatalmente sua anlise.
O objetivo deste trabalho desenvolver uma metodologia para recuperao remota
de dados protegidos, a ser utilizada em investigaes policiais e com autorizao
judicial. Esta metodologia utiliza tecnologias de rootkit4 e drivers5 para sistemas
Windows aliadas a tcnicas de engenharia social embasadas em informaes
obtidas em investigaes policiais. Envolve 3 etapas:
1. Estudo do alvo e definio das melhores tcnicas de engenharia social a serem
aplicadas, a depender das informaes levantadas junto investigao policial;
2. Instalao da FID - Ferramenta para Interceptao de Dados - no alvo, verificando
seu correto funcionamento;
3. Recebimento dos dados enviados pelo programa.
1.3 ESTRUTURA DO TRABALHO
No captulo 2, so apresentados conceitos fundamentais ao entendimento da
ferramenta a ser desenvolvida, alm dos programas utilizados na implementao.
Tambm sero discutidas outras solues existentes, similares soluo buscada
neste projeto.
O captulo 3 apresenta a validao e os testes executados em um sistema em que
se encontra instalada a FID, ilustrando o trfego de dados cifrados por determinadas
aplicaes, e os dados capturados pela ferramenta. Tambm so realizados testes a
fim de verificar se aplicativos de deteco de malware 6 geram alertas quando
executados concomitantemente FID.
O captulo 4 apresenta o resultado da discusso expondo o que se espera da nova
ferramenta de interceptao.
J o captulo 5 apresenta a concluso do trabalho, explicando a contribuio
conseguida.

2 REFERENCIAL TERICO
Neste captulo, sero relacionadas algumas solues similares ferramenta a ser
desenvolvida neste trabalho, e sero explicadas as caractersticas inerentes que
impossibilitam ou tornam desaconselhvel a adoo das mesmas por rgos
investigativos. Tambm sero explicados conceitos fundamentais para o entender o
desenvolvimento e o funcionamento da soluo, alm de embasar algumas decises
tomadas no decurso do projeto. Finalmente, a ltima seo lista todos os programas
utilizados e a funo de cada um.
2.1 REFERENCIAL BSICO
A ideia deste projeto no indita. Pelo fato do problema tratado ser comum a
diversos pases, bastante factvel que vrios deles j tenham desenvolvido ou
estejam desenvolvendo solues similares. Apesar de se desconhecer a existncia
de metodologias desenvolvidas para interceptao de dados criptografados, a
utilizao de aplicativos de espionagem no novidade.
Ainda, existem aplicativos comerciais pagos, que so vendidos tanto para governos
de pases, quanto para empresas e pessoas. Finalmente, podem ser encontrados
alguns cdigos-fonte na internet, em sua maioria sem garantia de funcionamento e
testados apenas pelos prprios desenvolvedores.
2.2 REFERENCIAL RELACIONADOS
Devido s grandes sensibilidade e polmica do assunto, poucos governos admitem
publicamente utilizar tais solues. E, mesmo que utilizem, o intercmbio de
informaes relacionadas se mostra bastante difcil, pelos mesmos motivos.
O governo da Alemanha uma exceo: desde 2007, no apenas admite, mas
incentiva seus cidados a baixarem e instalarem em seus prprios computadores o
aplicativo Bundestrojaner, com a justificativa de investigar e conter possveis
atentados terroristas (BUNDESTROJANER, 2011). Consiste basicamente de uma
ferramenta de vigilncia que envia dados capturados a um servidor remoto e
tambm permite enviar comandos para o cliente.
Conforme relatrio do (CHAOS, 2011), o malware7 consiste de uma DLL 8 -Dynamic
Link Library - e de um driver, e o o envio de tais comandos em modo aberto (sem
criptografia) torna o aplicativo suscetvel a ser controlado por terceiros no
autorizados.
Outro exemplo o CIPAV - Computer and Internet Protocol Address Verifier,
utilizado pelo FBI. Essa ferramenta veio a pblico tambm em 2007, durante uma
investigao do FBI. Segundo (LYNCH, 2011), ela captura informaes como
endereo IP, endereo MAC9, sistema operacional instalado, servios em execuo,
usurio logado, selos de data e hora, ltima URL10 visitada, entre outros, da mquina

em que se encontra instalada, e envia todas essas informaes para servidores do

FBI.

3 METODOLOGIA
Neste captulo sero apresentados os tipos de pesquisas que foram realizados e
tambm os procedimentos para identificar uma ferramenta que solucione o problema
da criptografias, frente as necessidades judiciais.

3.1 TIPO DE PESQUISA

O primeiro passo desse trabalho foi identificar as funcionalidades bsicas que a FID
dever implementar, quais sejam: obteno de dados do sistema, captura de dados
digitados, identificao de programas em execuo e envio de informaes pela
rede de maneira discreta e cifrada.
A partir da, esses cdigos foram estudados, a fim de identificar as qualidades e as
limitaes de cada um. Ao mesmo tempo, livros que tratam dos assuntos rootkits,
drivers e engenharia social ajudaram a sanar dvidas de implementao e indicar as
melhores maneiras de abordar o problema.
Ento, foram implementados um prottipo funcional da FID e toda a infraestrutura
necessria para seu correto funcionamento. H de se observar que nenhuma
dessas etapas "estanque": so abordadas em ciclo, visando aperfeioamento ou
implementao de novas funcionalidades.
Ao final, foi desenvolvida uma metodologia dentro da qual o FID ser utilizada. Para
isso, trs investigadores que trabalham rotineiramente com interceptaes
telemticas foram entrevistados, com o objetivo de entender o funcionamento destas
interceptaes e tambm descobrir as principais dificuldades enfrentadas por eles.
De posse desta informao, as etapas da metodologia foram definidas.

3.2 PROCEDIMENTOS METODOLGICOS

A ferramenta primordial para desenvolvimento de drivers para sistemas Windows
chama-se WDK46, ou Windows Driver Kit. Ela pode ser baixada gratuitamente do
stio da Microsoft47 e contm documentao, exemplos, build environments48 e
outras ferramentas teis aos desenvolvedores.
A verso do WDK utilizada no desenvolvimento do driver 7600.16385.0, e o build
environment, x86 Checked Build for Windows 749. Existem duas possibilidades para
cada ambiente: Checked Build50 e Free Build51. altamente recomendvel que,
durante o desenvolvimento do cdigo, os executveis sejam gerados utilizando a
primeira abordagem: nela, verificaes so includas no cdigo binrio a fim de
detectar erros e variveis para debug52 so setadas. Ao final do desenvolvimento,
deve-se gerar o executvel utilizando a Free Build, para se obter um cdigo mais
otimizado.

Outros programas utilizados so descritos a seguir:

Ambiente de programao: Visual Studio 2008 53. Framework desenvolvida pela
Microsoft para desenvolvimento de programas, permite integrao com WDK;
Depurao, ou debug: WinDBG54. Possibilita depurao do kernel em tempo de
execuo. Para isso, faz-se necessrio conexo com o sistema a ser depurado, seja
por mquina virtual ou alguma porta de comunicao fsica;
Identificao de erros: OACR55. Procura por erros durante a compilao;
Identificao de erros: PREfast56. Realiza testes especficos para drivers;

4 RESULTADO DA DISCUO
Espera-se, a partir da definio de uma metodologia completa para obteno de
dados protegidos, desde a anlise dos alvos at a disponibilizao dos dados
capturados aos analistas, que seu uso seja difundido em investigaes policiais em
que dados interceptados legalmente no estejam sendo aproveitados na persecuo
penal por estarem cifrados, aumentando a eficcia e a eficincia destas
investigaes.

5 CONCLUSO
Este trabalho apresentou uma metodologia para interceptao de dados de maneira
remota, a ser utilizada em investigaes policiais. A necessidade desta metodologia
teve origem na impossibilidade enfrentada por investigadores em interpretar dados
que navegam cifrados pela internet, em interceptaes telemticas autorizadas
judicialmente.