Notícias Notícias

9.12.2011 | admin

A Forense Digital e a Criptografia

O diretor sênior de gerenciamento de risco da Guidance Software, Andy Spruill escreveu um artigo para a revista Evidence Technology, que é um dos destaques do site da Guidance. Fizemos uma livre tradução do documento. Boa leitura!

O uso da tecnologia de encriptação para proteger os dados do computador está crescendo e esse fato representa um desafio para os investigadores forenses. Sem uma chave de decodificação, ferramentas forenses não podem ser usadas para encontrar evidências digitais. Mesmo com a chave, a busca por dados criptografados pode ser complicada e consumir tempo. Abaixo estão algumas respostas a perguntas comuns sobre as tendências do uso de criptografia e sobre o que os investigadores podem fazer para obter o máximo de evidências partir de um arquivo criptografado ou unidade.

Q: Por que o uso de criptografia está crescendo em popularidade?

A: Empresas e usuários de computador utilizam a criptografia como uma maneira de proteger seus dados confidenciais ou pessoais de violações, mas o usuário médio ainda vê esta tecnologia como dispendiosa de tempo e dinheiro para a sua implementação. Então, a mudança para a criptografia não é um movimento dos usuários, necessariamente. Ao contrário, é proveniente de empresas de hardware e software que estão incorporando a tecnologia de criptografia em seus produtos. O BlackBerry é um bom exemplo porque todos os seus dados são criptografados e essa proteção é automática. Mais importante, o uso da tecnologia de criptografia é completamente invisível para o usuário.

Q: Qual é o impacto de criptografia em investigação forense?

R: Como investigadores, nós somos limitados às informações sobre o dispositivo que podemos acessar. Se um disco rígido é totalmente criptografado, não temos acesso fácil aos dados armazenados e as nossas opções de investigação tornam-se limitadas. A primeira coisa que um investigador deve fazer é determinar o nível e a extensão da criptografia. Senhas fracas podem ser quebradas, mas se o usuário possui uma senha forte, torna-se quase impossível o acesso através de métodos de força bruta. Pode ser que apenas alguns arquivos sejam criptografados e possam existir cópias descriptografado em outros lugares do dispositivo. O usuário também pode ser uma criatura de hábitos e usar o mesmo conjunto de senhas. Essas senhas podem ser rapidamente localizadas em formatos facilmente decifráveis em todo o sistema. Em todos os casos, porém, digo aos investigadores que evidências digitais são apenas uma parte do corpo de provas em um caso. Não caia em uma armadilha onde você gasta muito tempo tentando decifrar um item potencialmente probatório, quando valiosos dados não criptografados podem ser encontrados, basta continuar o seu exame.

Q: Existem mais criminosos mais se voltando para a criptografia?

R: Não, em nossa experiência. Novamente, a maioria dos usuários, incluindo criminosos, gostam da ideia, mas eles simplesmente não têm o conhecimento ou paciência para implementar a criptografia em uma base contínua de uso. A maioria dos arquivos criptografados que nos deparamos é proveniente de sistemas corporativos. Isso nos permite aproveitar as ferramentas de software e hardware que eles já têm para acessar facilmente os dados. Uma vez que os dados são descriptografados um investigador pode aplicar um conjunto de ferramentas forenses para reunir e analisar os dados armazenados.

Q: Existe uma maior chance de danificar ou corromper evidências criptografadas?

A: Há sempre uma pequena chance quando se trabalha com mídia eletrônica que os dados possam ser danificados ou corrompidos. O melhor conselho que posso dar é para tornar o seu procedimento de manipulação de evidências razoável e defensável. Razoável significa usar as ferramentas padrão da indústria. Defensável significa que você deve cuidadosamente documentar o processo.

A maior preocupação é que todos os dados na unidade devem ser decifrados, o que pode levar horas. Enquanto você trabalha um drive para descriptografar dados, esse drive pode falhar. Assim, é importante ter certeza de que sua ferramenta forense suporta dados criptografados, o que torna o processo mais transparente, contribuindo para a garantia do procedimento.

Q: Que novas técnicas os pesquisadores precisam considerar quando se deparam com uma unidade criptografada?

R: Para muitos pesquisadores esta é uma nova área. Primeiro, eles devem tentar determinar a extensão da criptografia. Existem muitas ferramentas que lhe permitem criptografar o disco rígido inteiro, uma parte do espaço em um disco, ou até mesmo arquivos individuais. Um investigador deve primeiro determinar se o disco todo é criptografado, se não, ele pode procurar por arquivos criptografados. Se softwares de criptografia como Encrypt ou TrueCrypt estão no Drive, então há uma expectativa razoável de que o usuário possa ter criptografado parte do conteúdo. Examinadores podem analisar o uso dessas aplicações e aprender apenas quantas vezes e quando um programa de criptografia foi executado. Isso pode levar a uma busca por outros arquivos digitais que estavam sendo acessados no mesmo período.

Se houver informações criptografadas no disco, o próximo passo é a utilização de senhas conhecidas. Até agora os tribunais nos Estados Unidos têm sido relutantes para forçar os réus a divulgarem suas senhas pessoais, mas as pessoas são criaturas de hábito e tendem a usar um único e pequeno conjunto de senhas para tudo. Esses conjuntos podem ser encontrados em muitos lugares no disco rígido onde são facilmente decifrados. Por exemplo, muitos navegadores permitem ao usuário armazenar suas senhas em vários sites. O repositório onde são armazenadas as senhas é geralmente fácil de quebrar.

O pesquisador tem mais opções se determinados arquivos são criptografados. Computadores são redundantes por natureza. Os dados que estão dentro do volume criptografado teve que vir de algum lugar (outro dispositivo, por exemplo) ou pode ser espalhados por todo o disco fora do arquivo criptografado.

Por exemplo, o Microsoft Word grava automaticamente cópias de um documento para um disco rígido enquanto ele está sendo modificado. Desta forma, o usuário tem um backup se o computador falhar. Quando esse documento for fechado, o programa exclui todas as versões temporárias. Se você criptografar o documento e excluir o documento original, a máquina ainda tem os arquivos apagados que podem ser acessados usando forense. Outro exemplo: Quando um suspeito trabalha com fotos digitais, imagens em miniatura estão sempre sendo criadas. Encontrar cópias não-criptografadas de arquivos não será sempre possível, mas os investigadores podem e devem procura-las em todos os dispositivos relevantes.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653