Uma abordagem prática sobre Computação Forense

O Microsoft Windows não armazena o registro em um único arquivo. Na verdade, o editor de registro (Regedit) mostra a estrutura lógica do registro, mas o Windows armazena o registro em alguns arquivos binários denominados de Hives, assim como cópias de backup destes.

As hives são distribuídas em vários arquivos. A lista de arquivos que compõem os hives pode ser encontrado no próprio registro, na chave HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\hivelist (Windows 7). Nesta chave você encontrará valores que identificam a chave a que pertence e o caminho onde o arquivo pode ser encontrado.

REGISTRY\MACHINE\SAM – Windows\System32\config\SAM
REGISTRY\MACHINE\SECURITY – Windows\System32\config\SECURITY
REGISTRY\MACHINE\SOFTWARE – Windows\System32\config\SOFTWARE
REGISTRY\MACHINE\SYSTEM – Windows\System32\config\SYSTEM
REGISTRY\USERS\.DEFAULT – Windows\System32\config\DEFAULT
REGISTRY\USERS\SID – Windows\ServiceProfiles\LocalService\NTUSER.DAT
REGISTRY\USERS\SID – Windows\ServiceProfiles\NetworkService\NTUSER.DAT
Registry\User\SID – Users\Admin\ntuser.dat (para o usuário “Admin”)
Registry\User\SID_Classes – Users\Admin\AppData\Local\Microsoft\Windows\ UsrClass.dat  (para o usuário “Admin”)

Somente as chaves HKLM e HKU são arquivos do sistema operacional, possuindo, portanto, Hives correspondentes. HKCR e HKCC são links simbólicos para subchaves em HKLM, assim como HKCU é um link simbólico para HKU. A estrutura do registro é composta da seguinte forma: A chave HKLM\SAM é composta por SAM e SAM.LOG; a chave HKLM\SECURITY é composta por SECURITY e SECURITY.LOG; a HKLM\SOFTWARE é composta por SOFTWARE, SOFTWARE.LOG e SOFTWARE.SAV; a chave HKLM\SYSTEM é composta por SYSTEM, SYSTEM.LOG, SYSTEM.SAV; a chave HKLM\HARDWARE é composta por um hive dinâmico; a chave HKU\.DEFAULT é composta por DEFAULT, DEFAULT.LOG, DEFAULT.SAV; a chave HKUSID é composta por NTUSER.DAT e HKU\SID_CLASSES é composta por UsrClass.dat, UsrClass.dat.log. Os arquivos sem extensão são as hives; os arquivos de extensão “.LOG” são registros de alterações na hive; os arquivos de extensão “.SAV” são cópias de backup das hives criadas no Windows XP na fase texto da instalação. No Windows 2000 o backup da hive possui extensão “.alt”.

Até o próximo.

Vamos começar uma nova série de posts relativos à perícia e ao rastreamento de mensagens de correio eletrônico com fins de identificação de autoria. Porém antes de iniciar a abordagem técnica irei discutir alguns aspectos relativos à origem e autoria dessas mensagens.

Em geral se imagina que para descobrir quem enviou um e-mail, basta identificar o endereço IP do remetente e pronto. Mas não é bem assim que a coisa funciona. Primeiramente “quem” está relacionado ao autor e o endereço IP está diretamente associado ao “onde” e ao “quando”, podendo chegar até ao “que” e ao “como”, mas determinar o “quem” pode ser bem mais complexo.

A determinação de origem e de autoria de e-mails são dois processos distintos e o sucesso de ambos depende de diversos fatores como recursos tecnológicos, conhecimentos técnicos e uma coleta de dados adequada, que resultarão em uma boa qualidade das informações a serem analisadas.

A origem é a combinação do ”onde“ e do “quando” e está associada ao circuito físico que estabelece a conexão durante um determinado intervalo de tempo, seja ele um circuito dedicado de dados, uma linha telefônica fixa como a ADSL ou uma conexão GSM. A determinação da origem nos levará até a extremidade de um destes circuitos, entretanto o autor poderá não mais estar lá.

A autoria é o “quem” e está associada diretamente ao agente que produz a mensagem e ao dispositivo utilizado como meio (o “que”). Este dispositivo pode ser o computador de um provedor de serviços como uma lan house, um cybercafé, ou ainda um computador doméstico, um telefone móvel, um notebook ou qualquer outro dispositivo que tenha capacidade de conexão à web e envio de mensagens de correio eletrônico. O “como” é caracterizado pelo meio de composição e envio da mensagem, indo de um software cliente, passando por uma aplicação web, como um webmail.

Os registros dos dados das conexões realizados pelos provedores de acesso possibilitam a caracterização da conexão, a determinação da origem e em alguns casos específicos, quando existem provas acessórias, a autoria das mensagens. Portanto identificar o IP do remetente de uma mensagem poderá levar-lhe até a origem, mas pode não levar ao autor. Suponha que a mensagem foi enviada de uma lan house de bairro que não faz cadastro dos usuários, sem sistema de CFTV, como poderemos identificar o autor se só a utilizou uma única vez, para aquele fim específico?

O Brasil, até o presente momento, não possui uma legislação que regulamente o provimento de acesso à internet. Em outras palavras, os prestadores de serviços de acesso à internet (provedores) não são obrigados por lei, a guardar os registros de conexão de seus usuários. Isso significa que, mesmo após recuperar todos os dados necessários para se identificar a origem de uma conexão, não é garantido que essa identificação ocorrerá, pois o provedor de acesso poderá não dispor da informação necessária, simplesmente por não ser obrigado a mantê-la. Em alguns casos, ainda que consigamos tais informações, cybercafés e lan houses são frequentemente utilizados com o propósito de encobrir com o anonimato a autoria de um delito, já que poucas realizam registros de seus usuários.

Ao investigar uma ação delituosa, se houver outras provas, determinar a origem pode confirmar ou não, a autoria. Tomemos como exemplo um indivíduo que esteja relacionado a um crime por outras provas, entre elas um e-mail. Ao identificar que o suspeito é o assinante da linha telefônica associada ao IP originador da mensagem, estaremos chegando também na autoria. Mas se a mensagem é a única evidência e o IP nos leva a uma lan house, o que fazer?

O objetivo desta série de posts é discutir os aspectos que envolvem a composição de uma mensagem de correio eletrônico e seu cabeçalho, estudando as possibilidades de utilização dos seus campos para auxiliar a determinação da autoria.

Como já falamos sobre bloqueio de escrita na duplicação pericial, abordaremos a realização de imagens de dispositivos de prova.

Atualmente contamos com uma quantidade cada vez maior de opções para a realização de imagem pericial ou (imagem forense). Essas opções começam com o dd, que é um programa presente no Unix e no Linux, que copia arquivos ou dispositivos de armazenamento de dados completos, convertendo-os para o formato RAW. O nome dd originou-se de “data/disk duplication” e é a ferramenta de duplicação padrão das distribuições Linux para uso forense, como a brasileira FDTK, Helix da e-fense, Caine, Deft, FCCU, BackTrack, entre tantas outras. O dd também pode ser utiilizado no Windows com o Cygwin.

Existem algumas interfaces gráficas para o dd de forma a facilitar a tarefa de produzir imagens forenses, como o Adepto do Helix, AIR, DD-Gui, Gdiskdump, entre outras.

Figura 1: Adepto 2.1

Figura 2: Air 2.0

A Guidance Software quando lançou o Encase, criou um disco de boot baseado em MS-DOS com uma ferramenta para realização de imagens. O próprio Encase realiza imagens, preferencialmente conectadas através de um bloqueador de escritas. Mais recentemente lançou o Linen que é um disco de boot Linux com o utilitário para a realização de imagem de mídias.

A AccessData disponibiliza gratuitamente o FTK Imager, atualmente na versão 3.1.0, que produz imagens forenses nos formatos E01, Raw(dd), Smart e AFF.

Figura 3: FTK Imager 3.0

Recentemente a Tableau, fabricante de bloqueadores de escrita bastantes conhecidos, lançou o TIM – Tableau Imager, também gratuito, atualmente na versão 1.11, que produz imagens forenses nos formatos E01, Raw(dd), DMG.

Figura 4: Tableau Imager 1.11

Existem outros como o Digital Investigation Manager – Acquisition Module da italiana DFLabs, o Safeback da New Technologies Inc., etc.

Figura 5: DIM AM

Para conhecer os formatos de arquivos de imagens forenses vale a pena visitar a página da Forensicwiki.org.

Em breve publicarei um post onde analisaremos algumas destas ferramentas e sua performance.