PERÍCIA COMPUTACIONAL – FERRAMENTAS, TÉCNICAS DISPONÍVEIS E ESTUDO DE CASO1 Alex Sandro Weyer <[email protected]> Luiz Gustavo Galves Mählmann2 <[email protected]> – Orientador Universidade Luterana do Brasil (Ulbra) – Curso de Tecnologia em Redes de Computadores – Campus Canoas Av. Farroupilha, 8.001 – Bairro São José – CEP 92425-900 – Canoas - RS 28 de novembro de 2011 RESUMO Este artigo apresenta o estudo de ferramentas computacionais baseadas em software livre e as principais técnicas disponíveis em Perícia Computacional Forense. A partir deste será realizado um estudo de caso onde uma estação de trabalho é invadida mediante a instalação de softwares conhecidos como “bankers”, visando a proposta de uma metodologia de análise computacional forense empregando softwares livres. Palavras-chave: Perícia Computacional; Análise, Ferramentas Forenses, Bankers. ABSTRACT Title: “Computational Expertise – Tools, techniques and case study” This paper presents the study of computational tools based on free software and main technical expertise available in Computer Forensics. From this will be a case study where a workstation is invaded by the installation of software known as "bankers", to propose a methodology for computer forensic analysis using free software. Key-words: Computational Expertise; Analysis; Forensic Tools; Bankers. 1 INTRODUÇÃO Atualmente, os crimes virtuais estão cada vez mais comuns. Também deve ser considerado o fato de que com a evolução da tecnologia e da quantidade de acessos a internet disponíveis, tornou-se fácil a ação de criminosos que buscam invadir sistemas, tanto para obter dados pessoais dos usuários (dados bancários, por exemplo) quanto para criar um exército de computadores zumbis que ficam disponíveis para ataques massivos a um simples comando. Ultimamente, a invasão de máquinas clientes em busca de dados para acesso a sites de banco e ataques a diversos tipos de computadores para a criação de botnets (grupo de computadores infectados conectados a internet) tem chamado a atenção, não importando a motivação, seja ela para obter lucro imediato (mediante o uso de bankers, tipo de vírus que tem o objetivo de obter dados bancários de usuários) como para obter exposição na mídia e no mundo da internet (ataques de negação de serviço, principalmente). Em Agosto de 2011, uma notícia veiculada no site Linha Defensiva (CRISTINA, 2011) intitulada “Vírus brasileiro realiza transferência bancária sozinho e rouba 5 mil” relata que foi descoberto um vírus brasileiro que realiza transferência bancária sozinho de cinco mil reais da conta da vítima. Assim que o usuário faz acesso ao site do banco e entra com seus dados para ter acesso a conta online, o vírus faz automaticamente a transferência do valor para uma conta pré programada. O banco afetado informou que a conta não existia, mas já é um demonstrativo da capacidade destes novos vírus. Recentemente, diversos usuários, ao acessar a internet de seus computadores, começaram a perceber mensagens estranhas em seus navegadores. Quando os mesmos acessavam sites supostamente legítimos, eram direcionados a uma página solicitando a instalação de um malware (abreviação de malicious software, tipo de software que tem por objetivo causar danos a computadores). De acordo com Assolini (2011), alguns provedores de acesso brasileiros tiveram seus servidores de DNS (sigla em inglês para Sistema de Nomes de Domínio) comprometidos, tendo seus registros do tipo “A” (que “traduzem” nomes de domínio para endereços IP) dos principais sites acessados pelos usuários alterados para endereços falsos, através de uma 1 Artigo Final da disciplina de Projeto em Redes de Computadores, submetido ao curso de Tecnologia em Redes de Computadores da Universidade Luterana do Brasil, campus Canoas. . 2 Professor das disciplinas Tecnologia de Negócios na Internet e Desenvolvimento de Sistemas dos cursos de Ciência da Computação e Sistemas de Informação, na Ulbra Canoas e Ulbra Guaiba. 1 técnica chamada DNS Poisoning (“envenenamento” ou comprometimento de servidores DNS). Dado este cenário, têm-se observado a falta de expertise de nossos profissionais para lidar com estas situações, principalmente devido a certa carência de estudos a respeito. Os poucos que existem, em sua grande maioria, são em outros idiomas, o que acaba dificultando um pouco o aperfeiçoamento de peritos brasileiros. Este estudo tem por objetivo criar uma metodologia para perícia forense na análise e identificação de sistemas operacionais Windows infectados por programas maliciosos conhecidos como bankers (que servem para capturar senhas de bancos), keyloggers (para capturar tudo que é digitado) e programas relacionados, utilizando aplicativos Open Source (aplicativos de código fonte livre, sem restrições de direitos autorais). Com esta metodologia, pretende-se auxiliar peritos criminais, profissionais de segurança e demais profissionais envolvidos na busca por evidências que apontem para o uso destes softwares maliciosos. Para isso, será demonstrada a existência de ferramentas Open Source poderosas que permitem a análise avançada e a construção de provas a fim de identificar a existência de crimes virtuais bem como seus autores, utilizando-se de técnicas e procedimentos com embasamentos legais. Este estudo também demonstrará que por vezes torna-se impossível identificar os autores, devido a utilização de técnicas avançadas de mascaramento de rastros. Este artigo está dividido em sete sessões: Introdução, Ciência Forense, Metodologia, Estudo de caso, Resultados da Metodologia com o Estudo de Caso, Considerações Finais e Referências. A seção Ciência Forense aborda todos os conceitos estudados para a elaboração do trabalho, estatísticas de crimes cibernéticos e as ferramentas utilizadas. Na seção Metodologia é proposta a utilização de algumas ferramentas e métodos para a busca de evidências em cima de um determinado tipo de crime. A seção Estudo de caso traz um exemplo de cenário que será investigado com a metodologia proposta. Já na seção Resultados da Metodologia com o Estudo de Caso estão as evidências obtidas no decorrer da investigação realizada no estudo de caso com a metodologia proposta. A seção Considerações Finais expressa as idéias de conclusão do trabalho e na última seção são citadas as referências bibliográficas utilizadas na pesquisa. 2 CIÊNCIA FORENSE Ciência Forense é a ciência que atua para a justa resolução de um crime. A Ciência Forense se baseia em procedimentos científicos com o objetivo de obter evidências que possam ser úteis durante uma investigação com fins judiciais. A Ciência Forense proporciona os princípios e técnicas que facilitam a investigação do delito, em outras palavras: qualquer princípio ou técnica que pode ser aplicada para identificar, recuperar, reconstruir ou analisar a evidência durante uma investigação criminal utiliza a Ciência Forense. Ela cria hipóteses sobre o ocorrido para criar a evidência e realiza provas e controles para confirmar ou contradizer tais hipóteses. Para a Ciência Forense, há várias disciplinas que dão apoio e servem de molde para estabelecer os princípios fundamentais necessários para a resolução de um crime. Como dito anteriormente, a Ciência Forense é multidisciplinar, pois muitas vezes necessita do apoio de outras ciências para a devida análise de vestígios. O Juiz recorre a diversos elementos para formação de sua convicção e assim aplicar a lei da forma mais justa possível. É neste momento que entra a figura do Perito Forense, que utiliza seu conhecimento e o conhecimento de outros em diversas áreas para a correta identificação dos elementos presentes na cena do crime. A perícia é todo trabalho de natureza específica, especializado, que pode haver em qualquer área do conhecimento humano. É aplicado sempre que existirem controvérsias, e é realizado com o objetivo de obter prova ou opinião técnico-científico. Por meio de um exame, investigação, que resulta em um parecer, laudo pericial ou relatório, devidamente fundamentados, mostrando a verdade de forma imparcial e merecedora de fé, a fim de orientar uma autoridade formal, no julgamento de um fato. (FREITAS, 2006, p.1) São exemplos de áreas da Ciência Forense: A Ciência Química, que analisa, classifica e determina a natureza ou elementos de substâncias encontradas. Está ligada a Cromatografia e Espectroscopia; A Papiloscopia, que faz a identificação humana por meio das papilas dérmicas (saliências encontradas na pele de cada ser humano); 2 A Medicina Legal trata dos conhecimentos médicos necessários à aplicação da lei; A Patologia Forense estuda os problemas advindos de mortes de causa não natural e traumas causados. É a Patologia Forense que determina a causa da morte bem como a sua maneira; A Antropologia, ciência que auxilia na identificação do esqueleto e ossos, determinação da raça, idade, sexo; A Odontologia Forense, que auxilia na identificação através do exame de dentes e próteses dentárias; A Balística, que estuda o comportamento e o movimento dos projéteis e se divide em vários ramos como a balística forense, que se preocupa em estudar o comportamento dos projéteis e o exame dos traços relacionados com o uso de armas de fogo. Estuda também a possível relação com os vestígios encontrados em uma investigação criminal. Devido ao surgimento de novos recursos tecnológicos, assim como tivemos o surgimento de novas modalidades de crimes (crimes tradicionais praticados através de novos métodos, muitas vezes gerando uma nova terminologia criminal), a Perícia Forense têm utilizado novas técnicas, mais complexas, e que necessitam de profissionais mais especializados. A partir destes novos equipamentos/métodos torna-se possível auxiliar na investigação tanto dos crimes praticados de forma tradicional, quantos nesses novos modelos de crime, como por exemplo: A Cromatografia, que faz a separação de componentes químicos e que permite a identificação individual de cada substância; A análise do DNA (Ácido Dexosirribonucléico Nucléico), que é uma análise da substância existente no núcleo de todas as células humanas; A análise de explosivos (para identificação de seus componentes); A informática, com a crescente evolução da tecnologia, auxilia na identificação de criminosos utilizando softwares e computadores cada vez mais velozes no processamento de dados, como para realizar a análise de escutas telefônicas, análise de imagens, etc. 2.1 Perícia Forense Computacional A Forense Computacional pode ser definida como um conjunto de técnicas utilizadas para realizar a coleta, o agrupamento, a identificação, a documentação e a análise de evidências digitais processadas, armazenadas ou transmitidas por meios computacionais. O termo perícia forense está ligado ao mundo policial, e até pouco tempo atrás não tinha relação com a computação. Mas devido a contínua revolução tecnológica e ao aumento do uso do computador e da internet, houve uma explosão de novos crimes cometidos por pessoas que descobriram e aprenderam a utilizar ferramentas específicas para tal fim. Tais indivíduos se beneficiam pelo pseudo anonimato que a Internet proporciona para praticar crimes. Devido a essa nova necessidade, é que surgiu a Perícia Forense Computacional. Segundo Vacca (2002, p.38), “Computadores podem ser utilizados para uma variedade de crimes, incluindo crimes do colarinho branco, crimes violentos como assassinato e terrorismo, espionagem industrial e tráfico de drogas”. Percebeu-se também que computadores poderiam ser utilizados para cometer fraudes financeiras, seja invadindo sistemas e adulterando informações, seja ludibriando usuários e levando os mesmos a fornecer informações bancárias para os criminosos desviarem dinheiro de contas. A Perícia Forense é uma área relativamente nova e tornou-se uma prática investigativa importante, tanto para as empresas quanto para a polícia. Utiliza-se de métodos científicos para identificar, preservar, analisar e documentar evidências localizadas em computadores e outros dispositivos eletrônicos. Alguns procedimentos, padrões e métodos devem ser seguidos pelo perito para assegurar que a evidência não seja comprometida, substituída ou perdida. Porém, se os mesmos não forem seguidos, os juízes poderão considerar as evidências inadmissíveis, os advogados de defesa poderão contestar sua legitimidade, e o caso poderá ser prejudicado. De acordo com Freitas (2006), a Perícia Forense possui quatro procedimentos básicos: todas as evidências devem ser identificadas, preservadas, analisadas e apresentadas. As tarefas envolvidas em uma investigação se enquadram em um destes grupos, como podem ser realizadas através da maioria ou de todas elas. 3 A figura 1 detalha as ações que são realizadas em cada uma das quatro etapas do ciclo de investigação forense. Figura 1 – As quatro etapas de uma investigação. (FDTK, 2011) Existem diversas ferramentas para o auxílio da análise, estas capazes de recuperar um arquivo apagado ou modificado. Determinadas ferramentas mostram também os processos em execução no sistema operacional e suas conexões estabelecidas no momento, bem como existem ferramentas que identificam os dados comprometidos pelo atacante e determinam o momento em que o sistema foi comprometido. Assim como existem ferramentas de análise forense, existem ferramentas de antiforense e técnicas anti-forense, onde sua função é deixar o menor volume de rastros ou evidências da invasão de um atacante. Exemplos de ferramentas que auxiliam o atacante a tentar mascarar suas ações são os chamados rootkits, os quais são um conjunto de softwares específicos para dificultar o trabalho do analista. Eles podem modificar ou remover informações dos logs do sistema, instalar backdoors (meios de acesso sem autorização, ou seja, uma porta escondida para o atacante voltar a fazer um ataque) em arquivos binários, e ainda criar contas de acesso com permissões privilegiadas que possibilitem a administração remota do sistema. 2.2 Tipos de crimes cibernéticos No mundo cibernético, alguns tipos de crimes são muito comuns, como os relacionados abaixo: Dos (DoS – Denial of Service) - Um ataque de negação de serviço consiste em utilizar um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede. Normalmente este tipo de ataque tem como alvo principal servidores Web; Invasão - Um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. Utiliza das mais diversas técnicas para obter êxito, como ataques de buffer overflow; Fraude - De acordo com definição do Dicionário Houaiss da Língua Portuguesa, é “qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro”. Este tipo de crime é comumente cometido com objetivos financeiros, seja empregando o uso de malwares (como cavalos de Tróia e bankers) ou com o uso de páginas falsas para ludibriar os usuários; Phishing Scam - É um tipo de crime que pode ser considerado uma subcategoria de Fraude. É um mecanismo criminoso que emprega engenharia social e técnicas de subterfúgio para roubar dados pessoais e dados bancários de usuários. Utilizam técnicas de engenharia social principalmente com e-mails falsos que pretendem ser de empresas legítimas e bancos para levar os usuários a sites falsificados feitos para enganar e forçar o usuário a divulgar dados de acesso, tais como usuários e senhas. Ou ainda realizar a instalação de cavalos de tróia para interceptar tudo que for digitado na máquina ou para alterar a rota de acesso a sites bancários, levando o usuário a pensar que está em um site de banco legítimo, mas na verdade está acessando um site falso hospedado em servidor não legítimo. Disseminação de vírus, cavalos de tróia, malwares em geral - O criminoso utiliza de métodos como envio de e-mails em massa contendo links maliciosos, para que o usuário faça download de determinado artefato e instale em sua máquina. Tais artefatos são feitos para executar alguma 4 ação danosa no computador, e são classificados como: vírus, worm, adware e spyware, keylogger e screenlogger, trojan, backdoor e rootkit. No mundo cibernético, ficou muito comum também casos de Pedofilia, devido a facilidade de se criar e manter sites que contenham imagens “com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente” (Art. 241, Lei 8069/2003). Podemos incluir também casos de calúnia, injúria, difamação, racismo, pirataria (músicas, filmes, software e hardware) com o auxílio de computadores e a Internet, ocorrendo principalmente em redes sociais. 2.2.1 Estatísticas Baseado em pesquisas na organização denominada Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil – CERT.br (Cert, 2011) pode-se constatar que houve um aumento muito grande de incidentes de segurança nos últimos anos, conforme demonstrado na figura 2. Figura 2 – Total de incidentes reportados de 1999 a 2011 Em 2010 nota-se que houve expressiva queda no número de incidentes reportados ao CERT.br. “A redução das notificações de tentativas de fraudes, que levou à queda no total de 2010, está relacionada à queda das notificações de eventuais quebras de direitos autorais, através de distribuição de materiais em redes P2P.” (CERT.br, 2011) A figura 3 apresenta um gráfico, com dados extraídos do site do CERT.br, que mostra a evolução quantitativa dos tipos crime (crimes listados já apresentados na seção 2.2. A legenda "Outros" representa os incidentes que não se enquadram nas categorias de crimes apresentadas). Figura 3 – Tipos de ataques 5 As figuras 4 e 5 foram extraídas do site CERT.br e mostram o percentual de tentativas de fraudes reportadas no ano de 2009 e no de 2010. Comparando os dois gráficos, nota-se um crescimento percentual significativo no número de páginas falsas perante o total de fraudes reportadas (em 2009 representava 2,50% e em 2010 este valor saltou para 39,18% do total de fraudes): Figura 4 – Tentativas de fraudes reportadas no ano de 2009 Figura 5 – Tentativas de fraudes reportadas no ano de 2010 Alguns indicadores de phishing scam interessantes registrados pelo CERT.br seguem na tabela 1. Tabela 1 – Indicadores de casos de phising 2009 2010 Diferença Número de casos 3266 7949 143,39% Bancos como alvo 1868 5803 210,65% Outros Alvos 1398 2146 53,51% URL´s 3153 7817 147,92% ASs 356 743 108,71% Domínios 1579 4788 203,23% Endereços IP 1313 3493 166,03% Analisando o conjunto de ataques, pode-se observar que os mais comuns são os que empregam páginas falsas, que geralmente são de bancos brasileiros e a instalação de cavalos de tróia, ambos com objetivos financeiros. Segundo notícia veiculada no site da Febraban (FEBRABAN, 2011), “as perdas com fraudes bancárias realizadas por meio eletrônico somaram R$ 685 milhões no primeiro semestre de 2011, o que representa um aumento de 36% em relação ao mesmo período do ano passado, que foi de R$ 504 milhões”. Isso demonstra que este tipo de ataque tem se tornado muito comum, especialmente no Brasil. Segundo a Symantec, no ano de 2010 os ataques do tipo web attack toolkits (conjunto de ferramentas feitas para que pessoas com conhecimentos básicos de rede e computadores possam realizar ataques) tiveram um crescimento de 93%, principalmente com a explosão de URL´s encurtadas, que acabam “mascarando” o endereço verdadeiro de determinado link. 2.3 Recursos e Ferramentas Assim como a tecnologia dos últimos anos está evoluindo a passos largos, as infrações, invasões, roubo de informações confidenciais e as tentativas de invasão também acompanham esse crescimento. Com 6 isso, a necessidade do auxílio de ferramentas mais modernas e com mais recursos para a investigação se torna obrigatória. Os peritos forenses computacionais necessitam de uma metodologia de padronização, desde a obtenção de evidências, passando pela padronização de laudos até a apresentação das mesmas perante a justiça. Para isso, serão apresentados neste capítulo os seguintes tipos de ferramentas Open Source: Ferramentas de análise de memória RAM; Ferramentas de análise de captura de disco (offline); Live CDs, agrupando os dois tipos de ferramentas citadas acima. Tais ferramentas têm auxiliado muito o trabalho de técnicos, administradores de rede, profissionais de segurança da informação em geral e claro, os peritos forenses. Hoje em dia pode-se observar que há uma ferramenta para cada necessidade, seja ela para recuperar arquivos apagados, analisar processos em memória, localizar seqüencias de texto específicas em cada arquivo, etc. 2.3.1 Ferramentas de Forense de memória RAM Com o crescimento do número de casos e o aumento da capacidade de armazenamento dos discos rígidos, a perícia tradicional (forense de disco) tem se tornado inviável. Assim como muitas evidências armazenadas na memória volátil da máquina (memória RAM) não podem ser perdidas, sob o risco de inviabilizar a investigação. Por isso, as ferramentas de forense de memória RAM são um recurso à parte no auxilio do trabalho do perito, especialmente na busca por evidências em casos de infecções por softwares maliciosos. Através da captura dos dados armazenados neste tipo de memória (gerando um arquivo dump), é feito a análise desta imagem em um ambiente confiável (livre de infecções por outros softwares maliciosos). Tais ferramentas normalmente possuem a capacidade de trazer os processos em execução no momento da captura, as conexões de rede estabelecidas, os soquetes de rede abertos, as DLL´s (Dynamic Link Libraries) carregadas para cada processo, arquivos abertos (separando por processo), dentre outros. Há a possibilidade também de ser feito um dump de determinado processo que estava em execução para posterior envio a sites de análise de binários, que fazem a identificação deste tipo de arquivo a fim de confirmar se o mesmo é malicioso ou não. As principais ferramentas para coleta de imagens de memória são: Memoryze - Kit de ferramentas gratuitas desenvolvidas pela empresa Mandiant que auxilia aos que respondem a incidentes pela procura de malwares em memória em sistemas Windows. O Memoryze pode capturar e analisar imagens de memória RAM e em sistemas “ao vivo” pode analisar inclusive o arquivo de paginação. Como vantagem possui uma ferramenta que faz a pontuação de cada processo em execução: quanto maior essa pontuação, maior a chance daquele processo ser um malware. Audit Viewer - Ferramenta Open Source que trabalha em conjunto com a ferramenta Memoryze e permite aos usuários configurar, executar e visualizar os resultados da coleta de memória. Como a ferramenta Memoryze gera relatórios em formato XML, complicados de se visualizar, o Audit Viewer transforma estes relatórios em um formato Human Readable, agrupando dados e tornando a perícia mais rápida e fácil. Além das tradicionais características que as ferramentas de captura e análise de memória têm, o Audit Viewer possui a capacidade de traduzir e aplicar as assinaturas da ferramenta Snort para melhor identificação de cada processo. Possui também a capacidade de exibir determinados tipos de drivers (especialmente os que servem para capturar o que é digitado e clicado na tela) e possui um serviço chamado MRI (Integrated Malware Rating Index), uma espécie de ranking de malwares útil para identificar facilmente artefatos maliciosos. RedLine - Utilitário desenvolvido pela Mandiant que se integra ao Memoryze e serve para acelerar e facilitar o processo de análise de imagens de memória e resultados gerados pelo Memoryze, através de uma interface gráfica construída para facilitar a captura de imagens de memória e a visualização dos resultados. Memdump - Ferramenta de dump de memória desenvolvido pela Apsoft para sistemas baseados em Unix. Volatility Framework - O Volatility Framework, desenvolvido pela Volatile Systems, é uma coleção Open Source de ferramentas implementadas em Python sobre a licença GNU para a extração de artefatos digitais de amostras de memória RAM. No Volatility não há ferramenta para captura da imagem de memória, apenas ferramentas para análise destas. A técnica de extração é 7 completamente independente do sistema a ser investigado e apesar disso oferece total visibilidade do estado atual de execução do sistema. Segundo o autor, o framework Volatility é a única ferramenta de captura e análise de memória que consegue listar os serviços de sistemas operacionais Microsoft Windows. Moonsols - Ferramenta de dump de memória para sistemas Windows, desenvolvido em duas versões pela empresa Moonsols: Professional e Community. A Professional é a versão paga, e possui alguns recursos que a versão gratuita, a Community, não possui, tais como a conversão de dumps de memória de sistemas 64 bits, conversão de arquivos de hibernação para o formato de dump de memória, etc. 2.3.2 Ferramentas de Forense de captura de disco As ferramentas computacionais forenses deste tipo servem para analisar os dados que foram capturados de um equipamento desligado (também chamado de captura postmortem). É feito uma cópia bit a bit do disco rígido (ou outra mídia qualquer) e então com ferramentas específicas faz-se a varredura por provas para o caso. A cópia é necessária para que os dados originais armazenados no dispositivo não corram o risco de serem modificados, comprometendo a integridade das provas e por conseqüência a investigação como um todo. As principais ferramentas para este tipo de análise são: Guymager - Ferramenta gráfica para aquisição de imagens de disco. Gera imagens de diversos formatos (como os formatos dd, EWF e AFF); Dd - Ferramenta nativa de sistemas Unix que roda em modo texto para aquisição de imagens de disco; Dc3dd - Versão aprimorada do utilitário dd, possui diversas melhorias em relação ao seu utilitário de origem, e algumas funções novas, como split de imagens, indicador de progresso de cópia, etc. Possui a versão gráfica dc3ddgui para facilitar o processo de captura; Slocate - Ferramenta nativa de sistemas Unix que serve para localização de arquivos e indexação de disco. O comando slocate cria um banco de dados contendo a listagem de arquivos do sistema e sua localização na estrutura de diretórios; Mac-robber - Ferramenta que serve para a coleta de dados em arquivos alocados. Estes dados podem ser utilizados pela ferramenta mactime para a criação de uma linha de tempo; Nmap - Ferramenta para exploração de rede e auditoria de segurança. Serve para realizar varredura em redes completas ou mesmo um host individual e descobrir portas abertas, serviços rodando e também o sistema operacional da máquina; Rkhunter - Ferramenta que serve para a identificação de rootkits, backdoors e possíveis exploits em sistemas; PTK - Ferramenta gráfica, baseada na Web, desenvolvida pela empresa DFLabs que utiliza os comandos da ferramenta TSK (que serve para investigar o conteúdo de sistemas e arquivos). Trabalha normalmente em conjunto com o Autopsy Forensic Browser; Md5sum - Ferramenta nativa em sistemas Unix (há versões para Windows também) que serve para geração de hashes md5, permitindo a garantia da integridade de determinado arquivo mediante comparação do hash gerado; Ntfsundelete - Ferramenta gráfica desenvolvida pela empresa eSupport para recuperação de arquivos deletados em sistemas de arquivos NTFS; Extundelete - Ferramenta para recuperação de arquivos em partições Ext3 e Ext4; Photorec - Ferramenta especializada em recuperação de arquivos de foto e vídeo. A ferramenta ignora o sistema de arquivos e faz a busca bit a bit permitindo a busca mesmo em sistemas de arquivos danificados. 2.3.3 Ferramentas de Forense baseadas em Live CD Live CD´s de Forense Computacional são ferramentas muito práticas e importantes para o trabalho do perito e dos que respondem a incidentes de segurança. Normalmente trazem todas as ferramentas necessárias para as quatro etapas da investigação, porém alguns são focados para análises mais específicas, como análises de imagens de memória RAM capturadas. Dentre todos os inúmeros Live CDs existentes, foram selecionadas três distribuições para estudo: Caine - Sigla de Computer Aided Investigative Environment, é um projeto italiano baseado na 8 distribuição Linux Ubuntu criado em 2008 por Giancarlo Giustini para o Centro de Investigação sobre Segurança da Universidade de Modena, na Itália. Possui as principais ferramentas para forense a frio, mas poucas para análise de memória. Pode ser utilizado como Live CD ou ser instalado em uma estação de trabalho. O Caine possui mais de 100 ferramentas voltadas a Forense Computacional e também possui ferramentas para análise de arquivos do software Microsoft Office. De acordo com o site do desenvolvedor, os principais objetivos da ferramenta são: a) Um ambiente operacional no qual auxilia o investigador digital durante as quatro fases da investigação digital; b) Uma interface amigável; c) Uma compilação semi-automática do relatório final. FDTK - Sigla de Forensic Digital Toolkit, o projeto FDTK-UbuntuBR foi criado por Paulo Neukamp durante a elaboração do trabalho de conclusão do curso de Graduação Tecnológica em Segurança da Informação na Universidade do Vale do Rio dos Sinos (UNISINOS). É uma distribuição Linux criada a partir da já consagrada distribuição Ubuntu, e reúne mais de 100 ferramentas capazes de atender a todas as etapas de uma investigação em Live CD e também pode ser instalada em um computador transformado-o em uma estação forense. Essa distribuição está em constante desenvolvimento e caracteriza-se não apenas pela quantidade de ferramentas, mas também por uma interface amigável, estruturada conforme as etapas do processo de perícia e, ainda pela preocupação com o idioma português; SIFT - Sigla de SANS Investigative Forensic Toolkit, é uma distribuição Linux pré-configurada para investigações forenses. Criado em parte por Rob Lee´s, atualmente está na versão 2.0 e contém (segundo o autor) todas as ferramentas necessárias para realizar as quatro etapas da investigação pelo perito forense. Possui especial atenção para as ferramentas forenses de memória (captura de memória de sistemas “a quente”), trazendo consigo as ferramentas Volatility facilitando a Perícia neste tipo de análise. O SIFT vem em dois formatos, Live CD e Appliance de máquina virtual para execução em máquinas virtuais compatíveis com as do software VMWare. 3 METODOLOGIA A metodologia proposta neste trabalho aplica-se para casos de contaminação por softwares maliciosos conhecidos como bankers. Abrange basicamente a captura da memória RAM (dump) e sua posterior análise com as ferramentas de forense de memória que vêm instaladas por padrão na distribuição SIFT. Esta técnica foi escolhida, pois é a que permite, atualmente, analisar a máquina infectada como se estivesse “ao vivo”, mas com a grande vantagem de que nada será alterado. Com a forense de disco, neste caso, teríamos uma série de limitações, como a impossibilidade de localizarmos as conexões de rede ativas, os processos em execução, etc. No estudo de caso, não estamos buscando um arquivo ou informação salvos em disco, e sim, as rotinas que o artefato mantém quando em execução. Um banker, utilizando modernas técnicas de antiforense, pode monitorar os comandos executados no sistema infectado. Como exemplo, ao rodar o comando netstat (ferramenta da Microsoft que serve para listar as conexões estabelecidas no momento), o artefato pode perceber que está sendo “investigado” e automaticamente faz uma “limpeza” no sistema de modo que não fique nenhum rastro, inviabilizando a investigação. Por isso a metodologia de forense de memória é a mais indicada para esta situação. Para esta metodologia foi escolhida a distribuição SIFT em conjunto com as ferramentas Moonsols e Volatility Framework para fazer a análise do dump de memória e trazer a maior quantidade de evidências disponíveis. Estas ferramentas foram escolhidas pela facilidade de uso, por estarem agrupadas em uma única distribuição de Live CD e por possuírem todas as funcionalidades necessárias para analisar o estudo de caso proposto. A metodologia foi separada em etapas, conforme segue abaixo: 1º Etapa: Captura da imagem de memória. Com um pendrive previamente formatado, copiar o kit de ferramentas Moonsols para o mesmo; Inserir este pendrive na máquina a ser investigada (a vantagem de inserir um pendrive é que o dump de memória pode ser salvo no mesmo); Executar o comando a partir de um prompt de comando: 9 win32dd /f e:\Memory.img, onde: win32dd – executável do kit de ferramentas para realização do dump; /f – parâmetro que define o salvamento do dump em disco; E:\Memory.img – caminho e nome do arquivo de dump. 2º etapa: Preparação das ferramentas de análise de imagem de memória. Utilizar uma estação de trabalho diferente da analisada, e realizar o boot com o Live CD SIFT; Após o boot ter sido concluído, realizar login com o usuário “sansforensics” e a senha “forensics”. Logo em seguida, o shell de comando do Linux é aberto. De posse do pendrive contendo o dump de memória, insira o mesmo na máquina. A ferramenta/framework Volatility é baseada em linhas de comando, onde basicamente sua sintaxe é a seguinte: Vol.py <comando> <parâmetros> <caminho e nome do arquivo de dump> <saída do resultado (opcional)> Alguns comandos úteis da ferramenta (e utilizados neste trabalho): Pslist - Lista todos os processos do sistema operacional em execução no momento da captura da imagem; Connections - Traz todas as conexões de rede estabelecidas e ativas; Connscan - Além de trazer as conexões de rede estabelecidas e ativas, traz também as encerradas; Files - Lista todos os arquivos abertos por cada processo; Procexedump - Realiza o dump de determinado processo para posterior análise; Regobjkeys - Lista as chaves de registro abertas; Dlllist - Lista as DLL´s em uso; Handles - Lista os handles (referências de arquivos e diretórios) abertos por determinado processo. 3º etapa: Listagem dos processos em execução. Afim de identificar algum processo suspeito, roda-se o comando: vol.py pslist –f /media/PEN8GB/memory.img Como a busca de processos suspeitos, nesta etapa, é mais visual, aqui entra um pouco da expertise do investigador, onde através do nome de cada processo é possível identificar se é um processo legítimo do Windows, de algum software de terceiro, ou ainda de um malware. 4º etapa: Listagem de conexões estabelecidas, ativas e encerradas. Rodar o comando: vol.py connections –f /media/PEN8GB/memory.img (traz somente as conexões ativas) vol.py connscan –f /media/PEN8GB/memory.img (traz conexões ativas e também as encerradas) Nesta etapa, tentar identificar endereços IP, portas utilizadas e quais processos estão ou estiveram com conexões abertas. 5º etapa: Listagem de arquivos abertos por determinado processo. Identificado o processo suspeito a ser investigado, rodar o comando abaixo referenciando o PID (Process Identifier) do mesmo através do parâmetro -p. vol.py files –p 2028 –f /media/PEN8GB/memory.img Verificar nesta etapa quais arquivos estão abertos pelo processo suspeito, identificando a existência de arquivos exclusivos do sistema operacional. 6º etapa: Realizar dump de determinado processo para análise. Para a confirmação de que determinado processo suspeito é um malware, podemos submeter o mesmo ao serviço de análise de binários do site VirusTotal (HISPASEC, 2011). Primeiramente rodar o 10 comando: vol.py procexedump –p 2028 –f /media/PEN8GB/memory.img --output-dir /media/PEN8GB/ Com o arquivo salvo, submeter ao site VirusTotal (conforme figura abaixo) e verificar os resultados. Figura 7 – Site do serviço VirusTotal com os passos a serem seguidos 7º etapa: Listagem das chaves de registro abertas por determinado processo. Para realizar a análise das chaves de registro abertas pelo processo suspeito, rodar o comando: vol.py regobjkeys –p 2028 –f /media/PEN8GB/memory.img 8º etapa: Preparação para análise com a ferramenta PTK. Nas próximas etapas utilizaremos os recursos de análise de memória da ferramenta PTK, que vem em conjunto com a distribuição SIFT. Preparação para a análise: Ainda dentro do ambiente do Live CD, acessar o endereço <http://localhost/ptk/index.php> através do navegador; Utilizar as credenciais admin (para o usuário) e forensics (para a senha); Na tela seguinte em “Case Gallery”, adicionar um caso novo; Em “Images Management”, adicionar a imagem a ser analisada (no nosso caso, o arquivo dump da memória RAM); Selecionar o tipo de imagem como “RAM Dump” e selecionar o fuso horário correto da máquina que foi capturada; Clicar em “Analyse Image”. 9º etapa: Listagem de processos ativos. Na aba “Ram Analysis”, selecionar “psscan” em “Choose Analysis Type”; Esta ferramenta traz a lista de processos ativos. O que nos interessa nesse caso é o campo offset, que faz a referência ao processo suspeito a ser investigado (próximo passo). 10º etapa: Maiores informações a respeito de processos suspeitos. Em “Choose Analysis Type”, selecionar “vadinfo” e no campo “offset”, colar o que foi copiado na etapa anterior. Com esta ferramenta, podemos obter maiores informações a respeito do processo suspeito, como a pasta onde o mesmo está em execução e arquivos abertos. 11 11º etapa: Procura por strings na memória. A busca por strings na memória é útil para a obtenção de maiores provas contra o criminoso, pois podemos encontrar informações como endereços de e-mail, url´s de servidores que estão sendo utilizados para envio/armazenamento de informações coletadas, etc. Para realizar a busca, deve-se ir à aba “Keyword Search” e no campo “string” digitar o termo a ser pesquisado. Repetir o procedimento para cada termo a ser pesquisado. 12º etapa: Geração do relatório com as provas encontradas. Na aba “Reports” é gerado o relatório com todas as evidências levantadas pelas ferramentas que foram utilizadas. Este relatório será útil caso seja necessário o envio destas evidências encontradas para as autoridades. 4 ESTUDO DE CASO Neste capítulo será demonstrada a parte prática do trabalho. O objetivo deste estudo é testar os conhecimentos adquiridos ao longo do trabalho tentando se aproximar ao máximo da realidade. 4.1 Cenário Proposto O estudo de caso foi feito em cima de um incidente muito comum no cenário tecnológico de segurança atual: a contaminação por softwares maliciosos de uma estação de trabalho, executando sistema operacional Windows XP. Um usuário comum recebe um e-mail supostamente de um banco (coincidentemente onde o usuário possui conta) solicitando que seja feito o download de uma ferramenta para “sincronizar” o seu cartão de segurança (cartão de chaves de segurança é um recurso muito utilizado por diversos bancos para tornar o acesso ao bankline mais seguro e confiável). Neste e-mail, há o link para download de um artefato, que depois de executado não “faz nada de estranho”. Este cenário não representa, diretamente, uma cena de crime tradicional. O alvo da investigação é uma estação de trabalho (de empresa ou mesmo de um usuário doméstico), e não um computador de um criminoso, que teria sido apreendido mediante autorização judicial, lacrado e enviado para a perícia para a procura de provas. O que está sendo investigado são as técnicas que os criminosos utilizam para invadir este tipo de máquina, como são coletadas as informações sensíveis que eles procuram e por fim tentar descobrir quem está por trás disso, localizando o receptor destas informações. 4.2 Preparação A máquina para o estudo de caso foi montada conforme instalação padrão, de modo que se tornasse um alvo fácil. Não foi instalado nenhum tipo de antivírus a fim de evitar qualquer tipo de interferência na execução dos artefatos. A estação de trabalho do caso estava conectada diretamente a internet, sem passar por nenhum firewall. Segue abaixo a configuração do equipamento: Processador Intel Core 2 Duo T5670; 1 GB de memória Ram; HD de 20GB; Sistema Operacional Windows XP Professional, Service Pack 3. Logo após a máquina estar pronta para uso, foi executado o banker conhecido como TrojanDownloader.Win32.Banload.mc encontrado no link que veio com um e-mail supostamente enviado pelo banco, conforme exemplificado na figura 6: 12 Figura 6 – E-mail falso com link para o artefato suspeito Após a preparação, foi feita a análise investigativa da máquina seguindo a metodologia proposta neste trabalho. A investigação consistiu no seguinte: a) b) c) d) 5 Descobrir com que tipo de artefato a máquina foi infectada; Quais efeitos o mesmo provoca no sistema operacional; Como é feito o envio das informações coletadas; Qual é o destino de tais informações. RESULTADOS DA METODOLOGIA COM O ESTUDO DE CASO Após a aplicação da metodologia proposta no estudo de caso, pôde-se obter uma série de evidências que auxiliaram na correta identificação tanto do crime cometido quanto do criminoso, e que serão apresentadas no decorrer deste capítulo. Para a execução da distribuição SIFT, rodando no modo Live CD, foi utilizado um notebook com a seguinte configuração: Processador Intel Centrino Duo @ 2.0 Gigahertz; 2 Gigabytes de memória Ram; Disco Rígido de 120 Gigabytes. Na primeira etapa, foi capturada a imagem de memória a partir do sistema a ser investigado com a ferramenta Moonsols. O comando executado e o arquivo gerado estão reproduzidos na figura 8. Figura 8 – Comando win32dd e o arquivo de dump gerado 13 Na segunda etapa a preparação para o início da análise do dump de memória foi feita utilizando o Live CD da distribuição SIFT. A tela inicial da mesma é apresentada na figura 9, logo após o boot ter sido concluído. Figura 9 - Tela inicial da distribuição SIFT Com a etapa de número 3, observaram-se os processos em execução no sistema e por análise “visual” foram identificados pelo menos quatro processos suspeitos, chamados loadne.exe, loadwe.exe, loadwa e loadb.exe, conforme figura 10: Figura 10 – Lista de processos em execução Na etapa de número 4, foram identificadas as conexões ativas no momento da captura. Com a ferramenta connections, podemos identificar conexões ativas, a partir de qual processo cada conexão foi aberta bem como em qual endereço IP cada processo está conectado. Abaixo a figura 11 com o resultado: 14 Figura 11 – Lista de conexões ativas Na mesma etapa, com o comando connscan2 podemos também observar as conexões que já foram encerradas (mas que mantiveram objetos TCP na memória), exemplificados na figura 12: Figura 12 – Lista de conexões ativas e encerradas Através da análise desta etapa, nota-se que há diversas conexões abertas, inclusive na porta 25. Pelo PID do processo, constata-se que é o processo services.exe, onde segundo Neuber (2011), este arquivo é do sistema operacional e serve apenas para controle de serviços, e não se conecta a Internet. Muito menos na porta 25 (para envio de e-mails, através do protocolo SMTP). Ainda no mesmo processo, notou-se que o mesmo estava conectado ao endereço 65.55.92.136, que de acordo com Robtex (2011), é o endereço IP utilizado pelos servidores de MX do serviço de e-mail gratuito Hotmail. Também conforme Robtex (2011), o endereço IP 67.204.190.202 é da empresa Yoursite, que hospeda sites e serviços Web. O processo PID 796, svchost.exe, está conectado no endereço IP 65.54.51.251. Conforme Arin (2011) o endereço IP aponta para um dos servidores do serviço Windows Update da Microsoft, sendo neste caso um serviço legítimo. Com a etapa de número cinco, temos o resultado da consulta de arquivos abertos pelo processo suspeito, conforme a figura 13: Figura 13 – Lista de arquivos abertos Nota-se que o processo 2028 (arquivo suspeito loadne.exe) manipula diversos arquivos, incluindo o arquivo index.dat, que segundo Wikipedia, (2011), é utilizado exclusivamente pelo aplicativo Microsoft Internet Explorer. Com isso, podemos perceber que o arquivo realmente não é um processo legítimo do Windows. 15 Na etapa de número seis, foi realizado o dump de um dos processos suspeitos para análise, onde posteriormente foi submetido ao serviço de análise de binários do site VirusTotal. O resultado da análise está parcialmente reproduzido na figura 14, e o resultado completo pode ser conferido em (VIRUS TOTAL, 2011). Basicamente a análise do site é feita submetendo o arquivo suspeito para diversos mecanismos de antivírus de diferentes fabricantes (coluna “antivirus”). A coluna “Version” traz a versão do mecanismo utilizada, a coluna “Last Update” traz a data de atualização da base de dados de vírus do mecanismo e a coluna “Result” traz o resultado (se o arquivo foi identificado como malicioso ou não). Figura 14 – Resultado da análise do site VirusTotal Com a análise da etapa de número sete, podemos verificar as chaves do registro abertas pelo processo de PID número 2028, conforme figura 15: Figura 15 – Objetos do registro abertos Na etapa de número oito, começamos a utilizar a ferramenta PTK, que possui outros recursos para análise de memória RAM que a Volatility não possui (como busca por palavras chave na memória). O acesso a ferramenta é feito por dentro da distribuição SIFT, através do navegador de internet já instalado (Mozilla Firefox) pelo endereço http://localhost/ptk/index.php. Com a etapa de número 11, foi feita uma busca por strings de palavras chave a fim de buscar maiores informações a respeito do artefato, e responder a algumas questões que ainda estariam pendentes: Como é feito o envio das informações coletadas e para onde o artefato enviaria tais dados. Através da aba Keyword Search, foi feito a busca pela palavra “email”, conforme resultado demonstrado na figura 16: 16 Figura 16 – Busca pela string “email” Nota-se na imagem que a busca pela string email trouxe uma série de comandos, e um deles apontando para uma página hospedada no servidor do programa ICQ (ICQ, 2011). Provavelmente o criminoso esteja utilizando este serviço para realizar o envio de forma “anônima”. Na busca pela string “senha”, foi constatado diversos comandos SQL, como se o artefato tivesse uma espécie de bancos de dados interno. Nestes comandos foram observados os nomes de alguns campos, fechando com a suspeita do artefato armazenar (e posteriormente enviar) informações sigilosas relacionadas a acesso a sites de banco. A busca está reproduzida na figura 17: Figura 17 – Busca pela string “senha” Terminada a investigação, os resultados nos mostraram que a estação de trabalho estava infectada com um malware do tipo banker, que manipulava o sistema operacional a fim de coletar informações digitadas pelo usuário sem que fosse detectado pelos métodos forenses normais, principalmente pelo fato do artefato manipular arquivos exclusivos do sistema operacional e também se infiltrar em processos legítimos. Somente através da técnica de forense de memória é que foi possível identificar o tipo de malware presente no sistema. Foi possível descobrir que o malware realizava o envio das informações coletadas via e-mail utilizando um servidor hospedado no exterior e também realizava o envio utilizando um recurso gratuito de envio de mensagens do site de uma empresa desenvolvedora de softwares. Por fim, o endereço de e-mail do destinatário estava presente na memória e foi descoberto com a técnica de keyword search. 6 CONSIDERAÇÕES FINAIS Com o crescimento de usuários de computadores, os crimes digitais ficaram muito comuns nos dias de hoje. Por isso, a Forense Computacional foi criada a partir da ciência forense tradicional para poder investigar tais crimes. As técnicas forenses estudadas e aplicadas no trabalho foram de grande ajuda no momento da investigação. Seguir as etapas de investigação, preservar evidências e seguir uma metodologia foram cruciais para a obtenção das provas necessárias. 17 A forense de memória RAM foi a técnica escolhida para esta investigação. Com esta técnica, foi possível ter a visão da máquina como se a mesma estivesse ligada, em tempo real, visão essa que não seria possível com a forense de disco. Porém, para alguns outros casos, talvez a perícia de memória não fosse a mais indicada, como a busca por evidências de pedofilia, onde a investigação tem foco maior em arquivos salvos no disco rígido (sejam eles apagados ou não), a busca por evidências de invasão de um servidor Web, onde a busca se concentra na análise de logs e a criação de uma linha de tempo através de MACTimes, etc. Com a aplicação das técnicas aprendidas no trabalho, foi possível a descoberta de diversas evidências, mas também se percebeu que a análise forense não é tão simples quanto parece e a experiência do perito faz toda a diferença nessas horas. Análise de processos do sistema operacional feita “no olho” (pois não há um banco de dados confiável para referência), técnicas de antiforense, muitas ferramentas e pouca documentação, ferramentas desatualizadas e a tecnologia evoluindo a cada dia são alguns exemplos das dificuldades encontradas pelos peritos. Este trabalho possui algumas limitações. Algumas técnicas de análise forense não foram demonstradas, como a forense de rede e a análise através de engenharia reversa de código de binários. Técnicas que dependendo do caso podem ser muito úteis. Também não foi possível demonstrar as técnicas de antiforense, que estão evoluindo rapidamente e tornando ainda mais difícil o trabalho de peritos e técnicos em segurança. Porém, tais assuntos podem vir a ser detalhados em trabalhos futuros, a fim de trazer mais riqueza de conteúdo em português para os profissionais de segurança brasileiros. 7 REFERÊNCIAS APSOFT Germany. Memdump. Versão 2.0. Disponível em <http://www.tssc.de/products/tools/memdump/default.htm />. Acesso em 15 Out. 2011. ARIN. American Registry for Internet Numbers Whois Tool. Disponível em: <http://whois.arin.net/rest/net/NET-65-52-0-0-1>. Acesso em: 9 nov. 2011. ASSOLINI, Fabio. Massive DNS poisoning attacks in Brazil. Disponível em: <http://www.securelist.com/en/blog/208193214/Massive_DNS_poisoning_attacks_in_Brazil>. Acesso em: 10 nov. 2011. BASSETTI, Giovanni. Caine. Versão 2.5.1 “SuperNova”. Disponível em <http://www.caine-live.net/>. Acesso em: 8 out. 2011. BRASIL. Lei no 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/L8069.htm>. Acesso em: 22 out. 2011. BOELEN, M. Rootkit Hunter. Versão 1.3.8. Disponível em <http://rkhunter.sourceforge.net/>. Acesso em: 9 out. 2011. CARRIER, Brian. Mac-robber Project. Versão 1.02. Disponível em: <http://www.sleuthkit.org/mac-robber/download.php>. Acesso em: 5 set. 2011. CARRIER, Brian. Mactime. Disponível em: <http://www.sleuthkit.org/>. Acesso em: 15 out. 2011. CARRIER, Brian. TSK Sleuthkit. Versão 3.2.3. Disponível em: <http://www.sleuthkit.org/sleuthkit/download.php>. Acesso em: 15 out. 2011. CERT. CERT.br anuncia redução de 60% de notificações de incidentes de segurança na Internet em 2010. Disponível em: <http://www.nic.br/imprensa/releases/2011/rl-2011-02.pdf>. Acesso em: 29 out. 2011. CERT. Estatísticas dos Incidentes Reportados no <http://www.cert.br/stats/incidentes/>. Acesso em: 18 nov. 2011. CERT.br. Disponível em CRISTINA, Maria. Vírus brasileiro realiza transferência bancária sozinho e rouba 5 mil. Disponível em: <http://www.linhadefensiva.org/2011/08/virus-brasileiro-realiza-transferencia-bancaria-sozinho-e-rouba-5mil/>. Acesso em: 14 out. 2011. 18 CGSECURITY. PhotoRec. Versão 6.13. Disponível em <http://www.cgsecurity.org/>. Acesso em: 3 out. 2011. DFLABS. PTK Forensics. Versão 2.0. Disponível em < http://ptk.dflabs.com/ />. Acesso em: 17 set. 2011. ESUPPORT. NTFS Undelete. Versão 3.02.830. Disponível em <http://ntfsundelete.com/>. Acesso em: 4 out. 2011. EXTUNDELETE Project. Versão 0.2.0. Disponível em <http://extundelete.sourceforge.net/>. Acesso em: 5 out. 2011. FDTK. Investigação.png. Altura: 800 pixels. Largura: 600 pixels. Formato PNG. Disponível em: <http://fdtk.com.br/wiki/index.php?title=Arquivo:Investigação.png>. Acesso em: 14 set. 2011. FEBRABAN. Perdas com fraudes eletrônicas aumentam 36% no primeiro semestre de 2011. Disponível em <http://www.febraban.org.br/Noticias1.asp?id_texto=1321>. Acesso em: 30 set. 2011. FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada à Informática: Ambiente Microsoft. Rio de Janeiro. Editora Brasport, 2006. GEUS, Paulo Lício de; REIS, Marcelo Abdalla dos. Análise Forense de Intrusões em Sistemas Computacionais: Técnicas, Procedimentos e Ferramentas. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002-Pericia-marcelo.reis-forense.tecnicas.procedimentos.pdf>. Acesso em: 30 ago. 2011. Guymager Project. Versão 0.5.9. Disponível em http://guymager.sourceforge.net/. Acesso em: 3 set. 2011. HISPASEC Sistemas. VirusTotal suspicious file analizer. Disponível em: <http://www.virustotal.com>. Acesso em: 10 set. 2011. HOUAISS, Instituto Antônio. Dicionário Eletrônico Houaiss da Língua Portuguesa. Editora Objetiva, 2001. ICQ. Disponível em: <http://www.icq.com>. Acesso em: 25 set. 2011. MANDIANT Security. Memoryze. Versão 2.0. Disponível em <http://www.mandiant.com/products/free_software/memoryze/>. Acesso em: 2 nov. 2011. MARCELLA, Albert J; GREENFIELD, Robert S. Cyber forensics: a field manual for collecting, examining, and preserving evidence of computer crimes. Auerbach Publications. 2002. 320 p. MEDICO, Andrew. DC3DD Project. Versão 7.1.614. Disponível em <http://sourceforge.net/projects/dc3dd/>. Acesso em: 14 nov. 2011. MOONSOLS Security. Windows Memory Toolkit. Versão Community. Disponível em <http://www.moonsols.com/windows-memory-toolkit/>. Acesso em: 9 out. 2011. NEUBER Software. Windows Processes. Disponível em: <http://www.neuber.com/taskmanager/process/services.exe.html>. Acesso em: 22 set. 2011. NEUKAMP, Paulo. FDTK-UbuntuBR. Versão 3.0. Disponível em <http://fdtk.com.br/www/download/>. Acesso em: 6 set. 2011. NMAP Security. NMAP Scanner. Versão 5.50. Disponível em <http://nmap.org>. Acesso em: 6 set. 2011. OLZAK, Tom. DNS Cache Poisoning: Definition and Prevention. Disponível em: <http://adventuresinsecurity.com/Papers/DNS_Cache_Poisoning.pdf>. Acesso em: 19 Nov. 2011. LIMA, Ronaldo. Ententendo o Buffer Overflow. Disponível em: <http://www.crimesciberneticos.com/2011/02/entendendo-o-buffer-overflow.html>. Acesso em: 22 ago. 2011. ROBTEX. Robtex Swiss Army Knife Internet Tool: WHOIS of IP 65.55.92.136. Disponível em: <http://www.robtex.com/ip/65.55.92.136.html>. Acesso em: 14 out. 2011. 19 ROBTEX. Robtex Swiss Army Knife Internet Tool: WHOIS of IP 67.204.190.202. Disponível em: <http://www.robtex.com/ip/67.204.190.202.html>. Acesso em: 26 out. 2011. SANS Institute. SIFT. Versão 2.1. Disponível em: <http://computerforensics.sans.org/community/downloads/>. Acesso em: 5 set. 2011. SOURCEFIRE Inc. Snort. Versão 2.9.1.2. Disponível em: <http://www.snort.org>. Acesso em: 21 out. 2011. SYMANTEC. Symantec Internet Security Threat Report 2010. Disponível em: <http://www.symantec.com/content/en/pr/enterprise/other_resources/ISTR/ISTR-16-Datasheet-EN.pdf>. Acesso em: 4 de out. 2011. VACCA, John R. Computer Forensics: Computer Crime Scene Investigation. Second Edition. Charles River Media Press. 2005. 865 p. VARGAS, Raffael. Tenha uma pequena biblioteca de Forense Computacional e Direito Digital. Disponível em: <http://imasters.com.br/artigo/19664/gerencia-de-ti/tenha-uma-pequena-biblioteca-deforense-computacional-e-direito-digital>. Acesso em: 12 ago. 2011. VIRUS TOTAL. VirusTotal Report of file “executable.2028.exe”. Disponível em: <http://goo.gl/9O8qM>. Acesso em: 1º nov. 2011 VOLATILE Systems. Framework Volatility. Versão 2.0. Disponível em <http://volatilesystems.com/default/volatility/>. Acesso em: 18 Out. 2011. WATSON, David; HOLZ, Thorsten; MUELLER, Sven. Know your enemy: Phishing. Behind the Scenes of Phishing Attacks. Disponível em <http://old.honeynet.org/papers/phishing/>. Acesso em: 21 out. 2011. WIKIPEDIA, The Free Encyclopedia. Index.dat file. Disponível em: <http://en.wikipedia.org/wiki/Index.dat>. Acesso em: 28 out. 2011. 20