·
Engenharia de Produção ·
Laboratório de Sistemas Digitais
Send your question to AI and receive an answer instantly
Recommended for you
3
Estudo de Caso: Transformação Digital na PCL Construction
Laboratório de Sistemas Digitais
IFMG
4
A Tecnologia na Pandemia: Impactos e Aplicações
Laboratório de Sistemas Digitais
IFMG
1
Artigo Cientifico Sistemas de Informacao - Analise e Tendencias
Laboratório de Sistemas Digitais
IFMG
2
Estudo de Caso sobre Uso de Dados na NFL
Laboratório de Sistemas Digitais
IFMG
1
Análise da Integração do Processo de Negócios na Produção de Produtos Químicos
Laboratório de Sistemas Digitais
IFMG
3
Estudo de Caso: UPS e a Competitividade Global com Tecnologia da Informação
Laboratório de Sistemas Digitais
IFMG
Preview text
Entregar um artigo cient fico com o tema Sistemas de Informacao NOME DA UNIVERDADE NOME DO CURSO ASPECTOS RELEVANTES SOBRE O CONHECIMENTO DA ARQUITETURA DE REDE PARA UM PERITO FORENSE Aluno NOME DO ALUNO Professor NOME DO PROFESSOR CIDADE 2022 1 INTRODUÇÃO A análise forense digital consiste em utilizar ferramentas e técnicas para recuperar preservar e analisar dados armazenados ou transmitidos em formato binário ou seja contidos em qualquer dispositivo computacional sendo capaz de interpretar informações criadas digitalmente A análise forense é a principal atividade que compõe a perícia forense Nessa etapa o perito executa suas atividades com base em perguntaschave Adaptadas ao ambiente periciado todas elas fazem parte da análise de segurança de determinado sistema computacional devendo considerar que o perito seja capaz de aplicar seu conhecimento estando apto para defender argumentos importantes no processo 1 Quando um crime precisa ser detectado e analisado algumas habilidades técnicas são importantes para determinar a forma como a máquina suspeita pode ser considerada um alvo de ataques cibernético Para tanto a visão de um usuário comum não é suficiente para coletar os vestígios e produzir provas capazes de desvendar um mistério computacional principalmente quando a situação envolve um ambiente de alta complexidade 2 Para observar o sistema como um detetive que examina a cena de um crime a visão de programadores e especialistas é muito importante sobretudo quando consideramos que erros e rastros minimamente esquecidos por um atacante precisam ser analisados de forma aprofundada mas os aspectos legais e o uso de informações privadas precisam ser atendidos 3 Seja pela análise de um códigofonte arquitetura e redes de computadores ou aplicando corretamente o raciocínio lógico o entendimento das relações de causa e efeito capazes de gerar panes e problemas de funcionalidade em sistemas computacionais entre outras consequências as tarefas sempre devem ser executadas com total legalidade sobre os métodos e práticas da perícia forense Quando o mandato é expedido o perito fica liberado para realizar a identificação do local do crime além de iniciar a seleção de todo e qualquer equipamento que possa servir como prova e deva ser apreendido como discos servidores pen drives e até mesmo documentos impressos ou copiados por meio de dispositivos de imagem 3 Durante todo o procedimento de investigação forense o manuseio das informações deve seguir leis normas e padrões estabelecidos a fim de garantir que a análise forense seja realizada corretamente 2 REVISÃO BIBLIOGRÁFICA Uma evidência digital é definida como qualquer dado armazenado processado ou transmitido por meio de um dispositivo digital ou eletrônico podendo ser utilizado como informação de apoio ou refutação em relação a um incidente a ser comprovado por um álibi ou comprovação 4 Nesse contexto os dados são essencialmente uma combinação de informações de tipos diferentes texto imagens áudios e vídeos recuperados de várias fontes e denominados em conjunto de evidência digital Os sistemas computacionais em que as evidências podem ser coletadas costumam ser categorizados nos seguintes grupos 4 Sistema de computador aberto um sistema de discos rígidos teclados e monitores como laptops desktops e servidores em conformidade com o padrão Esses sistemas se tornaram indispensáveis à medida que o espaço de armazenamento continua aumentando Arquivos simples podem conter informações criminais e atributos relevantes para as investigações Sistema de comunicação corresponde aos sistemas tradicionais de telefonia sistemas de telecomunicações sem fio internet e redes gerais Para acessar esse tipo de informação pode ser necessário verificar os arquivos de log de servidores intermediários e roteadores que processam mensagens específicas Sistemas integrados são dispositivos móveis cartões inteligentes e outros sistemas com computadores integrados Eles podem conter comunicações fotos vídeos e outros dados pessoais assim como os sistemas de navegação podem ser usados para determinar o caminho do veículo 21 CONCEITO DE ARQUITETURA DE REDES O desenvolvimento de uma arquitetura de redes de computadores consiste em uma tarefa complexa pois envolve inúmeros aspectos de hardware e software como interface com o meio de transmissão especificação verificação e implementação de protocolos integração com o sistema operacional controle de erros segurança e desempenho 5 O modelo de camadas surgiu para reduzir a complexidade do projeto de arquitetura de redes A ideia do modelo de camadas consiste em dividir o projeto de redes em funções independentes e agrupálas em camadas Dessa forma cada nível é responsável por determinados serviços e apenas aquela camada pode oferecêlos 6 Além disso o modelo implementa regras para a comunicação entre as camadas isolando suas funções e garantido a independência entre elas 6 22 APLICAÇÃO DO CONHECIMENTO DE ARQUITETURA DE REDES NA PERÍCIA FORENSE 221 HASH Hashing é uma técnica de programação na qual uma string de caracteres uma mensagem de texto por exemplo é convertida em um valor menor também conhecido como chave ou valor hash Essa chave que é sempre única e tem um comprimento fixo representa a string original 7 O algoritmo da função hash é especialmente usado em TI e perícia digital O valor da função hash é usado na autenticação de mensagens assinaturas digitais e várias autenticações como códigos de autenticação de mensagens MACs etc 8 Eles também são usados em hash para impressão digital identificações identificação de arquivos somas de verificação e detecção de duplicatas O hash é comumente usado para criptografia de dados Alguns algoritmos de função hash forense populares são MD5 SHA1 e SHA256 Na próxima seção descreveremos cada um deles em detalhes 9 222 CAPTURA DE TRÁFEGO Interceptação de tráfego de rede para posterior extração de dados considerados relevantes 10 Origem e destinos da comunicação Protocolos e serviços utilizados Remontagem dos fluxos de dados Análise do seu conteúdo Interceptação de tráfego é considerada legal quando realizada por agente ou perito autorizado A Lei n 929696 11 regulamenta a interceptação do fluxo de comunicações em sistemas de informática e telemática No entanto há também a chamada Interceptação de tráfego Ilegal quando não é feita por um agente autorizado cujo objetivo é obter informação de modo ilegal Dentre os tipos de Interceptações Ilegais existem o pharming o Session hijacking sequestro de cookies e o maninthemiddle 12 Pharming é uma prática fraudulenta na qual um código malicioso é instalado em um computador pessoal PC ou servidor direcionando os usuários para sites fraudulentos sem o seu conhecimento ou consentimento O objetivo é que os usuários insiram suas informações pessoais Depois que informações como número de cartão de crédito número de conta bancária ou senha são inseridas em um site fraudulento os criminosos as possuem e o roubo de identidade pode ser o resultado 12 O Session hijacking é o sequestro de uma sessão Um usuário em uma sessão pode ser sequestrado por um invasor e perder o controle da sessão por completo onde seus dados pessoais podem ser facilmente roubados Depois que um usuário inicia uma sessão como fazendo login em um site de banco um invasor pode sequestrálo Para sequestrar uma sessão o invasor precisa ter um conhecimento substancial da sessão de cookie do usuário Embora qualquer sessão possa ser hackeada é mais comum em sessões de navegador em aplicativos da web 12 Já o ataque maninthemiddle é um tipo de ataque em que os invasores interceptam uma conversa ou intercâmbio de dados existente Nesse processo fingem ser o participante real da outra ponta da conversa Isso permite que um invasor intercepte informações e dados de qualquer uma das partes e ao mesmo tempo envie links maliciosos ou outras informações para os dois participantes legítimos de uma forma que pode não ser detectada até que seja tarde demais 12 Esse tipo de ataque maninthemiddle é facilitado pelo uso de redes WiFi abertas e sem criptografia A interceptação legal ou grampo legal como também é conhecida apareceu na apresentação dos sistemas utilizados pela polícia brasileira Um desses sistemas é o Guardião utilizado pela polícia civil para monitorar de maneira autorizada pela justiça 223 FERRAMENTA FORENSE AVANÇADA OWASP SSL AUDITORIA OWASP Um exemplo de ferramenta avançada é o OSaft uma ferramenta fácil de usar para mostrar informações sobre o certificado SSL e testar a conexão SSL de acordo com determinada lista de cifras e várias configurações SSL Ele é projetado para ser usado por testadores de penetração auditores de segurança ou administradores de servidor A ideia é mostrar as informações importantes ou as verificações especiais com uma simples chamada da ferramenta No entanto ele oferece uma ampla gama de opções para que possa ser usado para verificações abrangentes e especiais por pessoas experientes OSaft é uma ferramenta de linha de comando portanto pode ser usada offline e em ambientes fechados Também existe uma GUI baseada em TclTk No entanto pode simplesmente ser transformado em uma ferramenta CGI online Outro exemplo de software é o Wireshark que coloca a rede em modo promíscuo possibilitando a análise e captura dos pacotes que circulam na rede É uma ferramenta Open Source e muito robusta que possui uma interface gráfica bem intuitiva para quem trabalha com redes e está familiarizado com as camadas dos protocolos 3 METODOLOGIA E RESULTADOS Indubitavelmente com a evolução dos sistemas de comunicação principalmente das redes de computadores que abarcam praticamente todos os sistemas que as pessoas e empresas utilizam em seu dia a dia tais como Internet Banking transporte e alimentação por aplicativo Comunicação Empresarial entre filiais de diferentes países e etc a prática criminosa também tende a aumentar haja vista que o número de usuários das redes de comunicação também aumenta Desta forma se faz de suma importância o conhecimento da arquitetura de redes para o Perito Forense pois entender e compreender os meios mais cruciais de vulnerabilidades das redes como por exemplo a utilização de cada camada do Modelo OSI Segurança de Servidores tanto locais como web é um dos passos primordiais para que se possa realizar uma perícia no âmbito digital adequada Como já exposto anteriormente há técnicas e ferramentas que fornecem um ótimo suporte para o Perito Forense como a técnica HASH e as Ferramenta OSaft São indissociáveis o conhecimento técnico e o uso das ferramentas uma vez que o conhecimento técnico conduz para a utilização da ferramenta apropriada Na perícia de rede a análise de pacotes pode ser usada para coletar evidências para investigações de atividades digitais e para detectar tráfego e comportamento de rede malicioso incluindo tentativas de intrusão e uso indevido de rede e identificar ataques man inthemiddle e malware como ransomware Informações sobre redes às quais os dispositivos se conectam e os padrões de comunicação desses dispositivos podem fornecer aos investigadores forenses uma rica fonte de informações Beverly et al 2011 afirmam que o conjunto de endereços de protocolo da Internet IP de origem que um dispositivo adquiriu ao longo do tempo pode fornecer pistas sobre seus pontos de conexão de rede física e padrões de mobilidade Os endereços de destino dos pacotes IP podem fornecer uma imagem dos sites mais visitados das transferências de arquivos ou troca de email Como resultado a prática forense comumente vasculha o dispositivo de um sujeito em busca de informações de rede e apresentar essas informações a analistas e investigadores Os endereços Ethernet Media Access Control MAC também podem ter um valor forense significativo Os três primeiros octetos de um MAC Ethernet são atribuídos a fornecedores de equipamentos específicos e podem ser usados para inferir informações sobre o equipamento usando um endereço MAC específico Mas os endereços MAC de outras máquinas na subrede do dispositivo do sujeito também podem ser reveladores pois podem ser usados para determinar a localização física de um dispositivo O simples fato de um computador ter sido associado a uma rede física com ou sem fio também pode ser usado para inferir a associação em uma organização ou o acesso a um local físico Para uma análise de tráfego de rede o Perito Forense terá que analisar aspectos mais profundos pois essa análise depende de assinaturas de rede binárias de camada inferior como estruturas de dados de pacote e soquete Essas estruturas são criadas na memória e mantidas pelo sistema operacional durante o curso normal da atividade da rede No entanto as estruturas de rede não estão confinadas a imagens de memória pois são invariavelmente gravadas em armazenamento fixo de um computador Além disso programas de rede clientes e servidores de domínio clientes e servidores DHCP podem usar estruturas de dados de rede binárias ao armazenar configurações ou resultados de cache no sistema de arquivos tornando esses arquivos fontes de dados úteis A comunicação entre os dispositivos da rede é facilitada por meio de protocolos ou seja mecanismos para identificar e estabelecer conexões regras de formatação e convenções especificadas para transferência de dados Para Chapman 2016 os dados da rede podem ser analisados e o tráfego da rede segregado por tipo usando um software específico Os analisadores de protocolo projetados para análise de pacotes são chamados de analisadores de pacotes farejadores de pacotes ou analisadores de rede Essas ferramentas de software interceptam e registram o tráfego de rede que atravessa uma rede digital ou parte de uma rede por meio do processo de captura de pacotes Os pacotes capturados podem então ser analisados pela decodificação dos dados brutos dos pacotes e visualizados por meio da exibição de vários campos para interpretar o conteúdo Ao colocar um controlador de interface de rede com fio NIC ou controlador de interface de rede sem fio WNIC em modo promíscuo todo o tráfego de rede recebido pode ser passado para a unidade de processamento central CPU em vez de apenas aqueles quadros que o controlador está especificamente programado para receber Disponível na maioria das distribuições Linux o Berkeley Packet Filter BPF oferece suporte à filtragem de pacotes como receber apenas os pacotes que iniciam uma conexão TCP Como o BPF retorna apenas os pacotes que passam pelo filtro os pacotes irrelevantes não precisam ser copiados do sistema operacional para o kernel para serem processados melhorando significativamente o desempenho 4 CONCLUSÃO Asseguradamente a área de Pericia Digital é muito ampla porém para o Perito Forense ter um conhecimento geral das funcionalidades da arquitetura das redes é de relevante importância tendo em vista que a partir das informações iniciais tais como tipo de situação a ser analisado por exemplo se foi um ataque cibernético na camada de aplicação mais especificamente na criptografia de senhas complexidade do cenário qual a magnitude do ataque se foi em um servidor especifico ou vários servidores A partir das condições iniciais os trabalhos são norteados para a escolha de qual ferramenta se irá utilizar a partir do exemplo anterior se os dados foram descriptografados e alocados a outro tipo de endereço dentro da rede caberá ao agente especializado determinar a ferramenta mais conveniente como a técnica HASH é muito difundida no que tange ao universo da criptografia está poderia ser uma boa escolha Portanto o conhecimento à cerca da arquitetura de redes para o Perito Forense se faz de grande importância principalmente nos dias atuais onde cada vez mais pessoas estão conectadas a diversos tipo de redes o que torna cada vez mais essencial o conhecimento para melhorias contínuas destas evitando que dados sejam capturados e utilizados de maneira que venha a prejudicar alguém da mesma forma que o entendimento deste assunto para o agente especializado e habilitado faz com que coletas de evidências de crimes cibernéticos sejam exploradas da melhor maneira possível 5 REFERÊNCIAS BIBLIOGRÁFICAS 1 LOPES P Forense Digital 2016 Perícia Forense Computacional Disponível em httpspericiacomputacionalcompericiaforense computacional2 Acesso em 27 agosto 2022 2 JORGE H V N Investigação Criminal Tecnológica Volumes I e II Rio de Janeiro Brasport 2018 3 ENCASE OpenText EnCase Forensic c2021 Software de Evidências Forenses Disponível em httpssecurityopentextcomencaseforensic Acesso em 27 agosto 2022 4 ELEUTÉRIO P M D S MACHADO M P Desvendando a Computação Forense São Paulo Novatec 2012 5 BEVERLY R GARFINKEL S CARDWELL G Forensic Carving Of Network Packets And Associated Data Structures Digital Investigation v 8 p S78S89 2011 Disponível em httpsdoiorg101016jdiin201105010 Acesso em 26 agosto 2022 6 ARAÚJO S de Computação Forense Curitiba Contentus 2020 7 CHAPMAN C Using Wireshark and TCP dump to visualize traffic Network Performance and Security v 2 p 195225 2016 Disponível em httpswww researchgatenetpublication312132633UsingWiresharkandTCPdumpto visualizetraffic Acesso em 26 agosto 2022 8 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST Computer Security Guidelines For Media Sanitization Gaithersburg 2006 Disponível em httpsnvlpubsnistgov Acesso em 28 agosto 2022 9 MEROLA A Data Carvingconcepts 2008 Sans Infosec Reading RoomDisponível em httpswwwsansorgreading roomwhitepapersforensics datacarvingconcepts32969 Acesso em 27 agosto 2022 10 GALVÃO M da C Fundamentos Em Segurança Da Informação Recife Pearson 2015 11 BRASIL Lei n 9296 de 24 de julho de 1996 Regulamenta o inciso XII parte final do art 5 da Constituição Federal Brasília DF Diário Oficinal da República Federativa do Brasil Disponível em httpwwwplanaltogovbr ccivil03leisl9296htm Acesso em 28 agosto 2022 12 GARFINKEL S L Carving Contiguous And Fragmented Files With Fast Object Validation Digital Investigation 4S 2007 p S1S12 Disponível em httpsdoi org101016jdiin200706017 Acesso em 26 agosto 2022 13 REIS F M dos Forense computacional técnicas para preservação de evidências em coleta e análise de artefatos Brasil Escola 2019 Disponível em httpsmonografiasbrasilescolauolcombrcomputacaoforensecomputacional tecnicasparapreservacaoevidenciascoletaanaliseartefatos htm Acesso em 28 agosto 2022 NOME DA UNIVERDADE NOME DO CURSO ASPECTOS RELEVANTES SOBRE O CONHECIMENTO DA ARQUITETURA DE REDE PARA UM PERITO FORENSE Aluno NOME DO ALUNO Professor NOME DO PROFESSOR CIDADE 2022 1 INTRODUÇÃO A análise forense digital consiste em utilizar ferramentas e técnicas para recuperar preservar e analisar dados armazenados ou transmitidos em formato binário ou seja contidos em qualquer dispositivo computacional sendo capaz de interpretar informações criadas digitalmente A análise forense é a principal atividade que compõe a perícia forense Nessa etapa o perito executa suas atividades com base em perguntaschave Adaptadas ao ambiente periciado todas elas fazem parte da análise de segurança de determinado sistema computacional devendo considerar que o perito seja capaz de aplicar seu conhecimento estando apto para defender argumentos importantes no processo 1 Quando um crime precisa ser detectado e analisado algumas habilidades técnicas são importantes para determinar a forma como a máquina suspeita pode ser considerada um alvo de ataques cibernético Para tanto a visão de um usuário comum não é suficiente para coletar os vestígios e produzir provas capazes de desvendar um mistério computacional principalmente quando a situação envolve um ambiente de alta complexidade 2 Para observar o sistema como um detetive que examina a cena de um crime a visão de programadores e especialistas é muito importante sobretudo quando consideramos que erros e rastros minimamente esquecidos por um atacante precisam ser analisados de forma aprofundada mas os aspectos legais e o uso de informações privadas precisam ser atendidos 3 Seja pela análise de um códigofonte arquitetura e redes de computadores ou aplicando corretamente o raciocínio lógico o entendimento das relações de causa e efeito capazes de gerar panes e problemas de funcionalidade em sistemas computacionais entre outras consequências as tarefas sempre devem ser executadas com total legalidade sobre os métodos e práticas da perícia forense Quando o mandato é expedido o perito fica liberado para realizar a identificação do local do crime além de iniciar a seleção de todo e qualquer equipamento que possa servir como prova e deva ser apreendido como discos servidores pen drives e até mesmo documentos impressos ou copiados por meio de dispositivos de imagem 3 Durante todo o procedimento de investigação forense o manuseio das informações deve seguir leis normas e padrões estabelecidos a fim de garantir que a análise forense seja realizada corretamente 2 REVISÃO BIBLIOGRÁFICA Uma evidência digital é definida como qualquer dado armazenado processado ou transmitido por meio de um dispositivo digital ou eletrônico podendo ser utilizado como informação de apoio ou refutação em relação a um incidente a ser comprovado por um álibi ou comprovação 4 Nesse contexto os dados são essencialmente uma combinação de informações de tipos diferentes texto imagens áudios e vídeos recuperados de várias fontes e denominados em conjunto de evidência digital Os sistemas computacionais em que as evidências podem ser coletadas costumam ser categorizados nos seguintes grupos 4 Sistema de computador aberto um sistema de discos rígidos teclados e monitores como laptops desktops e servidores em conformidade com o padrão Esses sistemas se tornaram indispensáveis à medida que o espaço de armazenamento continua aumentando Arquivos simples podem conter informações criminais e atributos relevantes para as investigações Sistema de comunicação corresponde aos sistemas tradicionais de telefonia sistemas de telecomunicações sem fio internet e redes gerais Para acessar esse tipo de informação pode ser necessário verificar os arquivos de log de servidores intermediários e roteadores que processam mensagens específicas Sistemas integrados são dispositivos móveis cartões inteligentes e outros sistemas com computadores integrados Eles podem conter comunicações fotos vídeos e outros dados pessoais assim como os sistemas de navegação podem ser usados para determinar o caminho do veículo 21 CONCEITO DE ARQUITETURA DE REDES O desenvolvimento de uma arquitetura de redes de computadores consiste em uma tarefa complexa pois envolve inúmeros aspectos de hardware e software como interface com o meio de transmissão especificação verificação e implementação de protocolos integração com o sistema operacional controle de erros segurança e desempenho 5 O modelo de camadas surgiu para reduzir a complexidade do projeto de arquitetura de redes A ideia do modelo de camadas consiste em dividir o projeto de redes em funções independentes e agrupálas em camadas Dessa forma cada nível é responsável por determinados serviços e apenas aquela camada pode oferecêlos 6 Além disso o modelo implementa regras para a comunicação entre as camadas isolando suas funções e garantido a independência entre elas 6 22 APLICAÇÃO DO CONHECIMENTO DE ARQUITETURA DE REDES NA PERÍCIA FORENSE 221 HASH Hashing é uma técnica de programação na qual uma string de caracteres uma mensagem de texto por exemplo é convertida em um valor menor também conhecido como chave ou valor hash Essa chave que é sempre única e tem um comprimento fixo representa a string original 7 O algoritmo da função hash é especialmente usado em TI e perícia digital O valor da função hash é usado na autenticação de mensagens assinaturas digitais e várias autenticações como códigos de autenticação de mensagens MACs etc 8 Eles também são usados em hash para impressão digital identificações identificação de arquivos somas de verificação e detecção de duplicatas O hash é comumente usado para criptografia de dados Alguns algoritmos de função hash forense populares são MD5 SHA1 e SHA256 Na próxima seção descreveremos cada um deles em detalhes 9 222 CAPTURA DE TRÁFEGO Interceptação de tráfego de rede para posterior extração de dados considerados relevantes 10 Origem e destinos da comunicação Protocolos e serviços utilizados Remontagem dos fluxos de dados Análise do seu conteúdo Interceptação de tráfego é considerada legal quando realizada por agente ou perito autorizado A Lei n 929696 11 regulamenta a interceptação do fluxo de comunicações em sistemas de informática e telemática No entanto há também a chamada Interceptação de tráfego Ilegal quando não é feita por um agente autorizado cujo objetivo é obter informação de modo ilegal Dentre os tipos de Interceptações Ilegais existem o pharming o Session hijacking sequestro de cookies e o maninthemiddle 12 Pharming é uma prática fraudulenta na qual um código malicioso é instalado em um computador pessoal PC ou servidor direcionando os usuários para sites fraudulentos sem o seu conhecimento ou consentimento O objetivo é que os usuários insiram suas informações pessoais Depois que informações como número de cartão de crédito número de conta bancária ou senha são inseridas em um site fraudulento os criminosos as possuem e o roubo de identidade pode ser o resultado 12 O Session hijacking é o sequestro de uma sessão Um usuário em uma sessão pode ser sequestrado por um invasor e perder o controle da sessão por completo onde seus dados pessoais podem ser facilmente roubados Depois que um usuário inicia uma sessão como fazendo login em um site de banco um invasor pode sequestrálo Para sequestrar uma sessão o invasor precisa ter um conhecimento substancial da sessão de cookie do usuário Embora qualquer sessão possa ser hackeada é mais comum em sessões de navegador em aplicativos da web 12 Já o ataque maninthemiddle é um tipo de ataque em que os invasores interceptam uma conversa ou intercâmbio de dados existente Nesse processo fingem ser o participante real da outra ponta da conversa Isso permite que um invasor intercepte informações e dados de qualquer uma das partes e ao mesmo tempo envie links maliciosos ou outras informações para os dois participantes legítimos de uma forma que pode não ser detectada até que seja tarde demais 12 Esse tipo de ataque maninthemiddle é facilitado pelo uso de redes WiFi abertas e sem criptografia A interceptação legal ou grampo legal como também é conhecida apareceu na apresentação dos sistemas utilizados pela polícia brasileira Um desses sistemas é o Guardião utilizado pela polícia civil para monitorar de maneira autorizada pela justiça 223 FERRAMENTA FORENSE AVANÇADA OWASP SSL AUDITORIA OWASP Um exemplo de ferramenta avançada é o OSaft uma ferramenta fácil de usar para mostrar informações sobre o certificado SSL e testar a conexão SSL de acordo com determinada lista de cifras e várias configurações SSL Ele é projetado para ser usado por testadores de penetração auditores de segurança ou administradores de servidor A ideia é mostrar as informações importantes ou as verificações especiais com uma simples chamada da ferramenta No entanto ele oferece uma ampla gama de opções para que possa ser usado para verificações abrangentes e especiais por pessoas experientes OSaft é uma ferramenta de linha de comando portanto pode ser usada offline e em ambientes fechados Também existe uma GUI baseada em TclTk No entanto pode simplesmente ser transformado em uma ferramenta CGI online Outro exemplo de software é o Wireshark que coloca a rede em modo promíscuo possibilitando a análise e captura dos pacotes que circulam na rede É uma ferramenta Open Source e muito robusta que possui uma interface gráfica bem intuitiva para quem trabalha com redes e está familiarizado com as camadas dos protocolos 3 METODOLOGIA E RESULTADOS Indubitavelmente com a evolução dos sistemas de comunicação principalmente das redes de computadores que abarcam praticamente todos os sistemas que as pessoas e empresas utilizam em seu dia a dia tais como Internet Banking transporte e alimentação por aplicativo Comunicação Empresarial entre filiais de diferentes países e etc a prática criminosa também tende a aumentar haja vista que o número de usuários das redes de comunicação também aumenta Desta forma se faz de suma importância o conhecimento da arquitetura de redes para o Perito Forense pois entender e compreender os meios mais cruciais de vulnerabilidades das redes como por exemplo a utilização de cada camada do Modelo OSI Segurança de Servidores tanto locais como web é um dos passos primordiais para que se possa realizar uma perícia no âmbito digital adequada Como já exposto anteriormente há técnicas e ferramentas que fornecem um ótimo suporte para o Perito Forense como a técnica HASH e as Ferramenta OSaft São indissociáveis o conhecimento técnico e o uso das ferramentas uma vez que o conhecimento técnico conduz para a utilização da ferramenta apropriada Na perícia de rede a análise de pacotes pode ser usada para coletar evidências para investigações de atividades digitais e para detectar tráfego e comportamento de rede malicioso incluindo tentativas de intrusão e uso indevido de rede e identificar ataques maninthemiddle e malware como ransomware Informações sobre redes às quais os dispositivos se conectam e os padrões de comunicação desses dispositivos podem fornecer aos investigadores forenses uma rica fonte de informações Beverly et al 2011 afirmam que o conjunto de endereços de protocolo da Internet IP de origem que um dispositivo adquiriu ao longo do tempo pode fornecer pistas sobre seus pontos de conexão de rede física e padrões de mobilidade Os endereços de destino dos pacotes IP podem fornecer uma imagem dos sites mais visitados das transferências de arquivos ou troca de email Como resultado a prática forense comumente vasculha o dispositivo de um sujeito em busca de informações de rede e apresentar essas informações a analistas e investigadores Os endereços Ethernet Media Access Control MAC também podem ter um valor forense significativo Os três primeiros octetos de um MAC Ethernet são atribuídos a fornecedores de equipamentos específicos e podem ser usados para inferir informações sobre o equipamento usando um endereço MAC específico Mas os endereços MAC de outras máquinas na subrede do dispositivo do sujeito também podem ser reveladores pois podem ser usados para determinar a localização física de um dispositivo O simples fato de um computador ter sido associado a uma rede física com ou sem fio também pode ser usado para inferir a associação em uma organização ou o acesso a um local físico Para uma análise de tráfego de rede o Perito Forense terá que analisar aspectos mais profundos pois essa análise depende de assinaturas de rede binárias de camada inferior como estruturas de dados de pacote e soquete Essas estruturas são criadas na memória e mantidas pelo sistema operacional durante o curso normal da atividade da rede No entanto as estruturas de rede não estão confinadas a imagens de memória pois são invariavelmente gravadas em armazenamento fixo de um computador Além disso programas de rede clientes e servidores de domínio clientes e servidores DHCP podem usar estruturas de dados de rede binárias ao armazenar configurações ou resultados de cache no sistema de arquivos tornando esses arquivos fontes de dados úteis A comunicação entre os dispositivos da rede é facilitada por meio de protocolos ou seja mecanismos para identificar e estabelecer conexões regras de formatação e convenções especificadas para transferência de dados Para Chapman 2016 os dados da rede podem ser analisados e o tráfego da rede segregado por tipo usando um software específico Os analisadores de protocolo projetados para análise de pacotes são chamados de analisadores de pacotes farejadores de pacotes ou analisadores de rede Essas ferramentas de software interceptam e registram o tráfego de rede que atravessa uma rede digital ou parte de uma rede por meio do processo de captura de pacotes Os pacotes capturados podem então ser analisados pela decodificação dos dados brutos dos pacotes e visualizados por meio da exibição de vários campos para interpretar o conteúdo Ao colocar um controlador de interface de rede com fio NIC ou controlador de interface de rede sem fio WNIC em modo promíscuo todo o tráfego de rede recebido pode ser passado para a unidade de processamento central CPU em vez de apenas aqueles quadros que o controlador está especificamente programado para receber Disponível na maioria das distribuições Linux o Berkeley Packet Filter BPF oferece suporte à filtragem de pacotes como receber apenas os pacotes que iniciam uma conexão TCP Como o BPF retorna apenas os pacotes que passam pelo filtro os pacotes irrelevantes não precisam ser copiados do sistema operacional para o kernel para serem processados melhorando significativamente o desempenho 4 CONCLUSÃO Asseguradamente a área de Pericia Digital é muito ampla porém para o Perito Forense ter um conhecimento geral das funcionalidades da arquitetura das redes é de relevante importância tendo em vista que a partir das informações iniciais tais como tipo de situação a ser analisado por exemplo se foi um ataque cibernético na camada de aplicação mais especificamente na criptografia de senhas complexidade do cenário qual a magnitude do ataque se foi em um servidor especifico ou vários servidores A partir das condições iniciais os trabalhos são norteados para a escolha de qual ferramenta se irá utilizar a partir do exemplo anterior se os dados foram descriptografados e alocados a outro tipo de endereço dentro da rede caberá ao agente especializado determinar a ferramenta mais conveniente como a técnica HASH é muito difundida no que tange ao universo da criptografia está poderia ser uma boa escolha Portanto o conhecimento à cerca da arquitetura de redes para o Perito Forense se faz de grande importância principalmente nos dias atuais onde cada vez mais pessoas estão conectadas a diversos tipo de redes o que torna cada vez mais essencial o conhecimento para melhorias contínuas destas evitando que dados sejam capturados e utilizados de maneira que venha a prejudicar alguém da mesma forma que o entendimento deste assunto para o agente especializado e habilitado faz com que coletas de evidências de crimes cibernéticos sejam exploradas da melhor maneira possível 5 REFERÊNCIAS BIBLIOGRÁFICAS 1 LOPES P Forense Digital 2016 Perícia Forense Computacional Disponível em httpspericiacomputacionalcompericiaforense computacional2 Acesso em 27 agosto 2022 2 JORGE H V N Investigação Criminal Tecnológica Volumes I e II Rio de Janeiro Brasport 2018 3 ENCASE OpenText EnCase Forensic c2021 Software de Evidências Forenses Disponível em httpssecurityopentextcomencaseforensic Acesso em 27 agosto 2022 4 ELEUTÉRIO P M D S MACHADO M P Desvendando a Computação Forense São Paulo Novatec 2012 5 BEVERLY R GARFINKEL S CARDWELL G Forensic Carving Of Network Packets And Associated Data Structures Digital Investigation v 8 p S78S89 2011 Disponível em httpsdoiorg101016jdiin201105010 Acesso em 26 agosto 2022 6 ARAÚJO S de Computação Forense Curitiba Contentus 2020 7 CHAPMAN C Using Wireshark and TCP dump to visualize traffic Network Performance and Security v 2 p 195225 2016 Disponível em httpswww researchgatenetpublication312132633UsingWiresharkandTCPdumpto visualizetraffic Acesso em 26 agosto 2022 8 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST Computer Security Guidelines For Media Sanitization Gaithersburg 2006 Disponível em httpsnvlpubsnistgov Acesso em 28 agosto 2022 9 MEROLA A Data Carvingconcepts 2008 Sans Infosec Reading RoomDisponível em httpswwwsansorgreadingroomwhitepapersforensics datacarving concepts32969 Acesso em 27 agosto 2022 10 GALVÃO M da C Fundamentos Em Segurança Da Informação Recife Pearson 2015 11 BRASIL Lei n 9296 de 24 de julho de 1996 Regulamenta o inciso XII parte final do art 5 da Constituição Federal Brasília DF Diário Oficinal da República Federativa do Brasil Disponível em httpwwwplanaltogovbr ccivil03leisl9296htm Acesso em 28 agosto 2022 12 GARFINKEL S L Carving Contiguous And Fragmented Files With Fast Object Validation Digital Investigation 4S 2007 p S1S12 Disponível em httpsdoi org101016jdiin200706017 Acesso em 26 agosto 2022 13 REIS F M dos Forense computacional técnicas para preservação de evidências em coleta e análise de artefatos Brasil Escola 2019 Disponível em httpsmonografiasbrasilescolauolcombrcomputacaoforensecomputacional tecnicasparapreservacaoevidenciascoletaanaliseartefatos htm Acesso em 28 agosto 2022
Send your question to AI and receive an answer instantly
Recommended for you
3
Estudo de Caso: Transformação Digital na PCL Construction
Laboratório de Sistemas Digitais
IFMG
4
A Tecnologia na Pandemia: Impactos e Aplicações
Laboratório de Sistemas Digitais
IFMG
1
Artigo Cientifico Sistemas de Informacao - Analise e Tendencias
Laboratório de Sistemas Digitais
IFMG
2
Estudo de Caso sobre Uso de Dados na NFL
Laboratório de Sistemas Digitais
IFMG
1
Análise da Integração do Processo de Negócios na Produção de Produtos Químicos
Laboratório de Sistemas Digitais
IFMG
3
Estudo de Caso: UPS e a Competitividade Global com Tecnologia da Informação
Laboratório de Sistemas Digitais
IFMG
Preview text
Entregar um artigo cient fico com o tema Sistemas de Informacao NOME DA UNIVERDADE NOME DO CURSO ASPECTOS RELEVANTES SOBRE O CONHECIMENTO DA ARQUITETURA DE REDE PARA UM PERITO FORENSE Aluno NOME DO ALUNO Professor NOME DO PROFESSOR CIDADE 2022 1 INTRODUÇÃO A análise forense digital consiste em utilizar ferramentas e técnicas para recuperar preservar e analisar dados armazenados ou transmitidos em formato binário ou seja contidos em qualquer dispositivo computacional sendo capaz de interpretar informações criadas digitalmente A análise forense é a principal atividade que compõe a perícia forense Nessa etapa o perito executa suas atividades com base em perguntaschave Adaptadas ao ambiente periciado todas elas fazem parte da análise de segurança de determinado sistema computacional devendo considerar que o perito seja capaz de aplicar seu conhecimento estando apto para defender argumentos importantes no processo 1 Quando um crime precisa ser detectado e analisado algumas habilidades técnicas são importantes para determinar a forma como a máquina suspeita pode ser considerada um alvo de ataques cibernético Para tanto a visão de um usuário comum não é suficiente para coletar os vestígios e produzir provas capazes de desvendar um mistério computacional principalmente quando a situação envolve um ambiente de alta complexidade 2 Para observar o sistema como um detetive que examina a cena de um crime a visão de programadores e especialistas é muito importante sobretudo quando consideramos que erros e rastros minimamente esquecidos por um atacante precisam ser analisados de forma aprofundada mas os aspectos legais e o uso de informações privadas precisam ser atendidos 3 Seja pela análise de um códigofonte arquitetura e redes de computadores ou aplicando corretamente o raciocínio lógico o entendimento das relações de causa e efeito capazes de gerar panes e problemas de funcionalidade em sistemas computacionais entre outras consequências as tarefas sempre devem ser executadas com total legalidade sobre os métodos e práticas da perícia forense Quando o mandato é expedido o perito fica liberado para realizar a identificação do local do crime além de iniciar a seleção de todo e qualquer equipamento que possa servir como prova e deva ser apreendido como discos servidores pen drives e até mesmo documentos impressos ou copiados por meio de dispositivos de imagem 3 Durante todo o procedimento de investigação forense o manuseio das informações deve seguir leis normas e padrões estabelecidos a fim de garantir que a análise forense seja realizada corretamente 2 REVISÃO BIBLIOGRÁFICA Uma evidência digital é definida como qualquer dado armazenado processado ou transmitido por meio de um dispositivo digital ou eletrônico podendo ser utilizado como informação de apoio ou refutação em relação a um incidente a ser comprovado por um álibi ou comprovação 4 Nesse contexto os dados são essencialmente uma combinação de informações de tipos diferentes texto imagens áudios e vídeos recuperados de várias fontes e denominados em conjunto de evidência digital Os sistemas computacionais em que as evidências podem ser coletadas costumam ser categorizados nos seguintes grupos 4 Sistema de computador aberto um sistema de discos rígidos teclados e monitores como laptops desktops e servidores em conformidade com o padrão Esses sistemas se tornaram indispensáveis à medida que o espaço de armazenamento continua aumentando Arquivos simples podem conter informações criminais e atributos relevantes para as investigações Sistema de comunicação corresponde aos sistemas tradicionais de telefonia sistemas de telecomunicações sem fio internet e redes gerais Para acessar esse tipo de informação pode ser necessário verificar os arquivos de log de servidores intermediários e roteadores que processam mensagens específicas Sistemas integrados são dispositivos móveis cartões inteligentes e outros sistemas com computadores integrados Eles podem conter comunicações fotos vídeos e outros dados pessoais assim como os sistemas de navegação podem ser usados para determinar o caminho do veículo 21 CONCEITO DE ARQUITETURA DE REDES O desenvolvimento de uma arquitetura de redes de computadores consiste em uma tarefa complexa pois envolve inúmeros aspectos de hardware e software como interface com o meio de transmissão especificação verificação e implementação de protocolos integração com o sistema operacional controle de erros segurança e desempenho 5 O modelo de camadas surgiu para reduzir a complexidade do projeto de arquitetura de redes A ideia do modelo de camadas consiste em dividir o projeto de redes em funções independentes e agrupálas em camadas Dessa forma cada nível é responsável por determinados serviços e apenas aquela camada pode oferecêlos 6 Além disso o modelo implementa regras para a comunicação entre as camadas isolando suas funções e garantido a independência entre elas 6 22 APLICAÇÃO DO CONHECIMENTO DE ARQUITETURA DE REDES NA PERÍCIA FORENSE 221 HASH Hashing é uma técnica de programação na qual uma string de caracteres uma mensagem de texto por exemplo é convertida em um valor menor também conhecido como chave ou valor hash Essa chave que é sempre única e tem um comprimento fixo representa a string original 7 O algoritmo da função hash é especialmente usado em TI e perícia digital O valor da função hash é usado na autenticação de mensagens assinaturas digitais e várias autenticações como códigos de autenticação de mensagens MACs etc 8 Eles também são usados em hash para impressão digital identificações identificação de arquivos somas de verificação e detecção de duplicatas O hash é comumente usado para criptografia de dados Alguns algoritmos de função hash forense populares são MD5 SHA1 e SHA256 Na próxima seção descreveremos cada um deles em detalhes 9 222 CAPTURA DE TRÁFEGO Interceptação de tráfego de rede para posterior extração de dados considerados relevantes 10 Origem e destinos da comunicação Protocolos e serviços utilizados Remontagem dos fluxos de dados Análise do seu conteúdo Interceptação de tráfego é considerada legal quando realizada por agente ou perito autorizado A Lei n 929696 11 regulamenta a interceptação do fluxo de comunicações em sistemas de informática e telemática No entanto há também a chamada Interceptação de tráfego Ilegal quando não é feita por um agente autorizado cujo objetivo é obter informação de modo ilegal Dentre os tipos de Interceptações Ilegais existem o pharming o Session hijacking sequestro de cookies e o maninthemiddle 12 Pharming é uma prática fraudulenta na qual um código malicioso é instalado em um computador pessoal PC ou servidor direcionando os usuários para sites fraudulentos sem o seu conhecimento ou consentimento O objetivo é que os usuários insiram suas informações pessoais Depois que informações como número de cartão de crédito número de conta bancária ou senha são inseridas em um site fraudulento os criminosos as possuem e o roubo de identidade pode ser o resultado 12 O Session hijacking é o sequestro de uma sessão Um usuário em uma sessão pode ser sequestrado por um invasor e perder o controle da sessão por completo onde seus dados pessoais podem ser facilmente roubados Depois que um usuário inicia uma sessão como fazendo login em um site de banco um invasor pode sequestrálo Para sequestrar uma sessão o invasor precisa ter um conhecimento substancial da sessão de cookie do usuário Embora qualquer sessão possa ser hackeada é mais comum em sessões de navegador em aplicativos da web 12 Já o ataque maninthemiddle é um tipo de ataque em que os invasores interceptam uma conversa ou intercâmbio de dados existente Nesse processo fingem ser o participante real da outra ponta da conversa Isso permite que um invasor intercepte informações e dados de qualquer uma das partes e ao mesmo tempo envie links maliciosos ou outras informações para os dois participantes legítimos de uma forma que pode não ser detectada até que seja tarde demais 12 Esse tipo de ataque maninthemiddle é facilitado pelo uso de redes WiFi abertas e sem criptografia A interceptação legal ou grampo legal como também é conhecida apareceu na apresentação dos sistemas utilizados pela polícia brasileira Um desses sistemas é o Guardião utilizado pela polícia civil para monitorar de maneira autorizada pela justiça 223 FERRAMENTA FORENSE AVANÇADA OWASP SSL AUDITORIA OWASP Um exemplo de ferramenta avançada é o OSaft uma ferramenta fácil de usar para mostrar informações sobre o certificado SSL e testar a conexão SSL de acordo com determinada lista de cifras e várias configurações SSL Ele é projetado para ser usado por testadores de penetração auditores de segurança ou administradores de servidor A ideia é mostrar as informações importantes ou as verificações especiais com uma simples chamada da ferramenta No entanto ele oferece uma ampla gama de opções para que possa ser usado para verificações abrangentes e especiais por pessoas experientes OSaft é uma ferramenta de linha de comando portanto pode ser usada offline e em ambientes fechados Também existe uma GUI baseada em TclTk No entanto pode simplesmente ser transformado em uma ferramenta CGI online Outro exemplo de software é o Wireshark que coloca a rede em modo promíscuo possibilitando a análise e captura dos pacotes que circulam na rede É uma ferramenta Open Source e muito robusta que possui uma interface gráfica bem intuitiva para quem trabalha com redes e está familiarizado com as camadas dos protocolos 3 METODOLOGIA E RESULTADOS Indubitavelmente com a evolução dos sistemas de comunicação principalmente das redes de computadores que abarcam praticamente todos os sistemas que as pessoas e empresas utilizam em seu dia a dia tais como Internet Banking transporte e alimentação por aplicativo Comunicação Empresarial entre filiais de diferentes países e etc a prática criminosa também tende a aumentar haja vista que o número de usuários das redes de comunicação também aumenta Desta forma se faz de suma importância o conhecimento da arquitetura de redes para o Perito Forense pois entender e compreender os meios mais cruciais de vulnerabilidades das redes como por exemplo a utilização de cada camada do Modelo OSI Segurança de Servidores tanto locais como web é um dos passos primordiais para que se possa realizar uma perícia no âmbito digital adequada Como já exposto anteriormente há técnicas e ferramentas que fornecem um ótimo suporte para o Perito Forense como a técnica HASH e as Ferramenta OSaft São indissociáveis o conhecimento técnico e o uso das ferramentas uma vez que o conhecimento técnico conduz para a utilização da ferramenta apropriada Na perícia de rede a análise de pacotes pode ser usada para coletar evidências para investigações de atividades digitais e para detectar tráfego e comportamento de rede malicioso incluindo tentativas de intrusão e uso indevido de rede e identificar ataques man inthemiddle e malware como ransomware Informações sobre redes às quais os dispositivos se conectam e os padrões de comunicação desses dispositivos podem fornecer aos investigadores forenses uma rica fonte de informações Beverly et al 2011 afirmam que o conjunto de endereços de protocolo da Internet IP de origem que um dispositivo adquiriu ao longo do tempo pode fornecer pistas sobre seus pontos de conexão de rede física e padrões de mobilidade Os endereços de destino dos pacotes IP podem fornecer uma imagem dos sites mais visitados das transferências de arquivos ou troca de email Como resultado a prática forense comumente vasculha o dispositivo de um sujeito em busca de informações de rede e apresentar essas informações a analistas e investigadores Os endereços Ethernet Media Access Control MAC também podem ter um valor forense significativo Os três primeiros octetos de um MAC Ethernet são atribuídos a fornecedores de equipamentos específicos e podem ser usados para inferir informações sobre o equipamento usando um endereço MAC específico Mas os endereços MAC de outras máquinas na subrede do dispositivo do sujeito também podem ser reveladores pois podem ser usados para determinar a localização física de um dispositivo O simples fato de um computador ter sido associado a uma rede física com ou sem fio também pode ser usado para inferir a associação em uma organização ou o acesso a um local físico Para uma análise de tráfego de rede o Perito Forense terá que analisar aspectos mais profundos pois essa análise depende de assinaturas de rede binárias de camada inferior como estruturas de dados de pacote e soquete Essas estruturas são criadas na memória e mantidas pelo sistema operacional durante o curso normal da atividade da rede No entanto as estruturas de rede não estão confinadas a imagens de memória pois são invariavelmente gravadas em armazenamento fixo de um computador Além disso programas de rede clientes e servidores de domínio clientes e servidores DHCP podem usar estruturas de dados de rede binárias ao armazenar configurações ou resultados de cache no sistema de arquivos tornando esses arquivos fontes de dados úteis A comunicação entre os dispositivos da rede é facilitada por meio de protocolos ou seja mecanismos para identificar e estabelecer conexões regras de formatação e convenções especificadas para transferência de dados Para Chapman 2016 os dados da rede podem ser analisados e o tráfego da rede segregado por tipo usando um software específico Os analisadores de protocolo projetados para análise de pacotes são chamados de analisadores de pacotes farejadores de pacotes ou analisadores de rede Essas ferramentas de software interceptam e registram o tráfego de rede que atravessa uma rede digital ou parte de uma rede por meio do processo de captura de pacotes Os pacotes capturados podem então ser analisados pela decodificação dos dados brutos dos pacotes e visualizados por meio da exibição de vários campos para interpretar o conteúdo Ao colocar um controlador de interface de rede com fio NIC ou controlador de interface de rede sem fio WNIC em modo promíscuo todo o tráfego de rede recebido pode ser passado para a unidade de processamento central CPU em vez de apenas aqueles quadros que o controlador está especificamente programado para receber Disponível na maioria das distribuições Linux o Berkeley Packet Filter BPF oferece suporte à filtragem de pacotes como receber apenas os pacotes que iniciam uma conexão TCP Como o BPF retorna apenas os pacotes que passam pelo filtro os pacotes irrelevantes não precisam ser copiados do sistema operacional para o kernel para serem processados melhorando significativamente o desempenho 4 CONCLUSÃO Asseguradamente a área de Pericia Digital é muito ampla porém para o Perito Forense ter um conhecimento geral das funcionalidades da arquitetura das redes é de relevante importância tendo em vista que a partir das informações iniciais tais como tipo de situação a ser analisado por exemplo se foi um ataque cibernético na camada de aplicação mais especificamente na criptografia de senhas complexidade do cenário qual a magnitude do ataque se foi em um servidor especifico ou vários servidores A partir das condições iniciais os trabalhos são norteados para a escolha de qual ferramenta se irá utilizar a partir do exemplo anterior se os dados foram descriptografados e alocados a outro tipo de endereço dentro da rede caberá ao agente especializado determinar a ferramenta mais conveniente como a técnica HASH é muito difundida no que tange ao universo da criptografia está poderia ser uma boa escolha Portanto o conhecimento à cerca da arquitetura de redes para o Perito Forense se faz de grande importância principalmente nos dias atuais onde cada vez mais pessoas estão conectadas a diversos tipo de redes o que torna cada vez mais essencial o conhecimento para melhorias contínuas destas evitando que dados sejam capturados e utilizados de maneira que venha a prejudicar alguém da mesma forma que o entendimento deste assunto para o agente especializado e habilitado faz com que coletas de evidências de crimes cibernéticos sejam exploradas da melhor maneira possível 5 REFERÊNCIAS BIBLIOGRÁFICAS 1 LOPES P Forense Digital 2016 Perícia Forense Computacional Disponível em httpspericiacomputacionalcompericiaforense computacional2 Acesso em 27 agosto 2022 2 JORGE H V N Investigação Criminal Tecnológica Volumes I e II Rio de Janeiro Brasport 2018 3 ENCASE OpenText EnCase Forensic c2021 Software de Evidências Forenses Disponível em httpssecurityopentextcomencaseforensic Acesso em 27 agosto 2022 4 ELEUTÉRIO P M D S MACHADO M P Desvendando a Computação Forense São Paulo Novatec 2012 5 BEVERLY R GARFINKEL S CARDWELL G Forensic Carving Of Network Packets And Associated Data Structures Digital Investigation v 8 p S78S89 2011 Disponível em httpsdoiorg101016jdiin201105010 Acesso em 26 agosto 2022 6 ARAÚJO S de Computação Forense Curitiba Contentus 2020 7 CHAPMAN C Using Wireshark and TCP dump to visualize traffic Network Performance and Security v 2 p 195225 2016 Disponível em httpswww researchgatenetpublication312132633UsingWiresharkandTCPdumpto visualizetraffic Acesso em 26 agosto 2022 8 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST Computer Security Guidelines For Media Sanitization Gaithersburg 2006 Disponível em httpsnvlpubsnistgov Acesso em 28 agosto 2022 9 MEROLA A Data Carvingconcepts 2008 Sans Infosec Reading RoomDisponível em httpswwwsansorgreading roomwhitepapersforensics datacarvingconcepts32969 Acesso em 27 agosto 2022 10 GALVÃO M da C Fundamentos Em Segurança Da Informação Recife Pearson 2015 11 BRASIL Lei n 9296 de 24 de julho de 1996 Regulamenta o inciso XII parte final do art 5 da Constituição Federal Brasília DF Diário Oficinal da República Federativa do Brasil Disponível em httpwwwplanaltogovbr ccivil03leisl9296htm Acesso em 28 agosto 2022 12 GARFINKEL S L Carving Contiguous And Fragmented Files With Fast Object Validation Digital Investigation 4S 2007 p S1S12 Disponível em httpsdoi org101016jdiin200706017 Acesso em 26 agosto 2022 13 REIS F M dos Forense computacional técnicas para preservação de evidências em coleta e análise de artefatos Brasil Escola 2019 Disponível em httpsmonografiasbrasilescolauolcombrcomputacaoforensecomputacional tecnicasparapreservacaoevidenciascoletaanaliseartefatos htm Acesso em 28 agosto 2022 NOME DA UNIVERDADE NOME DO CURSO ASPECTOS RELEVANTES SOBRE O CONHECIMENTO DA ARQUITETURA DE REDE PARA UM PERITO FORENSE Aluno NOME DO ALUNO Professor NOME DO PROFESSOR CIDADE 2022 1 INTRODUÇÃO A análise forense digital consiste em utilizar ferramentas e técnicas para recuperar preservar e analisar dados armazenados ou transmitidos em formato binário ou seja contidos em qualquer dispositivo computacional sendo capaz de interpretar informações criadas digitalmente A análise forense é a principal atividade que compõe a perícia forense Nessa etapa o perito executa suas atividades com base em perguntaschave Adaptadas ao ambiente periciado todas elas fazem parte da análise de segurança de determinado sistema computacional devendo considerar que o perito seja capaz de aplicar seu conhecimento estando apto para defender argumentos importantes no processo 1 Quando um crime precisa ser detectado e analisado algumas habilidades técnicas são importantes para determinar a forma como a máquina suspeita pode ser considerada um alvo de ataques cibernético Para tanto a visão de um usuário comum não é suficiente para coletar os vestígios e produzir provas capazes de desvendar um mistério computacional principalmente quando a situação envolve um ambiente de alta complexidade 2 Para observar o sistema como um detetive que examina a cena de um crime a visão de programadores e especialistas é muito importante sobretudo quando consideramos que erros e rastros minimamente esquecidos por um atacante precisam ser analisados de forma aprofundada mas os aspectos legais e o uso de informações privadas precisam ser atendidos 3 Seja pela análise de um códigofonte arquitetura e redes de computadores ou aplicando corretamente o raciocínio lógico o entendimento das relações de causa e efeito capazes de gerar panes e problemas de funcionalidade em sistemas computacionais entre outras consequências as tarefas sempre devem ser executadas com total legalidade sobre os métodos e práticas da perícia forense Quando o mandato é expedido o perito fica liberado para realizar a identificação do local do crime além de iniciar a seleção de todo e qualquer equipamento que possa servir como prova e deva ser apreendido como discos servidores pen drives e até mesmo documentos impressos ou copiados por meio de dispositivos de imagem 3 Durante todo o procedimento de investigação forense o manuseio das informações deve seguir leis normas e padrões estabelecidos a fim de garantir que a análise forense seja realizada corretamente 2 REVISÃO BIBLIOGRÁFICA Uma evidência digital é definida como qualquer dado armazenado processado ou transmitido por meio de um dispositivo digital ou eletrônico podendo ser utilizado como informação de apoio ou refutação em relação a um incidente a ser comprovado por um álibi ou comprovação 4 Nesse contexto os dados são essencialmente uma combinação de informações de tipos diferentes texto imagens áudios e vídeos recuperados de várias fontes e denominados em conjunto de evidência digital Os sistemas computacionais em que as evidências podem ser coletadas costumam ser categorizados nos seguintes grupos 4 Sistema de computador aberto um sistema de discos rígidos teclados e monitores como laptops desktops e servidores em conformidade com o padrão Esses sistemas se tornaram indispensáveis à medida que o espaço de armazenamento continua aumentando Arquivos simples podem conter informações criminais e atributos relevantes para as investigações Sistema de comunicação corresponde aos sistemas tradicionais de telefonia sistemas de telecomunicações sem fio internet e redes gerais Para acessar esse tipo de informação pode ser necessário verificar os arquivos de log de servidores intermediários e roteadores que processam mensagens específicas Sistemas integrados são dispositivos móveis cartões inteligentes e outros sistemas com computadores integrados Eles podem conter comunicações fotos vídeos e outros dados pessoais assim como os sistemas de navegação podem ser usados para determinar o caminho do veículo 21 CONCEITO DE ARQUITETURA DE REDES O desenvolvimento de uma arquitetura de redes de computadores consiste em uma tarefa complexa pois envolve inúmeros aspectos de hardware e software como interface com o meio de transmissão especificação verificação e implementação de protocolos integração com o sistema operacional controle de erros segurança e desempenho 5 O modelo de camadas surgiu para reduzir a complexidade do projeto de arquitetura de redes A ideia do modelo de camadas consiste em dividir o projeto de redes em funções independentes e agrupálas em camadas Dessa forma cada nível é responsável por determinados serviços e apenas aquela camada pode oferecêlos 6 Além disso o modelo implementa regras para a comunicação entre as camadas isolando suas funções e garantido a independência entre elas 6 22 APLICAÇÃO DO CONHECIMENTO DE ARQUITETURA DE REDES NA PERÍCIA FORENSE 221 HASH Hashing é uma técnica de programação na qual uma string de caracteres uma mensagem de texto por exemplo é convertida em um valor menor também conhecido como chave ou valor hash Essa chave que é sempre única e tem um comprimento fixo representa a string original 7 O algoritmo da função hash é especialmente usado em TI e perícia digital O valor da função hash é usado na autenticação de mensagens assinaturas digitais e várias autenticações como códigos de autenticação de mensagens MACs etc 8 Eles também são usados em hash para impressão digital identificações identificação de arquivos somas de verificação e detecção de duplicatas O hash é comumente usado para criptografia de dados Alguns algoritmos de função hash forense populares são MD5 SHA1 e SHA256 Na próxima seção descreveremos cada um deles em detalhes 9 222 CAPTURA DE TRÁFEGO Interceptação de tráfego de rede para posterior extração de dados considerados relevantes 10 Origem e destinos da comunicação Protocolos e serviços utilizados Remontagem dos fluxos de dados Análise do seu conteúdo Interceptação de tráfego é considerada legal quando realizada por agente ou perito autorizado A Lei n 929696 11 regulamenta a interceptação do fluxo de comunicações em sistemas de informática e telemática No entanto há também a chamada Interceptação de tráfego Ilegal quando não é feita por um agente autorizado cujo objetivo é obter informação de modo ilegal Dentre os tipos de Interceptações Ilegais existem o pharming o Session hijacking sequestro de cookies e o maninthemiddle 12 Pharming é uma prática fraudulenta na qual um código malicioso é instalado em um computador pessoal PC ou servidor direcionando os usuários para sites fraudulentos sem o seu conhecimento ou consentimento O objetivo é que os usuários insiram suas informações pessoais Depois que informações como número de cartão de crédito número de conta bancária ou senha são inseridas em um site fraudulento os criminosos as possuem e o roubo de identidade pode ser o resultado 12 O Session hijacking é o sequestro de uma sessão Um usuário em uma sessão pode ser sequestrado por um invasor e perder o controle da sessão por completo onde seus dados pessoais podem ser facilmente roubados Depois que um usuário inicia uma sessão como fazendo login em um site de banco um invasor pode sequestrálo Para sequestrar uma sessão o invasor precisa ter um conhecimento substancial da sessão de cookie do usuário Embora qualquer sessão possa ser hackeada é mais comum em sessões de navegador em aplicativos da web 12 Já o ataque maninthemiddle é um tipo de ataque em que os invasores interceptam uma conversa ou intercâmbio de dados existente Nesse processo fingem ser o participante real da outra ponta da conversa Isso permite que um invasor intercepte informações e dados de qualquer uma das partes e ao mesmo tempo envie links maliciosos ou outras informações para os dois participantes legítimos de uma forma que pode não ser detectada até que seja tarde demais 12 Esse tipo de ataque maninthemiddle é facilitado pelo uso de redes WiFi abertas e sem criptografia A interceptação legal ou grampo legal como também é conhecida apareceu na apresentação dos sistemas utilizados pela polícia brasileira Um desses sistemas é o Guardião utilizado pela polícia civil para monitorar de maneira autorizada pela justiça 223 FERRAMENTA FORENSE AVANÇADA OWASP SSL AUDITORIA OWASP Um exemplo de ferramenta avançada é o OSaft uma ferramenta fácil de usar para mostrar informações sobre o certificado SSL e testar a conexão SSL de acordo com determinada lista de cifras e várias configurações SSL Ele é projetado para ser usado por testadores de penetração auditores de segurança ou administradores de servidor A ideia é mostrar as informações importantes ou as verificações especiais com uma simples chamada da ferramenta No entanto ele oferece uma ampla gama de opções para que possa ser usado para verificações abrangentes e especiais por pessoas experientes OSaft é uma ferramenta de linha de comando portanto pode ser usada offline e em ambientes fechados Também existe uma GUI baseada em TclTk No entanto pode simplesmente ser transformado em uma ferramenta CGI online Outro exemplo de software é o Wireshark que coloca a rede em modo promíscuo possibilitando a análise e captura dos pacotes que circulam na rede É uma ferramenta Open Source e muito robusta que possui uma interface gráfica bem intuitiva para quem trabalha com redes e está familiarizado com as camadas dos protocolos 3 METODOLOGIA E RESULTADOS Indubitavelmente com a evolução dos sistemas de comunicação principalmente das redes de computadores que abarcam praticamente todos os sistemas que as pessoas e empresas utilizam em seu dia a dia tais como Internet Banking transporte e alimentação por aplicativo Comunicação Empresarial entre filiais de diferentes países e etc a prática criminosa também tende a aumentar haja vista que o número de usuários das redes de comunicação também aumenta Desta forma se faz de suma importância o conhecimento da arquitetura de redes para o Perito Forense pois entender e compreender os meios mais cruciais de vulnerabilidades das redes como por exemplo a utilização de cada camada do Modelo OSI Segurança de Servidores tanto locais como web é um dos passos primordiais para que se possa realizar uma perícia no âmbito digital adequada Como já exposto anteriormente há técnicas e ferramentas que fornecem um ótimo suporte para o Perito Forense como a técnica HASH e as Ferramenta OSaft São indissociáveis o conhecimento técnico e o uso das ferramentas uma vez que o conhecimento técnico conduz para a utilização da ferramenta apropriada Na perícia de rede a análise de pacotes pode ser usada para coletar evidências para investigações de atividades digitais e para detectar tráfego e comportamento de rede malicioso incluindo tentativas de intrusão e uso indevido de rede e identificar ataques maninthemiddle e malware como ransomware Informações sobre redes às quais os dispositivos se conectam e os padrões de comunicação desses dispositivos podem fornecer aos investigadores forenses uma rica fonte de informações Beverly et al 2011 afirmam que o conjunto de endereços de protocolo da Internet IP de origem que um dispositivo adquiriu ao longo do tempo pode fornecer pistas sobre seus pontos de conexão de rede física e padrões de mobilidade Os endereços de destino dos pacotes IP podem fornecer uma imagem dos sites mais visitados das transferências de arquivos ou troca de email Como resultado a prática forense comumente vasculha o dispositivo de um sujeito em busca de informações de rede e apresentar essas informações a analistas e investigadores Os endereços Ethernet Media Access Control MAC também podem ter um valor forense significativo Os três primeiros octetos de um MAC Ethernet são atribuídos a fornecedores de equipamentos específicos e podem ser usados para inferir informações sobre o equipamento usando um endereço MAC específico Mas os endereços MAC de outras máquinas na subrede do dispositivo do sujeito também podem ser reveladores pois podem ser usados para determinar a localização física de um dispositivo O simples fato de um computador ter sido associado a uma rede física com ou sem fio também pode ser usado para inferir a associação em uma organização ou o acesso a um local físico Para uma análise de tráfego de rede o Perito Forense terá que analisar aspectos mais profundos pois essa análise depende de assinaturas de rede binárias de camada inferior como estruturas de dados de pacote e soquete Essas estruturas são criadas na memória e mantidas pelo sistema operacional durante o curso normal da atividade da rede No entanto as estruturas de rede não estão confinadas a imagens de memória pois são invariavelmente gravadas em armazenamento fixo de um computador Além disso programas de rede clientes e servidores de domínio clientes e servidores DHCP podem usar estruturas de dados de rede binárias ao armazenar configurações ou resultados de cache no sistema de arquivos tornando esses arquivos fontes de dados úteis A comunicação entre os dispositivos da rede é facilitada por meio de protocolos ou seja mecanismos para identificar e estabelecer conexões regras de formatação e convenções especificadas para transferência de dados Para Chapman 2016 os dados da rede podem ser analisados e o tráfego da rede segregado por tipo usando um software específico Os analisadores de protocolo projetados para análise de pacotes são chamados de analisadores de pacotes farejadores de pacotes ou analisadores de rede Essas ferramentas de software interceptam e registram o tráfego de rede que atravessa uma rede digital ou parte de uma rede por meio do processo de captura de pacotes Os pacotes capturados podem então ser analisados pela decodificação dos dados brutos dos pacotes e visualizados por meio da exibição de vários campos para interpretar o conteúdo Ao colocar um controlador de interface de rede com fio NIC ou controlador de interface de rede sem fio WNIC em modo promíscuo todo o tráfego de rede recebido pode ser passado para a unidade de processamento central CPU em vez de apenas aqueles quadros que o controlador está especificamente programado para receber Disponível na maioria das distribuições Linux o Berkeley Packet Filter BPF oferece suporte à filtragem de pacotes como receber apenas os pacotes que iniciam uma conexão TCP Como o BPF retorna apenas os pacotes que passam pelo filtro os pacotes irrelevantes não precisam ser copiados do sistema operacional para o kernel para serem processados melhorando significativamente o desempenho 4 CONCLUSÃO Asseguradamente a área de Pericia Digital é muito ampla porém para o Perito Forense ter um conhecimento geral das funcionalidades da arquitetura das redes é de relevante importância tendo em vista que a partir das informações iniciais tais como tipo de situação a ser analisado por exemplo se foi um ataque cibernético na camada de aplicação mais especificamente na criptografia de senhas complexidade do cenário qual a magnitude do ataque se foi em um servidor especifico ou vários servidores A partir das condições iniciais os trabalhos são norteados para a escolha de qual ferramenta se irá utilizar a partir do exemplo anterior se os dados foram descriptografados e alocados a outro tipo de endereço dentro da rede caberá ao agente especializado determinar a ferramenta mais conveniente como a técnica HASH é muito difundida no que tange ao universo da criptografia está poderia ser uma boa escolha Portanto o conhecimento à cerca da arquitetura de redes para o Perito Forense se faz de grande importância principalmente nos dias atuais onde cada vez mais pessoas estão conectadas a diversos tipo de redes o que torna cada vez mais essencial o conhecimento para melhorias contínuas destas evitando que dados sejam capturados e utilizados de maneira que venha a prejudicar alguém da mesma forma que o entendimento deste assunto para o agente especializado e habilitado faz com que coletas de evidências de crimes cibernéticos sejam exploradas da melhor maneira possível 5 REFERÊNCIAS BIBLIOGRÁFICAS 1 LOPES P Forense Digital 2016 Perícia Forense Computacional Disponível em httpspericiacomputacionalcompericiaforense computacional2 Acesso em 27 agosto 2022 2 JORGE H V N Investigação Criminal Tecnológica Volumes I e II Rio de Janeiro Brasport 2018 3 ENCASE OpenText EnCase Forensic c2021 Software de Evidências Forenses Disponível em httpssecurityopentextcomencaseforensic Acesso em 27 agosto 2022 4 ELEUTÉRIO P M D S MACHADO M P Desvendando a Computação Forense São Paulo Novatec 2012 5 BEVERLY R GARFINKEL S CARDWELL G Forensic Carving Of Network Packets And Associated Data Structures Digital Investigation v 8 p S78S89 2011 Disponível em httpsdoiorg101016jdiin201105010 Acesso em 26 agosto 2022 6 ARAÚJO S de Computação Forense Curitiba Contentus 2020 7 CHAPMAN C Using Wireshark and TCP dump to visualize traffic Network Performance and Security v 2 p 195225 2016 Disponível em httpswww researchgatenetpublication312132633UsingWiresharkandTCPdumpto visualizetraffic Acesso em 26 agosto 2022 8 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST Computer Security Guidelines For Media Sanitization Gaithersburg 2006 Disponível em httpsnvlpubsnistgov Acesso em 28 agosto 2022 9 MEROLA A Data Carvingconcepts 2008 Sans Infosec Reading RoomDisponível em httpswwwsansorgreadingroomwhitepapersforensics datacarving concepts32969 Acesso em 27 agosto 2022 10 GALVÃO M da C Fundamentos Em Segurança Da Informação Recife Pearson 2015 11 BRASIL Lei n 9296 de 24 de julho de 1996 Regulamenta o inciso XII parte final do art 5 da Constituição Federal Brasília DF Diário Oficinal da República Federativa do Brasil Disponível em httpwwwplanaltogovbr ccivil03leisl9296htm Acesso em 28 agosto 2022 12 GARFINKEL S L Carving Contiguous And Fragmented Files With Fast Object Validation Digital Investigation 4S 2007 p S1S12 Disponível em httpsdoi org101016jdiin200706017 Acesso em 26 agosto 2022 13 REIS F M dos Forense computacional técnicas para preservação de evidências em coleta e análise de artefatos Brasil Escola 2019 Disponível em httpsmonografiasbrasilescolauolcombrcomputacaoforensecomputacional tecnicasparapreservacaoevidenciascoletaanaliseartefatos htm Acesso em 28 agosto 2022