v3 - laudo técnico - caso 6 - grupo charlie
TRANSCRIPT
GRUPO CHARLIE
LAUDO TÉCNICO DE FORENSE COMPUTACIONAL
Caso: Cenário 6
PERITOS
ANDERSON RICARDO DE FARIA CORREA
FELIPE MATEUS TOLEDO MELO
MARCELO ANDERSON FERREIRA MACIEL
São Paulo, 23 de janeiro de 2014.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 2 de 26
CORREA, Anderson Ricardo de Faria
MELO, Felipe Mateus Toledo
MACIEL, Marcelo Anderson Ferreira
Laudo Técnico de Forense Computacional do Cenário 6 – São Paulo, 2014, 26p.
Trabalho de conclusão de curso (TCC), para obtenção de grau de Especialização em Forense Computacional. – Faculdade Impacta de Tecnologia. Curso Superior de Pós-Graduação em Perícia Forense Computacional: Investigação de Fraudes e Direito Digital, 2014.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 3 de 26
Sumário
VISÃO ......................................................................................................................................... 5
Quem somos .......................................................................................................................... 5
Breve resumo do histórico dos peritos: .................................................................................. 6
OBJETIVO .................................................................................................................................. 7
Impedimentos ......................................................................................................................... 7
PROCESSO DE COLETA .......................................................................................................... 8
EXAME ....................................................................................................................................... 9
Ferramentas utilizadas ........................................................................................................... 9
ANÁLISE .................................................................................................................................. 10
Metodologia aplicada ............................................................................................................ 10
Informações da mídia de aquisição ...................................................................................... 10
Time Zone ............................................................................................................................. 10
Informações do disco rígido coletado ................................................................................... 10
INVESTIGAÇÃO ...................................................................................................................... 11
Identificação do Sistema Operacional .................................................................................. 11
Hora e data do último logon do sistema ............................................................................... 11
Identificação do nome da máquina e do domínio ................................................................. 11
Conexões de rede em uso.................................................................................................... 12
Documentação dos softwares instalados na máquina ......................................................... 12
RESPOSTAS AOS QUESITOS ............................................................................................... 13
Quesito 1: Há informações com a classificação de sigiloso ou confidencial? ..................... 13
Quesito 2: Existem relatórios de incidentes de segurança na máquina? ............................ 13
Quesito 3: Há alguma evidência que indique desconformidade no uso dos recursos computacionais? ................................................................................................................................ 13
Quesito 4: Há arquivos de pacotes de dados TCP perdidos na máquina? ......................... 16
Quesito 5: Nos pacotes PCAP, há algum que tenha indício de comunicação VOIP entre as informações trafegadas? Se sim, qual o IP de origem e o de destino? ............................................ 16
CADEIA DE CUSTÓDIA .......................................................................................................... 17
ATA NOTARIAL ....................................................................................................................... 18
Timesheet ................................................................................................................................. 19
Anexos ...................................................................................................................................... 20
Anexo 1 – Documentos com o termo “Sigiloso” ................................................................... 20
Anexo 2 – Documentos com o termo “Confidencial” ............................................................ 20
Anexo 3 - Arquivos Deletados .............................................................................................. 21
Anexo 4 - Software Pirata ..................................................................................................... 21
Anexo 5 - Baixou Thor .......................................................................................................... 21
Anexo 6 - Confidencial .......................................................................................................... 21
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 4 de 26
Anexo 7 - Informações da Máquina ...................................................................................... 22
Anexo 8 - Pendrive de Aquisição ......................................................................................... 25
Anexo 9 - Informações do HD .............................................................................................. 26
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 5 de 26
VISÃO
Quem somos
Somos o Grupo Charlie, que atua no mercado de investigação de fraudes
digitais e perícia forense computacional há 5 anos. A seguir, um breve histórico de
formação dos peritos que investigaram este caso.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 6 de 26
Breve resumo do histórico dos peritos:
Anderson Ricardo de Faria Correa
Analista de Sistemas, com formação Técnica em Informática pelo Instituto
Técnico Brasílio Flores de Azevedo.
Possui formação e título de Tecnólogo em Análise e Desenvolvimento de
Sistemas pela Faculdade Impacta de Tecnologia.
É estudante de Investigação e Prevenção a Fraudes e Direito Digital no curso
de Pós Graduação em Forense Computacional pela Faculdade Impacta de
Tecnologia.
Foi Gerente de TI, tendo como principais funções a de Arquiteto de Software,
Analista de Infraestrutura e Chefe de Segurança da Informação, na Vegus. Com
mais de 6 anos de experiência, trabalhou como Desenvolvedor de Software, Analista
de Requisitos, Analista de Infraestrutura e Banco de Dados.
Felipe Mateus Toledo Melo
Foi analista de Investigação e Prevenção a Fraudes, há 4 anos trabalhando
no segmento de e-commerce.
Possui formação e título de Tecnólogo em Processos Gerenciais pela
Universidade Nove de Julho.
É estudante de Investigação e Prevenção a Fraudes e Direito Digital no curso
de Pós Graduação em Forense Computacional pela Faculdade Impacta de
Tecnologia.
Marcelo Maciel
Foi analista de Redes de Computadores há 5 anos, suportando ambientes de
grandes provedores de telecomunicações internacionais.
Formado em Sistemas de Informação pelo Instituto Adventista São Paulo –
Campus III.
É estudante de Investigação e Prevenção a Fraudes e Direito Digital no curso
de Pós Graduação em Forense Computacional pela Faculdade Impacta de
Tecnologia.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 7 de 26
OBJETIVO
Conforme solicitado pela CPI de Controle de Acesso Criminoso à Redes
Públicas o objetivo desta perícia é procurar por informações sigilosas e confidenciais
que porventura estejam armazenadas de maneira descriptografada na máquina
disponibilizada pela empresa Secure Info Ltda ME, que realiza análise de incidentes
de segurança em máquinas de órgão públicos, além disso deseja-se verificar
artefatos que comprovem o uso inadequado às políticas de segurança da
informação da empresa.
Impedimentos
Declaramos que os peritos que fazem parte desta investigação não possuem
nenhuma ligação íntima com o investigado, portanto não há como declarar
impedimento ou suspeição.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 8 de 26
PROCESSO DE COLETA
No dia 09 de Dezembro de 2013 as 11:00, a equipe de peritos compareceu a
empresa Secure Info Ltda ME no endereço Praça da Sé, 385 / São Paulo - SP,
acompanhados do Diretor Anfrísio Luiz dos Santos e do escrevente Aurélio Adriano
Costa do Nascimento, do 26º Tabelionato de Notas de São Paulo, para efetuar o
processo de aquisição do disco rígido da máquina que foi disponibilizada pela
empresa.
Ao chegar no estabelecimento, nos deparamos com a equipe trabalhando,
momento este em que o Diretor entrou na sala e disponibilizou o computador para
análise pela equipe de peritos. O computador em questão é de utilização única e
exclusiva do funcionário Bruno da Silva Costa, que estava de férias no momento da
coleta. O referido dispositivo encontrava-se desligado e não haviam dispositivos
externos ou mídias (hd externo, pendrive, disquete, SD Cards, CD/DVD/Bluray)
conectados ao mesmo, como também não haviam webcam, microfones, fones de
ouvido ou caixas de som ligados ao computador. O gabinete do computador
apreendido é do tipo torre, da marca Dell, registrado sob nº de série CTFSZX1.
Primeiramente foram efetuadas fotos do ambiente e do computador alvo da
perícia. Conforme imagens anexas, é possível observar o estado original do
computador antes do início da aquisição pelo Grupo Charlie.
O computador foi desligado da tomada para evitar qualquer possibilidade do
mesmo iniciar o sistema operacional, comprometendo desta forma a prova.
Após a abertura do gabinete do computador, efetuou-se a retirada do disco
rígido, onde este foi acoplado na unidade de duplicação de disco com um
bloqueador de escrita e a aquisição feita pelo software FTK Imager.
Feito esse processo, foi dado por finalizado o processo de aquisição de
dados.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 9 de 26
EXAME
Ferramentas utilizadas
A investigação foi realizada com base em ferramentas específicas de forense
computacional entre outras ferramentas. Segue abaixo a lista das ferramentas
utilizadas:
FTK Imager versão 3.1.4 – http://www.accessdata.com/
OSForensics versão 2.2.1000 – http://www.osforensics.com/
Net Witness – http://brazil.emc.com/security/rsa-netwitness.htm/
Wireshark – http://www.wireshark.org/
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 10 de 26
ANÁLISE
Metodologia aplicada
Utilizamos a metodologia post-mortem, que consiste em efetuar uma cópia
binária (cópia fiel do conteúdo de armazenamento da mídia) utilizando ferramentas
homologadas para este fim. Utilizamos o formato E01 com o auxílio de um
bloqueador de escrita, para evitar a alteração da integridade da prova.
Informações da mídia de aquisição
As informações da mídia preparada para receber o conteúdo da prova podem
ser visualizadas conforme anexo 8.
Time Zone
O Time Zone utilizado para a investigação foi GMT -3:00.
Informações do disco rígido coletado
Informações técnicas relacionadas ao disco rígido em análise podem ser
verificadas no anexo 9.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 11 de 26
INVESTIGAÇÃO
Identificação do Sistema Operacional
Através da chave de registro localizada em \Windows\System32\Config\SOFTWARE\ Microsoft\Windows NT\CurrentVersion, identificou-se o seguinte:
Nome do sistema operacional: Microsoft Windows XP, com Service Pack 3
Versão do sistema operacional: 5.1
Id do produto: 55274-640-1199294-23693
Identificou-se também que o diretório de instalação está localizado em C:\WINDOWS, onde é possível identificar a estrutura de pasta C:\WINDOWS\Documents and Settings, estrutura esta que reforça a afirmativa de o sistema operacional ser o Windows XP.
Esta informação também pode ser averiguada em \WINDOWS\system32\prodspec.ini.
Hora e data do último logon do sistema
Através da chave de registro localizada em \Windows\System32\Config\SAM\Domains\Account\Users identificou-se o usuário que efetuou o último logon, utilizando o TimeZone GMT-3:00:
Usuário: Manutencao (Id: 1003)
Conta criada: 04/02/2013 às 08:44:37
Último logon: 06/02/2013 às 14:32:28
Quantidade de logins: 18
Neste computador, apesar de existir outros usuários cadastrados, somente o usuário Manutencao o utilizava, pois não há registro de logons com outros usuários.
Identificação do nome da máquina e do domínio
Conforme informação na chave de registro: SYSTEM\CurrentControlSet002\Services\Tcpip\Parameters foi possível identificar as seguintes informações:
Hostname: LAB-06-ALKAMAI
Domínio: Máquina não participava de nenhum Domínio do Active Directory
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 12 de 26
Conexões de rede em uso
Conforme informação nas chaves de registro:
SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{B6CA8044-1C2F-4A5A-8B3D-D7B17AB656D3} e
HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CEBFC1-
08002BE10318}\ B6CA8044-1C2F-4A5A-8B3D-D7B17AB656D3 identificamos os dados de conexões de rede abaixo:
Nome: “Local area network” (Id: {0C2E92E0-E092-43A8-8030-D04BC1A517B2})
Definida por DHCP
IP: 192.168.101.132
Máscara de rede: 255.255.255.0
Servidor DHCP: 192.168.101.254
Servidor DNS: 192.168.101.1
Não haviam outras conexões de rede
Documentação dos softwares instalados na máquina
De acordo com informações obtidas da chave de registro: HKLM\software\Microsoft\Windows\Current Version\Uninstall segue lista de softwares instalados na máquina:
Microsoft Office Enterprise 2007 (Access, Excel, Power Point, Publisher, Outlook, Word, Infopath, OneNote. Versão 12.0.4518.1014
VMware Tools. Versão 9.2.1.16070
Internet Explorer 8. Versão 20090308.140743.
Netwitness Investigator PE 9.6
VNC Server. Versão 5.0.4
VNC Viewer. Versão 5.0.4
Teamviewer 8. Versão 8.0.16642
WinPcap. Versão 4.1.0.2001
Wireshark (32bit). Versão 1.8.5
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 13 de 26
RESPOSTAS AOS QUESITOS
Quesito 1: Há informações com a classificação de sigiloso ou confidencial?
Sim. Identificamos 40 arquivos que contêm o termo “confidencial” e 14
arquivos com o termo “sigiloso” como é possível verificar nos anexos.
Não há definições por parte da Secure Info, nem mesmo por parte da CPI
sobre a definição de como realizar a classificação de arquivos como sendo
confidenciais ou sigilosos, portanto efetuamos apenas a busca por arquivos que
contenham os termos supracitados.
Além de termos encontrado arquivos que continham o termo “confidencial” e
“sigiloso”, encontramos 3 arquivos com a palavra “Confidencial” no nome do arquivo,
conforme anexos 1 e 2.
Quesito 2: Existem relatórios de incidentes de segurança na máquina?
Não. Realizando a busca por palavras chaves utilizando os termos “Relatório”,
“Incidentes”, “Segurança” e até mesmo analisando manualmente os arquivos do
usuário Manutencao, não identificamos nenhum arquivo que se assemelhe a um
relatório de incidente de segurança que porventura tenha sido confeccionado por um
dos analistas que utilizam esta máquina.
Quesito 3: Há alguma evidência que indique desconformidade no uso dos
recursos computacionais?
Conforme declarado na proposta de serviços de investigação enviado ao
Grupo Charlie, caracterizam-se como desconformidade no uso dos computadores o
armazenamento de informações que identifiquem pessoas como cartão de credito,
número de telefone ou CPF de maneira descriptografada, relatórios de incidentes
que possam descrever métodos de ataques, dumps de tráfego de rede e o uso da
internet, cujo conteúdo fuja do âmbito profissional.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 14 de 26
Informações que identifiquem pessoas:
Conforme verificado, foram localizados os seguintes arquivos:
Diretório: \Windows\Documents and Settings\Manutencao\My Documents\
aprovados_fies_20062.pdf
balanco_financeiro0808.xls
balanco_financeiro1206.xls
6724.doc
Confidencialidade e Sigilo
Relatório de incidentes que possam descrever métodos de ataque:
Não identificamos nenhum relatório de incidente.
Dump de tráfego de rede:
Diretório: \Windows\Documents and Settings\Manutencao\My Documents\
1.pcap
035.pcap
tor.pcap
001.pcap
Vnc.pcap
Diretório: \Windows\Documents and Settings\Manutencao\My Documents\nt
attack
inside.tcpdump.gz inside.tcpdump
outside.tcpdump.gz outside.tcpdump
lbnl.anon-ftp.03-01-10.tcpdump.gz lbnl.anon-ftp.03-01-10.tcpdump
lbnl.anon-ftp.03-01-11.tcpdump.gz lbnl.anon-ftp.03-01-11.tcpdump
Diretório: \\Windows\Documents and Settings\Manutencao\My Documents\
rtp_example.raw.gz
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 15 de 26
Uso indevido da internet:
Foram identificados os seguintes usos em desconformidade:
De acordo com os registros de acessos a internet encontrados no arquivo
\Documents and Settings\Manutencao\Local
Settings\History\History.IE5\index.dat, foram identificados acessos indevidos a
intenet, como: Acesso a sites de hacking (geradores de CPF/CNPJ,
geradores de números de cartões de crédito, mídias sociais, sites de
download de software pirata,
Utilização do Software TOR Browser
Ainda de acordo com o histórico de internet, foi verificado o download do
arquivo tor-browser-2.3.25-2_en-US.exe, que é o executável do software TOR
Browser, que possibilita a navegação na internet sem os filtros de controles
corporativos.
Foi identificado o arquivo instalador salvo no caminho \Documents and
Settings\Manutencao\My Documents\Downloads.
Foi identificada a pasta “Tor Browser”, que é o conteúdo após execução do
arquivo tor-browser-2.3.25-2_en-US.exe.
Foram identificados variados arquivos pessoais salvos no
caminho:\Documents and Settings\Manutencao\My Documents
a) aprovados_fies_200602.pdf
b) RosaRibeiroClaudiaCunhaEvaFanzeres1.doc
c) controlepessoal.xls
d) Controle Financeiro.xls
e) cronograma-fisico-financeiro.xls
f) ddcNaoreembolsavel.xls
g) despesas_pessoais.xls
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 16 de 26
Quesito 4: Há arquivos de pacotes de dados TCP perdidos na máquina?
Sim. Conforme o quesito respondido anteriormente, foram localizados 10
arquivos de pacotes de dados no objeto da perícia, sendo que 5 deles possuem
extensão .pacp, 4 deles possuem extensão .tcpdump e 1 que possui extensão .raw.
Quesito 5: Nos pacotes PCAP, há algum que tenha indício de comunicação
VOIP entre as informações trafegadas? Se sim, qual o IP de origem e o de
destino?
Sim, foi possível identificar uma comunicação VoIP nos arquivos de captura
de dados encontrados na máquina.
No arquivo merged_voip_roaming_session.pcap foi possível identificar as
seguintes informações:
IP de origem: 192.168.213.140
IP de destino: 192.168.213.151
Porta TCP de comunicação: 8000
Protocolo: RTP
Mesmo não sendo um arquivo PCAP conforme o solicitado no quesito, no
arquivo rtp_example.raw.gz, que também é uma forma de armazenamento de
captura de dados, foi possível identificar as seguintes informações:
IP de origem: 10.1.3.143, Porta TCP de comunicação: 5000
IP de destino: 10.1.6.18, Porta TCP de comunicação: 2006
Protocolo: RTP
Codec: g711A
Codec: g711U
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 17 de 26
CADEIA DE CUSTÓDIA
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 18 de 26
ATA NOTARIAL
Objeto: Verificação da coleta da evidência digital na empresa Secure Info Ltda ME.
Saibam todos os que virem esta ata notarial que ao nono dia do mês de dezembro de dois mil e treze (09/12/2013), às 11h00min (hora legal brasileira), em São Paulo, SP, República Federativa do Brasil, no 26º Tabelionato de Notas de São Paulo, eu, Aurélio Adriano Costa do Nascimento, escrevente autorizado pelo Tabelião, recebo a solicitação verbal dos peritos forenses Anderson Correa, Felipe Melo e Marcelo Maciel, representando a empresa Grupo Charlie, cadastrada sob o CNPJ 11.669.325/0001-88. Reconheço a identidade do presente e sua capacidade para o ato, dou fé. Verifico e presencio o seguinte: PRIMEIRO - a partir das 11h15min (hora legal brasileira), a equipe de peritos compareceu à empresa supracitada, localizada no endereço Praça da Sé, 385, São Paulo/SP CEP 01001-0000, acompanhado do Diretor Anfrísio Luiz dos Santos e deste que vos escreve, para efetuar a processo de aquisição da do disco rígido da máquina que foi disponibilizada pela empresa, que dou fé. SEGUNDO – Nada mais havendo, lavro a presente ata para os efeitos do inciso IV do art. 334 do Código de Processo Civil Brasileiro e de acordo com a competência exclusiva que me conferem a Lei nº 8.935/1994, em seus incisos III dos arts. 6º e 7º e art. 364 do Código de Processo Civil Brasileiro. Ao final, esta ata foi lida em voz alta, achada conforme e assinada pelo solicitante e por mim. Escrita pelo escrevente Aurélio Adriano Costa do Nascimento e assinada pelo Tabelião substituto Hélcio Thales Pavan Bertoldo. Dou fé.
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 19 de 26
TIMESHEET
Preparação 20 horas
Visita e aquisição 6 horas
Registro de evidências da aquisição 9 horas
Investigação e respostas ao quesitos 100 horas
Laudo técnico 50 horas
Total: 185 horas
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 20 de 26
ANEXOS
Anexo 1 – Documentos com o termo “Sigiloso”
Anexo 2 – Documentos com o termo “Confidencial”
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 21 de 26
Anexo 3 - Arquivos Deletados
Anexo 4 - Software Pirata
Anexo 5 - Baixou Thor
Anexo 6 - Confidencial
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 22 de 26
Anexo 7 - Informações da Máquina
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 23 de 26
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 24 de 26
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 25 de 26
Anexo 8 - Pendrive de Aquisição
Laudo Técnico de Forense Computacional São Paulo, 23/JAN/2014 Grupo Charlie CENÁRIO 6
p. 26 de 26
Anexo 9 - Informações do HD
______________________________________________
ANDERSON RICARDO DE FARIA CORREA
______________________________________________
FELIPE MATEUS TOLEDO MELO
______________________________________________
MARCELO ANDERSON FERREIRA MACIEL