Queira o Sr. Perito relatar o que é anti-forense e suas principais características

Durante todo o processo investigatório, desde a etapa de coleta de dados até a fase de reporte das análises realizadas, o perito forense computacional depara-se com diversos desafios que podem dificultar ou até impossibilitar a reconstrução dos fatos no ambiente digital. Essas dificuldades, quando impostas explicitamente pelos usuários, são conhecidas comumente pelo termo “anti-forense” e consistem em métodos de remoção, ocultação ou subversão de evidências com o objetivo de mitigar os resultados de uma análise forense computacional.

As técnicas de anti-forense, estão evoluindo rapidamente e tornando ainda mais difícil o trabalho de peritos e técnicos em segurança da informação. Podemos citar como exemplos principais desse tipo de prática, a criptografia, a existência de senhas, a esteganografia, o uso de wipe (sanitização de disco) e ainda a instalação de rootkits e backdoors.

Para realizar as atividades anti-forense muitos especialistas ou usuários avançados utilizam outras técnicas, sistemas e métodos para poder se infiltrar em uma máquina sem deixar rastros, cometer fraudes sem ser descoberto, entre outros. Nesse post, vamos analisar os principais citados anteriormente:

Criptografia e existência de senhas

A criptografia[1] é cada vez mais utilizada em meios corporativos e até entre os usuários domésticos. O desafio criptográfico exige do perito conhecimento avançado sobre o assunto, para poder descobrir possíveis códigos criptografados no dispositivo examinado.

Matemáticos do mundo todo estudam e inventam algoritmos capazes de proteger a informação e dificultar o processo inverso. Portanto, é importante que o investigador forense ou perito inicie suas buscas por programas de criptografia que possam estar instalados na evidência analisada, objetivando encontrar o algoritmo utilizado, ou até o próprio software, para solicitar a TI do seu contratante ou via ordem judicial a senha utilizada ou contra-senha no caso de criptografia de discos. É importante mencionar que atualmente é praticamente impossível “quebrar” um arquivo ou disco criptografado através dos métodos tradicionais.

Quanto à existência de senhas, geralmente encontradas em arquivos e programas, deve o perito conhecer as técnicas para “quebrá-las”. Os métodos mais utilizados são: o ataque de força bruta (processo de tentativa e erro através de software específico em todas as possíveis combinações); ataques de dicionário (processo de tentativa e erro usando palavras prontas baseadas em um perfil do usuário); engenharia social (processo realizado com a colaboração do usuário – geralmente utilizado em testes de penetração; RainBow Tables (tabelas pré-compiladas de ‘hashes’) e engenharia reversa.

Esteganografia

Um dos campos estudados pela criptologia é a esteganografia (veja outro post sobre o tema aqui) – técnica que visa ocultar o significado de mensagens. Por exemplo, se alterarmos as extensões de arquivos sem alterar em nada seu conteúdo, faríamos com que os sistemas Windows (e alguns outros) associassem outro software para a abertura deles. Esta técnica também pode fazer com que algum arquivo passe despercebido da análise forense caso o examinador não considere esta possibilidade.

A técnica de estenografia consiste basicamente em ocultar uma mensagem dentro de outra. Uma técnica simples de esteganografia textual consiste em considerar apenas as iniciais de cada palavra como mensagem, e não o conteúdo do texto como um todo. Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta camuflar uma mensagem dentro de outra. O site www.filesignatures.net pode ser uma boa fonte de informações para a análise de extensões. Apenas como curiosidade, o software Encase, por exemplo, possui uma tabela semelhante a essa, utilizada para comparar a assinatura em relação à extensão de arquivos. Esta tabela encontra-se no item “File Types” da guia “View”.

Wipe (sanitização) de dados

A sanitização consiste em efetivamente apagar os dados de um disco. Diversas ferramentas utilizam diferentes formas para isso. Algumas sobrescrevem os arquivos com 0 e 1s, outras gravam informações de forma aleatória e alguns fazem esse procedimento várias vezes. Existem diversas formas de se realizar uma “sanitização” de disco e nem todos os procedimentos são 100% absolutos, mas existem programas que podem ajudar a limpar ao máximo os rastros deixados por dados antigos e garantir que os dados não possam ser reconstruídos ou resgatados dos discos rígidos ou outros dispositivos de armazenamento. Veja tutoriais práticos utilizando o Encase aqui e com o Helix aqui.

Rootkits / Backdoors

Exemplos de ferramentas que auxiliam o atacante a tentar mascarar suas ações são os chamados rootkits, que são um conjunto de softwares específicos para dificultar o trabalho do analista. Eles podem modificar ou remover informações dos logs do sistema, instalar backdoors (meios de acesso sem autorização, ou seja, uma porta escondida para o atacante voltar a fazer um ataque) em arquivos binários, e ainda criar contas de acesso com permissões privilegiadas que possibilitem a administração remota do sistema.

Um banker[2], utilizando modernas técnicas de antiforense, pode monitorar os comandos executados no sistema infectado. Como exemplo, ao rodar o comando netstat (ferramenta da Microsoft que serve para listar as conexões estabelecidas no momento), o artefato pode perceber que está sendo “investigado” e automaticamente faz uma “limpeza” no sistema de modo que não fique nenhum rastro, inviabilizando a investigação. A metodologia de dump de memória é a mais indicada para esta situação.

Um fato curioso é que muitas dessas técnicas podem ser utilizadas para fins lícitos. Na tabela abaixo uma comparação com exemplos das duas utilizações:

TÉCNICA USO LÍCITO USO ANTI-FORENSE
Criptografia de disco Proteção de informações sigilosas Impedir o acesso a informações fraudulentas
Uso de senhas Proteção de informações sigilosas Dificultar o acesso a informações fraudulentas
Esteganografia Proteção de informações sigilosas Dificultar o acesso a informações fraudulentas, comunicações entre criminosos
Wipe de dados Descarte seguro de informações sigilosas, segredos de negócio Deixar o menor volume de rastros ou evidências da invasão de um atacante
Instalação de Rootkits Testes de comportamento da rede ou estudo de artefatos, testes de vulnerabilidade da rede (pentest) Roubo de dados, crimes financeiros

Como vimos, quando falamos de análise forense computacional, logo pensamos no combate a crimes eletrônicos, reconstrução de eventos no ambiente digital, entre outros, mas uma atividade que vale a pena ser executada é a análise de técnicas anti-forense, disciplina que engloba técnicas de segurança da informação e forense.

Após esse apanhado conceitual, nos próximos posts dessa série, iremos abordar algumas questões técnicas para a análise. Aguardem e até a próxima!


[1] Criptografia é um meio de aprimorar a segurança de uma mensagem ou arquivo embaralhando o conteúdo de modo que ele só possa ser lido por quem tenha a chave de criptografia correta para desembaralhá-lo. Fonte: http://windows.microsoft.com/pt-br/windows/what-is-encryption#1TC=windows-7

[2] Os Banker são voltados ao roubo de informações bancárias. Estas informações são utilizadas para saques, compras, transferências indevidas de conta bancária, etc.

2 comentários sobre “Queira o Sr. Perito relatar o que é anti-forense e suas principais características

  1. Parabéns pelo artigo, Osvaldo.
    Também encontrei muito material sobre forense e anti-forense em irongeek.com
    Continuo acompanhando vocês.
    Até a próxima.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s