Anlise do uso de antiforense digital para destruio de dados

Daniel Weber 1, Evandro Della Vecchia Pereira 2,3, Carlos Alberto Goldani 4
1 2

Universidade Federal do Rio Grande do Sul

3

Secretaria de Segurana Pblica do Rio Grande do Sul Universidade do Vale dos Sinos
4

Volume Digital

dnlweber@gmail.com, evandro-pereira@igp.rs.gov.br, carlos@goldani.com

RESUMO A atividade anti-forense contempla a esterilizao ou ocultao de arquivos para garantir a segurana e privacidade de seu contedo, e as tcnicas e recursos desenvolvidos para esta finalidade podem ser utilizados para sonegar evidncias de crimes, que podem ser obtidas a partir de discos rgidos. Quando a justia decide apreender um equipamento para realizar uma pericia post mortem, cabe ao perito forense utilizar o seu conhecimento e as ferramentas disponveis para recuperar evidncias, que podem ter sido destrudas ou estarem ocultas em discos rgidos. O escopo deste trabalho descrever caractersticas e propriedades de dispositivos de armazenamento que possam ser utilizadas por procedimentos antiforense com o objetivo de ocultar ou destruir informaes. Palavras Chave: forense, anti-forense, discos rgidos, tcnicas de ocultar informaes.

ABSTRACT The anti-forensic activity is driven to sterilize or hide files to ensure the security and privacy of their content, and the techniques and resources developed for this purpose can be used to evade crime evidences, which can be obtained from hard drives. When a justice decides to seize equipment to perform a skill "post mortem", the expert forensic use his knowledge and the tools available to recover evidences that may have been destroyed or are hidden in hard drives. The scope of this paper is to describe characteristics and properties of storage devices that can be used in procedures anti-forensic to conceal or destroy information. Keywords: forensics, anti-forensics, hard discs, techniques to hide information.

I.

Introduo

A tecnologia da informao uma das responsveis pelos avanos alcanados em termos de qualidade de vida dos indivduos. Diversos produtos e servios disponveis na rede mundial de computadores proporcionam maior eficincia aos processos e facilitam o dia a dia das pessoas. Porm as mesmas facilidades oferecidas pela internet ao cidado comum esto disponveis para pessoas mal intencionadas, estabelecendo o antagonismo entre o bom e o mau uso dos recursos. Antivrus foram desenvolvidos para evitar a contaminao por vrus digitais, filtros anti-spam evitam as inconvenincias de e-mails no solicitados, processos de autenticao comprovam fraudes em imagens e as tcnicas forenses buscam identificar informaes ocultas por procedimentos antiforense. O escopo deste trabalho descrever caractersticas e propriedades de dispositivos de armazenamento que possam ser utilizadas por procedimentos antiforense com o objetivo de ocultar ou destruir informaes.

II.

Forense

A prtica da forense computacional ou forense digital surgiu na dcada de 1980, em resposta aos primeiros casos de vrus de computador que se espalhavam por redes de comunicaes [SLA 2004]. Nos anos seguintes, evoluiu para a investigao de casos de distribuio de material contendo pedofilia e posteriormente no combate a crimes cibernticos1, quando a popularizao do acesso Internet e o uso de computador pessoal como ferramenta de trabalho e meio local de armazenamento criaram novas oportunidades para atividades ilegais [HAN 2004]. Uma definio ambiciosa de forense digital poderia ser: Disciplina que combina elementos legais e cincia da computao para coletar e analisar dados de sistemas computacionais, redes, comunicaes sem fio e dispositivos de armazenamento de modo que possam constituir evidncias admissveis em um tribunal [COM 2005].

Ambiente virtual.

O ciclo dos procedimentos forenses ilustrado na figura 1. Como mostra a figura, o processo forense transforma a mdia em evidncia, necessria para a aplicao da lei ou para uso interno das empresas. A primeira transformao ocorre quando os dados coletados so examinados e as informaes extradas da mdia so analisadas por ferramentas forenses; a segunda, quando a anlise dos dados cria informaes que, processadas, resultam em evidncias [KEN 2007].

Figura 1. Etapas do processo de investigao [KEN 2007]. Traduo.

Diferente das provas fsicas dos crimes convencionais, comprovaes encontradas nas mdias magnticas so digitais e podem existir de diversas formas. Arquivos, fragmentos de logs2 e outros indcios residentes em uma mdia podem ser relacionados para criar uma evidncia que indique a ocorrncia de um crime ou auxilie a identificao de um criminoso [ROB 2008]. Um dos fatores mais importantes na forense digital a proteo das provas obtidas e uma das atribuies do perito garantir que o equipamento sob anlise e os processos de coleta sejam administrados com cuidado para garantir que [LOP 2006] [BRE 2002] [MUK 2008]: a) Nenhuma evidncia seja danificada, destruda ou procedimentos utilizados para investigar o equipamento; comprometida pelos

b) O processo no crie nenhuma condio que possa inviabilizar uma verificao futura; c) Seja estabelecida (e mantida) uma cadeia de custdia3; d) Caso o equipamento esteja operacional (live forensics), o tempo de interveno seja o menor possvel;

2 3

Registro das atividades realizadas por um software para depurao de problemas [ZAGO, 2007]. Cadeia de custdia: Procedimento para assegurar validade legal das atividades enquanto uma evidncia estiver sob percia [LOP 2006].

e) Qualquer informao obtida, no pertinente ao escopo da investigao, seja tratada dentro dos limites ticos e legais, e no seja divulgada; f) Todo o processo deve ser documentado para permitir a sua reproduo.

A forense digital pode ser classificada em dois tipos bsicos: Live Forensics e PostMortem Forensics [CAR 2007]. A Live Forensiscs especifica procedimentos de investigao no intrusivos, em equipamentos operacionais, e analisa informaes persistentes (gravadas em dispositivos de armazenamento) e volteis (com tempo de vida restrito). A Post-Mortem Forensics implica na apreenso de equipamentos para anlise em laboratrio e no inclui a anlise de dados volteis, como os gravados em memria RAM4, que so perdidos quando h a falta de energia [SUT 2008] [COM 2005]. A forense Post-Mortem inclui tcnicas triviais de varredura por documentos, logs, imagens (fotografias), identificao de data e hora de arquivos, anlise de trilhas de uso do computador e recuperao de dados excludos [CAR 2007].

III.

Antiforense

A migrao acelerada de informaes para o ambiente digital aumentou o potencial de exposio de dados sensveis, pessoais ou corporativos, possibilitando o seu acesso indevido. A antiforense especifica mtodos de remoo, ocultao e subverso de evidncias com o objetivo de mitigar os resultados de anlises forenses [GAR 2007]. A necessidade de um processo de antiforense eficaz inversamente proporcional probabilidade de expor informaes sensveis, pessoais ou corporativas, por tcnicas de anlise forense. O disco rgido, principal dispositivo de armazenamento dos computadores, projetado para evitar perdas e danos acidentais aos dados. Tcnicas como um diretrio para arquivos reciclados e comandos Unerase ou Undelete esto disponveis na maioria dos sistemas operacionais para prevenir a perda imprevista de informaes dos usurios. A excluso de ponteiros (ndices) um padro para agilizar a excluso e possibilitar a recuperao de um

Memria de Acesso Randmico. Meio de armazenamento temporrio e voltil disponibilizado para aplicativos e sistema operacional em um computador.

arquivo em disco, e drivers utilizam tcnicas de deteco de erros para impedir que uma leitura resulte em valores incorretos [HUG 2007]. No existe uma definio universal para antiforense, o que no exatamente uma surpresa, visto que uma atividade relativamente inexplorada. Existem mltiplas definies, cada qual com o seu mrito relativo. Algumas restringem o termo descrio de ferramentas que destroem mdias e evita a captura de informaes nelas contidas, outras tm um espectro mais amplo e abrangem sistemas complexos de proteo privacidade [BEI 2007]. Talvez o mtodo mais eficiente para obter um significado nico para a descrio de antiforense seja analisar separadamente as palavras que compem sua definio. O prefixo define anti como oposio ou ao contrria. Da combinao destes termos, antiforense pode ser definido como mtodos utilizados para impedir a ao da cincia para a coleta de evidncias que resultem na quebra de privacidade individual ou exposio de segredos industriais [HAR 2006]. Assim como existem vrias definies de antiforense, diversos mtodos foram propostos para garantir o sigilo de informaes armazenadas. A Tabela 1 descreve uma das classificaes possveis para mtodos antiforenses: destruio, ocultao, eliminao da fonte e falsificao. Cada uma destas categorias enderea aes distintas para comprometer a disponibilidade e utilidade da informao para o processo forense. Evidncias podem ser destrudas para evitar que sejam encontradas ou que sejam teis caso sejam localizadas. Podem ser ocultadas para impedir que sejam casualmente expostas ou dificultar a sua identificao por um investigador. Possveis fontes de evidncias podem ser destrudas para garantir que nunca estejam disponveis, ou mascaradas e manipuladas para distribuir a culpa ou corromper a sua validade, de modo que no possam ser utilizadas em juzo [PER 2008]. significativo notar que, embora a publicao da obra dos autores citados seja recente, as tcnicas de ocultao contempladas na tabela no incluem a explorao de reas no endereveis de discos rgidos.

Nome Alteraes MACE5

Destruio Destruir a informao MACE ou sobrescrever com dados aleatrios. Reescrever o contedo com dados aleatrios.

Ocultao

Eliminao da Fonte

Falsificao Reescrever com dados aleatrios para confundir investigadores.

Remover/ esterilizar arquivos Encapsulamento de dados Seqestro de Conta Arquivos autodestrutivos Desabilitar logs

Excluir o arquivo.

Ocultar um arquivo em outro. Criar evidncia para culpar outra pessoa por atos irregulares. Criar evidncias para comprometer a anlise de uma imagem. No so disponibilizadas informaes sobre atividades realizadas.

Tabela 1- Classificao de categorias antiforenses. (Fonte: [HAR 2006].) Das quatro classificaes, a destruio merece uma considerao especial, por ser um processo irreversvel. A destruio envolve o processo de tornar a evidncia sem utilidade para o processo investigativo, por sua excluso total ou comprometimento. Destruio implica em ir alm da tarefa de tornar uma evidncia inacessvel (como na ocultao ou eliminao da origem) e um processo sem possibilidade de recuperao. Em crimes no digitais, exemplo de destruio pode ser a eliminao de digitais de uma arma, ou o uso de gua sanitria para destruir o DNA de uma amostra de sangue [KEM 2005]. Como estas aes trabalham sobre evidncias existentes, o processo de destruio pode criar

Acrnimo de Modfications, Access, Create and Entry Modifying.

novas evidncias. Por exemplo, a garrafa utilizada para transportar a gua sanitria pode conter digitais que indiquem o autor do processo de limpeza. No mundo digital aplicam-se as mesmas regras: a sobrescrita de um arquivo pode destruir parcialmente ou completamente o seu contedo, mas o software6 utilizado para realizar a esterilizao (excluso) pode criar uma trilha de evidncias adicionais, de acordo com o corolrio de Harlan7 [CAR 2007]. A eficincia dos procedimentos de antiforense est relacionada com os problemas inerentes atividade forense. As caractersticas do profissional (elemento humano), a dependncia de ferramentas (custo/benefcio) e limitaes fsicas e lgicas do processo investigativo forense so balizadoras das atividades antiforense [BEI 2007]. De todas as questes relativas ao trabalho forense, o elemento humano um problema difcil de ser equacionado, porque diversos aspectos influenciam a eficincia de um investigador ao analisar medidas de ocultao de informaes. A ateno do investigador, treinamento, experincia e determinao; podem ser decisivos para detectar uma atividade antiforense [STO 2008]. O problema de dependncia de ferramentas reside na caracterstica dos fabricantes de, normalmente, desenvolverem um produto para uma atividade especfica, ou seja, o seu uso no suficiente para descartar a possibilidade de existirem informaes ocultas [KIM 2008]. Uma maneira de mitigar esta caracterstica utilizar mltiplas ferramentas, mas esta soluo exige mais investimento e treinamento. Limitaes fsicas incluem conectores, protocolos e formatos de mdias de armazenamento. O treinamento, as ferramentas e protocolos adequados para o estudo de um disco rgido podem no ser efetivos para analisar um carto de memria de uma mquina fotogrfica de ltima gerao. A eficincia da indstria em lanar produtos com maior

6 7

Programa de computador. A primeira Lei da Forense Computacional, proposta por Jesse Kornblum [2002], diz que Toda a ao gera uma evidncia e o corolrio de Harlan complementa especificando Uma vez compreendida quais condies criam ou alteram um fato, ento a completa ausncia de fatos por si mesma um fato [CAR 2007], ou seja, a ausncia total de informaes um indcio de que a unidade de disco rgido possa ter sido esterilizada.

capacidade ou novas tecnologias contribui para que as limitaes fsicas e lgicas sejam cada vez maiores [SOB 2004]. A antiforense utiliza tcnicas de destruio e ocultao de dados para dificultar ou impedir que algum, mesmo que seja um perito forense, tenha acesso s informaes presentes em uma mdia de armazenamento [PER 2008]. As tcnicas existentes so agrupadas em duas classificaes principais: 1. destruio das informaes, onde os dados no podem ser recuperados, inclusive pelo proprietrio do contedo, e que utiliza processos de excluso segura ou meios para danificar a estrutura fsica da mdia de armazenamento; 2. proteo das informaes, para situaes onde deve ser garantida a possibilidade de recuperao dos dados. Entretanto, este acesso limitado exclusivamente ao proprietrio ou a algum que consiga descobrir como foi realizada a proteo e/ou que algoritmo e chave foram utilizados.

IV.

Ocultao Fsica de Dados

A ocultao fsica um caso especial da proteo de dados. Especialistas em tecnologia da informao esto convencidos que na internet e em intranets corporativas existe um grande volume de informaes ocultas, inacessveis, deslocadas, inconsistentes ou perdidas. Esta quantidade pode ser equivalente ou maior que os dados que podem ser pesquisados, recuperados e utilizados para processos. Dados fisicamente ocultos so um subconjunto da proteo de informaes. Existem diversas maneiras de proteger o contedo de uma informao digital. A criptografia uma forma de impedir o acesso da informao sem omitir que ela existe, o contedo no pode ser interpretado sem o conhecimento da chave. Tcnicas de esteganografia ocultam dados em arquivos legtimos. Ambos os procedimentos compartilham com as tcnicas fsicas o fato da ocultao ser intencional. Os procedimentos forenses que endeream dados ocultos fisicamente esto relacionados com tcnicas que exploram as caractersticas de formatao de um disco rgido ou outra mdia semelhante. A escrita de dados nos intervalos entre o fim lgico do arquivo e o final do cluster
8

onde est localizado (slack area) uma tcnica j conhecida e explorada por diversos programas disponveis sem custo na Internet. A desvantagem deste procedimento que, embora seja transparente ao sistema de arquivos, dados ocultos podem ser facilmente recuperados por um editor de discos rgidos bsico [WEE 2006]. A habilidade de esconder informaes em uma mdia dependente de arquiteturas e sistemas operacionais. Se toda a rea de armazenamento de um dispositivo pode ser endereada a nvel de byte, no existe espao fsico para ocultar dados. Infelizmente esta no a realidade do mercado. Um disco rgido formatado pode ser visualizado como um meio fsico mapeado por uma estrutura lgica, que constituda de parties, sistemas de arquivos, arquivos, registros, campos, etc. A estrutura fsica consiste em discos, cilindros, trilhas, clusters, setores, etc. A ausncia de um mapeamento 1:1 entre os ambientes lgico e fsico que cria os espaos que podem ser utilizados para ocultar dados [BER 2007]. Este fato tem vrias implicaes, considerando que programas de aplicaes e sistemas de arquivos reconhecem apenas a estrutura lgica. Os recursos normais no tm acesso s localizaes onde as informaes podem estar escondidas. O mais assustador que as

ferramentas forenses no so projetadas para cobrir todas as possibilidades de armazenamento no tradicional e um criminoso criativo pode buscar maneiras de ocultar informaes em reas que ainda no foram identificadas como possveis espaos para conter dados. O maior problema, do ponto de vista forense, que as ferramentas atuais no esto habilitadas a recuperar todas as possibilidades de armazenamento de dados. Com estaes de trabalho administrando sistemas de armazenamento RAID 5 da ordem de terabytes, a investigao manual inviabilizada e a maior probabilidade de uma atividade forense obter sucesso neste ambiente ainda a incompetncia do criminoso.

V.

Slackering

Slack Area ou Slack Space so termos ainda sem uma definio apropriada na lngua portuguesa e identificam reas onde possvel ocultar informaes com base nas caractersticas operacionais dos sistemas de arquivos utilizados em dispositivos de
9

armazenamento. Sistemas de arquivos (file systems) definem a metodologia de armazenar e organizar arquivos de forma a habilitar o seu acesso quando necessrio. Sistemas de arquivos utilizam dispositivos de armazenamento, tais como discos rgidos ou mdias ticas, e administram a manuteno da localizao fsica dos dados [BER 2007]. Os sistemas de arquivos mais comuns so fundamentados em dispositivos que habilitam o acesso a blocos de tamanho fixo, usualmente chamados de setores. O sistema de arquivos responsvel por organizar conjuntos de setores em arquivos e diretrios, controlar quais setores pertencem a um arquivo e quais no esto sendo utilizados. A maioria dos sistemas de arquivos enderea dados em unidades de tamanho fixo, chamadas clusters ou blocks, que contm um nmero fixo de setores. O cluster (ou bloco) a menor rea em um disco que pode ser alocada para armazenar um arquivo [CAR 2005]. A seguir apresentado um estudo realizado em um dos sistemas de arquivos mais utilizados atualmente, o NTFS (New Tecnology File System), e as suas concluses podem ser portadas para praticamente todos os sistemas de arquivos. O NTFS proprietrio (Microsoft) e utilizado por diferentes verses do sistema operacional Windows. Administra setores individuais de 512 bytes, e os agrupa em clusters (chamados de unidades de alocao) para reduzir o tamanho da MFT8 e para minimizar a fragmentao dos arquivos [HOW 2003]. Em um sistema de arquivos NTFS com tamanho de cluster de 4KB, um arquivo de apenas 1 KB ocupa a rea de 4 KB na unidade de armazenamento. Esta caracterstica aplicvel a outros sistemas de arquivos alm do NTFS, orienta a definio de slack area: o espao existente entre o fim do arquivo e o fim do cluster onde ele est armazenado. Tambm chamada de file slack, a slack area, a ocorrncia deste espao natural porque dificilmente dados armazenados so do tamanho exato do espao alocado, conforme mostrado na Figura 2. Em forense computacional, a slack area importante porque pode manter dados significativos nas reas residuais que ocorrem quando um arquivo menor escrito sobre um arquivo maior [BER 2007].

A MFT (Master File Table) a principal estrutura do sistema NTFS, que substitui a FAT, armazenando as localizaes de todos os arquivos e diretrios, incluindo os arquivos referentes ao prprio sistema de arquivos.

10

Figura 2. Slack Area - A rea no utilizada entre o fim do arquivo (EoF) e o fim do bloco

A importncia da slack area pode ser avaliada por uma constatao simples: o utilitrio Disk Slack Checker [KEN 2006], desenvolvido por Karen Kenworthy9, identificou, na partio principal do equipamento utilizado para redigir este texto, a disponibilidade de 319,29 MB (Ver Tabela 2), ou seja, a possibilidade de ocultar mais de 300 MB de informaes. Unidade: Tipo: Sistema de Arquivos: Tamanho do Cluster: Tamanho da Unidade: Arquivos: Pastas: rea Livre: rea utilizada: Slack Area: C: Fixo NTFS 4K 101,03 GB 148.459 19.569 25,37 GB (25,11%) 76,05 GB (75,28%) 319,29 MB (0,31%)

Tabela 2: Relatrio da Unidade C: do equipamento utilizado para editar este texto

VI.

Alternate Data Streams (ADS)

O Alternate Data Streams (ADS) uma caracterstica do NTFS concebida para permitir a compatibilidade com o sistema de arquivos HFS (Hierarchical File System) utilizado pela Macintosh [MEA 2003]. ADS a habilidade de distribuir um arquivo de dados entre outros arquivos existentes, sem afetar tamanho, funcionalidade ou maneira com que esses arquivos so tratados por utilitrios tradicionais como, por exemplo, o Windows Explorer. O ADS existe em todas as verses do NTFS e utilizado por inmeros programas, incluindo alguns nativos do sistema operacional Windows, para armazenar atributos de arquivos ou informaes temporrias.

Disponvel em www.karenware.com.

11

O uso do ADS extremamente simples e no requer um perfil tcnico avanado. Comandos simples do MS-DOS, como o type, utilizados em conjunto com indicadores de redirecionamento [>] e dois pontos [:] ativam o ADS e ocultam um arquivo em outro (ou outros). A Figura 3 ilustra o uso do recurso ADS para ocultar uma figura em um arquivo de texto: type c:\Sony.jpg > c:\Fraudes.doc:Sony.jpg

Figura 3: Exemplo de uso do ADS: (1) Indica os arquivos originais (2) Comando de insero do arquivo Sony.jpg no arquivo Fraudes.doc

(3) Indicao do arquivo Sony.jpg inserido no arquivo Fraudes.doc

12

Arquivos ocultos pelo ADS so muito difceis de detectar atravs do gerenciador de arquivos como o Windows Explorer ou por linhas de comando em verses do Windows anteriores a verso Vista. O tamanho do arquivo Fraudes.doc (292.864 KB) continua igual e a nica indicao visual disponvel pelos recursos nativos do sistema operacional atravs da anlise de modificao de data e hora do arquivo investigado [ZAD 2004]. Considerando a quantidade de arquivos existentes em um sistema operacional (mais de 20.000 no Windows Vista), a localizao de arquivos ocultos atravs do uso de ADS pode ser uma tarefa demorada sem a utilizao de ferramentas adequadas.

VII.

Parties Ocultas (HPA e DCO)

Host Protected Areas (HPA) e Device Configuration Overlays (DCO) so reas de armazenamento em discos rgidos ocultas pelo fabricante que podem ser exploradas por procedimentos antiforense [GUP 2006]. As especificaes do HPA e DCO definem a metodologia e os servios associados para gravar dados e/ou programas em reas de discos rgidos, que normalmente no esto disponveis aos usurios e atende uma demanda dos fabricantes para facilitar o suporte aos seus produtos. O HPA e o DCO foram desenvolvidos em funo do grande nmero de equipamentos sem defeitos, mas que mesmo assim que retornavam a fabrica como inoperantes. Ambos contemplam implementaes no firmware da BIOS que podem ser utilizadas para executar rotinas de diagnsticos na unidade, cujo objetivo determinar, com um alto ndice de confiabilidade, se o equipamento est funcionando de forma apropriada. Estes diagnsticos esto residentes em reas protegidas do disco rgido, para reduzir a possibilidade de contaminao por vrus, corrupo do software operacional ou mau uso pelo operador do sistema [BER 2007]. O HPA definido como uma rea reservada no disco rgido, projetada para armazenar informaes de forma que no possam ser acessadas com os recursos usuais da BIOS, do usurio ou do sistema operacional. Esta rea pode conter informaes sobre utilitrios do disco rgido, ferramentas de diagnstico e o cdigo de inicializao do equipamento. Uma rea adicional disponvel nos equipamentos atuais a DCO que permite, aos fornecedores de
13

sistemas, comprarem unidades de diferentes fabricantes com tamanhos diferentes e configurar todos os discos rgidos com o mesmo nmero de setores para a padronizao de procedimentos (ver Figura 4). Um exemplo de utilizao do DCO pode ser um disco de 80GB ser

reconhecido como 60GB tanto pela BIOS como pelo sistema operacional [GUP 2006]. Uma reviso atenta s especificaes do padro ATA (Advanced Technology Attachment) e desenvolvimentos recentes da comunidade de software livre indicam que estas reas (HPA e DCO) podem ser acessadas, modificadas e gravadas por utilitrios disponveis sem custo na Internet, possibilitando a ocultao de dados sigilosos. Por oportuno, vale ressaltar que o uso de discos rgidos padro ATA como principal dispositivo de armazenamento em notebooks uma realidade do mercado atual. A existncia destas reas tambm aumenta consideravelmente o risco de que programas de aquisio de imagens no resultem em cpias fidedignas dos discos rgidos de origem e podem conduzir a concluses incompletas de anlises forenses [GUP 2006]. A proteo de segredos industriais de fabricantes de discos rgidos e montadores de computadores tambm um fator adicional de obscuridade para a anlise destas reas como disponveis para armazenamento de informaes.

Figura 4. Parties Ocultas (HPA e DCO)

As figuras a seguir mostram outras possibilidades de uso de reas cujo acesso no possivel via os sistemas de arquivos [BER 2007]:

Figura 5a. Espao no utilizado pelo sistema de arquivos ExtX (Unix e Linux)

Figura 5b. Espao no utilizado na definio das partices de uma unidade 14

Figura 5c. rea no utilizada no Master Boot Record (MBR)

Figura 5d. Setores operacionais marcados como defeituosos para iludir os sistemas de arquivos

Figura 5e. Slack de Partioes

VIII.

Concluses

O desafio enfrentado pelo perito forense de recuperar dados destrudos ou ocultos cresce de maneira exponncial. As dificuldades so caracterizadas por diversas formas; uso de programas de esterilizao de arquivos ou unidades, criptografia, esteganografia e tcnicas de ocultao de dados em reas de discos rgidos no so acessveis aos sistemas de arquivos tradicionais. A complexidade de recuperar informaes em discos rgidos aumenta tambm em funo da evoluo dos processos de fabricao, que permitem unidades com maior capacidade de armazenamento, atualmente medida em termos de terabytes. A recuperao de unidades e arquivos esterizilizados no pode ser feita por software e depende de uma anlise criteriosa da relao custo/benefcio. Programas que oferecem diversos algoritmos para esterilizao com interfaces simplificadas esto disponveis na internet sem custo e permitem a sua utilizao eficiente por leigos no assunto. A mdia noticiou que os discos rgidos dos computadores apreendidos por mandato judicial nos escritrios do investidor Daniel Dantas estavam sendo periciados nos Estados Unidos [MAC 2008], fato que caracteriza as dificuldades (e custos) de um processo cujo resultado, mesmo que seja bem sucedido, pode no ser o esperado.
15

A busca por arquivos ocultos utilizando o descompasso existente entre as estruturas fsicas e lgicas dependente de equipamento e as tcnicas utilizadas variam de acordo com o fabricante. A boa notcia nesta rea que os fornecedores de equipamentos normalmente no fazem grande segredo das caractersticas dos dispositivos de armazenamento que comercializam. O melhor aparelhamento do perito forense uma necessidade urgente e o uso exclusivo de ferramentas de software, por mais eficientes que sejam, j no suficiente para recuperar informaes que tenham sido ocultas por usurios bem orientados. Participantes de organizaes de pedfilos, por exemplo, utilizam cdigos secretos e divulgam, entre seus membros, diversas tcnicas para dificultar a localizao de material ilegal. Com recursos limitados, a maior probabilidade de uma atividade forense obter sucesso a incompetncia do criminoso e felizmente, a maior parte dos infratores da lei no especializada em informtica e deixa vrios indcios da sua atividade.

16

Referncias
[BER 2007] [BEI 2007] [BRE 2002 [CAR 2005] [CAR 2007] [COM 2005] [GAR 2007] [GUP 2006]
BERGHEL, Hal. Data Hiding Tactics for Windows and Unix File Systems. 2007. Disponvel em: <http://www.berghel.net/publications/data_hiding/data_hiding.php>. Acesso: Mar/2009 BERINATO, Scott. The Rise of Anti-Forensics. 2007. Disponvel em: <http://www.csoonline.com/article/221208/The_Rise_of_Anti_Forensics?page=3>. Acesso: Mai/2009. BREZINSKI, D.; KILLALEA, T. Evidence Collection and Archiving. Internet Engineering Task Force. Fev. 2002. Disponvel em: <www.ietf.org/rfc/rfc3227.txt>. Acesso: Out/2008. CARRIER, Brian. File System Forensic Analisys. Addison Wesley Professional. 2005. CARVEY, Harlan. Windows Forensic Analysis. DVD Toolkit. Syngress Publishing, Inc, 2007. COMPUTER Forensics. US-CERT. 2005. Disponvel em: <http://www.uscert.gov/reading_room/forensics.pdf>. Acesso: Ago/2007. GARFINKEL, Simson. Anti-Forensics: Techniques, Detection and Countermeasures. 2007. Disponvel em: <http://www.simson.net/clips/academic/2007.ICIW.AntiForensics.pdf> Acesso: Mar/2008 GUPTA, Mayank R. et ali. Hidden Disk Areas: HPA and DCO. 2006. Internacional Journal of Digital Evidence. Fall 2006, Volume 5, Issue 1. Disponvel em: <http://www.utica.edu/academic/institutes/ecii/publications/articles/EFE36584-D13F2962-67BEB146864A2671.pdf>. Acesso: Mai/2009. HANNAN, Mathew. To Revisit: What is Forensic Computing? 2004. Disponvel em: < http://igneous.scis.ecu.edu.au/proceedings/2004/forensics/Hannan.pdf> Acesso: Jun/2009. HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. 2006. Published by Elsevier Ltd. Disponvel em: <http://dfrws.org/2006/proceedings/6-Harris.pdf >. Acesso: Mai. 2009. HOW NTFS Works. Microsoft Corporation. Technet. 2003. Disponvel em: <http://technet.microsoft.com/en-us/library/cc781134.aspx>. Acesso: Mai/2009. HUGHES, Gordon; COUGHLIN, Tom. Tutorial on Disk Drive Data Sanitization. 2007. Disponvel em: <http://cmrr.ucsd.edu/people/Hughes/DataSanitizationTutorial.pdf>. Acesso: Mai/2009. KEMP, Brian M.; SMITH, David Glenn. Use of bleach to eliminate contaminating DNA from the surface of bones and teeth. Disponvel em: <http://www.anthro.ucdavis.edu/card/pubs/kemp&smith2005.pdf>. Acesso: Mar/2009. KENT, Karen et ali. Guidelines for Media Sanitization (NIST), 2007. Disponvel em: <http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf>. Acesso: Mai/2009. KIM, Yeog et ali. Detection of Hidden Information in Forensic Tools. IEEE. 2008. Disponvel em: <http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=4511571>. Acesso: Mai/2009. KENWORTHY, Karen. Informaes sobre o Software Disk Slack Checker. Disponvel em: <http://www.karenware.com/powertools/ptslack.asp> Acesso: Set. 2008. LOPES, M.; GABRIEL, M. M.; BARETA, G. M. S. Cadeia De Custdia: Uma Abordagem Preliminar. 2006. Disponvel em: <http://ojs.c3sl.ufpr.br/ojs2/index.php/academica/article/viewFile/9022/6315>. Acesso: Mai/2009. 17

[HAN 2004] [HAR 2006] [HOW 2003] [HUG 2007] [KEM 2005] [KEN 2007] [KIM 2008] [KEN 2006]
[LOP 2006]

[MAC 2008] [MEA 2003] [MUK 2008] [PER 2008]

[ROB 2008] [SLA 2004] [SOB 2004] [STO 2008]

[SUT 2008] [WEE 2006] [ZAD 2004]

Macedo, Fausto. FBI analisar arquivos de Dantas. 2008. Disponvel em: <http://www.estadao.com.br/estadaodehoje/20081226/not_imp299108,0.php>. Acesso em: maio/2009. MEANS, Ryan L. Alternate Data Streams: Out of the Shadows and into the Light. 2003. SANS Intitute. Disponvel em: <http://www.sans.org/reading_room/whitepapers/honors/1503.php>. Acesso: Fev/2009. MUKASEY, Michael B.; SEDGWICK, Jeffrey L.; HAGY, David W. Hagy. Electronic Crime Scene Investigation: A Guide for First Responders. National Institute of Justice. Disponvel em: <http://www.ncjrs.gov/pdffiles1/nij/219941.pdf>. Acesso: Mar/2009. PERON, Christian S.J; LEGARY, Michael. Digital anti-forensics: emerging trends in data transformation techniques. Seccuris Labs. 2008. Disponvel em: <http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf>. Acesso: Mar/2009. ROBBINS, Judd. An Explanation of Computer Forensics. Disponvel em: <http://computerforensics.net/forensics.htm>. Acesso: Abr/2009. SLADE, Robert. Software Forensics: Collecting Evidence from the Scene of a Digital Crime. McGraw-Hill Professional, 2004. SOBEY, Charles H. Recovering Unrecoverable Data. ActionFront Data Recovery Labs, Inc. 2004. Disponvel em: <http://www.actionfront.com/whitepaper/DriveIndependent%20Data%20Recovery%20Ver14Alrs.pdf>. Acesso: Mar/2009. STONE, Deborah L. Bottling Expertise: Using Cognitive Task Analysis to Specify Expert Problem Solving. 2008. Disponvel em: <http://astd2008.astd.org/PDF/Speaker%20Handouts/ice08%20handout%20SU221.pdf >. Acesso: Mai/2009. SUTHERLAND, Iain et ali. Acquiring Volatile Operating System Data Tools and Techniques. 2008. ACM. Disponvel em: <http://portal.acm.org/citation.cfm?id=1368516>. Acesso: Mai/2009. WEE, Cheong Kai. Analysis of hidden data in NTFS file system. 2006. Disponvel em: < http://www.forensicfocus.com/downloads/ntfs-hidden-data-analysis.pdf >. Acesso: Mar/2009. ZADJMOOL, Ray. Hidden Threat: Alternate Data Streams. 2004. Disponvel em: <http://www.windowsecurity.com/articles/Alternate_Data_Streams.html>. Acesso: Mar/2009.

18

Sobre os Autores

Daniel Weber Graduado em Segurana da Informao pela Universidade do Vale do Rio dos Sinos (UNISINOS). Sua ocupao atual coordenador da equipe de software no Projetos em udio e Vdeo (PRAV) na Universidade Federal do Rio Grande do Sul (UFRGS), onde desenvolvido um sistema de videoconferncia para Ensino a Distancia para uso na Escola Supeior de Redes da RNP. Participou dos testes de desempenho em codificadores de vdeo
H.262 e H.264 utilizados no desenvolvimento do software multiplexador para o projeto Sistema Brasileiro de TV Digital (SBTVD).

Evandro Della Vecchia Pereira Mestre em Cincia da Computao pela Universidade Federal do Rio Grande do Sul UFRGS. Bacharel em Cincia da Computao pela Pontifcia Universidade Catlica do Rio Grande do Sul - PUCRS. Perito Criminal (rea Computao Cientfica) no Instituto Geral de Percias Secretaria de Segurana Pblica do Estado do Rio Grande do Sul, autor de mais de cem laudos periciais de informtica. Professor de ensino superior na Universidade do Vale do Rio dos Sinos (Unisinos). Leciona em cursos de Formao de Delegados e Cursos de Crimes Cibernticos na Academia de Polcia do Estado do Rio Grande do Sul e Cursos de Formao de Peritos no Instituto Geral de Percias/RS. Link para o Currculo Lattes: http://lattes.cnpq.br/2539523750445675 Carlos Alberto Goldani Formao acadmica em Engenharia Eletrotcnica (UFRGS) e em Segurana da Informao (Unisinos). Atua como profissional na rea de informtica a mais de trs dcadas e nos ltimos onze anos especificamente em segurana da informao. Diretor de Tecnologia da Informao da Volume Digital (Porto Alegre, RS http://www.volumedigital.com.br). Consultor internacional para a instalao de Autoridades Certificadoras e em procedimentos de segurana baseados Criptografia de Chaves Pblicas, com atuao no Brasil e em diversos pases da Amrica Latina e Amrica Central.

19