Indico isso para todos que estao aprendendo um pouco sobre forense isso pode auxiliar a aprender sobre as tecnicas anti forense que pra quem ta aprendendo forense tambem e muito importante.
1. Classificações e técnicas de Tecnicas anti forense
1. Introdução
2. Classificações e técnicas de anti-forense
2.1. Ocultação de evidências
2.2. Encriptação
2.3. Esteganografia
3. Outras formas de ocultação de dados
3.1. Destruição de evidências
3.2. Utilitários de limpeza de disco
3.4. Utilitários de limpeza de arquivos
4. Técnicas de desmagnetização/destruição de disco
4.1. Falsificação de evidências
4.2. Eliminação das fontes de evidências
5. Ataques contra processos e ferramentas da forense computacional
6. Eficácia da anti-forense
7. Conclusão
2. Introduçao
Segundo Rogers (2006), podemos definir o termo anti-forense como a
tentativa de afetar negativamente a existência, quantidade e/ou qualidade de
evidências de uma cena de crime, ou tornar a análise e o exame das evidências
difícil ou impossível de se realizar.
Recentemente, a utilização de técnicas de anti-forense computacional
cada vez mais avançadas por criminosos têm desafiado diversas perícias e
grande parte do problema se deve ao desconhecimento de tais técnicas.
Portanto, o presente trabalho visa apresentar aos profissionais de
forense computacional algumas das classificações e técnicas de anti-forense
mais utilizadas, para que estes possam estar preparados para
enfrentar este novo desafio durante suas perícias.
3. Classificações e técnicas de anti-forense
Métodos anti-forense são categorizados para tornar a classificação das
várias ferramentas e técnicas mais simples. Apesar das divergências entre as
classificações adotadas por autores consagrados, como Harris (2006) e Rogers
(2006), quatro destas são comuns a todos:
Ocultação de evidências,
Destruição de evidências,
falsificação de evidências
e a eliminação das fontes de evidências.
Além destas, Rogers (2006) considera ainda os ataques contra os
processos e ferramentas de forense computacional.
4. Ocultação de evidências
Ocultação de evidências é o processo de tornar dados difíceis de serem
encontrados e ao mesmo tempo mantê-los acessíveis para uso futuro. Algumas
das formas mais comuns de ocultação de dados incluem criptografia e
esteganografia. Cada um dos diferentes métodos de ocultação de dados
dificulta exames forenses digitais e quando combinados eles podem tornar uma
investigação forense quase impossível.
5. Encriptação
Uma das técnicas mais utilizadas para desafiar a computação forense
é a criptografia de dados. Isto porque através da utilização de algoritmos de
criptografia modernos e devárias técnicas de criptografia, diversos programas
disponíveis publicamente tornam os dados virtualmente impossíveis de serem
lidos sem a chave designada, uma senha convencional escolhida a critério do
usuário no momento do processo de encriptação.A maioria dos programas de
criptografia tem a capacidade de executar uma série de funções adicionais que
tornam esforços forenses digitais cada vez mais inúteis. Algumas dessas
funções incluem a utilização de arquivos como chave criptográfica (keyfiles), a
encriptação de volumes inteiros e a negação plausível. A ampla disponibilidade
de softwares que contém estas funções colocou o campo da forense
digital em uma grande desvantagem. Alguns exemplos de ferramentas de
encriptação são o TrueCrypt e o BitLocker Drive Encryption.
6. Esteganografia
Esteganografia é uma técnica onde a informação ou arquivos estão
escondidos dentro de outro arquivo na tentativa de ocultar dados, deixando-os
à vista de todos. A esteganografia produz dados obscuros, normalmente
ocultados dentro de dados de visíveis (por exemplo, alguns caracteres de texto
escondidos dentro de uma fotografia digital). Alguns especialistas argumentam
que técnicas de esteganografia não são muito utilizadas e, portanto, não devem
ser levadas muito a sério. Entretanto, a maioria dos especialistas concorda que
a esteganografia tem a capacidade de interromper o processo
forense quando usada corretamente.
7. Outras formas de ocultação de dados
Outras formas de ocultação de dados envolve o uso de ferramentas e
técnicas para ocultar dados em vários locais de um sistema computacional.
Alguns desses lugares incluem a memória principal, diretórios ocultos, espaço
de folga de arquivos (slack space), blocos de dados defeituosos, fluxos de
dados alternativos, e partições ocultas. Uma das ferramentas mais conhecidas
para esconder dados é chamada Slacker e faz parte da estrutura do Metasploit.
O Slacker rompe um arquivo e coloca cada pedaço desse arquivo no espaço de
folga de outros arquivos, escondendo-o, assim, dos softwares de análise
forense. Outra técnica de ocultação de dados envolve o uso de setores
defeituosos. Para realizar esta técnica, o usuário muda o estado de um setor
específico de bom para defeituoso e, em seguida, copia os dados a serem
ocultados para este setor. Assim, algumas ferramentas forenses enxergarão
estes setores como defeituosos e prosseguirão o exame sem qualquer análise
do seu conteúdo.
8. Destruição de evidências
Os métodos usados na destruição de evidências são encarregados de eliminar
permanentemente arquivos específicos ou sistemas de arquivos inteiros. Isto
pode ser feito através da utilização de uma variedade de métodos que incluem
o uso de utilitários de limpeza de disco, de arquivos e
desmagnetização/destruição de discos.
9. Utilitários de limpeza de disco
Utilitários de limpeza de disco usam uma variedade de métodos para
substituir os dados existentes nos discos. A eficácia de ferramentas de limpeza
de disco como técnica anti-forense é muitas vezes contestada, pois alguns
acreditam que não são completamente eficazes.
Utilitários de limpeza de disco também são criticados porque eles
deixam sinais de que o sistema de arquivos foi apagado, o que em alguns casos
é inaceitável.
Como consequência, a política atualmente empregada pelo
Departamento de Defesa dos Estados Unidos admite a desmagnetização como
a única forma aceitável de sanitização.
Alguns dos utilitários de limpeza de disco amplamente usados incluem
o BCWipe Total Wipeout, o CyberScrubs cyberCide e o KillDisk.
10. Utilitários de limpeza de arquivos
Utilitários de limpeza de arquivos são usados para excluir arquivos
individuais a partir de um sistema operacional. A vantagem dos serviços de
limpeza de arquivos é que eles podem realizar suas tarefas em um período
relativamente curto de tempo, ao contrário de utilitários de limpeza de disco
que levam muito mais tempo. Outra vantagem dos serviços de limpeza de
arquivos é que eles geralmente deixam uma assinatura muito menor do que
utilitários de limpeza de disco.
Há duas desvantagens principais dos utilitários de limpeza de arquivo:
primeiro, eles exigem o envolvimento do usuário no processo e, segundo,
alguns especialistas acreditam que os programas de limpeza de arquivos nem
sempre corretamente e completamente limpam informações do arquivo. Alguns
dos utilitários de limpeza de
arquivos mais utilizados incluem o AEVITA Wipe & Delete, o BCWipe e
CyberScrubs
PrivacySuite.
11. Técnicas de desmagnetização/destruição de disco
Desmagnetização disco é um processo pelo qual um campo magnético é
aplicado a um dispositivo de suporte digital. O resultado é um dispositivo
completamente limpo de todos os dados armazenados anteriormente. A
desmagnetização é raramente utilizada como um método de anti-forense,
apesar de ser o meio mais eficaz para garantir que os
dados tenham sido completamente apagados. Isto é atribuído ao custo elevado
das máquinas de desmagnetização.
Uma técnica mais utilizada para garantir a limpeza de dados é a
destruição física do dispositivo. O NIST recomenda que "a destruição física
pode ser realizada utilizando uma variedade de métodos, incluindo a
desintegração, a incineração, pulverização, trituração e fusão".
12. Falsificação de evidências
O objetivo da falsificação de evidências é confundir, desorientar e desviar o
processo de análise forense. A falsificação pode comprometer desde apenas
um bit até certa quantidade de bits contidos em um disco, com o intuito de
parecer qualquer outra coisa, menos a evidência real (Harris, 2006). O
ofuscamento de rastros abrange uma variedade de técnicas e ferramentas que
incluem limpadores de logs, spoofing, desinformação, uso de contas zumbis e
comandos de trojan.
13. Eliminação das fontes de evidências
Segundo Harris (2006), trata-se do uso de métodos que impeçam que
evidências sejam criadas. Fazendo uma alusão aos crimes da forense tradicional,
é similar a utilizar luvas para não deixar impressões digitais ou embrulhar a
arma numa sacola plástica para impedir que a pólvora do tiro se espalhe pela
cena do crime. Assim, no mundo virtual podem ser utilizados programas e
sistemas operacionais através de memórias portáties,
como CDs e pen drives, fazendo com que sejam geradas poucas ou até
nenhuma evidência no disco local.
14. Ataques contra processos e ferramentas da forense
computacional
A anti-forense recentemente mudou um pouco sua estratégia, de modo
que as ferramentas e técnicas estão focadas em atacar não somente as
evidências, mas també mas ferramentas e procedimentos forenses adotados na
realização dos exames. Estes novos métodos anti-forenses têm beneficiado de
uma série de fatores que inclue mprocedimentos bem documentados dos
exames forenses, vulnerabilidades de ferramentas forenses amplamente
conhecidas e a forte dependência de examinadores forenses digitais em suas
ferramentas.
Durante um típico exame forense, o examinador iria criar uma imagem de
disco do computador. Isso impede que o computador original (evidência) seja
contaminado por ferramentas forenses. Então, Hashes são criados pelo
software de exame forense para verificar a integridade da imagem. Uma das
últimas técnicas anti-ferramenta visa atacar a integridade dos hashes criados.
15. Ao afetar a integridade do hash, qualquer evidência coletada durante a
investigação pode ser contestada posteriormente.
O uso do recurso de detecção de intrusão de chassis, no caso de
computador ou um sensor (como um fotodetector) cheio de explosivos para a
autodestruição, também é outro exemplo de como a anti-forense pode se
privilegiar do conhecimento dos procedimentos forenses para invalidar uma
investigação.
16. Eficácia da anti-forense
Métodos anti-forenses dependem de várias deficiências no processo forense,
incluindo: o elemento humano, a dependência de ferramentas e as limitações
físicas/lógicas de computadores. Ao reduzir a suscetibilidade do processo
forense para estas fraquezas, o examinador pode reduzir a probabilidade de
métodos anti-forenses impactarem numa investigação. Isto pode ser alcançado
através de uma maior formação para os investigadores e com a comparação dos
resultados obtidos de diversas ferramentas para uma mesma análise.
17. Conclusão
Do mesmo modo que os criminosos se aproveitaram de um vasto
conhecimento sobre os procedimentos e as ferramentas comumente
empregados na forense computacional, é importante que se conheçam as
ferramentas e os métodos utilizados pelos criminosos na tentativa de afetar a
análise pericial para então combatê-los.
Assim, o presente artigo atingiu o seu objetivo no sentido de alertar
profissionais da forense computacional para mais esse desafio que certamente
surgirá em suas perícias: a anti-forense computacional.
18. Referências
Harris, Ryan. Arriving at an anti-forensics consensus: Examining how to define
and
control the anti-forense problem. Disponível em:
<http://www.dfrws.org/2006/
proceedings/6-Harris.pdf>. Acesso em: 10 jun. 2013.
Rogers, M. Panel session at CERIAS 2006 Information Security Symposium.
Disponível em:
<http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/
antiforensics.pdf>. Acesso em: 10 jun. 2013.
Autor: Henrique Alexandre Torres