É crescente a quantidade de ocorrências policiais e solicitações de perícia em casos nos quais as pessoas acreditam que tiveram seu computadores “hackeados”, perdendo a posse de dados bancários, contas de correio eletrônico, blogs e perfis de redes sociais. Consequentemente o furto destas informações vem gerando, respectivamente, transferências de valores, empréstimos, pagamento de boletos, falsos e-mails, calúnia, difamação, etc. Nessas situações geralmente estaremos tratando de malwares.

O termo malware é originado da combinação das palavras malicious software e representa uma categoria de programa destinada a infectar, danificar ou furtar informações dos sistemas dos usuários, sem conhecimento nem consentimento dos mesmos.

São considerados malwares os vírus, trojans (cavalos de tróia), rootkits, worms (vermes) e keyloggers que contaminam os sistemas de diversas maneiras, sendo que a maioria decorre da ação dos próprios usuários. A execução de anexos suspeitos, visitas a sites inseguros, falta ou desatualização do antivírus, arquivos contaminados em mídias externas, como os pendrives, são as principais portas de entrada das “infecções” por malwares, mas não as únicas. O sistema operacional desatualizado, sem correções de segurança que poderiam evitar certas vulnerabilidades, também proporcionam a infecção de sistemas operacionais. As atualizações de segurança normalmente são aplicadas de forma automática, mas uma falha de configuração, um arquivo da instalação corrompido ou uma instalação de software ilegal pode impedir que isso ocorra. Alguns malwares ainda podem servir de porta de entrada para outros mais complexos e potencialmente mais danosos para os usuários.

A característica principal dos vírus e worms é a rápida propagação, sendo que os vírus, em sua maioria, possuem ação danosa e os worms não, podendo ser utilizados como veículos para a instalação de rootkits e trojans. Os rootkits são programas avançados que se camuflam de muitos antivírus, interceptando e filtrando dados de forma que não sejam detectados. Os trojans por sua vez habilitam recursos que permitem ao agente disseminador obter controle daquele sistema, operando recursos remotamente e acessando e capturando informações do usuário sem que ao menos perceba. Já os keyloggers são programas criados para que, quando instalados, capture informações do usuário e remeta-as para quem os configurou, entretanto não permitem acesso remoto ao sistema instalado. Existem keyloggers comercializados sob a “justificativa” de permitir o monitoramento dos hábitos das crianças, empregados, etc.

Nos próximos posts vamos abordar as técnicas de detecção e análise de malwares.

Apesar de já termos abordado o assunto em um post anterior, gostaria de aprofundar um pouco mais sobre os campos de metadados do sistema de arquivos, os MAC Times. Todo arquivo ou registro digital ao ser modificado, acessado agrega informações de data e hora associados à ação submetida, inerentes ao sistema de arquivos da mídia onde foram modificados ou acessados. Dessa forma todo evento relacionado a um arquivo digital possuirá uma referência que lhe situará em uma linha de tempo (timeline) de um determinado caso e sua localização nesta linha temporal poderá indicar sua relação com um fato analisado. A timeline é uma forma cronológica de apresentar informações relativas a um determinado evento. A análise da linha de tempo pode situar uma prova em um determinado instante associado a um evento ou colocá-la em um contexto não plausível para o caso estudado, inviabilizando-a. Informações mal interpretadas poderão gerar dúvidas quanto à confiabilidade da prova.

MAC Time Stamps

São chamados de MAC times stamps os campos que armazenam os registros relativos à data e hora de modificação/modification (mtime), acesso/access (atime) e mudança/change (ctime) dos arquivos. Em sistemas UNIX o ctime é o momento em que o metadado relativo à permissão ou propriedade de um determinado arquivo é alterado. Nos sistemas Microsoft Windows o ctime armazena o instante em que um arquivo é criado.

O mtime registra apenas o instante em que um arquivo foi modificado, ou seja, quando foi submetido à ação de salvar. Portanto mesmo que não haja alteração do seu conteúdo, apenas o ato de abrir e salvar um arquivo altera o registro do campo mtime.

O atime por sua vez registra o instante do acesso de um arquivo, ou seja, quando o mesmo foi aberto. Caso o arquivo fique aberto por muito tempo o conteúdo deste campo pode não refletir o instante preciso em que seu conteúdo foi lido.

FORMATO DE 32 BITS WINDOWS/DOS

A data e hora é armazenada em uma estrutura de 32 bits ou 4 bytes, onde:

Este formato é utilizado no sistema de arquivos FAT para gravar registros de data e hora como data de criação do arquivo (File Created Date), data de modificação do arquivo (File Modified Date) e data de último acesso (Last Access Date). Este formato é normalmente referido como Formato de Data e Hora MS DOS e gravado conforme o horário local ajustado no computador

FORMATO DE 64 BITS WINDOWS FILETIME

A data e hora é armazenada em um número de 64 bits ou 8 bytes, iniciado em 00:00:00 de 1 de janeiro de 1601 UTC e incrementado em intervalos de 100 nano segundos.

Este formato é utilizado na Master File Table (MTF) do NTFS para gravar registros de data e hora como data de criação do arquivo (File Created Date), data de modificação do arquivo (File Modified Date) e data de último acesso (Last Access Date). O sistema NFTS grava a data e hora no formato UTC.

FORMATO DE 32 BITS C/UNIX

A data e hora é armazenada em um número de 32 bits ou 4 bytes, com valor em segundos, iniciado em 00:00:00 de 1 de janeiro de 1970 UTC.

Este formato é utilizado comumente em sistemas Unix.

FORMATO DE 32 BITS HFS/HFS+

A data e hora é armazenada em um número de 32 bits ou 4 bytes, com valor em segundos, iniciado em 00:00:00 de 1 de janeiro de 1904 UTC.

Este formato é utilizado comumente em sistemas Apple

CUIDADOS COM METADADOS DE DATA E HORA

Primeiramente vimos que todo arquivo tem metadados que registram os momentos de criação, acesso e modificação dos arquivos e eles serão gravados de acordo com a hora do sistema em que foram criados, sendo assim é de fundamental importância verificar os ajustes de data e hora do equipamento que os produziu.

É necessário adotar um horário de referência para alinhá-lo a cada equipamento que tenha produzido evidências digitais em um caso. Assim teremos uma linha de tempo coerente, onde cada evidência estará situada em seu devido lugar.

As câmeras fotográficas digitais, inclusive aquelas presentes nos aparelhos de telefonia móvel, tablets, etc., registram imagens e também associam MAC Time aos arquivos criados, entretanto se os arquivos forem copiados para outras mídias, refletirão os momentos do sistema para onde copiados/movidos. Entretanto estas também criam metadados que são armazenados internamente no arquivo digital, também conhecidos como metadados EXIF (Exchangeable Image File Format) que entre outras coisas armazenam dados acerca da câmera/telefone, ajustes da imagem, data e hora de produção da imagem, geotags, copyright, autoria, etc. Logo se uma imagem tem seus metadados alterados em função de cópia ou de forma intencional, ainda temos a possibilidade de verificar o instante em que foi produzida pelo equipamento através dos metadados EXIF. Aqui vale um cuidado extra. As câmeras podem estar com horário desajustado ou os metadados EXIF podem ter sidos alterados com auxílio de editores EXIF. O conteúdo das imagens podem auxiliar nos mostrando posição de sombras, relógios, fatos conhecidos, etc.

Arquivos como os do Microsoft Office, Adobe Acrobat, Word Perfect, Open Office, Microsoft Works, etc., podem registrar data e hora da produção do conteúdo, autor e outras informações em metadados próprios dos seus arquivos.

Ao analisar um computador com sistema Windows Vista ou 7, lembre-se que por padrão eles não registram o acesso ao arquivo (atime). Isto se deve porque a chave HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlFileSystem possui o valor NtfsDisableLastAccessUpdate igual a 1.

Figura 1 – “Valor NtfsDisableLastAccessUpdate=1”

Máquinas com Linux que montam dispositivos de armazenamento com a opção noatime, configurada em /etc/fstab, possuem o mesmo comportamento.

Figura 2 – Arquivo “fstab” com a opção “noatime”

Outro aspecto importante é verificar qual o fuso horário ajustado no equipamento examinado. Esta informação fica armazenada, no registro dos sistemas Microsoft Windows, na chave HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTimeZoneInformation, no valor ActiveTimeBias, como vemos a seguir:

Figura 3 – O valor ActiveTimeBias contendo o número de minutos para o padrão UTC

Já o Linux guarda estas informações na pasta /usr/share/zoneinfo.

Por fim certifique-se se o arquivo da evidência possui metadados inerentes à aplicação que o criou e caso haja, compare-os aos metadados do sistema de arquivos, assim você terá uma visão mais ampla do que ocorreu com a evidência em questão. 

Saiba mais sobre…

A Oi alterou seu webmail, passando para o Google, dessa forma a visualização do código-fonte da mensagem e a extração do cabeçalho completo seguem os mesmos padrões do Gmail e família. Confira aqui.

O Live View é uma ferramenta forense baseada em Java, de grande utilidade para o perito, que permite criar uma máquina virtual VMWare a partir de imagens RAW de discos (como as realizadas com o “dd“), de discos físicos protegido por bloqueadores de escrita, ou ainda de imagens do Encase ou FTK, montadas como discos emulados, pelos próprios. Está atualmente na versão 0.7b e suporta imagens de discos com sistemas operacionais Windows Vista, 2008, XP, 2003, 2000, NT, Me, 98 e 95, além do Linux (limitado), FreeBSD e OSX. O Live View mantém a imagem forense intocada, destinando as alterações para arquivos situados fora da imagem.

Este pequeno artigo tem como propósito apresentar os pré-requisitos e mostrar a instalação, configuração e operação do Live View.

Pré-requisitos:

Para a instalação do Live View é necessário alguns itens:

• VMware Disk Mount Utility que é parte do VMware Virtual Disk Development Kit, disponível gratuitamente aqui;
• VMware Server 1.x Full Install disponível gratuitamente aqui;
• Java Runtime Environment disponível gratuitamente aqui;
• Live View disponível gratuitamente aqui;
• Uma estação Microsoft Windows 7, Vista, 2008, 2003, XP, 2000 (Este infelizmente não é gratuito);

Inicialmente instalemos o Java Runtime Environment, VMware Virtual Disk Development Kit e o VMware Server 1.x. Finalizado instalamos o Live View.

Carregando o Live View

A abrir o Live View teremos a seguinte interface:

Nesta interface temos seis seções distintas empregadas na configuração e carga da máquina virtual desejada.

VM Initialization Parameters – Esta seção permite o usuário determinar a quantidade de memória a ser utilizada (RAM Size), a data e hora a ser apresentada no sistema que será carregado e o sistema operacional presente no arquivo de imagem.

Dica: Para saber qual a versão do Windows instalado na imagem, extraia o arquivo da hive software presente na pasta C:\Windows\system32\config e através de um visualizador de registro como o Mitec Windows Registry Recovery e busque o conteúdo da chave MicrosoftWindows NTCurrentVersion, onde o valor ProductName indicará o nome e o valor CurrentVersion indicará a versão do SO.

Select Your Image or Disk – Permite optar pelo local onde está instalado o sistema a ser carregado; Em um arquivo de imagem (Image File), em um disco físico bloqueado ou em uma imagem montada com o emulador (Physical Disk).

Select Output Directory For VM Config Files – Permite indicar onde serão gravados os arquivos de configuração da máquina virtual que será criada.

What do you want to do? – Esta quarta seção permite optar por carregar a imagem criada (Launch My Image) ou apenas criar os arquivos de configuração (Generate Config Only)

Actions – Escolha Iniciar a carga da máquina virtual (Start) ou limpar as configurações realizadas (Clear).

Messages – Local onde onde será mostrada o status da criação e carga dos arquivos de configuração da máquina virtual.

OBS.: Apesar de indicar na seção um a opção de auto detecção do sistema operacional, não deixe de selecionar o sistema operacional indicado. Caso o processo de geração dos arquivos de configuração e carga da máquina virtual apresente erro de “Parâmetro incorreto”, clique novamente sobre Start e clique sobre o botão Continue no pop-up que irá aparecer.

Devido a acentuada queda dos preços, os dispositivos de navegação portátil, também conhecidos como dispositivos de GPS (Global Positioning System) têm se tornado cada dia mais utilizados. Estima-se em 2010 mais de 120 milhões de unidades vendidas. Esta popularização tem trazido à tona uma discussão acerca da possibilidade de invasão de privacidade, provocada pelas informações armazenadas nos equipamentos. No caso de um veículo roubado, o conteúdo armazenado pode fornecer aos autores do roubo/furto informações sobre a localização da residência, do trabalho, rotas diárias, etc.

Por outro lado é cada vez mais comum encontrarmos estes dispositivos associados a atos criminosos, que podem conter informações importantes na elucidação dos crimes. Assim a Computação Forense se depara com mais um desafio: A coleta, aquisição e análise de GPS.

Terminologia

Existem termos comuns associados à navegação com uso de recursos de GPS e cujo conceito é muito importante para a perícia, como waypoints, routes, tracks, entre outros.

• Waypoints (Pontos de passagem) – São pontos identificados por coordenadas geográficas;
• Routes (Rotas) – São sequências de dois ou mais waypoints conhecidos, importantes, interligados, que determinam uma rota entre a origem e o destino de um deslocamento;
• Tracks (Trilhas) – São sequência de pontos de caracterizam um caminho percorrido ou planejado. Normalmente as trilhas possuem mais pontos que as rotas.

Ferramentas

Já existem ferramentas especializadas para análise forense de dispositivos GPS. O BlackThorn2 e o TomTology são softwares comerciais compatíveis com uma série de marcas e modelos. Existe ainda outros utilitários não especializados, alguns gratuitos, voltados para integração entre os sistemas do GPS e desktops, que podem ser utilizados para auxiliar a análise, na ausência de uma ferramenta especializada.

Voltaremos em outra oportunidade para tratar desse assunto.