Hackers e Técnicas Antiforense: Desafios para os especialistas

Neste artigo abordaremos as chamadas técnicas antiforenses. O tema será apresentado com foco na conduta do usuário destas técnicas e o seu impacto no trabalho do especialista forense. Hackers e Técnicas Antiforense.

“Se você controlar os bytes de bits em seu computador e souber como as ferramentas forenses funcionam, poderá controlar a direção de uma investigação forense.” Plausible Deniability Toolkit

Porém, é importante ressaltar que nossos objetivos aqui não são fornecer supedâneo para o cibercriminoso, mas levantar os desafios envolvidos no trabalho do perito e demais profissionais especialistas que venham a lidar com estas técnicas.

A DEFCON, principal evento de cibersegurança do mundo, possui sua Village Forense e constantemente traz a baila o tema das técnicas que serão citadas aqui.

Segundo Tony Rodrigues e Diego Fuschini em “Tratado de Computação Forense” (Millenium Editora, 2016), as técnicas denominadas antiforenses “objetivam inviabilizar, dificultar, iludir ou, até mesmo, impossibilitar que a análise forense ocorra”.

As ciências forenses como um todo e consequentemente a Forense Digital se apoiam em metodologias e processos consolidados. Quando não existir um processo estabelecido para um caso específico, retorna-se à metodologia, procurando os meios para o trabalho.

O princípio da troca de Locard, estabelecido por Edmond Locard, propõe que qualquer contato deixa rastros, ou seja qualquer indivíduo que entre em um local de crime leva consigo algo do local e deixa algo para trás. Estas trocas geradas pelo contato, quando passíveis de identificação, podem, tornam-se evidências do contato, documentadas e correlacionadas.

Desafios da Forense Digital

A Forense Digital enfrenta desafios próprios na aquisição de evidências. Um exemplo destes desafios é a aquisição de dados voláteis, como aqueles em memória ram (assista ao nosso webinar sobre coleta em memória). Neste caso o contato necessário à aquisição da evidência pode afetá-la, inutilizando os processos posteriores. Hackers e Técnicas Antiforense

“Não é possível determinar ao mesmo tempo a posição correta e o momentum de uma partícula” – Princípio da Incerteza – Werner Heisenberg

Aqui a Forense Digital toma de empréstimo o Princípio da Incerteza de Heisenberg, para salientar que a efemeridade destes dados e sua aquisição podem conflitar. Para evitar a destruição de evidências e uma correta aquisição das mesmas, utilizando uma metodologia que priorize primeiramente a aquisição dos dados em sua ordem do mais volátil para o menos volátil, podemos garantir que uma ação não interfira ou mesmo impossibilite a realização de outra. Para saber mais o leitor pode consultar a Ordem de Volatilidade apresentada na RFC 3227 (publicamos aqui).

O indivíduo que busca apagar seus traços em um dispositivo, rede, aplicação ou executar qualquer outra ação que dificulte o trabalho do especialista forense o faz por meio de ações baseadas nos processos envolvidos nestas metodologias. Porém estas ações podem indicar uma ação suspeita e serem correlacionadas também como evidências, como declara o Corolário de Harlan Carvey: “Ausência de evidências é uma evidência”.

Agora, abordaremos uma metodologia específica: o modelo EDRM, de forma a relacionar suas etapas as técnicas antiforenses. A Descoberta Eletrônica, ou eDiscovery, é o processo de identificar e fornecer informações eletrônicas que possam vir a ser utilizadas como provas. A EDRM é uma comunidade de eDiscovery composta por profissionais jurídicos que criam recursos práticos para melhorar a descoberta eletrônica e a governança da informação.

O diagrama de EDRM é uma representação conceitual do processo de eDiscovery, portanto, não deve ser encarado com excessiva rigidez. O modelo proposto pode ser executado de formas diferentes, porém não discutiremos aqui as implicações destas variações ou a própria construção do modelo. Não abordaremos todos os estágios do EDRM, os estágios que abordaremos são suficientes para a temática proposta e serão: Identificação, preservação, coleta, processamento, revisão, análise e análise. Todos estes processos se baseiam em ESI (electronically stored information), ou seja, informações armazenadas eletronicamente.

Identificação Hackers e Técnicas Antiforense

Este estágio consiste na localização de fontes potenciais de ESI e determinação de seu escopo, abrangência e profundidade. Nesta fase ações como ocultação, ofuscação e encriptação de dados podem dificultar sobremaneira o trabalho forense. Por exemplo, a deleção de arquivos, pastas e logs (registros textuais gerados por um software contendo informações sobre seu funcionamento, utilização e\ou interação com outros sistemas) pode dificultar a identificação dos artefatos necessários à forense.

“No logs, no crime” é uma frase jocosa bastante comum, porém como evidencia o Corolário de Carvey, citado acima, a inexistências de logs em um sistema desperta muitas suspeitas e evidencia a adulteração do sistema. Hackers e Técnicas Antiforense

Preservação 

Assegurar que as ESI estejam protegidas contra alteração inadequada ou destruição. O trabalho do Perito Forense Digital leva uma vantagem em relação ao trabalho do Antropólogo Forense e outros profissionais das ciências forenses, pois é possível gerar uma cópia idêntica do objeto questionado, algo não possível (até o presente momento) de se fazer com um cadáver por exemplo.

Aqui portanto a deleção de dados voláteis se torna uma técnica antiforense ao limitar o alcance da aquisição de evidências e um desafio a preservação. Em um cenário de Resposta a Incidentes o First Responder deve estar preparado para preservar justamente estes dados (saiba mais sobre o papel do CSIRT). Além da deleção ou destruição de dados outra forma de obstrução à coleta de vestígios é a destruição de hardware que implica no próximo processo aqui elencado. Hackers e Técnicas Antiforense

Coleta Hackers e Técnicas Antiforense

Coleta das ESI para uso posterior no processo de eDiscovery (processamento, revisão, etc.). A destruição de hardware seja por reação química, fortes campos magnéticos, sobrecarga ou mesmo o uso de abrasivos e explosivos pode ser tornar uma desafio ao perito, inclusive a sua própria integridade física (cabe aqui mais uma menção a palestras da DEFCON que já demonstraram a surpreendente resiliência de disco rígido).

A técnica nomeada como Rubber Ducky, que se utiliza de pendrives e outros dispositivos do tipo usb para simular uma ação do usuário, geram um desafio a coleta de evidências, já que o dispositivo utilizado pode ser descartado. O chamado Usb Killer que pode danificar o equipamento do perito ou o objeto questionável. Neste caso o especialista forense muitas vezes precisará recorrer a técnicas de recuperação de hardware.

Processamento 

Este processo visa reduzir o volume de ESI’s e se necessário convertê-las para formatos mais adequados para revisão e análise. As técnicas citadas no primeiro tópico também podem afetar este e aqui citamos também o uso de criptografia, o acúmulo excessivo de hardware e a produção excessiva de arquivos e outros artefatos que impliquem num tempo muito maior e, portanto, mais custoso de processamento.

Implicar no acúmulo de horas necessárias para a realização do trabalho forense muitas vezes resulta num desafio de custo benefício por parte do cliente.

Análise 

Trata-se da avaliação do conteúdo e contexto das ESI’s, incluindo padrões-chave, tópicos, pessoas e discussão. A principal atribuição do especialista em Forense Digital é saber com base nas metodologias citadas, e as demais aqui não elencadas, utilizando-se dos recursos tecnológicos chegar até a informação relevante e validá-la como evidência.

Alterações nas configurações do sistema, hardware e demais fatores envolvidos, como as configurações de data, local, estrutura de arquivos, registro de MAC times e demais modificações tornam o uso das ferramentas menos eficaz e requer ainda mais do trabalho altamente especializado do perito na realização deste processo. Hackers e Técnicas Antiforense

As ações descritas acima apresentam técnicas utilizadas para dificultar ou inviabilizar a Forense Digital, as ferramentas envolvidas nestas técnicas são variadas e substituídas com frequência, mas o trabalho do profissional especializado embora em constante evolução permanece baseado nas mais consolidadas metodologias e processos. Hackers e Técnicas Antiforense

Fontes:

VELHO, Jesus Antônio. Tratado de Computação Forense. Campinas, SP: Millenium Editora, 2016.
http://www.profiling.org/journal/vol1_no1/jbp_ed_january2000_1-1.html

EDRM – https://www.edrm.net/frameworks-and-standards/

Metasploit Anti-Forensics Project – https://www.bishopfox.com/resources/tools/other-free-tools/mafia/

Plausible Deniability Toolkit – https://www.nmrc.org/pub/pdtk/pdk_final.pdf

Sobre o autor: Raul Cândido

Analista de Forense Digital e Resposta a Incidentes com experiência em diversas ferramentas de ambiente corporativo. Possuo certificação FTK – Accessdata Certified Examiner (proficiency with Forensic Toolkit technology), curso Tecnologia em Segurança da Informação na FATEC SCS.
Tenho mais de uma década de experiência na organização de eventos culturais e tecnológicos, liderando equipes e planejando ações.

Por Raul Cândido

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados
Gratuito para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement