O que é a computação forense e sua importância no âmbito empresarial O computador e as tecnologias de telecomunicação atuais têm causado uma mudança radical de como a sociedade funciona. Tanto no âmbito profissional como no pessoal, nossa vida depende de vários serviços que se apoiam em computadores e redes de comunicação. Qualquer comprometimento no suporte ou em serviços importa prejuízos cada vez maiores. Um dos desafios da tecnologia é como tratar de ameaças e ataques a esses sistemas, que vão das simples invasões exibicionistas a roubos e terrorismo. Grande parte de nossas vidas hoje se passa no cyberspace, assim como, cada vez mais, as atividades criminosas (TRCEK et al., 2010). Com isso, também a polícia tem sido chamada a atuar nesse meio e a investigá-lo. E essa mudança de meio significa que o que antes era vestígio físico e testemunhal, agora se apresenta na forma de informações digitais, armazenadas em memórias e discos. Portanto, o elemento crítico da investigação criminal e manutenção da lei, vestígio físico, está sendo substituído pela informação na forma digital, o vestígio digital. Vestígio digital é a informação ou dado que possui valor em uma investigação, armazenado, recebido ou transmitido por um dispositivo eletrônico. O vestígio é adquirido quando dados ou dispositivos eletrônicos são apreendidos e guardados para exame. Segundo National Institute of Justice (2001), o vestígio se caracteriza por: poder ser latente, como impressões digitais e amostras de DNA; poder cruzar jurisdições fácil e rapidamente; ser facilmente alterado, danificado ou destruído; ser sensível à passagem do tempo. Do ponto de vista dos vestígios, existem várias formas de classificá-los por tipos, mas, de um modo geral, eles podem ser (NEW YORK Computer Forensic Services, 2011): dados ativos – são aqueles que podem ser prontamente vistos, como arquivos de texto e imagens, programas e arquivos usados pelos sistema operacional. São os tipos de dados mais fáceis de serem extraídos. dados arquivados – são aqueles que foram alvo de backup. Podem ser CD-ROM, DVD, fitas magnéticas, discos rígidos. dados latentes – são aqueles que geralmente necessitam de ferramentas especializadas para permitir seu acesso, como dados deletados, parcialmente sobrescritos, cifrados etc. Uma investigação pode envolver o exame de todos esses tipos de dados, dependendo das circunstâncias. Obter os dados latentes é de longe o que requer mais recursos e tempo. Os termos “evidência”, “prova” e “vestígio” trazem algum problema em seu uso na Computação Forense. Na literatura sobre a Computação Forense em Língua Portuguesa, o termo “evidência” é muito utilizado em lugar de “vestígio” e muitas vezes também como sinônimo para “prova”. No entanto, para evitar incorreções, neste trabalho optamos por não utilizar o termo “evidência”, uma vez que é um falso cognato. Por sua vez, a palavra “prova” é uma forma de caracterizar o “vestígio”. Logo, um “vestígio” pode ser uma “prova”, mas nem todo “vestígio” pode ou deve ser utilizado como “prova”. Portanto, salvo algum descuido no texto, vamos sempre optar pelo termo “vestígio”, designando a informação ou dado objeto da investigação forense. Há poucos anos, a preocupação da Computação Forense se resumia a conteúdos de mídias magnéticas ou ópticas, e o trabalho do investigador forense era fazer cópias dessas mídias e procurar por cadeias de caracteres com examinadores hexadecimais. Atualmente, com a computação presente nos mais variados dispositivos, incluindo os móveis como tablets e smartphones, e a capacidade de se comunicar em rede, essa realidade mudou. Muitos equipamentos não se resumem mais a armazenar seus dados em mídias locais, e surge a importância de analisar o que está na memória principal do dispositivo bem como o que ele depositou em sistemas de armazenamentos distantes, como em servidores e na nova cloud computing, em que serviços e armazenamentos de dados podem estar em qualquer lugar, longe das fronteiras físicas de uma empresa e mesmo em outros países. Também o ato de desligar uma máquina e levá-la para análise em laboratório deixou de ser o procedimento padrão, uma vez que, de uma forma geral, se elas estão ligadas, o conteúdo da memória principal deve ser examinado. Com a proliferação da internet, as empresas nunca estiveram tão expostas, justamente quando a informação é o bem de maior valor em uma organização. Não são somente as grandes empresas que estão em risco. Qualquer organização, mesmo as pequenas, de qualquer tipo de ramo, é um potencial alvo. Da mesma forma, também não é sempre um hacker habilidoso que se aproveita das falhas de segurança de um sistema, mas muitas vezes um funcionário recém-despedido ou insatisfeito, ou alguém simplesmente querendo deixar sua marca. A importância em proteger a informação é cada vez mais reconhecida. Além de ser um alvo direto de um ataque, uma empresa pode ser, indiretamente, base para ataques, o que significa implicações legais de responsabilidade. Tanto agentes externos quanto empregados sem preparo ou malintencionados podem utilizar servidores de uma empresa para conduzir ataques a outras organizações ou pessoas. Preocupação com a segurança No começo da computação comercial, os computadores de grande porte, os mainframes, eram instalados em salas ou em prédios construídos especialmente para eles, denominados de Central de Processamento de Dados (CPD) ou Núcleo de Processamento de Dados (NPD), onde apenas pessoas autorizadas tinham permissão para entrar. De forma geral, no início da computação comercial, um CPD não era conectado a outro e o acesso pelos usuários era feito por meio de terminais “burros”, ou seja, sem processamento, instalados em prédios próximos ao mainframe. Basicamente, a preocupação era com o ataque interno e o eventual vazamento de informações causado por funcionários da empresa que tinham acesso ao computador. Para garantir a segurança, era preciso definir quem tinha acesso ao que em um sistema, especialmente porque, em um CPD, um ou mais computadores são compartilhados por todos os departamentos de uma organização, quando não por várias organizações ou empresas. Devido a esse uso compartilhado, sistemas específicos de controle de acesso foram desenvolvidos. Um exemplo é o Resource Access Control Facility, criado pela IBM em 1976 (IBM, 2008). Nesse sistema, podem ser definidos: identificação e verificação de usuários do sistema; identificação, classificação e proteção dos recursos do sistema; autorização de usuários ao acesso a recursos; controle das formas de acesso aos recursos; registro de tentativas não autorizadas de acesso ao sistema e aos recursos protegidos; administração de recursos para atingir os objetivos de segurança da instalação. Os mainframes eram e são a escolha para empresas grandes, bancos e governo. Ou seja, uma eventual falha de segurança pode gerar perdas enormes, tanto em dinheiro, tempo para recompor um serviço ou com a perda de documentos sigilosos, como patentes, fórmulas de produtos industriais, cadastro de clientes, números de cartão de crédito etc., assim, o ambiente de mainframe já incorpora itens de segurança há muito estabelecidos para evitar esses perigos. O que mostra isso? Que a preocupação com a segurança vem de longe, e que, além do isolamento físico do computador, o seu acesso lógico era restrito e controlado. Vale lembrar que as redes de comunicação ligando usuários aos computadores e estes entre si eram praticamente inexistentes até a década de 1990 e as regras e os mecanismos de proteção forneciam um ambiente relativamente seguro. Embora a pesquisa e o desenvolvimento de uma rede de computadores já estivesse em curso desde a década de 1960, com o projeto Advanced Projects Research Agency (ARPA), financiado pelo departamento de defesa dos Estados Unidos, somente na década de 1980 é que o protocolo TCP/IP foi publicado (BARBARA, 2007) e somente na década de 1990 é que a internet expandiu o efeito potencial da exposição de máquinas a qualquer usuário. Sem contar que somente nessa época é que o enlace last mile, ou seja, o elo de conexão final com um usuário doméstico, foi solucionado, conectando o usuário de um computador pessoal e redes locais a redes distantes. Portanto, há muito existem as redes. Porém, estas não eram como a internet, conectando uma vasta quantidade de usuários, e utilizavam padrões incompatíveis entre fabricantes. (CERUZZI, 1998). Existiam ainda instalações em que a segurança empregava cuidados especiais. Em um bunker da época da Guerra Fria, temia-se que emissões eletromagnéticas dos computadores pudessem ser interceptadas e fosse possível ler os dados sendo processados. Para eliminar esse risco, os computadores eram imersos em salas com as paredes recobertas de metal ou de uma tela de arame, denominadas gaiolas de Faraday, que impedem a emissão ou recebimento de ondas eletromagnéticas. Entretanto, os computadores passaram a ser utilizados em um número de atividades muito além do que existia e se imaginava até a década de 1980, e a criação do comércio eletrônico na década de 1990 foi um marco. Hoje em dia, um computador sem acesso externo é de uso restrito a atividades muito específicas. Por meio da internet, qualquer computador está eletronicamente conectado a outro, e as barreiras de proteção se utilizam de ajustes em dispositivos, como routers, switches e mesmo outros computadores que servem de canal para a conexão externa. O computador internet pessoal e a O mundo seguro quase ideal do mainframe descrito anteriormente foi destruído, em parte, com o surgimento do computador pessoal e, posteriormente, com o advento da internet. Nas décadas de 1970 e 1980, a disponibilidade de circuitos eletrônicos integrados e o seu barateamento permitiram o surgimento de máquinas de pequeno porte que podiam ser adquiridas por pessoas físicas, já que, no mundo do mainframe e de minicomputadores, os custos eram proibitivos e só grandes empresas tinham acesso. Do uso pessoal até o empresarial foi “um pulo”. Bastou a invenção da planilha de dados e do editor de textos para o computador pessoal (Personal Computer, em inglês), ou PC, tornar-se atrativo para os mais variados tipos de atividades. O uso do PC foi importantíssimo para todo o mundo das pequenas e médias empresas, trazendo para elas recursos computacionais que criaram toda uma nova gama de negócios. A cada evolução nos computadores pessoais, tanto em hardware quanto em software, mais tarefas eram possíveis de ser automatizadas, indo além daquilo para o qual os mainframes eram utilizados. Esse movimento para trazer para o microcomputador tarefas que antes eram realizadas por mainframes ganhou o nome de Downsizing, e, na própria definição, não havia muito compromisso com integridade dos sistemas, segurança e controle (Business Dictionary, 2011). Logicamente, o próprio conjunto software/hardware, por sua simplicidade, não comportava essas características. Na era da explosão dos microcomputadores, na década de 1980, estávamos ainda no início da conexão em rede, geralmente restrita à conexão de computadores próximos (Local Area Networking – LAN), utilizando-se das famosas placas Ethernet. A ideia de uma internet conectando todos a todos e a tudo mal existia na ficção científica à época da invenção dos primeiros microcomputadores. Também não havia uma preocupação grande com a segurança nos dados mantidos por esses primeiros computadores pessoais. Era extremamente fácil copiar informações importantes de uma empresa para a um disquete e transferir esses dados para outro computador. Portanto, o ataque aos dados tinha de ser realizado internamente, já que era necessário o acesso físico ao computador. O computador pessoal não nasceu para ser usado em ambientes nos quais a segurança era um item importante. E essa fragilidade veio à tona de forma explosiva quando a internet se tornou acessível, no começo da década de 1990. A partir desse ponto, as ameaças de invasão de um sistema para expor seus dados passaram a ter dois caminhos: o ataque interno, que conta com a ajuda intencional ou não, quando um empregado se apodera de dados ou acessa de forma não autorizada ou ainda fornece suas credenciais de acesso; e o ataque externo, perpetrado por agentes que invadem um sistema computacional utilizando-se de acessos pela rede. Nota-se também que o papel do computador central, representado pela arquitetura dos mainframes, também deixou de existir nos dias atuais. O mainframe passou a ser mais um servidor na rede. (SHELDON; BIG SUR MULTIMEDIA, 2001). Desde então, tem sido uma guerra entre invasores e invadidos. A cada invasão, os sistemas se protegem mais, e esse talvez seja o papel mais nobre da Computação Forense: examinar o que houve de errado, ajudando a implantar medidas para que o sistema seja melhor protegido no futuro. A computação prevenção forense como Existem várias medidas de segurança que uma empresa pode empregar para preservar seu ambiente computacional ao acesso indevido. No entanto, mesmo quando bem empregadas, é difícil que em algum momento uma brecha não seja explorada. Quando isso acontece, o incidente tem de ser analisado para que contramedidas sejam empregadas, ou seja, a partir da análise do incidente, criar uma ambiente mais seguro. Se, por um lado, a Computação Forense tem como base a coleta de informações e sua formatação para ser apresentada ao mundo legal; por outro lado, ela promove a melhora da segurança quando interpreta uma falha e entende as fragilidades de um sistema, sejam elas nos sistemas em si, como também na forma como é manuseado. Essa segunda utilização da Computação Forense não é tão óbvia para as empresas. Embora elas se esforcem em aumentar sua segurança, normalmente não são reservados recursos internos para que se estudem as causas e consequências dos ataques. O componente de Computação Forense pode ter seu lugar junto ao time de resposta a incidente, contando com a face técnica e jurídica. Existe um consenso de que as descobertas de uma empresa podem ser utilizadas para aumentar a segurança de outra, mas também existe certeza que a maioria das empresas não relata seus casos de quebra de segurança e invasões, pois temem que isso possa prejudicar sua imagem e sua marca em relação aos seus clientes e ao mercado de um modo geral. Em alguns países, já existem discussões sobre a obrigatoriedade das empresas relatarem seus incidentes. Por agora, existem alguns organismos e algumas empresas que compilam e publicam relatórios ou dados sobre as invasões e fraudes, como a Global Information Security Survey, da Ernst and Young, e, no Brasil, o Centro de Atendimento a Incidentes de Segurança, mantido pela Rede Nacional de Ensino e Pesquisa (RNP). O relatório de segurança da Symantec oferece uma amostra de que, por mais protegidas que sejam as redes, ameaças conseguem furar o bloqueio. Isso acontece, por exemplo, pelo uso de pen drives e dispositivos móveis, os quais eventualmente são conectados a uma estação de trabalho, e nos quais arquivos maliciosos são armazenados e transferidos, aproveitando-se de falhas não detectadas ainda pelos desenvolvedores de softwares. (SYMANTEC, 2011a). Incentivo financeiro Até pouco tempo atrás, hackers invadiam sistemas pelo puro prazer de demonstrar suas habilidades computacionais, mostrando que podiam se esquivar das camadas de proteção levantadas pelos administradores dos sistemas e instalar um worm que iria, na pior das hipóteses, apenas se replicar, invadir novos sistemas e tornar a rede lenta. Não havia nenhuma recompensa financeira para isso. Quando muito, alguém conseguia um emprego em uma empresa invadida, como ainda tem acontecido com a Microsoft, Nintendo, Google e Facebook. (YIN, 2011). Porém, isso não impediu que sistemas construídos ao redor de microprocessadores não tivessem sido alvo de ataques para obtenção de dinheiro. Em seu livro The Art of Intrusion, o famoso hacker Kevin Mitinick relata o caso de quatro programadores que compraram um modelo de máquina caça-níqueis igual ao que era utilizado em praticamente todos os cassinos de Las Vegas, leram seu programa gravado em ROM e conseguiram decifrar como eram gerados os números aleatórios, responsáveis pelo sorteio das cartas. Como sabemos, um algoritmo computacional não gera verdadeiramente números aleatórios, mas conseguir calcular a sequência gerada pode ser muito complexo, dependendo do tamanho em bits utilizado para representar o número sorteado. De qualquer forma, o gerador de números aleatórios dessas máquinas era mal construído, e eles foram capazes de descobrir como prever as sequências de cartas. Com isso, conseguiram desviar centenas de milhares de dólares até um deles ser pego, o que fez com que os cassinos exigissem dos fabricantes maior segurança para suas máquinas. (MITNICK; SIMON, 2005) As coisas mudaram quando a rede começou a ser usado para o comércio eletrônico e os criminosos cibernéticos começaram a ter como prioridade roubar números de cartão de crédito, informações de acesso a internet banking e até segredos industriais. Nasceu a engenharia social, utilizando a informática e o phishing como o seus maiores instrumentos. O phishing é um tipo de ataque baseado em engenharia social na qual os criminosos usam e-mails para levar pessoas a revelar informações pessoais ou instalar software malicioso em seu computador. As vítimas tomam essas mensagens por verdadeiras, quando na realidade elas são o trabalho de golpistas. Em lugar de direcionar o ataque diretamente a um sistema, o ataque é dirigido a pessoas que usam o sistema. O phishing consegue de forma inteligente contornar a maioria das medidas de segurança empresariais e individuais. Não importa quantos firewalls, softwares de criptografia, certificados ou mecanismos de autenticação a empresa tenha se a pessoa atrás do teclado cai no truque. (HONG, 2012). Além de e-mail, o phishing tem se utilizado de uma variedade grande de meios, que incluem VOIP, SMS, mensagens instantâneas, redes sociais e até jogos massivos. O advento das redes sociais trouxe munição adicional. A criação de perfis em comunidades, como Facebook, Orkut e LinkedIn, tem favorecido o sucesso dos ataques, pois dados pessoais postados pelos usuários são utilizados para dar maior veracidade a mensagens enviadas por e-mail. Esse tipo de ataque consegue vencer as barreiras da empresa e chegar a um empregado, pois o conteúdo se faz passar por algo legítimo ou vem de um endereço que parece ou é, no caso de contas invadidas, de alguém conhecido. Para evitar esse tipo de ataque, bloquear o acesso do empregado à daqueles permitidos para realizar ciclo do ataque seja completado. fechar o ciclo. muitas instituições chegam a internet para endereços além seu trabalho, evitando que o Contudo, há outras formas de Por exemplo: o que faz um empregado que encontrar um pen drive em um banheiro de seu local de trabalho? A maioria com certeza verifica o conteúdo dele no computador mais próximo que tem acesso. O ato de inserir o pen drive, em certas circunstâncias, já seria suficiente para infectar uma máquina com um worm, como veremos no caso do Stuxnet em um momento posterior da leitura. A invasão da rede Playstation para roubar informações de clientes e depois tentar utilizar em outros lugares é exemplar. Por volta de 20 de abril de 2011, os servidores da rede Playstation da Sony foram invadidos e, segundo estimativas, 70 milhões de contas dos usuários tiveram suas informações lidas (WILLIAMS, 2011). De acordo com a empresa, nenhuma informação de cartão de crédito foi desviada, mas, nos dias seguintes, várias pessoas receberam comunicados, até por telefone, pedindo detalhes de seus cartões de crédito para completar operações de compra. Segundo relatos, o ataque inicial se disfarçou de uma compra normal, por isso não alertou os sistemas de segurança. Ele se aproveitou de uma falha ainda não descoberta na aplicação de um servidor utilizado para acesso ao servidor de banco de dados que estava por trás de um terceiro firewall. Ou seja, as informações dos usuários ficaram disponíveis para todo o tipo de phishing e a falha se originou em um sistema corporativo, e não da má utilização de usuários finais. Observe que, nesse caso, os números não foram descobertos, mas sabia-se que determinado usuário tinha uma conta no sistema e possuía um cartão de crédito de determinada bandeira, bem como dados como número de telefone e endereço de e-mail. Prever como será o próximo ataque é uma tarefa difícil, uma vez que a evolução das técnicas é constante. O importante é assegurar que a segurança da informação não seja apenas uma ação reativa, mas que, de maneira proativa, continuamente procure desenvolver controles, práticas e políticas que auxiliem na identificação e prevenção de ataques. Outro fator que deve ser levado em consideração é que nem todas as ações classificadas como sendo crime cibernético, ou seja, aquele crime cujo alvo é um sistema de informação, têm o próprio sistema como alvo. Muitas vezes ele é utilizado como o meio de uma atividade criminosa. Ações como fraude, chantagem, lavagem de dinheiro, venda de produtos ilegais, pornografia e pedofilia podem fazer uso dos sistemas ou usá-los como meio facilitador. Por esse ponto de vista, uma empresa pode ser envolvida em um crime de forma passiva, muitas vezes entrando para listas negras de acesso a endereços da internet. Todos os dias, vemos páginas forjadas de bancos sendo armazenadas em servidores de outras empresas. Também o computador pode servir para auxiliar uma investigação. Um exemplo é o caso de Chaundra Levy, relatado em Prosise, Mandia e Pepe (2003). Ela foi tida como desaparecida em maio de 2001 e encontrada em maio de 2002. Informações em seu computador levaram a polícia a procurar por ela no parque Creek Park, em Washington, onde foi encontrado seu corpo. Nesse caso, o computador não estava envolvido em nenhum crime, ao contrário, o computador forneceu pistas da localização e atividades de Chaundra, como a última vez que ela usou o sistema e o fato de ela ter olhado o mapa do parque. Interessante nesse caso é o fato de as pistas presentes no computador terem sido apagadas pela tentativa incorreta de sua extração feita por um técnico sem treino em Computação Forense. Após um mês de trabalho, investigadores treinados conseguiram recuperar os dados. Segundo um documento recente do Centro de Resposta a Incidentes da Universidade Carnegie Mellon, de 2010 a 2011, houve um aumento exponencial na complexidade e sofisticação dos ataques cibernéticos. Agora, eles refletem ações de organizações e mesmo nações muito bem financiadas e conectadas globalmente, cujas motivações incluem fraudes financeiras, manipulação de mercado, espionagem internacional e sabotagem de instalações físicas. Esses agentes controlam e administram milhões de bot-nets com a capacidade de causar danos a companhias multinacionais e mesmo a pequenos países, com ações como desligamento de redes de suprimento de energia elétrica, embaralhamento de tráfego aéreo e até prejudicando operações militares. Implicações em escala maior Questionários submetidos a empresas mostram que 68% dos incidentes que comprometem dados das empresas são causados por agentes internos (LIU; VARSALONE, 2009). Isso quer dizer que menos do que 40% vêm de fora e que o pior inimigo está dentro da empresa. Ações de funcionários ou mesmo descuido na segurança podem abrir as portas para comprometimentos do sistema. Além da atividade técnica em encontrar informações de delitos nos equipamentos de uma empresa em um âmbito local, a Computação Forense pode ter implicações em uma escala maior, como no caso da Enron, um escândalo tornado público em 2001. A Enron era uma empresa gigante que atuava na geração e distribuição de eletricidade, mas também diversificava sua atuação em setores como comunicação, gás natural e produção de papel. Possuía mais de 22 mil funcionários, com uma receita declarada de 101 bilhões de dólares no fim de 2000. Ocorria que nem todas as atividades da empresa resultavam em saltos positivos em termos financeiros. A prática da empresa para esconder seus problemas era manter seus relatórios de ganhos e fluxo de caixa supervalorizados, eliminando da contabilidade seus prejuízos, em quantidade e frequência tão grandes que fez essa fraude contábil ser considerada a maior de todos os tempos. A revelação dessa fraude também pôs em cheque a atuação de muitas outras empresas, culminando em novas regulamentações de mercado. Junto com a Enron, também caiu a Arthur Andersen, uma das maiores firmas de contabilidade dos Estados Unidos, cúmplice das práticas fraudulentas da Enron. Do ponto de vista da forense computacional, o caso da Enron ilustra alguns aspectos da evolução da tecnologia. Ao ficar insustentável sua situação, diretores da empresa, principalmente relacionados à auditoria interna, passaram a destruir documentos comprometedores em papel, além de apagar dos computadores documentos eletrônicos e e-mails que continham vestígios da fraude. No entanto, eliminar um documento em papel é bem mais simples do que apagar um documento eletrônico, principalmente para quem não tem conhecimento técnico. Durante a investigação que se seguiu, peritos em Computação Forense foram chamados para levantar documentos ainda presentes nos computadores, dados parcialmente apagados, mas também, e o que se tornou importante no caso, a tentativa de apagá-los. (FESTA, 2002). Esse caso foi uma espécie de marco para a profissão, pois havia uma curiosidade no público em geral do que seria capaz de realizar um investigador forense. Quando um documento é incinerado ou destruído em uma máquina que o corta em tiras bem finas, a informação de delito é materialmente destruída, e isso é facilmente compreendido pelo público. Apagar um arquivo de um computador parecia, para a maioria das pessoas, uma ação equivalente, entre as quais não havia diferença para o senso comum. E a curiosidade sobre o caso partiu desse fato. Há relatos de casos em que investigadores colam as tiras de uma máquina fragmentadora de papel na tentativa de recuperar um documento. O quanto poderia ter feito os diretores da empresa se tivessem maior conhecimento de computação? Estudo de caso Ainda que pesem os detalhes técnicos de um ataque, há muito mais envolvido. O caso do Stuxnet é um bom exemplo da amplitude que a detecção de um “vírus de computador”, mais especificamente um worm, pode representar. Leia o caso relatado a seguir, traduzido e adaptado de vários artigos sobre o assunto. O caso Stuxnet Em 2009 para 2010, houve um “ataque” digital que ficou famoso, por envolver espionagem da mais sofisticada forma (Schneier, 2010; Symantec, 2010; GROSS, 2011; ZETTER, 2011). No Irã, existe uma fábrica de purificação de urânio com cerca de 8700 centrífugas. Em um ano, o normal é que 10% delas se quebrem, ou seja, algo em torno de 800 centrífugas. Em janeiro de 2010, durante uma inspeção da Agência Internacional de Energia Atômica, os técnicos se surpreenderam com uma taxa muito acima de 10% – algo entre 1000 e 2000 teriam se quebrado em cerca de meses. O que estaria acontecendo? O que os inspetores não sabiam, naquele momento, era que a causa da quebra das centrífugas residia nos discos rígidos dos computadores que controlavam as centrífugas. Meses antes, em junho de 2009, alguém sorrateiramente instalou um worm nos computadores iranianos com um único objetivo: sabotar o programa de enriquecimento de urânio do país, atrapalhando os planos para que futuramente esse material seja utilizado para a construção de uma bomba atômica. Demoraria mais de um ano para que os inspetores soubessem disso. A resposta só apareceria após dezenas de pesquisadores de segurança computacional ao redor do mundo gastassem meses desvendando o que se tornaria conhecido como o mais complexo vírus de computador jamais escrito. Ele se tornou a primeira arma cibernética mundial. Entretanto, até chegar a essa descoberta, a história deu muitas voltas. Em 17 de junho de 2010, o técnico responsável por uma pequena empresa de segurança em Minsk, denominada VirusBlokAda, recebeu um relatório sobre uma máquina de um cliente no Irã que estava reiniciando repetidamente sem que fosse possível seu controle. Aparentemente, o problema era causado por um vírus. Eles detectaram um vírus e descobriram que ele se aproveitava de uma falha no Windows Explorer, que copiava o conteúdo de um arquivo parcialmente criptografado de um pen drive para dentro do computador assim que era inserido na porta USB. O impressionante era que a falha no Windows Explorer era conhecida e já havia sido utilizada anteriormente. A VirusBlokAda entrou em contato com a Microsoft e, em 12 de julho, enquanto preparava um conserto no Explorer, a falha foi tornada pública em um fórum de segurança. Empresas de segurança ao redor do mundo se empenharam em coletar amostras do vírus, que foi batizado como Stuxnet pela Microsoft. Enquanto as empresas estudavam seu código, mais detalhes surgiram. Havia três versões do vírus, que foi liberado para ataque um ano antes, junho de 2009. Duas versões se utilizavam de certificados roubados para poder se passar por código seguro. Por curiosidade, um dos certificados era da RealTek e outro da JMicron Technology, duas empresas situadas em um mesmo centro empresarial. Teriam os criadores do vírus invadido fisicamente os prédios das empresas para roubar os certificados? Ou teriam invadido suas redes? Isso ainda é mistério. Umas das empresas de segurança que descobriu o vírus com um dos certificados relatou nunca ter visto um esquema tão profissional. Quem estava por trás certamente tinha muitos recursos. Por outro lado, o objetivo do Stuxnet era simples de descobrir: atacar o Simatic WinCC Step7, um sistema de controle industrial desenvolvido pela Siemens. Ele é empregado para controlar válvulas, motores e chaves em qualquer tipo de indústria. Embora isso fosse novo em si, pois, aparentemente, não há retorno financeiro em atacar sistemas de controle, o que o vírus fazia era roubar detalhes da configuração e projeto do sistema invadido, permitindo que um competidor copiasse detalhes de um processo de fabricação, por exemplo. Nesse início de pesquisa sobre o vírus, o ataque se parecia mais com um caso de espionagem industrial. As empresas de antivírus adicionaram a identidade do worm aos seus sistemas e se esqueceram do assunto. Uma das empresas que produziram proteção para o Stuxnet foi a Symantec. Após produzir o antivírus, o caso passou para o gerente da equipe de resposta em segurança, responsável em verificar se as ameaças devem ser estudadas mais a fundo. A Symantec recebe mais de um milhão de arquivos maliciosos por mês, a maioria variações de vírus e worms já bem conhecidos. Esses são processados sem a intervenção humana. Contudo, os malwares que exploram vulnerabilidades ainda não detectadas são um caso à parte. Estes devem ser examinados à mão. E não foi a surpresa em perceber que o Stuxnet era muito mais complexo do que parecia. Várias camadas de software escondiam o código que explorava a falha no Explorer. Além disso, o tamanho do worm era de 500 KB, muito maior do que os comuns, que vão de 5 a 10 KBytes. Geralmente, malwares com esse tamanho contêm imagens, como as que são partes de uma página de banco, destinadas a enganar clientes e roubar seus dados de acesso. Entretanto, não havia imagens no Stuxnet. O código parecia ser um conjunto eficiente de comandos e dados. Esse fato atraiu o técnico mais experiente que, pessoalmente, passou a analisar o código. Essa equipe, com a experiência que tem, consegue rapidamente identificar a função de cada vírus e se tem um código bemfeito ou não. Stuxnet era o caso de um código bem-feito, construído ao redor de blocos, tornando-o fácil de ser atualizado e configurado. Além disso, sua capacidade de interceptar as chamadas da API do Windows e responder com seu próprio código sem este estar armazenado em arquivos tornava-o dificílimo de ser encontrado. Com toda a experiência de anos trabalhando nessa área, os técnicos da Symantec nunca tinham se deparado com algo tão sofisticado. Várias pistas levavam a acreditar que este worm era produto de um trabalho extremamente profissional. E apenas os primeiros 5 KBytes dos 500 disponíveis haviam sido examinados. Tudo levava a crer que, para continuar o exame, seria necessária que a equipe trabalhasse intensamente. Mas eles deveriam fazer isso? O trabalho das empresas de antivírus é detectar e eliminar o vírus, também impedindo que ele invada novos sistemas. O que o vírus faz fica em segundo plano. No entanto, a Symantec achou que era seu dever investigar mais a fundo esse worm. Parecia que o código era muito mais sofisticado do que os empregados para espionagem industrial. Era um desafio tentar desvendar seus mistérios. No momento em que a equipe do Estados Unidos acabou seus exames iniciais, eles despacharam uma atualização para o repositório de dados da empresa. A Symantec possui laboratórios nos Estados Unidos, Europa e no Japão. Com isso, há sempre uma equipe em horário de trabalho a postos para que pesquisadores de diferentes partes do mundo ameaças críticas. Além disso, o trabalho iniciado por um time continua sendo feito pelo outro, num trabalho que não se interrompe com a chegada da noite em um dos laboratórios. O time do Japão pegou o código e o estudou no fim de semana. Na segunda-feira, a equipe dos Estados Unidos continuou a análise. Uma das coisas que descobriram foi que o worm, toda vez que infectava um sistema, entrava em contato com um servidor em www.mypremierfutbol.com ou www.todaysfutbol.com, hospedados na Malásia e na Dinamarca. Eram enviados detalhes da máquina, como endereços de IP externo e interno, o nome do computador, sua versão de sistema operacional e se o sistema Simatic WinCC Step7 estava instalado. A partir desse momento, o worm conseguia receber informações externas, incluindo comandos para adicionar novas funcionalidades ou mesmo novos arquivos maliciosos. Os servidores desses endereços já tinham bloqueado o acesso, mas a Symantec solicitou que contatos vindos do worm fossem direcionados para servidores seus. Na terça-feira à tarde, informações provenientes dos computadores atacados já estavam sendo recebidos e compartilhados com outras empresas de segurança. Dentro de uma semana, 38.000 computadores reportaram terem sido invadidos. Em pouco tempo, eram mais de 100 mil máquinas infectadas. Mesmo com os bloqueios dos antivírus já atualizados para combater o worm, a praga estava se espalhando rapidamente. Um estranho padrão começava a surgir: das 38 mil máquinas infectadas, 22 mil eram do Irã; em um distante segundo lugar, a Indonésia, com 6.700 máquinas; em terceiro, a Índia, com 3.700 máquinas; e os Estados Unidos com menos de 400. Apenas uma quantidade pequena de máquinas tinha o software da Siemens instalado: 217 no Irã e 16 máquinas nos Estados Unidos. Em todos os padrões anteriores de infecção por um vírus, nunca o Irã tinha sido o alvo principal. Claramente este ataque era direcionado àquele país. Veja figura 1. A sofisticação do código, o uso de certificados roubados e o Irã como alvo, apontavam para um ataque entre governos. Podia ser até que os Estados Unidos estivessem envolvidos. Isto causou alguma preocupação, mas a Symantec estava interessada em proteger sistemas no mundo inteiro, é uma empresa particular e possui operações em muitos países. O worm estava causando efeitos colaterais em todo lugar, e isso era uma preocupação da empresa. Em agosto, uma nova surpresa, um pesquisador avisou que poderia haver mais falhas não documentadas que poderiam ser aproveitadas pelo Stuxnet. Uma delas residia no sistema de impressão compartilhada do Windows, uma outra, em arquivos relacionados ao teclado e a terceira, no gerenciador de tarefas. Além disso, o Stuxnet se aproveitava de uma senhapadrão do fabricante do Step 7, que era utilizada para acessar e infectar uma base de dados armazenadas em um servidor utilizado por este software e, a partir daí, infectar outras máquinas conectadas ao servidor. O worm também tinha características ainda não vistas. Uma delas era o fato de ele se alastrar apenas dentro de redes locais. Para alcançar outras redes, era necessário que um pen drive fosse utilizado. Aparentemente, o alvo inicial eram redes não conectadas à internet. Outro detalhe interessante era o fato de que cada amostra do worm continha todo um histórico de máquinas infectadas, permitindo descobrir a máquina que primeiro foi infectada. Isto permitiu descobrir que os ataques se concentraram em computadores de cinco organizações iranianas. Elas foram atingidas repetidamente em junho e julho de 2009 e em março, abril e maio de 2010. Entretanto, devido à forma com que invadiam as máquinas, ele infectou muito mais computadores, bem além dessas organizações. Todas as vulnerabilidades descobertas já eram de conhecimento das empresas de anti-vírus, mas a Microsoft ainda não havia consertado os problemas. Será que os autores do Stuxnet tinham contato com essas empresas para descobrir essas falhas e esperavam que a Microsoft nunca as consertassem? Ou será que eles compraram de hackers criminosos, que vendem essas informações no mercado negro? Uma falha dessas vale entre 50 mil a 500 mil dólares. Também é possível que eles mesmos tenham descoberto as falhas. Até esse momento, nas primeiras semanas de teste, ainda não era conhecido o motivo da criação do worm ou o que ele tenha feito além de se espalhar. Outro pesquisador da Symantec, especialista em engenharia reversa, começou a “descascar” o worm. Ele descobriu que o Stuxnet continha 15 componentes, todos embrulhados em camadas criptografadas. O Stuxnet decodifica e extrai cada componente de acordo com sua necessidade, dependendo das condições que ele encontra na máquina infectada. Também o Stuxnet continha uma data limite de atuação: 24 de junho de 2012. Cada vez que é executado, ele checa a data da máquina. Se for maior do que este limite, a execução do código é suspensa. A parte mais importante do Stuxnet é quando ele encontra o software Step 7 da Siemens. Ele então descarrega um arquivo DLL na máquina, denominado s7otbx. dll, que serve de depósito de funções utilizadas por diferentes partes do Step 7. Ao ser utilizado o sistema, novas funções comprometidas são então utilizadas. O Step 7 é empregado para programar controladores lógicos programáveis (PLC) utilizados em máquinas industriais. E era exatamente o que o worm fazia: sabotagem industrial. O problema era que o pessoal da Symantec não entendia de PLCs. Um PLC usa uma linguagem de programação denominada Statement List Programming Language (STL). Tentando achar alguém que pudesse ajudar, a Symantec publicou em seu site da internet um pedido de ajuda. Não houve resposta imediata. Duas semanas depois, a comunicação entre as máquinas infectadas no Irã e os endereços desviados que a Symantec criou para receber relatórios foi interrompida. Alguém no Irã não gostou da descoberta. Do outro lado do planeta, um alemão de 52 anos chamado Ralph Langner leu o post sobre o pedido de ajuda com o Step 7. Ralph sabia que milhares de clientes da Siemens tinham um assassino potencial em seus sistemas. A Symantec já havia avisado à Siemens, mas, incrivelmente, não obteve nenhuma resposta concreta da empresa, além de que montaria um time para analisar o worm. Após três semanas de pesquisa, Ralph e seus colegas chegaram à conclusão de que o Stuxnet era uma arma para atacar uma configuração específica de equipamento com precisão. Qualquer configuração diferente fazia com que o Stuxnet se desativasse e apenas tentasse se replicar. Estava claro para Ralph que o Stuxnet era produto de um governo com muitos recursos, com o conhecimento interno de seu alvo. Ralph esperava encontrar algo simples, como um ataque DoS, e não um sistema complexo como encontrou. Denial-of-Sevice (DoS): significa acessar repetidamente um endereço na web até que um servidor ou serviço não possa mais responder ou torne a resposta muito lenta para clientes legítimos. Para ele, claramente o ataque era endereçado a Bushehr, uma fábrica de enriquecimento nuclear no Irã, que estava para começar operação em agosto de 2010, mas que se atrasou. Ao questionar um colega em uma fábrica de centrífugas de enriquecimento sobre a possibilidade de danificá-las apenas manipulando o código de controle, este se recusou responder, dizendo que era uma informação classificada. Frank Rieger, chefe de tecnologia da GSMK, concordou com Ralph, mas concluiu que o ataque era direcionado a outra fábrica, Natanz. Esta já estava produzindo e apresentava maior risco de produzir material para armas nucleares. Ele também se lembrou de que o Wikileaks já tinha anunciado, em julho de 2009, que um sério incidente havia recentemente ocorrido em Natanz e que o chefe da Organização de Energia Atômica do Irã havia renunciado por razões desconhecidas. Mais algum tempo de pesquisa, descobriu-se que o Stuxnet era diferente de tudo que já havia aparecido em termos de malware. Era uma revolução. Nunca se havia deparado com um worm que se propagava sorrateiramente por meio de redes à procura de um único alvo. Por volta de novembro do mesmo ano, chegou-se a mais uma resposta do quebra-cabeça. Descobriu-se que o Stuxnet tentava comandar um equipamento denominado conversor de frequência. Cada fabricante tem um código próprio, o que torna fácil identificar o equipamento. Um deles era o conversor fabricado na Finlândia, com código 9500h; o outro fabricado no Irã, com código 7050h. Conversores de frequência controlam a velocidade de motores em equipamentos, como em furadeiras industriais. Aumentando-se a frequência, aumenta-se a velocidade do motor. O Stuxnet foi projetado para controlar exatamente isso. E mais, ele se concentrava em uma instalação com 33 ou mais conversores, operando em frequências entre 807Hz e 1210Hz. O worm fica parado por duas semanas, realizando reconhecimento do equipamento. Então, lança um ataque silencioso, aumentado a frequência dos conversores para 1410Hz por 15 minutos. Depois disso, retorna para a frequência normal. Um novo ataque só acontece após 27 dias, quando o Stuxnet ataca novamente e depois baixa a frequência para 2Hz por 50 minutos. O ataque então dorme por 27 dias, quando a mesma sequência recomeça. Fazer o sistema operar com tamanhas diferenças de frequências sugere que o Stuxnet estava tentando destruir o que estivesse ligado aos conversores. A equipe da Symantec fez uma pesquisa e descobriu que conversores que operam em frequências superiores a 600Hz têm exportação regulada nos Estados Unidos pela Comissão de Controle Nuclear. Todas as pistas levavam realmente para um ataque às centrífugas de enriquecimento nuclear. Em todo o processo de investigação, nenhum órgão ou empresa tentou censurar qualquer trabalho ou divulgação dos achados. Até hoje, não se conseguiu descobrir os criadores do worm, mas há suspeitas de que os governos dos E stados Unidos e de Israel possam estar por trás da façanha, uma vez que são os maiores interessados em destruir a capacidade nuclear do Irã. Uma declaração do presidente do Irã, em novembro de 2010, confirmou que as instalações de Natanz realmente foram sabotadas e que um número “pequeno” de centrífugas foram danificadas. Além disso, confirmou-se posteriormente que as centrífugas realmente trabalhavam com a frequência de 1064Hz. Em fevereiro de 2011, o worm já contava com 3.280 variações, que provavelmente geraram cerca de 12 mil infecções (SCHWARTZ, 2011). No entanto, a história do Stuxnet não acaba aqui. Em outubro de 2011, a Symantec foi alertada pela Universidade de Tecnologia de Budapeste da existência de uma nova ameaça, denominada Duqu. Supõe-se que foi criada para preparar o terreno para um próximo ataque Stuxnet. Ele usa uma arquitetura muito similar à do Stuxnet, e tudo indica que foi criado pelos mesmos autores. Para sua infecção inicial, ele se utiliza de um documento .doc recebido por e-mail que, ao ser aberto no MS Word, explora uma falha no sistema e consegue injetar um instalador no sistema operacional que decripta componentes adicionais (veja Figura 2). O funcionamento detalhar do Duqu pode ser encontrado em Symantec (2011b). Observe nesse relato que há implicações em todos os sentidos. Uma ameaça pode extrapolar em muito os muros de uma empresa, sejam eles físicos ou computacionais. Um firewall pode proteger uma instalação do mundo externo, mas pouco pode fazer de um ataque interno. No exemplo anterior, uma rede local poderia ter sido considerada segura, mas uma brecha explorada pela inserção de um simples pen drive foi negligenciada. No caso do Duqu, a invasão se dá pela abertura de um documento do Word, algo que explora a curiosidade de quem recebe um e-mail com um documento anexado. A apresentação desse caso, que se parece com uma investigação de uma estória de Sherlock Holmes, tem o intuito de mostrar, como veremos mais adiante, que os temas segurança e criação de antivírus tem muitos dos elementos presentes em uma investigação forense. Na verdade, é mais um ramo da Computação Forense, denominada Forensic Programming, que tem como atividade desvendar o funcionamento, intenção e autoria de um software. (SLADE, 2004, p. 5). Referências BARBARA, J. J. Handbook of digital and multimedia forensic evidence. 1. ed. [S.l.]: Humana Press, 2007. BUSINESS Dictionary. Downsizing. 2011. <http://www.businessdictionary. Disponível em: com/definition/downsizing.html>. Acesso em: 12 dez. 2011. CERUZZI, P. E. A history of modern computing. Cambridge, MA: MIT Press, 1998. FESTA, P. Can PC sleuths undo Enron shredding? 2002. Disponível em: <http://www.zdnet. com/news/can-pc-sleuths-undo-enron-shredding/120514>. em: 22 nov. 2011. Acesso GROSS, M. J. A Ddclaration of cyber-war. 2011. Disponível em: <http://www.vanityfair. com/culture/features/2011/04/stuxnet-201104?printable=true>. Acesso em: 3 jan. 2012. IBM. Resource access control facility. 2008. Disponível em: <http://www-03.ibm.com/ Acesso em: 13 nov. 2011. systems/z/os/zos/features/racf/>. HONG, J. The state of phishing attacks: looking past the systems people use, they target the people using the systems. Communications of the ACM, v. 55, n. 1, p. 74–81, jan. 2012. LIU, D.; VARSALONE, J. Cisco router and switch forensics: investigating and analyzing Burlington: Elsevier, 2009. malicious network activity. MITNICK, K. D.; SIMON, W. L. The art of intrusion: the real stories behind the exploits of hackers. Intruders and Deceivers. [S.l.]: Wiley, 2005. NATIONAL INSTITUTE OF JUSTICE. Electronic crime scene investigation: a guide for first responders. U.S. Dept. of Justice, Office of Justice Programs, National Institute of Justice. Estados Unidos, 2001. (NIJ guide). Disponível em: <http://books.google.ca/ books?id=MozcgnfZL7UC>. Acesso em: 3 jan. 2012. NEW YORK COMPUTER FORENSIC SERVICES. The computer forensic examination process. 2011. Disponível em: <http://www.newyorkcomputerforensics.com/learn/forensics_ process.php>. Acesso em: 10 jan. 2012. PROSISE, C.; MANDIA, K.; PEPE, M. Incident response and computer forensics. 2. ed. [S.l.]: McGraw-Hill/Osborne, 2003. SCHNEIER, B. The story behind the stuxnet virus. 2010. Disponível em: <http://www. forbes.com/2010/10/06/irannuclear-computer-technology-security-stuxnet-worm. html>. Acesso em: 12 dez. 2011. SCHWARTZ, M. J. Stuxnet Iran attack launched from 10 machines. 2011. Disponível em: <http://www.informationweek.com/news/security/229218562>. Acesso em: 6 dez. 2011. SHELDON, Tom; BIG SUR MULTIMEDIA. SNA: Systems Network Architecture. 2001. Disponível em: <http://www.linktionary.com/s/sna.html>. Acesso em: 25 nov. 2011. SYMANTEC. W32. Stuxnet. 2010. <http://www.symantec.com/security_ Disponível em: response/writeup.jsp?docid=2010-071400-3123-99>. Acesso em: 4 jan. 2012. ______. Symantec internet security threat report: trends for 2010. 2011. Disponível em: <https://www4.symantec.com/mktginfo/downloads/21182883_GA_REPO RT_ISTR_ Main-Report_04-11_HI-RES.pdf>. Acesso em: 27 nov. 2011. ______. W32. Duqu: the precursor to the next Stuxnet. 2011. Disponível em: <http://www. symantec.com/content/en/us/enterprise/media/security_response/ whitepapers/ w32_duqu_the_precursor_to_the_next_stuxnet.pdf>. Acesso em: 4 jan. 2012. TRCEK, D. et al. Advanced framework for digital forensic technologies and procedures. Journal of Forensic Sciences, Blackwell Publishing Ltd, v. 55, n. 6, p. 1471-1480, 2010. Disponível em: <http://dx.doi.org/10.1111/j.1556-4029.2010.01528.x>. Acesso em: 12 jan. 2012. WILLIAMS, M. Sony apologizes, details PlayStation Network attack. 2011. Disponível em: <http://www.computerworld.com/s/article/9216311/Sony_apologize s_details_ PlayStation_Network_attack>. Acesso em: 27 nov. 2011. YIN, S. 7 hackers who got legit jobs from their exploits. 2011. Disponível em: <http://www. linktionary.com/s/sna.html>. Acesso em: 27 nov. 2011. ZETTER, K. How digital detectives deciphered Stuxnet: the most menacing malware in history. 2011. Disponível em: <http://www.wired.com/threatlevel/2011/07/how-digitaldetectives-deciphered-stuxnet/all/1>. Acesso em: 6 dez. 2011. Autor: Prof. Dr. Mauro Notarnicola Madeira