O que é a computação forense e sua importância no âmbito

Propaganda
O que é a computação forense
e sua importância no âmbito
empresarial
O computador e as tecnologias de telecomunicação atuais têm
causado uma mudança radical de como a sociedade funciona.
Tanto no âmbito profissional como no pessoal, nossa vida
depende de vários serviços que se apoiam em computadores e
redes de comunicação. Qualquer comprometimento no suporte ou
em serviços importa prejuízos cada vez maiores. Um dos
desafios da tecnologia é como tratar de ameaças e ataques a
esses sistemas, que vão das simples invasões exibicionistas a
roubos e terrorismo. Grande parte de nossas vidas hoje se
passa no cyberspace, assim como, cada vez mais, as atividades
criminosas (TRCEK et al., 2010). Com isso, também a polícia
tem sido chamada a atuar nesse meio e a investigá-lo. E essa
mudança de meio significa que o que antes era vestígio físico
e testemunhal, agora se apresenta na forma de informações
digitais, armazenadas em memórias e discos. Portanto, o
elemento crítico da investigação criminal e manutenção da lei,
vestígio físico, está sendo substituído pela informação na
forma digital, o vestígio digital.
Vestígio digital é a informação ou dado que possui valor em
uma investigação, armazenado, recebido ou transmitido por um
dispositivo eletrônico. O vestígio é adquirido quando dados ou
dispositivos eletrônicos são apreendidos e guardados para
exame.
Segundo National Institute of Justice (2001), o vestígio se
caracteriza por:
poder ser latente, como impressões digitais e amostras
de DNA;
poder cruzar jurisdições fácil e rapidamente;
ser facilmente alterado, danificado ou destruído;
ser sensível à passagem do tempo.
Do ponto de vista dos vestígios, existem várias formas de
classificá-los por tipos, mas, de um modo geral, eles podem
ser (NEW YORK Computer Forensic Services, 2011):
dados ativos – são aqueles que podem ser prontamente
vistos, como arquivos de texto e imagens, programas e
arquivos usados pelos sistema operacional. São os tipos
de dados mais fáceis de serem extraídos.
dados arquivados – são aqueles que foram alvo de backup.
Podem ser CD-ROM, DVD, fitas magnéticas, discos rígidos.
dados latentes – são aqueles que geralmente necessitam
de ferramentas especializadas para permitir seu acesso,
como dados deletados, parcialmente sobrescritos,
cifrados etc.
Uma investigação pode envolver o exame de todos esses tipos de
dados, dependendo das circunstâncias. Obter os dados latentes
é de longe o que requer mais recursos e tempo.
Os termos “evidência”, “prova” e “vestígio” trazem algum
problema em seu uso na Computação Forense. Na literatura sobre
a Computação Forense em Língua Portuguesa, o termo “evidência”
é muito utilizado em lugar de “vestígio” e muitas vezes também
como sinônimo para “prova”. No entanto, para evitar
incorreções, neste trabalho optamos por não utilizar o termo
“evidência”, uma vez que é um falso cognato. Por sua vez, a
palavra “prova” é uma forma de caracterizar o “vestígio”.
Logo, um “vestígio” pode ser uma “prova”, mas nem todo
“vestígio” pode ou deve ser utilizado como “prova”. Portanto,
salvo algum descuido no texto, vamos sempre optar pelo termo
“vestígio”, designando a informação ou dado objeto da
investigação forense.
Há poucos anos, a preocupação da Computação Forense se resumia
a conteúdos de mídias magnéticas ou ópticas, e o trabalho do
investigador forense era fazer cópias dessas mídias e procurar
por cadeias de caracteres com examinadores hexadecimais.
Atualmente, com a computação presente nos mais variados
dispositivos, incluindo os móveis como tablets e smartphones,
e a capacidade de se comunicar em rede, essa realidade mudou.
Muitos equipamentos não se resumem mais a armazenar seus dados
em mídias locais, e surge a importância de analisar o que está
na memória principal do dispositivo bem como o que ele
depositou em sistemas de armazenamentos distantes, como em
servidores e na nova cloud computing, em que serviços e
armazenamentos de dados podem estar em qualquer lugar, longe
das fronteiras físicas de uma empresa e mesmo em outros
países.
Também o ato de desligar uma máquina e levá-la para análise em
laboratório deixou de ser o procedimento padrão, uma vez que,
de uma forma geral, se elas estão ligadas, o conteúdo da
memória principal deve ser examinado.
Com a proliferação da internet, as empresas nunca estiveram
tão expostas, justamente quando a informação é o bem de maior
valor em uma organização.
Não são somente as grandes empresas que estão em risco.
Qualquer organização, mesmo as pequenas, de qualquer tipo de
ramo, é um potencial alvo. Da mesma forma, também não é sempre
um hacker habilidoso que se aproveita das falhas de segurança
de um sistema, mas muitas vezes um funcionário recém-despedido
ou insatisfeito, ou alguém simplesmente querendo deixar sua
marca.
A importância em proteger a informação é cada vez mais
reconhecida. Além de ser um alvo direto de um ataque, uma
empresa pode ser, indiretamente, base para ataques, o que
significa implicações legais de responsabilidade. Tanto
agentes externos quanto empregados sem preparo ou malintencionados podem utilizar servidores de uma empresa para
conduzir ataques a outras organizações ou pessoas.
Preocupação com a segurança
No começo da computação comercial, os computadores de grande
porte, os mainframes, eram instalados em salas ou em prédios
construídos especialmente para eles, denominados de Central de
Processamento de Dados (CPD) ou Núcleo de Processamento de
Dados (NPD), onde apenas pessoas autorizadas tinham permissão
para entrar.
De forma geral, no início da computação comercial, um CPD não
era conectado a outro e o acesso pelos usuários era feito por
meio de terminais “burros”, ou seja, sem processamento,
instalados em prédios próximos ao mainframe.
Basicamente, a preocupação era com o ataque interno e o
eventual vazamento de informações causado por funcionários da
empresa que tinham acesso ao computador.
Para garantir a segurança, era preciso definir quem tinha
acesso ao que em um sistema, especialmente porque, em um CPD,
um ou mais computadores são compartilhados por todos os
departamentos de uma organização, quando não por várias
organizações ou empresas.
Devido a esse uso compartilhado, sistemas específicos de
controle de acesso foram desenvolvidos. Um exemplo é o
Resource Access Control Facility, criado pela IBM em 1976
(IBM, 2008).
Nesse sistema, podem ser definidos:
identificação e verificação de usuários do sistema;
identificação, classificação e proteção dos recursos do
sistema;
autorização de usuários ao acesso a recursos;
controle das formas de acesso aos recursos;
registro de tentativas não autorizadas de acesso ao
sistema e aos recursos protegidos;
administração de recursos para atingir os objetivos de
segurança da instalação.
Os mainframes eram e são a escolha para empresas grandes,
bancos e governo. Ou seja, uma eventual falha de segurança
pode gerar perdas enormes, tanto em dinheiro, tempo para
recompor um serviço ou com a perda de documentos sigilosos,
como patentes, fórmulas de produtos industriais, cadastro de
clientes, números de cartão de crédito etc., assim, o ambiente
de mainframe já incorpora itens de segurança há muito
estabelecidos para evitar esses perigos.
O que mostra isso? Que a preocupação com a segurança vem de
longe, e que, além do isolamento físico do computador, o seu
acesso lógico era restrito e controlado.
Vale lembrar que as redes de comunicação ligando usuários aos
computadores e estes entre si eram praticamente inexistentes
até a década de 1990 e as regras e os mecanismos de proteção
forneciam um ambiente relativamente seguro.
Embora a pesquisa e o desenvolvimento de uma rede de
computadores já estivesse em curso desde a década de 1960, com
o projeto Advanced Projects Research Agency (ARPA), financiado
pelo departamento de defesa dos Estados Unidos, somente na
década de 1980 é que o protocolo TCP/IP foi publicado
(BARBARA, 2007) e somente na década de 1990 é que a internet
expandiu o efeito potencial da exposição de máquinas a
qualquer usuário. Sem contar que somente nessa época é que o
enlace last mile, ou seja, o elo de conexão final com um
usuário doméstico, foi solucionado, conectando o usuário de um
computador pessoal e redes locais a redes distantes.
Portanto, há muito existem as redes. Porém, estas não eram
como a internet, conectando uma vasta quantidade de usuários,
e utilizavam padrões incompatíveis entre fabricantes.
(CERUZZI, 1998).
Existiam ainda instalações em que a segurança empregava
cuidados especiais. Em um bunker da época da Guerra Fria,
temia-se que emissões eletromagnéticas dos computadores
pudessem ser interceptadas e fosse possível ler os dados sendo
processados. Para eliminar esse risco, os computadores eram
imersos em salas com as paredes recobertas de metal ou de uma
tela de arame, denominadas gaiolas de Faraday, que impedem a
emissão ou recebimento de ondas eletromagnéticas.
Entretanto, os computadores passaram a ser utilizados em um
número de atividades muito além do que existia e se imaginava
até a década de 1980, e a criação do comércio eletrônico na
década de 1990 foi um marco.
Hoje em dia, um computador sem acesso externo é de uso
restrito a atividades muito específicas. Por meio da internet,
qualquer computador está eletronicamente conectado a outro, e
as barreiras de proteção se utilizam de ajustes em
dispositivos, como routers, switches e mesmo outros
computadores que servem de canal para a conexão externa.
O computador
internet
pessoal
e
a
O mundo seguro quase ideal do mainframe descrito anteriormente
foi destruído, em parte, com o surgimento do computador
pessoal e, posteriormente, com o advento da internet.
Nas décadas de 1970 e 1980, a disponibilidade de circuitos
eletrônicos integrados e o seu barateamento permitiram o
surgimento de máquinas de pequeno porte que podiam ser
adquiridas por pessoas físicas, já que, no mundo do mainframe
e de minicomputadores, os custos eram proibitivos e só grandes
empresas tinham acesso.
Do uso pessoal até o empresarial foi “um pulo”. Bastou a
invenção da planilha de dados e do editor de textos para o
computador pessoal (Personal Computer, em inglês), ou PC,
tornar-se atrativo para os mais variados tipos de atividades.
O uso do PC foi importantíssimo para todo o mundo das pequenas
e médias empresas, trazendo para elas recursos computacionais
que criaram toda uma nova gama de negócios. A cada evolução
nos computadores pessoais, tanto em hardware quanto em
software, mais tarefas eram possíveis de ser automatizadas,
indo além daquilo para o qual os mainframes eram utilizados.
Esse movimento para trazer para o microcomputador tarefas que
antes eram realizadas por mainframes ganhou o nome de
Downsizing, e, na própria definição, não havia muito
compromisso com integridade dos sistemas, segurança e controle
(Business Dictionary, 2011). Logicamente, o próprio conjunto
software/hardware, por sua simplicidade, não comportava essas
características.
Na era da explosão dos microcomputadores, na década de 1980,
estávamos ainda no início da conexão em rede, geralmente
restrita à conexão de computadores próximos (Local Area
Networking – LAN), utilizando-se das famosas placas Ethernet.
A ideia de uma internet conectando todos a todos e a tudo mal
existia na ficção científica à época da invenção dos primeiros
microcomputadores. Também não havia uma preocupação grande com
a segurança nos dados mantidos por esses primeiros
computadores pessoais. Era extremamente fácil copiar
informações importantes de uma empresa para a um disquete e
transferir esses dados
para outro computador. Portanto, o ataque aos dados tinha de
ser realizado internamente, já que era necessário o acesso
físico ao computador.
O computador pessoal não nasceu para ser usado em ambientes
nos quais a segurança era um item importante. E essa
fragilidade veio à tona de forma explosiva quando a internet
se tornou acessível, no começo da década de 1990. A partir
desse ponto, as ameaças de invasão de um sistema para expor
seus dados passaram a ter dois caminhos: o ataque interno, que
conta com a ajuda intencional ou não, quando um empregado se
apodera de dados ou acessa de forma não autorizada ou ainda
fornece suas credenciais de acesso; e o ataque externo,
perpetrado por agentes que invadem um sistema computacional
utilizando-se de acessos pela rede.
Nota-se também que o papel do computador central, representado
pela arquitetura dos mainframes, também deixou de existir nos
dias atuais. O mainframe passou a ser mais um servidor na
rede. (SHELDON; BIG SUR MULTIMEDIA, 2001).
Desde então, tem sido uma guerra entre invasores e invadidos.
A cada invasão, os sistemas se protegem mais, e esse talvez
seja o papel mais nobre da Computação Forense: examinar o que
houve de errado, ajudando a implantar medidas para que o
sistema seja melhor protegido no futuro.
A computação
prevenção
forense
como
Existem várias medidas de segurança que uma empresa pode
empregar para preservar seu ambiente computacional ao acesso
indevido. No entanto, mesmo quando bem empregadas, é difícil
que em algum momento uma brecha não seja explorada. Quando
isso acontece, o incidente tem de ser analisado para que
contramedidas sejam empregadas, ou seja, a partir da análise
do incidente, criar uma ambiente mais seguro.
Se, por um lado, a Computação Forense tem como base a coleta
de informações e sua formatação para ser apresentada ao mundo
legal; por outro lado, ela promove a melhora da segurança
quando interpreta uma falha e entende as fragilidades de um
sistema, sejam elas nos sistemas em si, como também na forma
como é manuseado.
Essa segunda utilização da Computação Forense não é tão óbvia
para as empresas. Embora elas se esforcem em aumentar sua
segurança, normalmente não são reservados recursos internos
para que se estudem as causas e consequências dos ataques. O
componente de Computação Forense pode ter seu lugar junto ao
time de resposta a incidente, contando com a face técnica e
jurídica.
Existe um consenso de que as descobertas de uma empresa podem
ser utilizadas para aumentar a segurança de outra, mas também
existe certeza que a maioria das empresas não relata seus
casos de quebra de segurança e invasões, pois temem que isso
possa prejudicar sua imagem e sua marca em relação aos seus
clientes e ao mercado de um modo geral.
Em alguns países, já existem discussões sobre a
obrigatoriedade das empresas relatarem seus incidentes. Por
agora, existem alguns organismos e algumas empresas que
compilam e publicam relatórios ou dados sobre as invasões e
fraudes, como a Global Information Security Survey, da Ernst
and Young, e, no Brasil, o Centro de Atendimento a Incidentes
de Segurança, mantido pela Rede Nacional de Ensino e Pesquisa
(RNP).
O relatório de segurança da Symantec oferece uma amostra de
que, por mais protegidas que sejam as redes, ameaças conseguem
furar o bloqueio. Isso acontece, por exemplo, pelo uso de pen
drives e dispositivos móveis, os quais eventualmente são
conectados a uma estação de trabalho, e nos quais arquivos
maliciosos são armazenados e transferidos, aproveitando-se de
falhas não detectadas ainda pelos desenvolvedores de
softwares. (SYMANTEC, 2011a).
Incentivo financeiro
Até pouco tempo atrás, hackers invadiam sistemas pelo puro
prazer de demonstrar suas habilidades computacionais,
mostrando que podiam se esquivar das camadas de proteção
levantadas pelos administradores dos sistemas e instalar um
worm que iria, na pior das hipóteses, apenas se replicar,
invadir novos sistemas e tornar a rede lenta. Não havia
nenhuma recompensa financeira para isso. Quando muito, alguém
conseguia um emprego em uma empresa invadida, como ainda tem
acontecido com a Microsoft, Nintendo, Google e Facebook. (YIN,
2011).
Porém, isso não impediu que sistemas construídos ao redor de
microprocessadores não tivessem sido alvo de ataques para
obtenção de dinheiro.
Em seu livro The Art of Intrusion, o famoso hacker Kevin
Mitinick relata o caso de quatro programadores que compraram
um modelo de máquina caça-níqueis igual ao que era utilizado
em praticamente todos os cassinos de Las Vegas, leram seu
programa gravado em ROM e conseguiram decifrar como eram
gerados os números aleatórios, responsáveis pelo sorteio das
cartas. Como sabemos, um algoritmo computacional não gera
verdadeiramente números aleatórios, mas conseguir calcular a
sequência gerada pode ser muito complexo, dependendo do
tamanho em bits utilizado para representar o número sorteado.
De qualquer forma, o gerador de números aleatórios dessas
máquinas era mal construído, e eles foram capazes de descobrir
como prever as sequências de cartas. Com isso, conseguiram
desviar centenas de milhares de dólares até um deles ser pego,
o que fez com que os cassinos exigissem dos fabricantes maior
segurança para suas máquinas. (MITNICK; SIMON, 2005)
As coisas mudaram quando a rede começou a ser usado para o
comércio eletrônico e os criminosos cibernéticos começaram a
ter como prioridade roubar números de cartão de crédito,
informações de acesso a internet banking e até segredos
industriais.
Nasceu a engenharia social, utilizando a informática e o
phishing como o seus maiores instrumentos.
O phishing é um tipo de ataque baseado em engenharia social na
qual os criminosos usam e-mails para levar pessoas a revelar
informações pessoais ou instalar software malicioso em seu
computador. As vítimas tomam essas mensagens por verdadeiras,
quando na realidade elas são o trabalho de golpistas. Em lugar
de direcionar o ataque diretamente a um sistema, o ataque é
dirigido a pessoas que usam o sistema. O phishing consegue de
forma inteligente contornar a maioria das medidas de segurança
empresariais e individuais. Não importa quantos firewalls,
softwares de criptografia, certificados ou mecanismos de
autenticação a empresa tenha se a pessoa atrás do teclado cai
no truque. (HONG, 2012).
Além de e-mail, o phishing tem se utilizado de uma variedade
grande de meios, que incluem VOIP, SMS, mensagens
instantâneas, redes sociais e até jogos massivos.
O advento das redes sociais trouxe munição adicional. A
criação de perfis em comunidades, como Facebook, Orkut e
LinkedIn, tem favorecido o sucesso dos ataques, pois dados
pessoais postados pelos usuários são utilizados para dar maior
veracidade a mensagens enviadas por e-mail.
Esse tipo de ataque consegue vencer as barreiras da empresa e
chegar a um empregado, pois o conteúdo se faz passar por algo
legítimo ou vem de um endereço que parece ou é, no caso de
contas invadidas, de alguém conhecido.
Para evitar esse tipo de ataque,
bloquear o acesso do empregado à
daqueles permitidos para realizar
ciclo do ataque seja completado.
fechar o ciclo.
muitas instituições chegam a
internet para endereços além
seu trabalho, evitando que o
Contudo, há outras formas de
Por exemplo: o que faz um empregado que encontrar um pen drive
em um banheiro de seu local de trabalho?
A maioria com certeza verifica o conteúdo dele no computador
mais próximo que tem acesso. O ato de inserir o pen drive, em
certas circunstâncias, já seria suficiente para infectar uma
máquina com um worm, como veremos no caso do Stuxnet em um
momento posterior da leitura.
A invasão da rede Playstation para roubar informações de
clientes e depois tentar utilizar em outros lugares é
exemplar.
Por volta de 20 de abril de 2011, os servidores da rede
Playstation da Sony foram invadidos e, segundo estimativas, 70
milhões de contas dos usuários tiveram suas informações lidas
(WILLIAMS, 2011). De acordo com a empresa, nenhuma informação
de cartão de crédito foi desviada, mas, nos dias seguintes,
várias pessoas receberam comunicados, até por telefone,
pedindo detalhes de seus cartões de crédito para completar
operações de compra. Segundo relatos, o ataque inicial se
disfarçou de uma compra normal, por isso não alertou os
sistemas de segurança. Ele se aproveitou de uma falha ainda
não descoberta na aplicação de um servidor utilizado para
acesso ao servidor de banco de dados que estava por trás de um
terceiro firewall. Ou seja, as informações dos usuários
ficaram disponíveis para todo o tipo de phishing e a falha se
originou em um sistema corporativo, e não da má utilização de
usuários finais.
Observe que, nesse caso, os números não foram descobertos, mas
sabia-se que determinado usuário tinha uma conta no sistema e
possuía um cartão de crédito de determinada bandeira, bem como
dados como número de telefone e endereço de e-mail.
Prever como será o próximo ataque é uma tarefa difícil, uma
vez que a evolução das técnicas é constante. O importante é
assegurar que a segurança da informação não seja apenas uma
ação reativa, mas que, de maneira proativa, continuamente
procure desenvolver controles, práticas e políticas que
auxiliem na identificação e prevenção de ataques.
Outro fator que deve ser levado em consideração é que nem
todas as ações classificadas como sendo crime cibernético, ou
seja, aquele crime cujo alvo é um sistema de informação, têm o
próprio sistema como alvo. Muitas vezes ele é utilizado como o
meio de uma atividade criminosa. Ações como fraude, chantagem,
lavagem de dinheiro, venda de produtos ilegais, pornografia e
pedofilia podem fazer uso dos sistemas ou usá-los como meio
facilitador. Por esse ponto de vista, uma empresa pode ser
envolvida em um crime de forma passiva, muitas vezes entrando
para listas negras de acesso a endereços da internet. Todos os
dias, vemos páginas forjadas de bancos sendo armazenadas em
servidores de outras empresas.
Também o computador pode servir para auxiliar uma
investigação. Um exemplo é o caso de Chaundra Levy, relatado
em Prosise, Mandia e Pepe (2003). Ela foi tida como
desaparecida em maio de 2001 e encontrada em maio de 2002.
Informações em seu computador levaram a polícia a procurar por
ela no parque Creek Park, em Washington, onde foi encontrado
seu corpo. Nesse caso, o computador não estava envolvido em
nenhum crime, ao contrário, o computador forneceu pistas da
localização e atividades de Chaundra, como a última vez que
ela usou o sistema e o fato de ela ter olhado o mapa do
parque. Interessante nesse caso é o fato de as pistas
presentes no computador terem sido apagadas pela tentativa
incorreta de sua extração feita por um técnico sem treino em
Computação Forense. Após um mês de trabalho, investigadores
treinados conseguiram recuperar os dados.
Segundo um documento recente do Centro de Resposta a
Incidentes da Universidade Carnegie Mellon, de 2010 a 2011,
houve um aumento exponencial na complexidade e sofisticação
dos ataques cibernéticos. Agora, eles refletem ações de
organizações e mesmo nações muito bem financiadas e conectadas
globalmente, cujas motivações incluem fraudes financeiras,
manipulação de mercado, espionagem internacional e sabotagem
de instalações físicas. Esses agentes controlam e administram
milhões de bot-nets com a capacidade de causar danos a
companhias multinacionais e mesmo a pequenos países, com ações
como desligamento de redes de suprimento de energia elétrica,
embaralhamento de tráfego aéreo e até prejudicando operações
militares.
Implicações em escala maior
Questionários submetidos a empresas mostram que 68% dos
incidentes que comprometem dados das empresas são causados por
agentes internos (LIU; VARSALONE, 2009). Isso quer dizer que
menos do que 40% vêm de fora e que o pior inimigo está dentro
da empresa. Ações de funcionários ou mesmo descuido na
segurança podem abrir as portas para comprometimentos do
sistema.
Além da atividade técnica em encontrar informações de delitos
nos equipamentos de uma empresa em um âmbito local, a
Computação Forense pode ter implicações em uma escala maior,
como no caso da Enron, um escândalo tornado público em 2001.
A Enron era uma empresa gigante que atuava na geração e
distribuição de eletricidade, mas também diversificava sua
atuação em setores como comunicação, gás natural e produção de
papel. Possuía mais de 22 mil funcionários, com uma receita
declarada de 101 bilhões de dólares no fim de 2000.
Ocorria que nem todas as atividades da empresa resultavam em
saltos positivos em termos financeiros. A prática da empresa
para esconder seus problemas era manter seus relatórios de
ganhos e fluxo de caixa supervalorizados, eliminando da
contabilidade seus prejuízos, em quantidade e frequência tão
grandes que fez essa fraude contábil ser considerada a maior
de todos os tempos. A revelação dessa fraude também pôs em
cheque a atuação de muitas outras empresas, culminando em
novas regulamentações de mercado. Junto com a Enron, também
caiu a Arthur Andersen, uma das maiores firmas de
contabilidade dos Estados Unidos, cúmplice das práticas
fraudulentas da Enron.
Do ponto de vista da forense computacional, o caso da Enron
ilustra alguns aspectos da evolução da tecnologia. Ao ficar
insustentável sua situação, diretores da empresa,
principalmente relacionados à auditoria interna, passaram a
destruir documentos comprometedores em papel, além de apagar
dos computadores documentos eletrônicos e e-mails que
continham vestígios da fraude. No entanto, eliminar um
documento em papel é bem mais simples do que apagar um
documento eletrônico, principalmente para quem não tem
conhecimento técnico. Durante a investigação que se seguiu,
peritos em Computação Forense foram chamados para levantar
documentos ainda presentes nos computadores, dados
parcialmente apagados, mas também, e o que se tornou
importante no caso, a tentativa de apagá-los. (FESTA, 2002).
Esse caso foi uma espécie de marco para a profissão, pois
havia uma curiosidade no público em geral do que seria capaz
de realizar um investigador forense. Quando um documento é
incinerado ou destruído em uma máquina que o corta em tiras
bem finas, a informação de delito é materialmente destruída, e
isso é facilmente compreendido pelo público. Apagar um arquivo
de um computador parecia, para a maioria das pessoas, uma ação
equivalente, entre as quais não havia diferença para o senso
comum. E a curiosidade sobre o caso partiu desse fato.
Há relatos de casos em que investigadores colam as tiras de
uma máquina fragmentadora de papel na tentativa de recuperar
um documento.
O quanto poderia ter feito os diretores da empresa se tivessem
maior conhecimento de computação?
Estudo de caso
Ainda que pesem os detalhes técnicos de um ataque, há muito
mais envolvido. O caso do Stuxnet é um bom exemplo da
amplitude que a detecção de um “vírus de computador”, mais
especificamente um worm, pode representar. Leia o caso
relatado a seguir, traduzido e adaptado de vários artigos
sobre o assunto.
O caso Stuxnet
Em 2009 para 2010, houve um “ataque” digital que ficou famoso,
por envolver espionagem da mais sofisticada forma (Schneier,
2010; Symantec, 2010; GROSS, 2011; ZETTER, 2011).
No Irã, existe uma fábrica de purificação de urânio com cerca
de 8700 centrífugas. Em um ano, o normal é que 10% delas se
quebrem, ou seja, algo em torno de 800 centrífugas. Em janeiro
de 2010, durante uma inspeção da Agência Internacional de
Energia Atômica, os técnicos se surpreenderam com uma taxa
muito acima
de 10% – algo entre 1000 e 2000 teriam se quebrado em cerca de
meses. O que estaria acontecendo?
O que os inspetores não sabiam, naquele momento, era que a
causa da quebra das centrífugas residia nos discos rígidos dos
computadores que controlavam as centrífugas.
Meses antes, em junho de 2009, alguém sorrateiramente instalou
um worm nos computadores iranianos com um único objetivo:
sabotar o programa de enriquecimento de urânio do país,
atrapalhando os planos para que futuramente esse material seja
utilizado para a construção de uma bomba atômica.
Demoraria mais de um ano para que os inspetores soubessem
disso. A resposta só apareceria após dezenas de pesquisadores
de segurança computacional ao redor do mundo gastassem meses
desvendando o que se tornaria conhecido como o mais complexo
vírus de computador jamais escrito. Ele se tornou a primeira
arma cibernética mundial. Entretanto, até chegar a essa
descoberta, a história deu muitas voltas.
Em 17 de junho de 2010, o técnico responsável por uma pequena
empresa de segurança em Minsk, denominada VirusBlokAda,
recebeu um relatório sobre uma máquina de um cliente no Irã
que estava reiniciando repetidamente sem que fosse possível
seu controle.
Aparentemente, o problema era causado por um vírus. Eles
detectaram um vírus e descobriram que ele se aproveitava de
uma falha no Windows Explorer, que copiava o conteúdo de um
arquivo parcialmente criptografado de um pen drive para dentro
do computador assim que era inserido na porta USB.
O impressionante era que a falha no Windows Explorer era
conhecida e já havia sido utilizada anteriormente. A
VirusBlokAda entrou em contato com a Microsoft e, em 12 de
julho, enquanto preparava um conserto no Explorer, a falha foi
tornada pública em um fórum de segurança. Empresas de
segurança ao redor
do mundo se empenharam em coletar amostras do vírus, que foi
batizado como Stuxnet pela Microsoft.
Enquanto as empresas estudavam seu código, mais detalhes
surgiram. Havia três versões do vírus, que foi liberado para
ataque um ano antes, junho de 2009. Duas versões se utilizavam
de certificados roubados para poder se passar por código
seguro. Por curiosidade, um dos certificados era da RealTek e
outro da JMicron Technology, duas empresas situadas em um
mesmo centro empresarial.
Teriam os criadores do vírus invadido fisicamente os prédios
das empresas para roubar os certificados? Ou teriam invadido
suas redes?
Isso ainda é mistério.
Umas das empresas de segurança que descobriu o vírus com um
dos certificados relatou nunca ter visto um esquema tão
profissional. Quem estava por trás certamente tinha muitos
recursos.
Por outro lado, o objetivo do Stuxnet era simples de
descobrir: atacar o Simatic WinCC Step7, um sistema de
controle industrial desenvolvido pela Siemens. Ele é empregado
para controlar válvulas, motores e chaves em qualquer tipo de
indústria.
Embora isso fosse novo em si, pois, aparentemente, não há
retorno financeiro em atacar sistemas de controle, o que o
vírus fazia era roubar detalhes da configuração e projeto do
sistema invadido, permitindo que um competidor copiasse
detalhes de um processo de fabricação, por exemplo. Nesse
início de pesquisa sobre o vírus, o ataque se parecia mais com
um caso de espionagem industrial.
As empresas de antivírus adicionaram a identidade do worm aos
seus sistemas e se esqueceram do assunto.
Uma das empresas que produziram proteção para o Stuxnet foi a
Symantec. Após produzir o antivírus, o caso passou para o
gerente da equipe de resposta em segurança, responsável em
verificar se as ameaças devem ser estudadas mais a fundo. A
Symantec recebe mais de um milhão de arquivos maliciosos por
mês, a maioria variações de vírus e worms já bem conhecidos.
Esses são processados sem a intervenção humana.
Contudo, os malwares que exploram vulnerabilidades ainda não
detectadas são um caso à parte. Estes devem ser examinados à
mão. E não foi a surpresa em perceber que o Stuxnet era muito
mais complexo do que parecia. Várias camadas de software
escondiam o código que explorava a falha no Explorer. Além
disso, o tamanho do worm era de 500 KB, muito maior do que os
comuns, que vão de 5 a 10 KBytes. Geralmente, malwares com
esse tamanho contêm imagens, como as que são partes de uma
página de banco, destinadas a enganar clientes e roubar seus
dados de acesso. Entretanto, não havia imagens no Stuxnet. O
código parecia ser um conjunto eficiente de comandos e dados.
Esse fato atraiu o técnico mais experiente que, pessoalmente,
passou a analisar o código.
Essa equipe, com a experiência que tem, consegue rapidamente
identificar a função de cada vírus e se tem um código bemfeito ou não. Stuxnet era o caso de um código bem-feito,
construído ao redor de blocos, tornando-o fácil de ser
atualizado e configurado.
Além disso, sua capacidade de interceptar as chamadas da API
do Windows e responder com seu próprio código sem este estar
armazenado em arquivos tornava-o dificílimo de ser encontrado.
Com toda a experiência de anos trabalhando nessa área, os
técnicos da Symantec nunca tinham se deparado com algo tão
sofisticado.
Várias pistas levavam a acreditar que este worm era produto de
um trabalho extremamente profissional. E apenas os primeiros 5
KBytes dos 500 disponíveis haviam sido examinados. Tudo levava
a crer que, para continuar o exame, seria necessária que a
equipe trabalhasse intensamente.
Mas eles deveriam fazer isso?
O trabalho das empresas de antivírus é detectar e eliminar o
vírus, também impedindo que ele invada novos sistemas. O que o
vírus faz fica em segundo plano.
No entanto, a Symantec achou que era seu dever investigar mais
a fundo esse worm. Parecia que o código era muito mais
sofisticado do que os empregados para espionagem industrial.
Era um desafio tentar desvendar seus mistérios.
No momento em que a equipe do Estados Unidos acabou seus
exames iniciais, eles despacharam uma atualização para o
repositório de dados da empresa. A Symantec possui
laboratórios nos Estados Unidos, Europa e no Japão. Com isso,
há sempre uma equipe em horário de trabalho a postos para que
pesquisadores de diferentes partes do mundo ameaças críticas.
Além disso, o trabalho iniciado por um time continua sendo
feito pelo outro, num trabalho que não se interrompe com a
chegada da noite em um dos laboratórios.
O time do Japão pegou o código e o estudou no fim de semana.
Na segunda-feira, a equipe dos Estados Unidos continuou a
análise. Uma das coisas que descobriram foi que o worm, toda
vez que infectava um sistema, entrava em contato com um
servidor em www.mypremierfutbol.com ou www.todaysfutbol.com,
hospedados na Malásia e na Dinamarca. Eram enviados detalhes
da máquina, como endereços de IP externo e interno, o nome do
computador, sua versão de sistema operacional e se o sistema
Simatic WinCC Step7 estava instalado. A partir desse momento,
o worm conseguia receber informações externas, incluindo
comandos para adicionar novas funcionalidades ou mesmo novos
arquivos maliciosos.
Os servidores desses endereços já tinham bloqueado o acesso,
mas a Symantec solicitou que contatos vindos do worm fossem
direcionados para servidores seus. Na terça-feira à tarde,
informações provenientes dos computadores atacados já estavam
sendo recebidos e compartilhados com outras empresas de
segurança.
Dentro de uma semana, 38.000 computadores reportaram terem
sido invadidos. Em pouco tempo, eram mais de 100 mil máquinas
infectadas. Mesmo com os bloqueios dos antivírus já
atualizados para combater o worm, a praga estava se espalhando
rapidamente.
Um estranho padrão começava a surgir: das 38 mil máquinas
infectadas, 22 mil eram do Irã; em um distante segundo lugar,
a Indonésia, com 6.700 máquinas; em terceiro, a Índia, com
3.700 máquinas; e os Estados Unidos com menos de 400. Apenas
uma quantidade pequena de máquinas tinha o software da Siemens
instalado: 217 no Irã e 16 máquinas nos Estados Unidos. Em
todos os padrões anteriores de infecção por um vírus, nunca o
Irã tinha sido o alvo principal. Claramente este ataque era
direcionado àquele país. Veja figura 1.
A sofisticação do código, o uso de certificados roubados e o
Irã como alvo, apontavam para um ataque entre governos. Podia
ser até que os Estados Unidos estivessem envolvidos. Isto
causou alguma preocupação, mas a Symantec estava interessada
em proteger sistemas no mundo inteiro, é uma empresa
particular e possui operações em muitos países. O worm estava
causando efeitos colaterais em todo lugar, e isso era uma
preocupação da empresa.
Em agosto, uma nova surpresa, um pesquisador avisou que
poderia haver mais falhas não documentadas que poderiam ser
aproveitadas pelo Stuxnet. Uma delas residia no sistema de
impressão compartilhada do Windows, uma outra, em arquivos
relacionados ao teclado e a terceira, no gerenciador de
tarefas. Além disso, o Stuxnet se aproveitava de uma senhapadrão do fabricante do Step 7, que era utilizada para acessar
e infectar uma base de dados armazenadas em um servidor
utilizado por este software e, a partir daí, infectar outras
máquinas conectadas ao servidor.
O worm também tinha características ainda não vistas. Uma
delas era o fato de ele se alastrar apenas dentro de redes
locais. Para alcançar outras redes, era necessário que um pen
drive fosse utilizado. Aparentemente, o alvo inicial eram
redes não conectadas à internet.
Outro detalhe interessante era o fato de que cada amostra do
worm continha todo um histórico de máquinas infectadas,
permitindo descobrir a máquina que primeiro foi infectada.
Isto permitiu descobrir que os ataques se concentraram em
computadores de cinco organizações iranianas. Elas foram
atingidas repetidamente em junho e julho de 2009 e em março,
abril e maio de 2010. Entretanto, devido à forma com que
invadiam as máquinas, ele infectou muito mais computadores,
bem além dessas organizações.
Todas as vulnerabilidades descobertas já eram de conhecimento
das empresas de anti-vírus, mas a Microsoft ainda não havia
consertado os problemas. Será que os autores do Stuxnet tinham
contato com essas empresas para descobrir essas falhas e
esperavam que a Microsoft nunca as consertassem? Ou será que
eles compraram de hackers criminosos, que vendem essas
informações no mercado negro? Uma falha dessas vale entre 50
mil a 500 mil dólares. Também é possível que eles mesmos
tenham descoberto as falhas.
Até esse momento, nas primeiras semanas de teste, ainda não
era conhecido o motivo da criação do worm ou o que ele tenha
feito além de se espalhar.
Outro pesquisador da Symantec, especialista em engenharia
reversa, começou a “descascar” o worm. Ele descobriu que o
Stuxnet continha 15 componentes, todos
embrulhados em camadas criptografadas. O Stuxnet decodifica e
extrai cada componente de acordo com sua necessidade,
dependendo das condições que ele encontra na máquina
infectada.
Também o Stuxnet continha uma data limite de atuação: 24 de
junho de 2012. Cada vez que é executado, ele checa a data da
máquina. Se for maior do que este limite, a execução do código
é suspensa.
A parte mais importante do Stuxnet é quando ele encontra o
software Step 7 da Siemens. Ele então descarrega um arquivo
DLL na máquina, denominado s7otbx. dll, que serve de depósito
de funções utilizadas por diferentes partes do Step 7. Ao ser
utilizado o sistema, novas funções comprometidas são então
utilizadas. O Step 7 é empregado para programar controladores
lógicos programáveis (PLC) utilizados em máquinas industriais.
E era exatamente o que o worm fazia: sabotagem industrial.
O problema era que o pessoal da Symantec não entendia de PLCs.
Um PLC usa uma linguagem de programação denominada Statement
List Programming Language (STL). Tentando achar alguém que
pudesse ajudar, a Symantec publicou em seu site da internet um
pedido de ajuda. Não houve resposta imediata.
Duas semanas depois, a comunicação entre as máquinas
infectadas no Irã e os endereços desviados que a Symantec
criou para receber relatórios foi interrompida. Alguém no Irã
não gostou da descoberta.
Do outro lado do planeta, um alemão de 52 anos chamado Ralph
Langner leu o post sobre o pedido de ajuda com o Step 7. Ralph
sabia que milhares de clientes da Siemens tinham um assassino
potencial em seus sistemas. A Symantec já havia avisado à
Siemens, mas, incrivelmente, não obteve nenhuma resposta
concreta da empresa, além de que montaria um time para
analisar o worm.
Após três semanas de pesquisa, Ralph e seus colegas chegaram à
conclusão de que o Stuxnet era uma arma para atacar uma
configuração específica de equipamento com precisão. Qualquer
configuração diferente fazia com que o Stuxnet se desativasse
e apenas tentasse se replicar. Estava claro para Ralph que o
Stuxnet era produto de um governo com muitos recursos, com o
conhecimento interno de seu alvo.
Ralph esperava encontrar algo simples, como um ataque DoS, e
não um sistema complexo como encontrou.
Denial-of-Sevice (DoS): significa acessar repetidamente um
endereço na web até que um servidor ou serviço não possa mais
responder ou torne a resposta muito lenta para clientes
legítimos.
Para ele, claramente o ataque era endereçado a Bushehr, uma
fábrica de enriquecimento nuclear no Irã, que estava para
começar operação em agosto de 2010, mas que se atrasou.
Ao questionar um colega em uma fábrica de centrífugas de
enriquecimento sobre a possibilidade de danificá-las apenas
manipulando o código de controle, este se recusou responder,
dizendo que era uma informação classificada.
Frank Rieger, chefe de tecnologia da GSMK, concordou com
Ralph, mas concluiu que o ataque era direcionado a outra
fábrica, Natanz. Esta já estava produzindo e apresentava maior
risco de produzir material para armas nucleares. Ele também se
lembrou de que o Wikileaks já tinha anunciado, em julho de
2009, que um sério incidente havia recentemente ocorrido em
Natanz e que o chefe da Organização de Energia Atômica do Irã
havia renunciado por razões desconhecidas.
Mais algum tempo de pesquisa, descobriu-se que o Stuxnet era
diferente de tudo que já havia aparecido em termos de malware.
Era uma revolução. Nunca se havia deparado com um worm que se
propagava sorrateiramente por meio de redes à procura de um
único alvo.
Por volta de novembro do mesmo ano, chegou-se a mais uma
resposta do quebra-cabeça. Descobriu-se que o Stuxnet tentava
comandar um equipamento denominado conversor de frequência.
Cada fabricante tem um código próprio, o que torna fácil
identificar o equipamento. Um deles era o conversor fabricado
na Finlândia, com código 9500h; o outro fabricado no Irã, com
código 7050h.
Conversores de frequência controlam a velocidade de motores em
equipamentos, como em furadeiras industriais. Aumentando-se a
frequência, aumenta-se a velocidade do motor. O Stuxnet foi
projetado para controlar exatamente isso. E mais, ele se
concentrava em uma instalação com 33 ou mais conversores,
operando em frequências entre 807Hz e 1210Hz.
O worm fica parado por duas semanas, realizando reconhecimento
do equipamento. Então, lança um ataque silencioso, aumentado a
frequência dos conversores para 1410Hz por 15 minutos. Depois
disso, retorna para a frequência normal. Um novo ataque só
acontece após 27 dias, quando o Stuxnet ataca novamente e
depois baixa a frequência para 2Hz por 50 minutos.
O ataque então dorme por 27 dias, quando a mesma sequência
recomeça. Fazer o sistema operar com tamanhas diferenças de
frequências sugere que o Stuxnet estava tentando destruir o
que estivesse ligado aos conversores.
A equipe da Symantec fez uma pesquisa e descobriu que
conversores que operam em frequências superiores a 600Hz têm
exportação regulada nos Estados Unidos pela Comissão de
Controle Nuclear.
Todas
as
pistas
levavam
realmente
para
um
ataque
às
centrífugas de enriquecimento nuclear. Em todo o processo de
investigação, nenhum órgão ou empresa tentou censurar qualquer
trabalho ou divulgação dos achados. Até hoje, não se conseguiu
descobrir os criadores do worm, mas há suspeitas de que os
governos dos E stados Unidos e de Israel possam estar por trás
da façanha, uma vez que são os maiores interessados em
destruir a capacidade nuclear do Irã.
Uma declaração do presidente do Irã, em novembro de 2010,
confirmou que as instalações de Natanz realmente foram
sabotadas e que um número “pequeno” de centrífugas foram
danificadas. Além disso, confirmou-se posteriormente que as
centrífugas realmente trabalhavam com a frequência de 1064Hz.
Em fevereiro de 2011, o worm já contava com 3.280 variações,
que provavelmente geraram cerca de 12 mil infecções (SCHWARTZ,
2011).
No entanto, a história do Stuxnet não acaba aqui. Em outubro
de 2011, a Symantec foi alertada pela Universidade de
Tecnologia de Budapeste da existência de uma nova ameaça,
denominada Duqu. Supõe-se que foi criada para preparar o
terreno para um próximo ataque Stuxnet. Ele usa uma
arquitetura muito similar à do Stuxnet, e tudo indica que foi
criado pelos mesmos autores. Para sua infecção inicial, ele se
utiliza de um documento .doc recebido por e-mail que, ao ser
aberto no MS Word, explora uma falha no sistema e consegue
injetar um instalador no sistema operacional que decripta
componentes adicionais (veja Figura 2). O funcionamento
detalhar do Duqu pode ser encontrado em Symantec (2011b).
Observe nesse relato que há implicações em todos os sentidos.
Uma ameaça pode extrapolar em muito os muros de uma empresa,
sejam eles físicos ou computacionais. Um firewall pode
proteger uma instalação do mundo externo, mas pouco pode fazer
de um ataque interno. No exemplo anterior, uma rede local
poderia ter sido considerada segura, mas uma brecha explorada
pela inserção
de um simples pen drive foi negligenciada. No caso do Duqu, a
invasão se dá pela abertura de um documento do Word, algo que
explora a curiosidade de quem recebe um e-mail com um
documento anexado.
A apresentação desse caso, que se parece com uma investigação
de uma estória de Sherlock Holmes, tem o intuito de mostrar,
como veremos mais adiante, que os temas segurança e criação de
antivírus tem muitos dos elementos presentes em uma
investigação forense. Na verdade, é mais um ramo da Computação
Forense, denominada Forensic Programming, que tem como
atividade desvendar o funcionamento, intenção e autoria de um
software. (SLADE, 2004, p. 5).
Referências
BARBARA, J. J. Handbook of digital and multimedia forensic
evidence. 1. ed. [S.l.]: Humana Press, 2007.
BUSINESS Dictionary. Downsizing. 2011.
<http://www.businessdictionary.
Disponível
em:
com/definition/downsizing.html>. Acesso em: 12 dez. 2011.
CERUZZI, P. E. A history of modern computing. Cambridge, MA:
MIT Press, 1998. FESTA, P. Can PC sleuths undo Enron
shredding? 2002. Disponível em: <http://www.zdnet.
com/news/can-pc-sleuths-undo-enron-shredding/120514>.
em: 22 nov. 2011.
Acesso
GROSS, M. J. A Ddclaration of cyber-war. 2011. Disponível em:
<http://www.vanityfair.
com/culture/features/2011/04/stuxnet-201104?printable=true>.
Acesso em: 3 jan. 2012.
IBM. Resource access control facility. 2008. Disponível em:
<http://www-03.ibm.com/
Acesso em: 13 nov. 2011.
systems/z/os/zos/features/racf/>.
HONG, J. The state of phishing attacks: looking past the
systems people use, they target the people using the systems.
Communications of the ACM, v. 55, n. 1, p. 74–81, jan. 2012.
LIU, D.; VARSALONE, J. Cisco router and switch forensics:
investigating and analyzing
Burlington: Elsevier, 2009.
malicious
network
activity.
MITNICK, K. D.; SIMON, W. L. The art of intrusion: the real
stories behind the exploits of hackers. Intruders and
Deceivers. [S.l.]: Wiley, 2005.
NATIONAL INSTITUTE OF JUSTICE. Electronic crime scene
investigation: a guide for first responders. U.S. Dept. of
Justice, Office of Justice Programs, National Institute of
Justice. Estados Unidos, 2001. (NIJ guide). Disponível em:
<http://books.google.ca/ books?id=MozcgnfZL7UC>. Acesso em: 3
jan. 2012.
NEW YORK COMPUTER FORENSIC SERVICES. The computer forensic
examination
process.
2011.
Disponível
em:
<http://www.newyorkcomputerforensics.com/learn/forensics_
process.php>. Acesso em: 10 jan. 2012.
PROSISE, C.; MANDIA, K.; PEPE, M. Incident response and
computer forensics. 2. ed. [S.l.]: McGraw-Hill/Osborne, 2003.
SCHNEIER, B. The story behind the stuxnet virus. 2010.
Disponível em: <http://www. forbes.com/2010/10/06/irannuclear-computer-technology-security-stuxnet-worm.
html>.
Acesso em: 12 dez. 2011.
SCHWARTZ, M. J. Stuxnet Iran attack launched from 10 machines.
2011.
Disponível
em:
<http://www.informationweek.com/news/security/229218562>.
Acesso em: 6 dez. 2011.
SHELDON, Tom; BIG SUR MULTIMEDIA. SNA: Systems Network
Architecture.
2001.
Disponível
em:
<http://www.linktionary.com/s/sna.html>. Acesso em: 25 nov.
2011.
SYMANTEC.
W32.
Stuxnet.
2010.
<http://www.symantec.com/security_
Disponível
em:
response/writeup.jsp?docid=2010-071400-3123-99>. Acesso em: 4
jan. 2012.
______. Symantec internet security threat report: trends for
2010.
2011.
Disponível
em:
<https://www4.symantec.com/mktginfo/downloads/21182883_GA_REPO
RT_ISTR_
Main-Report_04-11_HI-RES.pdf>. Acesso em: 27 nov. 2011.
______. W32. Duqu: the precursor to the next Stuxnet. 2011.
Disponível
em:
<http://www.
symantec.com/content/en/us/enterprise/media/security_response/
whitepapers/ w32_duqu_the_precursor_to_the_next_stuxnet.pdf>.
Acesso em: 4 jan. 2012.
TRCEK, D. et al. Advanced framework for digital forensic
technologies and procedures. Journal of Forensic Sciences,
Blackwell Publishing Ltd, v. 55, n. 6, p. 1471-1480, 2010.
Disponível
em:
<http://dx.doi.org/10.1111/j.1556-4029.2010.01528.x>. Acesso
em: 12 jan. 2012.
WILLIAMS, M. Sony apologizes, details PlayStation Network
attack.
2011.
Disponível
em:
<http://www.computerworld.com/s/article/9216311/Sony_apologize
s_details_ PlayStation_Network_attack>. Acesso em: 27 nov.
2011.
YIN, S. 7 hackers who got legit jobs from their exploits.
2011. Disponível em: <http://www. linktionary.com/s/sna.html>.
Acesso em: 27 nov. 2011.
ZETTER, K. How digital detectives deciphered Stuxnet: the most
menacing malware in history. 2011. Disponível em:
<http://www.wired.com/threatlevel/2011/07/how-digitaldetectives-deciphered-stuxnet/all/1>. Acesso em: 6 dez. 2011.
Autor: Prof. Dr. Mauro Notarnicola Madeira
Download