EDITORIAL

Amigos, Editor Chefe

Relacionei nesta edição os melhores artigos, eventos e cursos Andrey R. Freitas

sobre Perícia Forense e Segurança da Informação, dentre
eles : 1º Encontro de Perícia Forense Aplicada à Informática
do Rio de Janeiro e o curso System Forensics, Investigation Editor Técnico
and Response.
Andrey R. Freitas
Gostaria de agradecer o apoio do Prof. Dr. Ing. Jeimy J. Cano
do Departamento de Sistemas e Computação da Universidad
de los Andes, Colômbia, enviando artigos dos alunos do curso Colaboradores desta edição
“Introducción a la Informática Forense”. Nesta edição o artigo
é sobre “Recuperación de Información: NTFS versus FAT”. Andrey R. Freitas
Daniel C. Velasco
Agradeço também a todos os colaboradores que enviaram Daniele de Pinho
seus artigos para a conclusão desta terceira edição e aos Dickson S. Guedes
participantes do grupo Perícia Forense Aplicada à Informática. Fred H. L. Silva
Laura C. M. Coelho
A grupo de discussão que acabou criando esta revista, Leonardo Cunha
completou 1 ano de existência no mês de agosto, totalizando Leonardo R. Castañeda
mais de 1.600 associados e 6.200 mensagens, é relacionado Manuel C. Cuesta
como ponto de referência em Perícia Forense Aplicada à Moacir T. M. Júnior
Informática na América do Sul. Depois de criar o grupo e a Rafael C. Santos
revista, inaugurei recentemente o Site Perícia Forense Ricardo J. Bento
Aplicada à Informática, o único site brasileiro especializado no Rodrigo Ramos
assunto, para quem ainda não conhece, vale a pena conferi-lo Sonia V. Vivas
em: http://www.guiatecnico.com.br/PericiaForense.

Boa leitura. Artigos

Andrey Rodrigues de Freitas Se você deseja escrever artigos para a Revista

Criador / Editor da Revista Evidência Digital Evidência Digital envie um e-mail para
Criador / Webmaster do site Perícia Forense Aplicada à Informática
periciaforense@yahoo.com.br
Criador / Moderador do grupo Perícia Forense Aplicada à Informática

Atendimento ao leitor

E-mail: periciaforense@yahoo.com.br

Site

http://www.guiatecnico.com.br/EvidenciaDigital

Grupo de discussão

http://br.groups.yahoo.com/group/PericiaForense

A revista Evidência Digital é uma publicação

trimestral.

O conteúdo dos artigos é de responsabilidade dos

autores.

Evidência Digital - 2
 NOTÍCIAS
Novo projeto de lei tipifica cibercrimes no País
Fonte: InfoGuerra
O deputado federal Marcos Abramo (PFL/SP)
apresentou, no dia 15 de setembro, um projeto de lei
que altera a Lei nº 8.069/90 (Estatuto da Criança e do
Adolescente), a Lei nº 9.296/96 (regulamentação do
inciso XII do artigo 5° da Constituição Federal, que trata
de interceptação telefônica) e o Decreto-Lei nº 2.848/40
(Código Penal), com o objetivo de tipificar e penalizar os
crimes informáticos no Brasil. A proposta estabelece
mecanismos para acelerar a apuração dos delitos
digitais e adaptar as leis brasileiras aos preceitos da
Convenção Européia sobre Cibercrimes.
O Projeto de Lei nº 4.144 complementa o PL nº 84/99,
(atualmente 89/03) de autoria do deputado Luiz
Piauhylino, já aprovado pela Câmara dos Deputados e
em trâmite no Senado Federal. Este dispõe sobre os
crimes cibernéticos e impõe penalidades para uma série
de condutas ilícitas específicas cometidas no ambiente
virtual.
A complementação visa adequar as leis brasileiras
vigentes e futuras ao que estabelece a Convenção
Européia. "Em nosso entendimento, para que o País
possa expandir o segmento do comércio eletrônico, é
necessário que o nosso ordenamento jurídico esteja
sintonizado com a legislação internacional acerca da
matéria", explica o deputado.
Na justificativa, Abramo argumenta que a ação dos
piratas cibernéticos prejudica o crescimento do comércio
eletrônico no País em decorrência da insegurança do
cidadão em realizar transações comerciais pela Internet.
Crimes de sabotagem, falsidade e fraude
especificamente ligados ao ambiente informático, ainda
não previstos na legislação vigente e no projeto de lei
em apreciação no Senado, foram incluídos no PL.
"O instrumento proposto tipifica como crime diversas
condutas praticadas no mundo das tecnologias da
informação, além de prever dispositivos específicos com
o intuito de agilizar a apuração desses delitos e
promover a cooperação entre as nações signatárias da
Convenção na sua investigação", esclarece o deputado.
De acordo com as complementações propostas, os
provedores de acesso à Internet e demais empresas
prestadoras de serviços correlatos passarão a ter maior
responsabilidade em relação aos cibercrimes. Passam a
ter obrigatoriedade na prestação de auxílio ao poder
público na interceptação de dados informáticos em
investigações criminais, desde que haja determinação
judicial específica com essa intenção. Os provedores
deverão registrar a identidade dos assinantes e suas
conexões efetuadas e preservar os dados pelo prazo
mínimo de cinco anos.
Também a eles será atribuída a preservação dos dados
de assinantes que estejam sob investigação, tais como
páginas pessoais hospedadas no provedor que façam
apologia a práticas consideradas ilegais no Brasil. A
posse intencional em meio eletrônico de imagens
pornográficas envolvendo crianças ou adolescentes
passará a ser considerada como crime.
"Por meio desse mecanismo, será legalmente possível
enquadrar como criminosos aqueles usuários que detêm
em seu poder grande volume de imagens digitalizadas
com conteúdo relacionado a atos de pedofilia e que não
foram flagrados pelos órgãos de investigação
competentes durante a transmissão ou recepção dessas
fotos pela rede, justifica Abramo.
O projeto de lei também propõe a instituição de uma
autoridade central responsável pelo contato com países
estrangeiros no tratamento de delitos virtuais. Prevê,
ainda, a implantação de uma rede de funcionamento
ininterrupto, para prestação de assistência imediata
entre países na investigação de crimes informáticos.
Esta rede já opera no Brasil, porém de modo informal.
Com a adaptação das leis brasileiras à Convenção
Européia sobre Cibercrimes o País poderá pleitear a
assinatura de tal instrumento. "Ao tornar-se seu
signatário, o Brasil estará se equiparando à grande parte
das nações desenvolvidas do planeta no que tange ao
combate aos crimes dessa natureza", afirma o deputado.
A íntegra do projeto pode ser vista em
http://www.infoguerra.com.br/integras/4144.2004.htm
Homem é acusado em fraude de cartões na web
Fonte: IDG Now!
Na terça-feira (14/09), Philip Cummings, acusado de um
dos maiores esquemas de roubo de identidade nos
Estados Unidos, foi culpado pelos crimes
de conspiração, fraude na rede e fraude ligada a
documentos de identidade. Segundo o procurador geral
norte-americano em Nova York, David Kelley, o
fraudador pode pegar até 50 anos de prisão.
Em outubro de 2002, Cummings foi acusado pelo roubo
de informações financeiras pessoais de mais de 30 mil
pessoas, enquanto trabalhava no serviço de help desk
da Teledata Communications Inc. (TCI). A empresa é
uma fornecedora de sistemas utilizados por bancos e
instituições financeiras para obter relatórios de crédito de
financiadoras.
O julgamento do processo envolvendo a TCI foi marcado
para 3 de novembro. Neste caso, Cummings e um
cúmplice, Linus Baptiste, utilizaram o acesso a códigos e
senhas de clientes da TCI para fazer o download de
históricos de crédito dos clientes e vendê-los a terceiros
por US$ 30 cada um. O esquema ainda contava com a
colaboração de mais duas pessoas, Eniete Ukpong e
Ahmet Ulutas, que usaram estes relatórios para enviar
anúncios e obter cartões de crédito em nome das
vítimas.
Evidência Digital - 3
Quando Cummings foi acusado, o governo norte-
americano estimou que as fraudes atingiram US$ 2,7
bilhões. O réu receberá sua sentença em 11 de janeiro
de 2005. Já os colaboradores Ukpong e Ulutas serão
julgados em 3 de novembro.
Hackers defendem EUA de ataques digitais
Fonte: Estadão
O INEEL - Laboratório Nacional de Engenharia E Meio
Ambiente de Idaho, nos Estados Unidos, está
contratando hackers para encontrar falhas em redes de
computação de oleodutos, ferrovias e serviços públicos
norte-americanos.
Jason Larsen digita algumas linhas de código em seu
computador na tentativa de invadir os sistemas de uma
fábrica de produtos químicos. Então ele descobre uma
câmara online dentro das instalações e conclui que sua
missão foi um sucesso.
Larsen, de 31 anos, é um dos hackers que o INEEL -
Laboratório Nacional de Engenharia E Meio Ambiente de
Idaho, nos Estados Unidos, convidou para encontrar
falhas em redes de computação de oleodutos, ferrovias
e serviços públicos norte-americanos.
Para Paul Kearns, diretor da INEEL, as pessoas, em
geral, não entendem o impacto de uma ataque digital e
talvez critiquem a contratação dos hackers.
”Não há nenhum sistema conectado à internet, ou por
banda larga ou por dial que não possa ser pirateada. E
os hackers estão mostrando isso a nossos clientes ”,
afirmou Laurin Dodd, supervisor da INEEL à agência de
notícias Reuters.
Steve Schaefer outro expert da INEEL recebeu há algum
tempo a incumbência de decodificar um sistema
projetado pela General Electric. Em menos de dois
meses, ele tinha em mãos informações suficientes para
afetar as operações da companhia.
8 de cada 10 hackers vivem no Brasil, diz PF
Fonte: INFO
Uma pesquisa divulgada hoje (13) pela Polícia Federal
na abertura do I CCyber'2004, em Brasília, aponta que
de cada 10 hackers ativos no mundo, oito vivem no
Brasil.
A PF também disse que cerca de 2/3 dos responsáveis
pela criação de páginas de pedofilia na internet que já
foram detectadas por investigações policiais brasileiras e
do exterior têm origem no país, conta a Agência Brasil.
Além disso, por aqui, as fraudes financeiras via internet -
principalmente os phishing scams - já superam, em
valores financeiros, os prejuízos de assalto a banco.
Nenhum número foi divulgado, no entanto.
De acordo com o coordenador do evento e perito
criminal Paulo Quintiliano, encontrar os responsáveis por
esses crimes algumas vezes é difícil, principalmente
quando os criminosos hospedam suas informações no
exterior. "Nesses casos utilizamos a cooperação
internacional, junto com grupos das polícias dos outros
países. Nós estamos sempre em contato para
possibilitar o combate efetivo aos crimes cibernéticos",
disse ao canal NBR, da Radiobrás.
Quintiliano esclareceu que denúncias de crimes
cibernéticos podem ser feitas tanto para a Polícia
Federal, como para as polícias civis. O perito informou
que o Superior Tribunal de Justiça define os crimes
cibernéticos como crimes federais e que, portanto, estão
sob a competência da Polícia Federal, mas que as
polícias civis já investigam e também "podem e devem
continuar investigando esses crimes".
1º Batori Security Day
Fonte: Batori
A Batori Software & Security, empresa especializada em
segurança da informação, realizou no dia 18 de agosto
em São Paulo o 1º Batori Security Day. Voltado a
gestores de segurança da informação e profissionais da
área, o evento teve como objetivo principal alertar sobre
o crescimento e rápida disseminação de vírus, roubos de
informação confidenciais e riscos envolvendo negócios
realizados através da Internet. Para ilustrar os temas, o
evento contou com palestras ministradas por
profissionais especializados em resposta a incidentes de
segurança.
Patrícia de Souza Pereira, Gerente de Produtos do
Serasa, abordou em sua palestra o tema Certificação
Digital. O processo de certificação digital, de acordo com
Patrícia, é uma das maneiras mais seguras de garantir a
veracidade e integridade de um documento eletrônico.
Atualmente, a certificação digital é utilizada por bancos,
lojas e órgãos públicos para facilitar o canal de
comunicação com o cliente.
Alessandro Rabelo Silva, responsável pela área de
segurança das soluções de captura da Visanet expôs
um quadro sobre a experiência da companhia em
segurança no mundo virtual. De acordo com Silva, a
chave do sucesso para atingir um bom nível de
segurança é a cooperação plena entre provedores e
parceiros. “No nosso caso adotamos o sistema de
gestão de risco Lynx, que nos permitiu evitar R$240
milhões em fraudes”, completa ele.
Mesmo com todo o esforço que vem sendo feito em
desenvolvimento de novas tecnologias para segurança,
é preciso que as empresas estejam sempre atentas para
as atualizações que levam a companhia a ter um bom
nível de segurança. Segundo Denny Roger, Diretor de
Negócios de Segurança da Bartori, as pessoas têm um
papel fundamental para um bom desempenho dessas
soluções. “O ser humano é passível de erros e ele faz
parte de qualquer ação no mundo digital. Além do que,
mesmo que essas ações sejam controladas por
softwares ou máquinas, eles sempre precisam de
atualizações ou ajustes”, completa Roger ressaltando
que o melhor e mais perfeito software é o vírus. “Alguém
já viu vírus dar pau?", indaga.
Evidência Digital - 4
 Dickson S. Guedes

Usando o “find” como

Ferramenta de Análise de
Sistemas Linux Invadidos
Quando um atacante é bem sucedido na exploração de arquivos que foram acessados em horários fora do
uma vulnerabilidade, e esta permite o acesso ao padrão:
servidor atacado, ele tentará garantir seu retorno
adicionando ao sistema de arquivos uma série de /etc/passwd
binários executáveis em diversos locais, ora instalando- /etc/shadow
/usr/local/etc/
os na forma de trojans (substituindo comandos /bin
autênticos), ora ocultando-os em diretórios estranhos. É /usr/bin
também bastante comum a alteração de arquivos de log /usr/local/sbin
do sistema. /usr/local/bin
/sbin
/etc
Sendo assim, numa primeira análise, é possível /usr/local/etc
identificar no sistema de arquivos, que arquivos foram /usr/X11R6/bin
alterados/criados, e onde eles se encontram, utilizando,
para isso, recursos da ferramenta “find”. A informação Verificar se existem estranhos diretórios em locais
apresentada por ela pode auxiliar nas buscas por inapropriados:
fragmentos de dados que permitam o rastreamento do
atacante. Comando: find /dev/ -type d –ls

É interessante que, ao se desconfiar de uma invasão, O sistema de arquivos especiais e de dispositivos é um

você faça uma perícia no seu sistema de arquivos alvo bastante comum quando se quer ocultar um
procurando por certas características: diretório ou um conjunto de arquivos. Não é muito difícil
encontrar, em um sistema invadido, arquivos
escondidos em diretórios dentro do /dev. Algumas
Verificar que arquivos foram alterados nas últimas técnicas utilizam um mkdir “/dev/ “ para a criação de
24 horas: um diretório cujo nome é um espaço (isso mesmo, um
espaço).
Comando: find / -ctime 1 -ls
Num sistema comum você geralmente encontra:
É muito comum os arquivos de log sofrerem constantes
alterações, porém o mesmo não ocorre para os 21376 36 drwxr-xr-x 3 root wheel 17920 Jul 10 14:10
/dev/
arquivos executáveis ou arquivos de configurações. 21425 4 dr-xr-xr-x 2 root wheel 1024 Jul 10 14:10
/dev/fd
Fique atento para alterações em:
Já num sistema onde houve uma possível invasão:
/bin
/usr/bin 21376 36 drwxr-xr-x 3 root wheel 17920 Jul 18 22:05
/usr/local/sbin /dev/
/usr/local/bin 21425 4 dr-xr-xr-x 2 root wheel 1024 Jul 10 14:10
/sbin /dev/fd
/etc 21387 4 drwxr-xr-x 2 root wheel 512 Jul 18 22:01
/usr/local/etc /dev/
/usr/X11R6/bin 21389 4 drwxr-xr-x 2 root wheel 512 Jul 18 22:05
/dev/urandom1
21391 4 drwxr-xr-x 2 root wheel 512 Jul 18 22:05
/dev/urandom2
Verificar que arquivos foram acessados nas últimas 21404 4 drwxr-xr-x 2 root wheel 512 Jul 18 22:05
24 horas: /dev/urandom3
21409 4 drwxr-xr-x 2 root wheel 512 Jul 18 22:10
/dev/.
Comando: find / -atime 1 -ls
Note a primeira e a terceira linha, aparentemente
É comum que determinadas rotinas de backup acessem
parecem as mesmas, e percebam como na última linha
sempre os mesmos arquivos, porém fique atento para
aparece um diretório “.“ (ponto). Na verdade estes

Evidência Digital - 5
diretórios foram criados utilizando-se o caracter de
espaço, que por não ser imprimível, pode confundir
olhares desatentos, porém podemos revelá-los
incrementando nosso comando acima da seguinte
forma:
Comando: find /dev/ -type d –exec echo “’{}’” \;
E a nossa saída muda um pouco:
'/dev/'
'/dev/fd'
'/dev/ '
'/dev/urandom1'
'/dev/urandom2'
'/dev/urandom3'
'/dev/. '
Agora possuímos apóstrofos delimitadores que revelam
espaços adicionais em determinados diretórios,
bastando apenas entrarmos neles para explorá-los.
Verificar se existem arquivos regulares na área de
dispositivos
Comando: find /dev/ -type f –ls
Como já foi mencionado anteriormente, a área de
dispositivos (/dev) possui apenas arquivos especiais, de
forma que em um sistema normal o comando acima
retorna geralmente apenas um ou dois scripts de
construção de dispositivos (MAKEDEV por exemplo). Já
num sistema comprometido a situação muda de
contexto e o diretório /dev passa a conter alguns
arquivos regulares em seu conteúdo.
Um exemplo de saída do comando acima em um
ambiente comprometido:
21490 8 -r-xr-xr-x 1 root wheel 2064 Apr 3 2003
/dev/MAKEDEV.local
21491 88 -r-xr-xr-x 1 root wheel 43789 Apr 3 2003
/dev/MAKEDEV
21418 4 -rwxr-xr-x 1 root wheel 59 Jul 18 3:10
/dev/cua4
Muito estranha a data de criação deste último arquivo –
um executável de nome cua4? O que ele faz?
Considerações finais
É claro que em um sistema comprometido não se deve
confiar nem mesmo nos executáveis que lá se
encontram, pois os mesmos podem ter sido
manipulados. Por isso é interessante manter um backup
dos principais utilitários do sistema em um disquete,
logo após a instalação. Ao efetuar a perícia utilize o
comando a partir do disquete montando-o em modo
read-only.
Porém eu disse que não se deve confiar nos
executáveis do sistema, e o mount (usado para montar
o disquete) é um executável que pode ter sido
modificado, portanto o melhor é ter em mãos um
disquete de boot com esses utilitários que poderão ser
utilizado nessas ocasiões, inicializando-se o sistema
através do disquete.
Referências
Using UNIX command find - Samples
http://www.athabascau.ca/html/depts/compserv/webunit/HOW
TO/find.htm
Find – Table of contents
http://www.grymoire.com/Unix/Find.html#uh-2
The most GNU/Linux on 1 floppy disk
http://www.toms.net/rb/
:: Dickson S. Guedes
:: guediz@yahoo.com
:: Administrador de redes da UNISUL – Universidade do Sul de Santa
Catarina.
Evidência Digital - 6
 Daniele de Pinho
Os seus Colaboradores
estão Conscientizados?
Com muita freqüência ouvimos dizer que as pessoas
são o elo mais fraco da segurança das informações,
infelizmente isso é uma realidade cada vez mais
observada na maioria esmagadora das empresas. Eu
poderia escrever várias páginas descrevendo situações
que presenciei que confirmam essa realidade. Um
grande problema é quando esses “cases” passam a ser
protagonizados não só por usuários desavisados, mas
também por profissionais experientes que acabaram
relaxando e se descuidando ou simplesmente se
enquadram naquele velho ditado que ouvimos desde
criança “Em casa de ferreiro, espeto é de pau”.
Que as pessoas são o elo mais fraco da segurança é
um fato, mas sem elas não há como as empresas
funcionarem, pelo menos por enquanto... Assim, temos
que reverter este quadro e transformá-las em fortes
aliados da segurança.
Essa não uma tarefa das mais fáceis,
porém é primordial em um processo de
gestão de segurança da informação. A
definição de diretrizes e políticas é o ponto
de partida, mas não é o suficiente. É
preciso mais que isso: conscientizar e
capacitar os colaboradores, envolvendo-os
de forma que eles entendam as
necessidades da companhia e se sintam
partes importantes do processo. Se a sua empresa já
possui diretrizes e políticas definidas, é hora então de
partir para a fase de Conscientização.
Um Programa de Conscientização bem estruturado
pode trazer excelentes resultados às organizações,
ajudando a minimizar incidentes de segurança. Não
estou falando só da divulgação das políticas e normas
da companhia, mas de algo mais abrangente. Abaixo,
relacionei algumas dicas para a estruturação de um
programa. Não tenho a pretensão de fazer um guia
sobre o assunto, mas dar algumas dicas práticas que
nem sempre são consideradas, e que podem fazer a
diferença:
1. Um Programa de Conscientização deve ir além das
palestras, envolvendo os participantes mesmo quando
não estão em um auditório ou na sala de aula. Você já
ouviu falar em endomarketing?;
2. Ajude seus colaboradores a entender os porquês, é
mais fácil convencer alguém quando essa pessoa
entende os riscos que estão envolvidos;
3. Estabeleça e deixe bem claro quais são as regras do
jogo, quais são as normas, o que é permitido e o que não
é, e quais as conseqüências de não seguir as regras;
4. Use a criatividade, crie mascotes, logotipos, gibis e inclua
no seu programa jogos lúdicos, filmes e brindes de
participação, que tenham algo a ver com a sua
campanha;
5. Incentive os colaboradores a participarem das atividades,
transforme a obrigação em algo prazeroso;
6. Utilize todas os recursos disponíveis na sua organização,
as Áreas de RH e Marketing podem ser grandes aliados;
7. Crie campanhas com a cara e a cultura da sua
organização, utilize uma linguagem acessível a todos os
colaboradores, lembre-se nem todos são técnicos e nem
todos tem o mesmo nível hierárquico;
8. Utilize a tecnologia como aliado. Existem
vários tipos de ferramentas que podem
auxiliá-lo, como por exemplo, na
divulgação da política de segurança, na
avaliação do conhecimento dos usuários,
no treinamento on-line, existem ainda
ferramentas que podem auxiliar na
imposição das normas de segurança;
9. Mantenha o assunto fresco na cabeça de
seus colaboradores, não deixe que eles
esqueçam as regras do jogo não dê tempo para isso, faça
“lembretes”, como a divulgação de novos jogos, notícias
relacionadas ao assunto, etc., enquanto uma nova
campanha não é feita;
10. Última dica: Comece dentro da sua própria equipe. Para
se fazer uma boa venda, é importante que os vendedores
sejam os primeiros a comprar a idéia.
Ao contrário do que se possa pensar conscientização é
um assunto abrangente e deve ser tratado de forma
personalizada. Não existem fórmulas mágicas. O
sucesso de um Programa de Conscientização não
depende só de como é conduzido, mas também e de
seu acompanhamento posterior. Será que os
colaboradores da sua organização estão
conscientizados?
:: Daniele de Pinho
:: daniele_pinho@hotmail.com
:: Consultora de Segurança, graduada em Processamento de
Dados, certificada como auditor líder BS7799.
Evidência Digital - 7
Evidência Digital - 8
 Laura C. M. Coelho e Ricardo J. Bento
Ferramentas de Esteganografia
e seu uso na Infow ar
INTRODUÇÃO
A informação é algo que leva o homem a grandes
conquistas, guerras e destruição. Com o advento da
internet, a troca de informações se deu de forma mais
veloz e em pouco tempo se tornou o meio de
comunicação mais utilizado, não só para a própria
comunicação ou pesquisas escolares, mas também
como meio de fornecer serviços que envolvem
investimentos econômicos. A internet, inicialmente, não
previa nem seu crescimento estrondoso, nem tão pouco
que pudessem aparecer pessoas especializadas em
roubar informações e utilizá-las como meio de
terrorismo e atentados.
A guerra da informação é uma batalha que amedronta
muito as grandes empresas e o próprio governo.
Utilizando o roubo ou o uso indevido da informação
pode-se destruir grandes negócios em poucos minutos.
Os meios e os motivos podem ser a destruição ou
apropriação indevida da informação por imperícia de
quem a utiliza, insatisfação de funcionários, por um
concorrente ou simplesmente por estrelato.
Para não serem descobertos, os chamados piratas de
computador ou hackers passaram a inovar em suas
técnicas nas trocas de informação. Hoje, uma das
técnicas mais eficazes se chama: esteganografia. Tal
técnica utiliza textos, imagens, sons e vídeos para
esconder informações de forma que as mesmas
passem desapercebidas aos olhos humanos. Acredita-
se que grandes atentados terroristas como os de 11 de
Setembro de 2001, tenham sido estruturados e
planejados utilizando esteganografia como principal
meio de comunicação.
DEFINIÇÃO DE ESTEGANOGRAFIA
Esteganografia é uma palavra de origem grega, onde
Stegano significa escondido ou secreto e Grafia: escrita
ou desenho.
Não se deve confundir criptografia com esteganografia,
pois o primeiro esconde o conteúdo de uma mensagem
e a existência desta é conhecida, já o segundo esconde
a existência da mensagem. Ambas as técnicas podem
ser utilizadas em conjunto para se obter um maior grau
de segurança da informação.
Como muitas ferramentas de segurança, a International Workshop, Cambridge, UK. Lecture Notes in Computer
esteganografia pode ser usada para uma variedade de
razões, algumas boas, outras nem tanto. As finalidades
legítimas podem incluir imagens de marca d’água por
motivo de proteção de direitos autorais.
As marcas d’água digitais são similares à
esteganografia no que tange à ocultação de dados, os
quais parecem ser parte do arquivo original e não são
facilmente detectáveis por qualquer pessoa.
Finalmente, a esteganografia pode ser usada para
manter a confidencialidade da informação valiosa, para
proteger os dados de possíveis sabotagens, roubo, ou
apenas visualização desautorizada.
ESTEGANOGRAFIA NA INFOWAR
A esteganografia pode ser usada por razões ilegítimas,
por exemplo, roubar dados e esconder em um arquivo e
emiti-los para fora por meio de um inocente e-mail.
Além disso, uma pessoa, com um passatepo de salvar
arquivos pornográficos, pode esconder a evidência com
o uso de esteganografia. E, para finalidades terroristas,
pode ser usado como meio de comunicação secreta.
A esteganografia é fonte de muita discussão,
particularmente quando se suspeitou que terroristas,
nos ataques de 11 de setembro de 2004, podem tê-la
usado para comunicações secretas [26]. Enquanto
nenhuma conexão for provada, o interesse indica a
eficácia da esteganografia como meios de obscurecer
dados. Certamente, junto com a criptografia, a
esteganografia é uma das maneiras fundamentais para
que dados sejam mantidos confidenciais, seja qual for o
objetivo.
TERMINOLOGIA ADOTADA
A terminologia para descrever um subconjunto de
informação oculta foi definida no Information Hiding
1
Workshop , realizado em Cambridge, Inglaterra em
Abril de 1996.
A descrição [3] de esteganografia – “escrita oculta” –
pode ser feita basicamente da seguinte forma:
1
First Information Hiding Workshop held in Cambridge, UK in
April 1996; Anderson, R., (ed.): Information Hiding: First
Science, Vol. 1174. Springer-Verlag, Berlin Heidelberg, New York
(1996).
Evidência Digital - 9
O dado embutido (embedded data) é a informação que
alguém deseja enviar em segredo. Este dado
geralmente fica escondido em uma mensagem
aparentemente inocente, chamada de recipiente ou de
objeto cobertura (container ou cover-object),
produzindo um estego-objeto (stego-object) ou estego-
recipiente (stego-carrier), ou seja, um arquivo com uma
mensagem embutida. Uma estego-key (stego-key) ou
simplesmente chave é utilizada para controlar o
processo de esconder, assim como, para restringir
detecção e/ou recuperação do dado embutido, somente
para quem a conhece, ou conheça parte dela. Uma
possível fórmula deste processo pode ser representada
da seguinte forma:
Recipiente + mensagem embutida + estego-key = estego-objeto
Figura 1 – Terminologia de Esteganografia
Para que o estegoanalista possa realizar a análise, faz-
se necessário o conhecimento de algum dos seguintes
componentes [23]:
• Stego-only (apenas Esteganografia);
• Known cover (recipiente conhecido);
• Known message (mensagem conhecida);
• Chosen stego (escolha do método de
Esteganografia); e
• Chosen message (mensagem escolhida).
No ataque stego-only somente o estego-objeto está
disponível para análise. Se o recipiente original e o
estego-objeto estão disponíveis, então um ataque
known cover está disponível. O esteganoanalista pode
utilizar um ataque known message quando a
mensagem escondida já foi revelada anteriormente,
assim um atacante pode analisar os estego-objetos
O termo recipiente é dado a qualquer tipo de
informação digital que é transmitida por um sistema
digital ou analógico, assim como arquivos de texto,
áudio, vídeo, figuras, por exemplo, BMP, GIF, JPEG,
MP3, WAV, AVI ou outros tipos.
Da mesma maneira que um criptoanalista aplica
criptanálise na tentativa de decodificar ou resgatar a
mensagem criptografada, o esteganoanalista aplica a
esteganoanálise na tentativa de descobrir a existência
de informações escondidas. Na criptografia, a
comparação é realizada entre porções (possivelmente
nenhuma) de plaintexts (texto em claro) e porções de
textos cifrados. Na esteganografia, comparações são
realizadas entre o estego-objeto, o recipiente e
possíveis partes da mensagem. O resultado final na
criptografia é o texto cifrado, enquanto que na
esteganografia é o estego-objeto. A mensagem na
esteganografia pode ou não estar criptografada, caso
esteja, a mensagem é extraída e então técnicas de
criptoanálise são aplicadas.
para futuros ataques. Mesmo com a mensagem, este
pode ser um ataque muito difícil e pode ser considerado
um ataque do tipo stego-only. No ataque chosen stego,
a ferramenta (algoritmo) de esteganografia e o estego-
objeto são conhecidos. No ataque chosen message, o
esteganoanalista gera o estego-objeto que aponta o uso
de ferramentas ou algoritmos de esteganografia
específicos.
HISTÓRIA
O primeiro registro conhecido sobre utilização de
esteganografia está no livro “História” de Herótodo [11],
por volta do ano 440 a.C., onde o tirano grego Histeu
recebe do Rei Dario a cidade de Mircina como
recompensa por ter protegido uma região estratégica de
Trácia, uma região pertencente aos domínios de Dario.
Evidência Digital - 10
Quando Dario percebe que havia dado a Histeu uma
terra rica em prata e madeira resolve retirar o Histeu do
comando desta, para tanto solicita que Histeu fique ao
lado do rei como seu conselheiro em Susa. Histeu,
lisonjeado com o reconhecimento do rei, aceita a
proposta, ficando seu enteado Aristágoras responsável
pela cidade. Com o passar do tempo, Histeu descobre
que se não ocorressem distúrbios naquela cidade,
nunca mais voltaria a ela. Sendo assim, Histeu solicita a
presença de seu escravo considerado mais fiel entre os
demais. Histeu então lhe raspa a cabeça e tatua uma
mensagem em seu couro cabeludo concitando
Aristágoras à revolta. Quando o cabelo do escravo
cresceu o suficiente ele foi enviado à cidade de Mircina,
recomendando o escravo que apenas dissesse a
Aristágoras que lhe raspasse a cabeça e a examinasse
com atenção.
Ainda em "História" de Heródoto, consta que na Grécia
antiga o meio de escrita era texto em tabletes duplos
cobertos de cera. Demerato, um grego, precisava avisar
Esparta que Xerxes pretendia invadir a Grécia. Como
lhe faltavam meios para isso e receava ser descoberto,
serviu-se do seguinte artifício: pegou alguns tabletes
duplos, raspou a cera que os cobria e neles escreveu o
aviso com referências aos planos de Xerxes. Feito isso,
cobriu as letras novamente com cera. Os tabletes
pareciam estar em branco e sem uso, por isso
passaram pela inspeção e a mensagem chegou ao seu
destino da maneira que Demerato previra.
Entretanto, essa não seria a última vez que a
esteganografia seria utilizada em tempos de guerras.
Tintas invisíveis baseadas em substâncias como suco
de frutas, urina e leite eram utilizadas para esconder
informação. Até mesmo na 2ª Guerra mundial, a
tecnologia mais utilizada de esteganografia eram tais
tintas [16]. Também foram utilizadas cifras nulas
(mensagens não criptografadas) pelos alemães para
esconder mensagens secretas. As cifras nulas, que
geralmente pareciam ser mensagens inocentes sobre
acontecimentos ordinários, não gerariam suspeitas, não
sendo então interceptadas [16]. A seguinte mensagem
é um ótimo exemplo de cifras nulas (obs.: manteremos
a mensagem original):
Apparently neutral's protest is thoroughly discounted
and ignored. Isman hard hit. Blockade issue affects
pretext for embargo on by-products, ejecting suets and
vegetable oils.
Decodificando essa mensagem, pegando a segunda
letra em cada palavra revela a seguinte mensagem
secreta:
Pershing sails from NY June 1.
A disposição do documento também costumava revelar
informação. Modulando a posição de linhas e palavras,
mensagens poderiam ser marcadas e identificadas [5].
Novas tecnologias que armazenavam mais informação
em meios nada suspeitos foram desenvolvidas, a
detecção de mensagens também foi melhorada. A
invenção alemã dos micropontos foi considerada pelo
Diretor do FBI, J. Edgar Hoover, como a "obra-prima da
espionagem inimiga". Micropontos são fotografias do
tamanho de um ponto impresso tendo a clareza de
páginas datilografadas de tamanho normal, o que
permitia a transmissão de grandes quantidades de
dados, incluindo desenhos e fotos [5].
Em termos de computação, a esteganografia evoluiu na
prática de esconder uma mensagem dentro de uma
maior de tal maneira que uma pessoa não pode
discernir a presença ou os índices da mensagem. Em
termos contemporâneos, a esteganografia evoluiu numa
estratégia digital com intuito de esconder um arquivo
em algum dos meios multimídia, tais como um arquivo
de imagem, de áudio ou de vídeo.
ESTADO DA ARTE
A prática de criptografia assume que o método utilizado
para criptografar é de domínio público, e a segurança
reside na escolha da chave [17]. Por analogia, é de se
esperar que desenvolvedores de sistemas de
esteganografia deveriam publicar os mecanismos por
eles utilizados, e confiariam no segredo de suas
chaves. Infelizmente não é o caso, muitos fornecedores
deste tipo de sistemas armazenam o cabeçalho dos
mecanismos utilizados em seus acordos de não-
revelação, algumas vezes justificando a existência da
patente.
Sistemas simples
Vários softwares de esteganografia estão disponíveis
para embutir informações em imagens digitais. Alguns
deles, simplesmente, utilizam os últimos bits
significativos dos pixels da imagem recipiente para
adicionar os bits da mensagem [21]. A informação
embutida desta forma deve ser imperceptível aos
sentidos humanos [19], mas é trivial para que um
especialista possa detectar e destruir a mensagem.
Outros sistemas assumem que ambos, remetente e
destinatário, compartilham uma chave secreta e usam
um gerador convencional de chaves criptográficas [23].
A chave é então utilizada para selecionar pixels ou
amostras de som em que os bits do texto cifrado serão
embutidos [10].
No entanto, nem todo pixel é apropriado para codificar
uma mensagem: mudanças de pixels em grandes
campos de cores monocromáticas, ou nos pixels que
ficam em fronteiras definidas, podem ser visíveis ao
olho humano. Alguns sistemas têm algoritmos que
determinam se um pixel candidato pode ser utilizado,
pela verificação da variação na luminosidade de pixels
adjacentes, nem tão alta (como numa fronteira) nem tão
baixa (como em um campo monocromático). Sempre
que um pixel passar por este teste é possível alterar
seus últimos bits significativos para embutir um bit de
uma mensagem.
Tais esquemas podem ser destruídos de várias
maneiras por um oponente que possa modificar a
estego-imagem. Uma possível contramedida é utilizar
redundância: alguém poderia inserir um erro corrigindo
o código, ou simplesmente embutir uma marca várias
vezes. Por exemplo, o algoritmo “Patchwork ” (trabalho
Evidência Digital - 11
com retalhos) de Bender et al. esconde um bit em uma
imagem, aumentando a variação da luminosidade de
um grande número de pares de pixels pseudo-
randomicamente escolhidos [20].
Uma forma de atacar estes sistemas é separar a
sincronização necessária para localizar as amostras em
que a assinatura foi escondida: figuras, por exemplo,
podem ser cropped (corte das margens de uma foto).
No caso de áudio, um simples, mas efetivo, ataque de
dessincronização pode ser utilizado: randomicamente,
excluí-se uma proporção pequena de amostras, e
duplica-se um número similar de outras. Isto introduz
2
um jitter de alguns décimos de microssegundos, que é
insignificante comparado à precisão com que o som
original foi, na maioria dos casos, gerado, mas
suficiente para confundir um típico esquema de
assinatura.
Com um tom puro, é possível excluir ou duplicar, uma
amostra em 8.000 jitters, e com uma música clássica
que posui muitas variações de notas e tons, pode-se
excluir ou duplicar uma em 500, sem que o resultado
seja perceptível.
Técnicas de transformação
A interação entre compressão e esteganografia é uma
linha recorrente na literatura. Quando é conhecido
previamente o esquema de compressão utilizado, é
possível personalizar um método de embutir para obter
um resultado razoável. Por exemplo, em arquivos GIF é
possível trocar cores similares (cores adjacentes na
paleta atual) [13]. No entanto, se quisermos embutir
uma mensagem em um arquivo que pode ser sujeito à
compressão JPEG e filtragem, é possível embuti-la em
múltiplas localizações [25], ou melhor ainda, embuti-la
no domínio de freqüência, alterando componentes da
transformação do co-seno discreto da imagem.
As técnicas “spread spectrum” são freqüentemente
combinadas às características do material recipiente.
Por exemplo, um sistema de assinatura de áudio de
forma que explore as propriedades de mascaramento
do sistema auditivo humano [5].
Mascarar é um fenômeno em que um som interfere na
percepção de outro som. O mascaramento da
freqüência ocorre quando dois tons com freqüências
parecidas são tocados ao mesmo tempo. O tom mais
alto irá mascarar o mais baixo [12], [22]. Contudo, isto
não ocorre quando tons têm freqüências distantes.
Similarmente, mascaramento temporal ocorre quando
um sinal de baixo nível é tocado imediatamente depois
de um mais forte. Por exemplo, depois de se escutar
um som muito alto, leva um tempo antes que seja
possível escutar um som muito baixo.
Técnicas de compressão de áudio MPEG exploram
estas características [1], além disso, é possível explorá-
las inserindo assinaturas que estejam acima da
truncagem do início do MPEG, e abaixo do n i ício da
2
Fenômeno caracterizado pelo desvio no tempo ou na fase de um
sinal de áudio. Pode ser responsável por erros e perda de
sincronismo.
percepção [4]. Geralmente, uma existência de marca
d’água pode ser detectada por testes de estatística,
enquanto permanecer indetectável aos humanos, a
verdadeira questão é até quando pode ser danificado
além da recognição, sem introduzir distorção
perceptível.
Métodos de esteganografia - Imagem
A Internet é um canal vasto para disseminação de
informação. Imagens são utilizadas em toda a rede com
diversos propósitos, elas provêem excelentes
recipientes para esconder informações. Ferramentas de
esteganografia podem ser caracterizadas em dois
grupos: Imagem de Domínio e Transformação de
Domínio.
Ferramentas de Imagem de Domínio envolvem métodos
que aplicam inserção do último bit significativo e
manipulação de distorção. Estes métodos são comuns
na esteganografia e são caracterizados como “sistemas
simples” em [2]. Ferramentas utilizadas neste grupo
incluem StegoDos, S-Tools, Mandelsteg, EzStego, Hide
and Seek, Hide4PGP, Jpeg-Jsteg, White Noise Storm, e
Steganos.
Os formatos de imagens tipicamente utilizados nestes
métodos de esteganografia são de lossless e o dado
pode diretamente ser manipulado e recuperado.
Ferramentas de Transformação de Domínio incluem
aquelas que envolvem manipulação de algoritmos e
transformação de imagens, assim como Transformação
do Co-seno Discreto (TCD) [9], [18] e transformação
wavelet [24]. Estes métodos escondem a mensagem
em áreas mais significativas do recipiente e podem
manipular as propriedades da imagem, por exemplo,
sua luminosidade. Estas técnicas são mais robustas
que as técnicas de Imagem de Domínio. Contudo,
existe uma relação entre a informação adicionada à
imagem e a robustez obtida [15]. Vários métodos de
Transformação de Domínio são independentes do
formato e podem suportar a conversão entre os
formatos de lossless e lossy.
O método de compressão Lossless é utilizado quando
existe uma necessidade que a informação original
permaneça intacta. A mensagem original pode ser
reconstruída exatamente igual. Este tipo de compressão
é tipicamente utilizado em imagens GIF e BMP. Já o
método Lossy pode não manter a integridade da
imagem original, mas economiza bastante espaço em
disco. Este método é tipicamente utilizado em imagens
JPG e produzem ótimas compressões.
Imagens JPEG utilizam a Transformação do Co-seno
Discreto (TCD) para conseguir uma compressão de
imagem. O dado comprimido é armazenado como
números inteiros. Contudo, o cálculo para o processo
de quantização requer cálculos com ponto flutuantes
que são arredondados. Os erros introduzidos pelo
arredondamento definem a perda característica do
método de compressão em JPEG [6].
A ferramenta de esteganografia Jpeg-Jsteg esconde a
informação manipulando os valores de
Evidência Digital - 12
arredondamentos do coeficiente JPEG TCD. A
informação é escondida em uma imagem JPEG pela
modulação das escolhas de arredondamento para cima
ou para baixo nos coeficientes TCD.
Uma vantagem do TCD em relação aos outros tipos de
transformações é a habilidade em minimizar a
aparência em forma de bloco, quando os limites de
pedaços da imagem com 8x8 pixels se tornam visíveis.
Algumas técnicas compartilham características dos dois
grupos: ferramentas de Imagem de Domínio e
Transformação de Domínio. Com isso, pode-se
empregar a técnica patchwork (trabalho com retalhos),
codificação em bloco padrão [20], métodos de spread
spectrum (espalhamento de espectro) [8] ou
mascaramento [14] que adiciona redundância à
informação escondida. Estas abordagens podem ajudar
na proteção contra algum processamento de imagem,
assim como cropping e rotação.
A abordagem patchwork utiliza uma técnica pseudo-
randômica para selecionar múltiplas áreas (patches) de
uma imagem para marcação. Cada área pode conter
uma marca d’água, assim, se alguma é destruída ou
recortada, as outras podem suportar.
Máscaras podem incluir imagens de domínio assim
como existir um componente adicionado ou um objeto
imagem. Contudo, uma máscara pode ser adicionada à
imagem pelo ajuste das propriedades ou
transformações da imagem, recebendo, dessa forma,
características de ferramentas de Transformação de
Domínio.
Um modelo geral
O modelo geral de esteganografia é: primeiro se
esconde informação aplicando uma transformação ao
objeto recipiente e então se altera um subconjunto de
bits do objeto transformado que se torna redundante.
Neste contexto, redundante significa que um
subconjunto não trivial, selecionado randomicamente,
pode ser de um certo tamanho, que pode ter seus
valores alterados sem ser detectado facilmente por um
oponente que não sabe qual subconjunto examinar.
Mesmo realizando mais trabalho na busca pela
redundância aparente, sempre existirá alguém com a
habilidade criar novos modelos. Pode ser
especialmente se esta pessoa estiver procurando
remover uma marca d’água ou impressão digital
armazenada em uma música gravada em 1997
utilizando a tecnologia disponível em 2047. Esta é a
grande preocupação no caso da utilização de marca
registrada, ou seja, permitir que a marca não seja
retirada ou modificada, aproximadamente 70 anos
depois da morte do autor, no caso de texto e 50 anos
no caso de áudio [3].
ESTEGANOANÁLISE
A esteganoanálise visa descobrir e tornar inútil,
mensagens secretas ocultas em um recipiente [14].
Ao utilizar esteganografia, a qualidade do objeto é
degradada e tal degradação pode ser perceptível aos
sentidos dos seres humanos [19] e demonstrar certas
características semelhantes, o que torna possível
padronizar uma espécie de assinatura permitindo a
detecção dos métodos e dos softwares utilizados. Tais
assinaturas podem acusar a existência de uma
mensagem embutida, o que acaba com a finalidade da
esteganografia, que é esconder a existência de uma
mensagem.
Os procedimentos de ataques contra esteganografia
são: detecção e destruição da mensagem embutida.
Um objeto (imagem, som e vídeo) pode ser manipulado
com a intenção de se destruir informações embutidas,
existentes ou não. A detecção da existência de
esteganografia em um objeto poupa tempo na fase da
eliminação da mensagem, quando processados
somente objetos que contenham dados escondidos.
A figura 2 mostra um diagrama, onde os círculos
denotam onde o esteganoanalista pode obter acesso ao
sistema de esteganografia. No caso de obtenção de
mais de uma destas marcas, o resultado são diferentes
tipos de ataques.
Uma importante distinção deve ser feita entre ataque
passivo e ativo: no primeiro o esteganoanalista é capaz
somente de interceptar o dado, enquanto que no
segundo ele consegue interceptar e manipular o dado.
No diagrama da figura 2, um círculo preenchido significa
que um atacante tem acesso suficiente para realizar um
ataque ativo. Se o círculo não estiver preenchido,
somente é possível realizar ataques passivos.
Evidência Digital - 13
 Figura 2 – Sistema de Esteganografia Ampliado
Os seguintes ataques estão disponíveis neste modelo:
• Stego-only (apenas esteganografia):
Somente o estego-objeto está disponível para análise.
O esteganoanalista intercepta o dado e é capaz de
analisá-lo.
• Stego-attack (ataque de esteganografia):
O remetente utiliza um mesmo recipiente repetidas
vezes. O esteganoanalista possui estego-objetos
diferentes que foram originados do mesmo recipiente.
Em cada um destes arquivos, diferentes mensagens
estão embutidas.
• Known cover (recipiente conhecido):
O recipiente original e o estego-objeto estão
disponíveis. O esteganoanalista intercepta o estego-
objeto e compara com o recipiente que foi utilizado para
criar o estego-objeto.
• Known message (mensagem conhecida):
O remetente utiliza um mesmo recipiente várias vezes.
A mensagem escondida já foi revelada anteriormente, o
que permite a análise de estego-objetos para futuros
ataques.
• Cover-emb-stego ou known-cover-message
(mensagem e recipiente conhecidos):
O esteganoanalista intercepta o estego-objeto e
conhece, não somente qual recipiente foi utilizado, mas
também a mensagem que foi armazenada no estego-
objeto.
• Manipulação da mensagem
O esteganoanalista tem habilidade para manipular a
mensagem. É possível modificar ou remover a
mensagem embutida.
• Manipulação do recipiente
O esteganoanalista pode manipular o recipiente e
interceptar a mensagem. Isto é possível pela
determinação dos locais do estego-objeto que contêm
dados embutidos.
Os ataques stego-attack e know-cover podem ser
prevenidos se o usuário do sistema de esteganografia
tomar algumas precauções: não se deve utilizar o
mesmo recipiente várias vezes, e também não se deve
utilizar, como recipientes, arquivos que são amplamente
distribuídos ou facilmente encontrados na web.
O ataque stego-only é o mais importante contra
sistemas de esteganografia, pois ocorre com mais
freqüência. Métodos diferentes foram desenvolvidos
para determinar onde um certo estego-objeto pode
conter dados escondidos. Dois diferentes métodos
podem ser distinguidos: ataques visuais, que confiam
nas capacidades do sistema visual do ser humano e
ataques estatísticos que apresentam testes estatísticos
no estego-objeto.
COMBINAÇÕES DE MÉTODOS PARA OCULTAR
AINDA MAIS A INFORMAÇÃO
Como mencionado previamente, a esteganografia é um
dos meios mais eficazes de esconder dados,
protegendo os dados de visão desautorizada ou não
desejada. Porém esta técnica é simplesmente uma de
muitas maneiras de proteger a confidencialidade dos
dados e provavelmente a melhor usada conjuntamente
com um outro método de omissão de dados. Quando
usados em combinação, estes métodos podem ser
parte de uma abordagem de segurança.
Alguns bons métodos complementares incluem:
Criptografia – é uma ciência utilizada para codificar
arquivos de maneira que somente quem possua uma
chave de entrada poderá decodificar os mesmos. O
objetivo básico da criptografia é tornar uma mensagem
ininteligível para um adversário, que possa vir a
interceptar a mensagem [7]. Ao utilizar criptografia
juntamente com esteganografia é aconselhável que se
realize primeiro o processo de criptografia e depois
esteganografia, isto porque para um interceptador será
necessário saber que dentro de algum objeto existem
dados ocultos e depois de recuperá-los, será
necessário quebrar o algoritmo de criptografia.
Evidência Digital - 14
Métodos simples – alguns métodos simples também
podem ser utilizados para conseguir maior
confidencialidade dos dados. Renomear os nomes dos
arquivos para nomes inocentes, compactá-los diversas
vezes utilizando senhas e/ou disponibilizá-los em sites
desconhecidos.
Canais secretos - algumas ferramentas podem ser
usadas para transmitir dados valiosos no tráfego normal
da rede. Um exemplo é a ferramenta Loki, ela esconde
dados no tráfego do ICMP. É utilizada como um
backdoor em sistemas Unix.
CONCLUSÃO
Diante da guerra da informação, não se sabe até que
ponto é possível confiar em qualquer informação digital,
até porque uma mensagem aparentemente inocente
pode estar escondendo informações ou comandos de
guerra/terrorismo.
É preciso ponderar que armas de guerra da informação
podem ser utilizadas tanto como defesa, quanto ataque.
Todas as formas de se preservar devem ser
consideradas, pois sempre haverá alguém com tempo e
talento suficiente para conseguir transpô-las. Contudo é
necessário muita tática de defesa, obrigatoriamente
contra os ataques mais conhecidos, mas também é
imprescindível estudar e entender outras tecnologias,
como a esteganografia, que desde antes de Cristo é
utilizada, mas que poucos conhecem sua forma digital.
:: Laura C. M. Coelho
:: laura_cris@yahoo.com
:: Analista de Segurança da Informação da CASSI – Caixa de
Assistência aos funcionários do Banco do Brasil. Graduada em
Processamento de Dados e pós-graduada em Segurança de Redes
de Computadores.
:: Ricardo J. Bento
:: ricardo_jorba@hotmail.com
REFERÊNCIAS BIBLIOGRÁFICAS
[1] AMBIKAIRAJAH, Eliathamby; DAVIS A.G. WONG W.T.K.
”Auditory masking and MPEG-1 audio compression” Electronics
and Communication Engineering Journal (IEE). p. 165-175.
August, 1997.
[2] ANDERSON, Ross J.; PETITCOLAS, Fabien A. P. “On the Limits
of Steganography”, IEEE Journal on Selected Areas in
Communications, Vol. 16, No. 4, p. 474-481. May, 1998.
[3] ANDERSON, Ross J.; PETITCOLAS, Fabien A. P.; KUHN, Markus
G. “Information Hiding - A Survey”, Proceedings of the IEEE,
Volume 87, Nº. 7. July, 1999.
[4] BONEY Laurence; HAMDY Khaled N., TEWFIK Ahmed H. ”Digital
Watermarks for Audio Signals”, IEEE International Conference on
Multimedia Computing and Systems. Hiroshima, Japan; pp. 473-
480. June, 1996.
[5] BRASSIL, Jack; GORMAN, Lawrence O’.; LOW, S. H.;
MAXEMUMCHUK N. “Document Marking and Identification using
Both Line and Word Shifting”, Proc. Infocom, IEEE CS Press, Los
Alamitos, Calif., v.13. June, 1994.
[6] BROWN, W.; SHEPHERD, B.J. “Graphics File Formats:
Reference and Guide”. Manning Publications, Greenwich, CT
1995.
[7] CARVALHO, Daniel Balparda de. Segurança de Dados com
Criptografia: Métodos e Algoritmos. Editora: book Express, 2ª ed.
2001.
[8] COX, I.; KILIAN, J.; LEIGHTON, T.; SHAMOON, T. “Secure
Spread Spectrum Watermarking for Multimedia”. Technical Report
95-10, NEC Research Institute, 1995.
[9] COX, I.; KILIAN, J.; SHAMOON, T.; LEIGHTON, T. A Secure,
Robust Watermark for Multimedia. Lecture Notes in Computer
Science 1174 p. 185-206, Springer-Verlag. June, 1996.
[10] FRANZ Elke; JERICHOW Anja; MOLLER Steffen; PFITZMANN
Andreas; STIERAND Ingo. “Computer Based Steganography:
How it works and why therefore any restrictions on cryptography
are nonsense, at Best”, Information hiding: first international
workshop, Cambridge, UK. Springer Lecture Notes. No. 1174. p. 7-
21. 1996.
[11] HERÓDOTO. História. Gráfica Editora Brasileira LTDA, São
Paulo, SP, 1ª ed., 1953.
[12] HOLMES, J. N. Speech Synthesis and Recognition-Aspects of
Information Technology, Chapman & Hall, 1993.
[13] JAGPAL G. Steganography in Digital Images Thesis, Cambridge
University Computer Laboratory, May 1995.
[14] JOHNSON, Neil F.; JAJODIA Sushil. “Lecture Notes” – Lecture
Notes in Computer Science, Vol. 1525, published by Springer-
Verlag (1998).
[15] JOHNSON, Neil F.; JAJODIA, Sushil. Exploring Steganography:
Seeing the Unseen. IEEE Computer. p. 26-34. February (1998).
[16] KAHN, David. The Codebreakers, Macmillan Publishing Co.,
New York State. Editora: Scribner, New York, 1996.
[17] KERCKHOFFS, Auguste. “La Cryptographie Militaire”, Journal
des Sciences Militaires, 9th series, IX , p 5-38; January 1883; p
161-191, February 1883.
[18] KOCH, E.; RINDFREY, J.; ZHAO, J. Copyright Protection for
Multimedia Data. Proceedings of the International Conference on
Digital Media and Electronic Publishing, December 1994. Leeds,
UK, 1994.
[19] KURAK, Charles; MCHUGH John. “A Cautionary Note On Image
Downgrading”, IEEE Eighth Annual Computer Security Applications
Conference, p. 153-159, 1992.
[20] MORIMOTO, Norishige; BENDER, Walter; GRUHL, Daniel; LU,
Anthony. “Techniques for Data Hiding”, IBM Systems Journal vol.
35 nº 3, p. 313-336, 1996.
[21] OSBORNE, C.F.; SCHYNDEL, R.G. van; TIRKEL, A.Z. “A Digital
Watermark”, International Conference on Image Processing,
(IEEE) v 2 pp 86-90, 1994.
[22] PARSON, T. Voice and Speech Processing, McGraw -Hill, 1986.
[23] SCHNEIER, Bruce. Applied Cryptography-Protocols, Algorithms
and Source Code in C, 2th Edition, J. Willey, 1995.
[24] XIA, X; BONCELET, C. G.; ARCE, G. R. “A Multiresolution
Watermark for Digital Images”. IEEE International Conference on
Image Processing. October, 1997.
[25] ZHAO, Jian; KOCH, Eckhard. “Towards Robust and Hidden
Image Copyright Labeling”, Proceedings of 1995 IEEE Workshop
on Nonlinear Signal and Image Processing - Neos Marmaras,
Halkidiki, Greece - June, 1995.
[26] MAGALHÃES, João; As Epístolas de Bin Laden – Disponível na
Internet:
http://www.estadao.com.br/magazine/materias/2001/out/01/314.ht
m
Evidência Digital - 15
 1º Encontro de Perícia Forense Aplicada à Informática do Rio de Janeiro

01 de outubro de 2004 - SUESC – Rio de Janeiro - RJ

Diante do crescimento • Aspectos legais relacionados aos crimes

das fraudes na eletrônicos, bem como questões relativas à obtenção,
Internet, disseminação validade e utilização de provas eletrônicas.
de e-mails falsos ,
SPAM, roubo de • Coleta, recuperação, análise e correlacionamento
informações das informações.
confidenciais, acesso
indevido, invasão de • A privacidade e o controle de usuários será
privacidade e riscos objeto de avaliação dentro do contexto jurídico
envolvendo o bom nacional e internacional.
andamento dos
negócios, a Batori Software & Security e a RAFROM • Apresentação dos problemas enfrentados pelos
realizarão o 1° Encontro de Perícia Forense usuários em relação ao SPAM, traçando
Aplicada à Informática do Rio de Janeiro. paralelos entre as técnicas de prevenção
que os administradores podem utilizar, as
Será um evento onde estarão presentes alguns técnicas de bom uso do e-mail por parte dos
dos principais especialistas em Perícia Forense usuários e as questões legais envolvidas.
Aplicada à Informática, demonstrando as
tendências e técnicas dessa área que está em • Investigação do tráfego de rede para
constante crescimento. procurar a verdade em questões cíveis,
criminais e administrativas para proteger
A primeira edição do evento será aberta ao público usuários e recursos de exploração, invasão de
corporativo, advogados, peritos, consultores, estudantes privacidade e qualquer outro crime promovido pela
universitários e a comunidade da área de segurança da contínua expansão das conexões em rede.
Informação, segurança de redes, sistemas e a todos os
profissionais interessados ou envolvidos com esta • Serão demonstradas, na prática, algumas
temática. técnicas de invasão e, principalmente, o esquema de
fraudes através dos computadores.
Durante o evento serão apresentados casos reais
sobre:
• Decisões judiciais nacionais e internacionais
• Fraudes financeiras e a reconstrução do curso das serão debatidas.
ações do estelionatário.

SUESC : Sociedade Unificada de Ensino Superior e Cultura

Endereço:
Praça da República, 50 – CEP 20211-351– Rio de Janeiro / RJ.

Estacionamento / Metrô:
Próximos ao local

Data:
01/10/2004

Hora:
14:00 às 18:00

Inscrições:
Valor para profissionais: R$ 40,00
Valor para estudantes: R$ 20,00

Link:
http://www.batori.com.br/periciaforense/inscricao.asp

Evidência Digital - 16
 Agenda

14:00
Tema: Crimes Eletrônicos e os Tribunais Brasileiros
Duração: 60 min
Renato Opice Blum (renato@opiceblum.com.br)
Palestrante: Empresa: Opice Blum Advogados Associados
Cargo: Sócio Diretor
A apresentação abordará aspectos legais relacionados aos crimes eletrônicos, bem como questões relativas a
obtenção, validade e utilização de provas eletrônicas. A privacidade e o controle de usuários será objeto de avaliação
dentro do contexto jurídico nacional e internacional. A responsabilidade dos gestores de sistemas e de entes
transmissores também será tratada. A palestra busca trazer soluções e cases atuais em situações fáticas no direito
eletrônico. Decisões judiciais nacionais e internacionais serão debatidas.

15:00
Tema: A Máfia Eletrônica Fraudes Financeiras no Século XXI
Duração: 45 min
Denny Roger (denny@batori.com.br)
Palestrante: Empresa: Batori Software & Security
Cargo: Diretor de Segurança da Informação
A palestra tem como objetivo apresentar técnicas utilizadas por estelionatários para aplicar fraudes financeiras através
dos computadores, e demonstrar o que é a Segurança da Informação dentro da organização.

16:00
Tema: E-mail: ruim com ele, pior sem ele. Como se precaver em relação ao SPAM
Duração: 60 min
Rodrigo Jonas Fragola (fragola@aker.com.br)
Palestrante: Empresa: Aker Security Solutions
Cargo: Diretor Executivo
O e-mail representa hoje uma grande ferramenta de comunicação, tornando-se uma necessidade em grande parte das
empresas. Explorado por muitos como forma de propaganda seu mal uso incomoda os usuários e diminui a
produtividade nas empresas.

Iremos apresentar os problemas enfrentados pelos usuários, traçando paralelos entre as técnicas de prevenção que os
administradores podem utilizar, as técnicas de bom uso desta ferramenta por parte dos usuários e as questões legais
envolvidas.

Discutiremos também a eficácia das técnicas apresentadas, mostrando seus pros e contras.

17:00
Tema: Perícia Forense Computacional: Aspectos Práticos
Duração: 60 min
Wanderly Abreu Jr.
Palestrante: Empresa: Storm Development
Cargo: Diretor
Palestra cobrirá com cases reais a prática forense para atestar a força probatória e auxiliar na investigação de crimes
ocorridos no Estado do Rio de Janeiro em diversos aparelhos lógicos e discutirá os aspectos legais da utilização e
admissibilidade de logs nos tribunais brasileiros.

Tópicos:

> Introdução à ciência forense.

> Investigação x Perícia.
> Case: Operação Contra Pedofilia na Internet (Catedral Rio I, II e III).
> Força Probatória em Crimes de Informática.
> Case: Caso Estácio de Sá.
> Recuperação e Conservação de Dados para perícia.
> Conclusão: Os Logs e futuro da perícia computacional no Brasil.

Evidência Digital - 17
 Rafael C. Santos
Policiais Corporativos
Na última edição da revista
Evidência Digital, nosso
colega e meu amigo,
Salomão de Oliveira falou
sobre os vírus como agentes
digitais do crime e como o
usuário tem sido manipulado
para agir contra si mesmo.
Afinal de contas, os cavalos de tróia, worms, vírus e
demais programas de código malicioso sempre
utilizaram a ingenuidade do usuário para se disseminar.
Neste artigo vou tomar carona no artigo do Salomão e
ampliar um pouco o conceito de Agente Digital do Crime
e falar como o usuário tem se transformado neste
agente.
Como profissionais de Segurança da Informação, temos
o dever de proteger as informações das empresas onde
trabalhamos. Nosso dia-a-dia consiste em analisar
ferramentas, propor e implementar soluções, “apagar
incêndios”, e muitas vezes, ao vermos o resultado do
final de um longo dia de trabalho nos sentimos como se
nada tivéssemos feito. Mas como pode? Foram horas
analisando qual seria a melhor solução de antivírus.
Dias e dias implementando da melhor maneira possível
a solução escolhida. Mais horas configurando as regras
do Firewall. Outras horas implementando um sistema
automático de distribuição de correções de segurança.
O que pode estar errado?
Esta pergunta começa a ser respondida quando
voltamos um pouco ao nosso dia-a-dia e analisamos
quanto do nosso tempo foi gasto com o usuário. Muitas
vezes nenhum minuto, outras vezes enviamos um
simples e-mail para os funcionários comunicando sobre
uma nova ferramenta ou norma, mas é só.
A eficiência de seu trabalho como profissional de
segurança da informação depende diretamente do
tempo que você e sua empresa investem nos seus
funcionários, conscientizando, treinando e apoiando.
Hoje, um grande número de casas pelo mundo todo tem
um computador com acesso à internet. Em praticamente
todas as profissões o computador é uma ferramenta
fundamental. Porém a cada dia podemos verificar que
tão rápido quanto cresce nossa dependência dos
computadores e da interligação das informações, cresce
também o número dos analfabetos e semi-analfabetos
digitais.
Os analfabetos digitais são aqueles que nada sabem
sobre o microcomputador. Não têm acesso à internet e
estão totalmente excluídos digitalmente. Os semi-
analfabetos digitais são a grande maioria dos nossos
usuários corporativos. São pessoas que sabem ligar o
microcomputador, abrir um editor de textos, um software
de leitura de e-mails e acessar à internet. Contudo, nada
sabem sobre as ameaças digitais de nossos dias. Estão
totalmente vulneráveis às mesmas e se tornam, sem
saber, Agentes Digitais do Crime.
Estes usuários são ameaças para as redes onde
trabalham, para a grande rede – internet e até para si
mesmos. Como? Vamos falar sobre as ameaças ao
micro pessoal do usuário. Uma das mais difíceis de
combater, pois é talvez a menos esclarecida é a
questão dos Spywares – softwares que se instalam na
máquina do usuário e monitoram o perfil deste usuário
na internet, enviando os dados coletados para um
repositório na internet.
Os usuários, por total falta de conhecimento, instalam
sem o menor problema estes softwares em seus
computadores pessoais e se tiverem chances nas
empresas onde trabalham. Além desta ameaça bem
comum hoje em dia, podemos citar os ataques de
“Phishing Scam” (Termo vem da junção das palavras
Password = senha e Fishing = Pescaria) onde o usuário
é convencido por Engenharia Social a executar um link
baixando um arquivo malicioso e a fornecer dados
confidenciais como suas senhas.
Falando em Engenharia Social, todo e qualquer ataque
que utilize alguma das suas técnicas é um ataque
perigoso e muito difícil de ser combatido, pois visam
ganhar a confiança de alguém com privilégios no
computador ou na rede alvo, passando por todas as
barreiras de segurança e usando os Agentes Digitais do
Crime como principal ferramenta de ataque.
Mas o que é Engenharia Social? Quais são as técnicas
da Engenharia Social? Engenharia Social nada mais é
do que conseguir influenciar pessoas pelo poder da
persuasão. Fazer com que pessoas façam o que
queremos que façam simplesmente pedindo ou
induzindo. Para conseguir persuadir o alvo e ganhar sua
confiança o Engenheiro Social deve ter algumas
habilidades, a saber:
• Ousadia
• Capacidade de influenciar pessoas
• Persuasão
• Deve saber como ganhar a confiança
• Deve conhecer bem o alvo
Evidência Digital - 18
Algumas destas habilidades podem ser
desconsideradas para ataques em massa como o
“Phising Scam” por exemplo. Neste tipo de ataque o
Engenheiro Social não precisará contato direto com o
alvo. Irá sim disparar um SPAM para várias caixas
postais e esperar que alguém acredite nas promessas
feitas no texto do e-mail fraudulento.
Outra característica importante e fundamental para a
utilização da Engenharia Social é o conhecimento de
algumas características psicológicas do ser humano.
Tais como: Confiança, Solidariedade, Autoridade,
Submissão e Instinto de Sobrevivência.
Como podemos ver, a Engenharia Social tem como alvo
fundamental o ser humano e por isso é a mais perigosa
arma de ataque. Os nossos usuários hoje são semi-
analfabetos digitais, poucos sabem sobre como se
defender e se transformam facilmente em ameaças
gravíssimas para as corporações.
Agora vem mais uma pergunta: Como se defender? O
que nós, profissionais de segurança da informação,
podemos fazer para proteger as informações das
empresas em que trabalhamos? Como impedir que
nossas defesas sejam sobrepujadas pelos ataques de
Engenharia Social? Como garantir a segurança se o elo
mais fraco não é tecnológico e nem processual, mas sim
o usuário?
Existe um velho ditado que ouvi pela primeira vez
quando eu era criança e assistia ao desenho do Pica-
Pau... “Se não pode vence-los, junte-se a eles.” Este
ditado mostra nossa principal arma para impedir que
nossos usuários se transformem em Agentes Digitais do
Crime. Utilizando técnicas de Engenharia Social para
transformar nossos usuários em Policiais Corporativos.
Muito se fala sobre trazer os usuários para a equipe de
segurança da informação, sobre como a segurança é
responsabilidade de todos na empresa, porém a grande
dificuldade é como trazer este usuário para o nosso
lado.
Primeiro é preciso informação. Seminários, mini-cursos,
palestras precisam fazer parte do calendário
corporativo. Porém não se deve utilizar o formato
convencional, é preciso inovar! O usuário precisa de
uma dose de Engenharia Social Corporativa.
É preciso usar da autoridade de alguém forte na cia
para influenciar os usuários a estarem no treinamento.
Este alguém deve sempre ser o Presidente ou
equivalente. Após conseguir influenciar os usuários a
participarem do treinamento, aguçando seu instinto de
sobrevivência, é preciso agora ganhar sua confiança.
Use exemplos de ameaças que podem estar atacando
seus computadores de casa. Mesmo que estas
ameaças não possam agir contra a empresa,
fornecendo informações sobre como eles podem estar
vulneráveis em suas casas e como agir para se
defender, nós conseguimos ganhar sua confiança e
despertar o interesse pelo assunto.
É sempre importante que o usuário obtenha benefícios
agindo e trabalhando com segurança. Programas de
premiação podem ser criados para estimular os usuários
a estarem atentos quanto à segurança das informações
e buscarem cada vez mais conhecimento.
E este conhecimento deve ser totalmente democrático,
deve ser exposto na intranet, em murais, mensagens
periódicas, e incentivo para cursos externos. Os
treinamentos devem ser amplos, não só com relação à
Segurança, mas que seja útil para as atividades diárias
e como faze-las com segurança e otimizando tempo e
recursos.
Com o passar do tempo e a disseminação da cultura de
segurança, usuários comuns podem ser convidados
para participarem dos seminários ministrando palestras
e dando testemunhos de casos. Pense em como seria
oportuno e no interesse que despertaria nos ouvintes se
um gerente de unidade remota demonstrasse com
números, como sua unidade economizou com links, por
exemplo, após ter dado seqüência no programa de
treinamento, multiplicando as informações.
E o mais importante, a grande diferença entre
Engenharia Social – comumente utilizada para atacar e
a Engenharia Social Corporativa – usada agora para
educar, treinar e ganhar os usuários é que na
Engenharia Social, o atacante promete e não cumpre,
diz ter o apoio de um diretor que nem conhece, se faz
passar por alguém que não é.
Enquanto que a Engenharia Social Corporativa deve
sempre ser verdadeira. Prometer e cumprir. Dizer ter o
apoio do Presidente e envolver o presidente na
conscientização. O usuário deve ter confiança na equipe
de segurança e esta confiança deve sempre ser
honrada.
Questionamentos feitos pelos usuários não devem
nunca ficar sem respostas. Incidentes alertados por
usuários devem sempre ser investigados e este deve ter
retorno do que foi feito. Assim é possível transformar o
usuário comum, semi-analfabeto digital em um Policial
Corporativo, muito bem informado. Investigativo,
sedento por informações, curioso e sempre disposto a
ajudar.
Este é o segredo para fortificarmos o elo mais fraco da
segurança da informação corporativa. Transformando os
Agentes Digitais do Crime em Policiais Corporativos.
Transformando usuários simples e desinformados em
verdadeiros sensores de segurança. Alguns serão como
os detectores de intrusão, outros serão como
gerenciadores de antivírus, alguns serão como
distribuidores de patches e outros simplesmente
multiplicadores. Mas todos serão novas ferramentas,
muito eficazes, para ajudar aos profissionais de
Segurança.
:: Rafael C. Santos
:: rafael.seginfo@gmail.com
:: MCP, MCSO. Analista de Segurança da Informação do Grupo
Schincariol sediado em Itu – SP. Formado em redes de
computadores pela Universidade Estácio de Sá - RJ e Pós-
Graduado em segurança da informação pelo IBPI / UniRio.
Evidência Digital - 19
 Curso
System Forensics,
Investigation and Response
Objetivos
Este curso apresenta os conhecimentos e habilidades
necessárias para a perícia forense aplicada à
informática e também apresenta de forma clara e
objetiva as principais relações jurídicas formadas em
ambiente virtual, seus impactos e conflitos no mundo
atual, conferindo conhecimentos para a prevenção de
prejuízos no âmbito eletrônico, e conhecimentos sobre a
aplicação das leis, direitos, deveres e obrigações no
ambiente digital, eletrônico ou virtual.
Público Alvo
Empresários na área de tecnologia, CIOs, profissionais
ligados à informática e eletrônica, a profissionais do
ramo do direito, estudantes, e quaisquer interessados
em se aprofundar na área de perícia forense aplicada à
informática e do direito aplicado aos meios eletrônicos.
Carga Horária
24 horas distribuídas em três dias.
Data
19/10/2004 a 21/10/2004
Local
São Paulo / SP
Investimento
À vista: R$ 2.300,00
Parcelado: 3 vezes sem juros
Inscrições
http://www.batori.com.br/treinamentos/curs4con.asp
Inclusos
Coffe-Breaks, apostila em português, Certificado do
curso Perícia Forense Aplicada à Informática e CD com
softwares gratuitos de segurança.
Instrutores
Dr. Renato M. S. Opice Blum
• Bacharel em direito pelas Faculdades Metropolitanas
Unidas
• Bacharel em economia pela Fundação Armando Álvares
Penteado
• Professor da FGV, PUC, IBTA/IBMEC e outras
• Árbitro da FGV e da Câmara de Mediação e Arbitragem de
São Paulo (FIESP)
• Presidente do Conselho de Comércio Eletrônico da
Federação do Comércio/SP
• Fundador e ex-Presidente do Comitê de Direito da
Tecnologia da Câmara Americana de Comércio (AMCHAM)
• Autor / Colaborador das Obras: Direito Eletrônico - a internet
e os tribunais, Novo Código Civil - questões controvertidas,
Conflitos sobre Nomes de Domínios, Direito e Internet-
aspectos jurídicos relevantes, Direito da Informática - temas
polêmicos e outras
Dra. Juliana Canha Abrusio
• Bacharel em direito pela Universidade Presbiteriana
Mackenzie
• Especialista em Direito Empresarial, com extensão no
Fanshawe College University - Canadá, em Business Law e
Corporate Law e Mestranda pela Faculdade de Direito da
Universidade de São Paulo (USP)
• Professora da Faculdade de Direito da Universidade
Presbiteriana Mackenzie na cadeira de Direito nos Meios
Eletrônicos
• Membro do Comitê Anti-Fraude da Câmara Brasileira de
Comércio Eletrônico
• Autora de vários artigos sobre direito eletrônico e co-autora
nas obras: Conflitos sobre Nomes de Domínio (RT); Revista
de Dir. Eletrônico (ESMP) e colaboradora da obra Internet
Legal - Direito na Tecnologia da Informação (Juruá)
Andrey Rodrigues de Freitas
• Bacharel em Processamento de Dados
• Especialista em Computação Aplicada
• Especialista em Internet Security
• Criador / Moderador do Grupo Perícia Forense Aplicada à
Informática
• Criador / Editor da Revista Evidência Digital
• Criador / Webmaster do site Perícia Forense Aplicada à
Informática
• Autor de vários artigos sobre Perícia Forense
Evidência Digital - 20
Conteúdo programático

• Módulo 1: Introdução à Perícia Forense

o Definição
o Terminologia da perícia
o Procedimentos gerais para uma investigação
o O laudo pericial

• Módulo 2 : Duplicação Pericial

o Definição
o A duplicação pericial é necessária?
o Ferramentas de duplicação pericial
§ SOFTWARES:
§ EnCase
§ SafeBack
§ ILook
§ ProDiscoverer
§ Forensic Replicator
§ Forensic Toolkit (FTK)
§ GetDataBack
§ dd for Linux
§ dd for Windows
§ SMART
§ HARDWARES:
§ Forensic SF-5000
§ Forensic MD5
§ DIBS Mobile Forensic Workstation
§ DIBS Advanced Forensic Workstation
§ Estações F.R.E.D.
§ Duplicadores CSC

• Módulo 3 : Investigando Sistemas Operacionais Windows

o Kit de ferramentas
o Onde procurar provas ?
§ Execute um cmd.exe confiável
§ Capturando a data/hora do sistema
§ Detectando quem está conectado ao sistema
§ Detectando portas abertas e aplicativos à escuta
§ Observando todos os processos em execução
§ Detectando conexões recentes e atuais
§ Investigando os logs de eventos
§ Log de sistema (sysevent.evt)
§ Log de aplicativo (appevent.evt)
§ Log de segurança (secevent.evt)
§ Investigando as diretivas de auditoria com a ferramenta auditpol
§ Monitorando os logins com a ferramenta ntlast
§ Investigando os logs de eventos com a ferramenta dumpel
§ Investigando os logs de eventos com o utilitário Event Viewer
o Revisando o Registro
§ HKEY_CLASSES_ROOT
§ HKEY_CURRENT_USER
§ HKEY_LOCAL_MACHINE
§ HKEY_USERS
§ HKEY_CURRENT_CONFIG
o Obtendo as horas de modificação, criação e acesso de todos os arquivos
o Manipulando senhas
o Realizando buscas por palavra-chave
o Recuperando arquivos de dados excluídos
o Revisando arquivos na lixeira
o Examinando arquivos temporários
o Revisando arquivos do navegador web
o Revisando rede de discagem
o Identificando contas de usuários ou grupos não-autorizados
o Examinando tarefas executadas pelo serviço de agendamento
o Verificando serviços de controle e acesso remotos
§ Controle Remoto
§ Acesso Remoto
o Verificando compartilhamentos administrativos
o Revisando buscas e arquivos usados
o Documentando os comandos usados durante a perícia inicial

Evidência Digital - 21
• Módulo 4 : Investigando Sistemas Operacionais Linux
o Kit de ferramentas
o Onde procurar provas ?
§ Executando um Shell confiável
§ Capturando a data/hora do sistema
§ Obtendo horas de modificação, criação e acesso de todos os arquivos
§ Detectando quem está conectado ao sistema
§ Detectando portas abertas, aplicativos à escuta e processos marginais
§ Observando todos os processos em execução
§ Descobrindo Sniffers ilícitos
§ Investigando os arquivos de logs
§ Investigando a RAM do sistema
§ Investigando arquivos de configuração importantes
§ Recuperando arquivos e dados excluídos
§ Investigando contas de usuários
§ Investigando contas de grupos
§ Verificando pontos de acesso não-autorizado
§ Analisando relações de confiança
o Realizando buscas por palavra-chave
§ Comando grep
§ Comando find
o Documentando históricos de Shell
o Identificando os discos e partições em sistemas Linux
o Entendendo o sistema de arquivos do Linux
o Entendendo o sistema de diretórios do Linux
o Entendendo o diretório /proc

• Módulo 5 : Investigando Servidores Web (IIS/Apache)

o Microsoft IIS (Internet Information Server)
§ W3C Extended Log File Format
§ Definições do Log do W3C Extended Log File Format
§ Definições de Log de Contabilização de Processos
§ Microsoft IIS Log File Format
§ NCSA Common Log File Format
§ Log ODBC
§ Nomes de Arquivos de Log
o Apache
o Análise de um sistema comprometido
§ O Aviso
§ A Sondagem
§ Encontrando a Vulnerabilidade
§ O Ataque
§ Outros Tipos de Ocorrências Encontradas nos Arquivos de Log

• Módulo 6 : Investigando E-Mails

o Funcionamento do E-mail
o Analisando cabeçalhos
o Leitores de E-mails

• Módulo 7 : Determinando a Origem dos Ataques / Ferramentas Utilizadas na Perícia

o Investigando endereços IP
§ Utilizando o nslookup
§ Utilizando traceroute ou tracert
§ Utilizando o banco de dados Whois
o Investigando endereços IP em um ambiente DHCP
o Investigando endereços IP em NAT
o Investigando endereços MAC
§ Visualizando a tabela ARP
§ Obtendo o endereço MAC de um sistema
o Rastreando E-mails
o Ferramentas utilizadas na perícia

• Módulo 8 : Estudos de Casos

o Estudo de caso 1
o Estudo de caso 2
o Estudo de caso 3

Evidência Digital - 22
• Módulo 9 : Direito Eletrônico
o Segurança em sistemas e aspectos jurídicos
o Contratos click e o novo código civil
o Direito comparado
o Prova e perícia eletrônica
o Processo Eletrônico
o Delitos tecnológicos
o Jurisprudência em alta tecnologia
o Competência internacional e Legislação aplicável
o Assinaturas eletrônicas
o Comércio Eletrônico
o Spams
o Responsabilidade civil na Internet
o Privacidade
o Controle e monitoramento de usuários em sistemas informáticos
o Inviolabilidade de dados informáticos
o Crackers, pherakers, carders, cyberpunks, internals
o Estelionato eletrônico
o Spoofing e sniffing
o Peculato eletrônico
o Local e tempo do crime
o Interceptação de comunicação informática
o Crimes contra a propriedade imaterial
o Crimes praticados em Lan House ou Cybercafés
o Prova eletrônica
o Convenção de Budapeste
o Projeto de lei nº 89/2003
o Legislação vigente
o Jurisprudência
o Direito Comparado
o Direito Autoral na Internet
o Direito Morais e Patrimoniais do Autor
o Direitos Conexos
o Música MP3
o Peer to Peer
o Violação dos Direitos do Autor
o Trade Dress
o Concorrência desleal no direito digital
o Conflitos de Nomes de Domínio
o Jurisprudência
o Proteção Empresarial e os meios eletrônicos
o Fraudes eletrônicas e procedimentos de segurança
o Proteção ao capital intelectual da empresa
o A prática da concorrência desleal nos meios eletrônicos
o Monitoramento de e-mails pelo empregador
o Termos de uso de e-mail
o Regulamentos de Segurança
o Privacidade em ambiente empresarial

System Forensics,
Investigation and Response

Evidência Digital - 23
 Daniel Velasco, Manuel Cuesta, Leonardo Castañeda, Sonia Vivas
Recuperación de Información
NTFS versus FAT
Resumen — Este documento recopila información
sobre los sistemas de archivos NTFS y FAT. Con
esta información se hace un resumen de las
posibilidades forenses de recuperar información en
estos sistemas de archivos, y se diferencia entre
borrado y eliminado, y se explica la seguridad que
permiten estos sistemas en cuanto al borrado y
recuperación de información confidencial.
INTRODUCCIÓN
EL OBJETIVO DE ESTE DOCUMENTO ES EXPLICAR AL LECTOR
LAS POSIBILIDADES DE RECUPERAR INFORMACIÓN QUE PUDO
SER CONSIDERADA PERDIDA EN LOS SISTEMAS DE ARCHIVOS
NTFS Y FAT.
La información confidencial es un bien invaluable, y
como tal debe ser celosamente protegido. Con esto en
mente y teniendo en cuenta las posibilidades que se
presentan actualmente, borrar un archivo confidencial
puede no ser seguro, de modo que esta información
puede estar vagando libremente y puede ser recuperada
por una persona con acceso a la máquina. A pesar de
que existen muchas técnicas de borrado seguro, aun es
un procedimiento poco implementado, y existen
herramientas que recuperan parte de esta información,
si el borrado no es suficiente. Los sistemas de archivos
FAT y NTFS son de uso bastante común, sin embargo
la forma en que funcionan no es conocida por los
usuarios comunes, y por ello se tiende a generar ideas
erróneas sobre las posibilidades de estos sistemas.
Una de las ideas más comunes en cuanto a la
información, es que una vez borrada de la papelera de
reciclaje esta información es irrecuperable, sin embargo
esto no es cierto, y la información puede ser fácilmente
recuperada. Con el conocimiento suficiente, es posible
ser más cuidadoso con la información, y entender como
recuperarla en caso de que sea necesario.
Marco Teórico
¿Qué es un medio magnético?
El término “medio magnético” se usa para describir
cualquier formato en el que la información sea guardada
y recolectada en la forma de una señal magnética.
Formas comunes de medios magnéticos son las cintas
magnéticas (casettes de audio, de video y de
computador), los discos duros y los disquetes) [3].
Diversos tipos de soportes magnéticos han sido usados
con el correr de los años. En los primeros grabadores se
usó alambre ferroso (wire recorder), sin embargo, en los
equipos modernos se usa una delgada capa de material
ferromagnético que es soportada por un sustrato no
magnético. La capa magnética puede estar formada de
partículas magnéticas en una matriz polimérica [1].
Estos soportes magnéticos suelen diferenciarse para
medios duros y medios blandos. Los medios duros
requieren campos aplicados grandes para lograr el
magnetismo permanente y una vez magnetizados, otros
campos intensos son requeridos para revertir la
magnetización y borrar el material. Estos medios tienen
gran aplicación en computadoras y almacenamiento de
datos. Los medios blandos requieren relativamente
bajos campos para lograr la magnetización, son
apropiados para aplicaciones de audio [1].
Los disquetes de 3 ½ y 5 ¼ están hechos de un plástico
delgado y maleable (de allí el nombre ‘floppy’), con un
recubrimiento de óxido, que provee la cualidad
magnética al disco. Los discos Zip también son medios
magnéticos [2].
Los discos duros consisten en uno o más platos de
metal guardados en una caja sellada. El metal es
magnético, y la unidad del disco duro utiliza este
magnetismo para almacenar y eliminar datos [2].
El deterioro de los medios magnéticos puede producirse
de diferentes formas, por ejemplo las partículas que
conservan la información cifrada en la capa magnética
pueden llegar a ser inestables, conduciendo a una
pérdida gradual de calidad de la señal y eventual
pérdida de la información [3].
Información sobre el manejo correcto de medios
magnéticos puede encontrarse en [3] y [4].
¿Como se guarda la información?
Los sistemas de archivos tienen un ‘índice’, por ejemplo
el caso de la tabla de asignación de archivos, en este
lugar se guarda información sobre el archivo (mas
adelante se explicará en detalle como funcionan los
sistemas de archivos, sin embargo es importante
entender como se guardan los archivos en el disco).
Parte de esta información consiste en un apuntador al
Evidência Digital - 24
cluster donde se encuentra guardado el archivo, si este
es muy grande puede estar dividido en varias partes del
disco, por lo que cada parte tendrá a su vez
apuntadores al siguiente cluster. La información es
magnéticamente grabada en el disco, codificada por
diferentes métodos, según el tipo de unidad [16]. La
geometría de los discos es un tema interesante y denso,
pero no es el centro de esta investigación. Se
recomienda al lector estudiar el tema para una
comprensión mas precisa sobre la forma en que se
guarda la información físicamente y la ilusión que se
genera para el usuario final.
Sistemas de Archivos
En esta sección del paper se pretende dar al lector una
visión global de los sistemas de archivos FAT y NTFS,
de modo que sea posible compararlos y diferenciarlos
en cuanto a recuperación de información, que es el
tema principal de este documento. En la figura 1 se
encuentra un cuadro comparativo de estos sistemas de
archivos. [5]
NTFS
En la década de los 90’s, Microsoft quiso desarrollar un
sistema operativo que tuviera un alto desempeño, una
alta confiabilidad, que fuera seguro, y de buena calidad.
Su primer intento fue MS-DOS, y Windows 3.x. Ninguno
de estos dos intentos lograba competir con los mejores
sistemas operativos de la época, entre los cuales
encontramos a UNIX. Uno de sus principales limitantes
se baso, en el sistema de archivos que utilizaron, el cual
era FAT, del que también hablamos en este documento.
Más adelante Microsoft, quiso desarrollar un nuevo
sistema operativo, mucho más confiable, y con nuevas
características. Para ello, tenían que cambiar entre
algunas otras cosas, su sistema de archivos. El sistema
de archivos que desarrollaron se llamó, New Technology
File System, o NTFS [20].
Es un sistema de archivos mas avanzado que FAT,
sobre él se pueden montar servicios que administra el
sistema operativo, algunos de estos servicios son:
Puntos de Repase, Estructura Nativa de
Almacenamiento, Cuotas en Disco, Cadenas de Objetos
Identificables, Diario de Operaciones, Número Único de
Secuencia, y cifrado[20]. De estos solo el diario de
operaciones y el número único de secuencia son de
nuestro interés ya que es aquí donde se centra el gran
potencial de NTFS.
NFTS no es, como su nombre lo indica, completamente
nuevo, ya que esta basado, en otro sistema de archivos
PSF [21], en el cual estuvo trabajando Microsoft algún
tiempo, en asociación con IBM, para la creación de del
sistema operativo OS/2 [22]. NTFS fue diseñado para
satisfacer un número especifico de objetivos, entre los
cuales encontramos, Confiabilidad, Seguridad y Control
de Acceso, Romper la Barrera Tamaño, Eficiencia de
Almacenamiento, Nombres de Archivos Largos, Trabajo
en Red, entre otros [20]. El desarrollo de NFTS, no paro
en la versión utilizada inicialmente por Windows NT,

Tabla 1. NTFS vs FAT

Criteria NTFS5 NTFS FAT32 FAT16
Windows 98
Windows NT DOS
Windows 2000 Windows ME
Operating System Windows 2000 All versions of
Windows XP Windows 2000
Windows XP Microsoft Windows
Windows XP

Limitations
Max Volume Size 2TB 2TB 2TB 2GB
Max Files on Volume Nearly Unlimited Nearly Unlimited Nearly Unlimited ~65000
Limit Only by Limit Only by
Max File Size 4GB 2GB
Volume Size Volume Size
Max Clusters Number Nearly Unlimited Nearly Unlimited 268435456 65535
Standard - 8.3
Max File Name Length Up to 255 Up to 255 Up to 255
Extended - up to 255

File System Features

Unicode File Names Unicode Character Set Unicode Character Set System Character Set System Character Set
System Records Mirror MFT Mirror File MFT Mirror File Second Copy of FAT Second Copy of FAT
Boot Sector Location First and Last Sectors First and Last Sectors First Sector First Sector
File Attributes Standard and Custom Standard and Custom Standard Set Standard Set
Alternate Streams Yes Yes No No
Compression Yes Yes No No
Encryption Yes No No No
Object Permissions Yes Yes No No
Disk Quotas Yes No No No
Sparse Files Yes No No No
Reparse Points Yes No No No
Volume Mount Points Yes No No No

Overall Performance
Built-In Security Yes Yes No No
Recoverability Yes Yes No No
Low on small volumes Low on small volumes High on small volumes Highest on small volumes
Performance
High on Large High on Large Low on large Low on large
Disk Space Economy Max Max Average Minimal on large volumes
Fault Tolerance Max Max Minimal Average

Article reprinted with permission of www.NTFS.com

Evidência Digital - 25
sino que ha sido mejorada a medida que pasa el tiempo.
Microsoft ha realizado cambios a NTFS, por diferentes
razones, entre las cuales encontramos la corrección a
problemas del sistema de archivos, para dar soporte a
nuevo hardware, y para habilitar nuevas características
de los sistemas operativos [23]. Existen 2 versiones de
NTFS, las cuales son NTFS 1.1 o como también es
conocida NTFS 4.0 [24], y por ultimo NTFS 5.0 [25]. El
cambio mas grande que ha tenido NTFS, ocurrió con la
salida al mercado de Windows 2000, el cual tiene unas
características nuevas, las cuales debían ser soportadas
por el sistema de archivos[23][26].
El diario de operaciones es un conjunto de caracteres
que crean un log persistente de las operaciones que ha
realizado en volumen, estas son: adición, modificación,
borrado, por cada volumen NTFS [46].
El número único de secuencia, provee un log persistente
de los cambios hechos a los archivos de un volumen.
Así, cuando un archivo es modificado por un controlador
de dominio, este llena una tabla con un USN que se le
asigna. Este número aumenta secuencialmente por
cada cambio realizado. Esto será explicado con más
detalle mas adelante.
Estructura de NTFS
NTFS proporciona una combinación de desempeño,
seguridad, y confiabilidad que no se encuentra presente
en FAT. NTFS tiene una arquitectura especial que, en
adición a sus habilidades avanzadas, anteriormente
mencionadas, utiliza un esquema conceptual simple, el
cual facilita la introducción de nuevas características,
realizando un mínimo de cambios. Esta última
característica fue utilizada, en la versión 5.0. [27][28].
Virtualmente todas las estructuras en NTFS son
registros, incluyendo las estructuras que son utilizadas
para manejar la partición y mantener las estadísticas y
el control de información acerca de ella misma. La
información de control es almacenada, en un grupo de
archivos especiales que son creados, cuando la
partición NFTS es creada. Estos archivos son llamados
Metedata Files, estos incluyen la lista de archivos
presentes en la partición, y ubicación de los clusters
[27]. La única parte de la arquitectura de NTFS, que no
puede considerarse un archivo, es la zona de Boot
Sector. La cual se encarga de operaciones básicas,
como cargar el sistema operativo [28].
System
Boot Master File
Files
Sector File Table Area
“Metadata”
[28]
El diseño de NTFS es sencillo y con mucho potencial.
Como habíamos dicho anteriormente, todo dentro de
una partición de NTFS es un record, y todo dentro de un
archivo es una colección de atributos, incluso, la
información (datos), del archivo, es solo uno de muchos
atributos [27]. Este sistema es muy parecido a una base
de datos, cada archivo es un elemento de una tabla, al
cual se le pueden agregar más atributos en un futuro de
ser necesario [28].
Internamente, NTFS almacena todos los archivos,
incluyendo los archivos de metadata, usando un sistema
de clusters. NTFS, al igual que FAT, no manejan
sectores individuales de 512 bytes, en lugar de esto
estos sectores son agrupados en bloques que son
llamados clusters, o como también son llamados
allocation units. La principal razón para utilizar clusters
e s el desempeño, ya que de lo contrario, se requeriría,
una gran cantidad de recursos para mantener el rastro
de un archivo, y adicionalmente, la fragmentación del
disco, se convertiría en un problema mucho mas serio.
NTFS utiliza un tamaño por defecto del cluster
dependiendo del tamaño de la partición. La siguiente
tabla muestra el tamaño por defecto para los clusters
dependiendo el tamaño de la partición [29].
Tamaño de Número de Tamaño del
Partición Sectores Cluster
(GB) por Cluster (kB)
< = 0.5 1 0.5
> 0.5 a 1.0 2 1
> 1.0 a 2.0 4 2
> 2.0 a 4.0 8 4
> 4.0 a 8.0 16 8
> 8.0 a 16.0 32 16
> 16.0 a 32.0 64 32
> 32.0 128 64
[29]
NTFS utiliza dos diferentes sistemas de asignación para
el tamaño de los clusters, y este depende de la versión
del sistema operativo. Si es una versión de Windows NT
3.5 o anterior, el sistema de archivos utiliza la tabla
anterior completa. Si se esta utilizando una versión de
Windows NT 3.51 o posterior, el sistema de archivos
utiliza únicamente las primeras cuatro iflas de la tabla,
por lo tanto el tamaño máximo del cluster es de 4kB,
para todas las particiones por encima de 2.0 GB. [29]
La razón para que existan estos dos sistemas de
selección del tamaño del cluster es la capacidad de
trabajar con archivos basados en compresión en NTFS.
La compresión no esta soportada para sistemas de
archivos con un tamaño de cluster de más de 4 kB. La
versión de Windows 3.5 y anteriores no soportaban los
archivos basados en compresión, por lo que utilizan la
tabla anterior en su totalidad [29]. La compresión de los
archivos utiliza una de las características de la mayoría
de los datos, la cual es la presencia de patrones
repetitivos. Utilizando programas que implementan
algoritmos de compresión y descompresión, es posible
almacenar datos, ocupando menos espacio, que el que
normalmente ocuparían. Una de las más útiles
características que tiene NTFS, es la posibilidad de
tener archivos basados en compresión. Esta
característica es manejada directamente por el sistema
operativo, el cual se encarga de comprimir los datos, en
el momento de la escritura, y la descompresión es
automática, en el momento en que una aplicación
necesita leer el archivo. [30]
Evidência Digital - 26
En esa tabla muestran los tamaños por defecto que
utiliza NTFS para los clusters. Este tamaño por defecto
puede ser modificado al momento de realizar el formato,
al utilizar el parámetro “/A [tamaño]”, en el comando
FORMAT. El tamaño de los clusters tiene un efecto
importante en el desempeño del sistema, ya que al
aumentar el tamaño del cluster, además de poder
perder la capacidad de realizar compresión de archivos
de NTFS, el tamaño del Slack también aumenta. El
Slack es la porción de un cluster que es desperdiciado
por un archivo, que no ocupa en su totalidad, todo el
cluster. [29][31].
Cuando se crea una partición NTFS, el primer bloque de
información que es creado es el Boot Sector o Sector de
Arranque. Esta estructura es fundamental para NTFS, y
se encarga de manejar información que no es
almacenada en el Master File Table de la cual
hablaremos mas adelante. Este sector esta compuesto
por 16 sectores de 512 Bytes, para un total 8 kB. El Boot
Sector, empieza en el primer sector de la partición, y
esta conformado por dos estructuras, las cuales son el
bloque de parámetros de la BIOS, y el código de
arranque, o bootstrap. De estos hablaremos a
continuación.

El bloque de parámetros de la BIOS, contiene

Sector de Arranque información fundamental de la partición. Este bloque
identifica la partición como una NTFS, y contiene
Offset Length HEX DEC Descripción
información como el volume label, y su tamaño, también
Tamaño de Sector se encuentra información adicional sobre la partición,
0Bh Word 0200h 512
(bytes) como la ubicación de los archivos de metadata. El
Ver Tabla Ver Tabla Número de Sectores por código de boot, es un bloque de instrucciones de
0Dh Byte
20 20 Cluster programa, que le indican al sistema como hacer para
0Eh Word 0000h 0 Sectores Reservados
00h 0 cargar el sistema operativo. Las instrucciones de
10h Byte Número de partición FAT programa son específicas para el tipo de sistema
for NTFS for NTFS
11h 2 Bytes
0000h 0 Max Root Directory operativo. Este código normalmente carga el N.T.L.D.R.
for NTFS for NTFS Entries FAT12/16 (bootstrap), una vez cargado, se le transfiere el control
0000h
13h 2 Bytes
0 Small Sector Count for para que este cargue el resto del sistema operativo. La
not used for FAT32 FAT 12/16
by NTFS estructura de NTFS Boot Sector es mostrada en la
F8h Media Descriptor ID. Win tabla.
15h Byte Hard Disk
Hard Disk 2k/XP don’t use it
0000h 0 Sectores por FAT, lo usa
16h 2 Bytes
for NTFS for NTFS FAT 12/16
003Fh Byte Longitud del
Nombre del Campo
18h Word Depende 63 Sectors per Track Offset Campo
del Disco 0x00 3 Bytes Jump Instruction
Depende 0x03 8 Bytes OEM ID
1Ah Word X Número de Cabezas
del Disco
Número de Sectores 0x0B 25 Bytes Bios Parameter Block
Double Depende
0 Ocultos 0x24 48 Bytes Extended BPB
1Ch si no hay (Cyl=0, Head=0) 0x54 426 Bytes Bootstrap Code
Word de # de
Partición los que preceden esta
Partición
partición NTFS 0x01FE 2 Bytes End of Sector Marker
0h [32]
Número de Sectores en
20h 4 Bytes Not used 0 un Volumen de FAT 32
by NTFS
El primer
byte es el
El SO que usa NTFS En esta tabla, podemos ver la configuración general del
24h 4 Bytes 80008000 siempre coloca el valor primer sector de NTFS Boot Sector. Es importante
número
de 80008000
del drive especificar que el bootstrap code, para un Volumen
Long NTFS es más grande de 426 Bytes, como esta
Depende
Long Sectores totales en el
28h de la X, X, X
Volumen
especificado en la tabla anterior. Cuando uno da formato
Word
partición a un disco con NTFS, los primeros 16 sectores de la
8 Bytes
Long Depende partición son asignados para el Partition Boot Sector, y
Número del Cluster
Long de la para el Bootstrap Code. [32][33][34][35][36][37][38][39]
30h X donde empieza el $MFT
Word ubicación [40].
en esta partición
8 Bytes del MFT
Depende Número del Cluster
Long Los primeros 3 bytes, son llamados Jump Instruction,
de donde donde empieza la copia
Long
38h
Word
esta la X de $MFT en esta pero realmente únicamente los 2 primeros bytes, 0xEB,
copia del partición 0x52, son usados para formar la instrucción en
8 Bytes
MFT ($MFTMirror)
Signed
assembler de JMP (Jump). El tercer byte 0x90, es en
Clusters o bytes por MFT lenguaje de máquina un NOP, no operation. Los
40h Double Varia Varia Record Segment
Word siguientes 8 bytes son el nombre del sistema de
Double Clusters por Index Block archivos, o OEM ID, para NTFS, estos bytes tienen el
44h Varia Varia
Word o record
siguiente valor “4E 54 46 53 20 20 20 20”, que
Long
Long NTFS Volume Serial corresponde a “NTFS ” esto es el nombre del sistema
48h Varia Varia
Word Number de archivos, seguido de cuatro espacios en blanco. Los
8 Bytes siguientes 73 bytes corresponden al BPB y al extended
00000000 BPB (Bios Parameter Block). Para un mejor
Double Parece
50h 0 Checksum entendimiento de este bloque, la siguiente tabla,
Word que no se
usa especifica cada uno de los campos. [32] [33] [34] [35]
[32][33][36][37][38] [36] [37] [38] [39] [40].

Evidência Digital - 27
Una vez terminado el bloque de BPB, y el Extended
BPB, comienza la estructura llamada bootstrap code.
Normalmente el bootstrap code ocupa 8 sectores. Los
restantes 8 sectores del Boot Sector, están totalmente
llenos con ceros. En el primer sector normalmente se
encuentra código en lenguaje de máquina hasta un
offset de 0x182, desde el inicio del sector, para mayor
información sobre este segmento, consulte [36] [37] [38],
el cual tiene la traducción a código en assembler, y
comentarios sobre su funcionamiento. Comúnmente los
últimos 125bytes del primer sector del Boot Sector,
contienen mensajes de error, también tiene el número
de bytes de offset de cada uno de los mensajes, y el
signature ID o End of Sector Marker. Normalmente los
mensajes de error empiezan a un offset del inicio del
sector de 0x183. Todos los mensajes de error,
empiezan con los bytes 0x0D, y 0x0A. El primero es un
Carriage Return y el segundo en un Line Feed. Y todos
terminan con el byte 0x00, que comúnmente es
conocido por muchos lenguajes de programación como
el terminador de una cadena de caracteres, como el ‘\0’
en el lenguaje C. El número de Bytes de offset de los
mensajes, empieza siempre a un offset del inicio del
primer sector de 0x1F8, y esta compuesto normalmente
por cuatro bytes, esto claro, si hay cuatro mensajes de
error. La diferencia entre los valores de cada uno de
estos bytes nos da el número de bytes que hay entre los
mensajes correspondientes. Finalmente el Signature ID
siempre debe tener el valor de 0x55AA, hay que tener
en cuenta que en la arquitectura Intel x86, siempre se
almacena primero la parte baja de la palabra, por lo que
en realidad queda almacenado en el disco duro es la
siguiente secuencia de bytes “AA 55” [36] [37].
Los seis siguientes sectores que están después del Boot
Record (Primer Sector), contiene el código del bootstrap
o código de arranque, que hace interfase con el archivo
NTDLR, si este existe, para iniciar el SO en la partición.
El segundo sector siempre tiene en sus primeros 16
bytes lo siguiente “05 00 4E 00 54 00 4C 00 44 00 52 00
04 00 24”. Entre el tercer y doceavo byte, se puede leer
N.T.L.D.R. El resto del sector es código de máquina. Del
tercer sector al séptimo sexto sector, solo hay código de
máquina. Recordemos que el código del bootstrap es
dependiente del sistema operativo, ya que cada sistema
necesita realizar rutinas diferentes para cargar los
diferentes componentes necesarios ya que todos los SO
tienen una arquitectura relativamente diferente. El
séptimo sector tiene sus últimos 300 bytes en cero, al
igual que los 9 sectores restantes. [36][37][38]. NTFS
hace una copia de seguridad del Boot Sector, y su
ubicación depende del sistema operativo. Windows NT
3.51 y versiones anteriores almacenan esta copia en el
centro lógico del volumen, mientras que versiones
posteriores almacenan esta copia al final del volumen.
[34] [36] [41]. Exactamente después de que terminan los
16 sectores correspondientes al Boot Sector, empieza
otra importante estructura llamada Master File Table.
Tabla Maestra y Metadata
El Master File Table es en esencia, una tabla de una
base de datos relacional, la cual contiene varios
atributos para cada uno de los archivos que existen
dentro de la partición. Como habíamos dicho, todo
dentro del sistema de archivos NTFS, es considerado un
record, con sus excepciones, el cual esta compuesto por
varios atributos, entre los cuales los datos, son solo uno
de los muchos atributos de ese registro. [34][35][41][42].
Cuando la partición es creada, el programa que da el
formato a la partición, crea un grupo de archivos que
contienen la metadata, que es usada para implementar
la estructura del sistema de archivos. El sistema de
archivos NTFS reserva los primeros 16 records de la
MFT, para la información relacionada con esos archivos
de metadata [34] [41] [42].
El primer record tiene información que describe el
funcionamiento la MFT, y una lista con todo el contenido
del volumen NTFS, el segundo registro a metadata, es
una copia imagen, del primer registro. Si el primer
registro se corrompe, es utilizado el segundo registro
para restaurar al primero.
El tercer registro de matadata, es un registro de log, que
almacena todas las transacciones de los archivos, y es
muy útil para restauración de archivos y del sistema.
Siempre que el sistema se ha corrompido, este log es
usado para la restauración. Este registro tiene un
tamaño máximo de 4 MB.
Los siguientes 8 registros, almacenan información sobre
el sistema [41] [42]. Estos registros son el Descriptor del
Volumen, el cual tiene información sobre el volumen,
como el nombre, y fecha de creación entre otros. El
registro de Tabla de Definición de Atributos, el cual
contiene el nombre y la descripción de los atributos
usados en la partición NTFS. También encontramos el
registro del Root Directory/Folder, el cual es un
apuntador al directorio o carpeta raíz de la partición.
Otro registro muy importante es el Cluster Allocation
Bitmap, el cual contiene un mapa lógico de los clusters
de la partición, mostrando cuales están ocupados y
cuales están libres. De estos registros, el más
importante para efectos de esconder información, es el
décimo registro llamado Bad Cluster File, el cual tiene la
información sobre todos los clusters defectuosos dentro
del volumen. Otro registro llamado el Volume Boot
Code, el cual tiene una copia del código de arranque de
la partición. Encontramos también el registro llamado
Quota Table, el cual contiene información de la cuota, si
esta es usada en la partición. Por ultimo encontramos el
registro llamado Upper Case Table, el cual contiene la
información para convertir los nombres de los archivos
al sistema de nombres de archivos Unicode. Los
restantes 5 registros de metadata, están reservados
para un uso futuro, pero es posible utilizar estos 5
registros para ocultar información, aunque NTFS no lo
utiliza
NTFS usa los registros de MFT para definir los archivos
a los cuales corresponden. Toda la información de un
archivo, ya sea fechas, horas, permisos y contenido, son
guardados en la MFT o en un lugar externo pero
descrito por la MFT.
Si un archivo es pequeño típicamente 1.5kB o menos,
este puede ser almacenado en su correspondiente
registro dentro del MFT. Si un archivo es muy grande o
esta altamente fragmentado, es necesario que la MFT
Evidência Digital - 28
contenga más de un registro del archivo, en este caso, Tipo de
Descripción
el primer registro, el registro base, contiene la ubicación Atributo
de los otros registros. Si un registro de una carpeta o un Información Información como estampilla de
archivo es muy grande para ser almacenada dentro del estándar tiempo, y fechas.
MFT, estos son organizados en árboles – B. Donde el Lista de En caso de no residir en la MTF,
registro, dentro de la MFT, guarda apuntadores a Atributos da la ubicación de la lista de los
clusters fuera del MFT. La anterior arquitectura se Atributos foráneos.
encuentra expresada en la siguiente figura [41] [42]. Nombre del Atributo siempre presente, que
Archivo puede tener una longitud de 255
caracteres Unicode.
Descriptor de Describe quien tiene permisos y
Seguridad quien es el dueño.
Data Contiene los datos del archivo.
NTFS permite varios atributos
DATA, cada cual con sus
específicos, según los
requerimientos.
ID del Objeto Numero único para el archivo, que
se usa en el USN, pero no todos
los archivos tienen uno.
Herramienta Usado por el EFS, para poner
de Logeo entradas en log del sistema de
archivos.
Punto de Usado para rastrear puntos de
Restauración restauración del sistema junto con
el log del sistema de archivos.
Índice de Raíz Usado para implementar carpetas.
Atributos de archivos. Índice de Usado para implementar carpetas.
colocación
Todo sector diseccionado por NTFS en una partición, Bitmap Usado para implementar carpetas.
corresponde a archivos. Para NTFS un archivo o un Información Contiene la versión del sistema de
directorio son un conjunto de atributos. Elementos como del volumen archivos
nombre, permisos, y demás son atributos [41] [42]. Nombre Del Contiene el nombre del volumen.
volumen
Un código identifica un atributo, cuando un atributo esta
en la MFT se llama atributo residente, el nombre y la NTFS, también cuenta con un sistema de criptografía
estampilla de tiempo siempre son residentes. Si el de archivos llamado EFS, el cual protege la información,
conjunto de atributos es muy grande algunos de estos de personas si autorización. Esta característica es
son no residentes, entonces NTFS direcciona estos transparente para el usuario.
atributos a un espacio reservado en un grupo de cluster
en algún lugar del volumen. Y se crea una lista de Algo que es de gran importancia para nosotros, es como
atributos que describen los registros de los atributos [41] maneja NTFS los clusters, ya que no son diseccionados
[42]. de una manera física, el lo hace de una manera lógica,
así NTFS cuenta con un conjunto de clusters
Existen diferentes tipos de atributo. Están los de disponibles, y otro conjunto que son utilizados, así se
información estándar, como las estampillas de tiempo. direcciona de una manera que los archivos están en
Otro tipo es la lista de atributos externos al MFT, el cual clusters virtuales continuos, y se agrupan por archivos y
tiene la ubicación de todos los clusters con los atributos por directorios. Esto es de gran importancia para la
no residentes. Otro atributo es los permisos, el cual le recuperación de archivos, ya que en ese conjunto de
brinda seguridad, a este sistema de archivos, se puede clusters disponibles es que están los archivos que se
especificar una lista de acceso al archivo, propietarios. desean recuperar. [50]
Otro de los atributos como la habíamos mencionado
anteriormente, son los datos. Si estos son lo Un sistema de archivos basado en un diario de
suficientemente pequeños estos pueden ser operaciones, tiene muchas ventajas, entre ellas la mas
almacenados dentro del MFT, de lo contrario lo que se importante es que brinda la posibilidad de recobrar el
almacena es un grupo de apuntadores, a los cluster sistema de indexado del sistema de archivos cuando
externos al MFT que contienen los datos. ocurre una falla en el volumen. NTFS maneja su sistema
de archivos utilizando índices, de tal forma que se
Uno de los atributos mas importante es el Object ID, el puede saber donde esta almacenada toda la
cual es único dentro del volumen para cada archivo, información dentro del volumen. NTFS, en sus primeras
pero hay algunos archivos que no tienen o usan este versiones, no manejaba un diario de operaciones o log
identificador. También hay un atributo, el cual se de persistencia, por lo que la restauración del sistema
encarga asignar diferentes acciones al archivo. era muy complicada y demorada. Con la versión 5.0,
NTFS se convirtió en un sistema de archivos basado en
La siguiente tabla contiene los atributos externos de un un diario de operaciones (NTFS Change Journal).
archivo de NTFS [57]. [52][53]
Evidência Digital - 29
NTFS tiene un diario de operación por cada volumen FAT16
presente en el sistema. El sistema de diario de
operaciones, crea un registro para cada cambio que Se organiza por sectores, cada sector es de longitud
experimente un archivo o carpeta. Estos cambios son igual a 521 bytes. Es la unidad más pequeña usada por
creación, modificación y borrado. Cada registro el Sistema Operativo. Aunque el cluster es la unidad que
almacena el tipo del cambio realizado y el nombre del se utiliza para direccional los archivos en un volumen
objeto cambiado y una estampilla de tiempo, pero la FAT 16. El tamaño del cluster lo determina el volumen
información cambiada en si no es almacenada. [53] Este de la unidad teniendo un tamaño máximo de 64 KB [46].
sistema de diario de operaciones, nos permite rastrear
la historia y demás información sobre todos los archivos Se utiliza FAT 12 en caso de que el volumen sea muy
y carpetas, existentes. Si existen varias particiones o pequeño, teniendo que cada entrada de la FAT sea mas
vario volúmenes, los registros son adicionados a todos pequeña se tiene como resultado una FAT pequeña y
los volúmenes y particiones a las cuales se tenga así se optimiza el espacio [46].
acceso [52] [53]. Este sistema de diario de operaciones
desafortunadamente no tiene la capacidad de retroceder En un volumen FAT 16 se tiene un directorio raíz. A
los cambios realizados a los archivos y carpetas, pero diferencia de los directorios comunes, el directorio raíz
es una gran herramienta determinar que operaciones ha es de tamaño fijo, 512 registros por volumen lógico. El
realizado determinado archivo [52] [53]. El diario de número de registros en un disco extraíble depende del
operaciones un archivo, que cuando es creada la tamaño del volumen [46].
partición de NTFS, inicialmente esta vació. Este archivo
esta oculto, para que los usuarios no tengan acceso
directo a el. Cada vez que ocurre un cambio en un Boot Sector
archivo se agrega un registro al final del diario de Fat
operaciones. A cada registro se le asigna un
FAT 2
identificador de 64 bits, llamado Update Secuence
Number (USN). Root Folder
Datos
Cada vez que un USN es generado este incrementa su [46]
valor. Una característica algo extraña es que estos
números de secuencia no son consecutivos, ya que los Los directorios tienen entradas de 32 bytes por cada
que implementaron este sistema escogieron utilizar el archivo y directorio que contiene el directorio. La
offset del registro, como USN. [53]. Ya que los registros siguiente tabla muestra los componentes de un archivo
contienen el nombre del archivo, que ha sido “alterado”, o directorio [46].
el tamaño del registro también varía. Esta es la razón de
porque los USN no son consecutivos. El sistema escribe Entrada Bits
en el diario, en bloques de 4 kB, los cuales contienen
Nombre 8.3
entre 30 y 40 registros. Si un registro no cabe en el
bloque, el espacio restante del bloque es rellenado con Atributo 8
ceros, y se inicia un nuevo paquete, donde se introduce Hora de Creación 24
el registro. Todos los registros que se encuentran en la Fecha de Creación 16
MFT, almacenan diferentes atributos sobre los archivos Ultimo Acceso 16
que hay en el sistema, estos registros también
Ultima Hora Modificación 16
almacenan el último valor del USN, que se le ha
asignado a su respectivo archivo. [53]. El archivo del Ultima Fecha de Modificación 16
diario, tiene un tamaño máximo, el cual al alcanzar su Número del primer cluster 16
máxima capacidad, empieza a descartar los primeros Tamaño del Archivo 32
registros almacenado en el. [53]. [46]

El diario de operaciones se puede deshabilitar en
cualquier momento. Resulta curioso, que siendo esta
una gran y útil herramienta, esta deshabilitada por
defecto. [53]
FAT
FAT se refiere a la Tabla de Asignación de Archivos
(File Allocation Table, por sus siglas en inglés). La
característica principal son sus dos copias por volumen:
Si se pierde la primera se recupera de la segunda. La
FAT primaria esta en un corrimiento especifico para que
siempre la encuentre, y la secundaria al final del
volumen. FAT16 funciona igual en todos los sistemas
operativos Windows, al igual que FAT32.
No existe una organización para los directorios. Se
asigna el primer cluster libre en el volumen a un archivo.
El campo de primer cluster corresponde a la dirección
del primer cluster usado por el archivo. Al final de cada
cluster contiene un fin de archivo (0xFFFF) o un
apuntador al siguiente cluster. Esta organización de la
FAT es usada por todos los sistemas operativos que
tienen soporte para FAT [47].
Debido a que las entradas de un directorio son iguales
en tamaño, el byte de atributo para cada entrada de un
directorio es usado para describir que tipo de entrada
es. Es decir un byte indica que se trata de un sub-
directorio, y otra entrada marca que es la etiqueta de un
volumen. Normalmente solo el sistema operativo usa
este método [47].

Evidência Digital - 30
Hay 4 atributos posibles El tamaño máximo de un volumen de FAT 32, depende
del máximo número de entradas en la tabla maestra, el
• Archivo número de sectores por cluster, y el conteo de 32-bits
• Archivo del sistema en la tabla de particiones, aquí se asume un sectores de
• Archivo oculto 512 [46].
• Solo lectura

Como FAT 16 tiene un tamaño máximo para el volumen, Tamaño del cluster Tamaño máximo del volumen
y el tamaño del cluster esta determinado por el tamaño 512 Bytes 127.9 GB
del volumen, entonces, a continuación se muestra una 1 KB 255.9 GB
tabla con el tamaño normal del cluster para diferentes 2 KB 511.9 GB
tamaños de volúmenes [46].
4 KB 1023.9 GB
La siguiente tabla muestra los posibles tamaños de 8 KB 2047 GB
particiones [46]. 16 KB 2047 GB
32 KB 2047 GB
Tamaño de la Partición Sectores por Cluster Tamaño del cluster [46]
0 – 32 MB 1 512 bytes
equivalente al tamaño del sector de la partición
33 – 64 MB 2 1024 bytes
65 – 128 MB 4 2048 bytes Figura 1 – Ejemplo de la Tabla de Asignación de Archivos
129 – 256 MB 8 4096 bytes
256 – 512 MB 16 8192 bytes
512 – 1024 MB 32 16 KB
1024 – 2048 MB 64 32 KB
2048 – 4096 MB 128 64 KB

FAT 32

La ventaja de FAT 32 es que puede manejar particiones

más grandes que FAT 16, FAT 16 solo maneja
particiones hasta 4 GB, mientras FAT 32 puede manejar
particiones de hasta 2047 GB [46].
Estructura de la Partición
En la Figura 1 hay tres archivos en la FAT. File1.txt
ocupa tres clusters, File2.txt está fragmentado y también
ocupa tres clusters, mientras que File3.txt solo ocupa un
cluster. En el directorio se guarda la información del
primer cluster de cada archivo.

FAT 32 puede manejar archivos de 4 GB menos 2
bytes. La diferencia es que FAT 32 maneja 4 bytes por
cluster contra 2 bytes de FAT 16. Una partición de
FAT32 debe tener por lo menos 65527 clusters y el
tamaño de la partición no puede aumentar [46].
Boot
Root
FAT
FAT
Datos
[46]
La FAT crece con respecto al tamaño de volumen, así
con un volumen muy grande, se tiene una FAT muy
grande lo cual hace que calcular el espacio libre tome
mucho tiempo, y en general el comportamiento del
sistema operativo con una FAT grande hace que los
tiempos de búsqueda aumenten [46].
La tabla maestra de archivos es una lista de registros de
32-bits, que tiene una relación uno a uno, con los
clusters de datos. La única diferencia en el manejo de
esta tabla, es la adición al cluster de una palabra larga
en la entrada de los directorios que accedan el cluster
[46].
La primera estructura importante en un volumen FAT es
la BPB (BIOS Parameter Block), que se aloja en el
primer sector del volumen en la región reservada. Este
sector a veces se denomina "sector de arranque", o
sector reservado o sector 0. Este sector no existía en
MS-DOS 1.x, debido que solo manejaba discos flexibles.
En MS-DOS 2.x solo se permitía que el volumen tuviera
65.536 sectores debido a que el número de sectores se
almacenaba en 16 bits. En las versiones 3.x se asignó
un campo de 32 bits para el número total de sectores.
Antes de Windows 95, FAT16 estaba limitada en 2 GB
para el tamaño máximo de cluster si el volumen es de
sectores de 512 bytes, pero FAT32 resuelve
parcialmente este problema al permitir volúmenes
mayores de 2 GB pero con una sola partición.
¿Qué permite?
FAT fue uno de los primeros sistemas de archivos, sus
diseñadores no utilizaron el conocimiento que ya existía
en ese tiempo sobre diseño de sistemas de archivos. Su
organización simple permite un manejo fácil de la
fragmentación de archivos, lo que afecta el desempeño
en el resto de las operaciones del sistema de archivos.
FAT no fue diseñada manejar la redundancia de la
información, en caso de que el sistema colapse.

Evidência Digital - 31
Borrado
Borrar vs. Eliminar
Cada cluster contiene algo ya sea archivo o un archivo
que se elimino, lo cual implica tres formas de borrar un
archivo o carpeta, la primera es simplemente poner en
la FAT el cluster como libre lo cual deja el archivo en el
disco, pero no se puede hallar, en este caso es el
“delete” de Windows, luego se da que se registra por un
apuntador especial que es papelera de reciclaje de
Windows, y por ultimo se tiene borrado seguro.
Cuando se coloca el cluster como libre, el archivo
todavía esta en disco pero no hay una forma de llegar a
el sin usar software especializado (que se cubre mas
adelante). Cuando se marca con el apuntador especial
de la papelera de reciclaje [51] lo único que hace es
ubicar el archivo en una carpeta especial del sistema, en
la cual luego de un tiempo determinado, o por elección
del usuario, son eliminados todos los archivos. Por
último se tiene el borrado seguro, que es eliminar el
archivo totalmente, esto se hace sobre escribiendo el
lugar físico que ocupa el archivo.
Se puede recalcar que los sistemas de archivos son
estructuras que manejan apuntadores para poder
encontrar archivos, y que todo lo que el usuario ve es
una ilusión. [16]
Metodologías para Eliminar
El Departamento de Defensa de los EE.UU. Ha definido
una serie de métodos de eliminado de información no
clasificada de sus computadores, antes que estos sean
redistribuidos. El método escogido depende del tipo de
disco [17]:
Degaussing:
En este proceso el medio retorna a su estado inicial de
fabricación. La coercitividad es la medida de la cantidad
de campo magnético necesario para reducir la inducción
magnética de un medio a 0, y se mide en Oersteds.
Según el Gobierno de los Estados Unidos, los
degaussers se clasifican en distintas clases: Clase 1)
para coercitividad de 0 a 350 Oe, Clase 2) para
coercitividad de 350 a 750 Oe. Clase 3) para
coercitividad de mas de 720 Oe. Actualmente los
degaussers existentes son de clase 1 y 2 solamente.
[58]
Sobre escritura múltiple:
Se trata de ejecutar sobre el medio varias técnicas de
sobre escritura, como sobrescribir los campos
magnéticos del medio de forma alternada para
exponerlo a un campo magnético oscilante, sobrescribir
el medio con basura, etc. Usa la menor frecuencia
posible para la sobre-escritura. [58]
Técnica de sobre escritura de Guttman:
Esta técnica especifica 35 diferentes formas de sobre
escritura, y tiene como propósito vencer todas las
técnicas de recuperación, lo cual lo logra con éxito. [58]
Destrucción física:
Desde utilización de sierras, mazos, o la incineración.
Sin embargo, es sorprendente lo resistentes que son los
medios magnéticos, por ejemplo los discos duros.
Recuperación de Información en FAT
Durante las primeras versiones de Windows, se incluía
en DOS un software de recuperación, después de
Windows 95, con la aparición de la papelera de
reciclaje, un archivo eliminado de esta era
“irrecuperable”, pero eso no es cierto. [6], [10]
Actualmente existe bastante software que permite
recuperar archivos borrados de la FAT.
Borrado en FAT
Las tablas del FAT se encuentran organizadas como
arreglos lineales de entradas. Estas entradas son
valores de cierto número de bits (según la versión de la
FAT, por ejemplo 12, 16 o 32). En la figura 2 se
encuentra una representación de la organización de la
FAT. [8]
Cuando un archivo es borrado no se hace nada a los
clusters que contienen la información, lo que se hace es
desvincular de la tabla de la FAT la dirección al archivo,
y añadir un carácter especial (0xe5) al directorio
indicando que esta libre para escribir sobre el [8].
Desindexar un archivo de la FAT equivale a decirle al
sistema operativo que estas direcciones están ahora
libres, pero hasta que un nuevo archivo sea escrito
sobre este espacio, el archivo borrado estará aun en el
disco duro. De este modo, con la ayuda de software
especializado (algunos de bajo costo o gratuitos) se
puede recuperar esta información. [9]
Es importante tener en cuenta que ‘eliminar’ algo de la
papelera de reciclaje no es realmente eliminar, sino es
borrar.
Evidência Digital - 32
Eliminar en FAT
Para eliminar un archivo del FAT es necesario borrarlo y
después escribir sobre el mismo. Este proceso puede
darse a voluntad de una persona o como consecuencia
de borrar un archivo. Después de borrar un archivo, el
sistema operativo considera el espacio que este utiliza
como libre, de modo que cuando necesite guardar algo
es posible que sobrescriba el archivo. [11]
En el mercado existen varias herramientas que se
encargan de eliminar archivos del disco duro. Estas
herramientas escriben un patrón dado al área de
memoria de la que se desea eliminar la información.
Este método es independiente del sistema operativo,
por lo tanto puede eliminar archivos aun si están
corruptos y no pueden ser accedidos. [11]
Para que se pueda asegurar que se ha eliminado
completamente el archivo es necesaria más de una
pasada de escritura sobre el espacio, métodos de
borrado seguro como el de Peter Gutmann aconsejan
27 pasadas, otros métodos más veloces pueden no ser
tan seguros. En informática forense se considera
borrado seguro aquel que haya sido generado con 35 o
mas pasadas. [12]
Para eliminar toda la información del disco duro se
puede usar un degausser, el cual desmagnetiza el
disco, eliminando la información guardada en el (ya que
este es un medio magnético, como se explicó
anteriormente). [13]
El proceso de degaussing consiste en exponer el medio
a un campo magnético, de modo que se anule las
direcciones magnéticas guardadas en este.
El cambio de una sola partícula magnética de una
dirección a otra requiere que se sobrepase una barrera
de energía, con un campo magnético externo que ayude
a disminuir esta barrera. El cambio depende no solo de
la magnitud del campo externo, también de la cantidad
de tiempo en que es aplicado. Para borrar un medio
efectivamente se requiere una fuerza magnética de
3
alrededor de cinco veces la coercitividad del medio. A
continuación se presenta una tabla con la coercitividad
media típica:
Coercitividad Media Típica
Medio Coercitividad
5.25" 360K floppy disk 300 Oe
5.25" 1.2M floppy disk 675 Oe
3.5" 720K floppy disk 300 Oe
3.5" 1.44M floppy disk 700 Oe
3.5" 2.88M floppy disk 750 Oe
3.5" 21M floptical disk 750 Oe
3
La coercitividad es una propiedad de los materiales magnéticos y
es definida como la cantidad de campo magnético necesario para
reducir la inducción magnética de un material a cero.
(1980's) disco duro 900-1400 Oe
(1990's) disco duro 1400-2200 Oe
1/2" cinta magnética 300 Oe
1/4" QIC metálica 550 Oe
8 mm cinta metálica 1500 Oe
DAT cinta metálica 1500 Oe
Evidencias de Borrado para recuperación
Al realizar un análisis forense se puede encontrar
cuando un archivo ha sido eliminado, evidencia de
archivos temporales, e incluso algunas herramientas de
recuperación de archivos generan logs sobre la tarea
realizada. [9]
Revisando el disco se puede buscar el valor 0x5e (que
significa que el archivo fue borrado), de esta manera se
puede encontrar que áreas de memoria han sido
borradas.
Del mismo modo usando una visor hexa-decimal del
disco, se pueden encontrar inconsistencias sobre el
tamaño o dirección del primer cluster de un archivo, de
modo que se puede ver si un archivo ha sido eliminado
de la FAT con intención.
Recuperar borrado en FAT
Recuperar información en FAT no es tan difícil como
parece, todo depende la las circunstancias, y del estado
actual del sistema de archivos. Las circunstancias de
las que se habla dependen principalmente del estado de
fragmentación del disco, y de la utilización del mismo.
Si el disco esta muy fragmentado, y la utilización del
disco es alta, hay una gran probabilidad que un nuevo
archivo ocupe uno de los cluster que pertenece al
archivo que queremos recuperar. Si este caso, es muy
poco probable que se pueda recuperar la información. Si
ocurre el caso contrario, es mucho más fácil, ya que
como la FAT hace una asignación secuencial y cíclica
del espacio disponible, es poco probable que se pierda
un cluster. [43][44][45].
Técnicamente hablando, el proceso de recuperación de
un archivo eliminado es el siguiente: Primero hay que
buscar en el Root Directory, o en la sección de datos,
según sea el caso, el registro (Directory Entry), que
contenga el archivo eliminado. Un archivo eliminado se
puede identificar fácilmente, por que en su registro, en el
nombre de este, el primer carácter ha sido reemplazado
por E5h. Lo que hay que hacer es cambiar este
carácter, por su carácter original. Después de hacer
esto, hay que buscar el registro del cluster lógico, dentro
de la FAT, que corresponde al valor que esta
almacenado, en el campo Cluster Number, del registro
anteriormente nombrado, y cambiar el valor de este, con
uno de los dos siguientes criterios: Si el tamaño del
archivo, el cual también se encuentra en el registro, es
Evidência Digital - 33
menor que el tamaño del cluster, hay que colocar en el
cluster lógico, en la FAT, el valor de fin de archivo, que
para el caso de FAT12 puede ser FF7-FFF, o para
FAT16 es FFF7 – FFFF, y con la misma teoría funciona
FAT32.[43][44].
Si el tamaño del archivo, es mayor al del cluster, hay
que calcular el número de cluster que ocupa. Si hay
suerte, el siguiente cluster lógico disponible debe
también ser parte del archivo. Al cluster lógico, se le
coloca el valor del siguiente cluster disponible, y así,
hasta que, se complete el número de cluster requerido,
y para el ultimo se hace lo mismo que en el caso
anterior. Lo anterior es valido si el disco no esta muy
fragmentado, por que si lo esta, es muy posible que se
encadene mal el archivo y se corrompa. [43][44][45]
Recuperación de Información en NTFS
Es muy importante notar que NTFS es un sistema de
archivos basado en transacciones por lo cual ciertas
operaciones se pueden deshacer solo usando las
funciones del sistema de archivos. NTFS tiene la
capacidad de recuperar información después de un error
crítico en el sistema de archivos. Operaciones a medio
terminar no están permitidas en NTFS. Pero inclusive
una vez se termina una operación o transacción, esta se
puede deshacer. [25]
Recuperación Automática de NTFS
NTFS realiza lo que es conocido como recuperación de
3 pasadas después de una falla critica del sistema, esta
solo se hace cuando en el log de persistencia se tiene
que una transacción del sistema de archivos no fue
completada y pueden encontrarse errores en el sistema
de archivos.
Es así que se realizan las tres pasadas:
• Paso de análisis: Se analiza el log de
persistencia para determinar que sectores
necesitan ser examinados o corregidos.[48]
• El sistema rehace todas las transacciones
desde el ultimo punto control conocido.[48]
• Paso de deshacer, el sistema deshace todas las
transacciones conocidas.[48]
Los puntos de control se realizan cada 8 segundos, el
sistema marca el log de persistencia, así solo tiene que
revisar unos cuantos registros en el log de persistencia
[48].
Es importante anotar que este sistema automático, no
garantiza que la información no se pierda, si una
transacción no se completa y el sistema falla, esta
transacción se pierde, y dada la naturaleza de esta auto
recuperación, el usuario no sabrá que la transacción no
se completo.
Borrado en NTFS
El proceso de borrado en NTFS es similar al de FAT.
Cuando el usuario decide que ya no necesita un archivo,
selecciona el archivo y da la opción de enviar a la
papelera de reciclaje (dependiendo de la configuración
del sistema, el archivo a veces puede ser borrado
directamente), la cual es solo una carpeta especial. Al
seleccionar “Eliminar”, el sistemas de archivos va a la
MTF y busca el registro del archivo y elimina el
apuntador a este, de esta forma, no es posible
direccionar el archivo y el cluster donde se encuentra
queda disponible, y además queda un registro en el log
de persistencia.[49]
Eliminar en NTFS
El proceso de eliminación, en NTFS, es más complicado
que en FAT, ya que la seguridad y el registro (log) de
NTFS es muy superior. Pero en general lo mejor para
eliminar la información es sobre escribir sobre los cluster
que almacenan los datos. Ya que de lo contrario, es
muy probable que se logre recuperar la información.
Evidencias de Borrado para recuperación
Además de rastrear archivos desindexados en el disco,
los sistemas operativos que funcionan con NTFS
proveen sistemas de auditoria y detección de intrusos,
donde se registran sucesos como el borrado de
archivos. En NT, el evento de borrar un archivo queda
registrado en el security.log. En Windows 2000 hay
herramientas de auditoria de instalación opcional que
registran varios tipos de eventos, incluido el borrado de
archivos. Los archivos residentes en MFT al ser
borrados, dependiendo de donde estaban residiendo,
puede ser que no sea borrados, y a los archivos
grandes solo se les borra la referencia [49].
Recuperar borrado en NTFS
Dado que NTFS también funciona por referencia, la
recuperación de archivos es posible, pero un poco mas
compleja que en FAT. Ya que en NTFS los directorios
contienen información de si mismos, no de los archivos
que contienen, es decir, solo contienen los clusters
virtuales que están dentro del directorio. Es por esto que
la recuperación de archivos en NTFS es más
complicada. Y también debido a que un archivo es una
colección de atributos, al borrar un registro de la MFT se
esta borrando el archivo en si, pero solo marca el
atributo en uso como falso, lo cual es borrado para
NTFS [55].
Al recuperar, una de las opciones es buscar en el log de
persistencia el momento en el cual fue borrado un
registro de la MFT y así recuperar el archivo, esto se
debe al USN el cual fue explicado con anterioridad. Con
ese número y la información en el log de persistencia el
sistema de archivos recupera el archivo borrado.
Evidência Digital - 34
Pero pasado un tiempo, el diario de operaciones o log guardados en unidades en la red; recupera archivos aun
de persistencia para esa transacción desaparece, y es si su encabezado no esta disponible (esta es una
ahí cuando es necesario el uso de software característica que cumplen muy pocos productos), en
especializado. Este software primero busca en la MFT este caso soporta arj, exe, mov, zip, avi, gif, mp3, bmp,
por registros de borrado, y los recupera [54], después hlp, pdf, cdr, html, png, doc, htm, rtf, dxf, jpg, tar, dbf,
busca el bloque de datos donde esta el archivo, este lzh, tif, xsl, mid y wav.
bloque es posible encontrarlo ya que se encuentra entre
los clusters que están disponibles, busca en ellos y Este programa se presenta como freeware. No sirve si
recupera el archivo [54]. Estos clusters virtuales se tienen problemas mecánicos con el drive, por
ejemplo si el disco duro no es reconocido por el BIOS o
disponibles son agrupados a medida que se liberan, y
hace ruidos inusuales. [14]
se van usando conforme aumenta la cantidad de
información en el disco. Entonces al buscar en los
Las siguientes son imágenes de la pantalla tomadas
clusters disponibles, se encuentran los archivos que
para explicar la funcionalidad del software.
fueron eliminados. [50]
La pantalla de bienvenida permite recuperar archivos
La búsqueda de archivos borrados en NTFS es posible, eliminados, encontrar datos perdidos o encontrar
ya que se buscan atributos comunes, que mantienen los unidades perdidas.
archivos inclusive después del borrado, nombre,
tamaño, fechas, etc [55]. A diferencia de FAT, archivos o
directorios borrados en NTFS, tiene un campo en el
encabezado del archivo o directorio que indica que fue
borrado, este campo son 2 bytes. Estos 2 bytes definen
el estado del archivo, para nuestro caso, solo nos
importa el primer byte que define si esta en uso o
borrado. [55]

Ahora que se encontró el registro borrado, debemos

encadenar los clusters hasta recuperar completamente
el archivo. Esto se hace buscando cluster por cluster
hasta alcanzar el tamaño del archivo que indica su
atributo [56]. Encadenar los clusters es un poco mas
complicado, ya que NTFS tiene un atributo de archivo
llamado DATA, el cual esta encriptado y posee la
información de los clusters donde se debe buscar los
datos del archivo. Solo resta encadenar los datos para
reconstruir el archivo, así que esta tarea es fácil [56].

La siguiente pantalla permite seleccionar la unidad

Recuperar el Sector de Arranque lógica o física según sea el caso.

En NTFS es posible recupera un sector de arranque

(boot sector) porque el sistema de archivos guarda una
copia de este [19]. En FAT el sistema no guarda una
copia del sector de arranque.

Demostración

Se han recogido diferentes herramientas de uso gratuito

o que permiten al usuario bajar un programa de
evaluación, de modo que estas serán analizadas y
expuestas como parte de este paper. El demo consiste
en estas herramientas, su revisión y su uso.

FileRecovery à Es un programa
de recuperación de datos que
soporta los sistemas de archivos
Fat12/16/32 y NTFS. Este
programa encuentra particiones
automáticamente, aun si el sector
de boot a sido borrado o dañado
(esto solo en FAT, no en NTFS);
recupera archivos con sus marcas
de fecha y hora originales; los
archivos salvados pueden ser
Una vez escogida la unidad, el programa se demora
unos segundos encontrando los archivos y carpetas que
estaban perdidos o borrados. En esta imagen se
presenta el caso de recuperación de archivos
eliminados. Estos archivos pueden ser guardados en un
directorio específico, pueden ser renombrados, y
pueden ser recuperados como texto o en hexadecimal.
Evidência Digital - 35
 Las siguientes ventanas son imágenes tomadas de la
versión gratuita del programa.

Esta es la ventana de las licencias que es posible

adquirir:

Este programa no repara unidades dañadas ni recupera

datos de CDs o DVDs. Además este software no puede
ser corrido desde un disquete, debe estar en un disco
duro con una versión instalada de Windows
95/98/ME/NT/2000/ XP. Bajo Windows XP es necesario
tener derechos de administrador para ver todas las
unidades lógicas. [14]

Se realizaron pruebas con este programa, y se encontró

que puede recuperar bastante información, aun si la
FAT y el directorio están corruptos. Busca los archivos
con un diccionario de ‘headers’ o encabezados, y con
ellos revisa los clusters hasta encontrar el final de los
archivos, además encuentra archivos ocultos, o cuya La ventana principal del programa permite escoger el
extensión es desconocida. Recupera información modo de búsqueda, y explica las posibilidades:
eliminada con precisión, pero tiene problemas al hacer
borrado seguro. La búsqueda de archivos suele resultar
Normal, que es una búsqueda rápida por los archivos
en archivos que contienen mas información de la que
originalmente fue pensada, ya que escoge un end of file, recientemente borrados, incluyendo los que fueron
que puede no ser el correcto. borrados en la papelera de reciclaje.

Exhaustiva, que verifica cada sector del disco. Es útil

File Scavenger à Este programa diseñado para NTFS
en Windows XP, 2000 o NT, permite recuperar archivos
borrados accidentalmente, incluyendo archivos borrados
de la papelera de reciclaje. File Scavenger soporta
discos básicos y dinámicos, compresión NTFS,
secuencias de datos alternas, nombres de archivo
Unicode, etc.
cuando el disco ha sido formateado o cuando no se dan
resultados con la búsqueda normal.
Búsqueda en volúmenes ‘muertos’, esta búsqueda es
igual a la búsqueda exhaustiva, pero para volúmenes
dañados o borrados, o para reconstruir volúmenes tipo
RAID 0 o RAID 5, o sets de volúmenes.

Se recuperan el archivo y la dirección en la que este se
encontraba, con excepción de casos extremos.
Se pueden recuperar archivos de volúmenes
reformateados o corruptos, esto es posible aun si el
volumen ha sido borrado y su posición original y su
tamaño es desconocido. Este programa maneja discos
con sectores dañados y con particiones corruptas de
manera transparente al usuario.[15]
Este software puede ser instalado y corrido desde un
disquete.
Se puede elegir el tipo de archivo que se esta buscando,
el asterisco significa que se están buscando todos los
archivos.
Una vez realizada la búsqueda, los archivos
encontrados pueden ser ordenados por cualquiera de
las características que se exponen en la parte inferior de
la pantalla, además pueden ser vistos en directorios o
como archivos individuales. Se puede además escoger
la carpeta a la cual serán recuperados los archivos.

Se puede conseguir una versión gratuita que esta

restringida a 64 kilobytes de datos recuperables. La
licencia personal mas económica tiene un costo de
39.95 dólares [15].
Evidência Digital - 36

Después de realizar pruebas, se concluye que es una
herramienta buena, pero no es precisa al recuperar
archivos perdidos, aunque tiene un buen diccionario de
encabezados, no es seguro que al utilizarla se estén
encontrando todos los archivos perdidos. Aunque dice
que esta diseñada solo para NTFS, funciona en
disquetes (FAT12).
Un ejemplo de proceso:
La primera parte del proceso es ejercer el método de
Guttman en el espacio libre, así el espacio libre que
tiene el disco duro queda estéril, de tal manera que la
recuperación del archivo es única y confiable.
Se sigue el siguiente procedimiento:
• Se esteriliza el disco duro.
• Se mira que no tenga archivos sin referencia en
el disco duro (verifico la esterilización).
• Se copia el archivo a recuperar.
• Se elimina el archivo.
• Se recupera el archivo.
• Se repite el proceso pero con borrado seguro
US DoD 5220
El documento tiene la siguiente configuración, será
eliminado por el método estándar de Windows.
doc_prueba.doc
Cluster: 1382271
Tamaño: 298496
Stellar Phoenix FAT & NTFS
Cuando se realizo la recuperación para verificar la
esterilización, pero no encontró ningún archivo
recuperable.
PC Inspector File Recovery
Cuando se realizo la verificación de esterilización se
encontraron, 4275 archivos perdidos, de los cuales,
algunos son mp3, y otros son unos archivos de texto, En
los archivos mp3, después de reconstruir los
encabezados, es posible oir pedazos de las canciones,
en promedio, 1 segundo de música por cada 10
segundos de grabación, para los archivos de texto, son
imposibles de leer.
El documento tiene la siguiente configuración, será
eliminado por el método estándar de Windows.
doc_prueba.doc
Cluster: 1382271
Tamaño: 298496
Luego será recuperado por ambos programas con los
siguientes resultados.
Stellar Phoenix FAT & NTFS
Encontró y puedo recuperar el archive sin mayores
problemas, el formato de Word quedo intacto.
PC Inspector File Recovery
Encontró pero dice que su condición es pobre, al
recuperarlo se puede extraer el texto, pero algunos
datos se pierden.
US DoD 5220 (8-306. /E) (3 pasadas)
PC Inspector File Recovery
Encuentra una archive de Word, pero no recupera el
nombre. Y el contenido es basura aparentemente.
Stellar Phoenix FAT & NTFS
No recupera nada, una vez se elimina el archivo, que
borrado del todo.
Winhex
Winhex-> Esta es una herramienta para editar archivos
en hexadecimal. Es una herramienta muy potente que
permite manipular en sistema de archivos en una gran
Evidência Digital - 37
variedad de formas. clusters, es decir no necesariamente en el principio de
cada cluster. Esto es necesario al recuperar archivos de
cintas de soporte donde no se usan clusters. También
Figura 3. Editor de imágenes permite la recuperación de archivos que
deliberadamente estaban almacenados en lugares
ocultos.

Por ejemplo, para extraer todos los archivos .jpg,

Winhex busca los valores FFD8FF (cuya interpretación
ascii es el característico yøyá). Normalmente el
encabezado se encontrara en un desplazamiento cero
dentro del cluster ( offset 0 ). En el Anexo 1 vemos un
ejemplo de como Winhex presenta parte del archivo
002.jpg en hexadecimal.

Winhex es una herramienta de borrado seguro de forma

manual usando técnicas de sobreescritura porque
permite editar directamente los valores en el disco. Para
efectuar el borrado seguro sobre un archivo que haya
sido borrado por el sistema, el usuario puede ubicar en
el raw data del disco la posición del archivo, ya sea
identificando una cadena dentro del archivo, o
verificando el tamaño; y luego procediendo a sobre
escribir los valores de formate que sea difícil volver a
reconstruir el archivo.

Conclusiones
En la Figura 3, el editor de imágenes permite explorar
Al recuperar archivos en FAT hay que tener en cuenta
cada volumen, directorio y archivo del disco en forma
que fue uno de los primeros sistemas de archivos
hexadecimal, tal como están grabados físicamente. En
diseñados [19], y que presenta varias limitaciones,
la primera sección vemos los volúmenes lógicos, en
especialmente en las primeras versiones. FAT no
este caso Removable Medium, Windows, Applications,
soporta redundancia ni guarda una copia del sector de
Fun, Setup, Test1, Test2, CD-ROM Drive, RAMDrive. arranque.

En la segunda sección vemos que todos esos

Existen muchas herramientas que permiten recuperar
volúmenes son realidad dos discos físicos, 80h Hard
información en NTFS y FAT. La forma en que estos
Disk 1 y 81h Hard Disk 2. De esta forma, si exploramos
sistemas de archivos funcionan da muchas posibilidades
los discos y carpetas en la primera sección encontramos
al usuario de recuperar información o partes de esta.
los datos de los archivos tal como aparecen en cada
directorio, mientras que en la segunda sección estamos
No se puede confiar 100% en los métodos de borrado
viendo realmente el "raw data", es decir, se despliega la
seguros, lo que hace dudar de la privacidad de la
información tal cual está escrita físicamente en cada
información. El objetivo del borrado seguro es de lograr
volumen físico.
que la recuperación de la información sea lo mas
ineficiente y costosa posible.
Winhex posee una herramienta de recuperación de
archivos. Seleccionando en el Menu de Herramientas
NTFS definitivamente permite recuperar archivos con
(Tools Menu)->Disk Tools, ofrece una búsqueda de
mayor precisión, esto se debe a que las características
archivos que pueden ser reconocidos por su
del sistema del archivos fue diseñado pensado en
encabezado. Existe la opción de Búsqueda por Tipo de
redundancia y seguridad, los cuales son factores
Archivo, asi como Búsqueda por nombre de Archivo. La
importantes en la recuperación de archivos.
opción por tipo de archivo depende solamente del
formato del tipo del archivo, por ejemplo el encabezado,
y por lo tanto es independiente del sistema de archivos
del sistema operacional. Esta opción es viable
solamente si los archivos no están fragmentados. El :: Sonia V. Vivas
usuario selecciona el lugar donde quiere que Winhex :: Estudiante de Ingeniería de Sistemas y Computación. Universidad
guarde los archivos encontrados, los cuales tienen de los Andes. Bogotá. Colombia.
usualmente un formato de nombres "file~~~~" , donde
los ~ significan números que se incrementan.

Opcionalmente el programa puede buscar archivos a

partir de determinado desplazamiento dentro de los
Evidência Digital - 38
 :: Leonardo R. Castañeda
:: Estudiante de Ingeniería de Sistemas y Computación. Universidad
de los Andes. Bogotá. Colombia.
:: Daniel C. Velasco
:: Estudiante de Ingeniería de Sistemas y Computación. Universidad
de los Andes. Bogotá. Colombia.
:: Manuel C. Cuesta
:: Estudiante de Ingeniería de Sistemas y Computación. Universidad
de los Andes. Bogotá. Colombia.
REFERENCIAS
[1] Introducción a vcr. (2004, Marzo 20). Disponible en:
http://www.monografias.com/trabajos5/vcr/vcr.shtml#magne
[2] Jan’s Ilustrated computer Literacy. Jan Smith (2003, Agosto 27).
Disponible en: http://www.jegsworks.com/Lessons/lesson6/lesson6-2.htm
[3] Protecting and handling magnetic media. National Archives of Australia.
( 2002, Junio 01). Disponible en:
http://www.naa.gov.au/recordkeeping/rkpubs/advices/advice5.html
[4] Magnetic Media Preservation: Selected Bibliography. Mark Roosa.
National Preservation Program Office. Library of Congress. Disponible en:
http://palimpsest.stanford.edu/byauth/roosa/roosamag.html
[5] NTFS vs. FAT. NTFS.com. (2004, Marzo 21). Disponible en:
http://www.ntfs.com/ntfs_vs_fat.htm
[6] Managing deleted Files. Get Practical!. (2001, Octubre 31). Disponible
en: http://www.glencoe.com/norton/online/ezine/display_article.phtml?id=161
[7] NTFS and FAT32. Aditya Sitani. (2003, Febrero 03). Disponible en:
http://people.msoe.edu/~taylor/cs384/sitania.pdf
[8] MS-DOS® FAT File System Labs 1 & 2: Help Index. Travis Leithead,
Mark Richards. (2002, Agosto 20). Disponible en:
http://students.cs.byu.edu/~cs345ta/labs/winter04_specs/lab_fat_help.htm#Ho
w%20DOS%20deletes%20files/directories
[9] Clearing Information from your Computer’s Hard Drive. National
Aeronautics and Space Administration. (2004, Marzo 21). Disponible en:
www.hq.nasa.gov/office/oig/hq/harddrive.pdf
[10] What does it mean to ‘Delete’ something?. PC IN. (2004, Marzo 21).
Disponible en: http://www.pcin.net/help/articles/undelete.php
[11] Technical Analysis of Data Erasure Issues. Jeita. (2004, Marzo
21).Disponible en: http://it.jeita.or.jp/perinfo-e/memorycard-e/refer.html
[12] Borrado Seguro. Juan Carlos Coconubo. (2004, Febrero 04). No es
público.
[13] Degauss. Computer Hope. (2004, Marzo 21). Disponible en:
http://www.computerhope.com/jargon/d/degauss.htm
[14] PC Inspector File Recovery. (2004, Abril 8). Disponible en:
http://www.pcinspector.de/file_recovery/UK/welcome.htm
[15] File Scavenger. Quetek. (2004, Abril 7). Disponible en:
http://www.quetek.com/prod02.htm#notice
[16] Disk Geometry
[17] NetworkWorldFusion, “Wipe out” (2004, Abril 12). Disponible en:
http://www.nwfusion.com/newsletters/techexec/2003/0414techexec1.html
[18] Microsoft Corporation, “Overview of FAT, HPFS, and NTFS file
systems” , (2004, Abril 12 ). Disponible en L
http://support.microsoft.com/default.aspx?scid=kb;en-us;100108
[19] Microsoft Corporation “Recovering NTFS Boot Sector on NTFS
Partitions” (2004, Abril 12). Disponible en :
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q153973
[20] Overview and History of NTFS. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/over.htm. 3 Abril de
2004.
[21] High Performance File System (HPFS) . Charles M. Kozierok. The PC
Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/file_HPFS.htm. 3
Abril de 2004.
[22] OS/2. Charles M. Kozierok. The PC Guide. Disponible en:
http://www.pcguide.com/ref/hdd/file/os_OS2.htm. 3 Abril de 2004.
[23] NTFS Versions. Charles M. Kozierok. The PC Guide. Disponible en:
http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm. 3 Abril de 2004.
[24] NTFS 1.1/4.0. Charles M. Kozierok. The PC Guide. Disponible en:
http://www.pcguide.com/ref/hdd/file/ntfs/verNTFS11-c.html. 3 Abril de 2004.
[25] NTFS 5.0. Charles M. Kozierok. The PC Guide. Disponible en:
http://www.pcguide.com/ref/hdd/file/ntfs/ver_NTFS50.htm. 3 Abril de 2004.
[26] NTFS Version Compatibility. Charles M. Kozierok. The PC Guide.
http://www.pcguide.com/ref/hdd/file/ntfs/verCompat -c.html. 3 Abril de 2004.
[27] NTFS Architecture Overview. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/archArch-c.html. 3
Abril de 2004.
[28] NTFS Basics. NTFS.com. Disponible en:
http://www.ntfs.com/ntfs_basics.htm. 3 Abril de 2004.
[29] NTFS Clusters and Clusters Sizes. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/arch_Clust
er.htm. 3 Abril de 2004.
[30] Compression. Charles M. Kozierok. The PC Guide. Disponible en:
http://www.pcguide.com/ref/hdd/file/ntfs/other_Compr.htm. 3 Abril de 2004.
[31] NTFS Partitioning Strategies. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/impl_Part.htm. 3
Abril de 2004.
[32] NTFS Volume Boot Sector. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/archSector-c.html. 3
Abril de 2004.
[33] Partition Boot Sector. NTFS.com. Disponible en:
http://www.ntfs.com/ntfs-partition-boot-sector.htm. 3 Abril de 2004.
[34] The Windows NTFS File System. Michael Lynch. Disponible en:
http://www.qvctc.commnet.edu/classes/csc277/ntfs.html. 3 Abril de 2004.
[35] NTFS File Systrem. Dmitrey Mikhailov. Digit-Life.com. Disponible en:
http://www.digit-life.com/articles/ntfs/?14227. 3 Abril de 2004.
[36] An Examination of the NTFS Boot Record. Daniel B. Sedory.
http://www.geocities.com/thestarman3/asm/mbr/NTFSBR.htm. 3 Abril de
2004.
[37] A Disk Editor View of the NTFS Boot Record and Bootstrap Code.
Daniel B. Sedory. Disponible en: http://www.geocities.com/thestarman3
/asm/mbr/NTFSbrHexEd.htm . 3 Abril de 2004.
[38] The Bootstrap Code from an NTFS Partition. Daniel B. Sedory.
Disponible en: http://www.geocities.com/thestarman3/asm/mbr/NTLDR.htm.
3 Abril de 2004.
[39] Partition Boot Sector is Damaged. Active @ Data Recovery Software.
Disponible en: http://www.uneraser.com/boot-sector-damaged.htm. 3 Abril de
2004.
[40] File - $Boot (7). Richard Russon. Flatcap. Disponible en:
http://www.uneraser.com/boot-sector-damaged.htm. 3 Abril de 2004.
[41] NTFS Master File Table (MFT). NTFS.com. Disponible en:
http://www.ntfs.com/ntfs-mft.htm. 3 Abril de 2004.
[42] Master File Table (MFT). Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/archMFT -c.html. 3
Abril de 2004.
[43] File Allocation Table. Thomas Kjoernes. Disponible en:
http://home.no.net/tkos/info/fat.html. 3 Abril de 2004.
[44] File Chaining and FAT Cluster Allocation. Charles M. Kozierok. The PC
Guide. Disponible en:
http://www.pcguide.com/ref/hdd/file/clust_Chaining.htm. 3 Abril de 2004.
[45] File Deletion and Undeletion. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/clustDeletion-c.html. 3
Abril de 2004.
[46] MCSE training kit : Microsoft Windows 2000 server. Redmond, WA :
Microsoft Press, c2000
[47] Windows NT server 4 : professional reference. Karanjit S. Siyan. New
Riders, c1996.
[48] NTFS Transaction Recovery. Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/ver_NTFS50.htm. 3
Abril de 2004.
[49] NTFS Master File Table (MFT). Charles M. Kozierok. The PC Guide.
Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/arch_MFT.htm 3
Abril de 2004.
[50] Inside Win2K NTFS. Mark Russinovich. Windows & .net Magazine.
Disponible en:
http://www.win2000mag.com/Articles/Index.cfm?ArticleID=15719
Noviembre 2000.
[51] Managing Deleted Files (2004, Abril 13). Disponible en:
http://www.glencoe.com/norton/online/ezine/display_article.phtml?id=161
[52] Microsoft NTFS 5.0. Blake C. Adams. Milwaukee School of
Engineering. Design of Operating Systems . CS - 384 . Documento en formato
PFD, Blake Adams - NTFS 5.0.pdf
[53] Keeping an Eye on Your NTFS Drives: the Windows 2000 Change
Journal Explained. Jeffrey Cooperstein , Jeffrey Richter. Microsoft Disponible
en :http://www.microsoft.com/msj/0999/journal/journal.aspx. 3 Abril de 2004.
[54] File Recovery Concepts, NTFS.com , 2002 Disponible en:
http://www.ntfs.com/file-recovery-concepts.htm
[55] Disk Scan for deleted entries, NTFS 2002 Disponible en:
http://www.ntfs.com/disk-scan.htm
[56] Defining clusters chain for the deleted entry, NTFS 2002, Disponibl en:
http://www.ntfs.com/assemble-clusters.htm
[57] NTFS File Types, NTFS 2002, disponible en: http://www.ntfs.com/ntfs-
files-types.htm
[58] AR 380-19 Information Systems Security, Apendix E, Disponible en:
http://www.fas.org/irp/doddir/army/ar380-19/appendix_e.htm
Evidência Digital - 39
Evidência Digital - 40
 Leonardo Cunha
A porta da Segurança...
ou da Insegurança
Aposto que ao se deparar
com o título desse artigo,
você leitor, imaginou que
eu estivesse me referindo
sobre uma das portas que
possibilita a utilização de
algum serviço que possa
ser executado sobre a pilha
de protocolos TCP/IP, que
de alguma forma estivesse me referindo sobre a
influência dessa porta na segurança da rede de
computadores de alguma corporação. Se pensastes
nessa possibilidade, você está completamente
equivocado.
Constata-se em uma rápida pesquisa a qualquer
softwarehouse do país – com a explosão dos softwares
livres será que essas lojas vão conseguir sobreviver? -
há existência de uma enorme variedade de programas
que têm como escopo principal fornecer subsídios para
elevar o nível de segurança dos ambientes
computacionais. Atualmente, esses programas
incorporam as mais variadas tecnologias para proteger
sistemas e redes de computadores de diversos tipos
e/ou naturezas de ataques.
Como exemplos de programas que possuem essa
finalidade posso citar: os firewalls por software, os
antivírus e os softwares de criptografia. Esses
programas são vendidos individualmente ou fazendo
parte de um pacote integrado que possui como único
objetivo incorporar maior segurança a um
microcomputador ou a todo um ambiente de rede
corporativa. Vale lembrar a existência de firewall por
hardware, contudo neste artigo não falarei sobre o
mesmo, ficando para uma abordagem mais específica
do assunto.
Como exemplo de software comercial que implementa
um firewall pessoal por software, posso citar o Norton
Personal Firewall 2003 (http://www.symantec.com.br
/region/br/product/nis/npf) e o McAfee Firewall 4.0
(http://www.mcafee-at-home.com/products/firewall). A formas possíveis, imagináveis e inimagináveis, a
"desvantagem" desses dois produtos é que eles são
pagos, contudo podemos encontrar, também, bons
firewalls pessoais por software gratuitos, um deles é o
Tiny Personal Firewall desenvolvido pela Tiny Software
do Brasil. Você pode obter maiores informações sobre
esse firewall e efetuar o download dele no endereço:
http://www.tinysoftware.com.br/pwall.asp.
Em relação aos softwares antivírus podemos encontrar
dezenas de produtos. Um dos mais conhecidos e
utilizados antivírus do mercado é o Norton Antivirus
2003 (http://www.symantec.com.br/region/br /product/
nav/nav_9xnt). Outro antivírus muito popular e bastante
funcional é o McAfee VirusScan Home Edition 7.0. Você
pode obter mais informações sobre esse produto no
endereço: http://www.mcafee-at-home.com/products/
virusscan. Como alternativa de antivírus gratuito posso
citar o AVG AntiVirus 6.0 Free Edition
(http://www.grisoft.com). Esse antivírus além de ser
gratuito é leve. Devido as suas qualidades esse
antivírus, atualmente, está sendo muito requisitado
pelos internautas, principalmente em sites
especializados em disponibilizar programas shareware,
freeware, etc.
Sobre os softwares de criptografia posso citar o PGP
8.0.2 Freeware. Esse é um dos melhores programas de
criptografia existentes no mercado e pode ser obtido
gratuitamente no endereço: http://www.pgp.com/
products/freeware.html.
Como soluções integradas (diversas ferramentas
fazendo parte de um único produto) posso citar o
Symantec Client Security (http://www.symantec.com.br
/region/br/enterprisesecurity/products/scs) que possui
antivírus, firewall e ferramenta de detecção de intrusão
para estações de trabalho. Também, temos um outro
produto de solução integrada, o Norton Internet Security
2003 (http://www.symantec.com.br/region/br/product/
nis/nis_pe), que possui antivírus, firewall e outras
ferramentas.
Todos esses softwares são apresentados em versões
para os mais diferentes tipos de sistemas operacionais
existentes no mercado. Corriqueiramente encontramos
esses tipos de programas sendo vendidos,
principalmente, para as duas maiores plataformas
utilizadas em todo o mundo: Windows e Linux (para
suas diversas distribuições).
A demanda por esses tipos de softwares derivou-se da
iminente ameaça de ataques de todos os meios e
sistemas de computação. Ameaças que se tornaram
constantes atualmente devido a grande facilidade para
se obter informações e até programas já prontos e
configurados para uso, que possuem como único
objetivo efetuar algum tipo de ataque, seja apenas para
realizar uma "varredura" em uma rede ou até para
provocar uma Negação de Serviço – DoS (Denial-of-
Service) em algum servidor.
Evidência Digital - 41
Diversos softwares ou hardwares introduzem de várias
formas, maneiras de bloquear o acesso a certos
recursos disponíveis numa rede, seja uma estação de
trabalho, um servidor ou algum equipamento de rede, tal
como, firewall, roteador, switch, hub, etc., que só pode e
que só deve ser acessado por usuários autorizados.
Nesse contexto, o profissional de segurança tem como
uma de suas atribuições principais estar
constantemente se atualizando e estudando novos
programas e equipamentos para proteger uma rede.
Deve, também, preocupar-se com todo o perímetro que
cerca um Centro de Processamento de Dados (CPD) -
quando falo em perímetro estou me referindo ao
ambiente físico que o cerca - pois é nesse ambiente que
se localizam os equipamentos e as informações mais
importantes de uma instituição. Todavia a sua maior
preocupação deve ser com um dos maiores ativos de
uma empresa, as informações.
Verificando os jornais, as revistas e os diversos
programas de rádio e televisão observamos várias
notícias sobre "roubos digitais", pessoas sendo
acusadas de tais roubos e até sendo presas por tais
atitudes. No nosso país, dificilmente alguém é detido por
cometer algum tipo de crime digital, contudo, nos
Estados Unidos e em alguns países da Europa, várias
leis foram publicadas com o objetivo de punir esse tipo
de ato.
Nesse momento, acredito que você leitor, que deve ser
um interessado sobre segurança das informações de
uma maneira ampla, deva estar começando a entender
a mensagem que aqui transmito.
Agora, é a hora de você dirigir-se até
o CPD da sua empresa e pedir para
aquele seu colega de trabalho a
vários anos, para mostrar-lhe como a
empresa de vocês está preparada
efetivamente se, por incontingências
do acaso, ocorrer alguma tentativa de
ataque.
Você deve demonstrar que este seu
súbito interesse iniciou-se a partir do
momento que assistiu, recentemente, uma notícia a
esse respeito nos meios de comunicação. Aposto, que
ele com todo orgulho mostrará tudo para você. Falará
que a empresa de vocês possui diversos equipamentos
e softwares que implementam e aumentam a segurança
da corporação. Ele mostrar-lhe-á o firewall, os
roteadores, servidores de arquivos, servidores de banco
de dados, servidor web, etc.
Provavelmente ele não lhe falará apenas do aspecto
lógico da segurança desse ambiente, mas também,
comentará da segurança física. Mostrará para você os
sistemas contra incêndios, os sensores de presença e
movimento, os alarmes infravermelhos, a leitora de
cartão magnético que autentica o administrador da rede
a entrar no CPD, etc. Todas as informações que você
pedir, ele não lhe negará, pior ainda, ele falará mais do
que você perguntou, pois acredita não ter nada de mais,
contar isso para você, o "grande amigo de trabalho"
dele.
Em pouco tempo, você já possuirá todas as informações
necessárias para que de alguma forma possa mais
facilmente "invadir" a sua própria empresa. Uma
informação pertinente a ser feita nesse instante é que
na realidade você estará realizando um tipo de ataque
muito comum a sua empresa. Inofensivo? Não, e muito
eficaz. Esse método de obtenção de informações é
denominada engenharia social, e é utilizada pelos
maiores "hackers" do mundo.
Quando disse informações necessárias não estou me
referindo a senha do usuário "Administrator" no
Microsoft Windows NT ou 2000, ou a senha de "root" de
uma distribuição Linux, estou apenas me referindo a
obter informações básicas como: qual o sistema
operacional que roda em determinada máquina e quais
serviços e versões dos mesmos que estão sendo
executados. Com a posse destas informações, que a
princípio pode parecer inofensivas, já será possível
efetuar algumas tentativas de ataque.
Em pouco tempo, todas as rotinas e procedimentos que
são especificados na política de segurança adotada pela
sua empresa serão do seu conhecimento. Creio que ele
deva lhe explicar tudo sem omitir nenhum detalhe,
duvido que neste momento, você não esteja, também,
acreditando que a rede da sua empresa, realmente, é
altamente segura contra qualquer tipo de ataque.
Bem... se você está convencido que realmente a rede
da sua empresa é muito segura visto o que foi exposto
pelo seu colega de trabalho, vocês estão
completamente enganados. Pois, neste momento, você
teve acesso a informações e aos lugares onde nenhuma
pessoa, com exceção dos profissionais
de Tecnologia da Informação (TI) que
trabalham diretamente com os
equipamentos que estão instalados no
CPD, deveriam ter acesso.
Se você for um usuário com um mínimo
de conhecimento em informática, mais
especificamente na área de redes de
computadores, sendo possuidor de tais
informações e tiver acesso físico ao CPD
a probabilidade de você conseguir
"hackear" de alguma forma a sua própria empresa será
bem maior, seja na busca de alguma informação
confidencial, ou mesmo, com o intuito de prejudicar a
sua empresa "derrubando" alguns servidores.
E pior ainda seria se em vez de efetuarmos algum tipo
de ataque para prejudicar diretamente sua empresa,
utilizarmos ela como ponte para efetuarmos um ataque
a uma outra corporação.
Imagine, também, o presidente dos Estados Unidos da
América, George W. Bush que pode ser contatado pelo
e-mail: president@whitehouse.gov.br recebendo um e-
mail de um "funcionário da sua empresa" que não
existe, relatando que vai enviar uma bomba para a Casa
Branca. O que aconteceria com a sua empresa? O que
aconteceria com o administrador da rede da sua rede?
Evidência Digital - 42
Note que não são apenas os profissionais de TI
especializados em segurança que devem se preocupar
com ela, na verdade, todos os profissionais de uma
empresa, sem distinção de cargo, devem estar
preocupados com o cumprimento da política de
segurança adotada pela empresa, desta forma todos os
processos informatizados realizados nela, ficarão o
menos vulnerável possível.

Moral da história... A segurança em ambientes

computacionais não se restringe somente aos softwares
e hardwares de segurança que são utilizados numa rede
ou instalados individualmente em servidores e nas
estações de trabalho, mas também ao acesso físico das
pessoas no ambiente onde estão os equipamentos de
informática e telecomunicações mais importantes de
uma empresa. Portanto, use as técnicas de segurança,
não desperdice milhares de reais em equipamentos e
programas para prover a segurança das informações de
seu ambiente empresarial, quando apenas uma simples
porta, a porta do CPD, está vulnerável.

OBS.: A idéia de escrever esse artigo surgiu a partir de

uma situação real que eu presenciei enquanto prestava
uma consultoria em segurança à uma empresa.
Portanto, reflita sobre a segurança efetiva do CPD da
empresa que você, que é um profissional de TI trabalha.
Se você acredita que possa existir alguma
vulnerabilidade de acesso físico no CPD da sua
corporação, chame um chaveiro, mas cuidado! ele pode
ser um hacker :-)))

:: Leonardo Cunha
:: professor@leonardocunha.com.br
:: Analista de Sistemas da Prefeitura da Cidade do Rio de Janeiro e
Professor de Informática da Fundação de Apoio a Escola Técnica do
Estado do Rio de Janeiro (FAETEC) e da Universidade Estácio de
Sá. Mestrando em Informática, pós-graduado em Análise, Projeto e
Gerência de Sistemas, Tecnologia e Segurança de Banco de Dados
e em Tecnologia e Segurança de Redes de Computadores.

Evidência Digital - 43
 Moacir T. M. Jr. e Fred H. L. Silva

Funcionamento de uma
Ferramenta de Negação de
Serviço Distribuído
Para melhor entender o estudo de caso que se segue, será necessário conhecer um pouco da arquitetura do ataque.
Abaixo segue uma breve descrição:

Arquitetura do ataque

Atacante Atacante
telnet telnet

... ...

Master Master Master

Programa Client Programa Client Programa Client

... ...

Agente Agente Agente Agente Agente

Programa Programa Programa Programa Programa
Daemon Daemon Daemon Daemon Daemon

... ...

Vítima Vítima

Figura 01: Atacante envia parâmetros ao master que comanda os daemons no ataque às vítimas.

• Atacante: Comanda, e monta a rede de ataque. Utiliza apenas o Telnet para conectar no Master através de
uma porta aberta pelo Programa Client. Ex: telnet [IP do Master] [porta]

• Master: Recebe as ordens do Atacante e comanda os Agentes. Tem um programa residente (Programa Client)
instalado pelo Atacante.

• Agente: Máquinas que, de fato, executam o ataque DDoS. Tem um Programa Daemon que é responsável por
receber as ordens do Master e por em prática.

• Vítima: São máquinas ou redes que são o alvo do ataque, e recebem um grande volume de pacotes, que
ocasionam paralização dos serviços.

São três as fases do ataque. A primeira é tomar o controle das máquinas, que serão usadas como Agentes e Masters.
Na segunda é feita a instalação dos Programas Clients e Daemons. Já na terceira, é lançado um flood de pacotes sobre
a(s) vítima(s).

Existem várias ferramentas na internet destinadas a ataques distribuídos, como TFN, Stacheldraht, TFN2K. Abaixo
segue uma descrição e um estudo da principal delas (Trinoo). Porém vale lembrar que pequenas modificações no
código fonte podem causar mudanças de certas propriedades das ferramentas, tais como: portas de operação, senhas
de acesso e controle, nome dos comandos, etc. Ou seja, a personalização da ferramenta é razoavelmente fácil.

Evidência Digital - 44
Trinoo
Esta ferramenta é utilizada para organizar ataques
distribuídos, ataques do tipo UDP flood. O controle do
client instalado no Master é feito através de uma porta
TCP que é acessada por telnet. Já a comunicação entre
o client e o daemon é feita através de pacotes UDP.
Quando um daemon é inicializado ele envia uma
mensagem ao Master, para que ele o coloque na lista
de IPs que ele possui. Em contrapartida os daemons
devem ser compilados já com os endereços IP dos seus
futuros Masters.
Um fator que exige certo trabalho por parte do atacante
é que toda vez que a máquina que possuí o master ou o
daemon rodando é reiniciada, ele precisa entrar
novamente na máquina para reiniciar o serviço. Por isso
geralmente quando se instala uma rede Trinoo, o
atacante tende a colocar algum script para que o
daemon ou master seja sempre inicializado sem
nenhuma interferência. Mas isso facilita a detecção por
parte do administrador. Uma informação importante é
que tanto o programa client, que roda no Master, quanto
o daemon que roda no Agente, podem ser inicializados
sem privilégios de superusuário (root).
O código fonte está disponível em vários sites, mas para
realização destes testes foi adquirido no site
PacketStorm “http://packetstormsecurity.nl/distributed/
trinoo.tgz”. Configurado em Linux RedHat 8.0, e a
documentação utilizada como base foi a de Dave
Dittrich “http://staff.washington.edu/dittrich/misc/ddos/”.

Instalação e configuração

Geralmente a ferramenta é encontrada compactada com o nome “Trinoo.tgz”. Depois de fazer o download do arquivo, é
necessário descompactá-lo. Com isso será criado o diretório “trinoo” e dois subdiretórios “master” e “daemon”. Após
descompactar, abra o arquivo “ns.c” do diretório “daemon” e localize a linha em que consta os IPs dos Masters que vão
comandar os daemons, retire os IPs que vem como padrão e adicione os que você deseja que sejam os Masters e salve
o código.

char *master[] = {
"129.237.122.40",
"207.228.116.19",
"209.74.175.130",
NULL
};

Figura 02: Trecho do código do daemon, onde são definidos os IPs dos masters.

Para a compilação correta do Trinoo, deve-se verificar se existem todas as bibliotecas (libraries) solicitadas no código
fonte. Caso não tenha alguma delas, será necessário privilégio de superusuário para fazer a instalação e configuração
das mesmas.

“master.c” “ns.c”

#include <stdio.h> #include <stdio.h>

#include <stdlib.h> #include <stdlib.h>
#include <stdarg.h> #include <string.h>
#include <string.h> #include <unistd.h>
#include <errno.h> #include <sys/types.h>
#include <sys/socket.h> #include <sys/socket.h>
#include <sys/types.h> #include <netinet/in.h>
#include <sys/time.h> #include <netinet/in_systm.h>
#include <sys/types.h> #include <netinet/ip.h>
#include <netinet/in.h> #include <netdb.h>
#include <netdb.h>
#include <unistd.h>
#include <fcntl.h>
#include "strfix.h"

Figura 03: Bibliotecas solicitadas no código fonte do “master.c” e “ns.c”.

Agora os arquivos já estão prontos para serem compilados.

Evidência Digital - 45
Compilação

Para o processo de compilação da ferramenta pode-se executar o seu compilador C do próprio Linux. Feita através do
utilitário “MAKE”, que geralmente só é encontrado no diretório “master”, ele deve ser adaptado para compilar o arquivo
“ns.c” e copiado para o diretório “daemon”, assim como o arquivo “blowfish.c” que é usado para a criptografia.

Como não é necessário adaptar o arquivo para compilar o “master.c” que será o client, simplesmente execute o
comando “make master” que será criado um arquivo binário de mesmo nome. O próximo passo é a compilação do
arquivo “ns.c” que é destinado a ser o deamon, execute o mesmo comando “make ns”. Para ele também será criado um
arquivo com o mesmo nome. O processo de compilação está completo.

Figura 04: Compilação do arquivo “master.c” e “ns.c” usando make.

Inicialização dos serviços

Após compilado, é necessário iniciar os serviços master e daemon, é através desses serviços que é viabilizada a
comunicação, eles são uma espécie de backdoor que precisam estar ativos para que se possa efetuar uma conexão.
Para inicializar o “master” entre em seu diretório e execute-o, uma senha será solicitada, por padrão a senha é “gOrave”.

Figura 05: Inicialização dos serviços “master” e “ns”.

Para inicializar o “daemon” entre em seu diretório e execute-o, como feito com o “master”. Caso deseje iniciar daemons
em outras máquinas, basta copiar o seu executável “ns” ou compilar o arquivo “ns.c” nessas máquinas.

Comunicação

A comunicação ocorre do atacante para o Master, e deste para o Agente (conhecido no código fonte como “bcast”). Um
atacante controla um ou mais Masters, que controlam um ou mais Agentes cada.

Como já mencionado antes, o programa daemon fica sabendo o endereço dos Masters obrigatoriamente antes da
compilação. Já os Masters são capazes de manter uma lista dinâmica dos IPs dos programas daemons que estão on-
line. Isso é possível devido a toda vez que um daemon é iniciado, ele manda um aviso para todos os Masters que tem o
IP em seu código. Para isso é criado pelo próprio Master um arquivo escondido geralmente chamado “. . .” (três pontos)
para armazenar os IPs dos daemons ativos.

Evidência Digital - 46
 Atacante para Master(s): 27665/TCP
Master para Agente(s): 27444/UDP
Agente para Master(s): 32335/UDP

Tabela 04: As portas e protocolos utilizados para comunicação

Como se pode ver na figura 01, o atacante conecta primeiro no Master através de uma conexão telnet para IP e porta do
mesmo. É solicitada uma senha, que por padrão é “betaalmostdone”.

Figura 06: Conexão Atacante – Master.

Ataques e resultados

Agora que toda a rede está montada, e o atacante já está conectado por telnet no master, basta apenas um comando
para que seja iniciado o ataque.

Abaixo podemos ver o comando “bcast” que faz com que o master mostre os daemons que estão ativos. Neste caso
temos apenas um, que é o 200.20.157.250. Logo depois é dado o último comando do ciclo de vida do ataque, “dos
200.214.218.30”, que faz com que os daemons lancem um ataque contra o IP indicado.

Figura 07: Comando “bcast” e comando “dos”.

Evidência Digital - 47
Ao lado vemos a tela de um utilitário nativo do Linux
Red Hat 8, que captura o trafego da placa de modem do
daemon, onde podemos notar o grande número de
pacotes UDP lançados pela nossa ordem de ataque.

E claro que nosso daemon está limitado por uma

conexão discada, mas se fosse um servidor web, por
exemplo, com linha dedicada faria um tráfego ainda
maior.

Na figura abaixo podemos ver uma tela capturada no

momento de um ataque, agora em uma rede local. Foi
usado o utilitário The Ethereal Network Analyzer para
capturar o tráfego na placa de rede da vítima. Onde o IP
do daemon é mostrado como 10.3.1.20, e o IP da vítima
é 10.3.1.12. Interessante também observar que a porta
de origem, usada pelo daemon é sempre a mesma, já a
porta de destino é aleatória, dificultando a defesa.
Figura 08: Trafego do daemon durante o ataque.

Figura 09: Trafego da placa de rede vítima durante o ataque.

Veja se em algum momento, do ponto de vista da vítima, é possível identificar o master, ou até mesmo o atacante. É
realmente impossível, pois só são visíveis através de logs as comunicações feitas diretamente com o computador no
qual se está monitorando. Por isso os ataques DDoS são os mais difíceis de serem rastreados.

:: Moacir T. M. Jr. :: Fred H. L. Silva

:: mtmedeiros@rio.rj.gov.br :: henrique@lcr.uerj.br
:: Graduado em Ciência da Computação, participou do projeto de :: Graduado em Ciência da Computação e Tecnologia da Informação
Segurança das Eleições de 2000, serviço da Modulo. Atualmente no com ênfase em segurança da Informação, Administrador de Redes do
Núcleo de Segurança da Informação, Prefeitura do Rio de Janeiro. LCR/UERJ.

Evidência Digital - 48
 Rodrigo Ramos

Cenário Proposto I

Segue abaixo um pequeno cenário proposto pelo time da Triforsec que utiliza várias ferramentas de segurança que
atuam em diferentes camadas da rede. Para facilitar a compreensão temos, logo abaixo da figura, um pequeno texto
que descreve como cada ferramenta atua no cenário proposto.

Atenção!!! pacotes com IPs de origem diferentes da rede interna.

Este documento não tem como objetivo tratar todos os
pontos referentes a segurança da informação e nem ser
um guia técnico.
Essa configuração diminuiria bastante a quantidade de
tráfegos com IPs falsificados na rede. Ter um bom
roteador é fundamental para se ter uma boa conexão.
O Primeiro Firewall

O Roteador Passando pelos filtros do roteador, o pacote chega na

Chegando pela Internet, um pacote precisa passar por
um roteador com os devidos filtros configurados. Esses
filtros são a primeira camada de segurança da rede. O
roteador deve ter uma política proibitiva por padrão. Ou
seja, ele só deve deixar passar o que for expressamente
permitido em sua configuração. Além do ingress filtering,
precisamos configurar o egress filtering. É importante
configurar o roteador, para não permitir a saída de
segunda camada de segurança, uma máquina com um
firewall (IPTables) e com um IDS (Intrusion Detection
System - Sistema de Detecção de Intrusão) Snort
(http://www.snort.org). Dependendo do destino do
pacote, ele poderá ser encaminhado para um dos
servidores externos na DMZ, para a máquina interna
que gerou uma requisição (sendo este pacote a
resposta da requisição), ou o pacote poderá ser
barrado.

Evidência Digital - 49
Através da tabela de estados, o IPTables, assim como
outros Statefulls firewalls, consegue manter o controle
/acompanhamento sobre todos os pacotes que estão
passando por ele. Esse acompanhamento permite, por
exemplo, que o IPTables saiba quando um pacote está
chegando em resposta a uma solicitação que acabou de
sair da rede.
O Snort, que está instalado nesta máquina, precisa ter
suas regras e os pré-processadores muito bem
customizados. Só devem ser utilizadas as regras que
realmente monitorem o ambiente que você possui. A
mesma coisa para os pré-processadores. O trabalho
que ele executará é muito importante para a segurança,
pois o IDS implementa uma outra camada de
segurança, checando o cabeçalho e o payload do
pacote procurando por um conteúdo anormal. Este
conteúdo pode ser um comando para uma aplicação ou
um código malicioso. Analisando o protocolo, ele
consegue identificar problemas no comportamento de
alguns protocolos e normaliza a comunicação, evitando
que pacotes montados fora do padrão de alguns
protocolos consigam driblar a segurança. Os pré-
processadores também são importantes porque eles
evitam que o engenho de detecção desperdice
processamento checando um pacote que já está
incorreto por natureza.
Utilizando o Integrator, pacote que faz parte do Defense
Layer Central Console, é possível criar uma interação
entre o Snort e o IPTables e fazer com que certos
eventos detectados pelo IDS reconfigurem o firewall
dinamicamente, bloqueando a origem do ataque por um
tempo pré-determinado. Através da utilização de
assinaturas e dos pré-processadores é possível, por
exemplo:
• Identificar vírus, worms e cavalos de tróia;
• Identificar quando um funcionário não autorizado
tenta acessar uma aplicação em um servidor;
• Identificar port scans;
• Identificar pacotes com payload, quando por
padrão não deveriam ter;
• Identificar requisições formatadas de forma
anormal para uma aplicação;
• Identificar problemas onde o firewall não veria.
Alguns podem achar interessante deixar todas as regras
instaladas para detectar todo tipo de tráfego malicioso,
mas essa solução gera muitos falso-positivos,
consomem mais processamento da máquina, inunda os
relatórios e gera vários outros reflexos, que não serão
tratados neste documento. Todo o trabalho de
gerenciamento e monitoramento deste sensor, assim
como dos outros, é realizado remotamente a partir do
Defense Layer Central Console (DLCC), que será visto
mais adiante.
Existem algumas questões legais que precisam ser
esclarecidas pela nossa legislação. Ferramentas
poderosas como o Snort, têm o poder de monitorar as
comunicações e os arquivos de alguns programas de
mensagem instantânea, como o MSN Messenger. Nós
que trabalhamos executando o que nos é solicitado
pelos clientes, precisamos tomar as devidas precauções
para estar acobertados legalmente.
É muito importante ter nesta máquina ferramentas que
geram informações sobre o link, como MRTG
(http://people.ee.ethz.ch/~oetiker/webtools/mrtg/) e o
NTOP (http://www.ntop.org/). O Multi Router Traffic
Grapher (MRTG) é uma ferramenta que monitora o
tráfego no link da rede e gera relatórios em html de
forma dinâmica, em tempo real. O NTOP permite que
você monitore facilmente os protocolos da LAN e gere
relatórios sobre a utilização dos mesmos. Dependendo
do objetivo estas ferramentas também podem ser
instaladas no segundo firewall.
A Zona Desmilitarizada
Por questão de segurança, o segmento DMZ que está
conectado ao primeiro firewall, foi criado para separar os
recursos que precisam ser acessados constantemente,
a partir da Internet, dos recursos da rede interna. Não
faz sentido ter o site da empresa hospedado em um
servidor dentro da LAN. Nesta arquitetura, o
comprometimento de um destes servidores não
necessariamente trariam problemas de intrusão à LAN.
Para melhorar ainda mais a segurança, as máquinas
Linux da DMZ estão rodando sob um HIDS (Host
Intrusion Detection System), o LIDS (http://www.lids.org)
(Linux Intrusion Detection System). Através desta
ferramenta, nós melhoramos a segurança do servidor
consideravelmente, definindo com alto nível de detalhes
a segurança do sistema operacional e de suas
aplicações. Através do LIDS é possível, por exemplo:
• Redefinir os poderes do root dentro do sistema;
• Ocultar processos do sistema, tanto para o root
quanto para outros usuários;
• Detectar port scans;
• Evitar vários tipos de subversão do sistema.
Para implementar mais uma camada de segurança
instalamos o Clamav antivírus (http://www.clamav.net/)
para monitorar os arquivos dos servidores. Caso exista
um servidor de correio, é interessante usar o Spam
Assassin (http://spamassassin.apache.org/), um filtro de
e-mail que pode ser usado para identificar e banir os
spams. Uma solução que vem nos ajudando bastante é
o MailGraph (http://people.ee.ethz.ch/~dws/software/
mailgraph/), que gera relatórios muito interessante a
partir dos logs do Postfix.
O Segundo Firewall
Identificado na figura como B, ele é responsável por
implementar a política de acesso aos segmentos da
rede e fazer o roteamento entre as máquinas. Nele está
definido quem pode, por exemplo, sair do segmento das
estações de trabalho e alcançar um dos servidores
interno. Nesta mesma máquina podemos ter também
uma ferramenta como o WARM (Web Acces Report
Manager), que trabalha em conjunto com o Squid
(http://www.squidcache.org), para gerenciar o acesso a
Web, por parte dos usuários da rede. Para obter
maiores informações sobre o WARM, visite
http://www.triforsec.com.br/defenselayer/produtos/warm/
Evidência Digital - 50
Esta arquitetura também diminui os índices de infecção,
uma vez que se uma máquina for infectada e por sua
vez, ela não tiver permissão para acessar outra
máquina, ela não conseguirá infecta-la.
É muito interessante ter a rede segmentada de acordo
com os objetivos dos grupos de pessoas dentro da rede.
Por exemplo, não é interessante que um funcionário
temporário, que foi contratado para desenvolver uma
aplicação específica, esteja no mesmo segmento que
todas as outras pessoas e servidores, gozando do todos
os recursos que o diretor financeiro possui.
Os sensores IDS (Sistema de Detecção de Intrusão
de Rede)
Diferentemente do sensor instalado no Primeiro Firewall,
estes sensores não interagem com o firewall. Eles
identificam rapidamente os eventos maliciosos entre os
segmentos da rede, utilizando sua base de assinaturas
e os pré-processadores.
Através do DLCC (Defense Layer Central Console), é
possível acompanhar o trabalho de todos os IDSs
individualmente ou simultaneamente, correlacionando
os eventos de todos os sensores. Através desta
correlação é possível, por exemplo, identificar quando
um evento é uma ação isolada ou faz parte de uma
ação distribuída, coordenada. Podemos também
identificar quando uma ação maliciosa começou, por
onde passou e onde foi vista pela última vez e, com
isso, obter um histórico dos passos de algo malicioso na
rede. Tudo isso é possível porque os agentes enviam os
seus logs para um banco e tanto este banco como o
banco dos sensores são lidos pelo DLCC. Para maiores
informações sobre o DLCC, acesse:
http://www.triforsec.com.br/defenselayer/produtos/dlcc/
Os Servidores Internos
Por questões já citadas estes servidores estão
separados em um dos segmentos da rede. Estas
máquinas estão rodando com uma versão Open Source
do Tripwire (http://www.tripwire.org). Resumidamente
falando, o Tripwire bate uma radiografia do seu sistema,
com todos os seus arquivos e com isso ele consegue
detectar qualquer alteração nestes arquivos. Estas
informações são extremamente importantes, não só
para detectar alterações no sistema, mas para auxiliar
os analistas na análise da máquina no “pós-sinistro”. Os
relatórios do Tripwire podem ser enviados por email e
isso é de grande ajuda. Para implementar mais uma
camada de segurança instalamos o Clamav antivírus
(http://www.clamav.net/) nos servidores.
Agradecimentos
Muito obrigado e parabéns a todos aqueles que
contribuem de alguma forma com o desenvolvimento do
Linux, IPTables, LIDS, Tripwire, Snort, Squid, Clamav,
Spam Assassin e de muitas outras ferramentas Open
Source ou Free Software.
Neste documento não tratamos da segurança com os
parceiros através de VPN ou Extranet, não tratamos da
segurança nos hosts, não falamos das boas práticas na
administração dos servidores e nem sobre Hardening
dos mesmos. Nosso objetivo é melhorar este
documento e incluir outras ferramentas que ajude o
nosso trabalho de cada mile-segundo.
:: Rodrigo Ramos
:: rodrigo.ramos@triforsec.com.br
:: Especialista e consultor em Segurança da Informação. Graduado
em Internet e Redes de Computadores e instrutor do curso Detecção
de Intrusão da Triforsec.
Evidência Digital - 51
 Andrey R. Freitas

Links

: About – Computer Certification

Informações sobre certificação.
http://certification.about.com/cs/securitycerts/a/compforensics.htm

: APCF
Associação Nacional dos Peritos Criminais Federais.
http://www.apcf.org.br

: Computer Forensics Community

Informações sobre computação forense.
http://computerforensics.99er.net

: Floppy Disk Forensics

The Honeynet Project.
http://www.honeynet.org/scans/scan24

: JUS Navigandi
Temas jurídicos.
http://www.jus.com.br

: NIC BR Security Office

Brazilian Computer Emergency Response Team.
http://www.nbso.nic.br

: RNP - CAIS
RNP – Centro de Atendimento a Incidentes de Segurança.
http://www.rnp.br/cais

: Sam Spade
Pesquisas via Internet: Whois, DNS, Traceroute...
http://www.samspade.org/t

: University of Delaware Police

Informações sobre computação forense.
http://128.175.24.251/forensics

: Vogon
Computação forense, recuperação de dados e serviços de perícias.
http://www.vogon-computer-evidence.com

Evidência Digital - 52