Documents

Carlos Alberto Goldani-Análise do uso de antiforense digital para destruição de dados

Description
Análise do uso de antiforense digital para destruição de dados Daniel Weber 1, Evandro Della Vecchia Pereira 2,3, Carlos Alberto Goldani 4 1 2 Universidade Federal do Rio Grande do Sul 3 Secretaria de Segurança Pública do Rio Grande do Sul Universidade do Vale dos Sinos 4 Volume Digital dnlweber@gmail.com, evandro-pereira@igp.rs.gov.br, carlos@goldani.com RESUMO A atividade anti-forense contempla a esterilização ou ocultação de arquivos para garantir a segurança e privacidade de seu conteúd
Categories
Published
of 19
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Related Documents
Share
Transcript
  1 Análise do uso de antiforense digital para destruição de dados Daniel Weber 1 , Evandro Della Vecchia Pereira 2,3 , Carlos Alberto Goldani 4   1 Universidade Federal do Rio Grande do Sul 2 Secretaria de Segurança Pública do Rio Grande do Sul 3 Universidade do Vale dos Sinos 4 Volume Digital dnlweber@gmail.com, evandro-pereira@igp.rs.gov.br, carlos@goldani.com  RESUMO  A atividade anti-forense contempla a esterilização ou ocultação de arquivos paragarantir a segurança e privacidade de seu conteúdo, e as técnicas e recursos desenvolvidos para esta finalidade podem ser utilizados para sonegar evidências de crimes, que podem ser obtidas a partir de discos rígidos. Quando a justiça decide apreender um equipamento pararealizar uma pericia “post mortem”, cabe ao perito forense utilizar o seu conhecimento e as ferramentas disponíveis para recuperar evidências, que podem ter sido destruídas ou estaremocultas em discos rígidos. O escopo deste trabalho é descrever características e propriedadesde dispositivos de armazenamento que possam ser utilizadas por procedimentos antiforensecom o objetivo de ocultar ou destruir informações.  Palavras Chave: forense, anti-forense, discos rígidos, técnicas de ocultar informações.  ABSTRACT  The anti-forensic activity is driven to sterilize or hide files to ensure the security and  privacy of their content, and the techniques and resources developed for this purpose can beused to evade crime evidences, which can be obtained from hard drives. When a justice decidesto seize equipment to perform a skill post mortem , the expert forensic use his knowledge and the tools available to recover evidences that may have been destroyed or are hidden in hard drives. The scope of this paper is to describe characteristics and properties of storage devicesthat can be used in procedures anti-forensic to conceal or destroy information.  Keywords: forensics, anti-forensics, hard discs, techniques to hide information.  2 I.   IntroduçãoA tecnologia da informação é uma das responsáveis pelos avanços alcançados emtermos de qualidade de vida dos indivíduos. Diversos produtos e serviços disponíveis na redemundial de computadores proporcionam maior eficiência aos processos e facilitam o dia a diadas pessoas. Porém as mesmas facilidades oferecidas pela internet ao cidadão comum estãodisponíveis para pessoas mal intencionadas, estabelecendo o antagonismo entre o bom e o mauuso dos recursos. Antivírus foram desenvolvidos para evitar a contaminação por vírus digitais,filtros anti-spam evitam as inconveniências de e-mails não solicitados, processos deautenticação comprovam fraudes em imagens e as técnicas forenses buscam identificarinformações ocultas por procedimentos antiforense.O escopo deste trabalho é descrever características e propriedades de dispositivos dearmazenamento que possam ser utilizadas por procedimentos antiforense com o objetivo deocultar ou destruir informações.II.   ForenseA prática da forense computacional ou forense digital surgiu na década de 1980, emresposta aos primeiros casos de vírus de computador que se espalhavam por redes decomunicações [SLA 2004]. Nos anos seguintes, evoluiu para a investigação de casos dedistribuição de material contendo pedofilia e posteriormente no combate a crimescibernéticos 1 , quando a popularização do acesso à Internet e o uso de computador pessoalcomo ferramenta de trabalho e meio local de armazenamento criaram novas oportunidades paraatividades ilegais [HAN 2004].Uma definição ambiciosa de forense digital poderia ser: “Disciplina que combinaelementos legais e ciência da computação para coletar e analisar dados de sistemascomputacionais, redes, comunicações sem fio e dispositivos de armazenamento de modo quepossam constituir evidências admissíveis em um tribunal” [COM 2005]. 1 Ambiente virtual.  3 O ciclo dos procedimentos forenses é ilustrado na figura 1. Como mostra a figura, oprocesso forense transforma a mídia em evidência, necessária para a aplicação da lei ou parauso interno das empresas. A primeira transformação ocorre quando os dados coletados sãoexaminados e as informações extraídas da mídia são analisadas por ferramentas forenses; asegunda, quando a análise dos dados cria informações que, processadas, resultam emevidências [KEN 2007]. Figura 1. Etapas do processo de investigação [KEN 2007]. Tradução. Diferente das provas físicas dos crimes convencionais, comprovações encontradas nasmídias magnéticas são digitais e podem existir de diversas formas. Arquivos, fragmentos de logs 2  e outros indícios residentes em uma mídia podem ser relacionados para criar umaevidência que indique a ocorrência de um crime ou auxilie a identificação de um criminoso[ROB 2008].Um dos fatores mais importantes na forense digital é a proteção das provas obtidas euma das atribuições do perito é garantir que o equipamento sob análise e os processos de coletasejam administrados com cuidado para garantir que [LOP 2006] [BRE 2002] [MUK 2008]:a)   Nenhuma evidência seja danificada, destruída ou comprometida pelosprocedimentos utilizados para investigar o equipamento;b)   O processo não crie nenhuma condição que possa inviabilizar uma verificaçãofutura;c)   Seja estabelecida (e mantida) uma cadeia de custódia 3 ;d)   Caso o equipamento esteja operacional ( live forensics ), o tempo de intervenção sejao menor possível; 2 Registro das atividades realizadas por um software para depuração de problemas [ZAGO, 2007]. 3 Cadeia de custódia: Procedimento para assegurar validade legal das atividades enquanto uma evidência estiversob perícia [LOP 2006].    4 e)   Qualquer informação obtida, não pertinente ao escopo da investigação, seja tratadadentro dos limites éticos e legais, e não seja divulgada;f)   Todo o processo deve ser documentado para permitir a sua reprodução.A forense digital pode ser classificada em dois tipos básicos:  Live Forensics e Post- Mortem Forensics [CAR 2007]. A  Live Forensiscs especifica procedimentos de investigaçãonão intrusivos, em equipamentos operacionais, e analisa informações persistentes (gravadas emdispositivos de armazenamento) e voláteis (com tempo de vida restrito). A Post-MortemForensics implica na apreensão de equipamentos para análise em laboratório e não inclui aanálise de dados voláteis, como os gravados em memória RAM 4 , que são perdidos quando há afalta de energia [SUT 2008] [COM 2005].A forense Post-Mortem inclui técnicas triviais de varredura por documentos, logs ,imagens (fotografias), identificação de data e hora de arquivos, análise de trilhas de uso docomputador e recuperação de dados excluídos [CAR 2007].III.   AntiforenseA migração acelerada de informações para o ambiente digital aumentou o potencial deexposição de dados sensíveis, pessoais ou corporativos, possibilitando o seu acesso indevido. Aantiforense especifica métodos de remoção, ocultação e subversão de evidências com oobjetivo de mitigar os resultados de análises forenses [GAR 2007].   A necessidade de umprocesso de antiforense eficaz é inversamente proporcional à probabilidade de exporinformações sensíveis, pessoais ou corporativas, por técnicas de análise forense.O disco rígido, principal dispositivo de armazenamento dos computadores, é projetadopara evitar perdas e danos acidentais aos dados. Técnicas como um diretório para arquivosreciclados e comandos “ Unerase ” ou “ Undelete ” estão disponíveis na maioria dos sistemasoperacionais para prevenir a perda imprevista de informações dos usuários. A exclusão deponteiros (índices) é um padrão para agilizar a exclusão e possibilitar a recuperação de um 4 Memória de Acesso Randômico. Meio de armazenamento temporário e volátil disponibilizado para aplicativose sistema operacional em um computador.
Search
Tags
Related Search
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks