PROCEDIMENTOS COMPUTACIONAIS NO AUXÍLIO À PERÍCIA FORENSE APLICADA

EM WEB BROWSERS

ACADÊMICO: SIDNEY ROBERTO DA SILVA WEBBA ORIENTADOR: PAULO JOÃO MARTINS

UNIVERSIDADE DO EXTREMO SUL CATARINENSE CIÊNCIA DA COMPUTAÇÃO

CRICIÚMA, NOVEMBRO DE 2010

Sumário 1.  Introdução:

"   Problema

"   Objetivo Geral

"   Objetivos Específicos

"   Justificativa

2.  Fundamentação Teórica:

"   O Browser

"   Mercado dos Web Browsers

"   Funcionamento dos Browsers

"   Perícia Forense Computacional

"   Metodologia SOP

"   Perícia Forense em Web Browser

"   Ferramentas Forense

3.  Trabalho Desenvolvido

4.  Resultados Obtidos

5.  Conclusão

6.  Trabalhos Futuros

Problema

"   Como proceder numa avaliação forense computacional, de modo a que se consiga encontrar evidências eletrônicas suficientemente boas para serem usadas em processos criminais?

Objetivo Geral

"   Analisar e aplicar os procedimentos de perícia forense computacional na busca por evidências em web browsers.

Objetivos Específicos

"   Abordar os aspectos de segurança em web browsers;

"   Examinar e descrever quais informações um web browser armazena localmente durante uma seção de acesso a Internet;

"   Compreender e aplicar os conceitos sobre perícia forense computacional;

Objetivos Específicos

"   Analisar e delinear quais ferramentas open source e de software livre são usadas na busca e análise de evidências em web browsers;

"   Observar os tipos de evidências obtidas em diferentes web browsers.

Justificativa

"   Aumento da relevância da evidência digital em processos jurídicos ... ;

"   Carência bibliográfica dedicada à perícia forense computacional no país … ;

"   Urgente necessidade de se apresentar uma resposta adequada para os graves problemas existentes relacionados ao uso indevido da Internet … .

O Browser

"   O browser é percebido pelos usuários finais como a interface para a Internet, constituindo a forma mais conhecida de um cliente para a mesma (KRISHNAMURTHY; REXFORD, 2001).

Mercado dos Browsers

51,20%

32%

5,20%

4,70% 1,20%

5,70% Web Market Share

Internet Explorer

Firefox

Safari

Chrome

Opera

Outros

"   W3Counter (2009)

FUNCIONAMENTO DOS BROWSERS

Browser

Servidor DNS

Servidor de Origem

URL 1 Consulta DNS

2 Conexão TCP

3 Pedido HTTP

4 Resposta HTTP

5 Transações Paralelas Opcionais

Perícia Forense Computacional

"   A perícia forense computacional é definida como a coleta, preservação, análise e apresentação de evidências digitais, utilizando-se de ferramentas e técnicas computacionais no ambiente investigado, e auxiliando os juízes nas tomadas de decisões num processo judicial (VACCA,2002).

Metodologia SOP

"   Autorização e Preparação;

"   Identificação;

"   Coleta e Preservação;

"   Exame e Análise;

"   Documentação;

"   Reconstrução da Cena do Crime.

Perícia Forense em Web Borwsers

"   Lado do cliente e lado do servidor.

"   O que procurar: "   Pesquisas realizadas;

"   Histórico de Navegação; "   Downloads de arquivos;

"   Informações fornecidas (Formulários/Senhas);

"   E-mails;

"   Cookies.

Ferramentas Forense

"   Pasco;

"   Galleta;

"   Web Historian;

"   Firefox 3 Extractor;

"   Mozilla Cache View;

"   PasswordFox.

Estudo de Caso

"   Estudo de Caso fictício simulando a realização de uma perícia forense computacional com foco na busca e análise de evidências em web browsers, nos laboratórios da UNESC.

"   Para a realização do estudo foram selecionados aleatoriamente os laboratórios 16 do Bloco XXI-A e 8 do Bloco XXI-B, e da mesma forma, delimitaram-se 10 computadores a serem analisados em cada sala.

Metodologia

"   Práticas metodológicas (MARTINS; THEÓPHILO, 2009):

"   Coleta das evidências; "   Composição;

"   Análise e validação dos resultados;

"   Conclusões;

"   Verificação de possíveis interferências;

"   Relatório final.

"   Metodologia SOP.

Autorização e Preparação

"   Buscou-se autorização para a realização da perícia.

"   Definiu-se o que se pretendia descobrir ao final da mesma.

Identificação

"   Todos os computadores apresentaram as seguintes configurações de hardware:

"   Memória RAM: 2 GB;

"   Disco Rígido: 150 GB;

"   Processador: Intel Core 2 Duo;

"   Velocidade do Processador: 2,26 GHz;

"   Número de Processadores: 1;

"   Número de Núcleos: 2;

"   Fabricante: HP.

"   Bem como, as seguintes especificações de software:

"   SO: Windows XP, Service Pack 3;

"   Browsers: IE versão 8.0.6, Firefox versão 3.6.12.

Coleta e Preservação

Cache do IE Histórico de Navegação do IE

Cookies do IE Arquivos Sqlite do Firefox

Lab 8 10 63 1908 105

Lab 16 10 44 757 114

Total 20 107 2665 219

Arquivos Coletados

Arquivos Analisados Cache do IE Histórico de

Navegação do IE

Cookies do IE Arquivos Sqlite do Firefox

Lab 8 10 63 30 55

Lab 16 10 44 30 55

Total 20 107 60 110

Exame e Análise

"   Conversão das evidências para formatos legíveis, nomeadamente: xls, csv e html.

"   Análise das evidências para obtenção de informações relevantes ao crime.

Análise dos Arquivos de Cache do IE

"   Obtém-se 7 campos para investigação (Type, URL, Modified Time, Access Time, Filename, Directory, HTTP Headers).

"   Identificou-se acesso no dia 11/11/10 às 20:25:17

Análise dos Arquivos de Cache do IE

"   Análise dos cabeçalhos HTTP recebidos.

"   Usuário lab8b identificado.

Análise dos Arquivos de Cookie do IE

"   Foram obtidos 6 campos para análise (Site, Variable, Value, Creation Time, Expire Time, Flags).

"   Foi identificado acesso no dia 11/11/10 às 20:49:08

Análise do Histórico de Navegação do IE

"   O arquivo contém 7 campos para análise (URL Adress, Modified Time, Accessed Time, Type, Deleted, Cached Files, HTTP Headers).

"   Acesso identificado no dia 11/11/10 às 20:46:12.

Análise dos Arquivos Sqlite do Firefox

"   Places.sqlite;

"   CACHE_MAP;

"   Downloads.sqlite;

"   Formhistory.sqlite;

"   Cookies.sqlite;

"   Signons.sqlite.

Análise do Histórico de Navegação do Firefox

Tabela Moz_Places

"   Identificaram-se buscas realizadas no site em questão no dia 11/11/10 às 21:33:10.

Análise dos Arquivos de Cache do Firefox

"   Obtiveram-se 8 campos para análise (URL, Content Type, File Size, Last Modified, Last Fetched Time, Expiration Time, Fetch Count, Server Name).

Análise do Histórico de Downloads do Firefox

"   Tabela Moz_Downloads;

"   Não foram identificados downloads.

Análise do Histórico de Formulários Preenchidos do Firefox

"   Analisou-se a tabela moz_formhistory, com 6 campos para análise (Id, Fieldname, Value, TimesUsed, FirstUsed, LastUsed).

"   Foram identificadas buscas realizadas objetivando obter conhecimento sobre como invadir um servidor web.

Análise do Histórico de Formulários Preenchidos do Firefox

"   Foi identificado um email enviado;

"   Foi identificado o nome do usuário usado para logar no servidor comprometido;

"   Foi identificado o nome do acadêmico que criou uma conta no site afetado.

Decodificação do PRTime "   Formato de data e hora usado pelo Firefox;

"   Inteiro de 64 bits, representando o número de microssegundos desde a meia-noite de 1 de Janeiro de 1970;

"   Busca realizada no dia 11/11/10 às 21:31:40 e o email foi enviado no mesmo dia às 21:35:10;

"   Estreitou-se a investigação.

Análise das Senhas e Nomes de Usuário

"   Identificou-se um email e uma senha usados para logar no servidor em questão;

"   O programa não disponibiliza informações como: data em que as informações foram salvas, ou data de último acesso ao servidor.

Reconstrução da Cena do Crime

"   Crimes foram cometidos no dia 11/11/10 às 20:46:12 e às 21:33:10;

"   Analisando-se as evidências do IE, descobriu-se que: "   Computador 5, lab8 do Bloco XII-B;

"   Acessos no dia 11/11/10 das 20:46:12 às 21:22:45;

"   Usuário logado no SO identificado como lab8b.

Reconstrução da Cena do Crime

"   Analisando-se as evidências do Firefox, descobriu-se que:

"   Computador 5, lab8 do Bloco XII-B; "   Acessos no dia 11/11/10 das 21:31:15 às

21:36:46;

"   Identificou-se uma busca sobre “como invadir um servidor web” às 21:31:40;

"   Identificou-se que o email fulano_de_tal@gmail.com foi usado para logar no servidor afetado.

Reconstrução da Cena do Crime

"   Confirmou-se junto a instituição que o dono do email usado para logar no servidor é um acadêmico da mesma;

"   Descobriu-se que o mesmo usou o computador 5, do lab 8 do Bloco XXI-B, enquanto atendia a uma aula do seu curso, nas datas e horários em que o crime foi identificado;

Resultados Obtidos

Ferramentas Converteu com Sucesso

Converteu com Falhas

Não Converteu

Pasco 100%

Galleta 100%

Web Historian 60% 40%

F3E 70% 20% 10%

Mozilla CacheView

100%

PasswordFox 100%

Comparação do desempenho das ferramentas

Resultados Obtidos

Laboratórios Com Evidências Sem Evidências

Lab 8 6 computadores 4 computadores

Lab 16 3 computadores 7 computadores

Número de computadores com evidências do IE

Laboratórios Com Evidências Sem Evidências

Lab 8 10 computadores 0 computadores

Lab 16 10 computadores 0 computadores

Número de computadores com evidências do Firefox

Apenas 1 computador apresentou evidências que se transformaram em provas periciais.

Conclusão

"   Sucesso ao aplicar os conceitos de perícia forense na coleta e análise de evidências oriundas de web browsers;

"   Falha ocasional ao usar algumas ferramentas;

"   O uso de diversas ferramentas é recomendado;

"   Dependendo do ambiente e aparatos tecnológicos envolvidos outras ferramentas e técnicas podem ser utilizadas;

Trabalhos Futuros

"   Análise de ferramentas que permitam realizar uma perícia em várias máquinas conectadas em rede;

"   Analisar ferramentas que permitam recuperar informações (histórico de navegação, cache, entre outras) deletadas;

"   Que técnicas e ferramentas usar quando o usuário usa a navegação privativa;

"   Como realizar uma perícia quando são usadas técnicas anti-forense.

"  Obrigado !