ARTIGOS PUBLICADOS - ICoFCS 2015
Contents
1. C llculo dos formantes F1 e F2 Tabelas com valores de ZCR FO F1 F2e intensidades www ICoFCS org 2015 Entrada toda a Descarte de amostras nuvem de pontos DeteciPlo de picos e vales nas distribuiPl es de F1eF2 Nuvem de pontos resultantes IdentificaRRlo do formante F1 ou F2 com mais picos DetecPPlo de picos nas Grilficos e relatBlrios regil es entre vales SelerRlo de centros provisBlrios com mlhimo de pontos Fim InicializaPPlo do mbltodo k means Descarte de clusters sem mBhimo de pontos Saia centros e nova nuvem de pontos Fluxograma dos algoritmos implementados A numera o indicada ao lados dos blocos corresponde aos itens descritos na subse o III B pelas rotinas do Praat s o carregadas e salvas em ma trizes Realiza se em seguida a etapa de sele o das amostras a terem os valores de formantes considerados Inicialmente s o eliminadas as que apresentem taxa de passagem por zero ZCR maior que 0 5 50 do valor m ximo por apresentarem baixa probabilidade de serem voz Nos blocos n o descartados anteriormente mas nos quais n o houve detec o de frequ ncia fundamental os valores dos formantes s o desconsiderados Em seguida utiliza se a fun o de busca por centroides fun o explicada a seguir em que s s o mantidos os pontos que perten am a um cluster agrupamento de tama nho m nimo2. 17 32 2E 33 30 2E 32 30 2E 32 31 5D OD OA 12 30 20 21 N 7 A A 4 4 4 4 4 04 30 14 35 31 025767 0 15 5D 47 1 8 gt CA 1C DA 84 5 98 type 0x800 len 0x4E 172 30 20 100 38237 gt 172 30 20 21 21 TCP TTL 64 TOS 0x10 1D 20270 IpLen 20 DgmLen 64 DF weeADAW Seg 0x9CE3029C Ack 0xC9C4D44D Win OxES Tecplen 32 TCP Options 3 gt NOP NOP TS 4021758 407010 55 53 45 52 20 6C 75 69 TA 61 OD OA e e e e da DG S 4545 S 45 StS GA GAS GA GOA RSS 04 30 14 35 34 355120 0 15 5D 47 1 8 gt CA 1C DA 84 5 98 type 0x800 len 0x53 172 30 20 100 38237 gt 172 30 20 21 21 TCP TTL 64 TOS 0x10 1D 20272 IpLen 20 Domlen 6 DF RRRADR Seg 0x9CE302A8 Ack 0xC9C4D46 Win OxES TepLen 32 TCP Options 3 gt NOP NOP TS 4022591 411184 _ _ 50 41 53 53 20 73 65 6E 68 61 6C 75 69 TA 61 Y pass senhaluiza A OR am A 45 S45 S tS 45 SS GA O GR SR AO A SR SR Fig 16 Captura do ataque em hexadecimal e ASCII no Honeypot FTP Dentre as informa es obtidas pode se verificar endere o MAC 00 15 5D 47 01 08 endere o IP 172 30 20 100 e porta de origem 38237 da m quina que estava atacando a porta de destino 21 a vers o do servidor FTP ProFTPD 1 3 4a o usu rio luiza e a senha senhaluiza utilizados pelo intruso para realizar a autentica o no servidor DRA GA GE SA GRASS ASA AAA A SAS SA 04 30 14 36 10 290380 0 15 5D 47 1 8 gt CA 1C DA 84 5 08 type 0x800 len 0x52 172 30 20 100 38237 gt 1
3. Revista Forbes Shopping For Zero days A Price List For Hackers Secret Software Exploits Edi o de 23 de marco 2012 HP Research Cybercrime Costs Rise Nearly 40 Percent Attack Frequency Doubles Publicado em 08 de outubro de 2012 Symantec Labs 2014 Internet Security Threat Report Volume 19 Publicado em Abril de 2014 Goncharov Max The Russian Underground Revisited Cybercriminal Underground Economy Series A Trend Micro Research Paper Publicado em 28 de abril de 2014 Dispon vel em http www trendmicro com cloud content us pdfs security intelligence white papers wp russian underground revisited pdf Frei Stefan The Known Unknowns Empirical Analysis of Publicly Unknown Security Vulnerabilities Analyst Brief NSS Labs 05 de Dezembro de 2013 Metasploit The Metasploit Project Rapid7 2015 Dispon vel em http www metasploit com O Gorman Gavin McDonald Geoff Symantec Security Response 06 Sep 2012 The Elderwood Project Fidler Mailyn Anarchy or Regulation Controlling the Global Trade in Zero Day Vulnerabilities Thesis submitted to the Interschool Honors Program in International Security Studies Center for International Security and Cooperation Freeman Spogli Institute for International Studies Stanford University May 2014 Walker Danielle NSA sought services of French security firm zero day seller Vupen SC Magazine September 18 2
4. 3 Coleta de Dados A coleta de dados um requisito aplicado em organiza es que possuam v rias honeynets em ambientes distribu dos Neste caso todos os dados capturados dever o ser transferidos a uma coletora central para armazenamento e para poderem ser correlacionados e aumentar a efetividade das honeynets de captura Conforme 10 se a honeynet faz parte de um ambiente distribu do ent o quatro requisitos espec ficos para coleta de dados devem ser aplicados Cada honeynet dever ter um identificador nico Os dados dever o ser transmitidos dos sensores para uma coletora de forma segura garantido sua confidencialidade integridade e autenticidade O anonimato dos dados dever ser garantido e Um servi o de sincroniza o de rel gios como o Network Time Protocol NTP dever ser utilizado para garantir que os dados capturados na honeynet distribu da estejam devidamente sincronizados B Honeynets Reais As honeynets reais fornecem sistemas operacionais reais com quem os intrusos possam interagir O objetivo dessa intera o aprender como os intrusos invadem os sistemas como se comunicam e qual a finalidade do ataque 3 10 e 11 Estas informa es podem ser de extrema import ncia para que rg os Governamentais compreendam e protejam seus sistemas contra amea as e ataques Neste tipo de honeynet todos os dispositivos e mecanismos de seguran a honeypots conten o alerta e coleta de info
5. CyberSource 2012 online fraud report Tech Rep 2012 Y Bresler and A Macovski Exact Maximum Likelihood Estimation of Superimposed Exponentials Signals in Noise JEEE ASSP Magazine vol 34 pp 1081 189 1986 P Stoica and A Nehorai A Novel Eigenanalysis Method for Direction Estimation in Proceedings IEEE F 1990 A J Barabell Improving the Resolution Performance of Eigenstruc tured Based Direction Finding Algorithms in Proceedings of ICASSP 83 1983 A P Dempster N M Laird and D B Rubin Maximum Likelihood from Incomplete Data via the EM Algorithm J Royal Statistical Soc B vol 39 no 1 1977 T K Moon The Expectation Maximization Algorithm IEEE Signal Processing Magazine November 1996 G J McLachlan and T Krishnan The EM Algorithm and Extensions John Wiley amp Sons Inc New York 1997 M Miller and D Fuhrmann Maximum Likelhood Narrow Band Direc tion Finding and the EM Algorithm IEEE Transactions on Acoustics Speech and Signal Processing vol 38 pp 1560 1577 1990 J A Fessler and A O Hero Space Alternating Generalized Expectation Maximization Algorithm JEEE Transactions on Signal Processing vol 42 no 10 October 1994 3 4 5 6 7 8 9 10 11 12 13 14 35 www ICoFCS org 2015 F A Dietrich A Tutorial on Channel Estimation with SAGE Tech nical Report TUM LNS TR 06
6. A figura 1 exemplifica poss veis altera es no formato dos caracteres As elipses em vermelho real am as diferen as das letras Apesar de ser relativamente f cil comparar a primeira linha com a segunda deve ser considerado que as diferen as ser o pequenas a quantidade de letras ao redor ser grande e o tamanho das letras ser menor que o exemplo da figura 1 abce abce Fig 1 Exemplo de caracteres com formas diferentes Definido a marca d gua ent o poss vel inserir o elemento de seguran a ao texto a ser protegido As figuras 2 e 3 ilustram o diagrama de inser o e recupera o das imagens nos documentos As figuras exemplificam a utiliza o de um pre mbulo adicionado ao c digo identificador xx230932xx Watermarking Jl Algoritmo Insert WM Tr As pessoas que se comprazem no sofrimento que gostam de sentir se infelizes e fazer aos outros infelizes jamais poder o orgulhar se de sua beleza O mau humor o sentimento de frustra o a amargura marcam a fisionomia apagam o brilho dos olhos cavam sulcos na face mais jovem enfeiam qualquer rosto Essa a raz o porque a mulher que cultiva a beleza deve esfor ar se para ser feliz Felicidade estado de alma atmosfera n o depende de fatos ou circunst ncias extemas Texto Watermarking As pessoas que se comprazem no sofrimento que gostam de sentir se infelizes e fazer aos outros infelizes jamais Hoder o orgulha se
7. De fato em estudo conduzido h pouco tempo pela Swansea University 2 36 dos entrevistados admitiram ser muito importante que tomadores de decis o policymakers tivessem uma resolu o das quest es de defini o em torno de terrorismo e 35 marcaram como quase essencial a necessidade de uma defini o espec fica de Ciberterrorismo para os mesmos Ademais 87 dos entrevistados considerou como elemento caracter stico do Ciberterrorismo a motiva o pol tica e ideol gica Sob esse prisma talvez o que possa ser mantido para as an lises do Ciberterrorismo seja os quatro motivos cl ssicos que impulsionam atividades terroristas 1 terrorista com s um foco ou seja a motiva o deles vem de um assunto em particular como os direitos dos animais 2 terroristas ideol gicos que usam da viol ncia para promover sua ideologia politica a qual se pauta nos extremos da direita ou da esquerda 3 terroristas nacionalistas os quais buscam independ ncia de um dado Estado ou entrar de um Estado para outro por raz es tnicas ou geogr ficas e 4 terroristas politico religiosos que podem se tornar letais dado que entendem suas a es como atos sob ordens divinas 3 Por outro lado como Awan 4 explica dado que tipos de comportamento podem ser ligados a problemas e movimentos sociais isso nos permite olhar para o Ciberterrorismo atrav s das lentes da mudan a social Nesse sentido pensar em motivos nos leva a tentar e
8. E DVD drives Honeypot FTP 0 of 1 CPU Eg Local storage R Cabula S Removable storage Honeypot XP SP3 1 of 1 CPU ES Imbui e Honeypot WEB 0 of 1 CPU ES ltapua _ Honeypot NTP 0 of 1 CPU EH Ondina ns Honeypot DNS 0 of 1 CPU ES Pituba D HoneyWall 24 of 2 CPUs Ef Preto Teste Ataque 0 of 1 CPU lt Fig 2 Ger ncia do XenServer com XenCenter Conforme a Figura 1 o ambiente possui tr s redes distintas a internet uma rede n o confi vel lugar de onde v m os ataques a rede honeynet 172 30 20 0 24 integrada por um conjunto de honeypots para serem comprometidos e a rede de ger ncia 172 30 10 0 24 para ger ncia do honeywall e XenServer O honeywall 14 15 foi configurado com tr s interfaces virtuais A primeira interface virtual ethO comunica se com o firewall IP 172 30 20 1 A segunda interface virtual eth utilizada para se comunicar com a rede honeynet As duas interfaces virtuais eth0 e eth1 est o configuradas como bridge camada 2 portanto n o possuem endereco IP Por fim a terceira interface eth2 IP 172 30 10 30 utilizada para ger ncia e coleta de dados do honeywall Vale ressaltar que o www ICoFCS org 2015 funcionamento deste dispositivo na camada 2 apresenta duas grandes vantagens a primeira que n o h hops de roteamento nem decremento do TTL Time To Live no cabe alho IP a segunda vantagem a dificuldade por parte dos intrusos em detecta
9. PABX para cada n mero de telefone a ser monitorado Nesse momento o Sistema Guardi o est pronto para registrar passivamente os udios desviados pela operadora por meio do Sistema Vigia Na etapa seguinte envia se uma solicita o juntamente com o mandado judicial para a operadora de telefonia Nela s o informados quais telefones dever o ser interceptados e em quais canais de desvio os respectivos udios dever o ser enviados Geralmente dado um prazo judicial de 24 horas para que a operadora configure os desvios de canal Somente a partir dai o Guardi o passa a receber as intercepta es Durante as grava es as conversas podem ser acompanhadas em tempo real pelas equipes de investiga o Expirado o prazo da intercepta o solicitada a operadora encerra o desvio dos n meros alvos para as linhas monitoradas pelo Sistema Guardi o A figura 1 apresenta os agentes envolvidos procedimentos de intercepta o descritos anteriormente nos Poder ea Judici rio Intercepta liga es ou acesso internet Sistema Guardi o Autoridade Analise Solicitante e Encaminha dados para Sistema Guardi o Sistema Vigia Mandado Judicial Minist rio P blico Operadoras de Telefonia e Provedores de Acesso Figura 1 Agentes envolvidos nas interceptac es telef nicas compilac o do passo a passo dispon vel no site do Guardi o 3 110 www ICoFCS org 2015 IV DOS QUESTIONAMENTOS DA D
10. gt gt gt gt gt 7 gt gt gt Al m da consulta de localiza o do geoiplookup outras ferramentas para levantamento de dados podem ser utilizadas geoip nslookup wget e whois O Quadro 5 apresenta um exemplo de resultado da consulta whois 58 www ICoFCS org 2015 QUADRO 5 RESULTADO DA CONSULTA DO COMANDO WHOIS whois 177 193 12 107 177 192 14 AS28573 GRSVI NET Servicos de Comunicacao S A 000 108 786 0001 65 Grupo de Seguranca da Informacao Virtua BR GRSVI GRSVI inetnum aut num abuse c owner ownerid responsible country owner c tech c gt gt gt gt gt gt gt gt gt gt Pa A Tabela 2 mostra o resultado consolidado das coletas realizadas em 3 jogos distintos nos quais houve a participa o do usu rio alvo com os dados de IP de localiza o e do provedor de conex o TABELA II RESULTADO DA AN LISE DOS IPS COLETADOS Jogo 1 Jogo 2 Jogo 3 Provedor Cidade 54 9 9 4 Woodbridge NJ USA 177 133 29 165 177 133 29 165 GVT Sobradinho DF 177 143 201 90 Virtua Farroupilha RS 177 4 237 10 Brasil Telecom S A Filial DF 177 17 138 229 GVT Bras lia DF 177 32 41 148 Virtua Sao Paulo SP 177 41 254 5 GVT Joinville SC 177 42 208 116 GVT Salvador BA 177 80 118 68 Virtua Sao Paulo SP 177 96 164 233 GVT Palhoga SC 177 96 177 158 GVT Curitiba PR 177 96 38 186 GVT Palhoca
11. o de Vulnerabilidades do Espaco Cibern tico Robson de Oliveira Albuquerque Rafael Tim teo de Sousa J nior e Joao Paulo C Lustosa da Costa Departamento de Engenharia El trica Universidade de Brasilia UnB Campus Universit rio Darcy Ribeiro Asa Norte 70910 900 Brasilia DF Brasil robson redes unb br Resumo O espaco cibern tico a base de sustentac o de m ltiplos setores da economia constituindo se como fonte de gerac o de recursos e capitais bem como a projec o de poder de varios Estados Logo se tornou comum explorar vulnerabilidades da informac o neste ambiente As ferramentas de explorac o de vulnerabilidades encontram se no centro de um processo de produc o e comercializac o que com seus diversos atores constituem um mercado a parte E importante para o profissional de seguran a da informa o e combate ao cibercrime ter conhecimento desse mercado espec fico no sentido de organizar prote es de sistemas de informa o e tamb m realizar investiga es de evid ncias do cibercrime Neste artigo apresentam se as defini es dos elementos b sicos desse mercado al m de um levantamento de algumas das principais empresas participantes As conclus es apontam a necessidade de forte planejamento para correta atua o nessa rea Abstract Cyberspace is now essential to support multiple economy sectors as it constitutes a source of resources and wealth as well as representing the p
12. o de cada vogal Dessa forma cada vogal cor responde a uma configura o do trato vocal interferindo diretamente nos valores dos formantes O formante Fi diz respeito posi o da l ngua no eixo vertical e F gt sua posi o no eixo horizontal conforme Figura 1 b que ilustra as posi es da l ngua durante a produ o das 23 Anterior Central Posterior Fechada ou alta 1 y hot Wpu Ie Y eU Meta fechada eeg 9 0 Yoo ou media alta 9 Meia abert aa E e e 308 Aco ou media baixa oe e e Aberta ou baixa ae E gt asp b Fig 1 Ilustra o das posi es das vogais no trap zio fon tico e no gr fico F x F gt a Trap zio fon tico das vogais de acordo com o IPA International Phonetic Alfabet com destaque em verde nas vogais que ocorrem no PB reproduzido de 18 b Sobreposic o do gr fico de Fy x F eixos com valores descrescentes para facilitar a an lise e de uma ilustra o com a posic o da l ngua durante a produc o das vogais orais t nicas adaptado de 13 vogais orais t nicas a a e e UY lo a 6 e sul u 13 16 e Semivogais ou glides tamb m sao fonemas vozeados similares as vogais por m com menor durac o No PB conectam se a vogais para formar ditongos ou tritongos podendo ser j como na palavra paj pai e w como na palavra maw mau e Consoantes ao co
13. 30 User luiza logged in Remote system type is UNIX sing binary mode to transfer files ftp gt ls 00 PORT command successful 150 Opening ASCII mode data connection for file list drwxr xr x 2 root root 4096 Apr 27 14 28 Arquivos drwxr xr x 2 root root 4096 Apr 30 16 15 Documentos drwxr xr x 2 root root 4096 Apr 27 14 28 Palestras rw r r 1 root root 170 Sep 4 2014 welcome msg 226 Transfer complete ftp gt cd Documentos 250 CWD command successful ftp gt ls 200 PORT command successful 150 Opening ASCII mode data connection for file list rw r r 1 root root 76 Apr 30 16 15 seminario txt 226 Transfer complete ftp gt get seminario txt local seminario txt remote 200 PORT command successful 150 Opening BINARY mode data connection for seminario txt 76 bytes 226 Transfer complete 76 bytes received in 0 01 secs 14 7 kB s ftp gt delete se seminario txt senhas txt ftp gt delete seminario txt 550 seminario txt Permission denied seminario txt 221 Goodbye root preto Fig 11 Conex o FTP realizada pelo intruso B Analisando os Ataques no Ambiente Normalmente os usu rios maliciosos iniciam um ataque com a coleta de informa es Eles precisam explorar quais vulnerabilidades e backdoors existem nos sistemas Em 30 de abril o snort detectou um ataque portscan no Honeypot FTP Neste ataque o Intruso tentou explorar quais eram os servi os que estavam sendo executados no sistema No mesmo dia o s
14. A Acesso a base de dados SQLite O aplicativo WhatsApp para plataforma Android na sua vers o 2 12 58 armazena os seus arquivos de banco de dados de mensagens no diret rio de acesso restrito data data com whatsapp databases da mem ria interna onde se encontra o arquivo da base de dados SOLite denominado msgstore db objeto de an lise Existe mecanismo de backup do pr prio aplicativo que realiza c pia criptografada do arquivo de mensagens para midia de armazenamento remov vel do dispositivo sendo que a chave criptogr fica sim trica est armazenada no arquivo denominado key localizado no diret rio de acesso restrito data data com whatsapp files dificultando a extra o Existem t cnicas de extra o do arquivo da base de dados atrav s da explora o de vulnerabilidades da aplica o ou do pr prio sistema operacional A partir das ltimas vers es do aplicativo h um aumento dos mecanismos de seguran a dentre eles a restri o com rela o extra o de dados do aplicativo atrav s do mecanismo de backup do sistema Android muitas vezes utilizado em an lise forense para ganho de acesso a diret rios restritos o que exige do examinador o desenvolvimento cont nuo de novas t cnicas de extra o B Processo de recupera o O m todo de recupera o de mensagens WhatsApp que apresentado adota estrat gia baseada na recupera o de p ginas www ICoFCS org 2015 de dados tipo folha da estr
15. Disponibiliza o de atualiza o 6 Aplica o da atualiza o Cabe ressaltar que ataques que utilizam falhas Zero day normalmente possuem alvos direcionados o que os tornam mais dificeis de detectar atrav s de uso de t cnicas convencionais j que muitas vezes quem alvo de tais ataques n o torna p blico o ataque e muito menos divulga detalhes do mesmo O estudo 7 mostra ainda que tornar p blica uma vulnerabilidade resulta em aumento significativo do n mero de sistemas atacados Isso pode ser ainda confirmado atualmente conforme relat rio de seguranca da informac o divulgado pela Verizon 8 A respeito do processo de emprego de um exploit observa se que algumas etapas s o fundamentais Por exemplo o atacante precisa conhecer no m nimo o recurso a ser explorado ser capaz de desenvolver o c digo para a falha a ser explorada e observar al m da efetividade do c digo o tempo efetivo de explorac o dentro da janela de oportunidade Cabe ressaltar que para uma determinada falha para ser explorada precisa haver um objetivo bem definido incluindo a especificac o do recurso a ser explorado e os processos de an lise da falha e de desenvolvimento do m todo e das ferramentas de explorac o Por exemplo explorar uma falha para controlar remotamente o dispositivo computacional em termos de c digo totalmente diferente de copiar dados do ou para o recurso que por sua vez diferente do c digo
16. Embora o foco seja forense a ferramenta proposta tamb m pode ser utilizada em outras reas de lingu stica ou de fonoaudiologia O intento o reconhecimento de trechos vozeados de uma gravac o sem a obrigatoriedade de pr segmenta o manual al m da disponibiliza o de gr ficos com possibilidade de sele o de reas a serem reavaliadas com a visualiza o de oscilograma e espectrograma com os trechos de interesse concatenados ou simplesmente etiquetados Tal funcionalidade seria til por exemplo em an lises do comportamento form ntico a longo termo do trato vocal de um dado falante Por m nos casos em que tal hip tese n o se confirme devido interfer ncia agressiva de ru do ou a particularidades da voz em quest o ou mesmo no caso de outliers o analisador teria a possibilidade de confirmar perceptivamente o que ocorreu Al m disso um padr o visual auxiliaria em an lise intra e inter sujeito pois se espera em uma CL que sejam encontrados elementos est veis o suficiente e que denotem similaridades em falas pertencentes a um falante mas que n o sejam comuns a outros indiv duos A medi o dos formantes feita pela t cnica LPC Linear Predictive Coding conforme o m todo de Burg 10 com posterior pondera o de custos para determina o final dos valores de cada formante com base na frequ ncia e na banda Ser o descartados os pontos em que n o houver detec o de Fo frequ ncia fundamental
17. Extras b Y Not installed Y Not installed 19 19 0 0 g Ooo OG Fig 5 Android SDK Manager 41 www ICoFCS org 2015 C Procedimento de extra o de dados do Samsung Galaxy S2 GT 19100 O GT 19100 desenvolvido pela companhia sul coreana Samsung e lan ado em abril de 2011 com o nome comercial Samsung Galaxy S II possui processador Dual Core Cortex A9 de 1 2 Ghz chipset Exynos 4210 mem ria RAM de 1 GB e armazenamento interno de 16 GB ou 32 GB Sua vers o original vem com Android 2 3 4 Gingerbread que pode ser atualizada para a vers o 4 1 Jelly Bean O perito deve fazer uma avalia o inicial do aparelho para decidir quais procedimentos devem ser adotados verificando a presen a de cart o SD cart o SIM e bateria Para que seja poss vel realizar o acesso via ADB ao telefone os drivers compat veis com o modelo GT I9100 devem ser instalados No experimento realizado os drivers foram obtidos do site da pr pria Samsung e instalados em um computador com Windows 7 Ap s a constata o de que a op o de depura o USB est desabilitada o bloqueio de tela est ativo e o padr o PIN ou senha de desbloqueio n o conhecido o pr ximo passo inicializar o celular no modo recovery A inicializa o do GT I9100 no modo recovery feita pressionando simultaneamente as teclas de Volume Home e Power com o aparelho desligado No experimento realizado a tela do
18. ICoFCS 2015 PROCEEDINGS OF THE NINETH INTERNATIONAL CONFERENCE ON FORENSIC COMPUTER SCIENCE PA eena T i Orta E TR E AMA aaa di nr Los SS zas SA MO LOS vosos ne Won E cee A e r SR Ma es eae ih o gt e r wiles 0000 CS daGOVO e se o AA 8 Ll A Y lao a es va ae e mf A A Rc eee oe ye ae E as A EA MNES www icofcs org Proceedings of the Nineth International Conference on Forensic Computer Science ICoFCS 2015 Brasilia Brazil 2015 113 pp Online ISBN 978 85 65069 10 6 Copyright 2015 by ABEAT Associacao Brasileira de Especialistas em Alta Tecnologia amp ABCF Academia Brasileira de Ci ncias Forenses www cienciasforenses org br Address SMPW 21 Conj 02 Lote 08 Casa C Parkway CEP 71 745 102 Brasilia DF Brazil Email presidente cienciasforenses org br Online ISBN 978 85 65069 10 6 TECHNICAL PROGRAM COMMITTEE TPC GENERAL CHAIRS Bruno Werneck Pinto Hoelz Brazilian Federal Police Brazil Jo o Paulo Carvalho Lustosa da Costa University of Brasilia Brazil Jorge de Albuquerque Lambert Brazilian Federal Police Brazil SESSION CHAIRS Evandro M rio Lorens Brazilian Federal Police Brazil Flavio Elias Gomes de Deus University of Brasilia Brazil Juliano Zaiden Benvindo University of Brasilia Brazil Paulo Quintiliano da Silva Brazilian Federal Police Brazil Rafael Tim teo de Sousa J nior University of Brasilia Brazil R
19. P p r aa aa 1 1 1 1 1 1 4 1 lt Fig 9 Modelo de mapa 2D utilizado pelo jogo Fonte Adaptado de Brackeen et al 1 Assim foram feitas diversas tentativas para entrar no mesmo jogo e interagir com o alvo As tentativas foram feitas em dias e hor rios diferentes Durante essas tentativas foram capturados os pacotes IP que trafegavam entre o PS3 e a Internet bem como foram tiradas fotos dos jogadores e gravados v deos do jogo no ambiente virtual Como resultado foram coletados 3 arquivos de captura de tr fego de 3 jogos distintos nos quais o alvo esteve presente C An lise dos dados coletados Os pacotes IP de cada jogo foram filtrados eliminando se os IPs dos servidores da empresa Sony e pacotes n o relacionados ao jogo tais como pacotes de consultas DNS A an lise dos dados coletados foi realizada no ambiente GNU Linux por meio de um interpretador de comandos Shell 18 Os comandos destacados no Quadro 1 foram utilizados para realizar a extra o ordenada dos endere os IPs atrav s do comando egrep que pesquisa e apresenta os somente as partes do arquivo que possuem o padr o da entrada e do comando sort que ordena o resultado QUADRO 1 COMANDOS DE FILTRAGEM DE ENDERE OS IPS cat captura jogo3 txt egrep o 0 9 1 3 0 9 1 1 3 0 91 TL 3 O09 elec sort gt lista ips jogo txt 177 17138 229 177 17
20. es telef nicas analisadas o Guardi o foi usado para receber as liga es telef nicas desviadas pelas operadoras Era portanto o sistema instalado no Org o Policial com as fun es de realizar a coleta de udio e gerar os relat rios resultantes das intercepta es Cabe salientar que neste trabalho foram analisadas apenas as caracter sticas dos sistemas relacionadas s per cias em quest o e a forma de utiliza o que os sistemas foram submetidos para a gera o dos dados N o objetivo do trabalho qualquer forma de auditoria ou an lise cr tica sobre os recursos e capacidades que cada sistema oferece A Processo de Intercepta o Telef nica O processo de intercepta o telef nica realizado pelo Org o Policial por meio do Sistema Guardi o segue v rias etapas que envolvem o Poder Judici rio o Minist rio P blico os membros das for as de seguran a p blica e as operadoras de telefonia m vel e fixa A primeira etapa do processo a solicita o ao Poder Judici rio de autoriza o para realizar intercepta o telef nica A Autoridade Policial prepara um documento com tal solicita o elencando quais os n meros de telefones que precisam ser interceptados e as respectivas operadoras s quais eles pertencem Ap s receber a autoriza o judicial feita a programa o do Sistema Guardi o por um t cnico operador do sistema Nesta configura o estabelecido um canal de desvio canais DDR
21. 1 de acordo com a correspond ncia da watermark Figuras 8 e 9 Balan a enganosa abomina o para o SENHOR mas o peso justo o seu prazer Em vindo a soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos ntegros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitam as riquezas no dia da ira mas a justi a livra da morte A justi a do sincero endireitar o seu caminho mas o perverso pela sua falsidade cair Fig 6 Texto ap s a inclus o da watermark de 16 bits Balan a enganosa abomina o para o SENHOR mas o peso justo o seu prazer Em vindo soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos ntegros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitamas riquezas no dia da ira mas a justi a livra da morte A justi a do sincero endireitar o seu caminho mas o perverso pela sua falsidade cair Fig 7 Texto ap s a inclus o da watermark de 64 bits Balan a enganosa abominac o para o SENHOR mas o peso 51 prazer indo sober virat T sabedori la A sinceric at e dos integros OS TOS Os guiar mas ap erversic ade dos aldivosos 0s estruira De nada aproveite as riquezas no dia da ira mas a justi a livra da morte A liv Ta da morte A justi a do sincero end lireitar D L 1 lal CA c 0 1 or 0 1 0 JU OL dL ma 20100 OS UT mas 0 p
22. 33 C Backup Name Auto Generate 4 Select Partitions to Back Up 0 lt Data 1239MB E Cache 9MB Fig 17 XT1069 tela de backup do modo recovery TWRP V CONCLUS ES Este trabalho teve como principal objetivo propor analisar e demonstrar a viabilidade de se utilizar um m todo para o problema de extra o de dados de telefones smartphones com sistema operacional Android bloqueio de tela ativo e senha PIN ou padr o de desbloqueio desconhecido e fun o de depura o USB desabilitada A hip tese de trabalho pressup e que a substitui o da parti o recovery padr o por outra que possibilite o acesso via ADB possibilita a extra o dos dados do usu rio sem comprometer a mtegridade das mforma es extra das Para verifica o da hip tese proposta quatro experimentos foram realizados O primeiro experimento foi feito com um Samsung Galaxy S2 Neste modelo foi poss vel realizar a extra o dos dados Entretanto a substitui o da parti o recovery afetou a instala o do sistema principal levando a aparelho a n o inicializar novamente O segundo experimento apresentado foi relativo a um aparelho LG Optimus 3D A parti o recovery padr o foi substitu da e os dados extra dos com sucesso O terceiro experimento apresentado foi feito com um aparelho Morotola Moto G Dual SIM Neste aparelho n o foi poss vel realizar a substitui o da parti o recovery uma vez que o boot loader estava trav
23. 47 45 54 20 2F 72 6F 62 6F 74 73 2E 74 78 74 20 GET robots txt 48 54 54 50 2F 31 2E 31 OD OA 43 6F 6E 6E 65 83 HTTP 1 1 Connec 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 55 77 65 tion close Use A 72 2D 41 67 65 GE 74 3A 20 4D 6F TA 69 6C GC 61 r Agent Mozilla 2F 35 2E 30 20 28 63 6F 6D 70 61 74 69 62 bc 65 5 0 compatible 1 3B 20 4E 6D 61 70 20 53 72 69 70 74 69 fE 67 Nmap Scripting l 20 45 6E 67 69 6E 65 3B 68 74 74 70 3A AF 2F Engine http 6E 6D 61 70 2E 6F 72 67 62 6F 6F 6B 2F 6 73 nmap org book ns 65 2E 68 74 6D 6C 29 OD OA 48 6F 73 74 3A 20 31 e html Host 1 37 32 2E 33 30 2E 32 30 2E 32 35 OD OA 0D OA lt 72 30 20 25 7 A peta pepepSpepSpS paps pepSpSpepape paps papaya peyspetaystatsyst Fig 7 Captura do ataque portscan em formato hexadecimal e ASCII Este mesmo ataque pode ser visto ainda de uma forma mais detalhada pelo administrador atrav s da payload do pacote em dois formatos diferentes O primeiro formato dado em 75 www ICoFCS org 2015 hexadecimal coluna da esquerda O segundo formato a convers o em ASCII coluna da direita A Figura 7 informa que foi executado um portscan atrav s do nmap V SIMULACOES E RESULTADOS OBITIDOS O objetivo deste estudo de caso mostrar como os recursos apresentados neste trabalho podem ser utilizados por rg os Governamentais como fonte de pesquisa para coletar analisar e estudar ataques e vulnerabilidades explora
24. A figura 4 apresenta um resumo de cada fase e a seguir estas ser o descritas em detalhes A Pr an lise A pr an lise uma fase de prepara o e otimiza o da me todologia Possui como objetivo reaproveitar o conhecimento aprendido das execu es anteriores da metodologia Nesta fase o dump de mem ria a ser analisado comparado com a base de conhecimento de indicativos de comprometimentos IOC de an lises j realizadas caso n o exista uma base de conhecimento pr via esta etapa poder ser suprimida Al m disso nesta etapa pode ser criada uma linha base com dados de atividades consideradas normais para m quina que ser analisada B An lise de processos Deve se possuir uma lista dos processos do n cleo do sistema operacional a ser analisado assim como as ativida des normais que estes processos possuem As caracter sticas desses processos devem ser confrontadas com os processos correspondentes do dump da mem ria em an lise de forma a identificar as poss veis anomalias e armazen las para serem correlacionadas com os resultados das outras fases Para realizar esta atividade devem ser coletados os seguintes dados de todos os processos em execu o nome caminho completo PID PPID linha de comando de inicializa o hora de inicializa o hora de t rmino processos filhos prioridade de execu o dono do processo sess o em que est rodando n mero de threads em execu o e n mero de handles
25. Ainda nesta fase devem ser usadas v rias t cnicas de listagem de processos em execu o com o objetivos de encontrar aqueles que usam t cnicas de oculta o ou seja processos que apesar de estarem em execu o n o seriam listados no gerenciador de tarefas do sistema operacional Por fim deve se verificar se os bin rios est o sendo executados a partir de pastas tempor rias e se existem processos com nomes similares ao processos do n cleo do sistema operacional Descri o das atividades maliciosas que caracterizam determinado malware 64 Pr analise Analise de processos Analise de DLLs e handles An lise dos artefatos de Rede Busca por inje o de c digos Busca por Hooks Dump de processos DLLs e drivers suspeitos Processamento Correla o e www ICoFCS org 2015 Compara o com os I0C s existentes na base de conhecimento Cria o de uma linha base com caracteristicas normais da m quina em an lise Verifica o de processos do n cleo do sistema operacional system csrss smss e outros Verifica o dos seguintes dados dos processos nome path processo pai entre outros Procurar processos escondidos Verificar DLLs n o vinculadas Verificar mutexes suspeitos comparar com blacklist Verificar o caminho no disco pasta padr o das DLLs windowslsystem32 Verificar portas suspeitas Verificar reputa o dos IPs de destino das conex es Verificar se o p
26. Em trabalhos futuros sugere se a amplia o da base de co nhecimento dos indicativos de comprometimentos dos v rios tipos de c digos malicioso com o objetivos de aplicar t cnicas de aprendizado de m quina para verificar se ocorre agrupa mento entre as caracter sticas dos tipos de artefatos maliciosos e assim determinar qual o melhor tipo classificador AGRADECIMENTOS Agrade o primeiramente a Deus que me sustentou ca pacitou e me deu sa de para realizar mais um projeto em minha vida Aos professores coordenadores e funcion rios do Departamento de Engenharia El trica da Universidade de Bras lia que nos proporcionaram o ambiente saud vel para pesquisa e desenvolvimento Tamb m ao orientador Dino que sempre esteve dispon vel e paciente para me auxiliar nesta jornada E por ltimo mas n o menos importante a minha esposa e fam lia que me apoiaram e incentivaram nessa caminhada REFER NCIAS 1 Anand Ajjan Ransomware Next generation fake antivirus A SophosLabs technical paper 2013 http www sophos com en us medialibrary PDFs technical 20papers SophosRansomwareFakeAntivirus pdf la en pdf dl true Michael Bailey Jon Oberheide Jon Andersen Z Morley Mao Farnam Jahanian and Jose Nazario Automated classification and analysis of internet malware In Recent advances in intrusion detection pages 178 197 Springer 2007 Bill Blunden The Rootkit Arsenal Escape and Evasion in the Dark Corners of the System Jo
27. Foram selecionados os m todos Line Shifting e Word Shift Coding Todas as t cnicas foram aplicadas no texto da Figura 5 A Tabela III descreve a quantidade de bits inseridos no documentos com oito linhas setenta e tr s palavras e trezentos E 20 www ICoFCS org 2015 e trinta e seis branco caracteres desconsiderando os espa os em QUANTIDADE DE BITS POR T CNICA Nrde bits Line Shifting pu rm Word Shift Coding A an lise quanto robustez das t cnicas apenas o m todo Proposto proposto com a utiliza o de fun o criptogr fica ou c digo de verifica o de erros capaz de detectar um ataque de altera o intencional do texto entretanto somente utilizando o c digo de verifica o de erros poss vel recuperar o caractere alterado Em rela o dele o de senten a linha os m todos Line Shifting e Word Shift Coding n o s o robustos O m todo proposto ser robusto a depender do tamanho da watermark escolhida e dos caracteres do subconjunto C Para o ataque de altera o de formata o mudan as de alinhamento ou tamanho da fonte n o comprometem a robustez do m todo proposto o que n o verdade para os outros m todos testados M todo subconjunto com 5 caracteres Quanto utiliza o de OCR para detec o das watermarks foi utilizada a biblioteca Tessaract OCR 22 que quando executado com suas configura es padr es n o detectou marcas d gua nas tr s t cnicas
28. Knake Robert K Cyber war Tantor Media Incorporated 2014 1 97 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 www lCoFCS org 2015 Shackelford Scott J Managing Cyber Attacks in International Law Business and Relations In Search of Cyber Peace Cambridge University Press 2014 Hypp nen Mikko H Information Security Proceedings of the ATUL Conferences 2014 Purdue University Purdue e Pubs Disponivel em http docs lib purdue edu iatul 2014 keynotes 1 Wu J Arrott A Colon Osorio F C Protection against remote code execution exploits of popular applications in Windows Malicious and Unwanted Software The Americas MALWARE 2014 9th International Conference on vol no pp 26 31 28 30 Oct 2014 DOI 10 1109 MALWARE 2014 6999416 Mahaffey Kevin John G Hering and James Burgess Security Status and Information Display System U S Patent No 20 140 373 162 18 Dec 2014 Tiedata What are Web Based Exploits Dispon vel http www tiedata com webexploits asp Acessado em maio de 2014 em Bilge Leyla Dumitras Tudor Before We Knew It An Empirical Study of Zero day Attacks In The Real World Symantec Research Labs Outubro de 2012 Verizon Report The 2015 Data Breach Investigations Report DBIR 2015 Dispon vel em http www verizonenterprise com DBIR 2015
29. Os rel gios podem estar atrasados ou adiantados em rela o a ele ou ainda em desacordo quanto ao hor rio de ver o Essa falta de sincronismo causa diferen as nos registros das chamadas entre os Sistemas Vigia e Guardi o Dessa forma esse m dulo do software deve realizar um trabalho de aproxima o entre as datas e hor rios para tentar relacionar os registros compat veis entre os dois sistemas e apresentar esses resultados Em caso de d vidas n o resolvidas pelo algoritmo do software uma an lise pontual dever ser feita em cada caso de interesse Em uma das per cias realizadas do total de aproximadamente 270 000 registros 180 000 foram relacionados Nos 90 000 registros restantes o relacionamento autom tico n o logrou xito O ltimo quesito a ser respondido baseia se no princ pio da paridade de armas no qual a defesa pede e que os dados sejam importados para algum Sistema de Banco de Dados para que possam ser analisados Durante todo o processamento o software pericial fez uso de Banco de Dados Relacional e arquivos de relat rio Foram criadas tabelas que modelam os registros que est o sendo questionados Essas tabelas podem ser exportadas para que a defesa possa realizar as consultas que achar necess rias O modelo relacional das tabelas que modelam os registros envolvidos nas intercepta es telef nicas est ilustrado na figura 5 Bilhete v RegistroBilhete gt RegistrosGuardiao Y Rel_0
30. Oya 46 Investiga o em Ambientes de Jogo Multijogadores Online By Juliano K M Oya Cleber Scoralick Junior Bruno W P Hoelz 53 Maldetect Uma metodologia Automatiz vel de Detecc o de Malwares Desconhecidos By Leandro Silva dos Santos Dino Macedo Amaral 60 Desenvolvimento de um Ambiente Honeynet Virtual para Aplicac o Governamental By Gild sio Antonio de Oliveira Junior Rafael Tim teo de Sousa J nior Danilo Fernandes Tenorio 70 Estudo de R tulos de Tempo em Sistemas de arquivo HFS By Arelian Monteiro Maia Felippe Pires Ferreira e Lindeberg Pessoa Leite 79 Brasil e Ciberterrorismo desafios para o Rio 2016 By Bruna Toso de Alc ntara 84 Um Levantamento sobre o Mercado de Explorac o de Vulnerabilidades do Espaco Cibern tico By Robson Albuquerque Rafael Tim teo de Sousa Junior Jodo Paulo Carvalho Lustosa da Costa 90 Extra o de dados da Web relativos a licita es e contratos p blicos para infer ncia por reconhecimen to de padr es estat sticos estudo de caso By Cirilo Max Macedo de Morais Dibio Leandro Borges 98 Cat logo de Fraudes da RNP 7 Anos de Experi ncia no Tratamento de Fraudes Eletr nicas Brasileiras By Italo Brito Jos Lucas Borges Lucas Ayres Paula Tavares Rogerio Bastos Edilson Lima Liliana V Solha 104 Per cia Computacional em Artefatos Digitais de Intercepta es Telef nicas By Wilson Leite da Silva Filho 105 FOREWORDS The Technical Program Committee TPC of the 9th Internatio
31. PlayStation Network PSN 16 com o perfil da v tima Diante desse cen rio a autoridade policial solicitou a identifica o do endere o IP de onde partiam os acessos do usu rio da v tima para conectar na PSN A Prepara o do ambiente de coleta Para a realiza o do exame necess rio que o console Playstation 3 esteja conectado Internet para que ele possa acessar a PSN e que os pacotes IP que chegam e saem do console sejam capturados para an lise posterior Para 1sso utilizou se um computador entre o Playstation 3 e a Internet O qual realizava o roteamento dos pacotes e a sua captura Assim o modelo de infraestrutura utilizada foi o modelo ilustrado na Figura 6 B Buscando entender o funcionamento da PSN foram realizados testes de diversas funcionalidades da rede do Playstation 3 tendo sido determinado que para obter o endere o IP de um determinado jogador era necess rio estar Jogando o mesmo jogo e estar na mesma partida que ele Assim atrav s da conex o com a Internet possivel utilizar v rios servicos da PSN H v rios servicos de interac o com outros usu rios Entretanto a maioria das intera es intermediada pelos servidores da PSN tais como login chat e troca de mensagens Entretanto em jogos online de multijogadores durante a intera o direta entre os jogadores ocorre a troca de mensagens entre esses jogadores assim como entre os jogadores e o servidor da PSN Nesse caso como mo
32. Tamb m necess rio entender as v rias formas de intera o entre os jogadores e o sistema de jogo single player multiplayer etc A metodologia proposta neste trabalho adequada para os modelos de arquitetura de jogos do tipo multiplayer ou seja para aqueles jogos que envolvem 2 ou mais jogadores interagindo entre si atrav s de uma conex o de Internet e ainda sabendo se o nome virtual do alvo e interagindo com ele Ela inclui a prepara o do ambiente a coleta de dados de tr fego de redes a an lise dos dados coletados e a apresenta o do laudo A aplica o da metodologia em um caso real demonstrou a viabilidade de coletar dados de v deo e rede em servi os de jogos online Tamb m revelou a import ncia das informa es de v deo para identificar os eventos de interesse pericial nos quais ocorreram a intera o com o alvo os quais ap s um processo de an lise e filtragem permitiram identificar os IPs relacionados ao alvo da investiga o Esses endere os IP em data e hora delimitados s o essenciais para o prosseguimento da investiga o que passar Juliano K M Oya e Cleber Scolarick Junior Peritos Criminais Se o de Per cias em Inform tica Instituto de Criminal stica Pol cia Civil do Distrito Federal Bras lia DF Brasil E mails juliano oya gmail com e scoralick gmail com Bruno W P Hoelz Perito Criminal Instituto Nacional de Criminal stica Policia Federal Bras lia DF
33. anomalias de timeline e data de compila o do arquivo exe cut vel A Pr an lise I Cria o da base de conhecimento Esta fase recebe como entrada os IOC s gerados por execucoes anteriores da metodologia maldetect Estes arquivos ser o criados no formato XML na ltima fase da metodolo gla Dessa forma poss vel otimizar a detecc o de c digos maliciosos existente na base de conhecimento Al m disso deve ser coletada informa es que auxiliar o a execu o da metodologia como por exemplo portas de redes que devem ser consideradas como normais Na ltima fase deve se utilizar padroes de descric o de indicativos de comprometimentos IOC para alimentar a base de conhecimento Como exemplo podem ser gerados IOC s baseado no framework OpenlOC framework open source capaz de descrever as caracter sticas comportamentais dos malwares 13 No caso da Maldetect algumas verifica es n o est o descritas nestes padr es abertos e por isso ser usado um padr o pr prio para descri o dos IOC s encontrados P B An lise de processos VI T CNICAS DE AUTOMATIZA O DA METODOLOGIA MALDETECT PARA WINDOWS Foi constru do um plugin denominado de procinfo em E i Python para o Volatility para extrair as seguintes informa es Foi constru da uma ferramenta que implementa cada fase P yY P 8 da metodologia Maldetect A figura 5 mostra a tela inicial desta ferramenta denominada de Maldetect Tool a qual
34. aparelho GT 19100 E Procedimento de extra o de dados Motorola Moto G Dual SIM XT1033 O XT1033 foi desenvolvido pela Motorola e lan ado no mercado em janeiro de 2014 Possui processador Quad core Cortex A7 de 1 2 Ghz chipset Qualcomm MSM8226 Snapdragon 400 mem ria RAM de 1GB e armazenamento interno de 8 GB ou 16 GB Sua vers o original vem com Android 4 3 Jelly Bean O XT1033 n o aceita cart es de mem ria externos Logo todos os dados do aparelho s o armazenados na mem ria interna Ent o na an lise inicial do aparelho o perito deve observar a presenta de cart es SIM No aparelho deste experimento dois SIMs foram encontrados pois este aparelho possuia tecnologia Dual SIM A parti o recovery do XT1033 pode ser substitu da atrav s do fastboot Por m esta substitui o s pode ser feita em aparelhos cujo boot loader esteja destravado Caso o boot loader esteja travado necess rio destrav lo primeiro Esse procedimento pode ser feito atrav s de um c digo obtido no site da pr pria Motorola 23 Para obter este c digo necess rio digitar os dados de destravamento do telefone no 43 www ICoFCS org 2015 site da Motorola Estes dados s o conseguidos atrav s do pr prio fastboot F Procedimento de extra o de dados Motorola Moto G 2 Gera o XT1069 O XT1069 tamb m conhecido como Motorola Moto G2 foi desenvolvido pela Motorola e lan ado no mercado em setembro de 2014 Possui
35. c digo de letras que ser concatenado com outros c digos para cria o da marca d gua Para revelar o identificador necess rio comparar o watermark recebido com o watermark obtido durante uma nova execu o do algoritmo sobre o texto A t cnica auxilia a verifica o de poss veis altera es no texto 13 c Cria o de watermark invis vel que inserida em p ginas HTML atrav s da tag lt meta gt A marca d gua criada submetida a uma fun o de Hash seu 7 resultado convertido para oito d gitos e inserido no documento Os caracteres s o inseridos como espacos em branco sendo ignorados por diversos programas 14 A defini o da watermarking est baseada em caracter sticas como a distancia entre as palavras 15 ou analisando caracter sticas de espacamento e tamanho entre caracteres 16 e Aplica o sobre o texto de pequenos pontos que se tornam pouco percept veis durante a leitura Para recuperac o da imagem empregada autocorrelac o entre os pontos al m da aplicac o de pontos de registro para corrigir distor es geom tricas 17 f Atrav s da altera o de caracter sticas dos caracteres como o tamanho poss vel introduzir uma mensagem A altera o de pixels do caractere permite a introdu o da mensagem nas letras Caso haja poucas altera es de pixels a mensagem inserida torna se menos robusta entretanto menos percept vel Em situa o contr ria muit
36. calculados atrav s de autocorrela o nos frames trechos em an lise com energia acima de limiar estabelecido e taxa de passagem por zero abaixo de limiares pr estabelecidos Prop e se ainda o reconhecimento de agrupamentos de pontos ou clusters referentes s regi es das vogais an teriores posteriores centrais altas m dias baixas idealmente encontrando a regi o de cada vogal a e e 1 o o e u Embora como constatado por Escudero e colaboradores 11 no Portugu s Brasileiro PB tal determina o possa ser feita por meio de v rias combina es de par metros a combina o dos formantes H x F a que melhor evidencia a distribui o das vogais Para o reconhecimento ser o realizados experimen tos com os algoritmos k means e distribui o Gaussiana O mecanismo desenvolvido deve permitir a an lise das vogais principalmente com base em seus valores de formantes com medi es realizadas sem necessidade de segmenta o pr via Neste trabalho s o exploradas algumas estrat gias para sele o dos instantes com valores v lidos de formantes tais como a detec o de frequ ncia fundamental determina o de limiares de taxa de passagem por zero e de energia de curto termo e continuidade de valores em amostras subsequentes objetivando minimizar a interfer ncia de fonemas consonan tais A escolha do aproveitamento de interfaces do software Praat se deve pelo mesmo ser um software livre e tamb
37. formar um bloco cont guo 5 Essa estrutura exemplificada na Figura 3 Ainda na Figura 3 podemos observar que as p ginas podem ser de tipos diferentes de acordo com o tipo de informa o que ela armazena Dentre os tipos documentados em 5 as p ginas folhas da b tree s o as de maior interesse pericial j que nelas s o armazenados os dados dos registros Uma p gina folha pode ser identificada pelo primeiro campo do seu cabe alho que s o 2 bytes com o valor de flag 0x0D Logo ap s o cabe alho da p gina fica armazenada uma lista de ponteiros inteiros de 2 bytes no formato big endian cujos valores sao os offsets para cada c lula de dados da p gina Na Figura 4 exemplificada a estrutura de uma p gina Fig 4 Vis o geral da estrutura de uma p gina do SOLite Assim dentro de uma pagina a c lula a unidade elementar de armazenamento de dados sendo portanto a unidade de armazenamento dos registros do banco de dados Cada c lula possui uma estrutura exemplificada nas Figuras 5 e 6 No cabecalho da c lula est o os dados do tamanho da c lula excluindo o seu cabe alho e o campo row id cujo formato no padr o varint variable length integers 5 C lula Fig 5 Estrutura de uma c lula e do cabe alho do payload C lula Fig 6 Estrutura de uma c lula e do payload Ainda na Figura 5 no cabe alho do registro armazenado o tamanho do cabecalho no formato varint e em segu
38. lula liberada o offset para o in cio dos freeblocks alterado Neste caso espec fico o offset para o freeblock passa a ter o antigo valor do offset para a c lula exclu da Os primeiros bytes da c lula exclu da tamb m s o alterados para manuten o da estrutura de ponteiros dos freeblocks Outros campos tamb m podem ser alterados medida que s o realizadas opera es na p gina podendo inclusive gerar fragmenta o interna Os offsets para as p ginas tamb m precisam ser rearranjados A Figura 13 mostra o conte do da p gina ap s a remo o da mensagem 2 Como poss vel observar com exce o dos primeiros bytes que s o alterados para manter a estrutura de ponteiros do freeblock a regi o desalocada continua mantendo os dados da conversa que pode ser recuperada por uma an lise forense Estas informa es podem ser de grande relev ncia em uma Investiga o e n o s o visualizadas por meio das ferramentas de navega o SQLite convencionais B Recupera o de dados na regi o n o alocada freespace de p ginas folha Na arquitetura do banco SQLite as p ginas folha est o constantemente sofrendo altera es Em algumas situa es todas as c lulas da p gina podem ser liberadas tornando a p gina livre para novas inser es de registros Como visto anteriormente o conte do das c lulas mesmo ap s a exclus o de uma mensagem permanece acess vel e recuper vel Contudo medida que no
39. lula 1 2 bytes Offset para c lula 2 2 bytes Offset para c lula 3 2 bytes C lula 3 C lula 2 C lula 1 Fig 8 Organiza o de uma p gina folha Quando um registro do banco de dados exclu do algumas altera es s o realizadas na estrutura da p gina folha A c lula com o conte do desalocada liberando espa o na p gina para inser o de novos registros Entretanto para que o espa o da c lula seja liberado tanto o cabe alho da p gina quanto os offsets para os conte dos das c lulas devem ser reajustados Quando a c lula exclu da o campo do cabe alho da p gina que registra o n mero de c lulas deve ser decrementado Com a libera o de espa o o offset para o in cio do primeiro freeblock deve ser ajustado Assim quando uma nova c lula precisar ser alocada a regi o referente ao freeblock poder ser utilizada Al m disso os offsets para as c lulas s o organizados sequencialmente devendo tamb m ser reajustados A Figura 9 ilustra a remo o de uma c lula GI Y e e oo DE ra c lt para c lula 3 C lula 3 Fig 9 Organiza o de uma p gina folha ap s a remo o de uma c lula Para a recupera o de conversas do aplicativo WhatsApp as regi0es desalocadas das p ginas possuem grande utilidade forense Ser mostrado adiante como poss vel recuperar mensagens dessas regi es realizando se uma an lise do banco de dados em n vel de
40. m pela familiaridade dos profissionais que trabalham com fon tica Pretende se incorporar no futuro rotinas do software R 12 para a realiza o de c lculos estat sticos www ICoFCS org 2015 II FUNDAMENTA O TE RICA A Produ o de Voz A fala um dos principais recursos de comunica o hu mana Inicia se por um processo interno do falante que mentalmente formula a mensagem a ser transmitida ocorrendo em seguida a ativa o motora dos m sculos e rg os do aparelho fonador para a articula o da fala Ap s emiss o da mensagem pelo falante e transmiss o atrav s do meio o pr prio ar ou um canal telef nico por exemplo ter vez o processo de percep o dos sons de fala pelo ouvinte Tal processo mais complexo do que a simples detec o de sinais ac sticos como tons puros ou ru do pois necess rio identificar categorizar e reconhecer esses sons em sua forma para atribuir fala seu significado mensagem 13 14 A voz gerada pela convers o do fluxo cont nuo de ar egresso dos pulm es em pulsos de ar pulsos gl ticos quando ocorre a vibra o das pregas vocais respons vel pela caracter stica de vozeamento de vogais e de algumas conso antes A frequ ncia dessa vibra o corresponder frequ ncia fundamental Fo que possui como correlato ac stico o pitch 15 16 As caracter sticas anat micas e fisiol gicas do trato vo cal provocam resson ncias nos sons originados
41. mero de contratos celebrados por uma unidade administrativa com uma mesma empresa e o n mero total de contratos celebrados por esta unidade administrativa foi poss vel estabelecer uma www ICoFCS org 2015 correla o entre os mesmos Com a elabora o de um modelo de regress o linear o estudo de caso explicitado neste artigo utilizando a linguagem R para extra o de dados relacionados a licita es e contratos do portal de dados abertos brasileiros comprovou que quanto maior a exig ncia de divulga o de dados do edital e quanto maior o valor do contrato menor a correla o entre o n mero de contratos celebrados entre uma unidade administrativa e uma mesma empresa e o n mero total de contratos desta unidade O estudo de caso abordou apenas tr s vari veis de dezessete vari veis extra das dos contratos Vari veis como valor do contrato data de assinatura n mero de aditivos e outros n o fizeram parte do modelo apresentado Muitas outras informa es correla es e padr es entre licita es e contratos n o abordados neste artigo podem ser objeto de estudos A partir do conhecimento destes padr es estat sticos a observ ncia de grandes desvios poderia apontar aos rg os de controle a suspeita de poss veis irregularidades Acrescenta se que o surgimento de nova modalidade de licita o como o Regime Diferenciado de Contrata o RDC que flexibiliza a obrigatoriedade de exist ncia pr via de
42. o apresentados os conceitos relacionados ao aplicativo WhatsApp e ao banco de dados SQLite A Banco de dados SQLite O SQLite uma biblioteca de software de c digo aberto que implementa um sistema de banco de dados SQL transacional sem a necessidade de um servidor dedicado e com pouca ou nenhuma configura o para seu funcionamento Al m disso um sistema autossuficiente e extremamente compacto SQLite l e escreve diretamente para arquivos de disco comuns e n o possui um processo tipo servidor separado e dessa forma uma escolha bastante popular para o uso em dispositivos m veis como celulares Um banco de dados SQLite completo contendo tabelas ndices gatilhos e vis es subsiste em um nico arquivo em disco 5 6 Sobre sua arquitetura os componentes do SQLite s o agrupados em categorias denominadas Core SOL Compiler Backend e Acessories Especificamente na categoria Backend ha os componentes diretamente relacionados com a estrutura de armazenamento de dados que sao as arvores b b tree e as p ginas Page 5 A Figura 1 apresenta uma vis o geral desses componentes e seus principais relacionamentos eo Carmnila QOL Rs Tp Tokenizer iz Accessories OS Interface SRA Fig 1 Vis o geral da arquitetura do sistema gerenciador de banco de dados SQLite Fonte adaptado de 5 Uma vis o geral da estrutura de um arquivo de banco de dados do SQLite pode ser vista na Figura 2 Assim
43. podemos identificar atividades tipicas de c digos NB malicioso com rela o as conex es de rede 19 Avaliar os artefatos de rede Portas conex es e processos suspeitos e Procura por evid ncias de inje o de c digo Procurar por evid ncias de inje o de c digo Se es de mem ria injet veis e processos ocos OO Codigo Verificar assinaturas de hooking Em 19 s o apresentadas duas t cnicas de inje o de SSDT IDT IRP e inline hooks Inje o de DLLs muito utilizada pelos malwares eles A utilizam algumas chamadas de sistema tais como Vir Dump de processos DLLs e drivers suspeitos tualAllocEx CreateRemoteThread e SetWindowsHo Revis o de strings varredura com AV e engenharia reversa gt okEx para carregar uma DLL em um processo j em execu o e Fig 2 Metodologia de an lise de mem ria do SANS adaptado de 9 A aire Gra A um processo leg timo e substitui a rea de c digo do processo leg timo pelo seu c digo malicioso e obt m as DLLs os handles e outros recursos do processo original instru es j um processo cont m um conjunto de re cursos usados por uma inst ncia de um programa Em 16 s o apresentados componentes de um processo do sistema operacional Windows A detec o de inje o de c digo pode ser feita varrendo a mem ria procurando setores marcados com permiss o de escrita e execu o e que n o tenham um mapeamento para um arquivo Tamb m pode ser fe
44. poss vel Por exemplo se o aparelho apreendido possui bloqueio de tela ativo e a senha padr o ou PIN de desbloqueio n o for conhecido o perito fica impossibilitado de se conectar ao ADB e n o poss vel ter acesso ao menu do sistema para habilitar a depura o USB B Objetivo geral O objetivo geral deste trabalho analisar propor e testar um m todo para extra o de dados de Smartphones de diversas marcas que se enquadram no cen rio mencionado anteriormente a saber Sistema Operacional Android com bloqueio de tela ativado e a op o de depura o USB desabilitada Il REFERENCIAL TE RICO A Computa o forense A computac o forense tem como objetivo desenvolver t cnicas e ferramentas para a investiga o e an lise de potenciais evid ncias digitais 6 Tais t cnicas e ferramentas podem ser empregadas na investiga o e tipifica o de crimes que envolvam dispositivos computacionais Entende se por dispositivos computacionais qualquer aparelho capaz de processar informa o ou seja a computa o forense pode ser utilizada na investiga o de computadores notebooks laptops celulares tablets m quinas fotogr ficas digitais televisores digitais etc Uma evid ncia digital qualquer informa o armazenada ou transmitida por um dispositivo computacional que pode ser utilizada como prova em um processo judicial para tipificar um crime ou estabelecer uma ligac o entre um crime e sua v tima ou um
45. pria e ferramentas espec ficas Por consequente tal participa o requer recursos financeiros e t cnicos para implementa o de laborat rios avan ados para testes de funcionalidades e t cnicas de explora o j que para se atender a uma necessidade um objetivo claramente definido fundamental Al m disso estes tipos de recursos t cnicos e financeiros s o aplicados de diversas formas Por exemplo para permitir a replica o das caracter sticas t cnicas e de ambiente de um alvo espec fico para testes de efetividade e explora o de uma oportunidade real Note se que esta atividade deve ser desenvolvida por pessoal qualificado na rea de seguran a cibern tica Esta rea envolve diversas tecnologias e arquiteturas tornado a atividade claramente multidisciplinar com vi s t cnico e especializado Assim sendo podem ser considerados como requisitos m nimos para atua o neste tipo de mercado o dom nio e entendimento de tecnologias relacionadas a arquiteturas de hardware dos mais variados tipos arquiteturas e plataformas de software para avalia o desenvolvimento e testes funcionais bem como dom nio avan ado de tecnologias e protocolos de redes de comunica o sistemas operacionais equipamentos de redes de comunica o servi os de telecomunica o entre outros requisitos Isso posto um dos fundamentos b sicos deste mercado o exploit em si Sob o aspecto de seguran a ele o ponto de partida vi
46. 03 2006 F Antreich J Nossek G Seco Granados and A Swindlehurst The Extended Invariance Principle for Signal Parameter Estimation in an Unknown Spatial Field JEEE Transactions on Signal Processing vol 59 no 7 pp 3213 3225 July 2011 R Roy and T Kailath ESPRIT estimation of signal parameters via rotation invariance techniques IEEE Transactions on Acoustics Speech and Signal Processing vol 17 1989 J P C L da Costa D Schulz F Roemer M Haardt and J A A Jr Robust R D Parameter Estimation via Closed Form PARAFAC in Kro necker Colored Environments in Proc 7 th International Symposium on Wireless Communications Systems ISWCS 2010 2010 J P C L da Costa F Roemer M Weis and M Haard Robust R D parameter estimation via closed form PARAFAC in Proc ITG Workshop on Smart Antennas WSA 10 2010 www ICoFCS org 2015 DOI 10 5769 C2015005 or http dx doi org 10 5769 C2015005 Extracao de dados em smartphones com sistema Android usando substituicao da partic o recovery Sibelus Lellis Vieira e Adriano Rodrigues da Cruz Resumo Os smartphones s o telefones celulares que podem armazenar dados de grande valia para investigacao de crimes Contudo o processo de aquisic o de dados destes aparelhos pode serinvi vel quando estes estiverem bloqueados e com a func o de depura o USB desabilitada O objetivo deste trabalho descrever uma t cnica e os procedimentos
47. 1 2 3 De comum os tr s fazem uso de t cnicas de explora o de falhas e desenvolvem de mecanismos t cnicos de garantia de obten o do dado ou da informa o desejada para posterior uso Para a consecu o do objetivo relacionado ao acesso informa o privilegiada um atacante ou intruso utiliza as mais variadas t cnicas e processos mas poss vel destacar o emprego de ferramentas de software projetadas especificamente para tirar proveito de alguma falha em um sistema computacional normalmente para fins danosos como o de instalar um c digo malicioso em ingl s malware Tais tipos de ferramentas formalmente denominadas de exploits em ingl s v m sendo objeto de todo um mercado de desenvolvimento comercializa o manuten o e suporte voltado para o crime cibern tico cybercrime Sob a tica deste cen rio o mercado de exploits uma atividade complexa de alto n vel t cnico e profissional amplamente competitiva entre os atores envolvidos e altamente lucrativa sob o aspecto financeiro e estrat gico no sentido de obten o de algum tipo de vantagem Em fun o desse contexto o objetivo deste artigo o de demonstrar um levantamento da situa o desse mercado em especial do ponto de vista daqueles servi os e produtos que se encontram dispon veis para utiliza o em diversas situa es Os dados coligidos s o importantes para que o profissional de seguran a da informa o e combate ao cyber
48. 10 5769 C2015008 or http dx doi org 10 5769 C2015008 Maldetect Uma metodologia automatizavel de detecc o de malwares desconhecidos Leandro Silva dos Santos Dino Macedo Amaral Resumo O cen rio de ataques cibern ticos est atingindo n veis cada vez mais altos de complexidade Com isso as ferra mentas tradicionais de deteccao e remocao de amecas estao cada vez menos eficiente pois utilizam um abordagem de detecc o baseada em assinatura Este trabalho prop e uma metodologia automatiz vel de detecc o de malwares desconhecidos ou seja aqueles que n o foram detectados pelas ferramentas tradicio nais A metodologia Maldetect apresentada neste artigo coleta e correlaciona caracter sticas comportamentais t picas de c digos maliciosos sendo independente de sistema operacional Foi cons tru da uma ferramenta usando as linguagens de programac o PHP e Python denominada Maldetect Tool que automatiza a metodologia proposta A partir do dump da mem ria vol til a Maldetect Tool gera um relat rio contendo os processos que mais realizam atividades t picas de malwares A Maldetect Tool analisou de maneira automatizada dumps de mem ria de estac es infectadas e foi capaz de detectar os artefatos maliciosos a partir da an lise da mem ria vol til Palavras Chave Forense an lise de mem ria detecc o de malwares desconhecidos volatility maldetect Abstract The scenario of cyber attacks is reaching ever higher levels
49. 111 tcp open rpcbind 2 4 RPC 100000 rpcinfo program 100000 100000 service rpcbind rpcbind sion port proto 3 4 111 tcp 4 111 udp 100024 1 56098 tcp status 100024 1 56144 udp status C Address CA 1C DA 84 05 98 Unknown ve 2 2 Fig 8 Ataque portscan com nmap no Honeypot FTP xHydra xHydra Sair Sair Target Passwords Tuning Specific Start Target Passwords Tuning Specific Start Target Output l E Hydra v7 6 c 2013 by van Hauser THC amp David Maciejak for Legal purpos 9 Single Target 172 30 20 21 Hydra http www thc org thc hydra starting at 2015 04 30 14 38 27 O Target List DATA 12 tasks 1 server 12 Login tries L 3 p 4 1 try per task DATA attacking service ftp on port 21 Ea 21 ftp host 172 30 20 21 login marcia password senhamarcia L Prefer IPV6 21 ftp host 172 30 20 21 login luiza password senhaluiza 1 of 1 target successfully completed 2 valid passwords found Port 21 a Hydra http www thc org thc hydra finished at 2015 04 30 14 38 30 lt finished gt Protocol tp v Output Options O Use SSL L Be Verbose L Show Attempts L Debug Start Stop Save Output Clear Output hydra s 21 l yourname p yourpass t 16 172 30 20 21 ftp vydra s 21 L root usuarios txt P root senhas txt t 16 172 30 20 2 Fig 9 Ataque de for a bruta com xHydra AS PP Na a a d TJ CUL MIX a i ed ed A AN Saa ul Foram utilizadas as ferramentas ne
50. 138 229 Lis 177 193 12 107 1953 12 107 177 411 254 5 177 411 254 5 L Ly Ly gt gt gt gt gt gt gt gt gt Em seguida foram extraidos os IPs do servidor de jogos da PSN assim como os enderecos da rede local ver Quadro 2 QUADRO 2 LISTA DEIPS DE REDE LOCAL gt gt 10 0 0 0 172 L600 10 255 255 255 10 8 prefix 172 31 255 255 172 16 12 prefix gt 192 168 0 0 192 168 255 255 192 168 16 prefix Sobre a lista de IPs resultantes foram contadas o n mero de ocorr ncias de cada IP como apresenta o Quadro 3 Nesse quadro o comando uniq c usado para contar o n mero de repeti es da entrada ordenada e o comando sort r ordena o resultado em ordem reversa O resultado apresentado em duas colunas que s o o numero de ocorr ncias e o endere o IP relacionado QUADRO 3 COMANDOS DE CONTAGEM DE FREQU NCIA DOS ENDERE OS IP cat lista ips jogo3 txt Unig c sort r gt lista ips count rev txt 3385 177 80 118 68 2630 201 52 52 162 2540 200 206 146 200 1835 186 220 199 241 1830 LTL A od 1715 Le 3 Los 1255 189 102 126 154 905 189 123 225 196 220 187 39 71 57 154 201 92 213 21 120 179 197 122 237 100 189 120 250 17 55 177 41 254 5 55 177 17 138 229 45 190 176 222 87 VWVvVvVvVvVvVvVoVoVoVoVoVoV y Ap s essa filtragem os enderecos IP restantes possu am quantidade compativel com o n mero de jogadores presentes em cada jogo Deve se ressalta
51. 6 0 p1 Processador com 1 n cleo 512 MB de mem ria RAM 8 GB de HD e uma interface virtual de rede eth0 Sistema Operacional Windows XP SP3 com instala o padr o Nao foram instalados outros servi os Intruso teste Todos os honeypots foram implementados na rede honeynet que foi configurada como host only rede virtual privada para fazer a comunica o entre os honeypots e a interface virtual eth do honeywall No link da rede externa existe ainda uma m quina virtual IP 172 30 20 100 configurada para testar a configura o do ambiente honeynet virtual de autoconten o A rede de ger ncia uma rede confi vel usada para coletar e analisar remotamente os dados Esta rede dever ser utilizada ainda para administrar o honeywall IP 172 30 10 30 e o XenServer IP 172 30 10 10 A ger ncia vabe a um host dedicado exclusivo para esta finalidade Um cabo crossover utilizado para fazer link entre o host de ger ncia e o servidor f sico Todos os honeypots foram configurados com a instala o padr o do Linux Debian Wheezy 7 2 e Windows XP SP3 Foram feitas instala es e configura es dos servi os de DNS FTP NTP e WEB Vale ressaltar que n o foi aplicado nenhum processo de hardening para manter os sistemas mais seguros B Fase 2 Controle de Dados O controle de dados recebidos e enviados no ambiente honeynet virtual de autocontenc o tem como finalidade filtrar quais dados podem ir para qual destino E
52. Brasil E mail werneck bwph pdf gov br 59 www lCoFCS org 2015 a depender de dados fornecidos pelo provedor de aplica o provedor de conex o e em alguns casos de estabelecimento p blico ou privado Sem eles n o poss vel descobrir o local de onde a conex o foi realizada e consequentemente estabelecer a autoria das a es A aplica o da metodologia em outras plataformas e servi os de jogos online uma das possibilidades de trabalhos futuros Outra possibilidade a avalia o do impacto da utiliza o de servidores proxy e outras t cnicas de camuflagem na metodologia proposta especialmente na coleta de vest gios REFER NCIAS 1 Brackeen David Barker Bret Vanhelsuw Laurence Developing Games in Java New Riders 2003 Call of Duty dispon vel em http www callofduty com acessado em 30 05 2015 Cardoso N gila Magalh es Hashimoto Yuri Campos da Silva Keith Maila Domingos Maia Anderson Trindade Redes sociais a nova arma do crime cibern tico O efeito do uso da engenharia social e da esteganografia The International Journal of Forensic Computer Science ICoFCS 2011 CGI dispon vel em http cg1 br acessado em 30 05 2015 Fullerton Tracy Game Design Workshop A Playcentric Approach to Creating Innovative Games A K Peters CRC Press 2014 Mcshaffry Mike Graham David Game Coding Complete Course Technology PTR 2012 Mota Filho Jo o Eri
53. Contratos 34 009 2 tomada de pres 39 394 24 035 4 prego 219647 5 dispensa de licitallo 89 478 6 __ inexigibilidade 45 378 TOTAL 451 941 Cada Dataframe era constituido por 17 campos contendo as seguintes informa es Tabela II TABELA II CAMPOS DOS DATAFRAMES FIOS Sesi 6 Jicha o associada Referencia a licita o que originou a conta o Origem da licita o que gerou o contrato Pre o praticado SISPP ou 7 origem_licitacao Registro de pre o SISRP Eme Campo seguido pelo n mero do contrato seguido do respectivo ano Descri o do objeto a partir de uma descri o de item servi o objeto informada o escoa eom amedatdatedolclapio 7 UNA dao 12 cpf contratada com a modalidade de licita o valor inicial Valor inicial do contrato 14 15 16 7 1 E An lise dos Dados Ap s a extrac o dos dados passou se ao tratamento e an lise dos mesmos Inicialmente identificaram se os campos necess rios para a busca dos padr es de acordo com a descri o da hip tese ou seja o CNPJ ou CPF do fornecedor contratado e a unidade administrativa contratante UASG Em seguida para cada dataframe elaborou se um novo dataframe compreendendo apenas os campos UASG CNPJ ou CPF contratado conforme modalidade de licita o e o n mero de contratos celebrados ente os dois Para tal utilizou se a seguinte func o R ddply dataframe c uasg cnpj contratada summar
54. Depiction of possible ambiguity in signal propagation direction where U CMXM and VN are unitary matrices called the left singular vectors and right singular vectors of X and A CAN is pseudo diagonal matrix containing the singular values of X The signal subspace Es CUXL of X can be constructed by selecting only the left singular vectors related to the d largest singular values The remaining singular vectors form the noise subspace Ey CMXM 4 of X Equivalently eigenvalue decomposition can be applied on the auto correlation matrix Rxx of X spanning the same subspace Rxx EXE 9 where E CMXM and Y CMXM contains the eigenvectors and eigenvalues of Rxx The eigenvectors related to the L largest eigenvalues span the same signal subspace Es of the single value decomposition The same holds for the noise subspace of the EVD and left singular vectors of the SVD Ey With this subspace estimate at hand the Total Least Squares TLS ESPRIT 12 is applied The high accuracy provided by the ESPRIT algorithm is capable of yielding very precise results for the position estimation For multidimensional arrays another option is to employ methods based on the PARAFAC decomposition such as 13 14 instead of ESPRIT HI LOCALIZATION It is important to notice that the DOA is given with respect to the reference of the x axis and cannot distinguish between front or back Figure 1 displays this ambiguity The result is th
55. Dessa matriz s o consideradas apenas as amostras que apresentem valores de banda de F e F menores que a m dia obtida para cada caso e que com continuidade ou seja que o valor da amostra presente n o tenha uma varia o maior que 15 em rela o aos blocos vizinhos feita uma nova busca por clusters que resulta em uma matriz final e nos centroides identificados Modelo de agrupamento a busca de centroides realizado atrav s do m todo k means o qual consiste no agrupamento sobre os padr es de entrada formantes F e F2 em k grupos sendo k um par metro definido a priori O algoritmo executado em duas etapas principais Na primeira etapa cada padr o de entrada atribu do ao agrupamento mais pr ximo que esse se 26 1 encontra sendo a medida de proximidade representada pela distancia euclidiana entre cada padr o e o centro do agrupamento Na segunda etapa realizado o c lculo dos novos centros atrav s da m dia aritm tica entre a localizac o de todos os pontos associados a cada centro definido na primeira etapa O processo se repete at que nenhuma nova alterac o seja verificada nos agrupamen tos ou se um determinado n mero de itera es tenha ocorrido No fim do algoritmo cada padr o de entrada est associado a um dos agrupamentos definidos Esse processo garante que a minimizac o da dist ncia intra grupos seja atingida no final das itera es sendo essa a principal motiva o da escolh
56. Directional aspects of forensic gunshot recording em Anais do AES 39th International Conference Audio Forensics Practices and Challenges Hillerod Dinamarca 2010 Thumwarin P Matsuura T Yakoompai K Audio forensics from gunshot for firearm identification em Anais do IEEE 4th Joint International Conference on Information and Communication 13 7 8 9 10 11 12 www ICoFCS org 2015 lechnology Electronic and Electrical Engineering lailandia pp 1 4 2014 Freire I L e Apolinario J A GCC based DoA estimation of overlapping muzzleblast and shockwave components of gunshot signals em Anais do IEEE Second Latin American Symposium on Circuits and Systems LASCAS Bogota pp 1 4 2011 Calderon P Manolo D e Apolinario J A Shooter Localization based on DoA Estimation of Gunshot Signals and Digital Map Information em IEEE Revista IEEE America Latina Latin America Transactions 13 2 441 447 2015 Thumwarin P Prasit C e Matsuura T Firearm identification based on rotation invariant feature of cartridge case em Anais do IEEE SICE Annual Conference T quio Japao pp 45 49 2008 Tocchetto D Balistica Forense Aspectos T cnicos e Juridicos 7 ed Campinas Millenium Editora 2013 p 30 32 Sitio http www municion org Acessado em 30 de abril de 2015 Boelkes T e Hoffmann I Pipe Diameter and End Correction of a Resonant Standing Wave International
57. Disponivel em lt http xenserver org gt Acessado em 10 04 2015 THE HONEYNET PROJECT Know Your Enemy Honeywall CDROM Roo Agosto de 2005 Disponivel em lt http old honeynet org papers cdrom roo gt Acessado em 02 04 2015 THE HONEYNET PROJECT Roo CDROM User s Manual Maio de 2007 Disponivel em lt http old honeynet org tools cdrom roo manual 6 maintain html gt Acessado em 02 04 2015 THE HONEYNET PROJECT Know Your Enemy Sebek Novembro de 2003 Dispon vel em lt http www honeynet org papers sebek gt Acessado em 05 04 2015 KALI LINUX Our Most Advanced Penetration Testing Distribution Ever Dispon vel em lt https www kali org gt Acessado em 20 04 2015 SNORT Snort FAQ Dispon vel em lt https www snort org faq readme thresholding gt Acessado em 22 04 2015 www ICoFCS org 2015 DOI 10 5769 C2015010 or http dx doi org 10 5769 C2015010 Estudo de Rotulos de Tempo em Sistemas de arquivos HFS Arelian Monteiro Maia Felippe Pires Ferreira e Lindeberg Pessoa Leite Resumo Para an lise pericial de um sistema de arquivo os metadados armazenam dados relevantes principalmente os r tulos de tempo Dessa modo este trabalho objetiva determinar o comportamento dos r tulos de tempo do sistema de arquivos HFS em diversos cen rios na plataforma OS X vers es Mave ricks e Yosemite Em uma m quina virtual Mavericks e Yosemite realizaram se simula es de opera es comuns com
58. Essa substitui o pode ser feita utilizando a ferramenta LGTool http www lgtoolnet ou utilizando o fastboot Neste experimento a substitui o foi feita com o utilit rio fastboot pois a ferramenta LGTool propriet ria e necessita de ativa o Embora o boot loader padr o do P920h fome a suporte n o existe uma combina o de teclas documentada para iniciar o telefone no modo fastboot Para isto foi utilizado o software Omap4Boot for optimus desenvolvido pela comunidade XDA Developers e de c digo fonte aberto 22 Este software foi criado para ser utilizado em procedimentos de recupera o de celulares com chipset OMAP44XX que n o estejam inicializando permitindo que o usu rio consiga fazer o boot tanto no modo download como no modo fasboot Neste trabalho a ClockworkMod vers o 6 0 1 9 compat vel com o P920h foi utilizada Em seguida o celular deve ser ligado no modo fastboot sendo o software Omap4Boot for optimus utilizado nesse momento Ap s a descompactacgao o arquivo start fastboot bat deve ser executado Ent o apresentada uma tela solicitando qual o modelo do telefone A op o 2 Optimus 3D P920 deve ser selecionada Agora a mesma tela apresenta uma mensagem informando que o telefone deve ser conectado a USB conforme ilustra a Figura 11 ry v5 8 1 5 ClockworkMod Recove Fig 11 P920h apresentando o recovery mode com ClockworkMod Nesse momento o telefone desligado deve ser conectado a USB
59. ISSN 2045 6743 online Dispon vel em http www internetjournalofcriminology com Acesso em 19 de Abril de 2015 p 02 tradu o nossa Charvat J P I A G Cyber Terrorism A New Dimension in Battlespace Dispon vel em https ccdcoe org publications virtualbattlefield 05_CHARV AT Cyber 20Terrorism pdf Acesso em 19 de Abril de 2015 P 02 tradu o nossa Jarvis L Nouri L amp Whiting A 2014 Understanding Locating and Constructing Cyberterrorism In Chen T Jarvis L amp Macdonald S eds 2014 Cyberterrorism Understanding Assessment and Response New York Springer Disponivel em http www springer com computer information systems an d applications book 978 1 4939 0961 2 Acesso em 19 de Abril de 2015 p 34 35 traduc o nossa Weimann G 2005 The sum of all fears Studies in Conflict amp Terrorism 28 2 p 133 Weimann G 2004 Us Institute of Peace December Special Report 119 online Disponivel em http webcache googleusercontent com search q cache W8c hjRrxOAMJ www usip org sites default files sr119 pdf amp cd amp hl pt BR amp ct clnk amp gl br Acesso em 19 de abril de 2015 p 05 tradu o nossa Para entendimento maior sobre a preferencia do uso do autor ver Awan 2014 Debating the term cyber terrorism Issues and problems nternet Journal of Criminology ISSN 2045 6743 online Algemene Inlichtingen en Veiligheidsdienst AIVD 2012 Jihadism on the Web A Breedi
60. Observa se que os resultados pr ticos apresentaram razo vel ader ncia ao modelo te rico proposto ainda que simplificado conforme evidenciado na Tabela HI A exce o neste caso ocorreu para o calibre CBC 40 S amp W que obteve o maior NRMSE em rela o a modelagem f sica proposta 0 5 2 TABELA III VALIDA O DO MODELO PROPOSTO MARCA Faixa Frequ ncias Valor Te rico NRMSE CALIBRE Observadas Hz E Hz CBC 9 MM 11150 a 11250 a eae LUGER 8050 a 8450 iol hol 1967 S amp W E sere sro AUTO AUTO 12426 0 0286 Dentre as vantagens da abordagem proposta encontram se a dispensabilidade de inumeras variaveis citadas na literatura para a interpretac o e an lise satisfat ria do tiro a partir de uma grava o tais como a disposi o de objetos obst culos e natureza do pr prio ambiente de ocorr ncia dos disparos se aberto ou fechado informa es acerca da muni o empregada efeitos do vento e umidade posi o relativa e ngulo de dire o do atirador em rela o ao equipamento gravador 2 5 Estes par metros em muitas ocasi es s o desconhecidos pelo perito Como na abordagem proposta as frequ ncias analisadas dependem exclusivamente do material e dimens es f sicas do estojo a constata o deste evento ac stico ainda que isoladamente j possibilitaria ao perito estabelecer infer ncias independentemente de informa es do local de crime Dentre as desvantagens do m todo encontr
61. SC 177 100 114 223 VCB Maca RJ 177 106 213 223 CTBC Uberlandia MG 177 106 245 43 CTBC Uberlandia MG 177 141 117 100 Virtua Sao Paulo SP 177 179 234 217 Oi Velox Rio de Janeiro RJ 177 193 12 107 Virtua Sao Luis MA 179 197 122 237 Oi Velox Brasil 186 220 199 241 Virtua Sao Paulo SP 187 35 24 94 Vivo Sao Paulo SP 187 39 71 57 Virtua Pindamonhangaba SP 187 39 163 177 Virtua Bento Gongalves RS 187 112 240 107 GVT Cascavel PR 189 1 174 20 Hostlocation S o Paulo SP 189 6 13 13 Virtua Brasil 189 27 84 106 GVT Campo Grande MS 189 73 249 39 BR Telecom DF MS 189 81 47 23 Velox Joao Pessoa PB 189 85 178 19 Newsite Palhoca SC 189 102 45 194 Virtua Sao Paulo SP 189 102 126 154 Virtua Sao Paulo SP 189 120 250 17 Virtua Sao Paulo SP 189 123 225 196 Virtua Curitiba PR 190 176 222 87 Telefonica Argentina 200 193 245 146 BR Telecom DF Brasilia DF 200 206 146 200 Vivo Indaiatuba SP 201 22 89 163 GVT Maringa PR 201 52 52 162 Virtua Sao Paulo SP 201 74 34 15 Virtua Sao Bernardo SP 201 86 0 95 GVT Curitiba PR 201 92 213 21 Vivo Santana de Parna ba SP S o destacados na Tabela II em negrito os endere os IPs sediados no Distrito Federal O IP 177 133 29 165 foi o nico a se manter nos jogos le 2e o IP 177 17 138
62. Scholastic Journal of Science Journal of Physics Vol 5 Iss l 2011 www ICoFCS org 2015 DOI 10 5769 C2015002 or http dx doi org 10 5769 C2015002 Protecao da Prova Documental Impressa e Digitalizada com a Utiliza o de Watermarking Felippe Pires Ferreira Resumo O artigo prop e um m todo para disponibiliza o de documentos sigilosos durante o inqu rito policial que pode ser estendido a outros documentos introduzindo o elemento de seguran a conhecido como watermarking Este elemento permitir vincular uma c pia de documento a seu destinat rio inicial e em casos de vazamento de informa o permitir identificar a origem da c pia O m todo possibilitaria incluir uma watermark em um documento eletr nico edit vel e recuper la em documentos impressos ou digitalizados bastando apenas um fragmento do texto O m todo baseado na semelhan a entre caracteres de diferentes fontes de texto os quais ser o utilizados para cria o de uma codifica o identificadora da origem do documento Palavras Chave Marca d gua C pia de Documento C pia Impressa Digitaliza o Inqu rito Policial Fonte de Texto Abstract This article proposes a method for available classified documents during the police investigation which can be extended to other documents introducing the security element known as watermarking This element will link a document copy to its initial recipient and in cases of information le
63. TcpLen 32 TCP Spars 3 gt NOP NOP TS 4059720 424841 78 74 OD OA 5 ee es ee es 04 30 14 38 02 925181 CA 1C DA 84 5 98 gt 0 15 5D 47 1 8 type 0x800 len 0x68 172 30 20 21 21 gt 172 30 20 100 38237 TCP TTL 64 TOS 0x0 ID 57864 IpLen 20 DgmLen 90 DF Ap Seg OxCOC4D71A Ack 0x9CE3035F Win 0x712 TcpLen 32 TCP Options 3 gt NOP NOP TS 449165 4059720 JLo 35 35 30 20 73 65 6D 69 6E 61 72 69 6F 2E 74 787 550 seminario t 74 3A 20 50 65 72 6D 69 73 73 69 6F 6E 20 64 Es t Permission de E 6E 69 65 64 OD OA A a Fig 17 Explora o de ataque no Honeypot FTP Neste mesmo cen rio continuando a an lise do ataque no Honeypot FTP a Figura 17 mostra ainda que o intruso di www ICoFCS org 2015 conseguiu entrar no diret rio Documentos do servidor e fazer upload do arquivo semin rio txt O intruso tentou tamb m remover o arquivo seminario txt mas a captura do pacote mostra que ele n o teve sucesso Permission denied VI CONCLUSOES Neste trabalho um ambiente honeynet virtual de autoconten o foi desenvolvido como solu o de pesquisa para analisar vulnerabilidades e acompanhar novas formas de atividades de intrusos em redes O desenvolvimento do ambiente proposto foi dividido em tr s fases buscando uma otimiza o dos processos apresentados Na primeira fase mostramos a arquitetura proposta definindo o hypervisor utilizado e descrevendo como o honeywall e os honeypots
64. Terrorismo do S culo 21 e a eletr nico C mara dos Deputados Comiss o de Rela es Democracia Ta Semiui o Mico Teronimo Exteriores e de Defesa Nacional Bras lia C mara dos Grandes Eventos 2013 Bras lia DF Terrorismo e grandes Deputados Edi es C mara 2014 p 64 eventos recurso eletr nico C mara dos Deputados 30 Daher D Terrorismo e Grandes Eventos In Semin rio Comiss o de Rela es Exteriores e de Defesa Nacional Internacional Terrorismo e Grandes Eventos 2013 Bras lia Bras lia C mara dos Deputados Edi es C mara 2014 DF Terrorismo 6 grandes eventos recurso P 34 grifo nosso eletr nico C mara dos Deputados Comiss o de Relac es 22 Mariani C B Como o Brasil est inserido no combate Exteriores e de Defesa Nacional Bras lia Camara dos internacional ao terrorismo Disponivel em Deputados Edi es Camara 2014 P 78 http relacoesinternacionais com br politica externa como o 31 Arruda J C Terrorismo e Grandes Eventos In Semin rio brasil esta inserido no combate internacional ao terrorismo Internacional Terrorismo e Grandes Eventos 2013 Bras lia Acesso em 22 de Abril de 2015 grifo nosso DF Terrorismo e grandes eventos recurso 23 BRASIL Constitui o 1988 Constitui o da Rep blica eletr nico C mara dos Deputados Comiss o de Rela es Federativa do Brasil texto constitucional promulgado em 5 Exteriores e de Defesa Nacional Bras lia C mara dos de outubro de
65. Zero day exclusivas Entre a lista de parceiros estrat gicos desta empresa est o o Departamento de Defesa Americano a DARPA o NSSLabs a Fortinet entre outros F HACKING TEAM Hacking Team uma empresa italiana que prov tecnologias ofensivas de comando e controle para ag ncias de intelig ncia e de seguran a Seu principal produto faz uso de exploits e vulnerabilidades para ser capaz de permitir controle remoto de diversas plataformas Existem relatos em fontes abertas 21 que apontam o uso de produtos desta empresa em pelo menos 30 pa ses incluindo Sud o Azerbaij o Ar bia Saudita Marrocos e Emirados rabes G AGT A Advanced German Technology AGT uma empresa alem que oferece diversos produtos e solu es Entre elas ofertado um sistema de comando e controle com t cnicas avan adas de furtividade e explora o de vulnerabilidades para controle remoto de diversos dispositivos A lista de clientes da AGT inclui ag ncias de seguran a e for as da lei 96 www ICoFCS org 2015 H RAPID7 A Rapid uma empresa americana o bra o comercial do framework de explora o de falhas opensource conhecido como Metasploit 14 A empresa possui diversos produtos e servi os que variam de gerenciamento de vulnerabilidades at explora o de falhas e desenvolvimento de exploits A lista de clientes da Rapid inclui governos ag ncias de sa de de telecomunica o de energia de finan as
66. a Gr fico F4 x F2 com todos os valores de formantes b Gr fico F x F2 com os valores de formantes nas janelas de an lise com valor de frequ ncia fundamental dist ncia euclidiana o valor de refer ncia mais pr ximo sendo determinada a vogal correspondente Calculou se ent o conforme apresentado na Tabela III os percentuais das diferen as entre os formantes de cada centro e dos respectivos valores de refer ncia em rela o aos pr prios valores obtidos para os formantes Tais percentuais variam entre 0 2 e 49 5 para F e entre 0 1 e 16 1 para F5 Entretanto quando se leva em considera o n o apenas o ponto central mas tamb m a rea da regi o correspondente atrav s de seu desvio padr o das amostras referentes a cada cluster Tabela IV a dist ncia entre o limite das regi es as refer ncias consideravelmente baixo conforme pode se observar nos valores da Tabela V Constata se que em todos os casos houve centros iden tificados coincidindo com a refer ncia para vogal posterior m dia baixa 2 e com a refer ncia para vogal anterior alta ou m dia alta i ou e Tamb m se observa que centros coincidindo com a vogal anterior m dia baixa ocorreram em nove amostras coincidindo com vogal central baixa a foram menos frequentes ocorrendo em apenas tr s casos e 21 Sinal de fala original ZCR STE Espectrograma banda estreita com sobreposi o da curva de pitch sem reas d
67. a nos quatro cen rios o que a torna um caractere indicado para compor o subconjunto C Propriedade esta que n o verdadeira para todos os caracteres de um alfabeto o seu caminho mas o perverso pela sua falsidade cair Fig 12 Resolu o de 200 dpi 19 Fig 14 Comparativo entre digitaliza es do caractere a A Digitaliza o em escala de cinza B Digitaliza o em resolu o de 75 dpi C Digitaliza o em resolu o de 200 dpi D Digitaliza o em resolu o de 600 dpi Outro ponto a ser destacado a distor o que algumas letras sofrem no processo de digitaliza o Portanto as varia es dos caracteres selecionados para o subconjunto C devem ser avaliadas para que n o sejam ofuscadas pelo processo de digitaliza o Como a t cnica de recuperac o poder ser empregada sobre imagens de baixa qualidade o tratamento da imagem pode ser uma etapa anterior aplica o do algoritmo A manipula o de brilho e contraste de imagens podem acentuar as caracter sticas das letras como ilustra a figura 15 que foram submetidas a tratamento Como uma imagem em escala de cinza atrav s da equalizac o do histograma da imagem obtemos uma melhor distribuic o de cores ao longo do histograma 21 Assim realcando as caracter sticas das imagens e destacando as formas dos caracteres Fig 15 DigitalizacOes do texto ap s o tratamento de brilho e contraste Imagem do texto atrav s de
68. a JApril 30th 14 16 05 00 00 06 A 172 30 20 100 0 172 30 20 21 TCP 37492 37492 2 kB 16 pkts gt 22 ssh 26 UNKNOWN lt 3 kB 21 pkts e April 30th 14 16 11 00 00 03 172 30 20 100 0 172 30 20 21 TCP 37493 37493 1 kB 14 pkts gt 22 ssh 26 UNKNOWN lt 2 kB 17 pkts Fig 12 Captura do ataque de for a bruta com medusa o 04 30 14 16 05 155091 0 15 5D 47 1 8 gt CA 1C DA 84 5 08 type 0x800 len 0x56 172 30 20 100 37492 gt 172 30 20 21 22 TCP TTL 64 TOS 0x0 10 19439 IpLen 20 DgmLen 72 DF RRRADR Seg OXABS4A7ED Ack 0xC8892E29 Win OxES TcpLen 32 TCP Options 3 gt NOP NOP TS 3730433 119684 Fig 13 Informa es de cabe alho do ataque de for a bruta a a a a e a a 04 30 14 16 05 155091 0 15 5D 47 1 8 gt CA 1C DA 84 5 98 type 0x800 len 0x56 172 30 20 100 37492 gt 172 30 20 21 22 TCP TTL 64 TOS 0x0 1D 19439 IpLen 20 DgmLen 72 DF RRRPDARR Seq OxAB34ATED Ack 0xC8892E29 Win OxE5 TcpLen 32 ICP Options 3 gt NOP NOP TS 3730433 119684 93 53 48 2D 32 2E 30 2D 4D 45 44 55 53 41 SF 317 55H 2 0 MEDUSA 1 2E 30 0D OA a aa ds ias 04 30 14 16 05 164615 CA 1C DA 84 5 98 gt 0 15 5D 47 1 8 type 0x800 len 0x69 172 30 20 21 22 gt 172 30 20 100 37492 TCP TTL 64 TOS 0x0 1D 64942 IpLen 20 DomLen 91 DF RADAR Seq 0xC8892E29 Ack 0xAB34A801 Win 0x712 TcpLen 32 TCP Options 3 gt NOP NOP T5 119687 3730433 53 53 48 2D 32 2E 30 2D 4F 70 65 6E 53 53 48 E 55H 2 0 Open5SH 36 E 30 70 31 20
69. a NSA e advers rios americanos como o grupo Guardas Revolucion rios do Ira C NETRAGARD A Netragard uma empresa americana que atua no mercado de seguran a com desenvolvimento de exploits e testes de penetrac o A empresa trabalha com uma plataforma proprietaria denominada Real Time Dynamic Testing que segundo a propria empresa diferente de produtos comuns e ferramentas automatizadas A empresa mant m times permanentes de pesquisa em vulnerabilidades e desenvolvimento de exploits Segundo algumas fontes abertas 19 a lista de clientes desta empresa restrita aos Estados Unidos D ENDGAME SYSTEMS A Endgame Systems uma empresa americana que lida com intelig ncia em seguran a da informa o e an lise de dados Segundo dados da pr pria empresa os produtos ofertados permitem uma visibilidade em tempo real em seus dom nios digitais e atrav s de uma variedade de aplica es que permitem resolver a mais variada gama de problemas digitais Segundo relatos de fontes abertas 20 a lista de clientes inclui a NSA a Marinha e a For a A rea Americanas al m da CIA Intelig ncia Brit nica e Comando Cibern tico Americano E EXODUS INTELLIGENCE A Exodus Intelligence uma empresa americana que lida com pesquisa e desenvolvimento de solu es de seguran a cibern tica Sua miss o institucional prover aos clientes informa es confi veis e relacionadas a um contexto para suas vulnerabilidades e exploits
70. a recovery method for WhatsApp application s deleted messages which occurs in stored database using database management system SQLite available on the Android platform In the technique s development was examined the internal structures of the SQLite database file with potential interest for a forensic investigation of this nature Specifically the unallocated freespace and deallocated freeblocks regions of SQLite databases were explored focusing on structured recovery of WhatsApp application messages Keywords Forensics Analysis Android Data Recovery WhatsApp SQLite Freeblock Freespace I INTRODUCAO WhatsApp uma aplicac o de mensagens instant neas com vers es dispon veis para smartphones com os sistemas Android BlackBerry iPhone Windows Phone e Symbian e at janeiro de 2015 atingiu a marca de 700 milh es de usu rios 1 A plataforma Android j contabilizou segundo Gartner 2 mais de um bilh o de usu rios em 2014 liderando o mercado de sistemas operacionais 2 Em 2014 os exames de inform tica em aparelhos de telefonia celular que utilizam WhatsApp sobre plataforma Android representaram grande parte dos exames periciais em dispositivos m veis que foram requisitados ao Instituto de Criminal stica da Pol cia Civil do Distrito Federal e em muitos casos o examinador necessitou pesquisar a exist ncia de vest gios de mensagens apagadas ou fragmentos destas no dispositivo O m todo que ser a
71. alta u e o Tal comportamento sugere que a articula o das vogais an teriores m dia alta ou alta e da posterior m dia baixa para os falantes em quest o seriam mais est veis Contudo ressalta se que faz se necess ria a investiga o mais pormenorizada de cada regi o para verificar influ ncia de coarticula o de fonemas nasais assim como de fonemas voc licos tonos www ICoFCS org 2015 TABELA II REFER NCIA VALORES DE REFER NCIA OBTIDOS EM PESQUISA REALIZADA PELO GRUPO DE ESTUDOS DE SONS DA FALA DA UTFPR 22 Amostra Formante TATA lel e lal 9 o u GCI F1 Hz 354 5 397 5 628 0 996 3 623 0 407 0 381 8 F2 Hz 24420 24133 1937 3 13735 1055 3 736 0 828 3 GC F1 Hz 327 5 434 0 703 0 1036 5 680 5 421 5 349 8 F2 Hz 2286 5 1649 3 1755 5 1520 3 1041 3 882 5 941 5 GC3 F1 Hz 328 5 429 8 555 8 886 0 6190 442 5 412 8 F2 Hz 2314 5 2369 3 2055 0 16240 1187 3 9125 1003 5 GC4 Fl Hz 362 3 544 3 709 0 906 8 653 8 459 0 420 0 F2 Hz 2323 5 21180 18088 1386 0 1007 5 817 8 860 3 GCs F1 Hz 321 3 433 8 609 0 750 5 658 3 430 5 335 0 F2 Hz 2388 8 2175 8 19790 1533 3 1197 3 830 3 768 8 GC6 F1 Hz 389 3 435 5 631 3 760 3 579 3 437 5 388 5 F2 Hz 2251 0 2326 5 2085 3 1440 8 10425 704 5 859 0 GC7 F1 Hz 330 8 472 0 655 5 877 5 663 8 431 5 378 3 F2 Hz 2205 0 2098 3 1767 5 1455 0 1043 8 904 5 863 8 GCS F1 Hz 370 0 474 8 673 5 1063 5 681 8 478 8 442 3 F2 Hz 2453 8 2175 8 2095 5 16535 11363 867 0 9
72. amos essas especifica es em algoritmos ALGORITMO PARA INSER O DE MARCA D GUA EM TEXTO Obter Watermark Obter Subconjunto C Caracteres de forma vari vel Enquanto texto n o acabar Fa a Pr ximo caractere do texto Se letra pertence ao subconjunto C Ent o Se letra um caractere v lido Ent o Regras Se pr xima letra Watermark 1 Ent o Alterar forma da letra no texto Fim Se 10 Fim Se 11 Fim Se 12 Fim Loop OM NAM NH ALGORITMO PARA RECUPERA O DE MARCA D GUA 1 Obter Subconjunto C 2 Enquanto Texto n o acabar Fa a 3 Pr ximo caractere do texto 4 Se letra pertence ao subconjunto C Ent o 5 Se letra um caractere v lido Ent o Regras Se letra tem a forma alterada Ent o Watermark Watermark 1 6 7 8 Sen o 9 Watermark Watermark 0 Fim_Se Fim_Se Fim_se 13 Fim_Loop 11 Na linha 6 do algoritmo de inser o de watermark Tabela I e na linha 5 do algoritmo de recuperac o de watermark Tabela II a verifica o se o caractere v lido baseia se nas regras descritas nesta se o para que o algoritmo ignore letras que s o de tamanhos distintos d grafos est o em caixa alta ou fazem parte de alguma legenda Para ilustrar a utiliza o da t cnica proposta foi definido um cen rio de testes com duas marcas d gua com tamanhos diferentes A primeira possui o tamanho de 16 bits com pre mbulos de 4 bits e o c digo identificador de 8 bits A segund
73. an lise de tr fego de rede pode ser aplicada para os modelos de conex o que envolvam m ltiplos jogadores por meio de uma conex o com a rede local ou com a Internet como mostrado na Tabela I Nela s o relacionados os modelos apresentados por McShaffry e Graham 6 e a possibilidade de se realizar a captura do tr fego de dados na rede 54 65 66 Rania Jogador CCC nn CCC EEE EEOE Roteador Servidor Jogos Provedor de Internet een Jogo a aa Console de Jogo eee even Fig 2 Modelos de conex o dos sistemas de jogos Fonte Adaptado de McShaffry e Graham 6 TABELA I PRINCIPAIS CARACTER STICAS DOS MODELOS DE CONEX O Internet onex o com An lise de Tr fego Remota Intera o dos jogadores Provedor de Conex o Servidor de Jogos An lise de Tr fego Local C a E EC CA E O EA EA KA EA Jogo Multijogador c Conex o Direta wpa fet Jogo Multijogador c Conex o Rede Local A A O m todo de investigac o apresentado neste trabalho adequado para os modelos de arquitetura de jogos de Rabin 9 do tipo multiplayer ou seja para aqueles jogos que envolvem 2 ou mais jogadores interagindo entre si por meio de uma conex o de Internet e ainda sabendo se o nome virtual do alvo e interagindo com ele Bb Identifica o de autoria por meio de endere os IP Os jogos multijogadores online utilizam o proto
74. and Aaron Walters The Art of Memory Forensics Detecting Malware and Threats in Windows Linux and Mac Memory John Wiley amp Sons 2014 Hun Ya Lock Using ioc indicators of compromise in malware forensics 2013 http www sans org reading room whitepapers forensics ioc indicators compromise malware forensics 34200 Cameron H Malin Eoghan Casey and James M Aquilina Malware forensics investigating and analyzing malicious code Syngress 2008 Mih ly Oroszl ny Rootkits under windows os and methods of their detection Masaryk University Faculty of Informatics 2008 http is muni cz th 139801 fi_b Bc paf Mark Russinovich David A Solomon and Alex Ionescu Internals Part 1 6th Edition Microsoft Press 2012 Rob Seger Hunting the mutex 2014 http researchcenter paloaltonetworks com 2014 08 hunting mutex Johannes Stiittgen and Michael Cohen Anti forensic resilient memory acquisition Digital Investigation 10 S105 S115 2013 Chad Tilbury Memory forensics SANS Computer Forensics and Incident Response 2012 http software msu montana edu free ISSA Memory 20Forensics 20Made 20Easy 20SolvingS20Cases 20withS20the 20NewS20Breed 200of 20Tools Tilbury 5 22 2012 pdf Stefan V mel and Felix C Freiling A survey of main memory acquisition and analysis techniques for the windows operating system Digital Investigation 8 1 3 22 2011 Guangmingzi Yang Zhihong Tian and Wenliang Duan The prevent of advanced persiste
75. auditados realizado por den ncias amostragem aleat ria montante dos recursos envolvidos aus ncia de presta o de contas ou outros Tais crit rios por sua vez implicam na n o identifica o de irregularidades em muitos contratos analisados e permitem que o restante dos contratos n o sofra nenhum tipo de auditoria externa A fim de criar um crit rio alternativo uma an lise autom tica em todos os contratos realizados na administra o p blica poderia identificar padr es por tipos de objeto e apontar aqueles com maior possibilidade de ocorr ncia de irregularidades Al m disso o surgimento de nova modalidade de licita o como o Regime Diferenciado de Contrata o RDC que flexibiliza a obrigatoriedade de exist ncia pr via de projeto executivo e or amento detalhado para contrata o de obras e servi os de engenharia torna ainda mais necess rio o Cirilo Max Macedo de Morais Mestrado Profissional em Engenharia El trica com nfase em Inform tica Forense e Seguran a da Informa o Departamento de Engenharia El trica Universidade de Bras lia Campus Universit rio Darcy Ribeiro Pr dio CIC EST Asa Norte 70910 900 Bras lia DF Brasil e mail cirilomax gmail com e D bio Leandro Borges Departamento de Ci ncia da Computa o Universidade de Bras lia Campus Universit rio Darcy Ribeiro Pr dio CIC EST Asa Norte 70910 900 Brasilia DF Brasil e mail dibio unb br 98 conheciment
76. baixo do modelo OSI n vel 2 56 www ICoFCS org 2015 Na fase de coleta de dados de tr fego deve se iniciar a grava o da execu o do jogo e a coleta dos dados de rede os quais podem ser extra dos atrav s do uso de softwares espec ficos como o Wireshark 12 e o Tepdump 10 Ap s a execu o do jogo deve se localizar dentro do ambiente virtual do jogo o alvo Nesse momento ser necess ria alguma intera o com o alvo para que ocorra alguma troca de mensagens e dessa forma ocorra a transmiss o de pacotes IP Durante a fase de an lise dos dados coletados o perito dever aplicar os filtros necess rios para extrar os IPs possivelmente relacionados com o alvo Pode se proceder ent o a busca pela localiza o aproximada e tamb m as informa es do provedor de conex o de onde foi realizada a conex o que utilizou cada um dos IPs extra dos Por fim os resultados dessas pesquisas dever o ser reportados no laudo pericial IV ESTUDO DE CASO O m todo descrito na Se o III foi aplicado na investiga o de um caso real de furto em uma resid ncia Dentre os objetos furtados nessa resid ncia havia um equipamento Sony Playstation 3 PS3 15 Dessa forma foi percebido pela v tima que o criminoso ou receptador estava utilizando o perfil da v tima e jogando online o jogo Call of Duty Black Ops 2 2 por meio do PS3 furtado pois esse equipamento havia sido configurado para fazer o login autom tico na
77. circunst ncias extemas Fig 3 Recupera o da marca d gua do texto protegido De posse da marca d gua e do texto o algoritmo de inser o do elemento de seguran a iniciado Tabela I Como a watermark uma sequ ncia de bits a cada representa o 1 da marca d gua o pr ximo caractere do texto que est presente no subconjunto C ter sua forma substitu da A cada representa o 0 o pr ximo caractere do texto que est presente no subconjunto C ter sua forma original mantida Desta maneira a mudan a de caracteres no texto depender da quantidade de n meros 1 presentes na watermark O algoritmo ser executado sobre todo o texto ent o ap s a execu o do ltimo d gito da watermark realizada uma nova itera o da mesma marca d gua sobre os caracteres restantes do texto Para evitar que seja percebida a altera o no texto por um leitor algumas regras de modifica o de caracteres s o utilizadas Caso ocorram casos de repeti o de caracteres consecutivos como rr ss ee oo entre outras O algoritmo ignora os caracteres 17 www ICoFCS org 2015 Caracteres em caixa alta s o ignorados T tulos ou palavras em destaque que utilizem negrito it lico ou que utilizem tamanho de fonte diferente do padr o do documento ser o ignorados pelo algoritmo Legendas de imagens tabelas e notas de rodap tamb m s o ignoradas pelo algoritmo Transformando ter
78. crime e seu autor 7 B Android OS O Android um sistema operacional m vel de c digo aberto baseado no kernel 2 6 do Linux e gerenciado pela Open Handset Alliance um grupo de empresas de tecnologia lideradas pelo Google Este sistema est presente principalmente em telefones celulares Por m tamb m possivel encontr lo em tablets mini PCs televisores e GPS No comeco de 2011 se tornou o sistema operacional mais popular do mundo para celulares 4 por meio dos aplicativos que o Android oferece funcionalidades para o usu rio do celular Existem v rios tipos de aplicativos tais como jogos redes socials organizadores pessoais calend rios etc De fato at as funcionalidades b sicas do celular tais como enviar e receber mensagens e originar e receber liga es s o aplicativos 8 Alguns aplicativos armazenam dados do usu rio O aplicativo de telefone por exemplo armazena as chamadas originadas e recebidas e dura o das mesmas O aplicativo de mensagens SMS armazena as mensagens enviadas e recebidas pelo usu rio 8 Estes dados podem ser utilizados pelo perito forense na elabora o de um laudo pericial por exemplo e s o armazenados basicamente em dois locais interno e externo 4 O armazenamento externo dos dados feito por Secure Digital Card cart o SD geralmente formatado com o sistema de arquivos Microsoft FA T32 4 o que facilita o trabalho do perito uma vez que o cart o SD pode ser
79. de sua beleza O mau hum o sentimento de frustra o a amargura marcam a fisionomia ayam o brilholdos olhos cavam sulcos na face mais jovem enfeiam qualquer ros Essa a raz o porque a milllher que cultiva a beleza deve esfor ar se para ser feliz Felicidade estado de alma atmosfera n o depende de fatos ou circunst ncias extemas Texto Fig 2 Inser o da marca d gua no texto Texto Watermarking As pessoas que se comprazem no sofrimento que gostam de sentir se infelizes e fazer aos outros infelizes jamais Boderdo orgulha se de sua beleza O mau humpy o sentimento de frustra o a amargura marcam a fisionomia afigam o brilho dos olhos cavam sulcos na face mais jovem enfeiam qualquer ros Essa a raz o porque a milher que cultiva a beleza xx230932xx Watermarking A As pessoas que se comprazem no Texto sofrimento que gostam de sentir se infelizes e fazer aos outros infelizes jamais poder o orgulhar se de sua beleza O mau humor o sentimento de frustra o a amargura marcam a fisionomia apagam o brilho dos olhos cavam sulcos na face mais jovem enfeiam qualquer rosto Essa a raz o porque a mulher que cultiva a beleza deve esfor ar se para ser feliz Felicidade estado de alma atmosfera n o depende de fatos ou circunst ncias externas deve esfor ar se lara ser feliz Felicidade estado de alma atmosfera n o depende de fatos ou
80. de valida o de e mail implantar um cat logo de URLs maliciosas observadas nacionalmente fornecendo uma API de consulta para viabilizar filtros automatizados nas institui es trabalho em andamento investigar e propor mecanismos de detec o automatizada de fraudes para que o processo de triagem do Cat logo de Fraudes possa ser automatizado e assim a quantidade de fraudes analisadas seja maior REFER NCIAS 1 The Radicati Group Inc Email Statisctics Report 2014 2018 http www radicati com p 10644 acessado em 12 05 2015 2 Ollmann Gunter The Phishing Guide Understanding amp Preventing Phishing Attacks IBM Int Sec Sys Dispon vel em http www 935 ibm com services us iss pdf phishing guide wp pdf acessado em 29 04 2015 3 VirusTotal https www virustotal com acessado em 29 04 2015 4 Phishtank 29 04 2015 https www phishtank com acessado em 107 5 6 7 8 9 10 11 12 Google s Safe Browsing Diagnostic Tool https developers google com safe browsing acessado em 04 05 2015 Filtro SmartScreen http windows microsoft com pt br internet explorer products ie 9 features smartscreen filter acessado em 02 05 2015 Basnet Ram B Andrew H Sung and Quingzhong Liu Rule based phishing attack detection International Conference on Security and Management SAM 2011 Las Vegas NV 2011 Fette lan Norman Sadeh and Anthony Tomasic Learning to de
81. do Centro para Comunica es Estrat gicas Contra o Terrorismo nos Estados Unidos narrativas alternativas a exemplo do Radical Middle Way do Reino Unido como uma tentativa de di logo com grupos mul umanos sobre o papel da religi o no s culo XXI contra narrativas a exemplo do programa Say no to Terror a qual se utiliza de v rios mecanismos para criar uma contra narrativa sobre elementos selecionados da narrativa terrorista Por fim haveria ainda o papel da m dia convencional que como Ginkel coloca um tema controverso uma vez que depende dos meios convencionais de comunica o deixar se ou n o influenciar pela narrativa terrorista Como ltimo ponto de medidas no combate ao uso terrorista da internet e da pr tica do Ciberterrorismo enquanto ve culo de radicaliza o e recrutamento vale a pena lembrar o compromisso tamb m n o compuls rio legalmente da NETMundial que ocorreu em Abril de 2014 no Brasil cujo documento final menciona a quest o da seguran a da internet de forma mais geral baseada em uma forte coopera o entre os diferentes stakeholders 19 Ainda exemplos que podem inspirar o Brasil podem basear se em pa ses individualmente como Estados Unidos e Reino Unido que possuem estrat gias contra o Ciberterrorismo uma vez 85 que ambos sofreram consequ ncias f sicas da distribui o livre da narrativa terrorista Diante disso o que se torna claro que independente do que f
82. e Identificac o T cnica do Estado de Mato Grosso POLITEC URL http www politec mt gov br Resumo Grava es de disparos de armas de fogo podem ser cruciais para investiga es forenses apesar de apresentarem v rios desafios t cnicos aos peritos Prop e se neste artigo uma abordagem com perspectiva diferente das tradicionais nesta rea focando o estudo nas assinaturas ac sticas geradas pelas a es mec nicas intr nsecas ao funcionamento de armas de fogo em espec fico da queda do estojo ejetado ap s o disparo proposta a modelagem do comportamento ac stico do estojo como um tubo fechado ou seja com a presen a de frequ ncias ressonantes O modelo validado para quatro calibres de pistolas verificando o seu potencial para a determina o de calibres a partir da assinatura ac stica gerada pelo contato dos estojos ejetados ao atingir superf cies r gidas Palavras Chave Ac stica Forense Bal stica Forense Grava es de Tiros Identifica o de armas de fogo Abstract Audio gunshot recordings can be very helpful for crime scene investigation but also have many challenges for the forensic experts In this article we proposed an untraditional perspective to solve this problems Our focus is not in the muzzle blast or shock wave but in a specific mechanical action of the firearms the ejection of spent cartridges We propose an acoustical model to the casing inspired in closed tubes in ph
83. entre outros TI IMMUNITYSEC A ImmunitySec uma empresa americana que trabalha com plataforma de comando e controle desenvolvimento e implementa o de exploits A empresa possui aplica es e diversos exploits que s o amplamente testados antes da sua disponibiliza o a seus clientes J COREIMPACT A Corelmpact uma empresa americana que oferta sistemas de comando e controle e exploits para sistemas com o intuito de realizar testes de penetra o em diversos cen rios plataformas e dispositivos K GFI A Gfi uma empresa americana que oferta servicos na rea de gerenciamento de vulnerabilidades para redes de comunica o e aplica o de atualiza es de seguran a contra falhas exploradas remotamente e localmente L BEYONDTRUST A BeyondTrust uma empresa americana que prov solu es para o gerenciamento de vulnerabilidades Seus produtos lidam com a identifica o e resposta a vulnerabilidades de ataques cibern ticos M BLUECOAT A BlueCoat uma empresa americana que prov solu es na rea de Advanced Persistent Threats APTs an lise de malware e solu es de an lise de vulnerabilidades dos mais variados tipos Os produtos s o voltados para o mercado de seguran a cibern tica e possuem as mais diversas aplica es N FINFISHER A FinFisher uma empresa alem que atua no segmento de seguran a cibern tica oferecendo solu es para ag ncias governamentais de seguran a comun
84. es Existem diversas parti es recovery modificadas que podem ser utilizadas para substitui o da parti o padr o A maioria destas parti es permite acesso via ADB como root Desta forma o aparelho pode ser inicializado no modo recovery e o perito pode utilizar por exemplo a t cnica de 4DB pull para extra o dos dados O boot loader um pequeno programa respons vel por carregar o sistema operacional No ambiente Linux os principais boot loaders GRUB e LILO est o presentes na maioria das distribui es Em dispositivos com Android o boot loader respons vel por carregar o sistema operacional Android ou a parti o recovery 14 Alguns fabricantes desenvolvem seus pr prios boot loaders e softwares para interagir com eles Uma das fun es destes softwares permitir a substitui o de parti es do aparelho 4 Alguns exemplos destes softwares s o o Motorola RSD Lite o Samsung Odin Multiloader e o LG Flashtool O processo de substitui o de parti es espec fico de cada aparelho A imagem da parti o a ser substitu da deve ser compat vel com o aparelho em quest o e nem sempre a mesma imagem pode utilizada em modelos diferentes O boot loader pode estar travado ou n o Um boot loader travado somente carrega sistema operacional com assinatura v lida Da mesma forma n o poss vel mstalar uma imagem personalizada na parti o recovery Nestes casos necess rio destravar o pr prio boot
85. estimativa da International Communication Union ITU o n mero de linhas ativas de telefones celulares em 2014 de quase 7 bilh es 1 Isto torna o telefone celular um importante alvo da an lise forense uma vez que pode ser utilizado como meio para o il cito penal envio de mensagens de amea a cal nia armazenamento de imagens relacionadas a pedofilia etc ou mesmo em crimes inform ticos pr prios 2 Existem telefones celulares de diversas marcas e modelos Os aparelhos constru dos com maior poder de processamento e conectividade s o denominados smartphones V rios sistemas operacionais foram desenvolvidos para serem utilizados pelos smartphones Os mais populares sao o Android iOS Symbian Series 40 BlackBerry Samsung e Windows 3 Sibelius Lellis Vieira Professor do Departamento de Computa o PUC GOIAS e Perito Criminal do Estado de Goi s Goi nia GO Brasil sibelius pucgoias edu br e Adriano Rodrigues da Cruz Bacharel em Ci ncia da Computa o pela PUC GOIAS Programador S nior CTI SENAC GO Goi nia GO Brasil adrianohck gmail com 36 A Defini o do problema O Android se tornou o sistema operacional m vel mais popular do mundo no come o de 2011 4 Desta forma natural que a quantidade de aparelhos apreendidos para per cia com este sistema tamb m seja proporcionalmente grande Um dos recursos de seguran a que o Android possui permitir o bloqueio da tela do aparelho Esse bloqueio
86. falha cujo respons vel pelo produto ou aplica o n o teve tempo h bil para corre o antes de a falha ser explorada seja por total desconhecimento pr vio da falha seja por inexist ncia de tempo h bil de publica o de corre o antes de a falha ser conhecida e explorada Ap s a falha ser publicamente conhecida atrav s de canais oficiais de divulga o lista de seguran a entre outros ela deixa de ser considerada uma vulnerabilidade Zero day e passa a ser uma falha explor vel em condi es que atendam a vers o que atingida por determinada falha Devido as caracter sticas de desenvolvimento de determinados sistemas uma falha atinge uma nica vers o de um determinado produto ou atinge m ltiplos produtos em m ltiplas vers es Exemplo disso o caso da falha estar em uma biblioteca que base de desenvolvimento de v rios produtos B EXPLOIT Do ponto de vista t cnico um exploit 4 um trecho de c digo de programa desenvolvido e compilado para uma arquitetura de hardware ou para uma arquitetura de software ou para um tipo de aplicativo Este c digo criado com o intuito de explorar uma vulnerabilidade associada a um recurso tecnol gico podendo inclusive ser para explora o de vulnerabilidade Zero day Em um maior detalhamento um exploit um trecho de c digo que normalmente utiliza t cnicas de linguagem de m quina de baixo n vel por meio de instru es de registradores em linguagem assemb
87. foi TIPVoid um servi o online e gratuito que faz an lise de IP e DNS baseado em blacklist Acessado em http www ipvoid com 66 Volatility procinfo psxview handles Idrmodules mutantscan netscan apihooks threads procdump moddump printkey iehistory cmdscan f Pr an lise JeMJeN O110 8 9y E IPVOID VIRUSTOTAL Base de Conhecimento Fig 6 Arquitetura da Maldetect Tool para o caso de an lise de mem ria vol til do sistema operacional Windows 7 O plugin procinfo n o faz parte da lista de plugins do Volatility e foi criado especialmente para a automatiza o da metodologia Maldetect do dump de mem ria a ser analisado PID PPID PRO CESS NAME BASEPRIORITY PATH COMMAND LINE SESSIONID CREATE TIME EXIT TIME HANDLES TH READS e USERNAME A cria o deste plugin foi necess ria pois os que j existem n o mostram todas as informa es consideradas relevantes para as verifica es que devem ser realizadas nesta fase O process analyser realiza um parser das informa es extra das pelo procinfo e as carrega em um banco de dados MySQL Nesta fase os valores desses atributos s o verificados se est o de acordo com a documenta o da Microsoft para os seguintes processos do sistema operacional System Smss Crss Wininit Services Lsass Svchost Lsm Winlogon Explorer Conhost Rundll32 Taskhost e IExplore Para cada um desse processos foi feita um pesquisa no banco de dados por pr
88. foram configurados Na segunda fase um firewall e um script implementados no iptables do honeywall foram utilizados para controlar o fluxo de dados Na terceira fase foram implementadas tr s camadas para coletar as atividades dentro da honeynet um script a fim de registrar conex es de entrada e sa da o snort configurado com regras atualizadas para capturar todo o tr fego e a ferramenta sebek utilizada para recriar com precis o os ataques sofridos nos honeypots Com o objetivo de validar o ambiente v rios testes foram feitos O primeiro teste foi realizado no requisito controle de dados para verificar se o honeywall estava coletando todos os dados de entrada e sa da O prop sito do segundo teste foi verificar os limites de conex es de sa da do protocolo ICMP O terceiro e ltimo teste teve como finalidade verificar se a base de assinaturas do snort no honeywall estava configurada e atualizada para detectar os ataques Por fim fizemos um estudo de caso atrav s da simula o de dois ataques de for a bruta para mostrar o funcionamento do ambiente e obter os resultados Tais procedimentos indicam a validade de utilizar o ambiente em aplica es governamentais visto que s o providas todas as funcionalidades ao alcance do gestor para a captura de detalhes de ataques seja visando a atualiza o de medidas de prote o seja para efeito de demonstra o forense Como trabalhos futuros cabe testar outras formas de ataques exe
89. intitulados detec o e interven o contra a viol ncia extremista detec o e interven o no recrutamento facilita o detec o e interven o contra viagem e combate e detec o e interven o sobre retornos 15 Tendo como intuito principal coletar e difundir boas pr ticas entre uma variedade de pa ses para combater o FTF 16 Al m disso a RES 2178 2014 do Conselho de Seguran a da ONU tamb m aborda o assunto expressando grave preocupa o que os combatentes terroristas estrangeiros est o usando sua ideologia extrema para promover o terrorismo 17 Diante desse quadro interessante a proposta de Ginkel 18 em medidas repressivas em duas categorias duras e suaves As primeiras seriam focadas na nega o do acesso as narrativas extremistas dos grupos e apoiadores terroristas atrav s do bloqueio de mensagens ou a retirada do ar de websites e da proibi o de distribui o e comunica o de conte do radical al m de repress o criminal para as pessoas por tr s de tais a es Contudo como alerta Ginkel e corroboramos com a autora implementar tais medidas em pa ses com uma democracia j estabelecida podem ser contraproducentes e mesmo que as p ginas sejam desligadas de forma efetiva outras cada vez mais escondidas e de dificil acesso surgir o J as medidas suaves seriam mais ao n vel de contrapropagandas podendo se dar na forma de campanhas publicas a exemplo
90. lises de tr s casos de per cia em artefatos digitais de intercepta es telef nicas Ser o discutidas as dificuldades encontradas devido necessidade de an lise da grande quantidade de dados oriundos de fontes diversas Ser apresentado um software desenvolvido pelo autor espec fico para esse tipo de per cia Por fim ser o apresentados os resultados dos processamentos dos dados realizados pelo software desenvolvido HI SISTEMAS DE INTERCEPTA O TELEF NICA Dois sistemas que s o comumente utilizados nos Estados e na Uni o para a automatiza o e viabiliza o das intercepta es telef nicas s o os Sistemas Vigia da empresa Suntech e o sistema Guardi o da empresa Digitro Segundo a Suntech o Sistema Vigia uma solu o completa para gerenciar todo o processo de intercepta o legal e reten o de dados para qualquer servi o ou subsistema de comunicac o de qualquer tecnologia ou fornecedor 2 No contexto das intercepta es telef nicas analisadas nas per cias o Sistema Vigia foi utilizado pelas operadoras de telefonia para programar as centrais telef nicas e realizar os desvios dos telefones alvos das intercepta es Segundo a Digitro o Sistema Guardi o realiza monitora o de voz e dados e oferece recursos avan ados de an lise de udio e identifica o de locutores E uma solu o feita 109 especialmente para as opera es de investiga o legal 3 No contexto das intercepta
91. loader primeiro Esse procedimento varia de acordo com o aparelho e pode violar a garantia do fabricante 17 L O modo fastboot O modo fastboot foi inicialmente implementado em um Android Developer Phone ADP fabricado pela HTC Neste modo poss vel usar o utilt rio de linha de comando fastboot que ja vem compilado com a SDK do Android para grava o de imagens em parti es do aparelho Para utilizar o fastboot necess rio que o boot loader do aparelho seja compat vel com o modo fastboot e esteja destravado Ent o o aparelho deve ser conectado na porta USB e ligado ou reiniciado segurando se as teclas VOLDN e BACK Essa combina o pode ser diferente dependendo do aparelho Ao entrar neste modo mostrada na tela do aparelho a palavra FASTBOOT 4 Neste momento poss vel emitir comandos para listar aparelhos conectados como mostrado na Figura 4 Depois da confirma o de que o aparelho realmente est conectado poss vel fazer a grava o de novas parti es Coslsersshdriano gt fasthoot devices H716D4D11566FH6C fastboot C Users Adriano gt Fig 4 Comando fastboot devices Existem varias imagens da parti o recovery modificadas que podem ser utilizadas em substitui o parti o de f brica Na escolha de uma imagem apropriada deve ser levado em considerac o se a nova imagem permite ou n o acesso como root via ADB As mais populares s o a ClockworkMod escrita por Koush Dutta ba
92. m URLs para sites ou arquivos maliciosos no corpo da mensagem Diante dessa informa o verificou se que 106 www ICoFCS org 2015 o bloqueio das URLs maliciosas um importante mecanismo de prote o para os usu rios Atualmente h diversos servi os de reputa o de URLs O Google Safebrowsing 5 o servi o do Google para verifica o de URLs maliciosas Navegadores web como o Firefox Google Chrome e Safari utilizam esse servi o para alertar os usu rios quando as mesmas s o acessadas O Phishtank 4 uma comunidade baseada no servi o anti phishing usado por empresas como Opera WOT Yahoo Mail para verificar se uma URL considerada phishing A Microsoft oferece o filtro SmartScreen 6 para os aplicativos do seu sistema operacional contudo n o disponibiliza uma API de consulta p blica Utilizando as APIs de consulta dos servi os Google Sa febrowsing e Phishtank realizamos uma an lise das URLs encontradas nas fraudes catalogadas As figuras 3 e 4 mostram a quantidade de URLs analisadas e a quantidade de URLs detectadas como maliciosas nos servi os Google Safebrowsing e Phishtank 200 180 160 140 120 100 80 fl analisadas 60 detectadas Abr Mai Jun Jul Ago Set Out Nov Dez Jan Fev Mar Abr Fig 3 An lise de URLs no Google Safebrowsing 100 80 f analisadas 60 detectadas 40 20 1 3 3 4 0 5 E a 3 0 s_at a Ago Set Out Nov Dez Jan Fev Mar Abr Fig 4 An lise de URLs
93. mas poss vel usar um fuzzy hash 22 para determinar o grau de similaridade Detectar inje o de c digo S o apresentados quatro t cnicas de inje o de c digo Inje o remota de DLLs o processo malicioso for a o processo alvo a carregar uma DLL espec fica Inje o remota de c digo o processo malicioso es creve c digo na rea de mem ria do processo alvo e for a sua execu o Inje o reflexiva de DLL o processo malicioso escreve o c digo da DLL no espa o de mem ria do processo alvo e Inje o em processo oco o processo malicioso inicia uma nova inst ncia de um processo leg timo em modo suspenso e ent o feita uma sobrescrita da rea de c digo do processo leg timo pelo c digo malicioso e sua execu o iniciada root kali Arquivo Editar Ver Pesquisar Terminal vol h Volatility Foundation Volatility Framework 2 4 Usage Volatility A memory forensics analysis platform Ajuda list all available options and their default values Default values may be set in the configuration file etc volatilityrc conf file root volatilityrc User based configuration file Debug volatility plugins PLUGINS Additional plugin directories to use colon separated info Print information about all registered objects cache directory root cache volatility Directory where cache files are stored cache Use caching tz TZ Sets the timezone for displaying timestamps f FILENAM
94. mensagens do arquivo do sistema de journaling Al m disso como trabalhos futuros tamb m podem ser produzidas abordagens para recupera o de mensagens exclu das em diferentes vers es do aplicativo WhatsApp bem como diferentes sistemas operacionais que fa am uso de bases de dados SQLite REFER NCIAS 1 PORTAL Gl WhatsApp atinge os 700 milh es de usu rios por m s em todo o mundo Dispon vel em lt http g1 globo com tecno logia noticia 2015 01 whatsapp atinge os 700 milhoes de usuarios por mes em todo o mundo html gt Acesso em 09 de maio de 2015 2 STAMFORD Conn Android to Surpass One Billion Users Across all Devices in 2014 2014 Disponivel em lt http www gartner com newsroom id 2645115 gt Acesso em 30 de maio de 2015 3 KOMATINENLSatya MACLEAN Dave Pro Android 4 2012 APRESS ISBN 978 1 4302 3931 4 http www it ebooks info go php id 657 1393515887 OQabbc5d732ddac7ff07e9f6al 75c8667 4 ACCESS DATA CORPORATION FTK imager Disponivel em lt http www accessdata com support product downloads gt Acesso em 30 de maio de 2015 5 SQLite Dispon vel em lt http www sqlite org gt Acesso em 27 de abril de 2015 6 JEON Sangjun et al A recovery method of deleted record for SQLite database Personal and Ubiquitous Computing 16 6 2012 p 707 715 7 ANGLANO Cosimo Forensic analysis of WhatsApp Messenger on Android smartphones 2014 Elsevier Digital Investiga
95. modalidade maior que para compras e servi os Os valores m ximos para obras e servi os de engenharia e para compras e servi os respectivamente s o mostrados a seguir a convite at R 150 000 00 cento e cinquenta mil reais e R 80 000 00 oitenta mil reais b tomada de pre os at R 1 500 000 00 um milh o e quinhentos mil reais ou R 650 000 00 seiscentos e cinquenta mil reais c concorr ncia acima de R 1 500 000 00 um milh o e quinhentos mil reais ou de R 650 000 00 seiscentos e cinquenta mil reais d preg o sem limite de valor Deve se ressaltar que a lei 12 462 de 5 de agosto de 2011 instituiu o Regime Diferenciado de Contrata es P blicas RDC Este regime foi inicialmente previsto para aplica o nas licita es e contratos necess rios para os grandes eventos como Copa do Mundo Copa das Confedera es e Olimp adas Atualmente muitas outras leis ampliaram o escopo do objeto do RDC Neste modelo a sele o do fornecedor se processa pela escolha da menor proposta realizada por meio de lances p blicos e diferencia se das modalidades de licita o citadas anteriormente dentre outros fatores pelo fato de que os concorrentes n o conhecem o or amento nem possuem o projeto executivo da obra mas sim no caso da contrata o integrada um projeto b sico que caracteriza a obra com base nas indica es dos estudos t cnicos preliminares No estudo de caso realizado foram ut
96. no Phishtank Como pode ser observado nos gr ficos apresentados os servi os de reputa o avaliados s o pouco eficientes para as URLs utilizadas nas fraudes destinadas aos usu rios brasilei ros Isso mostra a necessidade de um servi o direcionado a estes usu rios Diante dessa demanda a RNP iniciou o desen volvimento de um servi o de verifica o de URLs maliciosas voltado para a comunidade brasileira C Principais fraudes Similar s campanhas de spam as fraudes eletr nicas tamb m apresentam campanhas direcionadas a determinados acontecimentos ao longo do ano No ano de 2014 e inclusive em 2015 puderam ser identificadas algumas fraudes que se destacaram por abordarem assuntos relacionados a aconteci mentos de relev ncia nacional No per odo da Copa do Mundo este tema foi largamente abordado relacionado a promo es e compra de ingressos que redirecionava o usu rio para p ginas falsas que requeriam seus dados pessoais e financeiros Na poca das elei es tamb m foi grande a quantidade de phishings abordando temas como cadastramento biom trico regulariza o do t tulo eleitoral falsas not cias sobre os candidatos a presid ncia processo de sele o de mes rios para zonas eleitorais e listas a favor de um Impeachment fraudes que em sua maioria continham arquivos maliciosos utilizados para infectar a m quina do usuario O ENEM foi utilizado como tema em diversas fraudes que requeriam o recadastramento devid
97. nua merecedores de alocac o de recursos humanos tecnol gicos e financeiros caracterizando se portanto como estrat gica para tais paises Vale ressaltar que a rea cibern tica n o um espa o para a es estanques e isoladas sem foco e muito menos sem objetivo concreto Assim estrat gica tamb m a gerac o de conhecimento espec fico sobre os processos e tecnologias de produ o de exploits o que fundamental para a consecu o do entendimento e avan o da an lise de amea as cibern ticas A oferta de exploits por parte de empresas ou grupos uma realidade efetiva que pode talvez levar ao entendimento de que a explora o de vulnerabilidades se trataria apenas de comprar exploits de prateleiras e empreg los contra determinados alvos Em uma perspectiva de monitorac o atuac o preventiva contra crimes investiga o forense e atividades correlatas requisita se um entendimento mais abrangente que inclua o esclarecimento de quest es como exist ncia de alvo claramente definido capacidade t cnica em termos de pessoas e recursos t cnicos suficiente para a definic o e avaliac o de ferramentas a serem adquiridas diferentes implica es quando da aplica o de eventuais ferramentas que podem ser usadas tanto para ofender e atacar quanto para prevenir e defender necessidade de atribui o de origem de manobras consideradas ofensiva no espa o cibern tico as medidas que devem ser tomadas em fun o do s
98. o desses malwares no VirusTotal TABELA I RESULTADO DA SUBMISS O DOS C DIGOS MALICIOSOS AO VIRUSTOTAL Malwares Taxa de detec o Data da An lise jackal exe 20 57 26 04 2015 15 30 39 UTC nfe xml exe 34 57 26 04 2015 15 34 43 UTC NF e 18454310845 exe 40 57 26 04 2015 15 40 05 UTC CiGPxdM exe 46 57 26 04 2015 15 37 12 UTC 8md5 e0208ab8930434036cbeef56834 1 8d23 2md5 f6be0475e183335e00ffe363cf62a2be 10md5 116addcf779c596ad11a3fe910050c9e 11 md5 9856997401 fd45a38790dcb1402537e www ICoFCS org 2015 Foi feito um dump da mem ria da esta o infectada com cada um dos c digos maliciosos Os dumps de memoria obtidos foram analisados automaticamente utilizando a Mal detect Tool A ferramenta nao sabia previamente nenhuma informac o sobre o artefato malicioso que havia nos dumps de mem ria A tabela II mostra os artefatos considerados maliciosos pela Maldetect Tool e as respectivas atividades t picas de malwares encontradas Al m dessas anomalias o relat rio tamb m apresenta os registros do hist rico do Internet Explorer as anomalias de rede e o hist rico de comandos dos processos cmd exe que estavam em execu o no momento da aquisi o da mem ria O relat rio completo gerado para cada malware est dispon vel no reposit rio do Github TABELA Il ATIVIDADES T PICAS DE C DIGOS MALICIOSOS ENCONTRADOS E SEUS RESPECTIVOS ARTEFATOS Malwares Artefato Atividade maliciosa Cria dois processos cmd exe Mutex
99. o de uma fun o criptogr fica pode retornar sequ ncias de bits de tamanhos variados Digitaliza es com diferentes DPI dots per inch Foram selecionados quatro modos de digitaliza o dispon veis em uma impressora multifuncional As op es selecionadas foram digitaliza o em escala de cinza resolu o de 75 dpi que a menor resolu o do equipamento resolu o de 200 dpi que a configura o padr o do dispositivo e 600 dpi que a maior resolu o do equipamento Os resultados s o apresentados em sequ ncia nas figuras 10 11 12 e 13 Balan a enganosa abomina o para o SENHOR mas o peso justo o seu prazer Em vindo a soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos ntegros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitam as riquezas no dia da ira mas a Justi a livra da morte A justi a do sincero endireitara o seu caminho mas o perverso pela sua falsidade cair Fig 10 Digitaliza o em escala de cinza Balan a enganosa abomina o para o SENHOR mas O peso justo o seu Prazer Em vindo a soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos integros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitam as riquezas no dia da ira mas a justi a livra da morte A justi a do sincero endireitar o seu caminho mas o perverso pela sua fal
100. o diretas 1 Desse modo conhecer como s o utilizados os registro de r tulos de tempo fundamental para subsidiar Laudos periciais A demanda por exames periciais em dispositivos da Apple na Per cia da Pol cia Federal vem crescendo consequ ncia do aumento de sua presen a no mercado Portanto o estudo do funcionamento e utiliza o do sistema de arquivos destes dispositivos uma necessidade O Hierarchical File System Plus HFS o principal sis tema de arquivos da linha de produtos da Apple substituindo o Hierarchical File System HFS em sistema Mac OS X e tamb m um dos formatos utilizados em sistema 10S 7 Arelian Monteiro Maia Felippe Pires Ferreira e Lindeberg Pessoa Leite Mestrandos do Departamento de Engenharia El trica Universidade de Bras lia Bras lia DF Brasil E mails arelianmaia gmail com felippepi pipe O gmail com lindpessoa O gmail com A Objetivo Este trabalho possui o objetivo de determinar o comporta mento dos r tulos de tempo do sistema de arquivos HFS em diversos cen rios na plataforma OS X vers es Mavericks e Yosemite B M todo O m todo adotado neste trabalho foi executar em m quinas virtuais a plataforma OS X nas vers es Mavericks e Yosemite realizando opera es comuns de usu rios como criar copiar mover compactar entre outras A an lise dessas opera es na estrutura do sistema de arquivos HFS servir de base para fazer afirma es acerca das altera
101. o intuito de entender o comportamento dos metadados de r tulos de tempo no sistema de arquivo HFS Para exposi o dos resultados dos experimentos foram elaboradas tabelas que apresentam o mapeamento entre a a o executada e as altera es nos r tulos de tempo Palavras Chave Sistema de arquivo Metadados R tulos de tempo HFS Abstract For expert analysis of a file system metadata store relevant data especially the labels of time In this way this study aims to determine the behavior of the HFS File System times tamps in diverse scenarios in OS X platform versions Mavericks e Yosemite In a virtual machine Mavericks e Yosemite there were simulations of common operations in order to understand the behavior of timestamps metadata in the HFS file system To display the results of the experiments tables were prepared presenting the mapping between the action taken and the changes on the labels of time Keywords File system Metadatas Timestamp HFS I INTRODU O Ao realizar uma an lise pericial informa es temporais de um arquivo como por exemplo data de cria o data de modifica o e data de acesso s o elementos essenciais para criar uma linha do tempo timeline Entretanto devido aos r tulos de tempo serem influenciados por v rios fatores como o sistema de arquivo hardware o sistema operacional em execu o e suas configura es normalmente a extra o das informa es temporais n o s
102. o processo de Minera o de Dados 2013 Dados Abertos Governamentais 2012 Online Dispon vel em http www governoeletronico gov br acoes e projetos Dados Abertos Acessado em 27 abr 2015 9 Karin Breitman Percy Salas Marco Antonio Casanova Daniel Saraiva Vinicius Gama Jose Viterbo Regis Pires Magalh es Ednylton Franzosi Miriam Chaves Open Government Data in Brazil IEEE Intelligent Systems vol 27 no 3 pp 45 49 May June 2012 doi 10 1109 MIS 2012 25 10 Abu Mostafa Y Magdon Ismail M amp Lin H Learning from Data AMLBook EUA 2012 8 103 www ICoFCS org 2015 DOI 10 5769 C2015014 or http dx doi org 10 5769 C2015014 Catalogo de Fraudes da RNP 7 anos de experi ncia no tratamento de fraudes eletr nicas brasileiras Italo Brito Jos Lucas Borges Lucas Ayres Paula Tavares Rogerio Bastos 1 Edilson Lima Liliana V Solha Resumo As fraudes eletr nicas disseminadas na Internet tornaram se uma amea a constante para a popula o em geral A cada dia novas e mais sofisticadas t cnicas de fraudes s o empregadas levando usu rios menos preparados ou atentos serem v timas desses ataques Criado em 2008 o Cat logo de Fraudes da Rede Nacional de Ensino e Pesquisa RNP consolida se como um importante reposit rio de fraudes eletr nicas brasileiras disseminadas por e mail Este artigo apresenta o funcionamento do Cat logo de Fraudes da RNP estat sticas e te
103. os artefatos que realmente realizam atividades 1 https github com maldetect maldetect 68 Carrega uma DLL num contexto t picas de malware deixando claro qual foi o artefato malicioso encontrado A Maldetect Tool ainda est em desenvolvimento e est na vers o beta para testes e melhorias das t cnicas de detec o de anomalias comportamentais t picas de c digos maliciosos VIII CONCLUSAO A metodologia Maldetect coleta e correlaciona informa es comportamentais dos processos DLLs e drivers de um dump de mem ria vol til RAM e identifica quais desses compor tamentos s o t picos de c digos maliciosos A metodologia pode ser aplicada para detectar as amecas avancadas modernas e malwares desconhecidos Al m disso uma metodologia automatiz vel e independente de sistema operacional A metodologia Maldetect demonstra que a verificac o de caracter sticas comportamentais mais eficaz que a detec o baseada em assinatura usada pela maioria dos antiv rus Uti lizando a Maldetect Tool que implementa a metodologia proposta foi poss vel detectar os artefatos maliciosos baseado em caracter sticas comportamentais Al m disso a Malde tect Tool detectou malwares com baixa taxa de detecc o no VirusTotal Apesar do aumento da complexidade e do avanco das t cnicas usados pelos malwares modernos coletar e correlacionar informa es comportamentais de v rias fontes uma das maneiras eficientes de detect los
104. ou seja averiguar poss vel discrep ncia entre as funcionalidades das DLLs e do processo que as carregou Nesta fase foi feita a busca por caracter sticas t picas de backdoor Atrav s do plugin handles do Volatility foi possivel verificar se os processos cmd exe possui um handle do tipo File com valor Device Afd Endpoint pois um comportamento comum dos Backdoors 12 D An lise de Artefatos de Rede Foi utilizado o plugin netscan do Volatility para listar as conex es de rede A an lise desta fase foi separada em duas etapas portas em modo Listening e conex es estabelecidas Para as portas em modo Listening foi feito um mapeamento das portas TCP que normalmente s o abertas por uma m quina Windows 7 livre de malwares Dessa forma ao analisar o dump de mem ria em quest o as portas que n o est o nesta whitelist s o marcadas como suspeitas Nas portas com conex es estabelecidas os IP s remotos foram submetidos ao IPVoid para verifica o de sua reputa o E Busca por inje o de c digo O plugin malfind do Volatihty foi utilizado para ma pear quais reas de mem ria est o marcadas como PAGE EXECUTE READWRITE pois essas s o as poss veis reas de inje o de c digo Assim os processos associados a essas reas s o marcados como suspeitos F Busca por hooks Para cada t cnica de hook utilizada pelos rootkits foi usado o plugin correspondente do Volatility Para os hooks de IAT EAT e inline hook foi u
105. pode ser feito de diferentes maneiras tais como senha num rica senha alfanum rica padr es etc Outro recurso a ativa o da depura o USB utilizada pelos desenvolvedores para acesso ao telefone atrav s do PC durante a depura o de aplicativos e utilizada tamb m pelos peritos criminais para extra o dos dados do usu rio Ap s a apreens o de umaparelho celular o primeiro passo para uma an lise pericial realizar a extra o dos dados do aparelho para um computador de forma a preservar o artefato original e n o comprometer a integridade dos dados extra dos A extra o de dados de smartphones pode ser feita de forma f sica ou de forma l gica A extra o f sica mais complexa pois envolve hardwares especiais e conhecimento em eletr nica 4 A extra o l gica feita com o uso de softwares que se conectam ao aparelho atrav s do Android Debug Brdge ADB servi o que executado no Android quando a fun o de depura o USB est ativada Existem diversas t cnicas e ferramentas para extra o dos dados atrav s da depura o USB No entanto quando esta op o est desabilitada e n o poss vel habilit la o trabalho do perito dificultado podendo tornar a extra o invi vel 5 Visto que n o poss vel acessar o ADB se a fun o de depura o USB estiver desativada o primeiro procedimento a ser adotado pelo perito a ativa o desta op o Contudo em alguns casos isto n o
106. processador e chipset Qualcomm Snapdragon 400 MSM8226 ARM Cortex A7 de 1 2 Ghz mem ria RAM de 1GB e armazenamento interno de 16 GB Sua vers o original vem com Android 4 4 4 KitKat atualiz vel para Android 5 0 Lollipop Todas as considera es anteriores feitas ao XT1033 em rela o a substitui o da parti o recovery tamb m se aplicam ao XT1069 IV RESULTADOS E DISCUSS O A Resultados para o Samsung Galaxy S2 GT 19100 Ao final deste experimento os dados da parti o data e os dados do cart o SD interno parti o sdcard foram armazenados em diret rios da m quina do examinador sendo a extra o efetivada utilizando o adb pull No experimento realizado ap s a extra o dos dados o aparelho foi ligado segurando se somente a tecla Power Durante a inicializa o o logotipo da Samsung foi mostrado na tela juntamente com um cone de advert ncia O aparelho ficou travado nesta tela por cerca de 10 segundos Ap s esse per odo ele desligou A tentativa de inicializa o normal do aparelho foi repetida por mais tr s vezes sem sucesso Desta forma poss vel concluir que em aparelhos do modelo GT I9100 a substitui o da parti o recovery pode afetar tamb m o sistema operacional Android levando o aparelho a n o inicializar normalmente No caso do celular deste experimento a imagem original do sistema Android foi restaurada usando o pr prio Odm3 Ap s a restaura o o celular iniciou n
107. projeto executivo e or amento detalhado para contrata o de obras e servi os de engenharia torna ainda mais necess rio o conhecimento pr vio de padr es estat sticos de contratos similares AGRADECIMENTOS Aos professores do mestrado profissional em engenharia el trica da UNB pelas orienta es fam lia e aos colegas pelo constante incentivo e motiva o REFER NCIAS 1 MUNZERT Simon et al Automated Data Collection with R A Practical Guide to Web Scraping and Text Mining John Wiley amp Sons 2014 2 HASTIE Trevor et al An Introduction to Statistical Learning with Applications in R 2013 3 DOS SANTOS BRITO Kellyton et al Brazilian government open data implementation challenges and potential opportunities In Proceedings of the 15th Annual International Conference on Digital Government Research ACM 2014 p 11 16 4 SEERS Blake M SHEARS Nick T New Zealand s Climate Data in R An Introduction to clifro 2015 5 MAIR Patrick CHAMBERLAIN Scott Web Technologies Task View A peer reviewed open access publication of the R Foundation for Statistical Computing p 178 2014 6 VARELA Sara et al rAvis an R package for downloading information stored in Proyecto AVIS a citizen science bird project PloS one v 9 n 3 p e91650 2014 7 COSTA Jefferson de J et al Uma an lise da qualidade dos dados relativos aos boletins de ocorr ncias das rodovias federais brasileiras para
108. removido e analisado em outra m quina Os dados s o armazenados internamente em um chip de mem ria flash Al m de dados de usu rio a mem ria tamb m armazena arquivos de sistema O armazenamento interno gerenciado pela Application Program Interface API do Android e segue uma estrutura pr determmada Assim que os aplicativos s o instalados uma pasta para o aplicativo criada no subdiret rio data data O navegador padr o do Android por exemplo armazena os dados no subdiret rio data data com android browser 4 O Android Software Development Kit SDK um conjunto de bibliotecas documentos utilit rios e compiladores necess rios para a codifica o compila o teste e distribui o de aplicativos O SDK cont m por exemplo o 37 www ICoFCS org 2015 utilit rio adb usado para depura o e o utilit rio fastboot utilizado para flash de parti es O SDK do Android permite que os desenvolvedores criem banco de dados SQLite para os aplicativos O SQLite um banco de dados leve pequeno de c digo fonte aberto e que possui as caracter sticas b sicas tais como tabelas gatilhos e vis es necess rias para a estrutura o de dados 9 Outra caracter stica que todos os dados s o armazenados em um nico arquivo cross platform ou seja o arquivo de dados pode ser lido tanto na implementa o do SQLite para Android quanto na implementa o para Windows Estes bancos de dados s o armaz
109. sistemas comprometidos n o sejam usados para atacar sistemas de produ o de outras redes 3 e 10 O tr fego de dados deve ser controlado de modo autom tico para reduzir de forma r pida qualquer dano no sistema e transparente visando garantir que intrusos n o percebam que suas atividades est o sendo controladas Ou seja o controle de dados deve ser utilizado para separar a honeynet das outras redes tais como Internet administrativa e produ o Para tanto cada pacote deve ser controlado e inspecionado quando entra ou sai da honeynet Geralmente os ambientes permitem apenas que qualquer sistema inicie conex es com a honeynet consentindo que intrusos sondem identifiquem e explorem os sistemas vulner veis dentro da honeynet 2 Captura de Dados Tratam se das opera es de captura de dados relativos a todas as atividades dos intrusos dentro da honeynet incluindo as conex es de entrada as atividades de rede e de sistema Conforme 3 e 10 tais opera es s o t o cr ticas para o sucesso do projeto que melhor ter m ltiplos m todos de captura de dados operantes Entretanto nenhum dado capturado deve ser armazenado localmente nos honeypots visto que dados armazenados localmente podem ser detectados por intrusos e utilizados para comprometer o sistema Al m disso estes dados podem ser modificados e destru dos Em consequ ncia tais dados devem ser armazenados em outro local que seja seguro e confi vel
110. startup file um arquivo especial que facilita o boot em computadores n o Mac O boot loader pode encontrar o arquivo startup File sem total conhecimento do formato de uma parti o HFS Em vez disso o Volume Header cont m a localiza o dos primeiros oito extents do startup File Este arquivo pode conter mais de oito extents os quais ser o colocados no Extents Overflow File 77 G R tulo de tempo no HFS HFS armazena r tulos de tempo em v rias estrutu ras de dados incluindo Volume Header e registros de cat logo Estas datas s o armazenados em inteiros de 32 bits sem sinal Ulnt32 contendo o n mero de segundos desde 01 jan 1904 00 00 00 GMT tendo como data maxima 06 fev 2040 06 28 15 GMT Como as datas registradas est o entre 1900 e 2100 n o se considera os segundos bissextos 5 A implementa o respons vel por converter esses tempos para o formato esperado pelo software cliente Por exemplo o gerenciador de arquivos do Mac OS converte r tulos de tempo para hora local a implementa o Mac OS HFS converte a hora local para GMT quando apropriado 5 A documenta o oficial da Apple sobre a implementa o do HFS 8 encontram se descritos r tulos de tempo no volume header alternate volume header e nas informa es sobre pastas e arquivos no Catalog File www ICoFCS org 2015 Volume Header e Alternate Volume Header 7 createDate R tulo de tempo de quando o volume foi inicializado m
111. tempo m dio de detec o de um ataque utilizando uma vulnerabilidade Zero day de 300 dias ap s o recurso computacional j se encontrar em fase de explora o por um atacante Nesse per odo normalmente n o est o dispon veis atualiza es assinaturas de antiv rus ou sistemas de detec o de intrus o o que faz com que a detec o seja mais dif cil e complexa Ainda em 7 encontra se a informac o de que a durac o de ataques que exploram falhas Zero day varia entre 19 dias e 30 meses 74 JANELA DE OPORTUNIDADE RECURSO EXPLOR VEL Descobrimento privado de 1 vulnerabilidade 3 y 5 6 Lancamento de Lang Desenvolvimento ae a Ai ea 22 produto Relatorio publico vulnerabilidade Fig 1 Processo Basico de Emprego de um Exploit Adaptado de 6 TABELA I ETAPAS DO CICLO DE EMPREGO DE UM EXPLOIT Etapa Descrig o 92 ls Lan amento de um produto Nesta etapa disponibilizado um produto de um fabricante no mercado de tecnologia da informa o Este produto pode ser um hardware com software customizado pode ser um software aplicativo um sistema operacional uma plataforma cliente servidor ou qualquer recurso t cnico que fa a uso de algum recurso computacional Nesta etapa por meio de pesquisa e desenvolvimento um determinado grupo empresa ou pessoa descobre uma determinada vulnerabilidade Caso esta vulnerabilidade n o seja divulgada publicamente ela
112. ticas e das conex es cibern ticas que envolvem o territ rio nacional se torna primordial Afinal mesmo que o Brasil n o tenha um hist rico de atos terroristas sempre se deve lembrar que grandes eventos se tornam por si mesmos uma grande vitrine 20 para atua es terroristas sejam elas oriundas de organiza es espec ficas ou de lobos solit rios Assim com base nas recentes discuss es acad micas pol ticas e militares foram identificadas quatro grandes reas as quais o Brasil precisa atentar no que tange ao terrorismo e consequentemente a sua vertente cibern tica para encerrar com o devido prest gio esse ciclo de grandes eventos Estes seriam 1 Necessidade de uma legislac o interna a qual tipifique o que terrorismo para o Brasil 2 a constru o de uma cultura de seguranca nessa seara a nivel real e virtual 3 o fato de conseguir assegurar a capilaridade das comunica es eletr nicas dentro e fora do territ rio nacional e 4 a necessidade do fortalecimento das institui es respons veis pela tomada de a es antiterroristas A Legisla o interna Quando se fala em consequ ncias fisicas de Ciberterrorismo me refiro ao caso dos Irm os Tsarnaev que plantaram bombas na maratona de Boston em Abril de 2013 e ao estudante universitario Roshnara Choudry que esfaqueou um membro do Parlamento brit nico com uma faca em 2010 Em ambos os casos a inspirac o para instaurac o do terror radicalizac o tev
113. used for clustering with initial centers determined from the first formants histograms Preliminary ex periments using a pre classified database have shown promising results in which regions corresponding to front and lower middle back vowels were successfully detected providing visualization of a speaker s vocal tract behavior Keywords Forensic Phonetics Forensic Speaker Comparison Exam Acoustic analysis Phonetic Trapezium Praat software I INTRODU O A produ o de provas por meio de registros de udio em especial ap s a promulga o da Lei 9296 96 que trata das intercepta es telef nicas 1 tem crescido e consequente mente intensificado as demandas da rea forense referente s per cias audiovisuais para atribui o de autorias O exame de Compara o de Locutores CL tem por finali dade verificar se dois registros de voz e fala foram produzidos por um mesmo indiv duo consistindo na compara o entre um registro de udio denominado questionado sobre o qual pairam d vidas quanto autoria das falas e um registro padr o Andr a Alves Guimar es Dresch ICPR Instituto de Criminal stica do Paran e UTFPR Universidade Federal Tecnol gica do Paran Hugo Vieira Neto UTFPR Andr Eug nio Lazzaretti LACTEC Instituto de Tecnologia para o Desenvolvimento Rubens Alexandre de Faria UTFPR Curitiba PR Brasil Emails andrea dresch ic pr gov br hvieir utfpr edu br lazza rett1O lactec or
114. 01 05 01 00 00 00 02 20 08 00 fem 40 73 5561848161128s ERRA Be ASS eee cet oe na eee ee Se a a 02190 RR E ms A nateapp neti42 02 20 08 00 35 35 36 31 38 34 38 31 36 31 31 32 40 73 5561848161128s 3 x a a q 0 70 2 SF 11 13 OC 1F OF whatsann n 02 40 39 39 37 3520 492 G E 73 61 67 9970185 2 Mensag esmo ii a aa E tees o 02 50 65 6D 20 C FO ES BF 4 4C FO E4 D3 em 2 L5A HO L6 gt a Ce f 2 sia dy LOA Y C t 02 50 00 00 05 01 05 05 00 00 00 08 00 35 35 3d C lula 2 556 52470 Eroe r TE TO TO OF GESTO DO 00 08 08 08 oe ool 02 60 31 36 33 38 33 35 31 40 73 2E 77 68 61 74 1816383518s what 02 80 00 00 08 C iula 2 556184 02 70 70 70 2E 6E 65 74 31 34 33 30 31 38 33 36 sapp net14301836 02 90 38 31 36 31 31 32 40 73 2E 77 68 61 74 73 61 70 e161128s whatsap 02 80 ao 31 US 50 39 50 55 38 5858 50 5050 S0 30 7 XXXXXXXEXXX 02 a0 70 2E 6E 65 74 31 34 32 39 39 37 30 31 38 35 2D p net1429970185 02 90 S0 58 58 58 58 58 58 58 58 58 58 58 50 Sel XXXKERXAEXAEXEAE 02fb0 61 67 65 1 Mensagem 1 18 02fa0 58 58 SE 58 58 58 58 SE SE SE SE SE SE 58 XXXXXXXXXXXXXXXX e Lay L n 02 b0 58 58 58 SE SE 01 4C FD D1 34 E9 30 01 4C XXXXXXX L 4 0 L 02 c0 Al BS FF 01 4C FD D1 DE EO 01 4C FD D1 E2 YD Y LyNb Lyila 02 d0 D 01 1F 00 11 08 11 01 08 00 08 00 00 11 0 Ot oa 02fe0 my lyla 1 e o2 0 loo_00 2D 31 2D 31 FF 2D 31 FF FF FF FF FF FF FH 1 19
115. 013 Disponivel em http www scmagazine com nsa sought services of french security firm zero day seller vupen article 3 12266 Perlroth Nicole Sangerjuly David E Nations Buying as Hackers Sell Flaws in Computer Code New York Times July 2013 Ungerleider Neal How Spies Hackers and the Government Bolster a Booming Software Exploit Market Dispon vel em http www fastcompany com 3009 156 the code war how spies hackers and the government bolster a booming software exploit market Harris Shane The Mercenaries Ex NSA hackers and their corporate clients are stretching legal boundaries and shaping the future of cyberwar Dispon vel em http www slate com articles technology future tense 2014 11 how corporations are adopting cyber defense a nd around legal barriers the html Reporters without borders The Enemies of Internet Special Edition Surveillance Dispon vel em http surveillance rsf org en hacking team www ICoFCS org 2015 DOI 10 5769 C2015013 or http dx doi org 10 5769 C2015013 Extra o de dados da Web relativos a licita es e contratos p blicos para infer ncia por reconhecimento de padroes estatisticos estudo de caso Cirilo Max Macedo de Morais e Dibio Leandro Borges Resumo Este artigo relaciona t cnicas para extrac o de dados da Web relativos a licita es e contratos p blicos para infer ncia por reconhecimento de padr es estat sticos utilizando a ling
116. 100 4 GC3 F2 4 10 F2 Hz 140 1 155 7 164 0 GCA Fl E E 0 44 GCS F1 Hz 112 0 357 4 136 3 F2 p 1 41 E F2 Hz 153 7 202 8 148 0 Fi i i Ace FI Hz 64 4 160 7 114 1 131 5 GCS F2 2 08 F2 Hz 107 8 118 2 104 8 134 3 EE Fl E a 8 51 E Rs FI Hz 135 3 113 8 134 8 125 6 F2 a 3 88 F2 Hz 118 7 113 5 116 9 112 9 ECT Fl 4 009 E 1 23 ER FI Hz 97 9 224 3 152 7 F2 0 64 F2 Hz 131 8 140 6 172 0 GCs Fl 16 52 E GC9 F1 Hz 178 9 347 6 150 9 F2 8 27 F2 Hz 159 1 207 4 226 3 FI E A FI Hz 183 0 130 9 82 2 184 9 GC9 F2 F2 Hz 205 2 166 3 139 4 2351 o ELO AB F2 turnos acredita se que ter utilidade em muitos casos Dadas as condi es da maioria dos materiais encaminha sendo que trabalhos futuros envolvem a integra o com o dos para esses exames posteriormente ser imprescind vel software R a possibilidade de intera o com os gr ficos para a valida o do mesmo tamb m em condi es degradadas navega o dos trechos do udio indicados atrav s de pontos tais como presen a de ru do compress es e limita es de ou regi es selecionadas a gera o de relat rios e de registros frequ ncia de canais telef nicos de eventos logs para facilitar o elabora o de laudos e O presente trabalho ainda encontra se em desenvolvimento garantir a reprodutibilidade das etapas realizadas assim como 29 www ICoFCS org 2015 o reconhecimento autom tico dos centroides e
117. 15 proprio Exploit efici ncia por exemplo Vale observar que a F FORMA DE COMERCIALIZA O Tabela V n o contempla exploits Zero day Verifica se um aumento do n mero de empresas que oferecem exploits Zero day para os clientes em um modelo de venda por assinaturas Tais empresas normalmente n o revelam seus clientes Entretanto grandes compradores incluem TABELA IV PRE O US M DIO DE UM EXPLOIT ZERO DAY ADAPTADO DE TREND MICRO 12 Pre o Estimado ag ncias de governo Neste caso algumas empresas oferecem A doDE header 5 000 30 000 25 exploits Zero day por ano ao custo de US 2 500 000 00 Mac OSX 20 000 50 000 30 000 60 000 Pre o de 2010 9 Flash ou Plugins Java para Navegadores 40 000 100 000 Outros dados disponiveis na Internet apontam que o preco Microsoft Word 50 000 100 000 e e E m dio da assinatura esta entre US 40 000 00 e 60 000 120 000 Firefox ou Safari s0 000 150000 US 160 000 00 para clientes restritos de determinados pa ses Chrome ou Internet Explorer 80 000 200 000 explicitamente Estados Unidos e Europa relativamente a IOS eee 100 000 250 000 uma m dia de 100 exploits exclusivos por ano Existem ainda plataformas de desenvolvimento e de distribui o de exploits com vulnerabilidades Zero day Uma A o Pre o delas amplamente conhecida para t cnicas de explora o e E SRE Aer re ud comando e controle o Metasploit 14 disponibilizada tan
118. 17 indicando que aquelas mensagens foram apagadas e que a p gina foi restruturada pelo engine SQLite Essa restruturac o demonstra o aumento do tamanho da rea n o alocada englobando a regi o das mensagens apagadas Na Figura 18 pode se observar registros da mensagem recuperada No cen rio para recupera o em rea desalocada freeblock foi recuperada mensagem fruto de uma dele o individual conforme sa da do processamento descrita na Figura 19 In cio do algoritmo Obter tamanho das p ginas i Obter esquema btree p gina 1 offset 0x16 na p gina 1 tabela messages Extrair de cada p gina folha de dados freespace n o alocada e freeblocks desalocadas Percorrer sequencialmente p ginas tipo folha id 0x0D Localizar mensagens no freespace e em cada freeblocks identificando sequ ncias de bytes com marcador Os whatsapp do campo key remote jid T rmino do algoritmo Fig 16 Processo de recupera o de mensagens Tamanho da P gina do banco SQLite 4096 gt Varrendo Free SPACE de 3887 byte s localizado no offset 8204 Buscando c lula de mensagem WhatsApp Offset 8204 Tamanho 3887 lt inicio gt a a a a a lt bytes omitidos gt 556184816112 s whatsapp n lt fim gt Fig 17 Trecho de sa da do programa de recupera o que contem trecho da rea n o alocada freespace Campo id Tipo 0 Tamanho Conteudo Campo key remote jid Tip
119. 1988 com as altera es adotadas pelas Deputados Edi es C mara 2014 P 70 Emendas Constitucionais n 1 92 a 67 2010 e pelas Emendas 32 Daher Op cit p 76 Constitucionais de Revis o n 1 a 6 94 Bras lia DF Senado 33 Ibid p 77 Federal odian OT asa 34 Raposo A C Terrorismo e Contraterrorismo desafio do 24 Woloszyn Op cit s culo XXI Revista Brasileira de Intelig ncia Bras lia 25 Mesquita L E G O Terrorismo e a sua probabilidade de Abin v 3 n 4 set 2007 p 46 ocorr ncia no Brasil 2012 Trabalho de Conclus o de 35 Salaberry Op cit p 65 Curso Escola Superior de Guerra Rio de Janeiro 2012 P 37 36 Arruda Op cit p 72 eek Mole paal oo o 37 Matsuura S Brasil ter Escola Nacional de Defesa 27 Lasmar J M A legisla o brasileira de combate e preven o Cibern tica O Globo online dispon vel em do terrorismo quatorze anos ap s 11 de Setembro limites falhas e reflex es para o futuro Revista de Sociologia Pol tica v 23 n 53 p 47 70 mar 2015 http oglobo globo com sociedade tecnologia brasil tera escola nacional de defesa cibernetica 15914957 Acesso em 22 de Abril de 2015 Bruna Toso de Alc ntara graduanda de Rela es Internacionais da Universidade Federal de Santa Maria Santa Maria RS Brasil E mail brunatoso hotmail com 89 www ICoFCS org 2015 DOI 10 5769 C2015012 or http dx doi org 10 5769 C2015012 Um Levantamento sobre o Mercado de Explora
120. 19999999 Pagina 4096 bytes ES 0D indicag o de p gina tipo folha P gina 4096 bytes EM OF 01 offset para freeblock o valor passa a ser o antigo offset para a c lula 3 WN 0003 total de c lulas valor decrementado para 3 indicando a exclus o de c lula E 0D WA 0E 99 in cio da rea com conte do de c lulas EEE 00 00 n mero de fragmentos BM 0002 total de c lulas duas c lulas EM OF 3B in cio da rea com conte do de c lulas ES 00 n mero de fragmentos indica o de p gina tipo folha 00 offset para freeblock zerado Fig 13 Estrutura interna da p gina folha ap s exclus o da mensagem 2 Conte do gerado pelo software FTK Imager 4 e posteriormente adaptado Fig 15 Estrutura interna da p gina folha ap s exclus o do chat com o oo usu rio Teste WhatsApp 2 e do envio de mensagem para o usu rio Teste No cen rio ilustrado na Figura 14 foram enviadas diversas WhatsApp 3 Conte do gerado pelo software FTK Imager 4 e mensagens ao usu rio Teste WhatsApp 2 Ap s o envio posteriormente adaptado 50 Contudo a especificac o do formato SOLite define como deve ser feito o armazenamento de registros extensos que extrapolem o espa o dispon vel da p gina de dados Para isso indicado ao final da c lula um ponteiro de 4 bytes para p gina de overflow onde armazenado o conte do excedente Outra possibilidade de recuperac o quando h exclus o de p ginas inteir
121. 2 no qual pode se acessar quais s o os nomes dos usu rios que participam da partida Na mesma figura poss vel identificar os nomes utilizados pelo perito e pelo alvo dentro do ambiente do jogo N Team Deathmatch Raid 22 P xTKA BrenoZikavbv 0 0 Y INTVBlguillermo3800 0 0 32 A andrevictorbr 0 0 31 PALUeutiil060 n n 3 gt finhareis 45 GTA srdominici ra DiLMJershavind23_ste 552 fendresz 42 xqpS luut_br MB 55 BRA fredfonseca A 552 mulekearao 25 42 NIKElvinytiel ELIMINATE ENEMY PLAYERS Score Ratio ssists 0 00 0 0 00 0 00 0 00 0 00 0 00 0 00 0 00 0 00 0 00 0 00 0 00 O View 4 9 52 Kills Deaths o r dl oil 0 0 0 0 0 0 0 0 0 0 0 NN UN E E Y A soa Fig 8 Imagem extra da do jogo Call of Duty Blacks Ops 2 2 A arquitetura frequentemente utilizada nos jogos multijogadores nos quais a posi o de cada jogador relevante aquela baseada em mapas de 2 dimens es 2D Tais mapas s o divididos em quadrantes e quando ocorre a aproxima o de Jogadores no mesmo quadrante h a troca de pacotes TCP e UDP entre esses jogadores e a troca de pacotes TCP com o servidor de aplica o Na Figura 9 mostrado graficamente um exemplo de uso de mapas 2D Dessa forma a fim de coletar os dados de 37 www ICoFCS org 2015 tr fegos relevantes para a investiga o o perito deve ca ar o alvo dentro do ambiente virtual
122. 2 33 GHz 8 n cleos com tecnologia Intel VT 8 GB de memoria RAM 2 HDs de 250 GB 2 HDs de 500 GB e 2 placas de rede 10 100 1000 Plataforma XenServer 6 2 com as features XS62ESP1 XS62E001 XS62E002 XS62E004 XS62E005 XS62E007 XS62E008 XS62E009 XS62E010 XS62E011 XS62E012 XS62E013 Hypervisor XenServer O servidor foi configurado com RAID 10 para garantir desempenho e redund ncia dos dados Portanto foram utilizados quatro HDs 2 HDs de 250 GB e 2 HDs de 500 GB para realizar esta configurac o Isso permitiu utilizar o pr prio servidor como storage para armazenar as m quinas virtuais O Hypervisor XenServer foi implementado no servidor f sico para criar a estrutura da honeynet virtual de autocontenc o A configura o e ger ncia das m quinas virtuais no XenServer foi feita atrav s do XenCenter 6 2 por ser uma ferramenta de c digo aberto sob licen a BSD Berkeley Software Distribution A Figura 2 mostra os honeypots virtuais que foram criados pelo XenCenter Vale ressaltar que todos os sistemas foram testados e funcionaram com sucesso dentro do XenServer As m quinas virtuais foram configuradas de acordo com a Tabela IV p Search General Memory Storage Networking NICs Console E e XenCenter E piata Overview a ir Brotas 8 Cabula Search Options LH Imbui 9 Itapua Name CPU Usage R Ondina f TR Pituba a Eb piata Pa TERES me Default install of XenServer 11 of 8 CPUs Eg Preto ES Brotas
123. 20 36 DST 172 20 100 LEN 60 TOS 0x00 PREC 0x00 TTL 128 ID 266 PROTO ICMP TYPE 8 CODE 0 ID 512 SEQ 7424 11 09 27 00 pituba kernel OUTBOUND ICMP IN br0 OUT br0 PHYSIN ethl PHYSOUT eth0 SRC 172 30 20 36 DST 172 20 100 LEN 60 TOS 0x00 PREC 0x00 TTL 128 ID 268 PROTO ICMP TYPE 8 CODE 0 ID 512 SEQ 7680 11 09 27 01 pituba kernel OUTBOUND ICMP IN br0 OUT br0 PHYSIN ethl1 PHYSOUT eth0 SRC 172 30 20 36 DST 172 20 100 LEN 60 TOS 0x00 PREC 0x00 TTL 128 ID 270 PROTO ICMP TYPE 8 CODE 0 ID 512 SEQ 7936 11 09 27 02 pituba kernel OUTBOUND ICMP IN br0 OUT br0 PHYSIN ethl PHYSOUT eth0 SRC 172 30 20 36 DST 172 20 100 LEN 60 TOS 0x00 PREC 0x00 TTL 128 ID 272 PROTO ICMP TYPE 8 CODE 0 ID 512 SEQ 8192 11 09 27 03 pituba kernel OUTBOUND ICMP IN br0 OUT br0 PHYSIN ethl PHYSOUT eth0 SRC 172 30 20 36 DST 172 30 20 100 LEN 60 TOS 0x00 PREC Dx00 TTL 128_1D 274 PROTO ICMP TYPE 8 CODE 0 ID 512 SEQ 8448 May 11 09 27 04 pituba kerne Drop icmp gt 30 AttemptsIN br0 OUT br0 PHYSIN eth1 PHYSOUT eth0 SRC 172 30 20 36 DST 172 30 20 100 LEN 60 TOS 0X00 PREC OR0U TTL 128 ID 276 PROTO ICMP TYPE 8 CODE 0 ID 512 SEQ 8704 root pituba log Fig 4 Limites de conex es de sa da do protocolo ICMP Quando o limite de conex o de sa da ICMP HwICMPRATE 30 for atingido o script rc firewall executar uma entrada DROP ICMP e bloquear durante uma hora estas conex es de sa da Figura 4 Todas as conex es ser o registradas pelo i
124. 229 foi o unico do Distrito Federal no jogo 3 Ademais ambos IPs sao da empresa GVT sendo portanto os IPs mais provaveis de estarem vinculados ao usu rio alvo Foi realizado tamb m o cruzamento dos nomes dos jogadores capturados por fotografias durante as partidas Ressalta se que as fotografias mostram os jogadores presentes no jogo em determinado momento pois ocorrem algumas trocas de jogadores durante o jogo Assim foi preparado o laudo para a autoridade policial relatando o m todo de trabalho assim como os resultados obtidos Esses resultados incluem um conjunto de registros contendo os dados de IP provedor cidade data e hora Esses dados s o suficientes para buscar por meio do provedor de conex o o usuario que utilizou tais IPs nos per odos especificados V Os ambientes virtuais criados na Internet tais como os jogos online multijogadores s o cada vez mais utilizados para cometer crimes Por meio de uma metodologia de investiga o baseada na an lise de tr fego de redes poss vel coletar mensagens de protocolos de rede como o TCP UDP e IP para auxiliar no estabelecimento da autoria de um crime at mesmo de crimes iniciados fora desse ambiente como um furto CONCLUS ES Para isso necess rio entender o contexto dos jogos online Dessa forma foi apresentado o modelo l gico da arquitetura de um sistema de jogo tendo como principais camadas a aplica o l gica vis o do jogo e vis o remota
125. 4 32 whatsapp net142 io Tede WhatsAno 2 e iberico das coil b 02 40 39 39 37 30 31 38 35 2D 32 04 4D 65 GE 73 61 67 9970185 2 Mensag O A A ee ene ey O ee A OOO 02 50 65 6D 20 32 01 4C FO ES BF 48 30 01 4C FO E4 DI em 2 L6 HO L8a0 ir manter as conversas recuper veis Todavia quando a Oy L a PE C 8 mensagem do usuario Teste WhatsApp3 inclu da na p gina C lula 2 cere folha parte dos dados s o perdidos tornando a recupera o das 16112 s whatsap mensagens e fragmentos de mensagens mais complexa A Wis aa Figura 15 ilustra em nivel de bytes como a inclus o da nova VO L8B AY L88x mensagem altera o conte do da regi o nao alocada C lula 1 C Outras possibilidades de recupera o de mensagens 1 19 199999PY De acordo com o observado nos exames periciais P gina 4096 bytes cotidianos um usu rio do aplicativo WhatsApp geralmente ES3 0D indica o de p gina tipo folha EE 0000 offset para freeblock zerado realiza poucas a es de exclus o de mensagens e quando o a a faz comum a exclus o de poucas linhas de conversa com in cio da rea com conte do de c lulas 7 E 00 n mero de fragmentos isso grande parte dessas a es atuam em regi es analisadas de 1g1n l livres Fig 12 Estrutura interna da p gina folha antes da exclus o da mensagem 2 p ginas de dados desalocadas e livres Conte do gerado pelo software FTK Imager 4 e posteriormente adaptado Off
126. 44 65 62 69 61 GE 2D 34 2B 1664 6 0pl Debian 4 d 65 62 37 75 32 OD OA eb7u2 45454545454 Fig 14 Captura do ataque de for a bruta em hexadecimal e ASCII lapril 30th 14 35 14 00 03 20 e 172 30 20 100 0 172 30 20 21 Ej rce 39237 238237 1 kB 33 pkts gt 21 ftp he UNKNOWN lt 1 kB 25 pkts April 30th 14 35 38 00 00 00 172 30 20 21 0 172 30 20 100 a ce 20 ftp data 0 kB 4 pkts gt 51257 51357 27 os unkn lt 0 kB 3 pkts Fig 15 Captura do ataque no Honeypot FTP Analisando novamente o payload do pacote verificamos que a conex o FTP foi feita em texto simples ou seja os dados n o foram criptografados Isso significa que podemos www ICoFCS org 2015 decodificar os dados e capturar todas as teclas digitadas Portanto foi poss vel verificar detalhes do ataque em formato hexadecimal e ASCII durante a conex o da m quina atacante com o honeypot FTP Figura 16 Sp pt pp pp pp pp pp pp pp Hp Hp pH HH 4 HH Ht Ht 04 30 14 35 14 334126 CA 1C DA 84 5 98 gt 0 15 5D 47 1 8 type 0x800 len 0x7F 172 30 20 21 21 gt 172 30 20 100 38237 TCP TTL 64 TOS 0x0 ID 57841 IpLen 20 DgmLen 113 DF pp Seq OxC9C4D410 Ack Ox9CE3029C Win 0x712 FepLen a TCP Options 3 gt NOP NOP TS 407010 4017585 Pu 32 32 30 20 50 72 6F 46 54 50 44 20 31 2E 33 2E 220 ProFTPD 1 3a 34 61 20 53 65 72 76 65 72 20 28 46 54 50 20 52 4a Server FTP RI 41 45 4F 4F 29 20 5B 3A 3A 66 66 66 66 3A 31 37 AEOO
127. 5 Q BackupGuardiao MidiaAutos v PeriodoAutorizadoJustica v Figura 5 Modelo relacional dos dados das intercepta es CARACTER STICAS T CNICAS DO SOFTWARE PERICIAL VI O software pericial citado no artigo foi desenvolvido em Java Para acesso ao sistema de arquivo e para a listagem e procura de arquivos em discos e m dias ticas optou se por fazer chamadas aos comandos de busca em disco do sistema operacional Linux Tal decis o foi baseada no contato pr vio que o autor tinha com esses comandos locate e updatedb e em sua confiabilidade Para realizar as chamadas foi usado o m todo exec do ambiente Java Para as an lises dos arquivos texto e relat rios fornecidos pelos Sistemas Guardi o e Vigia foram desenvolvidos interpretadores dos relat rios Para o relat rio principal do Sistema Guardi o foi especificado uma gram tica formal usando se EBNF 5 e criado um interpretador dessa gram tica EBNF um c digo que expressa a gram tica de 112 www ICoFCS org 2015 uma lingua formal Uma gramatica definida em EBNF consiste em s mbolos terminais e regras de produc o n o terminais Restri es relativas como s mbolos terminais podem ser combinados em uma sequ ncia v lida Exemplos de s mbolos terminais incluem caracteres alfanum ricos sinais de pontua o e caracteres de espa o em branco EBNF utilizado na defini o de linguagens formais e pode estar envolvida no processo de constru o
128. 50 vezes Os udios foram capturados em formato WAV PCM sem compress o com taxa de amostragem 48 kHz 16 bits e em um nico canal mono B Resultados Obtidos Conforme esperado ao analisar o espectrograma das grava es efetuadas foi observada a presen a de componentes frequenciais espec ficas em todos os calibres e ocorr ncia constante ao longo da s rie de lancamentos Verificou se ainda a predomin ncia significativa de uma componente com maior pot ncia em rela o s demais conforme demonstrado no espectrograma da Figura 6 para um intervalo da s rie de lan amento do estojo n mero 1 CBC 380 AUTO Frequ ncia Hz 0 0 88 1 76 2 64 E Be A Tempo s Fig 6 Frequ ncia de resson ncia de maior pot ncia para o estojo n mero 1 CBC 380 AUTO Em seguida toi calculado o espectro m dio de longo termo do ingl s long term average spectrum LTA para cada uma das s ries de lancamentos realizadas e os resultados obtidos foram normalizados e agrupados por calibre Os espectros LTA obtidos para cada um dos calibres s o apresentados nos gr ficos das Figuras 7 a 10 com evid ncia para as frequ ncias de resson ncia de maior pot ncia Foi verificado no espectro LTA que as frequ ncias de maior pot ncia correspondem a segunda componente do modelo te rico F3 Na Figura 7 t m se os espectros LTA dos estojos CBC 9 mm LUGER Verifica se a ocorr ncia dos picos de frequ ncias
129. 72 30 20 21 21 TCP TTL 64 TOS 0x10 1D 20287 IpLen 20 DqmLen 68 DF ERRADRR Seg OX9CE302E1 Ack OxC9C4D607 Win OxE5 TcpLen 32 TCP ga 3 gt ne NOP TS 4031573 413126 a 4 ooo o 4 94 4 4994444944444 4 4 4 4 4 04 30 14 36 25 640892 0 15 5D 47 1 8 gt CA 1C DA 84 5 98 type 0x800 len 0x56 172 30 20 100 38237 gt 172 30 20 21 21 TCP TTL 64 TOS 0x10 1D 20295 IpLen 20 DgmLen 72 DF eaprea Seg Ox9CE30337 Ack OxCSC4D6BD Win 0xE5 TcpLen 32 TCP cigs 3 gt TRE NOP TS AASA TEIN NI OR NS Bn a ae a ei ce O GA SRT ST STO GG GR SRA ST TT ST SS SA 04 30 14 36 25 649063 CA 1C DA 84 5 98 gt 0 15 5D 47 1 8 type 0x800 len 0x8E 172 30 20 21 20 gt 172 30 20 100 33393 TCP TTL 64 TOS 0x8 ID 20157 IpLen 20 DgmLen 128 DF PDP Seg 0x18243534 Ack 0x1E4A0B84 Win 0x721 E 32 TCP Options 3 gt NOP NOP TS 424842 4035412 27 50 61 6C 65 73 74 72 61 73 20 6520 61 70 72 65 Palestras 2 apra 73 65 6E 74 61 63 6F 65 73 20 64 6F 20 73 65 6D sentacoes do sem 69 6E 61 72 69 6F OA 4C 69 73 74 61 20 64 GF 73 inario Lista dos 20 50 61 6C 65 73 74 72 61 6E 74 65 73 3A 20 OA Palestrantes 4D 61 72 63 69 61 OA 4C 75 69 7A 61 Marcia Luiza e Ma Fa eee reve se rere ree eve Se ve ve pp ye ve pd 04 30 14 38 02 924206 0 15 5D 47 1 8 gt CA 1C DA 84 5 98 type 0x800 len 0x56 172 30 20 100 38237 gt 172 30 20 21 21 TCP TTL 64 TOS 0x10 ID 20297 IpLen 20 DgmLen 72 DF Ap Seg 0x9CE3034B Ack 0OxC9C4D71A Win OxES
130. 80 tcp e rpcbind v2 4 porta 111 tcp O intruso conseguiu ainda verificar o endere o MAC 9E 16 D6 C6 E4 49 e vers o do sistema operacional Linux Debian utilizado April 27th 15 25 44 00 00 00 lt 1 SNMP request tcp gt 172 30 20 100 0 172 30 20 25 TCP 50316 50316 0 kB 1 pkts gt 161 snmp ai vo UNKNOWN lt 0 kB 1 pkts April 27th 15 26 05 00 00 00 lt 1 RPC portmap listing TCP 111 172 30 20 100 0 172 30 20 25 TCP 40577 40577 0 kB 5 pkts gt 111 sunrpc 27 UNKNOWN lt 0 kB 4 pkts es April 27th 15 26 05 00 00 00 lt 1 WEB MISC robots txt access 172 30 20 100 0 172 30 20 25 TCP 53225 53225 0 kB 5 pkts gt 80 http 27 UNKNOWN lt 0 kB 4 pkts Fig 6 Captura do ataque portscan feito pelo nmap no Honeypot WEB Conforme Figuras 5 e 6 o snort conseguiu detectar tr s ataques em vermelho na Figura 6 portscan executado pelo nmap como uma tentativa de obter informa es do Honeypot WEB atrav s do protocolo SNMP direcionado para a porta 161 TCP O ataque WEB MISC robots txt Access 18 detectado pelo snort informa que houve uma tentativa de coleta de informa es a uma aplica o web potencialmente vulner vel 04 27 15 26 05 399945 26 0 78 DC 4E F8 gt 9E 16 D6 C6 E4 49 type 0x800 len 0xE1 172 30 20 100 53225 gt 172 30 20 25 80 TCP TTL 64 TOS 0x0 1D 46481 IpLen 20 DgmLen 211 DF AP Seq OxA1C4F1ED Ack 0x500508FE Win 0x721 TcpLen 32 TCP Options 3 gt NOP NOP TS 1000550 66684 srs
131. 86 5 GC9 F1 Hz 290 8 464 0 719 8 894 0 687 3 471 3 386 0 F2 Hz 2305 5 2303 5 1594 3 1387 3 1050 3 895 3 840 8 GC10 F1 H2 299 0 474 8 612 8 1021 3 614 3 403 8 385 5 F2 Hz 2620 3 2303 0 2057 0 1768 3 1023 8 800 5 785 3 TABELA HI DIST NCIA ENTRE OS CENTROS OBTIDOS E O VALOR DE REFER NCIA MAIS PR XIMO Amostra Formante Centro 1 Centro 2 Centro 3 Centro 4 GCI Refer ncia hl e AF1 F1 20 6 17 3 AF2 F2 12 8 5 5 GC Refer ncia hl i lel AF1 F1 49 5 18 1 17 2 AF2 F2 12 5 2 9 5 6 GC3 Refer ncia hl e le AF1 F1 17 3 38 4 9 2 AN FO 5 4 3 3 13 4 GC4 Refer ncia hl e le AF1 F1 6 9 23 1 0 5 AF2 F2 9 8 3 0 11 0 GCS Refer ncia hl i le AFIAFI 8 2 38 6 2 3 AF2 F2 7 1 7 0 10 3 GC6 Refer ncia hl e lal e AF1 F1 5 7 8 6 27 1 3 1 AF2 F2 2 2 3 1 4 1 11 0 GC7 Refer ncia hl il lal e AF1 F1 30 6 17 7 19 6 0 2 AF2 F2 0 1 3 9 2 8 6 6 GCS Refer ncia hl i le AF1 F1 36 1 18 6 2 6 AF2 F2 8 3 0 3 16 1 GC9 Refer ncia 9 e e AF1 F1 28 9 10 4 3 2 AF2 F2 3 7 6 0 7 8 Refer ncia hl i lal e GC10 AF1 F1 3 1 22 5 5 6 24 1 AF2 F2 13 1 3 2 8 8 3 3 V CONSIDERACOES FINAIS Os resultados preliminares obtidos foram promissores com a identifica o m dia de centros correspondentes a tr s vogais no espa o F x F delineando um padr o pr ximo ao trap zio voc lico esperado Considerando as necessidades forenses espera se que o sistema proposto possa ser e
132. A is the wavelength of the incoming signal Equation 1 can be rewritten in matrix notation as X AS NeEC 3 where S CIN is the matrix containing the N symbols transmitted by each of the d sources N e CMXN is the noise matrix with its entries drawn from CN 0 02 and A a 61 a 02 a 04 CMI 4 where 0 is the azimuth angle of the th signal and a 6 CMXI is the array response obtained by measurements whose elements are ef 1 8 The received signal covariance matrix Rxx CMx is given by Rxx E XX ARssA Rnn 5 where stands for the conjugate transposition and 2 01 Y1 201092 Y1 d919d eh 0109 o2 i 1 2 2 Rss 6 2 V1 a710d V2 47204 ves Cd where o is the power of the th signal and Yab C Ya b lt 1 is the cross correlation coefficient between signals aand b Rnn CYXM is a matrix with o over its diagonal and zeros elsewhere An estimate of the signal covariance matrix can be obtained by R XX Rxx N 7 B ESPRIT For DOA estimation this works uses the ESPRIT method since it is a closed form algorithm that can be very easily extended to multidimensional scenarios The ESPRIT parameter estimation technique is based on subspace decomposition Matrix subspace decomposition is usually done by applying the Singular Value Decomposition SVD The SVD of the matrix Xe CX is given by X UAV 8 www ICoFCS org 2015 Figure 1
133. ABELA III PRE O US PARA CONTAS HACKEADAS ADAPTADO DE TREND MICRO 12 Servi o 2011 2012 2013 Twitter 167 407 Al m disso o relat rio aponta que a oferta excessiva tamb m tem influenciado na qualidade da oferta J que a competitividade alta a qualidade dos produtos ofertados muitas vezes duvidosa e estes n o fazem a fun o para a qual foram comprados Este aspecto apenas reforca a necessidade de entender se o que est sendo negociado o que torna fundamental a capacidade de verificac o t cnica para obter uma exata caracterizac o do produto comercializado Um aspecto a ser observado que a quest o val al m do preco de produtos sendo importante se observar quem que est pagando por exploits Zero day Em uma reportagem da revista Forbes 9 um negociador intermediador broker conhecido pelo codinome Grugq relata que a maior parte dos clientes de governos ocidentais tipicamente EUA e Europa simplesmente pelo fato de que eles pagam mais do que russos e chineses por exemplo Na entrevista realizada 9 o citado broker reportou que vender determinados produtos para a m fia russa mau neg cio porque al m de pagar pouco h grande chance de que o produto tenha pouca utilidade em poucos dias caso seja um exploit Al m disso h na Russia muitos criminosos cibern ticos o que faz com que o preco deste tipo de produto derive da alta competitividade e custo muito baixo Isso a
134. ADOS PRELIMINARES Nas an lises do comportamento form ntico foi observado que a simples remo o das amostras em que n o houve detec o de frequ ncia fundamental j resulta em um gr fico Fy x Fo mais pr ximo do trap zio voc lico conforme a Figura 1 a Tal efeito pode ser visualizado na Figura 4 b obtida a partir do processamento da nuvem de pontos da Figura 4 a e na qual o contorno resultante se assemelha a um trap zio Outra forma de visualizar esse resultado atrav s da sobreposi o da curva de formantes ao espectrograma Con forme demonstrado na Figura 5 em que se observa em a a forma de onda de um trecho de udio em an lise com a sobreposi o das fun es do STE energia e de ZCR em b um espectrograma de banda estreita com a sobreposi o dos valores de frequ ncia fundamental resultantes e em c o gr fico resultante para os valores dos formantes com a delimita o inicial dos trechos vozeados poss vel observar que os trechos considerados vozeados correspondem queles em que houve detec o frequ ncia fundamental apresentam uma energia relativa maior e baixa ZCR Conforme demonstrado na Figura 4 b o gr fico resultante ainda apresenta pontos de frequ ncias mais altas possivel mente devido a efeitos de coarticula o o que exigiu a aplica o dos demais algoritmos apresentados para que o conjunto resultante fosse mais consistente Ap s realiza o da etapa de busca de clusters confor
135. CCHIA E D Per cia Digital Da Investiac o a An lise Forense Millenium Editora 2014 3 MAHAPATRA L Tech Sci International Business Times 2013 Dispon vel em lt http www 1btimes com android vs 10s whats most po pular mobile operating sy stem y our country 1464892 gt Acesso em 26nov 2013 45 www ICoFCS org 2015 4 HOOG Andrew Android Forensics Investigation Analysis and Mobile Security for Google Android Waltham Elsevier 2011 5 SIM O Andr Morum de L Proposta dem todo para An lise Pericial em Smartphone com Sistema Operacional Android Disserta o Mestrado Departamento de Engenharia El trica Universidade de Bras lia Bras lia DF 2011 6 ELEUT RIO P M S e MACHADO M P Desvendando a Computa o Forense Novatec 2011 7 CASEY Eoghan Digital Evidence and Computer Crime Waltham Elsevier 2011 8 HASEMAN C Android Essentials New York Apress 2008 9 GUPTA Aditya Learning Pentesting for Android Devices Packt Publishing 2014 10 ANDROID DEVELOPERS Android Debug Bridge Disponivel em lt http developer android com tools help adb html gt Acesso em 13 jan 2014a 11 SUN Chen WANG Yang and ZHENG Jun Dissecting P attern Unlock The effect of pattern strength meter on patterin selection Journal of Information Security and Applications 19 308 320 2014 12 VIDAS Timothy ZHANG Chengye CHRISTIN Nicolas Toward a general collec
136. COHEN F A Note on the Role of Deception in Information Protection 1998 Dispon vel em lt http all net journal deception deception html gt Acessado em 17 04 2015 THE HONEYNET PROJECT Dispon vel https www honeynet org gt Acessado em 01 04 2015 SOUSA JR R T SILVA T A ALBUQUERQUE R O Ambiente baseado em agentes de software para o aux lio na detecc o e estudo de ataques em redes de computadores Proceedings of the 1st International Conference on Cyber Crime Investigation ICCyber 2004 Bras lia 2004 p 156 161 SILVA T A ALBUQUERQUE R O BUIATI F M PUTTINI R S SOUSA JR R T A Community of Agents for Trapping Attacks Against Network Services and Redirecting Traffic Attacks to a Honeynet Proceedings of the First International Conference on Internet Technologies and Applications ITA 05 Wrexham UK 2005 p 135 143 SPITZNER L Honeypots Tracking Hackers Indian polis IN AddisonWesley 2002 THE HONEYNET PROJECT Know Your Enemy Defining Virtual Honeynets Janeiro de 2003 Disponivel em lt http old honeynet org papers virtual gt Acessado em 01 04 2015 em lt 78 12 13 14 15 16 17 18 www ICoFCS org 2015 CITRIX Optimized server virtualization for all your workloads Disponivel em lt http www citrix com products xenserver overview html gt Acessado em 11 04 2015 XENSERVER XenServer Open Source Virtualization Plataform
137. CONCLUS ES A aplica o de watermarking essencialmente procura vincular uma produ o documental ou arquivo de m dia a um autor A t cnica apresentada neste trabalho al m de permitir a vincula o entre documento e autor tamb m possibilita a identifica o do destinat rio da c pia do documento Dentro do contexto jur dico e policial a guarda da prova documental pode afetar diretamente a condu o de um processo ou inqu rito O vazamento de informa es pode comprometer todo o trabalho realizado at o momento Mas a partir do controle de c pia documental e da utiliza o de watermarking s o inclu dos mais elementos fiscalizadores dentro do cen rio descrito Diferente de algumas t cnicas de watermarking em documentos a t cnica proposta n o precisa do documento original e nem de grandes fragmentos de texto para recupera o da watermark Entretanto a t cnica ainda vulner vel ao ataque de re typing que consiste em redigitar novamente o texto Embora os vazamentos apresentados em ve culos de comunica o prefiram apresentar os documentos em sua forma original com timbres formata o e assinaturas do rg o emissor do documento Como a t cnica utiliza imagens de textos para recupera o da marca d gua importante que o texto a ser analisado tenha qualidade em sua digitaliza o ou impress o compat vel com a t cnica apresentada O texto submetido a processos de digitaliza o e impress o sequencia
138. Caso a aparelho n o tivesse sido reconhecido os drivers deveriam ser reinstalados A vers o compat vel com o GT 19100 do ClockworkMod utilizada neste experimento foi a 6 0 2 9 Para fazer a substitui o o arquivo do ClockworkMod deve ser selecionado na op o PDA do Odm3 e depois o bot o Start deve ser clicado Quando o procedimento finaliza o Odin3 exibe a mensagem PASS como pode ser observado na Figura 9 Refartiton Y Auto Reboot YF Reset Time Flash Lock 1D 0 022 22 gt A ie c oor ted succeed 1 failed 0 Fig 9 GT 19100 conclus o da substitui o da parti o recovery Ap s a conclus o deste procedimento o aparelho deve ser imediatamente desconectado da USB e a bateria removida Isto foi feito porque algumas vers es do Android para aparelhos da marca Samsung no momento da inicializa o restauram a parti o recovery para a vers o original caso esta parti o tenha sido modificada Em seguida ele foi ligado novamente no modo recovery Neste momento a tela do ClockworkMod apresentada indicando que o procedimento ocorreu com sucesso Users Adriano gt adb devices daemon not running start ingi it now on port 5037 x daemon started successfully List of devices attached BB19422405e97 e recovery Users fAdriano gt adb shell mount data ount data exit exit C Users Adriano gt mkdir d gti9168 Users Adriano gt adb pull data d gti 166 pul
139. Dispon vel em lt https github com swetland omap4boot gt Acesso em 18 abr 2014 23 MOTOROLA BOOTLOADER UNLOCK Unlock your Bootloader Disponivel em lt https motorola global portal custhelp com app standalone bootloader unlock your device a action auth gt Acesso em 21 de abr 2014 24 SCHW AMM Riqui and ROWE Neil Effects of the Factory Reset on Mobile Devices The Journal of Digital Forensics Security and Law 9 2 205 220 2014 www ICoFCS org 2015 DOI 10 5769 C2015006 or http dx doi org 10 5769 C2015006 M todo de recuperac o de mensagens apagadas do SOLite no contexto do aplicativo WhatsApp para plataforma Android Alberto Magno M Soares Joao Paulo C de Sousa Juliano K M Oya Resumo Discutimos um m todo de recuperac o de mensagens apagadas do aplicativo WhatsApp cujo armazenamento se d em base de dados utilizando sistema gerenciador de banco de dados SQLite disponivel na plataforma Android No desenvolvimento da t cnica foram analisadas as estruturas internas do arquivo da base de dados SOLite com potencial interesse para uma investigac o forense dessa natureza Especificamente foram exploradas as regi es n o alocadas freespace e desalocadas freeblocks das bases de dados SOLite com foco na recuperac o estruturada de mensagens do aplicativo WhatsApp Palavras chave An lise Forense Android Recupera o de dados WhatsApp SQLite Freeblock Freespace Abstract We discuss
140. E filename FILENAME Filename to use when opening an image d debug profile winXPSP2x86 Name of the profile to load L LOCATION location LOCATION A URN Tocation from which to load an address space Enable write support W write Fig 3 Volatility em linha de comando C Metodologia de an lise de mem ria Em 14 s o descritos os objetivos da an lise de mem ria especificamente no contexto de an lise de c digo malicioso Coletar os metadados disponiveis tais como detalhes de processos conex es de rede e outras informa es associadas ao potencial malware Para cada processo de interesse se poss vel recuperar o arquivo execut vel da mem ria para an lise e Para cada processo de interesse extrair mais dados da mem ria por exemplo usu rios senhas e chaves crip togr ficas IV Volatility Framework O Volatility Framework uma cole o de ferramentas implementada em Python capaz de extrair artefatos digitais de um dump da mem ria vol til RAM O Volatility licenciado pela GNU General Public License 2 possui c digo aberto e gratuito Sua arquitetura permite a inclus o de novas funcionalidades atrav s da cria o de novos plugins 12 O Volatility capaz de analisar o dump de mem ria das vers es 32 bits e 64 bits dos sistemas operacionais Windows Linux Mac e 32 bits do Android O Volatility suporta a in clus o de novos sistemas operacionais devido a sua a
141. EFESA As principais indaga es feitas pela defesa por meio de seus assistentes t cnicos e aceitas pelos Ju zes correspondem aos seguintes quesitos a se o conjunto dos artefatos digitais anexados aos autos correspondem completude das intercepta es telef nicas b se os registros e udios est o integros ou seja n o foram apagados ou editados c se h algum registro de intercepta o que esteja fora da data de autoriza o judicial d que seja feito um cotejamento entre os registros do Sistema Vigia usado pelas operadoras de telefonia e os registros do Sistema Guardi o usado pelo rg o Policial A defesa tamb m questiona baseada no princ pio da paridade de armas o direito de ter as mesmas condi es de an lise que a parte acusat ria Tal princ pio segundo Ferrajoli diz que para que a disputa se desenvolva lealmente e com paridade de armas necess ria a perfeita igualdade entre as partes em primeiro lugar que a defesa seja dotada das mesmas capacidades e dos mesmos poderes da acusa o em segundo lugar que o seu papel contraditor seja admitido em todo estado e grau do procedimento e em rela o a cada ato probat rio singular das averigua es judici rias e das per cias ao interrogat rio do imputado dos reconhecimentos aos testemunhos e s acarea es 4 A defesa argumenta que a parte acusat ria possui acesso total ao Sistema Guardi o que possibilita v rias ferramentas para a an lis
142. EVIEWERS Alex Sandro Roschildt Pinto Federal University of Santa Catarina Brazil Amilton Soares Junior Brazilian Federal Police Brazil Ana Cristina Azevedo Pontes de Carvalho Mackenzie Brazil Bruno Gomes de Andrade Brazilian Federal Police Brazil Bruno Werneck Pinto Hoelz Brazilian Federal Police Brazil Carlos Alberto S Lucietto Brazilian Federal Police Brazil Daniel de Oliveira Cunha Brazilian Federal Police Brazil Daniel Franca de Oliveira Melo Brazilian Federal Police Brazil Dibio Leandro Borges University of Brasilia Brazil Dominik Neudert Schulz Ilmenau University of Technology Germany Ebrahim Samer El Youssef Federal University of Santa Catarina Edison Pignaton de Freitas Federal University of Rio Grande do Sul Edna Dias Canedo University of Brasilia Brazil Flavio Luis Vidal University of Brasilia Brazil Frank Wilson Favero Brazilian Federal Police Brazil Gustavo Guimaraes Parma Brazilian Federal Police Brazil Gustavo Henrique Machado de Arruda Brazilian Federal Police Brazil Harley Angelo de Moraes Brazilian Federal Police Brazil Janine Zancanaro da Silva Brazilian Federal Police Brazil Jayme Milanezi Junior Brazilian Regulatory Agency Brazil Jos Rocha de Carvalho Filho Brazilian Federal Police Brazil Jos Ant nio Apolin rio Junior Military Institute of Engineering Brazil Karoll Haussler Carneiro Ramos University of Brasilia Brazil Kefei Liu Michigan University USA Lu
143. IEEE International Workshop on IEEE Computer Society Los Alamitos 2007 BANG J et al Analysis of time information for digital investigation Networked Computing and Advanced Information Management Interna tional Conference on IEEE Computer Society Los Alamitos CA 2009 BANG J YOO B LEE S Analysis of changes in File time attributes with File manipulation 2011 TN1150 HFS Plus Volume Format http developer apple com Aces sado em abril de 2015 Mac OS X Mac OS Extended format HFS Plus volume and file limits http support apple com Acessado em abril de 2015 Wasim Ahmad Bhat S M K Quadri A Quick Review of On Disk Layout of Some Popular Disk File Systems Global Journal of Computer Science amp Technology 2011 Technical Note TN1150 HES Plus Dates http dubeiko com development FileSystems HFSPLUS tn1150 html Acessada em 23 04 2015 FTK Imager http enwikipedia org wiki Forensic Toolkit Acesso 27 05 2015 HFSExplorer hAttp en wikipedia org wiki Forensic Toolkit Acessado em 27 05 2015 A Quick Review of On Disk Layout of Some Popular Disk File Systems http en wikipedia org wiki Forensic Toolkit Acessado em 27 05 2015 www ICoFCS org 2015 DOI 10 5769 C2015011 or http dx doi org 10 5769 C2015011 Brasil e Ciberterrorismo desafios para o Rio 2016 Bruna Toso de Alcantara Resumo Sendo o pais que sediar os jogos ol mpicos de 2016 o Brasil possui a responsabilidade de se preparar para
144. Inteligente Sistematiza o da Doutrina e das T cnicas da Atividade Editora Kelps Goi nia 2008 Vigia http www suntech com br pt solucoes lawful interception vigia acessado em 18 de abril de 2015 Guardi o http www digitro com pt index php component content article 89Itemi d 1 acessado em 18 de abril de 2015 Ferrajoli Luigi Direito e raz o teoria do garantismo penal 2 ed S o Paulo Revista dos Tribunais 2006 p 565 Watt David A Brown Deryck F Programming Language Processors in Java Compilers and Interpreters Prentice Hall Great Britain 2000 PostgresSQL http www postgresql org acessado em 12 de junho de 2015 Silberschatz Abraham Korth Henry F e Sudarshan S Sistema de Banco de Dados Tradu o da 5 edi o Editora Elsevier Rio de Janeiro 2006 Wilson Leite da Silva Filho Perito Criminal Instituto Geral de Per cias de Santa Catarina Mestre em Engenharia de Computa o IPT USP Especialista em Seguran a da Informa o ITA Graduando em Psicologia UFSC 113
145. Nurry 10 o AS Comparando se agora todas as fun es de regress o de a ES 5 A BE Ba acordo com as modalidades de licita o obt m se o seguinte NumContatos gr fico Figura 10 Fig 5 Modalidade tomada de pre os oO 40 1 100 1 ontMesmaEmpresa 30 80 60 20 1 MaiorNurm MaiorNumContMesmaEmpresa 40 20 0 50 100 150 200 250 300 NumContratos Fig 6 Modalidade concorr ncia 0 500 1000 1500 2000 NumContratos 8 4 Dispensa de licita o Inexigibilidade de licita o Carta convite Tomada de pre os Concorr ncia Preg o 30 40 4 1 MalorNumContMesmaEmpresa 20 1 Fig 10 Compara o entre as modalidades de licita o F Resultados Obtidos A partir da an lise da correla o entre os contratos Fig 7 Modalidade preg o celebrados com uma mesma empresa e o n mero de contratos celebrados por uma unidade administrativa foi poss vel estabelecer uma correla o entre as mesmas Verificou se que o n mero de contratos celebrados com uma mesma empresa possui uma correla o diferente com n mero 102 total de contratos da unidade administrativa variando de acordo com a modalidade de licitac o escolhida Tal varia o pode ser explicada pelas diferentes maneiras de sele o da empresa a ser contratada Na dispensa de licita o e inexigibilidade de licita o n o existe certame sendo a empresa selecionada diretamente pela unidade administrativ
146. Woloszyn 24 elas se tornam in cuas uma vez que ferem tanto o principio da objetividade jur dica a qual exige a defini o clara e precisa das a es constituidoras dos tipos penais 25 quanto o princ pio constitucional da reserva legal o qual atesta que n o h crime sem que haja lei anterior que o defina 26 Lasmar 27 aponta alguns argumentos que podem explicar a forma o do paradoxo explicitado por Woloszyn Estes seriam 1 qualquer tratamento da quest o do terrorismo poderia estigmatizar a popula o mu ulmana brasileira 2 o reconhecimento da exist ncia de atividades terroristas em territ rio brasileiro poderia afetar o turismo internacional no Brasil 3 exist ncia de um corpo normativo de combate ao terrorismo ou o reconhecimento de sua exist ncia levariam a uma constru o de uma imagem de alinhamento brasileiro com a pol tica externa estadunidense da Guerra Global Contra o Terror e isso poderia ser visto como uma pol tica externa e interna provocativa que poderia atrair problemas pol ticos e de seguran a para o Brasil 4 exist ncia do temor de que grupos de movimentos sociais leg timos venham a ser taxados de grupos terroristas e 5 envolvimento de v rios pol ticos da alta c pula governamental em atividades ou grupos que se utilizaram da viol ncia pol tica durante a ditadura militar brasileira a fim de combat la Quanto ao primeiro e quarto argumento uma possibilidade seria tentar fazer
147. a deste m todo no contexto deste trabalho Inicializa o dos centroides nesta fun o chamada durante a sele o de amostras inicialmente s o gerados histogramas suavizados de forma a evidenciar m ximos e m nimos das distribui es para as matrizes de F e F gt considerado aquele com maior n mero de m ximos o qual intuitivamente mas n o necessariamente dis tinguiria melhor as regides das diferentes vogais A seguir o gr fico subdividido em regi es horizontais se F1 tem mais picos ou verticais caso contr rio nas quais a gera o de histograma suavizado repetida Com os valores desses m ximos obtidos s o determinados centroides tempor rios para uma rea delimitada pelos m nimos locais Se essa rea apresentar pelo menos 10 do n mero total de amostras esse centro considerado v lido Caso o n mero de centros obtidos seja nulo a func o repetida para o formante que inicialmente apresentou menor n mero de m ximos Os centroides obtidos s o utilizados para alimentar a func o k means que na aus ncia de valores iniciais a fun o estabeleceria os primeiros centros aleatoria mente de forma que mesmo que houvesse um resul tado convergente este seria diferente a cada execuc o Contudo como h fornecimento dos valores iniciais no procedimento adotado conforme descric o acima a func o torna se determin stica fornecendo sempre os mesmos resultados sempre que executada IV RESULT
148. a e portanto mais f cil de haver uma poss vel prefer ncia A modalidade de licitac o carta convite prev a disputa entre tr s empresas escolhidas livremente pela administra o o que tamb m diminui a possibilidade de direcionamento mas ainda possibilita uma certa prefer ncia Nas demais modalidades de licita o a exig ncia de divulga o do edital aumenta sendo na modalidade preg o a disputa realizada atrav s da internet o que dificulta o direcionamento pela unidade administrativa Por outro lado as modalidades de licita o s o realizadas de acordo com o valor sendo de uma maneira geral a dispensa de licita o realizada para os contratos de menor valor e a concorr ncia para os contratos de maior valor Outra explica o para os diferentes modelos de regress o poderia ser o aumento do interesse das empresas em licita es de maior valor e consequentemente maior distribui o dos contratos Observa se assim que quanto maior a exig ncia de divulga o do edital de licita o e quanto maior o valor do contrato modalidade de licita o menor a correla o entre o n mero m ximo de contratos celebrados com uma mesma empresa e o n mero total de contratos celebrado com uma mesma unidade administrativa O estudo encontra se em car ter preliminar e n o foram exauridas todas as formas de ajustes poss veis para caracteriza o do melhor modelo Da mesma forma muitas outras informa es dos contratos pod
149. a marca d gua utilizar uma palavra chave de 6 caracteres e ser submetida ao algoritmo base64 20 criando uma palavra de 64 bits no padr o ASCII A func o base64 utilizada para demonstrar a possibilidade de utilizac o de uma func o criptogr fica sobre a marca d gua A marca d gua do primeiro teste ser 1111100000101111 enquanto a segunda marca d gua ser xx28xx que quando submetida a func o base64 ser eHgyOHh4 em ASCII Convertendo o texto para c digo bin rio assumindo que cada letra composta por oito bits teremos 01100101 01001000 01100111 01111001 01001111 01001000 01101000 00110100 O subconjunto de caracteres ser C a d e 1 r portanto esses caracteres poder o ser alterados no documento de acordo com as regras do algoritmo e da watermark www ICoFCS org 2015 escolhida O tamanho da fonte utilizando no texto de teste sera 12 e fonte Times New Roman RESULTADOS E ANALISE No exemplo as letras do subconjunto C utilizam a fonte textual Caladea Figura 4 Ressalta se que foram utilizadas duas fontes textuais previamente definidas o que n o criadas impossibilita que sejam utilizadas fontes novas especificamente para inserir a watermark Fig 4 Subconjunto C com os caracteres utilizados para teste Na linha superior os caracteres utilizam fonte Times New Roman Na linha inferior utilizam fonte Caladea O texto utilizado para teste como descrito na sec o anterior utiliza fonte Tim
150. a se a limita o de sua aplica o sendo predominantemente v lido para as armas de fogo que possuam recarregamento autom tico ou semiautom tico ou seja que expulsem involuntariamente o estojo ou ainda para determinadas armas de repeti o n o autom ticas mediante a a o volunt ria do atirador 12 www ICoFCS org 2015 Alem disto ao contrario do tiro que se propaga por longas reas para a gravac o deste evento ac stico imprescindivel a proximidade do microfone em relac o ao local dos disparos Ressalta se que para os eventos ac sticos gravados nos ensaios foram observados picos superiores a 6 dB Hz em determinadas frequ ncias o que torna a viabilidade de aplicac o desta abordagem bastante promissora Al m do requisito de proximidade considerando as faixas de frequ ncia constatadas nos ensaios para os calibres delimitados o equipamento gravador deve suportar banda de no m nimo 12 5 kHz para que a gravac o viabilize o emprego desta t cnica Esta limitac o n o propriamente um problema muito grave para grava es presenciais de modo geral uma vez que a grande maioria dos atuais equipamentos port teis de grava o incluindo celulares j suportam bandas superiores a esta V Este artigo confirmou a hip tese da presen a de frequ ncias de resson ncia quando os estojos ejetados ap s a ocorr ncia de um disparo de arma de fogo atingem uma superf cie r gida Verificou se ainda que ao menos u
151. a um determinando recurso computacional e executa localmente um determinado c digo com o intuito de aumentar suas permiss es no recurso explorado instalar determinadas ferramentas auxiliares ou permitir ainda que seja poss vel o controle remoto do recurso computacional mediante explora o de falhas Um exploit remoto aquele onde o atacante capaz de executar um determinado c digo por meio de um canal de comunica o ou uma rede permitindo a explora o de falha no recurso computacional sendo poss vel o seu controle remotamente Assim um exploit um recurso t cnico que pode atingir qualquer usu rio em qualquer ambiente cibern tico seja ele conectado ou isolado sendo que neste ltimo caso o exploit pode ser inserido no ambiente por meio de dispositivos remov veis Normalmente um exploit 5 pode alterar o funcionamento do hardware ou do software permitindo que sejam instalados ou manipulados outros recursos de acordo com o objetivo do atacante C PROCESSO B SICO DE EMPREGO DE UM EXPLOIT Um exploit pode ser utilizado das mais variadas formas e t cnicas Por exemplo pode ser um pequeno arquivo execut vel para uma plataforma de hardware e software pode ser embutido em p ginas na Internet pode ser um arquivo anexo a uma mensagem de correio eletr nico pode vir na forma de uma mensagem de texto em um celular pode estar embutido em arquivos digitais com as mais variadas extens es Uma vez executado o exploi
152. ado e n o foi poss vel destrav lo Por fim o quarto experimento tamb m com um aparelho Motorola com o boot loader travado embora tenha permitido a substitui o da parti o recovery n o garantiu a extra o com sucesso dos dados uma vez que foram apagados no processo de destravamento do boot loader Com base nos experimentos realizados neste trabalho poss vel concluir que a substitui o da parti o recovery como m todo para extra o de dados de smartphones pode ser realizada em aparelhos que possuem o boot loader destravado Nos aparelhos em que o m todo pode ser aplicado os dados foram extra dos com sucesso Contudo em um deles a instala o principal do Android foi prejudicada e o aparelho n o iniciou novamente Embora isto n o tenha comprometido a extra o e a integridade dos dados em si esta uma possibilidade que deve ser considerada antes de aplicar este m todo Como proposta de trabalho futuro pretende se analisar as situa es em que a manipula o do aparelho acaba por submet lo a um reset de f brica o que n o implica necessariamente na remo o de dados presentes 24 A an lise do aparelho com Android nestas condi es poderia anda permtir a recupera o de dados pessoais importantes para a per cia REFER NCIAS 1 INTERNATIONAL TELECOMMUNICATION UNION Dispon vel em lt http www itu int en ITU D Statistics Pages stat default aspx gt Acesso em 06 mai 2015 2 VE
153. ados Nestes conjuntos est o disponiveis varios tipos de dados como da sa de suplementar do sistema de transporte de seguranca p blica indicadores de educac o gastos governamentais processo eleitoral e outros Como fonte para este estudo de caso fo1 utilizado o conjunto de dados de compras p blicas do governo federal Tais dados abertos s o do Sistema Integrado de Administra o e Servi os Gerais SIASG onde se operacionalizam as compras do Governo Federal Os dados est o dispon veis atrav s de uma API de Dados Abertos em vers o beta Por meio desta API poss vel acessar dados dos fornecedores do cat logo de materiais do cat logo de servi os das licita es e dos contratos O acesso aos dados feito atrav s de URLs com recursos Web nos formatos XML JSON CSV e HTML poss vel realizar em cada consulta uma s rie de par metros de filtro que devem compor a URL Para acessar os dados da API necess rio informar o formato de resposta HTML XML JSON ou CSV e qual informa o desejada 8 No processo de extra o dos dados escolheu se o formato JSON como formato de resposta Para o objetivo do estudo de caso as informa es necess rias seriam os contratos celebrados em cada unidade administrativa UASG e as respectivas empresas contratadas Tais informa es podem ser obtidas utilizando se o m todo de consulta Contratos dispon vel no m dulo Contratos da API A API possibilita a utiliza
154. akage will identify the origin of the copy The method would allow include a watermark in an editable electronic document and retrieve it in printed or scanned documents just by a fragment of the text The method is based on the similarity between characters of different text fonts which will be used to create a code identifying the origin of the document Keywords Watermarking Document Copy Hard Copy Scan Police Investigation Text Font INTRODUCAO A difus o da informac o com o auxilio dos avancos da tecnologia foi inicialmente aceita como grande revoluc o na comunica o A facilidade de se encontrar um documento editado por uma pessoa a quil metros de dist ncia permite rapidez e dinamismo ao processo de comunica o Entretanto a crescente difus o de conhecimento tamb m proporciona a pr tica de publica o de material nao autorizado atrav s da Internet Diversos livros artigos e documentos de trabalho tamb m foram objeto dessa populariza o e dissemina o da pr tica de compartilhamento de documentos on line 1 Neste novo cen rio surgiu a necessidade de cria o de um mecanismo que protegesse a produ o intelectual dos autores Entretanto essa prote o precisa ser robusta o suficiente para que n o seja remov vel capaz de ser recuper vel al m de identificar o material Dessa necessidade foi criado o conceito de watermarking ou termo traduzido marca d gua 1 Watermarking o processo de inse
155. alidade e confian a atribu da mensagem de e mail se comparada a outros meios de comunica ao Em 2014 segundo resultados apresentados pelo grupo Radicati 1 cerca de 4 1 bilh es de contas de e mails sendo utilizadas em todo mundo e 108 7 bilh es de mensagens trafegando por dia Embora seja um servi o de comunica o utilizado em larga escala desde o final da d cada de 90 as ferramentas de e mail Htalo Brito Jos Lucas Borges Lucas Ayres Paula Tavares Rogerio Bastos Ponto de Presen a da RNP na Bahia PoP BA RNP Universidade Federal da Bahia UFBA Salvador BA E mails italo lucasborges lucasayres paulatavares rogeriobastos Epop ba rnp br 2Edilson Lima Liliana V Solha Centro de Atendimento a Incidentes de Seguran a da RNP CAIS RNP Campinas SP E mails edilson lima liliana solha rnp br 104 ainda possuem em sua maioria uma verifica o do conte do prec ria o que se presta a um poss vel mal uso Por esse motivo o e mail bastante utilizado para dissemina o de fraudes eletr nicas 2 As fraudes frequentemente apelam para a inoc ncia tal como a n o valida o de uma suposta mensagem de seu banco solicitando dados pessoais ou curio sidade dos usu rios por exemplo a possibilidade de ver fotos exclusivas de um evento recentemente noticiado pela m dia Os e mails fraudulentos est o em sua maioria relacionados a golpes digitais como o phishing O phishing ocorre quando o golpista ut
156. aminhos j trilhados pelos hacktivistas mas da para alcan ar seus pr prios prop sitos de atingir governos Ademais segundo o autor zonas cinzentas podem existir entre essas duas modalidades no ciberespa o se os terroristas forem capazes de recrutar ou contratar hacktivistas ou se hacktivistas decidirem ir mais al m e operar a n vel de Infraestruturas Cr ticas Nesse sentido o uso da internet por grupos terroristas deve ser levado em considera o e analisado de forma profunda abrangendo principalmente an lises sobre a Darknet ou Deep Web uma vez que 99 8 das atividades terroristas ocorrem nesse sub mundo do ciberespa o 9 Em realidade se faz necess rio entender primeiramente porque os terroristas est o se interessando pelo uso de computadores Assim em linhas gerais podemos elencar Doferece abrang ncia para espalhar sua narrativa de forma r pida e barata atingindo o maior n mero poss vel de recrutas 2 forma f cil de manter o anonimato dos participantes e a troca de informa es 3 facilidade de acesso a dados abertos que podem ser teis aos planos terroristas 4 facilidade para obter financiamento principalmente atrav s do uso de entidades de caridade como fachada 10 Em segundo lugar dentro desses pontos elencados o que tange o recrutamento e abrang ncia para a narrativa se torna potencialmente mais perigosos tendo em vista que segundo uma pesquisa feita pela RAND Corporation em 2013 a internet po
157. antamento das t cnicas utilizadas internacional mente para esse exame em 13 pa ses sendo constatada a preponder ncia da utiliza o das an lises classificadas como perceptivo auditiva e ac stico instrumental Os autores obser varam que mesmo quando algum sistema de reconhecimento autom tico utilizado algum tipo de an lise humana feita e que no Brasil s o adotados os m todos perceptivo auditivo e ac stico instrumental combinadamente A an lise perceptivo auditiva requer um profissional capaci tado para identificar propriedades da qualidade da voz tra os linguisticos padr es articulat rios entre outros atributos Por sua vez a an lise ac stico instrumental ou simplesmente an lise ac stica engloba medi es de curto e de longo termo nos dom nios temporal e espectral Para realiza o dessa tarefa o software Praat amplamente difundido 9 tanto no ambiente acad mico como no forense Contudo algumas an lises requerem extensiva segmenta o de trechos com fonemas a serem submetidos extra o de par metros o que dependendo do volume do material pode tornar o exame extremamente laborioso Sendo assim a proposta desta pesquisa o desenvolvimento de uma ferramenta para aux lio de an lises ac sticas que facilite a visualiza o de caracter sticas teis para o exame de CL energia frequ ncia fundamental frequ ncia e banda de formantes taxa de subida ou descida de formantes em um trecho
158. ante tenha disponibilizado uma corre o Neste caso o preju zo pode ser incalcul vel sob os mais diversos aspectos gerando diversas formas de perdas para a empresa Outro estudo este da empresa Symantec Labs 11 lista dados do ano de 2013 que revelam caracter sticas do mercado de exploits e Houve 91 de aumento em campanhas de ataques direcionados a um alvo espec fico Aumento de 62 no n mero de falhas de seguran a Mais de 552 milh es de identidades foram expostas Pelo menos 23 falhas Zero day descobertas Cerca de 38 de usu rios de plataformas m veis experimentaram problemas com crimes cibern ticos Aumento de 66 no volume de mensagens n o solicitadas e l em cada 392 e mails continha ataques de roubo de senhas De acordo com um estudo conduzido por Goncharov 12 da empresa Trend Micro h no mercado cibern tico Russo um submundo que ativo de maneira organizada desde 2004 e utilizado como mercado para troca de informac es sobre vulnerabilidades e exploits Nesse caso alguns dos atores como zloy org DaMaGeLab e XaKePoK NeT s o bastante utilizados e constituem a bastante tempo focos de atividades relacionadas ao mercado de crimes cibern ticos em geral Tamb m existem diversos outros casos mais recentes tais como o 1337Day para exploits e em um dominio diverso mas aparentado pela suscetibilidade ao crime organizado os casos SILKROAD e AGORA para drogas A ASPECTOS ESTRAT GICOS O po
159. anto propor es de uma guerra cibern tica tendo em vista que ainda n o se sabe ao certo o que o mesmo significa ou como se desenvolver A nica certeza que temos que podemos tipifica lo enquanto uma forte ferramenta de influ ncia para atos terroristas mesmo assim o debate deve ser levado para a sociedade atingindo principalmente os grupos mais vulner veis a essa influ ncia online B Constru o de uma cultura de seguran a real e no ciberespa o Tendo em vista que o Brasil n o possui um hist rico contendo atos terroristas esse um aspecto que n o est na cultura brasileira Como explicado por Salaberry 29 A nossa cultura de os homens colocarem a carteira no bolso da frente e as mulheres a bolsa para frente quando andam em um lugar que n o conhecem Mas algu m tem medo de passar ao lado de um cesto de lixo Assim existe a necessidade de trabalhar a percep o da popula o acerca do terrorismo desmistifica lo como distante e improv vel de ocorrer no pa s principalmente quando se trata de sua vertente no ciberespa o Afinal se 2016 ser o fim do ciclo de grandes eventos ele pode ser tamb m o in cio de uma cultura de seguran a com o cuidado de que ela n o se torne paranoia ao ponto de desrespeitar os direitos individuais os direitos civis os direitos humanos 30 Em especifico ao Ciberterrorismo aspectos como higiene cibern tica e conscientiza o via palestra e workshops apar
160. aparelho apresentou o modo recovery padr o como mostrado na Figura 6 et e 1 b i zy zo cessfully opp E Fig 6 GT I9100 tela do modo recovery padr o Em seguida o cabo USB deve ser conectado ao aparelho e o comando adb devices executado como ilustrado na Figura 7 Caso nenhum aparelho seja listado a parti o recovery presente n o permite acesso ADB NUsersMAdriano gt adb devices daemon not running starting it now on port 5037 daemon started successfully ist of devices attached Users Adriano gt Fig 7 GT 19100 Comando adb devices Neste experimento a substitui o da parti o recovery foi feita utilizando o software Odin3 13 Para usar este software o celular deve estar no modo download tamb m conhecido como Odin mode A inicializa o no modo download feita pressionando as teclas Volume Home e Power com o aparelho desligado 20 Ao ligar o aparelho segurando estas teclas mostrada uma tela de confirma o Em seguida a tecla de Volume deve ser pressionada e o telefone entrar no modo download download a custom Cancel restart phone If you want to OS press the vol Downloading up Continue Warning Volume down Volume GT 19100 Modo download A seguir o celular deve ser conectado a USB e o software Odin3 v 1 85 inicializado Ao iniciar o Odin3 exibe a mensagem Added indicando que o aparelho foi reconhecido 13
161. as altera es de pixels tornam a mensagem mais robusta e mais percept vel 18 Analisando os trabalhos correlatos o objetivo da pesquisa criar uma t cnica de watermarking que seja n o percept vel mantenha informa es sobre o detentor do documento recuper vel e permane a no documento mesmo ap s sua impress o ou digitaliza o T CNICA PROPOSTA Como o contexto de aplica o da t cnica criada o inqu rito policial antes da execu o da t cnica preciso definir o momento em que a t cnica ser aplicada sobre os documentos do inqu rito preciso definir uma nova fase no procedimento de gera o de c pias de documentos A t cnica ser aplicada a documentos digitais edit veis que ser o impressos ou disponibilizados eletronicamente Antes da execu o do algoritmo propriamente dito necess rio definir as etapas anteriores que serviram de subs dio para execu o da t cnica proposta em uma c pia de prova documental O algoritmo necessita de uma watermark que seja identificadora do detentor da c pia O processo de emiss o de c pias precisa manter um registro hist rico dos documentos emitidos e vincular o identificador a seu destinat rio Al m de considerar que os documentos foram obtidos originalmente de um meio eletr nico Nesta fase teremos as seguintes etapas ap s a elabora o do documento 1 Cria o de um c digo identificador representado por uma sequ ncia de bits para o des
162. as com mensagens que resultariam no descarte de toda p gina e no registro dessa como p gina desalocada Tais p ginas s o armazenadas em uma lista de paginas livres freelist page e podem conter informa o de relev ncia pericial O SOLite conta ainda com sistema de rollback journal mantido em arquivo de log auxiliar que pode conter mensagens recuper veis n o gravadas na base dados devido a interrup es inesperadas do funcionamento da engine Existe mecanismo semelhante de operac o de log que pode ser ativado opcionalmente a partir da vers o 3 6 0 do SOLite denominado Write Ahead Log conforme 5 onde h a possibilidade de recupera o de mensagens n o gravadas em definitivo na base de dados mas na vers o do aplicativo WhatsApp analisado e em vers es anteriores n o foi detectado ativa o desse recurso como parte do mecanismo de manuten o de consist ncia Por abranger grande parte do foco usual dos exames executados as regi es tratadas no m todo abordado restringiram se inicialmente s regi es no interior das p ginas de dados mas para um exame mais aprofundado pretende se estender o m todo para todas as estruturas do arquivo da base de dados e do sistema jornal stico cujas estruturas possam conter mensagens exclu das recuper veis V ALGORITMO DE RECUPERA O Nesta se o apresentado algoritmo de recupera o de mensagens apagadas do aplicativo WhatsApp utilizando os conceitos apresentados
163. as grava es dos estojos CBC 380 AUTO IV VALIDA O E CONSIDERA ES Os resultados obtidos atrav s dos ensaios demonstraram a exist ncia de converg ncia entre os distintos estojos de mesmo material e calibre Tamb m verificou se diferen as significativas para alguns calibres distintos conforme demonstrado na Figura 11 que apresenta a sobreposi o normalizada das m dias dos LTAs obtidos para os calibres delimitados neste estudo A exce o para os calibres estudados ocorreu exclusivamente para o CBC 32 AUTO e CBC 380 AUTO em que houve uma clara sobreposi o das m dias dos espectros LTAs A aproxima o dos resultados obtidos para os calibres CBC 32 AUTO e CBC 380 AUTO era esperada em decorr ncia dos tamanhos destes estojos serem praticamente os mesmos conforme apresentado na Tabela I Nivel de Press o Sonora dB Hi I _CBC 380 AUTO e CBC 9 MM Luger _CBC 32 AUTO CBC 40 SW 1 043 10 1 157 10 1 271 10 1 386 10 Frequ ncia Hz 30 t T 7000 8143 9286 1 5 10 Fig 11 Sobreposig o das m dias dos espectros LTAS dos calibres testados Para valida o do modelo proposto foi calculada a raiz quadrada do erro quadr tico m dio normalizado do ingl s normalized root mean square error NRMSE definida pela express o 1 NRMSE gt Fs Fai i 1 em que F e s o as frequ ncias observadas e te ricas respectivamente e Fz a m dia das frequ ncias observadas
164. as principais ferramentas com o objetivo de identificar quais delas seriam resistentes a estas t cnicas O resultado encontrado pode ser observado na figura 1 e nenhuma ferramenta foi resistente a todas as principais t cnicas antiforense Dessa forma este trabalho prop e uma metodologia auto matiz vel de detec o de malwares desconhecidos baseada em caracter sticas comportamentais dos processos DLLs e drivers em execu o no sistema operacional O dados ser o extra dos da imagem da mem ria vol til e correlacionados com Malwares que n o foram detectados pelas ferramentas tradicionais de detec o de c digos maliciosos www ICoFCS org 2015 outras fontes como o VirusTotal e blacklist de IP s Al m disso a metodologia independente de sistema operacional III METOLOGIAS DE AN LISE DE MEM RIA No campo da computa o forense a an lise de mem ria pode trazer resultados mais proveitosos que a an lise de artefatos de disco j que a an lise de mem ria identifica as a es que est o sendo executadas pelo sistema operacional e pelos aplicativos em execu o no momento da coleta do dump da mem ria vol til Al m disso a an lise de mem ria pode prover v rias informa es sobre o estado do sistema em tempo de execu o por exemplo quais processos est o em execu o conex es de rede abertas e comandos executados recentemente Os dados que ficam criptografados no disco geralmente n o est o cripto
165. as t cnicas que possibilitem a detec o de atividades maliciosas www ICoFCS org 2015 PATHEXT extens es atribu das aos programas exe cut veis Caminho dos diret rios tempor rios Caminho dos diret rios de documentos hist rico de internet e dados de aplica es dos usu rios e ComSpec localiza o do cmd exe Detectar backdoors com handles padr es Identifique se a entrada e sa da de um processo est o sendo direcionados a um socket de rede remoto para um atacante Uma t cnica muito comum usada pelos backdoors cria o de um socket de rede associado a um processo cmd exe de tal forma que toda sa da do processo seja transmitido pela rede e toda entrada do socket seja transformada em entrada para o processo Enumerar DLLs Os Dynamic Link Libraries possuem c digos e recursos que podem ser compartilhados entre processos por isso muito comum entre os malwares a t cnica de injetar DLLs em processos leg timos Durante a an lise de DLLs deve se verificar se existe alguma n o vinculada se o caminho das DLLs no sistema de arquivos s o adequados e o contexto em que as mesmas est o carregadas B Ca ando Malwares nos processos em mem ria Em 12 Michael Hale et al descreve sete objetivos da an lise de mem ria para se encontrar um malware que s o E P e Extrair arquivos PE da memoria e Recuperar linhas de comandos e caminho dos processos O Process Enviroment Blobk PEB que
166. associados que podem ser aplicados na aquisic o de dados em smartphones que utilizam o sistema operacional Android est o bloqueados e com a func o de depuracao USB desabilitada Ao final ilustra se o m todo de extra o atrav s da substitui o da parti o recovery e os resultados dos testes realizados com este m todo Palavras Chave Evidencias Digitais Smartphone Android Extrac o de dados Abstract S martphones are mobile phones that store valuable in a crime investigation However the process of data acquisition can be unfeasible when the devices are locked and the USB debugging is disabled This work describes a technique and its procedures that can be applied to mobile data acquisition in which the Android operating systemis used the mobile is locked and its USB debugging is disabled At the end we present a method of data extraction by replacing the recovery partition and the results of tests that employed this method Keywords Digital evidence Smartphone Android Data extraction I INTRODU O A computa o forense uma rea da computa o cient fica cujo objetivo examinar dispositivos computacionais com a inten o de identificar preservar recuperar e apresentar evid ncias digitais que possam ser teis para tipifica o de crimes Dentre estes dispositivos destacam se os computadores notebooks laptops tablets telefones celulares m quinas fotogr ficas entre outros De acordo com a
167. at each sensor possesses an estimated line in the ground plane where the transmitting node may be located However the acquisition of a set of line estimates enables obtaining a single estimate of the transmitting user localization Figure 2 shows an example of imprecise estimates from three receiving nodes being used to estimate the position of the transmitter node The problem is reduced to the least squares problem of finding the point of minimum distance from any of the possible combination of line estimates By writing the representing the line estimates as line equa tions of the type Ax By C 0 in the sensor coordinate system an estimate of the sensor position is given by Ap zo Br yo Cri Apgzo Brg yo Cra V Ap Bp V Apo ar Boo 10 where p is an index set containing the possible combinations of estimated lines While more than three sensors can be used to obtain increased accuracy it also results in a higher to Yo min 32 MIMO Station 1 MIMO Station 2 MIMO Station 3 Figure 2 Example of a sensor triangulation using only the DOAs of the reference nodes computational load involved in the calculation of the minima Once the lines have been choosen the final location estimate So xo yo can be found by taking the derivative of the above with respect to xo and yo and finding the point where it is equal to zero Furthermore this technique may be used in conjunction with other local
168. ata 10 as armas de repeti o n o autom ticas s o aquelas cujos mecanismos de repeti o e disparo dependem exclusivamente da for a muscular do atirador como os rev lveres e a maioria das carabinas Nas armas de repeti o semiautom ticas o esfor o do atirador necess rio apenas para o acionamento do disparo aproveitando se os gases da combust o para o acionamento autom tico do mecanismo de repeti o sendo exemplo desta categoria a maioria das pistolas Para as armas de repeti o autom tica tanto o mecanismo de disparo quanto o de repeti o s o acionados pela for a expansiva dos gases sendo poss vel a produ o de tiro n o s intermitente mas tamb m cont nuo em rajada como nas submetralhadoras e fuzis As armas de fogo de funcionamento por repeti o semiautom ticas e autom ticas como as pistolas submetralhadoras e fuzis por exemplo apresentam mecanismos autom ticos para a expuls o do estojo logo ap s o respectivo cartucho ser deflagrado conforme ilustrado na Figura 1 U Fig 1 Ilustra o do mecanismo de expuls o do estojo em uma pistola Tal mecanismo tem como objetivo o recarregamento autom tico da muni o permitindo que a arma esteja apta para efetuar outro disparo no menor tempo poss vel Desta forma verifica se o potencial de aplica o da an lise ac stica da queda dos estojos preferencialmente para as armas de repeti o semiautom ticas e autom ticas uma vez que a e
169. ayer vs player multilateral competition team competition multilateral team competition unilateral competition multiple individual vs game multiple players compete against the system cooperative Os jogos do tipo single player ou player vs player nao utilizam na maioria das vezes a conex o com a Internet durante a execu o do jogo J os jogos do tipo multiplayer utilizam na maioria das vezes a conex o com a Internet para que os jogadores interajam entre si A respeito do ambiente de conex o McShaffry e Graham 6 apresentam 5 modelos tipicamente utilizados pelos jogos atuais que sao jogo individual sem conex o jogo individual com conex o jogo multijogador com conex o direta jogo multijogador com conex o rede local jogo multijogador com conex o Internet A Figura 2 mostra graficamente a forma de organiza o e interconex o dos equipamentos que comp em esses modelos sendo que em alguns casos pode haver a conex o com a Internet para possibilitar a troca de dados entre os Jogadores Nessa Figura em 2 A apresentado o modelo jogo individual sem conex o Em 2 B s o apresentados os modelos jogo multijogador com conex o direta e jogo multijogador com conex o rede local Em 2 C apresentado jogo individual com conex o nternet Por fim na Figura 2 D apresentada uma arquitetura h brida de comunica o na qual os Jogadores se comunicam entre si e tamb m com um servidor central de jogo A t cnica de
170. berto An lise de Tr fego em Redes TCP IP utilize tcpdump na an lise de tr fego em qualquer sistema operacional Novatec Editora 2013 Peron Andr de Deus Fl vio Elias Gomes de Sousa J nior Rafael Tim teo Ferramentas e Metodologia para Simplificar Investiga es Criminais Utilizando Intercepta o Telem tica The International Journal of Forensic Computer Science ICoFCS 2011 2 3 4 5 6 7 8 9 Rabin Steve Introduction to Game Development Course Technology PTR 2009 Tcpdump dispon vel em http www tcpdump org acessado em 30 05 2015 Vecchia Evandro Della Per cia Digital da investiga o a an lise forense Millenium Editora 2014 Zimmermann Hubert OSI Reference Model The ISO Model of Architecture for Open Systems Interconnection IEEE Transactions on Communications 1980 10 11 12 13 Wireshark dispon vel em http www wireshark org acessado em 30 05 2015 Brasil Lei no 12 965 de 23 de abril de 2014 Sony Playstation 3 disponivel em http br playstation com ps3 acessado em 30 05 2015 PlayStation Network disponivel em http br playstation com psn acessado em 30 05 2015 17 Internet Assigned Numbers Authority disponivel em http www 1ana org acessado em 30 05 2015 14 15 16 18 Neves Julio Cezar Programa o Shell Linux Editora Brasport 2010 www ICoFCS org 2015 DOI
171. bytes Em sistemas Android o banco de dados SQLite que armazena as conversas denominado msgstore db O referido banco tem em sua estrutura interna a tabela messages que respons vel por armazenar al m de outras informa es o conte do das conversas No exemplo mostrado na Figura 10 foram enviadas tr s mensagens entre dois usu rios de teste do aplicativo WhatsApp sendo uma delas removida logo ap s o envio das tr s mensagens TesteWhatsApp2 RR e Teste WhatsApp2 Mensagem 2 APRIL 25 2015 exclu da APRIL 25 2015 Mensagem 1 20451 gt Mensagem 1 204pm z Mensagem 2 9 4 py Mensagem 3 254pm v Mensagem 3 oy pm y Fig 10 Troca de mensagens atrav s do aplicativo WhatsApp Realizando uma consulta SQL query na tabela messages poss vel observar que antes da exclus o da mensagem 2 havia na tabela quatro registros O primeiro registro criado quando o WhatsApp inicia uma conversa e n o possui dados sobre as mensagens Os demais registros est o associados s mensagens e possuem informa es relevantes Ap s a remo o da mensagem 2 um dos registros apagado reduzindo as entradas na tabela messages Tal processo pode ser visualizado na Figura 11 49 www ICoFCS org 2015 Mensagem 2 exclu da Mensagem 1 Mensagem 1 Mensagem 2 Mensagem 3 Mensagem 3 Fig 11 Consulta no SQLite mostrando diferen as no banco antes e ap s a exclus o de uma mensage
172. ca Tech Rep 2006 A Vrubel A Brondani M Silva and L Grochocki Modelo ma tem tico para a gest o de recursos humanos baseados em controles es tat sticos de demanda e produtividade Anais do VI Congresso CONSAD de Gest o P blica 2013 M L C Gomes L Richert and J Malakoski Identifica o de locutor na rea forense a import ncia da pesquisa interdisciplinar in Anais do X ENCONTRO DO CELSUL Cascavel 2012 E Gold and P French International practices in forensic speaker comparison The International Journal of Speech Language and the Law vol 18 pp 293 307 2011 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 30 P Boersma and D Weenink Praat doing phonetics by computer version 5 4 08 2015 Online Available http www praat org C Collomb Burg s method algorithm and recursion 2009 Online Available http ccollomb free fr P Escudero P Boersma A S Rauber and R A H Bion A cross dialect acoustic description of vowels Brazilian and european portuguese Journal of the Acoustical Society of America vol 126 pp 1379 1393 2009 R Core Team R A language and environment for statistical computing 2013 Online Available http www R project org I Russo and M Behlau Percep o da Fala An lise Ac stica do Portugu s Bras
173. ca forense Outra sugest o para trabalhos futuros o estudo acerca de outros sons intr nsecos as a es mec nicas das armas de fogo como por exemplo os sons gerados pelos sistemas de alimenta o e repeti o e da movimenta o da arma pelo atirador AGRADECIMENTOS Os autores agradecem as Ag ncias brasileiras de pesquisa e inova o CAPES Projeto FORTE Edital CAPES Ci ncias Forenses 25 2014 e FINEP Conv nio RENASIC PROTO 01 12 0555 00 pelo suporte a este trabalho Agradecem ainda a Diretoria Geral da Per cia Oficial e Identifica o T cnica POLITEC do Estado de Mato Grosso pelo apoio para a qualifica o dos peritos deste rg o 1 2 3 4 5 6 REFERENCIAS Maher R C Modeling and signal processing of acoustic gunshot recordings em Anais do IEEE Signal Processing Society 12th Digital Signal Processing Workshop Jackson Lake WY pp 257 261 2006 Maher R C Acoustical characterization of gunshots em Anais do IEEE SAFE 2007 Workshop on Signal Processing Applications for Public Security and Forensics Washington DC pp 109 113 2007 Maher R C Shaw S R Deciphering gunshot recordings em Anais do AES 33rd Conference Audio Forensics Theory and Practice Denver CO 2008 Freire L L e Apolinario Jr J A Gunshot detection in noisy environments em Anais do 7th International Telecommunications Symposium Manaus Brasil 2010 Maher R C e Shaw Steven R
174. cam a configura o interna da c mara e consequentemente o calibre nominal da arma Apresenta se na Figura 3 a classifica o presente na literatura quanto ao formato dos estojos dispon veis Cabe ressaltar ainda que na pr tica at para os estojos cil ndricos poss vel a ocorr ncia de um pequeno afunilamento para facilitar o processo de extra o Os estojos do tipo cil ndricos e c nicos s o empregados predominantemente por rev lveres pistolas e submetralhadoras de maneira geral Os estojos do tipo garrafa apresentam um estrangulamento no intuito de aumentar a quantidade de propelente para proj teis menores sendo utilizado por carabinas rifles fuzis e ainda em alguns tipos de pistolas geralmente em armas que disparam com maior quantidade de energia a b Fig 3 Formatos de estojos cil ndricos a c nicos b e garrafa c Neste trabalho o estudo foi delimitado para os calibres indicados na Tabela I todos utilizados por pistolas TABELA I MODELOS E DIMENS ES DOS ESTOJOS 11 Marca Tipo Comprimento Di metro Di metro Calibre Total mm Boca mm Corpo mm an 9 C nico 19 9 55 9 84 CER Al cee 69 ae 14 CBC Cil ndrico 17 27 380 AUTO C Frequ ncias de Resson ncia em Tubos Fechados Segundo a teoria f sica de ondas quando as ondas sonoras se propagam no interior de um tubo estas s o refletidas nas extremidades ainda que esta esteja aberta Para certos comprimentos de onda a s
175. car o esquema de parti es padr o as parti es mostradas na Tabela II est o presentes na maioria dos smartphones com Android As parti es de sistema dados do usu rio boot cache e recovery tipicamente est o presentes nos aparelhos 12 Os aplicativos que armazenam dados do usu rio na mem ria interna do telefone gravam estes dados na parti o data no caminho data data lt app gt 4 TABELA II Arquivos Montagem configura es dev mtd mtdl mise__ NA Mem ria Inicializ vel dev mtdimtd boot N A toc padr o system y affs2 system sistemas e aplicativos cache boot Inicializavel usuario Logs de ami LNA ting O parti o F Modos de inicializa o TABELA DE PARTI ES T PICAS DO ANDROID Caminho Bootimg de dev mtd mtd3 recovery Arquivos de dev mtd mt4 dev mtd mtd5 dev mtd mtd6 dev mtd mtd7 Fonte 12 Os aparelhos podem ser inicializados de diferentes modos Alguns fabricantes disponibilizam softwares espec ficos para isto Por m na maioria dos dispositivos o modo de inicializa o pode ser alterado atrav s de uma combina o de teclas enquanto o dispositivo est sendo ligado Embora o Android forneca para os desenvolvedores de aplicativos certo n vel de abstra o de hardware existe uma grande diversidade de fabricantes e modelos Alguns aparelhos possuem grande quantidade de teclas J outros possuem apenas uma ou duas teclas Justamente por causa
176. ciano Lima Kuppens Brazilian Federal Police Brazil Luiz Vinicius Gontijo Laborda Larrain Brazilian Federal Police Brazil Michael Kirchhoff Ilmenau University of Technology Germany Marco Antonio Marques Marinho University of Brasilia Brazil Mariana Guimar es Pralon Ilmenau University of Technology Germany Nerci Lino de Almeida Brazilian Federal Police Brazil Paulo C sar Herrmann Wanner Brazilian Federal Police Brazil Paulo Max Gil Innocencio Reis Brazilian Federal Police Brazil Rafael de Oliveira Ribeiro Brazilian Federal Police Brazil Ricardo Kehrle Miranda University of Brasilia Brazil Rodrigo Gurgel Fernandes T vora Brazilian Federal Police Brazil Samuel Machado Leal da Silva Brazilian Army Brazil Sara Lais Rahal Lenharo Brazilian Federal Police Brazil Stephan Haefner Ilmenau University of Technology Germany Thiago Pereira de Brito Vieira National Telecommunications Agency Brazil Willian Ferreira Giozza University of Brasilia Brazil CONFERENCE SCOPE Artificial Intelligence Cryptology Management Issues Artificial Neural Network Digital Investigation Network Security Biometrics Image Analysis Pattern Recognition Computer Crimes Image Processing Secure Software Development Computer Forensics Information Security Semantic Web Computer Forensics in Education International Police Cooperation Signal Processing Computer Law Intrusion Prevention and Detection Simulation Computer Vision Machine Learning Sof
177. colo TCP IP para a troca de dados entre os jogadores tais como eventos de sincronizac o do sistema do jogo Assim possivel utilizar a an lise de tr fego de redes para extrair informa es da camada de redes para identificar um poss vel alvo Na Figura 3 s o apresentadas as camadas do modelo OSI 12 utilizadas para realizar a comunica o entre o sistema de jogo e os jogadores Maquina A Origem Aplicac o Apresentac o Maquina B Destino i Entrada de Dados Aplica o Atualiza o do Estado Apresenta o Eventos do Jogo Pacotes do Jogo 1 de ie D R D D T o D w 3 Conexao e Transfer ncia_ de Dados aden Roteador dos Cabo Fibra ou Redes sem Fio Fig 3 Modelo OSI com as camadas de comunica o entre os jogos online Fonte Adaptado de Rabin 9 O protocolo IP tem como principal caracter stica a identifica o nica de um dispositivo de rede atrav s de seu endere amento Existem duas vers es do protocolo IP IPv4 e IPv6 O IPv4 possui um endere amento de 32 bits e o IPv6 utiliza um endere amento de 128 bits Uma estrat gia adotada por algumas institui es ou estabelecimentos para atenuar a escassez de endere os IPv4 a utiliza o dos endere os privados de 10 0 0 0 a LO ee a Os de LIZ a 60 a Edu Lea Da OO e de CHA IS a 192 168 255 255 por seus usu rios Assim os dispositivos de rede que
178. como a t cnica anterior necess rio o documento original para recuperar a informa o 11 15 www ICoFCS org 2015 c Feature Coding utiliza varia es das caracter sticas de palavras ou letras como tamanho ou espacamento para cria o da watermark Tamb m faz uso do texto original para recuperac o da informac o As duas primeiras t cnicas tamb m precisam de um texto maior que a terceira t cnica uma vez que as altera es que aquelas proporcionam s o baseadas nas linhas enquanto esta baseada em palavras ou letras APLICA O DO CONCEITO DE WATERMARKING EM DOCUMENTOS DO INQU RITO POLICIAL O processo inquisitorial marcado pelo seu sigilo durante a Investiga o e pela quantidade de provas produzidas que ir o fundamentar a investiga o e o futuro processo judicial Apesar de sigiloso algumas pe as produzidas no inqu rito policial s o acessadas por personalidades que comp em esse tr mite como advogados policiais promotores ju zes entre outros Esse acesso sem um controle eficaz pode gerar vazamento de informa es e comprometer a pr pria Investiga o Pela facilidade na dissemina o da informa o a detec o do respons vel pelo vazamento se torna uma tarefa complexa porque diferentes c pias s o distribu das e ainda n o h maturidade suficiente nos processos de controle de c pias que possibilitem o rastreio da informa o A defini o de uma pol tica de controle de c
179. correla o independentemente da modalidade de licita o escolhida A apresenta o do artigo realizada inicialmente mostrando a fonte de dados dispombilizada pelo governo federal e utilizada para o estudo de caso Em seguida s o mostradas algumas t cnicas na linguagem R utilizadas para a obten o de dados na internet Posteriormente apresentada uma descri o resumida das principais modalidades de licita o Ap s a abordagem dos principais assuntos envolvidos no problema analisado inicia se a explica o dos procedimentos de extra o an lise dos dados e resultados obtidos no estudo de caso Por fim s o apresentadas as conclus es e possibilidades de futuras pesquisas IT A Fonte de Dados ESTUDO DE CASO Para a realizac o do estudo de caso foram utilizados dados extra dos do portal de dados abertos brasileiro cujas caracter sticas s o descritas em seguida O Brasil tornou se membro do Open Gorvernment Partnership um iniciativa multinacional para ado o mundial do Open Government Data OGD em setembro de 2011 2 O portal de dados abertos brasileiro foi lancado em 2012 e disponibilizado no s tio da internet www dados gov br 3 O desenvolvimento do projeto parte da Infraestrutura Nacional de Dados Abertos INDA e tem por objetivo a centraliza o de acesso ao maior conjunto possiveis de dados p blicos governamentais Em abril de 2015 estavam disponiveis para a consulta 859 conjuntos de d
180. crime tenha conhecimento desse mercado espec fico no sentido de organizar prote es de sistemas de informa o e de realizar investiga es tanto para preven o de crimes cibern ticos quanto para a investiga o de evid ncias da ocorr ncia desses crimes Al m disso o artigo aponta a necessidade de planejamento focado e com objetivos bem definidos para a inser o nesse tipo de atividade De maneira geral este artigo est organizado nas seguintes divis es A Se o II explica o que s o exploits e temas correlatos assim como o processo b sico de emprego dessas ferramentas Na Se o III tem se uma discuss o que trata de como o mercado de exploits est estruturado J a Se o IV apresenta alguns dos principais atores envolvidos Por fim as conclus es do trabalho encontram se na Se o V Il DEFINI ES E TERMINOLOGIA O mercado de exploits pode ser analisado em uma perspectiva de consumidor cliente e fornecedor especialista empresa Indiferente da perspectiva para se abordar esse mercado necess rio planejamento foco e objetivo concreto um mercado profissional que conta com desenvolvimento de t cnicas e estudo de tecnologias em constante evolu o empregando pessoal t cnico altamente capacitado A participa o neste mercado como eventual gerador de necessidade n o prescinde de um planejamento bem estruturado de prefer ncia com suporte e objetivo estrat gico que conte com infraestrutura pr
181. cutar o ambiente por um per odo determinado de tempo e verificar os ataques reais oriundos da Internet para analis los e descrever o que aconteceu o que foi aprendido criar imagens de honeypots comprometidos para uma an lise forense mais detalhada extrair e analisar dados a partir de dumps de mem ria e incluir honeypots com sistemas operacionais utilizados por smartphones AGRADECIMENTOS Os autores agradecem as Ag ncias brasileiras de pesquisa e inova o CAPES Projeto FORTE Edital CAPES Ci ncias Forenses 25 2014 FINEP Conv nio RENASIC PROTO 01 12 0555 00 pelo suporte a este trabalho REFER NCIAS CERT BR Incidentes Reportados ao CERT br Janeiro a Dezembro de 2014 Dispon vel em lt http www cert br stats incidentes 2014 jan dec analise html gt Acessado em 15 04 2015 SCARFONE K e MELL P Guide to Intrusion Detection and Prevention Systems IDPS Recommendations of the National Institute of Standards and Technology Gaithersburg 2007 PROJECT Honeynet Conhe a seu inimigo O Projeto Honeynet S o Paulo Pearson Education do Brasil 2002 STOLL C Stalking the wily hacker Commun ACM ACM New York NY USA v 31 n 5 p 484 497 1988 ISSN 0001 0782 1 2 5 4 5 6 7 3 9 10 11 CHESWICK B An evening with berferd in which a cracker is lured endured and studied In In Proc Winter USENIX Conference S 1 s n 1990 p 163 174
182. dados s o coletados havendo duas categorias baseado em host ou HIDS Host Intrusion Detection System e baseado em rede ou NIDS Network Intrusion Detection System O grande problema da operacionaliza o de um IDS que tal sistema limita se a garantir certo n vel de seguran a sobretudo no que se refere detec o de ataques que sejam conhecidos previamente ou que se possa prever de alguma forma ou seja ataques que tenham alguma assinatura verific vel previamente conhecida Coloca se por consequ ncia a quest o complementar de como coletar e analisar os dados de tr fego que incluam poss veis ataques ainda desconhecidos Para tanto prepara se o IDS para detectar n o somente ataques por assinatura mas tamb m ind cios de ataques que correspondam a anomalias no tr fego ou na opera o de sistemas A detec o por anomalia ainda que efetiva como m todo para bloquear os ataques deixa em aberto a necessidade de analisar detalhadamente a anomalia para descrever o ataque e deste obter a respectiva assinatura A solu o comum para a quest o da an lise dos ataques tanto daqueles conhecidos quanto daqueles detectados por anomalia consiste em construir um recurso de seguran a chamado honeynet que de acordo com 3 uma ferramenta projetada especificamente para pesquisa e obten o de informa es de intrusos Em uma honeynet sistemas operacionais e servi os s o emulados de modo a parecer com sistemas reais funciona
183. damente uma combina o linear das amostras anteriores Normalmente feita atrav s de m todos de covari ncia ou de autocorrela o 21 Uma representa o deste modelo pode ser visualizada na Equa o 2 em que s n representa o sinal de sa da x n o sinal de entrada e m o n mero de coeficientes que corresponder a ordem do sistema Uma vez que o sinal de entrada desconhecido o valor n na Equa o 3 seria uma estimativa do valor da amostra atual O objetivo da an lise preditiva a determina o dos coeficientes afi i 1 m de forma que o erro de predi o e n constante na Equa o 4 seja o menor poss vel sin gt aisn i x n 2 24 dB Hz 0 1000 3000 4000 Frequencia Hz 2000 Fig 2 Figura contemplando o espectro LPC mais suavizado em contraste com espectro de Fourier na parte inferior de uma vogal a produzida por um falante adulto do sexo masculino sin gt aisn 1 3 eln s n s n 4 Para este trabalho foi escolhido o algoritmo de Burg por ser considerado um modelo est vel e que apresenta bons resultados para grava es de curta dura o 10 O algoritmo de Burg considera al m da predi o referente s amostras anteriores y na Equa o 5 tamb m a referente s amostras posteriores z na Equa o 6 A escolha dos coeficientes feita de forma a minimizar o erro de ambos os sentidos A quantidade m xima de n mero de coeficien
184. das grava es de tiros 6 localiza o de atirador sniper 7 8 e a identifica o de armas de fogo atrav s de imagens rotacionadas do cartucho 9 Para efetuar as an lises o Perito deve compreender as distintas componentes emissoras de sons poss veis de serem encontradas em grava es contendo disparos de armas de fogo Dentre estas componentes encontram se os sons oriundos da explos o provocada para a expuls o do proj til atrav s do cano da arma das a es mec nicas intr nsecas ao funcionamento desta como o acionamento do gatilho e c o a expuls o de estojos e recarregamentos de muni o da onda de choque provocada por proj teis supers nicos e os sinais decorrentes dos efeitos de vibra o em superf cies s lidas al m do pr prio solo 2 Todas as abordagens supracitadas focam na abordagem ac stica do tiro e seus efeitos na propaga o Este trabalho possui uma perspectiva diferenciada focada no estudo de eventos ac sticos das a es mec nicas em espec fico para a queda do estojo ejetado Apesar de uma ampla pesquisa bibliogr fica na literatura relacionada n o foi identificada abordagem similar para o tratamento deste problema proposto neste artigo um estudo acerca da natureza ac stica do som produzido pelo contato dos estojos ejetados ao atingir o solo ou superf cies r gidas e o potencial destes eventos ac sticos para a identifica o do calibre de armas de fogo Apresentam se ainda os resul
185. das por invasores A O Ataque Neste estudo de caso foram realizados dois ataques de for a bruta que geralmente s o utilizados para comprometer severamente um sistema O ataque foi feito da m quina virtual Linux Kali 172 30 20 100 para o Honeypot FTP 172 30 20 21 O servico proftpd 1 3 4a do honeypot foi configurado para aceitar apenas conex0es com autenticac o Para esta simulac o o intruso ser representado pela m quina virtual Linux Kali 172 30 20 100 Primeiramente foi executado um portscan com o nmap pelo intruso Figura 8 Ap s a varredura verificou se que v rios servicos estavam com estado OPEN inclusive o FTP e SSH O primeiro ataque foi realizado no protocolo FTP atrav s da ferramenta xHydra Esta ferramenta faz escalac o de privil gios atrav s de quebra de senha online A Figura 9 apresenta os usu rios luiza e marcia e as senhas senhaluiza e senhamarcia que foram encontrados pelo xHydra durante o ataque nmap A 172 30 20 21 Starting Nmap 6 46 http nmap org at 2015 04 30 14 18 BRT Nmap scan report for 172 30 20 21 Host is up 0 0027s latency Not shown 997 closed ports PORT STATE SERVICE VERSION 21 tcp open ftp ProFTPD 1 3 4a 22 tcp open ssh OpenSSH 6 0p1 Debian 4 deb7u2 protocol 2 0 ssh hostkey 1024 7b 5a ad 93 8b f2 3b 01 b1 24 53 53 df 4a f4 07 DSA 2048 c5 90 1b 72 fa 4e 97 29 ae ff 99 f7 56 4d ad 6e RSA _ 256 dl 32 da fb 5d e7 a3 84 c5 24 a3 f7 ab c6 d2 8a ECDSA
186. de aumentar as oportunidades para a radicaliza o Contudo n o necessariamente acelerando o processo e n o substituindo o contato f sico necess rio para a propria radicaliza o self radicalisation 11 Como exemplo recente dessa atividade podemos citar o caso do grupo ISIS Estado Isl mico o qual com sua campanha nas redes sociais atraiu para sua causa mais de 18 000 combatentes estrangeiros de mais de 90 pa ses 12 entre eles o Brasil 13 Tomando o exemplo do ISIS percebe se que o uso da internet por terroristas aumenta o fen meno j discutido mundialmente do recrutamento de combatentes estrangeiros FTF em ingl s ou seja pessoas que viajam para um estado diferente do seu com o objetivo de se juntarem ou receberem treinamento em apoio a atividades terroristas 14 De fato de acordo com o F rum Global Contra o Terrorismo GCTF em ingl s rg o criado em 2011 por 29 pa ses e a Uni o Europeia incluindo a Col mbia como membro fundador e a Organiza o dos Estados Americanos como um stakeholder um grupo de trabalho especifico nesse fen meno j tem lugar e usa como base o documento chamado Memorando de www ICoFCS org 2015 Marrakesh em Boas Pr ticas para uma Resposta mais Efetiva ao fen meno do FTF O Memorando de Marrakesh n o compulsivo perante as leis internacionais e se apresenta dividido em quatro grandes grupos que se subdividem em um total de 19 boas pr ticas Esses grandes grupos foram
187. de infiltra o exfiltra o de dados controle remoto vigil ncia cibern tica entre outras virtualmente sem serem detectados ou combatidos C CUSTOS DE EXPLOITS muito dif cil definir o real custo de um exploit haja vista a necessidade de empregar v rios crit rios de an lise al m do tipo do exploit Normalmente caracter sticas como a complexidade ou facilidade do uso a efetividade a especifica o do alvo a janela de oportunidade localiza o do alvo dificuldade de penetra o etc s o fatores que influenciam na composi o do pre o final de uma arma cibern tica Na citada reportagem da Forbes 9 alguns n meros puderam ser correlacionados ao tipo de produto do mercado de tecnologia da imforma o afetado eventualmente por um exploit para uma vulnerabilidade Zero day conforme resumo na Tabela IV Em um levantamento espec fico para este artigo atualizado com valores para 2015 algumas ferramentas com uso direcionado e de maneira restrita foram encontradas oferecidas por um nico hacker http aptO no 1p biz A Tabela V indica alguns valores para produtos espec ficos embora os dados n o se adequem a uma compara o de pre os nem a uma an lise de deprecia o Entretanto indicam que uma vez que um determinado Exploit funcione em uma determinada vers o do sistema alvo os interessados em adquirir tal produto podem pagar um valor que depende de fatores que s o inerentes ao www ICoFCS org 20
188. de interpretadores e compiladores 5 Para as pesquisas e manejo dos dados foi usado o banco de dados relacional Incialmente as primeiras vers es do software utilizavam arquivos texto e pesquisas diretas em objetos instanciados na mem ria por meio da linguagem Java Essa abordagem entretanto se mostrou lenta no processamento de uma grande quantidade de dados Na vers o atual as estruturas de dados alojadas anteriormente em mem ria e salvas em arquivos texto foram modeladas para tabelas em banco de dados Foi alcan ado um ganho consider vel de desempenho com essa abordagem al m de possibilitar recursos mais sofisticados de pesquisa sobre os dados processados O banco de dados escolhido foi o PostgresSQL 6 acessado via JDBC 7 A interface do software toda em linha de comando poss vel usar alguns par metros de entrada para escolher determinadas fun es Algumas configura es tamb m podem ser feitas em arquivos texto Por m os recursos foram sendo acrescentados conforme demanda espec fica Para se utilizar o software de forma gen rica ainda necess rio um esfor o para tornar a interface mais amig vel e principalmente para melhorar a documenta o que atualmente se restringe a coment rios nos c digos fonte VII CONCLUS ES O processo de intercepta o de liga es telef nicas amplamente utilizado pelos Org os Policiais em suas investiga es A integridade e confiabilidade das provas gerada
189. de opera es de intercepta o telef nicas simult neas em andamento n o era poss vel manter por muito tempo os dados de uma opera o de intercepta o ou faltaria espa o para opera es subsequentes Em raz o disso os discos r gidos do Sistema foram usados de forma rotativa ou seja os udios de intercepta es de opera es j finalizadas eram apagados para liberar espa o para novas intercepta es Cumpre frisar que as informa es gravadas pelo Sistema Guardi o correspondem a registros de dados em que constam por exemplo o n mero de telefone alvo e o per odo de intercepta o e arquivos de udio associados a cada um desses registros No processo de libera o de espa o de forma rotativa para novas opera es apenas os arquivos de udio s o sobrescritos J os registros de dados permanecem no Sistema indefinidamente No in cio das an lises periciais o processo de libera o rotativa de espa o j tinha atingido as opera es foco da per cia Dentro do Sistema Guardi o existiam portanto apenas os registros de dados da opera o sem os udios correspondentes Os arquivos de udio al m de anexados aos autos em m dias ticas haviam sido tamb m guardados em disco r gido externo ao Sistema Guardi o Esses arquivos s o armazenados com criptografia e somente podem ser lidos pelo Guardi o Reader Esse software al m de reproduzir o udio das intercepta es capaz de verificar sua i
190. demicamente o software de an lise matem tica Matlab e sua toolbox de Pro cessamento de Sinais Ap s a sele o no Praat do arquivo ou do trecho a ser submetido an lise inicia se o processamento conforme ilustrado no fluxograma apresentado na Figura 3 cujos blocos principais est o enumerados e s o descritos na sequ ncia 1 Pr processamento nesta etapa o sinal reamostrado a uma taxa de 8kHz e o n vel DC removido atrav s da subtra o do n vel m dio do trecho 2 Rotina para C lculo de ZCR o sinal divido em frames janelas de 25ms de dura o sendo efetuado o c lculo do n mero de vezes que h altera o do sinal do valor da amostra mudan a de sinal de positivo para negativo e vice versa Ap s a finaliza o do processo acima o resultado de todas as janelas s o divididas pelo valor m ximo para fins de normaliza o 3 Detec o de Frequ ncia Fundamental no Praat utilizada a op o To Pitch ac por permitir a configura o dos par metros de inicializa o que in cluem a defini o das frequ ncias m nima e m xima al m da escolha do tipo de janela op o Very accurate para janela Gaussiana O tamanho da janela n o de finido por ser uma fun o da frequ ncia m nima Neste primeiro momento mantiveram se os valores de custo default O objeto resultante convertido para PitchTier e em seguida para tabela permitindo o armazenamento na forma de arquivo 4 C lc
191. desta diversidade nem sempre a mesma combina o de teclas para alternar o modo de inicializa o funciona em modelos diferentes A Tabela III exibe as combina es de teclas para alternar o modo de inicializa o de alguns modelos 12 TABELA III MODOSDE INICIALIZA O DE ALGUNS APARELHOS COM ANDROID D Pad UP Modo que permite flashing via RSD power Lite Modo que permite flashing via RSD Lite Boot na parti o recovery ap s camera volup Motorola Droid Flash Motorola Droid Flash camera power Motorola Recove ower x Droid Y P para mostrar menu ATCGI Modo Fasiboo Modo de boot HTC Gl Flash power c mera back para trocar para Fastboot recovery Boot no modo Samsung force download volup voldn Samsung Flas ta eee Captivate as Gus insira Samsun g Recovery power volup Boot na parti o Captivate voldn recovery T Boot no modo 8 Flash power voldn Samsung force Galaxy Tab download Samsung Boot na parti o Fonte 12 Quando o aparelho ligado normalmente sem nenhuma combina o de teclas ele est no modo normal Neste modo o sistema principal comumente instalado na parti o system iniciado Para que o aparelho seja inicializado em um modo diferente necess rio lig lo pressionando a combina o de teclas corresponde ao modo desejado Um modo especial de inicializa o chamado de modo de recupera o ou modo recovery Ao
192. devida corre o Assim os respons veis pelo descobrimento t m a possibilidade de vender a falha havendo casos de valores de venda substanciais como U 500 000 00 segundo reportagem da revista Forbes 9 Constata se que os valores s o vari veis dependendo da utilidade e efetividade do exploit sob o ponto de vista do interesse do comprador da abrang ncia da falha ou da dificuldade de explora o de um determinado recurso O mercado de exploits tamb m est ligado ao mercado do crime cibern tico Um estudo realizado pela empresa Hewlett Packard HP aponta que existe um crescimento do impacto financeiro relacionado seguran a da informa o da ordem de 40 10 Esse estudo tamb m aponta que em uma an lise de organiza es dos EUA o custo m dio do crime cibern tico para essas organiza es foi da ordem de U 8 900 000 00 em 93 www lCoFCS org 2015 2012 Esta cifra representa um aumento de 6 quando comparado aos dados de 2011 e 38 quando comparado a 2010 O estudo apontou que em 2012 houve aumento de 42 no n mero de ataques cibern ticos com as organiza es passando por uma m dia de 102 ataques com sucesso por semana com custo m dio de solu o na ordem de valores de US 591 780 00 Se uma organiza o alvo de um ataque cibern tico furtivo mediante uso de falhas Zero day prov vel que ela n o descubra o efeito desse ataque antes de a falha se tornar p blica e muitas vezes antes que o fabric
193. do ao Elderwood Firefox 31 34 Exploit Project que o seu foco de ataque s o empresas que atuam Source Code como fornecedores de equipamentos eletr nicos cujos Insanity Infection Loca o de infraestrutura 2000 principais clientes s o grandes empresas da rea de defesa Kit para testes de penetra o por m s em sistemas IV EMPRESAS ESPECIALIZADAS Conforme o mercado se movimenta existem empresas que D PROGRAMAS DE RECOMPENSA PARA DESCOBERTA DE fornecem servi os especializados na rea de exploits A seguir FALHAS s o apresentadas algumas dessas empresas cujos dados est o dispon veis na Internet TABELA V PRE OS US DE EXPLOITS ENCONTRADOS EM 2015 E PRE O M DIO US PAGO POR BUG BOUNTY PROGRAMS ADAPTADO A VUPEN DE FREI 13 A Vupen uma empresa francesa que participa ativamente Empresa Pre o US Descri o S mercado de exploits e bug bounty programs Segundo dados Google 580 000 Pre o m dio durante 3 anos por 501 pis uia a E A Did de no da pr pria empresa todas as vulnerabilidades da Vupen s o de navegador Chrome Equivale a 28 desenvolvimento pr prio e permitem a ag ncias de governo e de atualiza es no mesmo per odo comunidade de intelig ncia a condu o de opera es de rede Mozilla 570 000 Pre o m dio durante 3 anos por 190 em suas miss es cibern ticas vulnerabilidades no navegador ees pee Firefox Equivale a 24 de Segundo dados oriundos d
194. dos aplicativos A parti o de maior interesse a data onde residem todos os arquivos do usu rio Se o ADB possulacesso de root esta parti o pode ser inteiramente copiada O aplicativo AFLogical tamb m pode ser utilizado para extra o dos dados 9 Este aplicativo foi desenvolvido pela empresa viaForensics e pode ser instalado no aparelho atrav s do ADB Uma vez instalado ele extrai os dados de diversos aplicativos como SMS contatos registros de chamada Facebook browser entre outros Os dados extra dos s o armazenados no cart o SD em formato csv 16 Outra maneira de analisar os dados examinando o cart o SD externo Diversos aplicativos permitem que o usu rio realize um backup dos dados para a mem ria externa O cart o SD pode ser removido do aparelho e analisado na m quina do perito O problema que nem sempre os dados do backup estar o atualizados Caso o bloqueio de tela esteja ativo n o poss vel realizar backup dos aplicativos Se a op o de depura o USB estiver desabilitada tamb m n o poss vel instalar aplicativos ou executar comandos Neste cen rio ainda existe outra possibilidade a substitui o da parti o recovery H A substitui o da parti o recovery A troca da parti o recovery padr o pode ser realizada em aparelhos cujo boot loader seja compat vel com o modo fastboot ou ofere a a op o de substitui o de parti es tamb m conhecida como flash de parti
195. dos pulsos el ticos conforme descrito no modelo fonte filtro que con sidera o sistema de gera o do sinal de voz como uma composi o de uma fonte de excita o pulsos gl ticos aco plado a um filtro modelado pela anatomia do trato vocal Durante a produ o de fonemas voc licos as frequ ncias amplificadas resultam nos formantes F3 Fo F3 F 14 Os primeiros formantes F e Fo t m rela o direta com a altura e o recuo da l ngua 13 sendo que a sua representa o gr fica normalmente realizada atrav s do diagrama de Vogais Cardeais tamb m chamado de Trap zio Voc lico 17 B Fonemas do Portugu s Brasileiro PB As unidades lingu sticas que organizam uma determinada l ngua s o denominadas fonemas No PB s o subdivididos em vogais semivogais ou glides e consoantes e Vogais representam o nico tipo de segmento que pode atuar como n cleo sil bico S o segmentos vozeados ou sonoros devido vibra o das pregas vocais que sempre ocorre durante a sua articula o Outro ponto importante para sua caracteriza o que durante a sua produ o o fluxo de ar n o sofre obstru es no trato vocal e como consequ ncia os segmentos voc licos geralmente apresentam maior energia que os segmentos consonantais 13 14 Na Figura l a apresentado o trap zio fon tico das vogais em que as barras verticais e horizontais s o alusivas posi o da l ngua nos respectivos eixos durante a produ
196. e Fraudes da RNP a nica fonte de informa es aberta e online sobre fraudes eletr nicas no Brasil sendo bastante utilizado pela popula o em geral como uma base de conhecimento para valida o de mensagens de e mail suspeitas Este artigo est estruturado em seis se oes sendo esta Se ao da Introdu ao a primeira Na Se o II s o apresentados outros trabalhos todos internacionais que abordam a an lise e registro de fraudes eletr nicas J na Se o III discute se o processo de tratamento de fraudes detalhando se as etapas deste processo que incluem recebimento triagem intera o com a fraude e cat logo A Se o IV traz algumas estat sticas e tend ncias observadas no tratamento das fraudes e a Se o V apresenta alguns benef cios que o Cat logo de Fraudes proporciona para a comunidade em geral Por fim a Se o VI conclui e apresenta trabalhos futuros para esta iniciativa II TRABALHOS RELACIONADOS Os trabalhos anteriores na rea de fraudes eletr nicas phishing focam em mecanismos de detec o autom tica de fraudes t cnicas utilizadas pelos atacantes e relat rios de atividades envolvendo phishing Detec o autom tica um assunto bastante abordado em artigos dessa rea Basnet et al em 7 tentou criar um sistema de detec o autom tica baseado em regras Estas regras levam em considera o diversas caracter sticas como IPs nas URLs palavras chave comuns a sites fraudulentos n
197. e 5 grau Fig 3 Modelos de ajuste www ICoFCS org 2015 No entanto devido a proximidade com a regress o linear simples no intervalo de n meros de contrato contido entre 1 e 150 contratos maior concentrac o de unidades administrativas optou se pela realiza o da compara o entre as diversas modalidades de licita o mediante a utiliza o da regress o linear simples A partir dos dados obtidos foram elaborados os seguintes gr ficos para cada modalidade de licita o Figuras 4 a 9 onde a linha central representa a fun o de regress o e as linhas verdes as margens superior e inferior de acordo com o n vel de toler ncia MaiorNumContMesmaEmpresa 0 50 100 150 200 250 300 NumContratos Fig 8 Modalidade dispensa de licitac o oJ D 40 MaiorNumContMesmaEmpresa 20 MaiorNumContMesmaEmpresa 0 50 100 150 200 250 300 ad 50 00 50 200 250 300 0 1 1 Fig 4 Modalidade Carta convite NumContratos o Fig 9 Modalidade inexigibilidade de licita o 40 A Pelos gr ficos anteriores pode se perceber para todas as modalidades de licita o a exist ncia de uma correla o entre o maior n mero de contratos celebrados com uma mesma empresa _ oe e o numero total de contratos da unidade administrativa i aE A LS Ressalta se que na modalidade dispensa de licitac o existe uma E o sae dispers o maior ontMesmaEmpresa 30 1 20 Maior
198. e a obten o de informa es de intrusos Esse mesmo ambiente pode ser utilizado para a preserva o de evid ncias de ataques para efeito forense Palavras Chave Honeynets Honeypots Intrusion Detection Systems IDS Controle de Dados de Intrus es Captura de Dados de Intrus es Abstract It constitutes a common practice to apply intrusion detection techniques to detect malicious traffic Because of the large number of vulnerabilities in information systems and the great creativity of the intruders it becomes increasingly necessary to continuously update the employed detection techniques Therefore it is crucial to operationalize a cyber environment that purposely is prepared to be invaded and compromised in order to allow the security professional to analyze and verify the evolution of the several types of attacks as well as the vulnerabilities exploited by attackers This paper presents a security solution projected specifically for research and for obtaining information from intruders This same cyber environment can be used for the preservation of attack evidences to forensic effect Keywords Honeynets Honeypots Intrusion Detection Systems IDS Intrusion Data Control Intrusion Data Capture I INTRODU O Atualmente um dos principais problemas de seguran a enfrentados no ciberespa o a invas o de redes de computadores Conforme estat sticas apresentadas em 1 no ano de 2014 houve 467 621 notifica es d
199. e conseguir assegurar a capilaridade das comunica es eletr nicas dentro e fora do territ rio nacional e 4 a necessidade do fortalecimento das institui es respons veis pela tomada de a es antiterroristas Cada uma dessas reas possui especificidades e comp em em parte preocupa es de ordem internacionais como por exemplo o manejo de contra narrativas e uma tipifica o do terrorismo e de sua vertente cibern tica Se formos capazes de supri las isso n o s garantir uma boa administra o dos jogos Rio2016 como tamb m poderia nos ajudar na constru o de uma doutrina de seguran a que equilibre os anseios de um estado de direito democr tico com medidas securit rias apropriadas REFER NCIAS 1 Collin B C 1997 The future of cyberterrorism Crime amp Justice International 13 2 Dispon vel em http www cjimagazine com archives cji4c18 html id 415 Acesso em 19 de Abril de 2015 traduc o nossa 2 Macdonald S Jarvis L Chen T amp Lavis S 2013 Cyberterrorism A Survey of Researchers Cyberterrorism Project Research Report No 1 Swansea University Disponivel em www cyberterrorism project org Acesso em 17 de Abril de 2015 tradu o nossa 88 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 www ICoFCS org 2015 Awan 2014 Debating the term cyber terrorism Issues and problems Internet Journal of Criminology
200. e dos dados A defesa restariam apenas os registros digitais das intercepta es gravados em m dia tica e acessados por um leitor espec fico N o haveria ferramentas para fazer um cruzamento dos dados Dessa necessidade os defensores formularam mais um quesito e que os dados sejam importados para algum Sistema de Banco de Dados para que possam ser analisados ou que n o sendo poss vel a importa o que se aponte no laudo as dificuldades do cruzamento da grande quantidade de dados provenientes das intercepta es telef nicas Por fim para dirimir eventuais d vidas em rela o prova a Autoridade Judicial determinou que os peritos extraissem na integra e com verifica o de integridade todos os registros referentes s intercepta es telef nicas V OS PROCEDIMENTOS PERICIAIS Durante o processo de intercepta o os dados desviados pela operadora para o Sistema Guardi o foram armazenados em disco r gido Ao fim da opera o policial esses dados foram gravados em m dias ticas e as m dias anexadas aos autos correspondentes O volume de dados gerado por uma opera o de intercepta o telef nica que geralmente envolve v rios alvos por per odos de meses ou at anos muito grande Um dos casos envolveu aproximadamente 7 000 horas de udio volume que precisou ser gravado em 18 DVDs ou seja cerca de 80GB Devido capacidade de armazenamento limitada do Sistema Guardi o que foi periciado e ao n mero
201. e fontes abertas 16 a lista de aa OCS 10 Meso periodo clientes da Vupen inclui governos empresas de seguran a em Facebook 1 000 000 Pre o m dio pago desde 2011 em seu i oes ERA programa de vulnerabilidades geral empresas financeiras de sa de seguros manufatura Microsof 130 000 Pre o m dio desde 2013 para tecnologia entre outros Entre os clientes a lista inclui pa ses ayo programa de reporte de novas membro da Organizacao do Tratado do Atl ntico Norte t cnicas de explora o de falhas OTAN Algumas fontes abertas 17 inclusive reportam que a estadunidense National Security Agency NSA comprou exploits Zero day fornecidos pela Vupen Al m do setor de mercado de produtos e infraestrutura verifica se um setor de programas de recompensa para descoberta de falhas Bug Bounty programs cujos dados B REVULN encontram se na Tabela VI conforme o estudo conduzido pela NSS Labs 13 A ReVuln uma empresa europeia situada em Malta Segundo dados da pr pria empresa seus servi os est o no estado da arte de pesquisa em seguran a cibern tica e em 95 soluc es de seguranca para clientes pelo mundo E uma empresa especializada em pesquisa de vulnerabilidades para medidas ofensivas e defensivas em seguranca cibern tica Alguns relatos de fontes abertas 18 apontam que a ReVuln atuou na gerac o de c digos para serem explorados em usu rios de redes de jogos online e que a lista de clientes inclui
202. e h algum registro de intercepta o que esteja fora da data de autoriza o judicial Para isso foi desenvolvido um m dulo que verifica os prazos judiciais autorizados e compara com cada registro dizendo se a intercepta o correspondente est ou n o autorizada Relat rio com dados Guardi o e udios relacionados Software Pericial Cruzamento de dados per odos autorizados pela Justica Relat rio com informa es sobre registros dentro ou n o dos per odos autorizados Figura 4 Fluxograma do software pericial O pr ximo quesito a ser respondido refere se ao cotejamento dos dados do Sistema Vigia com os dados do Sistema Guardi o H ressalvas importantes a serem feitas sobre essa tarefa Os dois sistemas s o independentes foram projetados de formas distintas Nem todos os eventos de um sistema est o diretamente relacionados com os do outro Al m disso h diferen a de hor rio em que as chamadas come am a ser registradas e poss veis diferen as de ajuste do rel gio dos m dulos relacionados ao Sistema Vigia Por exemplo o Sistema Vigia registra o in cio do hor rio de uma chamada no momento em que a chamada atendida J o Sistema Guardi o registra a chamada logo ao t rmino da discagem do n mero Outro exemplo que geraria discrep ncias que os rel gios das 111 centrais telef nicas das operadoras podem n o estar precisamente sincronizados com o hor rio oficial de Bras lia
203. e origem em conte do online 12 86 www ICoFCS org 2015 O Brasil nao conseguiu at o presente momento chegar a um consenso sobre o que seria um ato terrorista e por isso nao possui tipifica o a nivel penal sobre o assunto Assim como aponta Andr Luis Woloszyn especialista em seguranca defesa e intelig ncia e analista de assuntos estrat gicos 21 h a exist ncia de um paradoxo frente a atitude brasileira ou seja ao mesmo tempo em que o pa s repudia internacionalmente e considera o terrorismo um crime a n vel interno n o h uma tipifica o frente ao mesmo De fato a n vel internacional Brasil tem apoiado as decis es da AGNU e do CSNU contra o terrorismo sendo parte das doze principais conven es no mbito das Na es Unidas das quais nove j foram internalizadas e ratificadas No mbito Fr regional o Brasil signat rio das tr s conven es da Organiza o dos Estados Americanos OEA relacionadas ao terrorismo 22 J internamente a Constitui o da Rep blica Federativa do Brasil de 1988 traz como preceito fundamental o rep dio ao terrorismo artigo 4 inciso VIII complementado pelo artigo 5 inciso XLIII o qual declara o terrorismo como crime inafian vel e insuscet vel de gra a ou anistia 23 Tamb m possu mos algumas leis que tratam do assunto Lei de Crimes Hediondos Lei n 8 072 de 1990 e Lei de Seguran a Nacional Lei n 7 170 de 1983 Contudo como explica
204. e poder de v rios Estados atrav s do controle de recursos tecnol gicos que comp em tal espa o INTRODU O desousa unb br 90 jJoaopaulo dacosta ene unb br O espaco cibern tico esta em franca evoluc o em func o do desenvolvimento ininterrupto de novas tecnologias e consequente desenvolvimento de solu es que t m o objetivo de atender as demandas crescentes do mercado Este processo evolutivo gera um volume cada vez maior de informa es estrat gicas corporativas e pessoais e que idealmente deveriam ser acessadas apenas por aqueles que teriam a legitimidade de trat las Entretanto dependendo do valor da informa o que estiver sendo tratada outros integrantes desse ecossistema que n o deveriam ter acesso informa o t m n o s interesse em acess la mas tamb m de copi la modific la e eventualmente destru la Nesse espa o cibern tico est inserida uma rea particular e espec fica de seguran a da informa o rea esta que trata de explora o de vulnerabilidades e de falhas de seguran a As explora es s o realizadas das mais variadas formas e com os mais variados tipos de meios e tecnologias Normalmente s o realizadas com o intuito de se obter vantagem estrat gica e competitiva e tamb m para a obten o de lucros Este ambiente de explora o de falhas cibern ticas tem tr s ra zes principais o crime organizado atividades hacktivistas e as a es de na es estado
205. e tentativas de fraudes e um aumento de 54 de ataques em servidores Web em rela o ao ano anterior A r pida expans o do volume de informa es acessadas atrav s da Internet aumentou o interesse por novas formas de atividades intrusivas Por conta desse crescimento o ciberespa o se tornou um campo de guerra cibern tica uma guerra invis vel e intermin vel Desta forma desousa unb br 70 daniloftenorio gmail com torna se fundamental proteger os ativos de rede contra amea as e garantir a integridade a confidencialidade e a disponibilidade dos dados trafegados Verifica se entretanto que grande parte das ferramentas e t cnicas utilizadas para seguran a da informa o com a finalidade de combater ataques tais como firewall sistemas de criptografia hash assinatura digital antiv rus dentre outros n o s o suficientes para assegurar a seguran a de redes e sistemas As tecnologias de detec o de intrus o trabalham em conjunto com outros mecanismos de seguran a buscando sempre ind cios da ocorr ncia de ataques Segundo 2 detec o de intrus o o processo de monitoramento de eventos que ocorre em um sistema de computador ou rede para detectar sinais de poss veis incidentes Tais tecnologias s o classificadas de acordo com as t cnicas utilizadas para investigar os citados ind cios Por exemplo a arquitetura de um IDS Intrusion Detection System depende da localiza o do sistema e da forma como os
206. e tr fego de rede com o objetivo de identificar poss veis autores de um delito por meio do endere o IP Assim ser o apresentadas as atividades que constituem o m todo de trabalho quais sejam prepara o do ambiente de coleta coleta de dados de tr fego de redes an lise dos dados coletados e finalmente a prepara o de um relat rio para a autoridade competente Este trabalho divido em tr s se es a Referencial te rico na qual s o apresentados os conceitos relacionados aos ambientes de jogos multijogadores online os vest gios digitais e a identifica o de autoria por meio de endere os IP b Metodologia na qual s o descritos os instrumentos e procedimentos e apresentado o estudo de caso no qual o m todo de investiga o aplicado Conclus o na qual s o discutidos os resultados obtidos e os poss veis trabalhos futuros I REFERENCIAL TE RICO Este t pico apresenta os fundamentos relacionados as t cnicas ferramentas e conceitos envolvidos na investigac o em ambientes de jogo multijogadores online A Se o A descreve os ambientes de jogo multijogadores online A Se o B descreve o procedimento para a identificac o de autoria por meio de enderecos IP A Ambientes de jogo multijogadores online Mcshaffry e Graham 6 apresentam um modelo l gico da arquitetura geralmente utilizada pelos sistemas de jogos Na Figura 1 s o apresentados os principais m dulos e interfaces que comp e es
207. ecem como possibilidades Aumentar sensibiliza o da popula o se torna uma ferramenta essencial Contudo a divulga o dessas iniciativas deve ser mais massificada e atingir principalmente a popula o mais vulner vel adolescentes imigrantes de zonas de conflito e a comunidade israelita e mul umana A refer ncia popula o mais vulner vel se d uma vez que j estamos vivenciando um problema de valores que perseguir muito a pr xima gera o Esse problema de valores se reflete na sociedade desde os ataques de 11 de Setembro de 2001 e se consolida no aumento de partidos de extrema tanto direita quanto esquerda ao redor do mundo Por isso a necessidade de abordar www ICoFCS org 2015 adolescentes imigrantes de zonas de conflito e a comunidade israelita e mul umana brasileiras Ademais o uso da contra narrativa frente s informa es terroristas dispon veis se torna uma alternativa Mas como todo assunto sens vel essa narrativa deve ser ponderada em sua forma de abrang ncia e nesse ponto a coopera o internacional pode vir a ajudar Experi ncias de pa ses que j lidam com o assunto podem ajudar o Brasil a tra ar um perfil do que fazer e principalmente do que n o fazer C Assegurar a capilaridade das comunica es eletr nicas dentro e fora do territ rio nacional O fato de o Brasil ser um pa s gigante pela pr pria natureza n o s apresenta uma dificuldade quanto a poss veis ato
208. else appears Even when the system is encrypted if the security key has been compromised an adversary may act as a spoofer in the network This is a critical security problem and can be avoided by using the proposed method for user localization When a user first accesses the system or data he she performs a standard authentication method to prove his her identity to the system During the process of authentication the users location is estimated by the system The user must then transmit a set of pilot symbols at a fixed time interval so that his location can be reestimated at each transaction By checking if the user is moving at a reasonable speed the system can ensure that the one transmitting is still the original user who was authenticated Since for this type of security we assume that the system is either not encrypted or that the encryption key has been compromised once the system detects an adversary operating as a spoofer it must then warn the user of the presence of the spoofer and provide the estimated localization of the adversary to the authority in charge Thus in the case of an encrypted system the user can obtain a new encryption key and in unencrypted networks the transactions are halted until the spoofer has been dealt with avoiding any potential danger By measuring the distance between the current estimate A and the previous estimate B with Dia V ta 18 ya ye 11 33 initial authen t
209. enados normalmente no subdiret rio data data lt app gt databases 4 A an lise destes bancos de dados de aplicativos como telefone e mensagens permite que o perito identifique por exemplo chamadas originadas para determinado n mero ou troca de mensagens suspeitas C Android Debug Bridge O Android Debug Bridge ADB uma ferramenta do pr prio SDK que permite a comunica o entre um computador e um dispositivo com Android Ela assemelha se ao Secure Shell SSH do Linux Entre as v rias utilidades desta ferramenta destacam se instala o de aplicativos execu o de comandos diretamente no shell do dispositivo e c pia de arquivos entre o computador e o dispositivo e vice versa O ADB possui tr s componentes 10 a um utilit rio de linha de comando que executado pelo usuario para emitir os comandos um processo servidor que executa no mesmo computador do usu rio e responsavel por receber os comandos do utilit rio e transmiti los para o dispositivo um servico que executa como processo de segundo plano no dispositivo e respons vel por receber os comandos transmitidos pelo processo servidor O servi o do ADB no dispositivo fica ativo somente se a op o Depura o USB estiver habilitada Portanto se esta op o estiver desabilitada n o poss vel utilizar o ADB para comunicar se com o aparelho A Tabela I lista alguns comandos do cliente ADB b TABELA I COMANDOS DO CLIENTE ADB Comando D
210. enamento Reitera se que por compreende elevada capacidade t cnica e recursos financeiros significativos para investimento em pesquisa de novas vulnerabilidades e desenvolvimento de novos exploits mercado circunscrito representa um alto risco para quem lida diretamente com desenvolvimento de software e para fabricantes que possuem produtos na lista de interesse da comunidade de intelig ncia tais como sistemas operacionais hardware para comutadores de rede roteadores mem rias de computadores solu es de seguran a da informa o entre outros Um dos pontos fundamentais desse mercado circunscrito reside no fato de que os grupos participantes t m acesso informac o cr tica o que permite que eles possam comprometer sistemas vulner veis sem que o p blico jamais conhe a essas amea as Nesse aspecto um estudo de 2013 da NSS Labs 13 analisou uma s rie com dados de diversos anos de dois grandes programas de vulnerabilidades e os resultados apontaram que nos ltimos 3 anos anteriores ao estudo em qualquer dia grupos privilegiados tinham acesso a pelo menos 58 vulnerabilidades tendo como alvo sistemas de empresas como Microsoft Apple Oracle ou Adobe Al m disso essas vulnerabilidades continuaram privadas por uma m dia de 151 dias Neste caso a janela de oportunidade vide Figura 1 da ordem de meses para os detentores de tais armas cibern ticas que nesse intervale tiveram a oportunidade de fazer uso de t cnicas
211. entos defeituosos observar importantes mensagens n o mostradas pelas aplica es detectar falhas de seguran a instala o ou bugs em servi os dispon veis na rede e descobrir o tr fego pirata dentro da rede 7 Por meio da an lise de tr fego de redes poss vel investigar os ambientes virtuais de jogos eletr nicos tamb m conhecidos como jogos multijogadores online Nesse tipo de ambiente a intera o entre os usu rios ou jogadores ocorre em n vel de aplica o por meio da troca de mensagens e comandos Cada usuario dentro desse mundo virtual representado por um nickname ou um avatar os quais podem ter pouca rela o com os verdadeiros nomes reais de cada usu rio J3 Ambientes virtuais baseados na Internet s o cada vez mais utilizados para auxiliar ou cometer crimes 3 como explorac o sexual de criancas e adolescentes racismo inj ria difamac o cal nia formacao de quadrilha entre outros Al m disso crimes praticados fora do ambiente online como furtos podem apresentar vest gios inesperados nesse ambiente Apesar do anonimato criado pelo uso de nickname ou avatar poss vel identificar o usu rio por meio da an lise das mensagens dos protocolos TCP UDP e IP Cada intera o entre os usu rios de um ambiente virtual gera um conjunto de segmentos TCP e UDP que s o encapsulados em pacotes IP 1 Neste artigo proposto um m todo de trabalho para a coleta e an lise de dados d
212. ependente se eram discos r gidos ou remov veis O que diferenciava os resultados eram apenas os comandos executados ou as parti es envolvidas Logo a c pia de um arquivo entre discos r gidos apresentava o mesmo comporta mento que a c pia de um arquivo entre discos remov veis Mas apresentava resultados diferentes a depender se a copia ocorreria entre diferentes parti es ou se a c pia ocorria na mesma unidade Como trabalho futuro pode se usar as datas para criar uma ferramenta de timeline Desse modo poss vel verificar a con sist ncia nas datas de modo a encontrar poss veis adultera es intencionais Ademais repetir os testes no hfsx e em outros sistemas operacionais como o GNU Linux para verificar se o comportamento descrito neste artigo se mant m quando executado em outras plataformas ou vers es do sistema de arquivos Por fim poss vel ainda analisar o comportamento dos CNID catalog node ID e relacion lo com as datas de cria o 83 1 2 3 4 5 6 7 8 9 10 11 www ICoFCS org 2015 REFERENCIAS J nior Cleber Scoralick Estudo de R tulos de Tempo em Sistemas NTFS Baseado em estrutura do Sistema de Arquivos e do Sistema Operacional Mestrado Profissional em Inform tica Forense e Seguran a da Informac o UNB 2012 CHOW K et al The rules of time on ntfs File system Systematic Ap proaches to Digital Forensic Engineering
213. er within the network The third set of rules is the most complex yet the one of highest potential for continuous authentication By analyzing the behavior of a user s movement within the network the authentication system could measure the difference between the momentary movement of the user and the stored behavior If the user s movement is not similar enough to the stored be havior the authentication fails This 1s interesting for instance when a smartphone is lost or stolen A user that has taken the smartphone will probably be distant from the owner of the phone The system is then notified that the actions taken at the device are suspicious and should probably not be authorized The methods proposed in this work are still hard to be implemented in real systems since the application of MIMO is in its infancy The goal of the work is to lay down the foundation for providing continuous authentication based on user location inside a wireless network Although it may not be efficient enough to provide precise authentication by itself it can be a useful tool for improving the accuracy of a multi modal continuous authentication system that relies on other inputs such as movement gait ACKNOWLEDGMENTS The authors wish to thank the Brazilian research and innova tion Agencies CAPES FORTE Project CAPES Forensic Sci ence Notice 25 2014 and FINEP Grant RENASIC PROTO 01 12 0555 00 for their support to this work REFERENCES 1 2
214. eriam ser utilizadas para forma o deste modelo como valor do contrato data de assinatura e outros No entanto pode se destacar que poss vel inferir um resultado a partir de reconhecimento de padr es estat sticos Tal infer ncia poderia contribuir para a identifica o de poss veis irregularidades na contrata o pois a exist ncia de valores muito superiores aos padr es obtidos poderia levantar a suspeita de ocorr ncia de favorecimento ou direcionamento de licita o Um tratamento mais refinado nos dados obtidos poderiam assim apontar para os rg os de controle quais unidades administrativas e empresas mereceriam uma an lise pormenorizada dos contratos por exemplo HI CONCLUS ES A partir da extra o de dados da Web relativos a licita es e contratos p blicos poss vel obter infer ncias por reconhecimento de padr es estat sticos Como importante fonte de dados relacionados a contratos e licita es para obten o de padr es estat sticos pode se utilizar o portal de dados abertos brasileiro www dados gov br Al m de licita es e contratos tal portal fornece uma grande quantidade de informa es relacionadas a v rios tipos de dados como da sa de suplementar do sistema de transporte de seguran a p blica indicadores de educa o gastos governamentais processo eleitoral e outros Em um estudo de caso preliminar para obter infer ncias por reconhecimento de padr es estat sticos entre o n
215. ervicos comuns sendo posteriormente regulamentada na forma eletr nica atrav s do Decreto n 450 de 31 de maio de 2005 A dispensa de licita o foi autorizada em casos especiais de compra sem desrespeitar os principios da moralidade e isonomia devendo se limitar aquisi o de bens e servi os indispensaveis ao atendimento da situac o de emerg ncia ou dos casos descritos no artigo 24 da lei 8 666 93 dentre eles contratac o de pequeno valor A inexigibilidade de licitac o ocorre devido a inviabilidade de competi o em situa es descritas no artigo 25 da lei 8 666 93 como exist ncia de fornecedor exclusivo de empresa ou pessoa f sica com not ria especializac o profissional artista dentre outros Antes da abordagem dos dados obtidos necess rio apresentar algumas t cnicas para extrac o de dados da Web Como exemplos de diferen as entre as citadas modalidades pode se citar o prazo entre o aviso de publicac o do edital e o recebimento das propostas e os valores m ximos do contrato permitido para cada modalidade Quanto anteced ncia de publica o do edital para licita es que n o envolvam t cnica ou empreitada integral os prazos m nimos s o a convite 5 dias teis b tomada de pre os 15 dias c concorr ncia 30 dias d preg o 8 dias teis Quanto ao valor do contrato h distin o entre os objetos Para obras e servi os de engenharia o valor m ximo de cada
216. es New Roman de tamanho n mero 12 como ilustra a figura seguinte Balan a enganosa abomina o para o SENHOR mas 0 peso justo o seu prazer Em vindo a soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos ntegros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitam as riquezas no dia da ira mas a justi a livra da morte A justi a do sincero endireitar o seu caminho mas o perverso pela sua falsidade cair Fig 5 Texto original antes da inser o da marca d gua Tr s diferentes testes foram realizados sobre o texto Primeiramente duas watermarks de tamanhos diferentes foram aplicadas a duas c pias do texto Posteriormente o texto com a marca d gua ser exibido ap s ser impresso e digitalizado exemplificando quatro resolu es diferentes no equipamento de digitaliza o Por fim o material ser exibido atrav s de duas fotografias de Smartphones com c meras de 5 e 8 megapixels Os resultados s o exibidos nas subse es seguintes Watermarks de tamanhos diferentes Como descrito anteriormente uma marca d gua ter 16 bits Figura 6 enquanto a outra usar 64 bits Figura 7 Para facilitar a visualiza o da aplica o das marcas d gua a cada itera o da watermark no texto seu In cio e t rmino ser demarcada com ret ngulos e as letras que forma alteradas pelo algoritmo ser o representadas pelos valores bin rios 0 ou
217. es que os metadados de arquivos e diret rios sofrem e auxiliar a cria o de uma timeline Foram criados dois cen rios de teste No primeiro cen rio foi utilizado a interface gr fica para realizar as opera es Enquanto no segundo cen rio foi utilizado linhas de comando para executar as opera es Com aux lio da interface gr fica do Mac OS X foram criadas duas parti es HFS Em uma parti o criaram se dez pastas onze arquivos de texto e um arquivo de imagem As opera es foram executadas sobre es ses objetos conforme descritas na tabela na se o Resultados As parti es foram espelhadas e por meio do FTK Imager 3 2 0 0 e do software HFSExplorer 0 23 foram registrados os valores das datas de cada pasta e arquivo Posteriormente realizaram se as opera es de copiar colar mover compactar etc Ap s isso gerou se uma nova imagem das parti es para serem realizadas as compara es entre as datas antes e depois das opera es de cada arquivo e pasta No segundo cen rio foi elaborado um script com os comandos de manipula o de arquivos e pastas Antes da execu o de cada comando de manipula o os arquivos e pastas eram submetidos ao comando stat para registrar as datas antes da manipula o e posteriormente as datas eram novamente chegadas para fins comparativos Os dois cen rios foram implementados com a utiliza o de discos r gidos e m dias remov veis Forensic Toolkit ou FTK um soft
218. escri o adb shell Inicia um prompt de comando no dispositivo adb push lt local gt Copia o arquivo especificado do lt remoto gt computador local para dispositivo adb pull lt remoto gt Copia O arquivo remoto lt local gt especificado do dispositivo para o computador local adb install app apk Instala um aplicativo no aparelho Fonte 10 Caso o aparelho apreendido esteja com a opc o de depurac o USB desabilitada o perito pode habilit la no menu de configura es de op es do desenvolvedor conforme mostrado na Figura 1 Quando o aparelho possui a tela bloqueada primeiro necess rio desbloque la para acessar o menu de configura es Se o desbloqueio n o for poss vel n o h como acessar tal tela Ap s habilitar a depura o USB o perito deve conectar o cabo USB ao telefone e tentar se conectar ao aparelho usando o ADB Caso obtenha sucesso alguns aplicativos podem ser instalados ou at mesmo o comando adb pull pode ser usado para extrair os dados do aparelho para a m quina do examinador Em uma situa o em que o telefone possua bloqueio de tela ativado o perito ainda pode tentar conectar o cabo USB no aparelho para verificar se o usu rio deixou a op o de depura o USB ativada Lem Op es de desenvolvedor Depura o USB Modo de depura o quando o USB v estiver conectado ID do dispositivo de desenvolvime OHWQ 3V5G ZAIL X Permanecer ativo A tela na
219. eso Justo o seu prazer Em vindo a sob rba 1 4 0 vir tamb m a afronta mas com os humildes est a a perversie ac dos aleivosos os ds De pada aproveitam s riquezas no dia dai ra m s a 6 2112019 justi a livra da motte A justi do sinc ro end o seu caminho mas o perverso pela sua falsidade cair Fig 9 Texto com a watermark de 64 bits e marca es Enquanto a marca d gua de 16 bits Figura 8 utiliza pouco mais de uma linha para ser expressa a segunda de 64 bits Figura 9 utiliza quatro linhas para concluir sua primeira representa o A primeira watermark foi repetida nove vezes no trecho apresentado enquanto a segunda apenas concluiu duas repeti es no mesmo trecho de texto Os aspectos a serem destacados watermark s o sobre a primeira Capacidade maior de repeti o 18 Possibilidade de recuperac o da watermark em pequenos fragmentos de texto Como esta utiliza pre mbulos no pior caso de busca da marca d gua no texto ser o verificados 2 tamanho em bits 1 caracteres pertencentes ao subconjunto C e no melhor caso a quantidade de bits da watermark Os aspectos a serem destacados sobre a segunda watermark Sao Utiliza o de uma fun o criptogr fica antes da aplica o da t cnica a fim de proteger o c digo identificador Apesar de ter um n mero de bits maior isto aumenta a complexidade de recuperac o da sequ ncia bin ria Al m disso a aplica
220. esvozeadas 4000 3000 E 2000 1000 t s b Espectrograma banda larga com formantes sobrepostos Burg 4000 l 3000 T E 2000 1000 Fig 5 Teste preliminar com um dos arquivos de Spoltech com a repeti o nove um zero quatro zero tr s dois zero a Forma de onda com sobreposi o dos gr ficos de energia de curto prazo STE e taxa de passagem por zero ZCR b Espectrograma de banda estreita com sobreposi o dos pontos de frequ ncia fundamental c Espectrograma de banda larga com sobreposi o dos formantes das reas vozeadas TABELA I RESULTADOS DOS CENTROS F 1 F2 OBTIDOS PELO M TODO DE AGRUPAMENTO Amostra Formante Centro 1 Centro 2 Centro 3 Centro 4 GCI F1 Hz 516 6 480 5 F2 Hz 1209 5 2286 5 GC F1 Hz 455 2 400 1 848 5 F2 Hz 1190 4 2355 1 1663 1 GC3 F1 Hz 527 7 697 8 612 1 F2 Hz 1254 7 2450 5 1812 8 GC4 F1 Hz 611 4 705 2 442 0 F2 Hz 1117 5 1630 0 2183 7 GC F1 Hz 608 6 523 1 595 2 F2 Hz 1297 7 2569 5 1793 7 GC6 F1 Hz 548 3 476 5 595 4 608 9 F2 Hz 1066 1 2401 4 1383 7 1878 1 GC7 F1 Hz 508 1 401 7 733 7 654 5 F2 Hz 1044 9 2293 5 1415 1 1892 5 GC8 F1 Hz 501 1 691 2 454 8 F2 Hz 1239 3 1805 5 2446 6 Gc9 F1 Hz 533 2 517 8 697 4 F2 Hz 1090 8 2449 7 1729 6 GC10 F1 Hz 596 0 493 8 386 0 967 5 F2 Hz 1178 3 1991 6 2539 5 1938 8 naqueles em que houve quatro centros N o houve nenhum centro coincidente com as vogais posteriores alta ou m dia
221. executadas e par metros utilizados AGRADECIMENTOS Os autores agradecem a Denise de Oliveira Carneiro e Marilisa Exter Koslovski peritas criminais do Instituto de Criminal stica do Paran pelas importantes discuss es acerca de ferramentas teis para apoio ao exame de Compara o Fo rense de Locutores a Eduardo Tondin Ferreira Dias e Philipe Ambr zio Dias colegas do Laborat rio de Processamento de Imagens e Sinais da UTFPR pelas cr ticas e sugest es para melhoria do conte do do presente artigo e ainda ao Grupo de Estudos dos Sons da Fala da UTFPR liderado pela professora Maria L cia de Castro Gomes pela cess o de amostras de udio utilizadas neste trabalho REFER NCIAS 1 Brasil Lei n 9 296 lei das intercepta es telef nicas de 24 de julho de 1996 Di rio Oficial da Rep blica Federativa do Brasil 1996 A C M Braid Fon tica Forense 2nd ed ser Tratado de Per cias Criminal sticas Campinas SP Editora Millenium 2003 SENASP Diagn stico da per cia criminal no brasil Secretaria Naci onal de Seguran a P blica Tech Rep 2012 ENASP Relat rio nacional da execu o da meta 2 um diagn stico da investiga o de homic dios no pa s Conselho Nacional do Minist rio P blico Tech Rep 2012 J D Vargas I Blavatsky and L M L Ribeiro Metodologia de tratamento do tempo e da morosidade processual na justi a criminal Secretaria Nacional de Seguran a P bli
222. eynet Quanto maior o n mero de camadas m todos de captura mais se espera ter sucesso no projeto O script rc firewall implementado no honeywall registrar todas as conex es de entrada e sa da em var log messages para indicar o inicio de um ataque Nesta arquitetura o software detector de intrus es snort implementado no honeywall foi configurado com regras atualizadas e utilizado para capturar todo o tr fego da interface virtual eth do honeywall Isto foi feito para registrar todo o tr fego de entrada e sa da da rede honeynet Finalmente a ltima camada de captura de dados fica por conta da ferramenta sebek Esta ferramenta tem como objetivo principal obter registros que permitam mais tarde recriar com precis o ataques em um honeypot 16 Em cada honeypot foi instalado e configurado o cliente sebek para ser executado no kernel com a finalidade de capturar todas as atividades dos invasores teclas pressionadas upload de arquivos senhas Estas atividades ser o enviadas por um canal seguro para o servidor sebek instalado no honeywall atrav s do protocolo UDP porta 1101 IV VALIDA O DO AMBIENTE A valida o do ambiente foi feita atrav s de v rios testes na honeynet virtual de autoconten o para verificar se o sistema estava realmente funcionando Desta forma foi criada uma m quina virtual com o sistema operacional Linux Kali 17 IP 172 30 20 100 na rede externa para simular alguns ataques O primeiro te
223. f the placement behavior of a given user Figure 5 shows an example of the heat map of a person that remains at a desk within a room The comparison between the stored statistical model ant the heat map obtained from a user during the day can provide the means of authenticating the user Although this approach requires a training stage it is possibly the one of capable of enforcing the most efficient authentication If a person s movement within a given space is enough to provide unique identification this approach provides unique identification without requiring any user s input Location error o P l o oO 5 0 5 10 15 20 SNR in dB Figure 6 Average location error using the DOA based triangulation technique V NUMERICAL SIMULATIONS In order to study the performance of the proposed solution in the presence of noise a set of numerical simulations was performed The scenario tries to simulate an area of 45 x 45 m covered by three WiFi hotspots equipped with three antennas each The number of snapshots used for the DOA estimation at each hotspot is N 50 The snapshots used for the DOA estimation do not depend on the symbols transmitted over the 802 11 protocol since the DOA estimation depends only on the narrow band carrier signal We analyze the average location error for the given scenario in different SNR conditions To perform this simulation a user is placed at a random location within
224. fetivamente utilizado como uma ferramenta de apoio em exames de registros de udio prin cipalmente em exames de Compara o de Locutores Apesar da aplica o estar restrita a amostras de udio de apenas um falante ou que contenham arquivos de delimita o entre os 28 www ICoFCS org 2015 Pontos e m dias obtidas para a amostra 4 UTFPR 200 300 400 500 600 F1 Hz 700 800 Pontos filtrados 900 M dias resultantes 1000 ano Refer ncias 2600 2400 2200 2000 1800 1600 1400 1200 1000 800 600 F2 Hz Fig 6 Gr fico com pontos Fy x F e centroides resultantes para a amostra 4 do grupo da UTFPR Os valores de refer ncia est o indicados pelos pontos vermelhos enquanto que os centroides obtidos no trabalho est o indicados pelos pontos pretos Os c rculos maiores pontilhados representam a rea das regi es obtidas TABELA IV TABELA V DESVIOS PADRAO DOS VALORES PERTENCENTES A REGIAO COM DIFERENCA PERCENTUAL DA DISTANCIA ENTRE A FRONTEIRA DE CADA RELACAO AO SEU CENTRO REGIAO E O VALOR DE REFERENCIA MAIS PROXIMO QUANDO NAO LOCALIZADO NO INTERIOR DA REGIAO Amostra Formante Centro 1 Centro 2 Centro 3 Centro 4 GC1 F1 Hz 198 1 180 1 Amostra Formante Centro 1 Centro2 Centro3 Centro 4 F2 Hz 221 0 301 7 es DD A IA A e FI Hz 172 5 129 2 140 9 GCI F2 i F2 Hz 183 8 278 0 178 1 Eco Fl 11 61 0 55 a FI Hz 102 8 490 6 137 4 F2 i F2 Hz 137 9 156 8 167 9 FI i E m FI Hz 121 0 172
225. formal Belo Horizonte MG Editora UFMG 2012 Editora www ICoFCS org 2015 DOI 10 5769 C2015004 or http dx doi org 10 5769 C2015004 Continuous Authentication via Localization Using Triangulation of Directions of Arrival of Line of Sight Components Marco A M Marinho Paulo Roberto de Lira Gondim and Joao Paulo C L da Costa Abstract A larger number of users work from a desktop com puter and use their smartphones tablets and home computers to communicate buy organize and store sensitive information With the growth of the adoption of the Internet for tasks such as online banking and shopping an increased focus has been given on the development of tools that enable secure transactions This manuscript proposes the usage of direction of arrival esti mation tools to provide continuous authentication The location of a user within the network can be estimated by using triangulation of the user s wireless signal The location estimates can be used to track a user s movement within a wireless network The movement pattern can then be analyzed for possible indicators of fraud Index Terms Continuous authentication DOA estimation MIMO I INTRODUCTION Verifying one s identity electronically has become the focus of extensive research Not only does the user need to be authenticated to use a given system but also the system itself so that the user can trust it A picture of the importance of electronic authen
226. fotografia As imagens foram registradas por dois Smartphones com cameras de 5 e 8 megapixels respectivamente A Balan a enganosa abomina o para o SENHOR nas o peso justo o seu prazer Em vindo a soberba i tamb m a afronta mas com os humildes est a Falana enganosa ori para 0 eee os Fig 16 Fotografia do texto ap s aplica o da marca d gua A c mera de 8 megapixels B c mera de 5 megapixels A Ay Fig 17 Amplia o do texto fotografado ap s aplica o da marca d gua A c mera de 8 megapixels B camera de 5 megapixels A an lise da watermark atrav s da fotografia permite concluir que as caracter sticas identificadoras da marca d gua forma preservadas permitindo a amplia o das imagens mantendo os elementos identificadores dos caracteres e obtendo resultados melhores que os textos digitalizados Mesmo com o aumento da imagem Figura 17 gerando distor es e ru do ainda poss vel identificar as letras que comp em a watermark Compara o entre a t cnica proposta e outros m todos Alguns crit rios foram considerados a fim de se comparar o m todo proposto com as t cnicas encontradas na literatura Os testes verificaram a quantidade de informa o introduzida no texto 11 robustez contra ataques de altera o intencional de texto dele o de senten a linha e modifica o de formata o do texto 19 e detec o da watermark atrav s de OCR
227. g br rubens utfpr edu br 22 registros de fala de identidade conhecida A import ncia desse exame reside na possibilidade de associar ou desvincular um indiv duo a um fato delituoso materializado atrav s de um registro de udio 2 Relat rios de diagn stico da Seguran a P blica e da Per cia Criminal brasileira apontam a car ncia de peritos criminais 3 4 que consequentemente culmina em passivo de laudos nos Institutos de Criminal stica O represamento de materiais a serem examinados prejudica a celeridade necess ria para a produ o de provas o que de acordo com Vargas e colabora dores 5 contribui para a morosidade de um processo penal Nesse contexto agravado pela complexidade das an lises envolvidas uma vez que o exame de CL requer um tempo de execu o muito superior m dia dos demais exames periciais a gest o de recursos humanos de Se es de Per cias Audiovisuais dificultada analogamente ao constatado por Vrubel e colaboradores em rela o Se o de Computa o Forense 6 Principalmente devido interdisciplinaridade inerente a esse exame 7 e constru o de conhecimento que exige o n mero reduzido de peritos criminais alocados para o mesmo insuficiente desej vel portanto que se busque o aperfei oamento das t cnicas adotadas para se otimizar a realiza o do exame qualitativa e quantitativamente Em pesquisa realizada por Gold e French 8 foi efetu ado um lev
228. go Set Out Nov Dez Jan Fev Mar Abr Fig 1 E mails tratados em 2014 Abr 2015 Abr Com base nos assuntos abordados nas mensagens clas sificadas como fraude estas s o categorizadas da seguinte maneira bancos documentos cart es de cr dito e commerce empresas a reas governo redes sociais e internet seguradoras servi os de pagamento e outras O gr fico da figura 2 mostra o acumulado de fraudes por categoria no per odo de abril de 2014 a abril de 2015 As fraudes mais frequentes exploram assuntos relacionados s institui es banc rias reunidas na categoria bancos e a transa es financeiras tais como pagamento de boletos e faturas cheques comprovantes de dep sitos e transfer ncias or amentos dentre outros reunidos na categoria documentos m 246 E Bancos E Documentos Cart es de Credito E E Commerce E Empresas A reas Governo Redes Sociais e Internet B Seguradoras E Servi os de Pagamento E Outras Mm 193 E 249 E 96 E 275 Fig 2 Categorizac o das fraudes catalogadas em 2014 Abr 2015 Abr Tamb m se destacam se as fraudes relacionadas a empresas de cart es de cr dito e fraudes que utilizam o nome de institui es governamentais comum temas como intima es judiciais servi os postais cadastro em promo es de empresas de cart es de cr dito dentre outros B An lise de URLs maliciosas Analisando se os e mails de fraudes constata se que cerca de 90 cont
229. grafados quando executados na mem ria Tamb m poss vel encontrar na mem ria chaves criptogr ficas arquivos confidenciais e hist rico dos browsers no modo de navega o an nima 12 Dessa foram a seguir s o descritas tr s metodologias de an lise de mem ria vol til para detec o de artefatos mali ciosos as quais constituir o a base da metodologia proposta neste trabalho A Metodologia do SANS System Administration Networking and Security A metodologia do SANS de an lise de mem ria est focada em busca de artefatos maliciosos residentes em mem ria ou seja em execu o no sistema operacional Sua descri o n o est concentrada em um nico documento mas descrita em alguns casos de uso e posters p blicos Em 9 a metodologia apresentada como sendo o nono passo da busca por um malwa res desconhecidos como mostra a Figura 2 A metodologia proposta pelo SANS composta de seis passos alguns desses passos j s o executados em uma an lise padr o de mem ria e outros s o espec ficos para encontrar artefatos maliciosos A an lise de mem ria vol til nos fornece melhores resultados para identificar t cnicas usadas por rootkits os quais procuram dificultar sua detec o e Identificar processos estranhos Na fase de an lise de processos devemos coletar algumas informa es tais como nome do processo caminho em disco processo pai linha de comando hora de inicializa o e SIDs E
230. ica o provedores de conex o e pelo estabelecimento Uma solicita o cautelar de preserva o de registros feita pela autoridade policial at que seja emitida a ordem judicial para que os provedores de aplica o e de conex o forne am os registros de conex o endere os IPs data e hora e os dados de cadastro do usu rio que realizou as conex es Eventualmente o acesso Internet do autor pode ocorrer de forma indireta atrav s de um servi o de tradu o de endere os IPs e nesse caso ser o necess rios os registros de acesso do estabelecimento que forneceu esse servi o ao autor No final do processo os dados de cadastro do usu rio ou os registros de acesso permitir o localizar o poss vel autor de um delito Sobre os registros de logs de acordo com o Marco Civil da Internet 14 os provedores de conex o devem manter os registros de conex o por um prazo de 1 ano J os provedores de aplica es devem manter seus registros por um prazo de 6 meses Assim se os IPs de onde foram originadas as a es investigadas forem identificados ser poss vel descobrir o local de onde a conex o foi realizada sendo tamb m poss vel indicar a autoria das a es HI METODOLOGIA Inicialmente foi criado um ambiente controlado de testes para verificar os procedimentos as t cnicas e as ferramentas de an lise de tr fego de redes necess rios para identificar os endere os IPs Em seguida foi realizado um estudo de cas
231. ication obtain location estimation submit estimation to authen ticator 4 is distance within treshold drop conection amp alert authorities user au thenticated Figure 4 Flowchart of the proposed authentication method and defining a distance threshold between estimates it is possible to identify spoofers Figure 4 shows a flowchart of the proposed authentication method This simple estimation method can properly identify intruders posing as authorized users in MIMO wireless networks C Analysis of Behavioral Movement The last proposed method for providing continuous authen tication while relying on the estimation of a user location ana lyzes the user movement behavior over the network coverage Consider for instance a working environment Most people have a frequent routine within their workspace They remain seated in their workspace most of their working hours they may approach their nearby colleagues at a given frequency go to the bathroom to the lunchroom and visit the manager s desk All this information defines the behavior of a person The first part of this approach is to obtain a statistical model of a person s movement within the coverage of a wireless network This statistical model can be obtained for instance as a heat map of a discretized grid of the coverage of the wireless network This heat map would represent a statistical model o
232. ida o tipo de cada campo onde cada byte representa o tipo de dado armazenado na rea de dados como mostrado na Figura 6 O valor do byte e o tipo de dado que ele representa mostrado na Tabela I TABELA I DESCRI O DOS C DIGOS DO TIPO DOS DADOS DO REGISTRO OA O0 Le 56 Inteirocomsinal 6 6 inteirocomsinal 8 7 Ponofluuane 8 8 Constantedevalor0 0O Ys Comnstantedevalorl 0O B Aplicativo WhatApp O WhatsApp um aplicativo de mensagens multiplataforma que permite trocar mensagens atrav s do celular e da nternet Tal aplicativo est dispon vel em diversas plataformas de comunicac o m vel e seu uso bastante popular em telefones celulares do tipo smartphone Em investiga es criminais tal aplicativo bastante utilizado como meio de comunica o pelos criminosos e o conte do das mensagens pode ser ind cio da materialidade do crime da poss vel autoria e do modo de opera o de uma associa o criminosa Vers es atuais do aplicativo na plataforma Android usam o SQLite embarcado na plataforma Android como sistema gerenciador de banco de dados Dentre v rias tabelas de armazenamento do aplicativo h a tabela messages onde s o armazenadas as mensagens enviadas e recebidas pelo usu rio do aplicativo 7 Para ilustrar alguns dos campos dessa tabela foram extra dos de uma mensagem real e interpretados conforme a descri o dos tipos da Tabela I e o res
233. ida em tr s fases distintas construc o de um ambiente honeynet virtual de autocontenc o validac o do ambiente e um estudo de caso Este artigo est organizado da seguinte forma Na Seg o 2 apresentamos os conceitos relacionados a honeynets E detalhada na Se o 3 a arquitetura do ambiente de honeynet virtual de autoconten o proposto propositadamente para ser invadido e comprometido Na Se o 4 validamos o ambiente luz dos requisitos de controle captura e an lise dos dados Na Se o 5 simulamos dois ataques de for a bruta para demonstrar de forma detalhada o funcionamento do ambiente honeynet Por fim a Se o 6 apresenta as considera es finais e propostas de trabalhos futuros II HONEYNETS De acordo com 3 usando o conceito de honeypot como sendo um sistema servico ou aplica o emulada propositadamente para tornar se alvo de um ataque denomina se honeynet um conjunto de honeypots de alta interatividade integrados em uma solu o projetada especificamente para ser invadida e comprometida Diferentemente dos honeypots de baixa interatividade que apenas emulam sistemas operacionais e servicos os honeypots de alta interatividade fornecem sistemas operacionais e aplica es reais com as quais os intrusos possam interagir Essa interatividade faz com que pesquisadores possam observar o comportamento de um intruso em um sistema real a fim de descobrir novas t cnicas de invas o identificar novas vulnerabi
234. idade de intelig ncia e governos Seu foco de atua o est voltado principalmente ao combate a atividades criminosas no espa o cibern tico Ela atua em pesquisa e desenvolvimento e intrus o em sistemas de tecnologia da informa o segundo dados da pr pria empresa V CONCLUS ES A inser o de uma institui o ou mesmo de um profissional individual na rea de monitora o do mercado de vulnerabilidades asssm como no dom nio geral da seguran a cibern tica requer capacidades de an lise de acompanhamento constante empregando pessoal t cnico com forma o avan ada e treinamentos atualizados Por sua import ncia nos dom nios de seguran a da informa o seja ela p blica ou privada importante que a atua o nessa rea venha provida de forte presen a com compet ncia e capacidade t cnica o que requer necessariamente investimento e planejamento de longo prazo Um planejamento estrat gico definido fator cr tico de sucesso para atua o no mercado de vulnerabilidades assim como fundamental para a correta atuac o e inserc o na rea de seguran a cibern tica mais especificamente para investiga o no mercado de vulnerabilidades de sistemas computacionais seja ela com o intuito de trabalho forense seja ela para atuac o contra o crime cibern tico Do levantamento apresentado neste artigo conclui se que essa atuac o parece ser considerada por diversos pa ses como atividade sistem tica cont
235. ileiro Editora Lovise 1993 L R Rabiner and R W Schafer Theory and Applications of Digital Speech Processing Pearson 2011 J R Deller Jr J H L Hansen and J G Proakis Discrete Time Processing of Speech Signals Wiley IEEE Press 2000 A P P F Engelbert Fon tica e Fonologia da Lingua Portuguesa Curitiba Ibpex 2011 T Crist faro Silva Dicion rio de Fon tica e Fonologia Contexto 2011 T Crist faro Silva and H C Yehia Sonoridade em Artes Sa de e Tecnologia Belo Horizonte Faculdade de Letras 2012 Online Available http fonologia org T Shimamura and H Kobayashi Weighted autocorrelation for pitch extraction of noisy speech IEEE Transactions on Speech and Audio Processing vol 9 pp 727 730 2001 P Boersma Accurate short term analysis of the fundamental frequency and the harmonics to noise ratio of a sampled sound IFA Proceedings vol 17 1993 L M J Barbosa Processamento de Sinais em Fon tica Forense Departamento da Policia Federal 2012 M L C Gomes An acoustic description of vowels brazilian portuguese in normal and disguised voice in JAFPA 2013 Annual Conference 2013 M C Schramm L F R Freitas A Zanuz and D Barone A brazilian portuguese language corpus development in International Conference on Spoken Language Processing 2000 ISCA 2000 T Raso and H Mello C ORAL BRASIL I Corpus de refer ncia do portugu s brasileiro falado in
236. ilizados somente os contratos relacionados s modalidades de licita o carta convite tomada de pre os concorr ncia preg o dispensa de licita o e inexigibilidade de licita o D Extra o de Dados Nesta se o apresentada a metodologia utilizada para a extra o de dados do estudo de caso Para a extra o de dados foram utilizados os pacotes RCurl e RJSONIO Utilizou se consulta a URL descrita anteriormente para seguinte 100 www ICoFCS org 2015 http compras dados gov br contratos v1 contratos json Para fornecimento dos par metro de consulta e obtenc o do objeto JSON utilizou se a seguinte func o getForm url params list modalidade mod offset as integer off onde mod e off representam os valores dos par metros de consulta Para transformac o do objeto JSON em objeto R utilizou se a func o fromJSON Para a obten o dos dados em objeto R foi necess ria tamb m a implementa o de procedimentos para padronizar suas estruturas de dados e automatizar a consulta em todas as p ginas correspondentes modalidade de licita o desejada Tais procedimentos n o est o descritos neste artigo Ao final do processo de extra o dos dados foram obtidos 6 dataframes correspondentes aos contratos constantes do portal de dados abertos brasileiro divididos por modalidade de licita o Tabela I TABELA I DADOS EXTRA DOS Modalidade de N mero Dataframe Licita o
237. ilizando se de meios digitais e de engenharia social tenta obter dados pessoais senhas ou informa es financeiras da v tima O usu rio pode ser seduzido de diversas formas como por exemplo por meio de uma p gina de compras em promo o solicita es de atualiza o ou recadastramentos que caso n o ocorram acarretar o em preju zo ao usu rio ou ainda como promo es relacionadas a cart es de cr dito a companhias a reas ou outras envolvendo o preenchimento de formul rios levando o usu rios desavisados a clicarem em links falsos criados pelo atacante Muitas vezes o link falso d origem ao download de um malware um tipo de programa desenvolvido unicamente para a execu ao de a es maliciosas Ao ser instalado ou executado no computador da v tima o malware pode iniciar fun es tais como envio de spam roubo de informa es confidenciais dos usu rios ou at mesmo realizar ataques contra outras m quinas O Cat logo de Fraudes da RNP foi criado em 2008 com o objetivo de coletar fraudes recebidas por e mail pela popula o em geral e analisar filtrar e catalogar essas fraudes criando um reposit rio de mensagens conhecidamente fraudulentas e alertando a comunidade sobre como se proteger desse tipo de ataque Criado pelo Centro de Atendimento a Incidentes de Seguran a da RNP CAIS RNP e mantido atualmente em parceria com o Ponto de Presen a da RNP na Bahia PoP BA RNP at onde se tem conhecimento o Cat logo d
238. inar o sistema operacional utilizado pelo intruso para realizar o ataque TTL observa se que o campo TTL IP utilizado pelo intruso est configurado como 64 Com base nestas informa es foi poss vel deduzir que este pacote foi enviado por um computador executando o Linux Tamanho do datagrama requisi es de eco ICMP geradas atrav s do utilit rio ping ter o 84 bytes de comprimento em sistemas operacionais UNIX e semelhantes ao UNIX Conte do da carga til dados de uma requisi o eco ICMP enviados atrav s do utilit rio ping em sistemas operacionais UNIX ou semelhante ao UNIX ser o compostos exclusivamente por n meros e s mbolos O snort foi configurado tamb m para converter quaisquer informa es ASCII encontradas no payload do pacote para o arquivo snort log Este procedimento fundamental para analisar rapidamente as se es de texto simples tais como as se es de FTP TELNET ou IRCs O segundo teste teve como prop sito verificar os limites de conex es de sa da para o protocolo ICMP Para realiz lo foi executado um ping do Honeypot XP 172 30 20 36 para a m quina virtual de teste Linux Kali 172 30 20 100 Este procedimento indicar que o Honeypot XP foi comprometido e que um intruso est tentando realizar conex es para fora do ambiente podendo ser um ataque May 30 May 30 May 30 May 30 May 11 09 26 59 pituba kernel OUTBOUND ICMP IN br0 OUT br0 PHYSIN ethl PHYSOUT eth0 SRC 172 30
239. inda agravado pelo fato de haver muita desonestidade na negociac o de produtos versus sua real efetividade no mercado russo Ainda segundo o entrevistado em 9 no caso do mercado chin s que tamb m possui um n mero elevado de hackers a venda de armas cibern ticas por hackers chineses exclusiva para o governo chin s e o preco muito baixo A reportagem 9 ainda aponta que outros mercados de artefatos cibern ticos como Oriente M dio e sia n o superam o preco ofertado pelos pa ses ocidentais B MERCADO CIRCUNSCRITO O mercado de exploits apresenta um agravante por se constituir um mercado circunscrito muito particular e fechado Em consequ ncia de ser um mercado reservado nele existem vulnerabilidades que s o conhecidas apenas por grupos privilegiados e restritos Nesse cen rio est o inseridos criminosos cibern ticos espec ficos e brokers que normalmente possuem uma rede privilegiada de contatos 94 www ICoFCS org 2015 Al m disso ag ncias de diversos governos tamb m est o inseridas neste mercado restrito tanto no papel de consumidores quanto de membros ativos A atua o de ag ncias de governo se concretiza influenciando na cria o de produtos com falhas de seguran a Tamb m ocorre pela interfer ncia na cria o de padr es de mercado com dificuldades t cnicas que proporcionam vantagens para ag ncias de intelig ncia dotadas de recursos t cnicos e alta capacidade de processamento e armaz
240. intuido de preservar ao m ximo a mtegridade dos dados apesar de ser intrusivo Ap s a proposic o do m todo diversos experimentos foram realizados Com estes experimentos foi poss vel constatar a aplicabilidade e viabilidade do m todo proposto Tamb m foi poss vel identificar cen rios nos quais a aplica o do m todo invi vel ora por quest es de incompatibilidade ora por quest es de restri es do aparelho Esta se o dedicada a descrever os experimentos realizados com o m todo proposto Para tal foram utilizados quatro aparelhos de telefonia celular no seguinte cen rio sistema operacional Android bloqueio de tela ativo com padr o senha ou PIN de desbloqueio desconhecido e op o de depura o USB desabilitada A O m todo proposto A substitui o da parti o recovery padr o como m todo para extra o dos dados do usu rio utilizada neste trabalho A parti o recovery original substitu da por outra que possibilite o acesso atrav s do ADB permitindo desta forma que o perito examinador seja capaz de realizar a extra o dos dados do aparelho Contudo a decis o de aplica o ou n o deste m todo deve ser tomada pelo perito levando em considera o diversos aspectos entre eles a possibilidade da restaura o das configura es de f brica A substitui o da parti o recovery pode causar incompatibilidade com o sistema Android instalado levando o a n o inicializar novamente Embo
241. ionais de seguranca dedicados a aprender t cnicas t ticas e motiva es de intrusos Em 2001 os membros do projeto lancaram o livro Know Your Enemy baseado em dois anos de pesquisas e descrevendo em detalhes as tecnologias Honeynet 3 e 7 Ainda em dezembro de 2001 o Honeynet Project anunciou a Research Alliance Honeynet com o objetivo de melhorar as pesquisas e desenvolvimento de honeynets Depois do Honeynet Project muitos autores criaram defini es e classifica es que ser o descritas nas pr ximas se es J em 8 e 9 apresentada uma comunidade de agentes de software que captura ataques e redireciona o tr fego para uma honeynet de modo a permitir a an lise dos detalhes dos ataques e a cria o de prote es em solu o predecessora a deste trabalho A Arquitetura de uma Honeynet O sucesso de um projeto honeynet depende da correta defini o da arquitetura verificando se que a constru o e a manuten o de uma honeynet dependem de tr s requisitos cr ticos controle de dados captura de dados e coleta de dados 10 O controle e a captura dos dados s o os requisitos mais importantes da arquitetura O terceiro requisito se aplica nas configura es que tenham v rios honeypots em ambientes distribu dos 1 Controle de Dados Trata se de um requisito muito cr tico cuja finalidade a de controlar os dados de entrada e sa da para reduzir os riscos dentro da honeynet Isto garante que
242. iro na capta o de uma comunica o entre duas ou mais pessoas sem o conhecimento dos interlocutores a modalidade espec fica de intercepta o legal realizada por rg os policiais na investiga o criminal com autoriza o judicial e de acordo com os dispositivos legais das leis 9 296 96 e 10 217 01 devendo ser conduzida por autoridade policial a quem cabe a responsabilidade das opera es t cnicas a integridade da prova colhida e a an lise de seu conte do 1 Os processos de intercepta es s o realizados por procedimentos amplamente apoiados por sistemas de informa o automatizados que fornecem aos rg os de persecu o criminal ferramentas para a grava o an lise e gera o de relat rios com os resultados das intercepta es Os udios e os relat rios resultantes das opera es s o adicionados aos processos criminais e seguem para an lise das partes interessadas Ao serem anexados aos autos a defesa tem acesso ao conjunto de provas geradas nas intercepta es telef nicas Esse conjunto formado por artefatos digitais tais como arquivos de udio e registros que relacionam alvos interceptados datas e horas das chamadas Foi dos questionamentos sobre a integridade das provas geradas pelos sistemas de intercepta o que surgiu a necessidade da per cia computacional abordada nesse artigo II OBJETIVO O objetivo principal do trabalho apresentar os procedimentos que foram realizados nas an
243. is atraindo assim a aten o dos atacantes Esta rede particular deixada propositadamente ao alcance dos intrusos pode ent o ser usada para verificar e analisar os diversos tipos de ataques e as correspondentes vulnerabilidades exploradas nesses ataques Na ger ncia da seguran a das redes sistemas e aplica es governamentais considera se que o gestor deve aplicar toda medida a seu alcance no sentido de proteger a informa o e os sistemas sendo ent o as medidas voltadas captura e an lise de novos ataques um importante pilar da gest o da seguran a Outra caracter stica de relevo das honeynets a sua poss vel aplica o na rea forense visto que uma honeynet tem a possibilidade de capturar o modus operandi das opera es de intrus o bem como preservar evid ncias dos atos que indiquem ocorr ncia de crimes e tamb m dos meios tecnol gicos empregados em tais crimes Tais possibilidades das honeynets constituem uma justificativa do presente trabalho pois se considera a import ncia de ter um ambiente cibern tico dentro de um rg o Governamental para acompanhar a evolu o dos diversos tipos de ataques a fim de impedir intrus es maliciosas nos sistemas garantindo desta forma o funcionamento dos servi os essenciais popula o Por outro lado foram considerados os temas de pesquisa correlatos no dom nio da inform tica forense e seguran a da informa o Diante disso a estrat gia do trabalho foi divid
244. is influenciam a qualidade da informa o e pode comprometer a efici ncia da t cnica Uma alternativa para a baixa qualidade das imagens de texto seria O tratamento de imagem antes da aplica o da t cnica A pr xima etapa do trabalho ser incluir a extra o automatizada da watermark atrav s de reconhecimento textual como OCR e melhorias na t cnica para suportar ataques de re typing As varia es de degrada o dos caracteres durante o processo de digitaliza o precisam ser mensurados a fim de www ICoFCS org 2015 estipular um limite de qualidade do documento para ser 20 J Linn Privacy Enhancement for Internet Electronic Mail Request for submetido a um OCR ou mesmo ser passivel de uma extrac o Comments 989 1987 manual da marca d gua por meio da leitura do texto 21 R C Gonzalez e R E Woods Processamento Digital de Imagens 3 Edi o Editora Pearson 2010 REFER NCIA 22 Tesseract OCR engine dispon vel em NCIAS p a http code google com p tesseract ocr 1 S B B Ahmadi Digital Image Watermarking for Intellectal Property Protection 4th International Scientific Conference of Iranian Academics 2014 2 S S Katariya Digital Watermarking Review International Journal of Engineering and Innovative Technology 2012 3 Y Zhang e H Qin A Novel Robust Text Watermarking For Word Document 3 International Congress on Image and Signal Processing 2010 4 LJ Cox et Al Digita
245. isar os dados coletados e 4 elaborar o laudo A fase de prepara o do ambiente de coleta consiste na prepara o do ambiente para coleta de dados de v deo e dados de tr fego de redes A coleta de v deo necess ria para identificar os momentos do jogo nos quais ocorreram ou foram executados eventos de interesse pericial Na Figura 6 s o apresentados dois poss veis modelos de infraestrutura de equipamentos para realizar a coleta de dados de v deo e rede nos quais s o utilizados uma c mera de v deo um monitor um console de jogos um computador coletor de dados da rede um roteador e acesso Internet ossos nana M quina Console M quina Sie de duas Internet Fotogr fica Coletora i Uso de duas placas de redes ESE Emular duas placas de TVLCD redes ex iptables M quina Coletora M quina Fotogr fica Roteador Cosan anna ana Internet Console MEC Fig 6 Modelos de infraestrutura de equipamentos para a coleta de dados Na Figura 6 A a m quina coletora possui duas placas de rede e fisicamente est inline no meio de acesso Internet J na Figura 6 B a m quina coletora emula duas placas de rede Em ambos os casos o console de jogos configurado para utilizar a interface da m quina coletora como default gateway Alternativamente a m quina coletora pode ser configurada como ponte conectando dois segmentos de redes distintos e operando em um n vel mais
246. ise ContrPorEmpresa length modalidade licitacao onde ContrPorEmpresa passou a ser o campo do novo dataframe que informa a quantidade de contratos celebrados entre uma unidade administrativa e uma mesma empresa Finalmente elaborou se um ltimo dataframe a partir do anterior compreendendo o campo UASG e criando os campos NumEmpresas n mero de empresas contratadas por UASG NumContratos n mero total de contratos celebrados por cada UASG e MaiorNumContMesmaEmpresa maior n mero de contratos que cada UASG celebrou com uma mesma empresa Para tal foi utilizada a seguinte func o R ddply dataframel c uasg summarise NumEmpresas length ContrPorEmpresa NumContratos sum ContrPorEmpresa MaiorNumContMesmaEmpresa max ContrPorEmpresa Cada dataframe final relativo a cada modalidade de execuc o obteve os seguintes dados Tabela III TABELA II DADOS FINAIS PARA AN LISE E Red prog Eo Ec pre Dataframe Licita o Uasgs Contratos Empresas Mesma Empr 6 finexigibilidade 2160 45378 24626 207 Para a verifica o da correla o entre o n mero de contratos de uma unidade administrativa uasg e o m ximo de contratos celebrados com uma mesma empresa por essa unidade administrativa foram estudadas as formas de regress o linear e n o linear Para a regress o linear buscou se encontrar os coeficientes que produzissem a melhor aproxima o utilizando se o crit rio dos m nimos quadrados confor
247. ita uma compara o entre o c digo de mem ria e c digo do arquivo em disco para verificar o n vel de similaridade 19 Um espa o de endere amento virtual Um programa execut vel Um lista de handles para v rios recursos do sistema por exemplo portas de comunica o sem foros e arquivos abertos Uma lista de Threads Um contexto de seguran a e Lista de DLLs dynamic link libraries associadas e Verifica o de assinaturas de hooking Basicamente existem quatro t cnicas utilizadas pelos rootkits que devem ser verificadas nesta fase da metodologia Deve se verificar a System Service Descriptor Table SSDT tabela que cont m um array de ponteiros para as fun es de tratamento de cada system call As entradas da SSDT podem ser alteradas pelos rootkits e assim alterar a sa da ou a entrada das chamadas de sistema de forma a esconder processos arquivos e chaves de registros 16 Al m disso drivers maliciosos podem utilizar a Interrupt Descriptor Table estrutura de dados que armazena os endere os das fun es de tratamento de interrup o e exce es de processos para realizar um hook em todas Nesta fase s o analisados os handles associados aos processos de maneira a identificar alguma atividade maliciosa como por exemplo DLLs que apesar de terem nomes leg timos est o em caminhos diferentes no sistema de arquivos do sistema operacional Al m disso muitos malwares usam um handle do tipo mute
248. ization methods such as the received signal strength indicator RSSI A set of candidate locations can be selected to choose the candidate that best fits the RSSI information IV AUTHENTICATION MECHANISM This section presents ways of using an estimation of the user s position for continuous authentication Subsection IV A shows how position estimation can be used to assure that a user only accesses a system when he she is in an authorized area In Subsection IV B the position estimation is used to ensure a user has a speed compatible with network access metrics Finally Subsection IV C shows how postion estimation can be used together with behavioaral movement metrics to provide continuous authentication A Border Enforcing Depending on the type of information being accessed it may be important to enforce that the user only accesses a certain system or information if he she is within a given area or set of areas For instance such approach could be beneficial to ensure that a user accessing a system is being monitored by a system of cameras Thus an unauthorized access could be registered on tape for further inquiry in the future This is the simplest method for providing continuous authentication since there is only a single metric the user is within the authorized access area Figure 3 shows an example of an area constituted by a single polygon While the problem of verifying whether a point is inside a polygon or not has been th
249. l building file lis 4473 files pulled files skipped 2186 KB s 816678598 bytes in 365 689s gt Users Adriano gt 4 Fig 10 GT 19100 comando adb pull data 42 www ICoFCS org 2015 A pr xima etapa fazer a extrac o dos dados da particao data Para isto necess rio acessar o aparelho via ADB e montar a parti o com o comando mount data Em seguida um diret rio deve ser criado na m quina do examinador e os dados copiados atrav s do comando adb pull Esses comandos foram executados no GT I9100 do experimento e o resultado mostrado na Figura 10 D Procedimento de extra o de dados do LG Optimus 3D P920h O P920h denominado comercialmente de LG Optimus 3D foi desenvolvido pela companhia sul coreana LG Eletronics em 2011 Sua principal caracter stica a tela que pode exibir imagens em terceira dimens o sem o uso de culos especiais Esse modelo vem com mem ria Random Access Memory RAM de 512 MB processador ARM Cortex A9 de 1 GHz Dual Core chipset OMAP4430 desenvolvido pela Texas Instruments tela de 4 3 polegadas e Android 2 2 21 A inicializa o do P920h no modo recovery feita pressionando simultaneamente as teclas Power Volume e 3D com o aparelho desligado Assim que o aparelho for iniciado a imagem da partic o recovery carregada No caso em tela a substitui o da parti o recovery original do P920h foi necess ria pois esta partic o nao permite conex o via ADB
250. l Watermarking and Steganography 2 edition Ed Elsevier 2008 5 C S Woo Digital Image Watermarking Methods for Copyright Protection and Authentication Thesis submitted in accordance with the regulations for Degree of Doctor of Philosophy 2007 6 S P Mohanty Digital Watermarking A Tutorial Review University of South Florida 1999 7 J T Brassil S Low e N F Maxemchuk Copyright Protection for the Electronic Distribution of Text Documents Proceedings of the IEEE vol 87 no 7 pp 1181 1196 1999 8 P B Devidas e P N Namdeo Text Watermarking Algorithm Using Structural Approach World Congress on Information and Communication Technologies IEEE 2012 9 M Atallah et Al Natural Language Processing for Information Assurance and Security An Overview and Implementations Proceedings 9th ACM SIGSAC New Security Paradigms Workshop Cork Ireland pp 51 65 2000 10 D Huang e H Yan Interword Distance Changes Represented by Sine Waves for Watermarking Text Image Transactions on Circuits and Systems for Video Technology IEEE Vol 11 NO 12 2001 11 R Davarzani e K Yaghmaie Farsi Text Watermarking Based on Character Coding International Conference on Signal Processing Systems 2009 12 S Kaur 4 Zero Watermarking algorithm on multiple occurrences of letters for text tampering detection Internacional Journal on Coomputer Science and Engineering 2013 13 N Mir Copyright for web conte
251. lidades e aprender como esses intrusos se comunicam Refer ncias sobre mecanismos para monitorac o e an lise de atividades intrusivas surgiram em meados da d cada de 1980 Em agosto de 1986 um usu rio malicioso atacou computadores dos laborat rios do LBL Lawrence Berkeley Laboratory para roubar dados Com a finalidade de monitorar esses tipos de usu rios Clifford Stoll criou um projeto governamental para rastrear com detalhes os ataques at sua origem 4 Em 1990 Bill Cheswick descreveu o acompanhamento de uma invas o no laborat rio da AT amp T invas o esta em que foram exploradas falhas no servico Sendmail obtendo se acesso ao gateway do laborat rio A finalidade desta experi ncia consistiu em localizar e aprender sobre as t cnicas 71 www ICoFCS org 2015 que foram utilizadas pelos intrusos Uma t cnica de mudan a de diret rio root chroot foi constru da para observar todas as atividades que o intruso queria fazer 5 A primeira solu o de honeypot baseada em software foi chamada de DTK Deception Toolkit 6 Ela foi desenvolvida em 1998 por Fred Cohen Esta ferramenta tinha uma cole o de scripts Perl e c digo C que emulava v rias vulnerabilidades conhecidas do Unix com o prop sito de obter informa es e enganar atacantes Este toolkit pode ser utilizado tamb m para alertar e aprender sobre vulnerabilidades conhecidas Em 1999 Lance Spitzer liderou um grupo sem fins lucrativos de 30 profiss
252. ligar o aparelho pressionando a combina o de teclas para inicializa o no modo recovery os arquivos da parti o de mesmo nome parti o recovery s o carregados 13 A micializa o no modo recovery permite ao usu rio formatar o dispositivo restaurar as configura es de f brica limpar dados de cache e realizar tarefas de manuten o Esse modo de inicializa o tamb m utilizado pelo pr prio Android para aplica o de pacotes de atualiza o 4 A parti o recovery cont m os arquivos de inicializa o para o modo recovery Ela possui seu pr prio kernel Linux separado do kernel do sistema principal do Android 14 e pode ser iniciada mesmo que a instala o principal do sistema esteja com problemas O modo recovery padr o de f brica normalmente oferece apenas funcionalidades b sicas e sem acesso ao ADB 4 Esta parti o geralmente possui um tamanho pequeno e seu dispositivo associado pode ser diferente dependendo do modelo e fabricante Detalhes sobre esta parti o podem ser vistos examinando o arquivo proc mtd 4 conforme mostra a Figura 3 ahoog ubuntu adb shell cat proc mtd dev size erasesize name mtdd 00040000 00020000 misc mtdl 00500000 00020000 recovery mtd2 00280000 00020000 boot mtd3 04380000 00020000 system mtd4 04380000 00020000 cache mtdS5 04ac0000 00020000 userdata Fonte 4 Fig 3 Detalhes da parti o recovery G Aextra o de dados Exis
253. ly que s o capazes de manipular recursos de entrada e sa da de mem ria e de recursos de processamento Atrav s deste tipo de manipula o onde exista uma falha capaz de ser explorada em uma aplica o ou hardware um exploit faz com que um conjunto arbitr rio de instru es desejada pelo atacante sejam executadas em detrimento do conjunto original de instru es que deveria ser executado na aplica o explorada Do ponto de vista de seguran a da informa o um exploit pode ser visto e entendido como uma arma cibern tica E um recurso tecnol gico especializado que faz uso de t cnicas espec ficas relacionadas arquitetura de hardware e software cujo efeito gera vantagem estrat gica a um atacante e causa prejuizos variados a quem se torne alvo de uma arma deste tipo O exploit um recurso t cnico eficiente se bem empregado e se bem controlado que permite o acesso n o autorizado a recursos computacionais possibilitando a escala o de privil gios ou realizando a nega o de servi os Caso um exploit seja mal empregado ele se torna um recurso perdido Uma vez utilizado fora do ambiente de controle um exploit deixa de ter a efici ncia desejada Ainda caso mal empregado permite a implica o de autoria e como consequ ncia de poss veis acusa es envolvendo crime e espionagem cibern tica H basicamente dois tipos de exploit local e remoto Um exploit local aquele onde o atacante j possui acesso
254. m Analisando a estrutura interna do banco poss vel observar que os dados s o armazenados em c lulas no interior de uma p gina folha Antes da mensagem 2 ser exclu da a p gina que armazena os dados possui quatro c lulas e como o banco nunca tinha sido utilizado anteriormente toda a regi o vazia est preenchida com zeros N o existe tamb m nenhuma informa o relativa a freeblocks ou seja o campo no cabe alho da p gina associado a este tipo de informa o est zerado A Figura 12 ilustra a estrutura da p gina antes da exclus o da mensagem 2 Ressalte se que os offsets mostrados s o relativos ao inicio da p gina Ap s a exclus o da mensagem poss vel observar uma s rie de mudan as na estrutura da p gina Primeiramente a c lula que armazena o registro apagado liberada para uso futuro tornando se parte dos freeblocks A regi o que armazenava a c lula exclu da passa a ter grande relev ncia forense uma vez que os dados s o desalocados por m a informa o continua integra at que uma nova mensagem seja inclu da e fa a uso do freeblock Desta forma poss vel criar mecanismos de buscas nestas regi es visando recuperar conversas do aplicativo WhatsApp Para tornar a p gina livre algumas altera es devem ser feitas no cabe alho da p gina Primeiramente o n mero de c lulas reduzido implicando na altera o do campo do cabe alho que guarda no n mero de c lulas Como a c
255. ma frequ ncia para todos os calibres estudados apresenta valores mais significativos de pot ncia ou seja mais resistente ao distanciamento do microfone em rela o ao atirador CONCLUS ES A modelagem f sica do problema ainda que os estojos notoriamente n o se tratem de cilindros ideais apresentou resultados bastante aderente aos obtidos nos ensaios pr ticos para todos os calibres testados Desta forma a abordagem proposta foi validada satisfatoriamente para os quatro tipos de calibres de pistola demonstrando se portanto uma alternativa promissora para a atribui o de calibres de arma de fogo a partir da assinatura ac stica gerada pelo contato do estojo ejetado com superf cies r gidas Ademais esta proposta mostra se complementar as abordagens tradicionais j existentes sendo portanto mais um recurso de an lise dispon vel ao perito Para trabalhos futuros torna se necess rio expandir os estudos e ensaios abordando os demais calibres n o contemplados neste artigo inclusive de outros tipos de armas especialmente os estojos do tipo garrafa Recomenda se ainda a verifica o das m ximas dist ncias poss veis entre o transdutor e o atirador que ainda assim permitam o registro da assinatura ac stica do estojo e consequente aplica o do m todo al m de maiores estudos quanto robustez desta t cnica para artefatos de compress o ambientes ruidosos dentre outros fatores de degrada o frequentes casu sti
256. malicioso encontrado Dassara Porta ou conex o suspeita Backdoor jackal exe jackal exe exe Taxa de Detecc o do Virustotal 12 57 Carrega duas DLLs num contexto suspeito Este processo esta sendo executado a partir da pasta appData nfe xml exe MALDETECT PC e suspeito Possui rea de mem ria com a flag de write_exec Pai n o encontrado Caminho incorreto Username incorreto ECM Falta par metro k svchost exe Possui rea de mem ria com a flag de write_exec Pai n o encontrado Caminho incorreto Username incorreto NF e 184543 10845 exe Palta pa meto de svchost exe Possui rea de memoria com a flag de write_exec Percebeu se que os malwares tentaram dificultar sua detecc o usando nomes de processos correspondentes a nomes de processos leg timos do sistema operacional no caso foi usado o nome svchost exe nome de processo que pertence ao n cleo do sistema operacional Windows 7 O jackal foi executado a partir da pasta c windows system32 na tentativa de se camuflar como um processo leg timo do Windows 7 Todos c digos maliciosos testados foram detectados e a automatizac o proposta implementada pela Maldetect Tool reduziu consideravelmente o tempo de an lise da memoria vol til em relac o a an lise manual Por fim o relat rio gerado pela Maldetect Tool apresenta todas as informa es relevantes coletadas durante a an lise e direciona a aten o do analista para
257. manho 0 Conte do 0 Fig 19 Exemplo de trecho de mensagem recuperada da rea desalocada freeblock www ICoFCS org 2015 Observou se tamb m a possibilidade de recupera o de fragmentos de mensagens em reas residuais tipo slack das reas desalocadas freeblock por m essas reas s o apresentadas pelo algoritmo para inspe o direta pois devido a inconsist ncias detectadas nos dados n o h como ser efetuada leitura de acordo com a defini o dos tipos definidos VI CONCLUS O E TRABALHOS FUTUROS A recupera o de mensagens ou de fragmentos de mensagens exclu das do aplicativo WhatsApp pode ser de grande import ncia forense Neste artigo foi apresentado um m todo desenvolvido para recupera o de mensagens apagadas do aplicativo WhatsApp vers o 2 12 58 sobre a plataforma Android baseado na inspe o das estruturas internas do arquivo de base de dados SQLite na localiza o de regi es livres ou desalocadas e na an lise dos dados dessas reas permitindo a extra o de dados e a potencial recomposi o de mensagens exclu das Observou se que poss vel recuperar as mensagens apagadas das regi es referidas inclusive com a possibilidade de os dados estarem ntegros Como trabalhos futuros existem as possibilidades de recupera o de mensagens com grande extens o que extrapolam o conte do de uma p gina de dados de recupera o de p ginas livres freepages e de recupera o de
258. mazenar programas que ser o executados junto com a inicializa o do windows hist rico de acesso do Internet Explorer e hist rico de comandos do cmd exe Para capturar essas informa es foram utilizados respecti vamente os seguintes plugins do Volatility printkey iehistory e cmdscan A Maldetect Tool gera um relat rio em PDF contendo todos os artefatos que receberam uma pontua o de anomalias assim como as anomalias de rede o hist rico de comandos do cmd exe e acessos do Internet Explorer I Cria o da base de conhecimento Na ltima fase da metodologia o analista pode escolher quais processos ele gostaria de gerar o arquivo de IOC para compor a base de conhecimento Este arquivo possui o formato XML onde s o descritas as anomalias encontradas durante as fases anteriores da metodologia Este arquivo ir alimentar a fase de pr an lise da pr xima execu o VII RESULTADOS E DISCUSS ES Como prova de conceito da metodologia Maldetect e valida o da implementa o realizada pela ferramenta Mal detect Tool foi feita uma an lise autom tica de quatro dumps de mem ria de uma m quina Windows 7 infectada com os seguintes malwares jackal nfe xml exe CiGPxdM exe e NF e 18454310845 exe Foi analisado um malware menos conhecido pelos antiv rus como o caso do jackal exe Inclu sive antiv rus como Kaspersky n o o detectaram como sendo um c digo malicioso A tabela I mostra a taxa de detec
259. me fluxograma apresentado na Figura 3 obteve se para as amos tras da UTFPR um m ximo de quatro centroides com uma m dia de tr s Um exemplo de um dos gr ficos resultantes apresentado na Figura 6 no qual se observa a distribui o dos valores das amostras em um formato pr ximo a um trap zio Os centroides obtidos durante a aplica o do m todo est o identificados pelos pontos em preto enquanto que os valores de refer ncia est o indicados pelos pontos vermelhos poss vel observar a proximidade dos centros com os valores de refer ncia correspondentes da esquerda para direita s vogais e e e o Na Tabela I s o apresentados os valores de F e Fa obtidos para cada centro Tais valores foram comparados com os valores de refer ncia Tabela II referentes aos resultados da pesquisa realizada pelo Grupo de Estudos de Sons da Fala da UTFPR 22 Para cada centro foi calculado atrav s de www ICoFCS org 2015 Todos os pontos F1xF2 500 1000 F1 Hz 1500 2000 2500 s I i l 4000 3500 3000 2500 2000 1500 1000 500 0 F2 Hz a Pontos F1XF2 apenas nos frames vozeados com valor de pitch detectado 500 de 1000F F1 Hz o 500G o Nici Vass O O A 2000 es E J 2500 3500 3000 2500 2000 1500 1000 500 0 F2 Hz b Fig 4 Exemplo de gr ficos com resultados obtidos para uma das amostras de udio do grupo de pesquisa da UTFPR
260. me a seguinte fun o de regress o Y Bo BiX MaiorNumContMesmaEmpresa Bo Bi NumContratos Verificando se a regress o linear para os contratos da modalidade de licitac o carta convite obteve se os seguintes coeficientes Fig 1 coefficients Estimate Std Error t value Pr gt t Intercept 1 496936 0 052235 28 66 lt 2e 16 Numcontratos 0 054072 0 001238 43 69 lt 2e 16 signif codes O 0 001 0 01 0 05 0 1 Residual standard error 1 959 on 1771 degrees of freedom Multiple R squared 0 5187 Adjusted R squared 0 5184 F statistic 1909 on 1 and 1771 DF p value lt 2 2e 16 Fig 1 Coeficientes da regress o linear na Modalidade Carta convite www ICoFCS org 2015 Percebe se que o valor p praticamente nulo Al m disso os coeficientes s o bem maiores que o desvio padr o levando a obten o de valores t grandes Tais condi es afastam a hip tese dos coeficientes Bo Bi serem nulos Al m disso obt m se um coeficiente de determina o R 0 51 Tal coeficiente indica a propor o de variabilidade presente nas varia es da vari vel reposta Y que explicada pela vari vel independente X no modelo de regress o Assim os coeficientes usados no modelo de regress o linear para os contratos da modalidade carta convite foram Bo 1 497 B1 0 054 Procurando se agora verificar se um modelo n o linear se ajustaria melhor realizou se a compara o da regre
261. membro da estrutura de mem ria _EPROCESS cont m o caminho completo do processo a linha de comando que iniciou o processo ponteiros para a heap do processo entre outras informa es Essas informa es ajudam a localizar o arquivo execut vel no disco e descobrir informa es sobre como o processo foi instanciado na mem ria da esta o infectada Analisar heaps Os dados que as aplica es manipulam dados recebidos via rede ou textos digitados em um processador de texto possuem uma boa chance de estarem armazenados na heap do processo assim n o perde se muito tempo pesquisando em regi es de mem ria que cont m DLLs arquivos mapeados e a pilha Inspecionar vari veis de ambiente Existem fam lias de malwares que marcam sua presen a com a cria o de vari veis de ambiente Outros malwares manipulam os valores das vari veis de ambientes para gerar comportamentos maliciosos em outros processos Algumas vari veis que s o tipicamente manipuladas por c digos maliciosos s o PATH armazena o caminho dos execut veis 63 Pode ser realizado o dump do conte do em mem ria dos programas execut veis para uma an lise mais profunda deste artefato Por m um processo ao ser carregado na mem ria sofre algumas altera es que devem ser levadas em considera o durante a an lise do artefato extra do Por exemplo o hash md5 do dump do processo extra do da mem ria pode n o ser o mesmo do hash do arquivo no disco
262. merg ncia Por fim mapear caminhos deixados pelos hackers e a partir da perceber at onde a narrativa terrorista est chegando se torna tamb m imprescind vel Afinal com cinco dos dez grupos de hackers mais ativos do mundo 34 o Brasil pode sem perceber ter mais vias cibern ticas de acesso a seu territ rio do que se imagina D Fortalecer institui es respons veis Juntamente com a constru o de uma cultura de seguran a necess rio que recursos materiais tecnol gicos e principalmente humanos atinjam os rg os respons veis pela prote o da esfera cibern tica do pa s O engajamento com outros setores da sociedade 35 e a instru o oriunda de pa ses estrangeiros 36 s o partes da 2 INTERPOL em portugu s significa Organiza o Internacional de Pol cia Criminal 3 AMERIPOL em portugu s significa Comunidade de Policia da Am rica 87 soluc o mas a necessidade de aumentar proporcionalmente esses esforcos existente A cultura de seguranca a ser constru da deve levar em considera o o trabalho j desempenhado para a prote o do pa s pelas institui es respons veis N o me refiro a explicitar m todos mas uma boa divulga o de casos exitosos poderia contribuir para o entendimento da necessidade de investimentos na rea de seguran a em especial na cibern tica Outro ponto que o Ciberterrorismo em espec fico ganhe um lugar no debate com a sociedade talvez atrav
263. mero de caracteres especiais na URL envio de formul rios utilizando TLS SSL presen a na blacklist do Google Safe Browsing 5 n mero de pontos e tamanho da URL entre outras Fette et al em 8 prop e um m todo de classifica o de e mails baseado no potencial que cada e mail tem de ser isca para um ataque de phishing Seu algoritmo de detec o leva em conta caracter sticas nicas identificadas nos emails de phishing e a sa da de um filtro de spam que eles identificaram ser bastante eficiente para este tipo de detec o McGrath et al em 9 examina o modus operandi dos atacantes atrav s da anatomia das URLs e dom nios dos sites fraudulentos do registro e tempo de ativa o dos dom nios de phishing e das m quinas utilizadas para hospedar tais sites Os resultados podem ser utilizados como heur sticas na filtragem de e mails de phishing e na identifica o de registros de dom nios suspeitos Garera et al em 10 estuda as URLs utilizadas em ataques de phishing e tenta descobrir se elas realmente pertencem a um ataque de phishing sem utilizar qualquer conhecimento da p gina em si Ele identificou algumas t cnicas utilizadas pelos phishers para enganar as v timas como mascarar o host com um endere o de IP mascarar o host com outro dom nio criar dom nios similares ao de organiza es conhecidas e criar URLs muito grandes para confundir a v tima A RSA 11 produz relat rios mensais da quantidade de ataques envol
264. nal Conference on Forensic Computer Science ICoFCS electronically releases the conference proceedings composed of fif teen selected publications on http www icofcs org 2015 Less than 45 of the papers were accepted for publication this year after a rigorous peer review selection Moreover the authors were required to present their results in the Forensic Academy track that took place at the Integrated Conference ICCyber ICMedia 2015 held in Brasilia from June 23rd 2015 to the 25th The complete program of the Integrated Conference is available at www conferenciaintegrada org br The Brazilian Association of High Technology Experts ABEAT formally transfers the co pyrights of the proceedings to the Brazilian Academy of Forensic Sciences ABCF The TPC gratefully recognizes and acknowledges the inestimable support of ABCF ABEAT Technical Scientific Board DITEC of the Federal Police Department DPF in Brazil and Universi ty of Brasilia UnB www ICoFCS org 2015 DOI 10 5769 C2015001 or http dx doi org 10 5769 C2015001 Identifica o do calibre de muni es por meio da assinatura ac stica dos estojos ejetados Luiz Vinicius G L Larrain Jo o Paulo C L da Costa Tadeu Junior Gross 1 Laborat rio de Processamento de Sinais em Arranjos Departamento de Engenharia El trica Universidade de Bras lia UNB URL http www redes unb br lasp 2 Ger ncia de Per cias em udio e V deo Per cia Oficial
265. ncia de uma base de conhecimento das fraudes eletr nicas que possa ser usada n o apenas como uma fonte de consulta e valida o de mensagens desconhecidas mas tamb m que possa ser usada pelas organiza es na implanta o de filtros e outros mecanismos de seguran a a fim de evitar que os usu rios sejam v timas desse tipo de ataque Este artigo apresentou o processo de an lise triagem e registro do Cat logo de Fraudes da RNP bem como algumas estat sticas e tend ncias observadas nesse processo not rio observar o crescimento na quantidade das fraudes e tamb m o n vel de sofistica o nas p ginas de captura de informa es dos usu rios Dessa maneira importante que novos meca nismos de filtro automatizado de sites e mensagens fraudu lentas sejam implantados a fim de minimizar a quantidade de usu rios que est o sujeitos a esses golpes Apresentou se tamb m uma an lise de ambientes de filtros de URL a saber o projeto Google Safe browsing e Phishtank onde evid nciou se a necessidade de uma base de dados voltada para a realidade brasileira de fraudes eletr nicas haja visto que a grande maioria das fraudes n o encontrada nessas bases de dados internacionais 7 6 de detec o pelo Safe browsing e 2 82 de detec o pelo Phishtank Como trabalhos futuros espera se aprimorar a apresenta o do Cat logo de Fraudes para os usu rios adicionando no vos mecanismos de busca no site gr ficos e formul rios
266. nd ncias observadas al m de oportunidades de trabalho que podem ser desenvolvidos para melhorar a seguran a dos usu rios de Internet brasileiros Palavras Chave Fraudes Cat logo de Fraudes fraude eletr nica e mail phishing ICCyber Abstract The electronic frauds all over the Internet have become a recurring threat to all the people Everyday newer and more sophisticated fraud techniques are deployed causing the less prepared or the less alerted users to be victims of those attacks The Frauds Catalog of the Brazilian Academic and Research Network RNP created in 2008 consolidates itself as an important repository of brazilian electronic frauds disseminated through e mail This paper presents RNP Frauds Catalog how it works observed statistics and trends and future work opportunities that can improve the security of Brazilian Internet users Keywords Frauds frauds catalog eletronic fraud e mail phishing ICCyber I INTRODUCAO Comunicac o sempre foi o principal fator no estabeleci mento de relac es Diversas formas de comunicac o f ceis e de grande agilidade apresentam se nos dias atuais e o e mail continua sendo um dos principais meios de comunica o digital Apesar de ter sofrido uma desacelera o nos ltimos anos o n mero de contas de e mail continua aumentando bem como o volume de mensagens transitadas Atribui se como motivo desse cont nuo crescimento a facilidade de uso e a maior form
267. ndices n s folhas e se necess rio mapa de n s Cada arquivo ou pasta do Catalog File identificado por um nico Catalog Node ID CNID Para pasta CNID chamado FolderID e para arquivos FileID 7 80 C Extent Overflow File O Extents Overflow File utilizado para mapear os extents reas cont guas de um arquivo extras dos arquivos que cont m mais que oito extents Os primeiros oito extents s o listados no registro correspondente ao arquivo no catalog file Est estruturado como uma rvore B 7 D Bad Block File Bad Block File usado para marcar e registrar as reas do volume que cont m blocos danificados O Extent Overflow File usado para armazenar informa es sobre os extents de Bad Block File 7 E Attributes File O attribute file cont m metadados adicionados em pastas e arquivos pelas aplica es Ele um arquivo especial que n o possui uma entrada no Catalog File Um volume n o pode ter Attributes File em caso de sua descri o no Volume Header para aloca o de blocos seja O Attributes File uma Arquivo B tree estruturado onde os n s podem conter registros conhecidos como atributos Um Attribute File pode ter 3 tipos de atributos 7 Inline Data Attributes que cont m pequena atributos Attributes Data Fork que cont m refer ncias para um m ximo de 8 extents Extended Attributes que cont m refer ncias a mais 8 extents para os atributos de dados F Startup File O
268. ndo o formato zip tempo Algumas a es semelhantes tiveram comportamentos dife rentes como a manipula o de arquivos e diret rios Enquanto na utiliza o de interface gr fica a data de cria o foi preser vada em alguns casos de execu o de comandos pelo terminal esta data sofreu altera es Grande parte dos comandos utilizados fazem altera es na data de acesso do objeto com exce o dos comandos de manipula o de atributo Logo a es como leitura listagem ou c pia fazem altera es neste campo Uma timeline baseada neste campo pode auxiliar na cria o de uma trajet ria de utiliza o do sistema de arquivos pelo usu rio O Backup descrito nos resultados da se o anterior foi realizado atrav s do software Time Machine do Mac OS X Os arquivos e diret rios originais que sofreram backup n o tiveram suas datas alteradas entretanto os arquivos resultan tes do procedimento sofreram altera es em suas datas de modifica o de atributos e de acesso Apesar de existir um atributo de data de backup backupDate em cada arquivo e pasta este atributo n o foi alterado ap s a execu o do backup O experimento foi realizado com discos r gidos e remov veis com o sistema operacional em estudo Foram simuladas opera es de arquivos entre discos r gidos entre discos re mov veis e entre disco r gido e disco remov vel Apesar da varia o das m dias utilizadas os resultados obtidos foram os mesmos ind
269. nes amp Bartlett Publishers 2011 DFRWS The dfrws 2005 forensic challenge 2005 http www dfrws org 2005 challenge index shtml 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 69 www ICoFCS org 2015 Fahad Eshan Memory forensics amp security analytics Detecting unknown malware 2014 http www isaca org chapters5 Treland Documents 2014 20Event 20Presentations Detectings20Unknown S20MalwareS20Memory 20Forensics 20and 20Security 20Analytics 20 20Fahad 20Ehsan pdf Volatility Foundation Command reference 2015 https github com volatilityfoundation volatility wiki Command Reference Liang Hu Shinan Song Xiaolu Zhang Zhenzhen Xie Xiangyu Meng and Kuo Zhao Analyzing malware based on volatile memory Journal of Networks 8 11 2512 2519 2013 Randall Hyde The art of assembly language No Starch Press 2010 Rob Lee Finding unknown malware step by step SANS DFIR Fa culty 2013 http digital forensics sans org media poster_fall_2013_forensics_final pdf Frankie Li A detailed analysis of an advanced persistent threat malware SANS Institute InfoSec Reading Room 2011 Michael Ligh Steven Adair Blake Hartstein and Matthew Richard Malware analyst s cookbook and DVD tools and techniques for fighting malicious code Wiley Publishing 2010 Michael Hale Ligh Andrew Case Jamie Levy
270. ng Ground for Jihad in the Modern Age Disponivel em https www aivd nl english publications press 2873 jihadism web Acesso em 19 de Abril de 2015 p 05 tradu o nossa Weimann G 2005 The sum of all fears Studies in Conflict amp Terrorism 28 2 Ginkel B van Responding to Cyber Jihad Towards an Effective Counter Narrative International Center Counter Terrorism ICCT Research Paper March 2015 Dispon vel em http www clingendael nl publication responding cyber jhad towards effective counter narrative Acesso em 19 de Abril de 2015 tradu o nossa Behr L von Reding A Edwards C Luke G 2013 Radicalization in the Digital Era Research reports RAND Corporation Dispon vel em http www rand org pubs research_reports RR453 html Acesso em 19 de Abril de 2015 tradu o nossa Liang C S 2015 Cyber Jihad Understanding and Countering Islamic State Propaganda Geneva Center of security Policy GCSP Policy Paper 2015 2 Disponivel em http www gcsp ch Emerging Security Challenges Publications GCSP Publications Policy Papers Cyber Jihad Understanding and Countering Islamic State Propaganda Acesso em 19 de Abril de 2015 P 02 traduc o nossa Canthan de E Matais A 2015 Governo detecta recrutamento de jovens pelo Estado Isl mico Estad o online Disponivel em http internacional estadao com br noticias geral governo detecta recrutamento de jovens pelo estado islamico 1655354 Aces
271. no intervalo de 11150 Hz a 1250 Hz 10 N vel de Press o Sonora dB Hz Estojo 1 Estojo 2 Estojo 3 104 1 1 10 Frequ ncia Hz 30 7000 8000 9000 12 10 1 3 10 1 4 10 Fig 7 Espectros LTAs das grava es dos estojos CBC 9 mm LUGER Na Figura 8 t m se os espectros LTA dos estojos CBC 32 AUTO Verifica se a ocorr ncia dos picos de frequ ncias no intervalo de 12050 Hz a 12250 Hz 10 Estojo 2 Estojo 3 Estojo 4 Estojo 5 Estojo 1 N vel de Press o Sonora dB Hz 22 30 7000 8143 9286 1 043 10 1 157 10 127110 1 386 10 1 5 10 Frequ ncia Hz Fig 8 Espectros LTAs das grava es dos estojos CBC 32 AUTO Na Figura 9 t m se os espectros LTA dos estojos CBC 40 S amp W Verifica se a ocorr ncia dos picos de frequ ncias no intervalo de 8050 Hz a 8450 Hz 11 www ICoFCS org 2015 Nivel de Press o Sonora dB Hz IDAS Estojo 1 Estojo 2 Estojo 3 Estojo 4 Estojo 5 20 5000 6000 7000 8000 9000 104 Frequ ncia Hz 1 1 10 L210 Fig 9 Espectros LTAs das grava es dos estojos CBC 40 S amp W Na Figura 10 t m se os espectros LTA dos estojos CBC 380 AUTO Verifica se a ocorr ncia dos picos de frequ ncias no intervalo de 11650 Hz a 11950 Hz 10 Estojo 1 Estojo 2 Estojo 3 Estojo 4 Estojo 5 N vel de Press o Sonora dB Hz 30 8000 9000 104 LIIO 12 10 13 10 14 10 1 5410 Frequ ncia Hz Fig 10 Espectros LTAs d
272. nort alertou que um dos honeypots havia sido comprometido Neste caso o ataque foi detectado e registrado conforme Figura 12 Este alerta do snort nos informou sobre uma tentativa de conex o SSH com um dos nossos honeypots A seguir apresentamos as informa es de cabe alho do primeiro pacote Figura 13 e O pacote foi capturado em 30 de abril s 14h16min 76 e O pacote foi enviado da porta 37492 da m quina 172 30 20 100 para porta 22 do honeypot 172 30 20 21 e Esse pacote encapsula o protocolo TCP com TTL Time to Live 64 TOS Type of Service igual a zero ID 19439 e comprimento de cabecalho IP de 20 bytes e N mero de segi ncia OxA834A7ED n mero de confirma o Ack 0xC8892E29 Win tamanho da janela OxES e TcpLen Comprimento de cabe alho TCP 32 bytes e As op es TCP com dois NOPs e um TS timestamp Para obter informa es detalhadas sobre os pacotes enviados analisamos os dados que foram detectados no payload do pacote Conforme a Figura 14 confirmamos que o intruso realizou um ataque de for a bruta atrav s da ferramenta Medusa no servi o SSH Ainda no mesmo dia s 14h 35min recebemos outro alerta referente a uma conex o FTP no mesmo honeypot Figura 15 Verificamos que a conex o foi feita da mesma m quina que realizou o ataque anterior Este alerta do snort nos informou que a m quina 172 30 20 100 38237 estava tentando realizar uma conex o FTP com o honeypot 172 30 20 21 21
273. novas v timas disparo de envio de Cria o dos IOC s dos malwares identificados e mails em massa e ataques de nega o de servi os Dessa forma deve se listar as portas abertas em modo listening do protocolo TCP e verificar quais portas s o consideradas como suspeitas As informa es coletadas na pr an lise pode ajudar a identifica o destas portas suspeitas pois caso a m quina em an lise seja um servidor FTP a porta 21 estar marcada como normal por m caso estas informa es n o sejam co nhecidas previamente deve se considerar as portas que n o pertencem ao funcionamento normal do sistema operacional como anomalias a serem correlacionadas na fase apropriada Al m disso deve se realizar uma verifica o do IP s de destino de conex o com uma blacklist de IP s maliciosos E por fim verifique se existem interfaces de rede em modo prom scuo quais processos est o fazendo uso das conex es de rede e se estes deveriam fazer uso deste recurso E Busca por inje o de c digo As t cnicas usadas nesta etapa deve ser capaz de identificar as assinaturas de inje o de c digo tais como a inje o 65 www ICoFCS org 2015 de DLLs verificando reas de mem ria marcadas como READ WRITE EXECUTE Al m disso deve ser capaz de verificar se existem Hollow Process esta t cnica esta descrita na se o III F Busca por hooks O objetivo dessa etapa identificar os artefatos que usam t cnicas avan ada
274. nt threat Journal of Chemical and Pharmaceutical Research 6 7 572 576 2014 Boyun Zhang Jianping Yin and Jingbo Hao Using fuzzy pattern recognition to detect unknown malicious executables code In Fuzzy Systems and Knowledge Discovery pages 629 634 Springer 2005 Windows www ICoFCS org 2015 DOI 10 5769 C2015009 or http dx doi org 10 5769 C2015009 Desenvolvimento de um Ambiente Honeynet Virtual para Aplica o Governamental Gild sio Antonio de Oliveira J nior Rafael Tim teo de Sousa J nior e Danilo Fernandes Ten rio Departamento de Engenharia El trica Universidade de Bras lia UnB Campus Universit rio Darcy Ribeiro Asa Norte 70910 900 Bras lia DF Brasil jrgildasio oi com br Resumo Constitui uma pr tica comum aplicar t cnicas de detec o de intrusos para detectar tr fego malicioso Por conta do extenso n mero de vulnerabilidades em sistemas de informa o e da grande criatividade dos invasores torna se cada vez mais necess rio atualizar permanentemente as t cnicas de detec o utilizadas Portanto crucial operacionalizar um ambiente cibern tico que propositadamente esteja preparado para ser invadido e comprometido com a finalidade de permitir ao profissional de seguran a analisar e verificar a evolu o dos diversos tipos de ataques e vulnerabilidades exploradas por invasores Este trabalho apresenta uma solu o de seguran a projetada especificamente para a pesquisa
275. nt using invisible text watermarking Computers in Human Behavior 2014 14 J Cummins P Diskin e S Lau Steganography and Watermarking The University of Birmingham 2004 15 D Huang e H Yan Interword Distance Changes Represented by Sine Waves for Watermarking Text Images Transactions on Circuits and Systems for Video Technology IEEE Vol 11 NO 12 2001 16 H Lu et al A New Chinese Text Digital Watermarking for Copyright Protecting Word Document International Conference on Communication and Mobile Computing 2009 17 H Y Kim e J Mayer Data Hiding for Binary Documents Robust to Print Scan Photocopy and Geometric Distortions Computer Graphics and Image Processing 2007 18 A L Varna S Rane e A Vetro Data Hiding in Hard Copy Text Documents Robust to Print Scan and Photocopy Operations ICASSP 2009 19 Q Chen et al Word Text Watermarking for IP Protection and Tamper Localization IEEE 2011 Felippe Pires Ferreira Departamento de Engenharia El trica Universidade de Bras lia Bras lia DF Brasil E mail felippe_pires yahoo com br 21 www ICoFCS org 2015 DOI 10 5769 C2015003 or http dx doi org 10 5769 C2015003 M todo para An lise Ac stica e Reconhecimento de Vogais em Exames de Comparacao de Locutores Andr a Alves Guimaraes Dresch Hugo Vieira Neto Andr Eug nio Lazzaretti e Rubens Alexandre de Faria Resumo Exames de Comparac o Forense de Locutores apre sentam carac
276. ntegridade por meio de algoritmo propriet rio que atesta unicamente a ocorr ncia ou n o de adultera o nos arquivos e n o que eles correspondem totalidade das grava es coletadas durante o per odo de intercepta o Desse cen rio constata se a exist ncia de dois conjuntos de informa es armazenadas em locais distintos Para que se cumpra o requisitado pela Autoridade Judicial necess rio que se integre estes dois conjuntos de dados formando um todo v lido O primeiro conjunto de informa es s o os arquivos de udio armazenados no disco r gido externo Este conjunto de udio tecnicamente ntegro ou seja os udios que ali est o n o foram adulterados conforme atestado pelo algoritmo de verifica o de integridade O segundo conjunto de informa es s o os registros de dados sem os udios relativos a toda opera o que est armazenado dentro do Sistema Guardi o Para determinar se os udios do disco r gido externo e dos DVDs correspondem aos udios da opera o de intercepta o deve se relacionar esses arquivos de udio com os registros de dados presentes dentro do Sistema Guardi o Tais registros de dados armazenados no Guardi o correspondentes s tr s intercepta es telef nicas periciadas compreendem aproximadamente 600 000 linhas de informa o organizadas em aproximadamente 12 000 p ginas de relat rio Como pode se notar o processo de compara o de dados custoso e exige
277. ntender o Ciberterrorismo a n vel social enquanto parte das mudan as que vem ocorrendo desde a Revolu o Informacional Igualmente se nos basearmos em uma concep o construtivista de mundo para a qual 1 o mundo constitu do parcialmente por nossas cren as e ideias sobre ele 2 nosso conhecimento de mundo socialmente constru do e mantido e 3 h uma importante din mica de intera es entre o mundo das ideias e o das coisas de tal maneira que nossas ideias e realidades sociais s o moldadas refor adas e impactadas uma na outra o debate passa a se focar mais em como o conceito constru do e produzido socialmente do que em sua defini o com caracter sticas per se 5 De qualquer forma parece que a nivel pr tico Weimann 6 um autor que consegue elucidar de forma precisa o que vem ocorrendo atualmente 7 Em outras palavras ele explica que o uso de computadores feito por terroristas serve principalmente como um facilitador de suas atividades seja para propaganda recrutamento difama o de comunica es ou outros prop sitos que n o simplesmente o Ciberterrorismo Ademais Weimann 8 coloca em pauta que h uma confus o entre atividades de hacktivismo e Ciberterrorismo fazendo com que atos menores tomem propor es maiores atrav s da m dia Todavia Weimann ressalta que mesmo assim o hacktivismo real a a amea a do Ciberterrorismo uma vez que os terroristas podem se utilizar dos c
278. nto chave do estudo de Goncharov 12 a descri o do alto n vel de especializa o de muitas partes do mercado de crime cibern tico russo O relat rio analisado deixa claro que um hacker com uma boa cadeia de relacionamentos e contatos n o precisa mais criar todas as suas armas cibern ticas Tais armas simplesmente podem ser compradas de outro hacker ou se pode alugar uma plataforma de nega o de servi o ou terceirizar determinadas fun es Nesse mercado existem especialistas para qualquer tipo de atividade no espa o cibern tico incluindo cifrac o ataques de nega o distribu dos redirecionamento de tr fico servi os de Pay Per Install Pague por instala o de malware entre outros O estudo ainda apontou que houve deprecia o em valores de acordo com o tipo de servi o Por exemplo a Tabela II aponta que no caso do furto de cart es de cr dito em v rios pa ses o pre o unit rio encontra se em queda desde 2011 TABELA II PRE O US PARA DADOS DE CART ES DE CR DITOS FURTADOS FONTE TREND MICRO 12 ReinoUnido 7 Le Estados Unidos 3 1 1 No que se refere a contas de servicos de e mails e redes sociais conforme dados da Tabela III o estudo aponta que o pre o m dio de sequestro de contas est em decl nio De maneira geral os dados mostram que dependendo do tipo de atividade o custo tem diminu do em fun o do aumento da oferta por esses servi os no mercado russo T
279. ntr rio das vogais durante a produc o de uma consoante o fluxo de ar egresso dos pulm es sofre obstru o total ou parcial Assim em decorr ncia do tipo de obstru o as consoantes podem ser plosivas ou oclusivas exemplos p t e g em pato e gato fricativas exemplos f em foka foca s em sapo em Sato chato africadas exemplo tf em tfia tia nasais exemplos m em mato e n em sono sonho laterais 1 em late tepes exemplo r em caro caro e vibrantes exemplo f em caro carro 13 16 Outra classifica o diz respeito ao ponto da articula o bilabial labiodental dental alveolar alveopalatal palatal velar ou glotal As consoantes ainda podem ser vozeadas ou desvozeadas sendo que na an lise espectral de conso www ICoFCS org 2015 antes com mesmo ponto e modo de articulac o como por exemplo f e v de faca e vaca a diferenca pode ser observada atrav s da barra de vozeamento para o v C Frequ ncia fundamental Estimadores de frequ ncia fundamental procuram o compo nente frequencial que se sobressai em um trecho do sinal valor que dever ser equivalente ao per odo entre pulsos gl ticos Duas abordagens bastante utilizadas s o a autocorrela o e a an lise cepstral Neste trabalho optou se pelo m todo de autocorrela o por se mostrar mais robusto presen a de ru do 19 O algoritmo na
280. nvolvimento de um software pericial espec fico para atender a essas demandas Tal software foi utilizado nas tr s per cias e est pronto para ser usado e ou adaptado para outros casos semelhantes que demandem os mesmos tipos de an lise nos artefatos digitais produzidos pelos sistemas de intercepta o telef nica Palavras Chave Intercepta es telef nicas Sistema Guardi o Sistema Vigia Software Pericial Abstract This article presents the forensics work done in three cases involving phone calls interceptions It s discussed the operational and technical aspects of the interception done by the Vigia and Guardiao systems These systems produce a huge amount of digital artifacts that has been questioned regarding their integrity and integrality The defense also discuss the principle of weapons parity claiming that they don t have the same analysis resources that the accusatory part From these questionings involving a great amount of data comes the necessity to develop a forensics software specially designed for this task This software was used in the three cases and is available to be used or adapted for other cases where there is similar digital artifacts generated by phone call interception systems Keywords Phone Calls Interceptions Guardi o System Vigia System Forensic Expert Software L INTRODU O A intercepta o de comunica o telef nica uma opera o que se constitui na interfer ncia de um terce
281. o no qual foi aplicado e verificado os resultados dos instrumentos e procedimentos descritos na fase de testes Tanto na fase de testes como na de estudo de caso foram colhidos os dados de tr fegos de redes os quais foram filtrados e analisados Por fim s o apresentados os resultados dessas an lises A Instrumentos e procedimentos O perito deve coletar e analisar um conjunto de vest gios relacionados ao caso investigado No caso espec fico de investiga o em ambiente de jogos online onde se busca a identificac o do autor atrav s do endereco de IP utilizado por ele o m todo de trabalho mostrado na Figura 5 sugerido para a realiza o de coleta e an lise de dados de tr fegos de rede Coletar os dados de tr fego In cio Preparar o ambiente de coleta Preparar o ambiente de coleta de v deo Preparar o ambiente de coleta de tr fego de rede Analisar os dados coletados Pesquisar os IPs no log Filtrar os endere os IPs Consultar dados de localiza o dos IPs Elaborar o laudo Localizar o alvo no ambiente do jogo Interagir com o alvo no jogo Finalizar a coleta de dados da rede Finalizar a grava o de v deo Fig 5 Vis o geral das fases de investiga o e coleta de dados de tr fego de rede para jogos online O m todo apresentado consiste em 3 fases principais quais sejam 1 preparar o ambiente de coleta 2 coletar os dados de tr fego 3 anal
282. o saiba al m do endere o IP o momento exato que uma atividade il cita ocorreu 11 Assim os IPs descobertos durante uma investiga o est o vinculados aos ISPs os quais podem ter sido utilizados por algum de seus clientes Nesse caso necess rio solicitar ao ISP qual o cliente que utilizava o endere o IP no dia e hora especificados Essa solicita o muitas vezes feita atrav s de 55 www ICoFCS org 2015 mandado judicial 8 e que algumas vezes precedida de uma requisi o cautelar para preservar os dados de logs Da mesma forma pode se fazer uma solicita o para o provedor de aplica o para que o mesmo forne a os logs de utiliza o de seus servi os Assim o provedor de aplica o pode fornecer os dados do usu rio de seus servi os como o IP e data e hora de utiliza o 1 1 1 ne gt a MEN HER Provedor de Aplica o Provedor de Conex o Estabelecimento Servico na Internet Acesso Internet Privado ou P blico 1 i LULAS Solicita o Endere os IPs Dados do Usu rio Registros de Cautelar Data e Hora Endere o de Cadastro Acessos Endere o de Instala o H N N i Ordem Judicial E A gt E Dados do Cadastro do Usu rio Autor Fig 4 Passos para verificar identificar o IP da conex o utilizada por um usu rio Na Figura 4 ilustrado o fluxo de informa es fornecidas pelos provedores de apl
283. o 67 Tamanho 27 Contenido 5561848161120s whatsapp net Campo key from me Tipo 9 Tamanho 0 Conte do 1 Campo key_id Tipo 37 Tamanho 12 Conteudo 1430183690 6 Campo status Tipo 1 Tamanho 1 Conteudo 4 Campo needs_push Tipo 8 Tamanho Conteudo Campo data Tipo 33 Tamanho 10 Contelido Mensagem 6 Campo timestamp Tipo 5 Tamanho 6 Contelido 1430185259494 27 04 2015 22 40 59 Campo media_url Tipo 0 Tamanho 0 Conte do 0 Fig 18 Exemplo de trecho de mensagem recuperada da rea n o alocada freespace Varrendo Free BLOCK de 3723 byte s localizado no offset 8206 Buscando celula de mensagem WhatsApp Offset 12033 Tamanho 104 lt inicio gt lt fim gt lt inicio em HEX gt 4309250108210500000F080000000308080800000501050100000008 0035353631383438313631313240732E77686174736170702E6E6574 313432393937303138352D32044D656E736167656D2032014CF0E5BF 4830014CF0E4D3D5FF0O14CFOE5CBBOFF66021F00 lt fim gt 1 Campo id Tipo 0 Tamanho Conteudo 2 Campo key remote jid Tipo 67 Tamanho 27 Contenido 5561848161120s whatsapp net Campo key from me Tipo 9 Tamanho 0 Conte do 1 Campo key id Tipo 37 Tamanho 12 Conte do 1429970185 2 Campo status Tipo 1 Tamanho 1 Conteudo 4 Campo needs push Tipo 8 Tamanho 0 Conte do O Campo data Tipo 33 Tamanho 10 Contelido Mensagem 2 Campo timestamp Tipo 5 Tamanho 6 Contelido 1429970730824 25 04 2015 11 05 30 Campo media_url Tipo Tamanho Conteudo Campo media mime type Tipo 0 Ta
284. o a irregularidades na inscrig o por m a URL citada na suposta mensagem do ENEM levava o usu rio a executar inadivertidamente um malware Assuntos como imposto de renda deram origem a fraudes contendo falsos documentos Algumas campanhas fraudulentas apresentam se regular mente durante todo o ano Fraudes relacionadas a bancos s o enviadas cotidianamente solicitando atualiza es e reca dastramentos para que supostamente n o ocorra bloqueio da conta ou indisponibiliza o de servicos Fraudes associadas a comprovantes boletos notas fiscais faturas pedidos de or amento est o relacionadas em sua maioria com arquivos maliciosos Essas fraudes que se repetem ao longo do ano possuem maiores chances de ludibriar a v tima por retratar assuntos comuns de forma simples e de interesse pessoal V BENEF CIOS DO CAT LOGO 7 O Cat logo de fraudes uma importante contribui o da RNP tanto para a comunidade acad mica como tamb m co munidade brasileira em geral As fraudes ali catalogadas por serem rigorosamente analisadas s o uma fonte confi vel de informa es sobre fraudes eletr nicas brasileiras Os usu rios em geral podem fazer uso dessas informa es para consultar por per odo identificar campanhas de fraudes e tamb m comparar o texto e imagem das mensagens recebidas com fraudes conhecidas Como consequ ncia do trabalho com as fraudes eletr nicas alguns guias de boas pr ticas respostas para perguntas f
285. o de v rios par metros na consulta Como cada consulta fornece informa es de apenas 500 contratos faz se necess ria a utiliza o do par metro offset O par metro offset corresponde quantidade de registros ignorados a partir do in cio da lista de resultados ordenados pelo ID Suspeitando se que a modalidade da licita o pudesse influenciar no n mero de contratos realizados com uma mesma empresa procurou se filtrar os dados por modalidade de licita o Para tal faz se necess ria a utiliza o do par metro modalidade O par metro modalidade corresponde ao c digo da modalidade de licita o Desta forma a API filtra os contratos por modalidade de licita o mediante a utiliza o das seguinte URLs http compras dados gov br contratos v1 contratos json mo dalidade 01 para contratos na modalidade Convite http compras dados gov br contratos v1 contratos json mo dalidade 02 para contratos na modalidade Tomada de Precos http compras dados gov br contratos v1 contratos json mo dalidade 03 para contratos na modalidade Concorr ncia http compras dados gov br contratos v1 contratos json mo dalidade 05 para contratos na modalidade Preg o http compras dados gov br contratos v1 contratos json mo dalidade 06 para contratos na modalidade Dispensa de Licitacao http compras dados gov br contratos v1 contratos json mo dalidade 07 para contratos na modalidade Inexigibilidade de Licitacao
286. o do c digo de verifica o Desta vez a entrada do c digo de verificac o no site da Motorola gerou uma mensagem eletr nica enviada ao usu rio do aparelho com o c digo de destravamento do bootloader conforme pode ser observado parcialmente na Figura 16 Here is the unique code to unlock the bootloader of your Motorola phone Unlock Code CUP WEAR Please follow the instructions here to unlock your bootloader Fig 16 Mensagem eletr nica retornando o c digo de destravamento O destravamento efetivado executando o comando fastboot oem unlock UNIQUE KEY sendo UNIQUE KEY o c digo retornado na mensagem de correio eletr nico Uma vez destravado a substitui o da parti o em si p de ser realizada tamb m utilizando o comando fastboot flash recovery recovery img O arquivo imagem compat vel com o XT1069 do TWRP utilizado neste experimento foi a twrp 2 8 6 0 titan img Por fim o telefone deve ser ligado novamente no modo recovery Ap s a conclus o das etapas com sucesso a tela do aparelho apresentou a interface da TWRP como ilustra a Figura 17 A op o de backup permte a realiza o do backup do aparelho que pode ser copiado para o computador atrav s do comando adb pull Entretanto o destravamento do bootloader acarretou o retorno do aparelho s configura es originais de f brica implicando na perda das informa es anteriormente presentes Team Win Recovery Project v2 8 6 0 IZ12PM Battery 75 CPU
287. o ficara em modo de espera durante o carregamento Permitir localiza es fict cias Fig 1 Ativa o da depura o USB D Senhas padr es e PIN Lock O Android fomece para o usu rio diversas maneiras de configurar o bloqueio de tela Algumas s o b sicas e teis apenas para o travamento do teclado J outras s o mais sofisticadas e permitem o desbloqueio da tela apenas para quem conhece a senha padr o ou Personal Identification Number PIN 11 O PIN essencialmente num rico e n o pode ser combinado com letras e outros caracteres Tamb m poss vel bloquear a tela por um padr o desenhando liga es entre pontos em uma matriz Outra forma usar uma senha tradicional combinando letras e n meros A Figura 2 a exibe a tela de desbloqueio por PIN A Figura 2 b exibe a tela de desbloqueio por padr o A Figura 2 c exibe a tela de desbloqueio por senha Fig 2 Bloqueios de tela Caso n o seja poss vel realizar o desbloqueio da tela somente chamadas de emerg ncia podem ser feitas Tamb m n o poss vel acessar a tela de configurac o do sistema Existem alguns aplicativos que tentam realizar a quebra do bloqueio de tela Por m eles s podem ser instalados se a op o de depura o USB estiver habilitada 38 www ICoFCS org 2015 E Particoes t picas Uma parti o uma divis o l gica de um dispositivo de armazenamento de dados Embora o fabricante do aparelho possa modifi
288. o filho mkdir X altera o no diret rio pai Remo o de arquivo rm altera o no diret rio pai Remo o de diret rio filho rm x rf altera o no diret rio pai C pia de arquivo cp na mesma parti o Arquivo na origem Arquivo no destino x X Diret rio de origem Diret rio de destino X C pia de arquivo cp em outra parti o Arquivo na origem Arquivo no destino X X C pia de arquivo cp a preservando atributos Arquivo na origem Arquivo no destino C pia de diret rio cp a preservando atributos Diret rio de origem Diret rio de destino C pia de diret rio cp r na mesma parti o Diret rio de origem Diret rio de destino Diret rio filho x xX x 82 Data de Data de Alterac o de Acesso Atributos X xX x x x X X X xX x X x Xx x x xX x Xx x Tabela 5 Linha de comando para manipula o IV CONCLUSOES Este artigo objetivou determinar o comportamento dos r tulos de tempo do sistema de arquivo HFS em diversos cen rios na plataforma OS X vers es Mavericks e Yosemite poss vel observar comportamentos semelhantes em alguns comandos executados pela interface gr fica e pela interface de linha de comando Entretanto nao poss vel afirmar isso em todos os casos visto que a implementac o da ac o pode executar instru es diferentes ou sequ ncias diferentes Um dos comportamentos semelhantes observados foi a execu o de compacta o e descompacta o utiliza
289. o pr vio de padr es estat sticos de contratos similares Como fonte de dados para o reconhecimento de padr es seriam utilizados os dados p blicos dispon veis na Internet disponibilizados pelo governo federal que elaborou uma ferramenta para isto Esta ferramenta conhecida como Portal Brasileiro de Dados Abertos apresenta no s tio www dados gov br informa es sobre conv nios compras governamentais e outros Os dados s o disponibilizados atrav s de APIs Application Programming Interfaces Para exemplificar a possibilidade de infer ncia estat stica nestes dados p blicos o artigo apresenta um estudo de caso mostrando os resultados obtidos mediante regress o linear e sua correspond ncia hip tese formulada No estudo de caso pretende se verificar se existe uma correla o entre o n mero de contratos celebrados por uma mesma unidade administrativa com uma mesma empresa e o n mero total de contratos desta unidade administrativa e se esta correla o varia de acordo com a modalidade de licita o A hip tese que como as licita es p blicas buscam celebrar o contrato mais vantajoso para a Uni o e para tal devem respeitar dentre outros os princ pios da moralidade e isonomia ent o o n mero total de contratos celebrados entre uma unidade administrativa e uma mesma empresa deveria supostamente ser proporcional ao n mero total de contratos celebrados por uma unidade administrativa preservando uma mesma
290. ocessos com nomes com grau de similaridade maior que 80 com relac o aos nomes dos processos do sistema operacional Para detectar processos ocultos hidden process foi utili zado O plugin psxview do Volatility pois este acessa a lista de processos da estrutura EPROCESS de maneiras diferentes tendo a capacidade de detectar um processo n o vinculado C An lise de DLLs e handles Para verificar os handles do tipo mutex muito usado pelos malwares foi utilizado o plugin mutantscan do Volatility Durante as an lises pode ser criada uma blacklist de mutex maliciosos Em 17 no ano 2014 foi apresentado que o mutex 2gvwnqjzl muito usado pelos malwares pois em todos os casos onde foi encontrado estava associado a um c digo malicioso A blacklist utilizada nesta implementa o est dispon vel no reposit rio do github Para verificar quais DLLs n o est o vinculadas foi utilizado o plugin ldrmodules do Volatility o qual percorre a lista de DLL de formas diferentes Foi usado o plugin dlllist do Volatility com o objetivo de listar as DLLs carregadas de cada processo e seu respectivo caminho no disco Assim www ICoFCS org 2015 foi poss vel realizar uma pesquisa no banco de dados para descobrir quais processos carregavam DLLs de conex o de rede winsock32 dll ws2 32 dll wininet dll e urlmon dll e com esse resultado poss vel verificar e marcar quais desse processos tipicamente n o fazem uso de conex es de rede
291. odifyDate R tulo de tempo de quando o volume foi modificado pela ltima vez backupDate R tulo de tempo de quando foi feito o ltimo backup do volume Deve ser atualizado por alguma aplicac o de backup e n o pelo sistema checkedDate R tulo de tempo de quando foi realizado a ultima verificac o de consist ncia no volume Tipica mente alterado na utilizac o de ferramentas de checagem de disco como Disk First Aid Registro de pasta no catalog file 7 createDate R tulo de tempo de quando a pasta foi criada Diferentemente da createDate do volume header essa data est armazenada em GMT contentModDate R tulo de tempo da ltima modifica o do conte do da pasta isto a ltima vez em que um arquivo ou pasta foi criado ou deletado dentro dessa pasta ou quando um arquivo ou pasta foi movido para outra pasta attributeModDate R tulo de tempo da ltima vez em que qualquer campo no registro de cat logo da pasta foi alterado accessDate R tulo de tempo em que o conte do da pasta foi lido pela ltima vez Criado para compatibilidade do Mac OS X com o POSIX tem o valor de zero quando criado pelo Mac OS tradicional backupDate R tulo de tempo de quando foi feito o ltimo backup da pasta Deve ser atualizado por alguma aplica o de backup e n o pelo sistema Registro de arquivos no Catalog File 7 createDate R tulo de tempo de quando o arquivo foi criado Diferentemente da crea
292. of complexity Thus the traditional tools of threats detection are becoming less efficient because they use mainly signature based detection This work proposes a automatable methodology of unknown malware detection ie those that were not detected by traditional tools The Maldetect methodology presented in this paper collects and correlates typical behavioral characteristics of malicious code and is independent of operating system A so called Maldetect Tool that automates the proposed methodology was built using Python and PHP programming languages From the dump of volatile memory Maldetect Tool generates a report containing the processes that perform more typical activities of malware The Maldetect Tool analyzed in an automated approach memory dumps from infected machines and was able to detect malicious artifact from the analysis of volatile memory Keywords Forensics memory analysis unknown malwares detect volatility maldetect I INTRODUCAO O cen rio de ataques cibern ticos acompanha a moderniza o das ferramentas de detec o e remo o o que os tornam cada vez mais complexos A ind stria de antiv rus AV tem se demonstrado ineficiente contra amea as avan adas principalmente por utilizar detec o baseada em assinaturas Este tipo de detec o facilmente burlado com t cnicas de polimorfismos e metamorfismo 2 Apesar disso o AV ainda possui seu espa o no arsenal de seguran a da informa o Leandro Sil
293. ogos online e definiu se uma metodologia para a investiga o de crimes nesse mesmo ambiente A metodologia proposta baseada na an lise de tr fego de redes e na identifica o de endere os IP foi aplicada em um estudo de caso real no qual foi poss vel estabelecer com sucesso a autoria do crime Palavras Chave crimes cibern ticos an lise de tr fego de redes jogos online Abstract Online games over the Internet have been increasingly used to aid or commit crimes such as child exploitation racism slander defamation and crime association In addition crimes committed offline such as theft can present unexpected traces in the online world In this work we carried out an exploratory study of an online gaming environment and set up a methodology for the investigation of crimes in such environments The proposed methodology based on network traffic analysis and identification of IP addresses was applied in a real case study in which it was possible to successfully establish the authorship of the crime Keywords cyber crime network traffic analysis online games I INTRODU O A an lise de tr fego de redes uma atividade que consiste no uso de hardware e software para a coleta e an lise do tr fego de mensagens de protocolos de rede como o TCP UDP e IP geralmente realizada por administradores de redes para detectar anomalias na rede encontrar pontos de bloqueios na rede descobrir equipamentos e cabeam
294. olicial A se o IV descrever alguns trabalhos que serviram de direcionamento para construc o da t cnica do artigo A sec o V descrever a t cnica proposta atrav s de esquemas e algoritmos ressaltando as condi es em que a t cnica aplicada Na se o VI ser o apresentados os resultados obtidos com a inser o de watermark de tamanhos diferentes digitaliza es de texto com diferentes configura es e a qualidade de duas imagens registradas por c meras de smartphones e posteriormente realizada a an lise dos resultados destacando as principais diferen as dos textos com varia es nos tamanhos da watermark e os suportes em que se encontram al m da comparac o entre a t cnica proposta e m todos presentes na literatura Por fim a sec o VII apresenta a conclus o da pesquisa e expectativas para trabalhos futuros WATERMARKING EM DOCUMENTOS TEXTUAIS Al m de aplica o em arquivos de imagens udios e v deos outra aplica o deste elemento de seguran a s o os documentos textuais Diferentes t cnicas de aplica o de watermarks foram criadas e agrupadas em quatro principais categorias 7 a Baseada em Imagem Nesta t cnica o texto tratado como imagem sendo comparados aspectos visuais da composi o do texto como alinhamento espa amento caracteres etc 8 Sint tica Consiste em utilizar aspectos caracter sticos de uma linguagem como substantivos verbos artigos proposi es etc A
295. or realmente o Ciberterrorismo e de como evoluir o debate conceitual sobre ele um pa s hoje deve atentar para 1 atividades hacktivistas em suas redes uma vez que elas podem ser o caminho das pedras para ataques mais perigosos 2 abrang ncia da narrativa terrorista a qual incita a radicaliza o e pode proporcionar a participa o de estrangeiros em causas terroristas e 3 medidas contra a narrativa terrorista que n o causem p nico popula o nem prejudiquem o abertura democr tica da internet Tendo isso em mente na pr xima se o adentramos para as especificidades de um pa s que n o v o terrorismo como uma realidade pr xima e assim consequentemente tem que superar alguns desafios se quiser proporcionar um n vel de seguran a excelente durante o Rio 2016 III DESAFIOS PARA O BRASIL O Brasil ja sediou de forma exitosa os Jogos Mundiais Militares em 2011 a R10 20 em 2012 a Jornada Mundial da Juventude com a presen a de Sua Santidade o Papa Francisco a Copa das Confedera es em 2013 e mais recentemente a Copa do Mundo em 2014 Contudo em que pese experi ncia que o pa s adquiriu quanto seguran a em grandes eventos algumas quest es ainda merecem aten o para o R1016 sendo uma delas o terrorismo e mais especificamente o Ciberterrorismo Uma vez que o pa s est em evid ncia internacional como anfitri o de grandes eventos e dada sua extens o assegurar a seguran a das Infraestruturas Cr
296. ormalmente por m com as configura es originais de f brica Todos os aplicativos mstalados contatos hist ricos e mensagens se perderam Esta uma hip tese que deve ser levada em considera o na decis o do perito em fazer ou n o a substitui o da parti o recovery Embora isto n o prejudique a an lise pericial em si uma vez que os dados j tinham sido copiados para a m quina ap s o procedimento de substitui o o celular pode se tornar inoperantese o sistema Android instalado for incompat vel com a nova parti o recovery E a maneira encontrada neste trabalho para deixar o celular utiliz vel novamente envolve a restaura o da imagem original do Android o que leva perda dos dados do aparelho B Resultados para o LG Optimus 3D P920h Conforme apresentado na se o I D a substitui o da partic o recovery foi realizada o que permitiu a inicializac o do aparelho no modo recovery com o ClockworkMod e a subsequente extra o de dados via adb pull conectando se ao aparelho atrav s do comando adb shell A partir dai todos os arquivos da partic o de dados puderam ser copiados para a maquina do examinador C Resultados para o Motorola Moto G Dual SIM XT1033 No experimento realizado com o XT1033 o boot loader estava travado Para fazer esta verificac o o aparelho foi ligado no modo fastboot pressionando simultaneamente as teclas Volume e Power com o aparelho desligado por 3 segundos As
297. oroughly studied the solution in the case of irregular polygons is resorting to ray tracing Ray tracing may become complex depending on the nature and number of polygons and the computational load can easily grow if the system needs to ensure proper location for a large number of users However since such calculations can be performed in a centralized authentication structure large computational capacity can be provided As an example application let us consider that a cellular system is divided into switching centers and each switching www ICoFCS org 2015 o Unauthorized Authorized User User Figure 3 Example of border control via user localization center is divided into location areas used for location of mobile terminals when a mobile terminating call is presented to the cellular system Each mobile terminal has some iden tities e g International Mobile Subscriber Identity IMSI and Temporary MSI TMSIJ There is an association between location and security functions since for each Location Area LA there is an assignment of a TMSI In this sense for each LA transition that occurs during the terminal movement a new TMSI is assigned Thus it is possible to reduce the area to be searched for localization purposes limiting the search to cells included in the current LA B Verification of Movement Speed In networks that are not encrypted the problem of spoofing 1 e when a user pretending to be someone
298. pias possibilita o rastreio da informa o e a responsabiliza o do poss vel agente causador do vazamento Uma das medidas seria a Introdu o de watermarking na produ o de c pias de documentos imagens e grava es a fim de garantir a autenticidade integridade e controle de c pia 5 No entanto o acesso ao material que foi alvo de vazamento n o est dispon vel s autoridades apenas o material original porque s o divulgados em ve culos de comunica o como jornais e Internet portanto os arquivos eletr nicos n o est o disposi o para que sejam analisados Logo preciso criar uma watermarking que possa ser recuper vel nestes cen rios TRABALHOS CORRELATOS Alguns trabalhos utilizavam aspectos estruturais do texto ou dos caracteres para criarem as marcas d guas Diferentes abordagens para cria o de watermark relacionados s caracter sticas do texto foram encontradas a Watermark criado atrav s das caracter sticas espec ficas dos documentos produzidos no software Microsoft Word Cada par grafo palavra ou letra s o tratados como objetos possuindo propriedades as quais possuem atributos especiais em que s o poss veis esconder informa es Desta forma permite que o texto possa ser distribu do pela Internet mas ainda manter o mecanismo de controle de c pia dentro do documento 12 Watermarking baseado na frequ ncia das letras em senten as escolhidas Para cada senten a criada um
299. picas de rootkits e outros tipos de malwa res 18 Al m disso a an lise de mem ria permite reconstruir o estado original do sistema quais arquivos est o sendo aces sados as conex es de redes que foram abertas dentre outros dados relevantes para a identifica o de c digo malicioso 11 Dessa forma este trabalho prop e uma metodologia auto matiz vel de an lise de mem ria vol til denominada Malde tect Esta capaz de coletar carater sticas comportamentais e correlacionar as informa es de forma a identificar quais s o os processos candidatos a malware Al m da metodologia apresentada uma implementa o da Maldetect que automatiza a an lise do dump de mem ria vol til do sistema operacional Window 7 bem como os resultados obtidos dessa an lise Este trabalho est organizado da seguinte forma a se o H descreve os trabalho relacionados e mostra algumas solu es de automatiza o de an lise de mem ria vol til que j foram propostas A se o seguinte apresenta tr s metodologias de an lise de mem ria para detec o de artefatos maliciosos A se o IV descreve a ferramenta Volatility usada para implementa o da automatiza o da Maldetect A se o V detalha as fases da metodologia Maldetect para detec o de malwares desconhecidos a partir da an lise do dump de mem ria vol til A se o VI descreve as t cnicas utilizadas na constru o de uma ferramenta que implementa a metodologia Maldetec
300. presentado permite recupera o de mensagens apagadas do aplicativo WhatsApp cujo armazenamento se d em base de dados utilizando sistema gerenciador de banco de dados SQLite dispon vel na plataforma Android 3 46 O presente trabalho inicia com a an lise de caracter sticas do aplicativo WhatsApp e do sistema gerenciador de banco de dados SOLite Em seguida s o apresentados detalhes de interesse forense incluindo an lise das estruturas internas da base de dados envolvidas no processo de apagamento e recuperac o de mensagens Ao final detalhado o algoritmo de recuperac o de mensagens construido com base no m todo apresentado II MATERIAIS E M TODOS Para o estudo foi utilizado ambiente Android emulado Android SDK for x86 Android 3 1 Lollipop Kernel 3 4 67 digit tyrion par corp google com 3 Build sdk phone x86 eng 5 1 LKY45 1737576 possibilitando acesso irrestrito ao sistema de arquivos da mem ria interna Para constru o da base SQLite de exame foi ativada conta no aplicativo WhatsApp de testes no dispositivo emulado e foram enviadas mensagens no formato Mensagem com cen rios de dele o individual ou de v rias mensagens simult neas A an lise da estrutura interna dos arquivos SQLite foi realizada mediante uso do software FTK Imager vers o 3 2 0 0 4 Detalhamento do m todo de recuperac o desenvolvido est descrito nos itens IV e V HI REFERENCIAL TE RICO Nesta se o s
301. ptables no honeywall em var log iptables O terceiro teste referente ao requisito de captura de dados teve como objetivo verificar se a base de assinaturas do snort no honeywall estava atualizada e configurada para detectar ataques Primeiro foi feito um portscan com o nmap da m quina atacante 172 30 20 100 para o honeypot WEB 172 30 20 25 com a finalidade de sondar e verificar quais eram os servi os que estavam sendo executados no honeypot Figura 5 root preto nmap 172 30 20 25 Starting Nmap 6 00 http mmap org at 2015 04 27 12 25 BRT map scan report for 172 30 20 25 ost is up 0 0011s latency ot shown 997 closed ports STATE SERVICE VERS ION 22 tcp open ssh OpenSSH 6 0p1 Debian 4 protocol 2 0 ssh hostkey 1024 18 9f a3 86 0c a6 b6 07 06 72 ba 2f 99 07 d9 35 DSA 2048 36 d4 50 12 76 03 63 2c 55 92 05 c3 d6 03 fc 0b CRSA B0 tcp open http Apache httpd 2 2 22 Debian http title Site doesn t have a title text html 111 tcp open rpcbind rpcbind VZ 4 2 4 rpc 100000 rpcinfo program version 100000 2 3 4 100000 2 3 4 service rpcbind rpcbind status status port proto 111 tcp 111 udp 35208 tcp 50925 udp 100024 1 100024 1 AC Address 9E 16 D6 C6 E4 49 Unknown Fig 5 Ataque portscan com nmap no Honeypot WEB Este ataque mostrou vide Figura 5 que o Honeypot WEB estava executando os seguintes servicos OpenSSH 6 0p1 porta 22 tcp Apache httpd 2 2 22 porta
302. que altera a funcionalidade do recurso e assim por diante Al m disso uma falha explor vel dentro de uma janela de oportunidade que vari vel HI O que determina um mercado comercial basicamente a lei da oferta e da demanda No espa o cibern tico existem diversas fontes relacionadas negocia o de exploits seja na forma de com rcio entre pessoas entre empresas e pessoas entre empresas entre empresas e governo Isto vari vel e normalmente dependente da necessidade de cada um que esteja envolvido em tal processo LEVANTAMENTO SOBRE MERCADO DE EXPLOITS O fato que existe tal mercado Muitas vezes ele considerado legal uma vez que existe a negocia o licita dentro do que rege a lei sendo negociado a cifras elevadas por entidades e governos Entretanto ele tamb m pode se caracterizar como ilegal em muitos aspectos j que h tamb m produtos adquiridos por meio de f runs eletr nicos sem nenhum tipo de controle e com as mais variadas formas de pagamento inclusive relacionadas a atividades de crimes cibern ticos encontrando se at mesmo definidos na legisla o em diversos pa ses Diante dessa situa o caracteriza se como uma necessidade social o estabelecimento de processos e t cnicas forenses relativas a tais ambientes O mercado de exploits incentivado pelo descobrimento de falhas de seguran a em sistemas computacionais que n o s o reportadas ao fabricante desses sistemas para a
303. que os mesmos se deem de forma segura em territ rio nacional Assim quest es como o Ciberterrorismo ainda que parecam longe da realidade brasileira devem ser levadas em considerac o Desta forma o presente artigo apresenta os desafios para as quais o Brasil deve atentar em prol de proteger o pa s durante o grande evento em 2016 Palavras Chave Ciberterrorismo Brasil Rio 2016 Abstract Being the country that will host the Olympic Games in 2016 Brazil has the responsibility to prepare itself to guarantee the safety of the games within national territory Thus issues such as Cyberterrorism even though appearing to be far from the Brazilian reality Should be taken into consideration Therefore this paper presents the challenges for which Brazil should pay attention for the sake of protecting the country while hosting the big event in 2016 Keywords Cyberterrorism Brazil Rio 2016 I INTRODUCAO Com as organiza es terroristas utilizando se cada vez mais do ciberespa o para espalhar sua narrativa e com o crescente entrela amento das Infraestruturas Cr ticas dos Estados aos meios tecnol gicos o temor do Ciberterrorismo ronda diversos pa ses ao redor do mundo Contudo sem uma acordada defini o internacional sobre os efeitos e caracter sticas do que venha a ser esse tipo de terrorismo proteger se do mesmo se torna uma tarefa dificil e trabalhosa que envolve n o somente prepara o mas estudos acerca de sua
304. quivalentes a cada vogal ou grupo de vogal em fun o de suas classifica es relativas anterioridade e altura Al m dos valores de Fo Fi e F gt o intuito futuramente acrescentar outras dimens es para an lise tais como a banda de cada formante e a varia o de seus valores no decorrer da produ o de um fonema necess ria ainda a realiza o de experimentos com di ferentes dura es de fala exclusiva de um mesmo falante para determina o da m nima dura o a fim de se evidenciar graficamente o padr o form ntico Para tais ensaios ser o utilizados os corpora Spoltech e C ORAL Tamb m importante permitir formas de valida o dos resultados como a possibilidade de treinamento ou de partici onamento de uma amostra de udio para verificar a coer ncia entre os resultados obtidos para cada segmento O mecanismo desenvolvido deve propiciar an lises de varia es intra e inter sujeito important ssimas de serem diferenciadas em exames de CL permitindo que o examinador exclua elementos n o serv veis isto que tenham grande varia o intra sujeito Posteriormente tais c digos ser o migrados para rotinas do Praat ou outra linguagem que permita que todos os pacotes programados estejam em plataforma de software livre A finaliza o de um ambiente de testes requer ainda que o exami nador possa salvar um projeto com configura es realizadas e a disponibiliza o de relat rios com as rotinas
305. r o ambiente TABELA IV M QUINAS VIRTUAIS E SUAS CONFIGURA ES M quinas Virtuais Configura o Honeywall Honeypot DNS Honeypot NTP Honeypot FTP Honeypot WEB Honeypot XP 13 Processador com 2 n cleos 2 GB de mem ria RAM 200 GB de HD e 3 interfaces virtuais de rede eth0 ethl e eth2 Vers o Roo 1 4 baseado no Sistema Operacional CentOS release 5 final com os servi os snort iptables e sebek 3 0 3 6 Processador com 1 n cleo 512 MB de mem ria RAM 8 GB de HD e uma interface virtual de rede eth0 Sistema Operacional Linux Kali 1 0 9 com ferramentas para testes de penetra o e forense digital Processador com 1 n cleo 512 MB de mem ria RAM 8 GB de HD e uma interface virtual de rede eth0 Sistema Operacional Linux Debian Wheezy 7 2 com os servi os bind9 ntpdate e OpenSSH 6 0 p1 Processador com 1 n cleo 512 MB de mem ria RAM 8 GB de HD e uma interface virtual de rede eth0 Sistema Operacional Linux Debian Wheezy 7 2 com os servicos ntp 4 2 6 p5 e OpenSSH 6 0 p1 Processador com 1 n cleo 512 MB de mem ria RAM 8 GB de HD e uma interface virtual de rede eth0 Sistema Operacional Linux Debian Wheezy 7 2 com os servi os proftpd 1 3 4a ntpdate e OpenSSH 6 0 pl Processador com 1 n cleo 512 MB de mem ria RAM 8 GB de HD e uma interface virtual de rede eth0 Sistema Operacional Linux Debian Wheezy 7 2 com os servi os apache2 2 22 php5 5 4 4 14 mysql server 5 5 31 ntpdate e OpenSSH
306. r que em alguns jogos a quantidade de IPs ultrapassa o n mero m ximo de jogadores em cada partida 12 jogadores devido ao fato de durante o jogo alguns jogadores deixarem a partida e outros entrarem em seus lugares Em seguida foi realizado um cruzamento de dados para verificar qual IP ou qual par provedor cidade se mantinha constante nos tr s jogos Foi necess rio analisar o par provedor cidade e n o somente o IP pois como a maioria dos acessos dom sticos a nternet utilizam alocac o din mica de IP possivel que o IP de um determinado jogador tenha sido trocado entre os tr s jogos analisados principalmente nos que ocorreram em dias distintos Uma das consultas de localiza o foi atrav s do geoiplookup utilizando os comandos do Quadro 4 cujo resultado da execuc o dos comandos s o duas colunas com o endereco IP e os dados de localizac o QUADRO 4 COMANDOS DE CONSULTAS DE LOCALIZA O DE ENDERE OS IPS for i in cat lista ips uniq txt do r geoiplookup i echo i Sr lt 17 138 229 AL O 41 254 5 80 118 68 AD LDL IJe os oes 39a Pee Y 1 174 20 LUZ 120 250 s123 2294 pL Osea 87 20641462200 5292au L62 OZ ASA BR Brazil IP Address BR Brazil BR Brazil BR Brazil BR Brazil BR Brazil BR Brazil BR Brazil BR Brazil BR Brazil AR Argentina BR Brazil BR Brazil gt BR Brazil not found 154 17 196 a gt gt gt gt gt
307. r uma lista de offsets de 2 bytes que apontam para a rea na p gina onde cada c lula est posicionada Caso haja n c lulas na p gina existir o n ponteiros de 2 bytes para os conte dos das c lulas que estar o ordenados pelo valor das chaves dos registros As c lulas s o alocadas do endere o final para o endere o inicial da p gina conforme ilustrado na Figura 8 TABELA III CAMPOS DO CABE ALHO DE UMA P GINA FOLHA Offset Tamanho Um byte indicando o tipo de p gina O valor 13 Ox0D usado para indicar que a pl gina do tipo folha Quando um registro excluido a cl lula correspondente ao registro torna se desalocada freeblock liberando mais espalo na pi gina para futuro uso Os dois bytes deste campo indicam o offset para o inicio do primeiro freeblock O valor O indica que nio hi regil es desalocadas Cabe ressaltar que o valor Ol nl o indica que a p gina est cheia mas sim que nlo hc lulas removidas Dois bytes indicando o nimero de c lulas da p gina Dois bytes indicando o offset do in _rea com conte do de c lulas Um byte indicando o nimero de fragmentos na plgina O freeblock requer pelo menos 4 bytes de espalo Grupos de 1 2 ou 3 bytes isolados compi em os fragmentos cio da Cabe alho 8 bytes Offset para c
308. ra esta situa o n o prejudique a per cia em si e nem comprometa a integridade dos dados do usuario esta possibilidade deve ser analisada pelo perito pois neste caso a nica maneira de deixar o celular utiliz vel novamente restaurando a imagem original do Android para o aparelho o que leva a perda de todos os aplicativos hist ricos e configura es do usu rio Neste trabalho os experimentos foram realizados utilizando tanto a imagem ClockworkMod quanto a TWRP B Instala o do Software Development Kit SDK A instala o do SDK no sistema operacional Windows 7 pode ser feita baixando se o arquivo de instala o direto do portal do desenvolvedor para Android https developer android com sdk Ap s obter o arquivo de instala o necess rio execut lo aceitar termos de uso e confirmar os locais de instala o Um ponto chave da mstala o do Android SDK a escolha correta do n vel da API API Level A cada altera o no framework de desenvolvimento s o acrescentadas e removidas fun es suporte a novas plataformas entre outras Para solucionar problemas de compatibilidade de aplicativos foi criado o conceito de nivel de API Uma determinada vers o do Android suporta instala o de aplicativos criados at certo n vel de API Aplicativos criados com n veis de API mais recentes n o podem ser instalados em vers es antigas do Android 19 A Tabela IV relaciona a vers o do Android ao n vel de API
309. raude inicia se o processo de identifica o das principais caracter sticas do e mail tais como o uso de redirecionamento para sites falsos e ou a presen a de arquivos maliciosos em anexo ou dispon veis para download S o registrados no Cat logo de Fraudes o corpo do e mail na forma de texto e imagem atrav s de captura de tela As mensagens que direcionam o usu rio para sites fraudulentos tamb m t m as p ginas do site registradas como imagem para isso feito uma intera o com esses sites a fim de coletar o maior n mero de informa es Quando h um malware anexado ou dispon vel para download utilizada a ferramenta VirusTotal 3 para an lise do arquivo malicioso sendo regis trado o nome do arquivo que est relacionado a sua a o em uma m quina como por exemplo trojan que d acesso a usu rios maliciosos m quina da v tima e malware contendo a palavra Win geralmente s o direcionados a m quinas com sistema operacional Windows Estes dados s o utilizados para melhor informar o usu rio As informa es tais como assunto da mensagem tipo classifica o nome do malware hash md5 do malware s o registradas no cat logo juntamente com as imagens As principais tarefas relacionadas ao Cat logo de Fraudes s o atualmente executadas manualmente no entanto objetivando aumentar a efici ncia e os resultados obtidos encontram se em desenvolvimento novas ferramentas para a automatiza o de alg
310. re quentes e cartilhas de seguran a foram desenvolvidas e dispo nibilizadas no site da iniciativa J para a comunidade de Seguran a da Informa o esse cat logo pode ser usado para maior entendimento das fraudes direcionadas ao p blico brasileiro uma vez que a maioria dos trabalhos anteriores apresenta dados de fraudes interna cionais Nota se inclusive a car ncia por reposit rios dessa natureza aqui no Brasil de forma que possam ser usados por ferramentas de seguran a automatizadas para evitar que http www rnp br servicos seguranca educacao e conscientizacao seguranca www ICoFCS org 2015 Os usuarios se tornem vitimas ex filtros de contetido plu gins de navegadores web etc Neste sentido interesse da RNP incorporar ao Cat logo de Fraudes o registro das URLs utilizadas nas fraudes agregando um mecanismo de reputa o as URLs de forma que possam ser usadas em ferramentas de clientes este trabalho atualmente encontra se em andamento Por outro lado a an lise dessas URLs pode desvendar padr es comumente utilizados pelos atacantes para iludir seus usu rios comparando os com caracter sticas das fraudes identificadas ao redor do mundo VI CONCLUS ES O crescimento na dissemina o de fraudes eletr nicas via e mail redes sociais e outras m das eletr nicas associado com a falta de conhecimento e at discernimento de muitos usu rios na Internet evidenciam a necessidade e a import
311. respectivamente paran 1 3 5 1 Os resultados obtidos das frequ ncias de resson ncia de cada um dos calibres estudados s o apresentados na Tabela II TABELA II FREQU NCIAS TE RICAS DOS ESTOJOS TESTADOS MARCA CALIBRE F Hz Fa Hz Fs Hz CBC 9 MM LUGER 3724 11172 18620 CBC 40 S amp W 3289 9867 16445 CBC 32 AUTO 4142 12426 20710 CBC 380 AUTO 4038 12114 20190 HI ENSAIOS REALIZADOS Na Se o II A detalhado o m todo empregado para a realiza o dos ensaios e na Se o II B s o apresentados os resultados obtidos A Metodo Utilizado Analisando as caracter sticas f sicas dos estojos abordados na Se o II observa se semelhan a aparente com o modelo de tubos fechados em uma extremidade o que sugere que estes possam gerar sons em frequ ncias de resson ncia espec ficas www ICoFCS org 2015 Para verifica o desta hip tese foram realizados ensaios em uma sala fechada de ru do ambiente de baixa intensidade Os estojos deflagrados foram soltos individualmente a aproximadamente 1 60 m do piso de revestimento cer mico no interior de um c rculo de raio de 1 m com o microfone ao centro conforme esquematizado na Figura 4 Q vo 0 gt Fig 5 Experimento realizado para coleta dos audios Foram utilizados 5 estojos distintos para cada um dos calibres estudados com exce o do CBC 9 mm LUGER que foram utilizados apenas 3 A s rie de lan amento para cada um destes estojos foi reproduzida
312. rir informa es sobre o objeto no pr prio objeto e esta informa o pode ser extra da posteriormente para ser verificada 2 Diferente da esteganografia a watermarking n o procura ser totalmente eficiente contra detec es mas visa identificar um material e impossibilitar sua remo o ou altera o 3 As watermarkings possuem diferentes aplica es 4 5 Elas permitem a identifica o do propriet rio protegendo assim a distribui o de materiais como m sicas e livros com sua utiliza o Muitas vezes a marca d gua n o est oculta e apresenta informa es sobre o propriet rio do material A autenticidade do material pode ser verificada e com outros mecanismos de seguran a como a criptografia contribui para a confirma o da origem da informa o e sua veracidade Caso ocorra alguma modifica o do material a verifica o da integridade da marca d gua pode indicar que houve manipula o n o autorizada sobre este poss vel realizar o controle de c pias personalizando as marcas d gua de acordo com o destinat rio do material possibilitando o rastreio do material em caso de vazamentos A literatura define que a watermarking tem propriedades que devem estar presentes no mecanismo quando inserido em um objeto a fim de torn la adequada para utilizac o 4 A watermarking deve ser robusta deste modo ser resistente a manipula o do material e ainda permanecer neste Deve ser n o percept vel a vi
313. rma es s o f sicos 3 7 e 10 A Tabela I apresenta as principais vantagens e desvantagens das honeynets reais TABELA I VANTAGENS E DESVANTAGENS DAS HONEYNETS REAIS Intrusos interagem com Custo de implementa o e espa o f sico Dificuldade de instala o e administra o Complexidade de manuten o dispositivos f sicos reais Ambiente distribu do tolerante a falhas C Honeynets Virtuais Por suas caracter sticas as honeynets reais s o dif ceis e complexas de construir Al m disso sua implementa o exige uma variedade de sistemas f sicos e mecanismos de seguran a Por outro lado as honeynets virtuais permitem executar todos os sistemas operacionais aplica es e servi os no mesmo hardware atrav s de um software de virtualiza o 10 e 11 A Tabela II apresenta as principais vantagens e desvantagens das honeynets virtuais TABELA II VANTAGENS E DESVANTAGENS DAS HONEYNETS VIRTUAIS Limita o e risco de comprometimento do software de virtualiza o neste caso o intruso poder controlar toda a honeynet Risco de fingerpriting os intrusos poder o detectar se os sistemas est o sendo executados em um software de virtualiza o Custo e espa o f sico reduzidos Facilidade de manuten o e administra o 12 www ICoFCS org 2015 As honeynets virtuais est o divididas ainda em duas categorias autoconten o e h bridas Na primeira todos os dispositivos incluindo o
314. rocesso deveria ter conex o de rede aberta Verificar o espa o de endere o de mem ria SSDT IDT IRP and inline hooks IAT An lise dos artefatos Submiss o ao virustotal An lise das system calls Verifica o de entropia Capturar logs sobre os candidatos a malwares eventlog prefetch browser entre outros Correla o dos dados das fases anteriores Relat rio Gera o do relat rio Cria o da Base de conhecimento Fig 4 Metodologia Maldetect C An lise de DLLs e handles Durante a an lise de DLLs deve se verificar a exist ncia de DLLs n o vinculadas o contexto onde as mesmas foram carre gadas o caminho do disco onde as DLLs est o armazenadas e a escrita correta de seus nomes Al m disso os handles do tipo mutexes devem ser comparados com uma blacklist de nomes usados por malwares conhecidos Geralmente este um recurso muito utilizado pelos c digos maliciosos para identificar se a m quina j foi infectada Tamb m verifique se existe um pipe mecanismo que redireciona a sa da de uma programa como entrada de outro redirecionando entradas e sa das do processo cmd exe para um programa remoto pois esta t cnica muito usada por backdoors D An lise de Artefatos de Rede O acesso a rede muito utilizado pelos malwares para diferentes fins tais como extravio de informa es down load de novos componentes comunica o com a central de comandos infec o de
315. rojection of power from multiple nations Due to its characteristics cyberspace has become a place where the exploitation of information vulnerabilities occurs continuously Tools for vulnerability exploitation are in the middle of a production and trade process which with a variety of actors form a specialized market dealing with large amounts of money For law and enforcement agencies that fights cybercrime it is very important to have knowledge of such market not only to protect information systems but to perform cybercrime investigation and forensics activities In this paper definitions are given for the basic elements that take part in this market and relevant concepts related to exploits as well as a review of enterprises that operate in this market The conclusions point that strategic planning is a critical requirement to approach this cyber security area Keywords Security Vulnerabilities Exploits Exploit and Vulnerability Market I No cen rio atual a Internet que integra o espa o cibern tico n o pode ser vista apenas como mais uma rede de computadores mundial mas sim a base de sustenta o de m ltiplos setores da economia como por exemplo hardware software telecomunica es redes sociais sistemas financeiros moedas virtuais servi os de indexa o armazenamento massivo e jogos online Em diversos aspectos o espa o cibern tico a fonte de gera o de recursos e capitais bem como a proje o d
316. root maldetect volatilityAwir Wget Directory rootmaldetectwgetwin7 Configurar Pr analise Executar Fase 1 An lise de Processos Executar Fase 2 An lise de DLLs e Handles Executar Fase 3 An lise dos Artefatos de Rede Executar Fase 4 Busca por Inje o de C digos Executar Fase 5 Busca por Hooks Executar Fase 6 Dump de Processos DLLs e Drivers Suspeiros Executar Fase 7 Processamento Correla o e Relat rio Executar Gerar Relat rio Fase 8 Cria o da Base de Conhecimento Executar Tela inicial da versao beta da Maldetect Tool implementa usando a linguagem PHP e Python A figura 6 mostra a intera o da Maldetect Tool com os recursos externos utilizados Os principais recursos s o Volatility VirusTotal IPVoid e a base de conhecimento Foi criado um reposit rio no github https github com maldetect maldetect para disponibilizar os resultados das an lises realizadas com a Maldetect Tool A seguir ser o descritas as t cnicas utilizadas na construc o da Maldetect Tool para o caso da an lise de memoria vol til do sistema operacional Windows 7 H Processamento Correlac o e Relat rio Os dados coletados e armazenados nas fases anteriores s o correlacionados nesta fase e o relat rio da an lise gerado Para complementar as informa es podem ser usadas diferentes fontes de logs sobre os poss veis malwares Essas fontes podem ser hist rico de navegadores eventlog prefetch
317. rquitetura modular Por m o volatility n o uma ferramenta de aquisi o de mem ria e tamb m n o possui interface gr fica seu uso atrav s de linha de comando 12 como mostra a Figura 3 Em 6 s o apresentados os plugins do volatility os quais s o agrupados na seguintes categorias Image Identification identifica o do sistema operacio nal e suas estruturas de dados Processes and DLLs lista os processos e DLLs carre gadas na mem ria Process Memory recupera informa es espec ficas de um ou mais processos Kernel Memory and Objects lista e verifica componen tes do kernel Networking recupera atividades de rede do dump da mem ria Registry recupera dados armazenados nos registros do sistema operacional www ICoFCS org 2015 Crash Dump Hibernation e Conversion executa o par ser e analisa informa es de arquivos de hiberna o e crash dumps bem como realiza a convers o entre esse tipos de arquivos e Miscellaneous agrupa os plugins de tipos diversos V METODOLOGIA MALDETECT A metodologia proposta uma adapta o da metodolo gia do SANS descrita na se o HI Esta metodologia independente de sistema operacional ou seja os conceitos podem ser aplicados a qualquer S O A Maldetect coleta e correlaciona informa es comportamentais dos artefatos resi dentes no dump de mem ria vol til e identifica quais dessas caracter sticas s o t picas de c digos maliciosos
318. s o humana sendo vis vel apenas durante processos de extra o da informa o Ser segura assim apenas o propriet rio do material poder recuper la alter la ou remov la E por fim deve ser capaz de armazenar informa o mensagem em um objeto 1 6 Outro aspecto s o os diferentes suportes materiais em que podem ser inseridas De acordo com o tipo de arquivo de m dia s o utilizadas t cnicas diferentes poss vel utiliz la em arquivos de texto imagens udio e v deo Cada arquivo possui a sua peculiaridade mas todos devem buscar as propriedades que tornam a watermarking resiliente O trabalho objetiva desenvolver um algoritmo para inclus o de marcas d gua em documentos eletr nicos textuais que permanecer no documento mesmo ap s sua impress o sendo pass vel de recupera o em processos de digitaliza o ou fotografia do material Para atingir tal objetivo o trabalho faz uso de manipula o de fontes de caracteres para inser o de um c digo identificador nos documentos Os documentos textuais devem permitir edi o n o sendo aplic vel a imagem de documentos Na se o II ser o apresentadas as metodologias de utiliza o de watermarking em documentos textuais com nfase na metodologia Baseada em Imagem em que a t cnica proposta neste trabalho se insere Na se o III ser ilustrado o 14 contexto em que se deseja aplicar a marca d gua no caso em documentos que comp em o inqu rito p
319. s da grade curricular da Escola Nacional de Defesa Cibern tica 37 Nesse sentido elaborar um plano de carreira para manter o pessoal especializado dentro do setor p blico fundamental assim podemos criar um banco de profissionais brasileiros trabalhando efetivamente dentro do territ rio nacional Por fim vale a ressalva de que no mbito do ciberespa o a m xima de quanto mais nacional melhor a que vale atualmente Assim investimentos s o necess rios a percep o desses investimentos imprescind vel e a conduta tica dos profissionais em um ambiente t o aberto fundamental IV CONCLUS ES O Brasil n o nenhum pa s inexperiente no que tange a organiza o e seguran a de grandes eventos Todavia isso n o pode se tornar sin nimo de uma conduta leviana com a seguran a nacional Tendo isso em mente e partindo especificamente para a quest o do terrorismo cibern tico existem reas de preocupa o nacional que devem merecer aten o se quisermos que o pa s encerre seu ciclo de evid ncia enquanto pa s sede de grandes eventos com chave de ouro Assim o Brasil deve atentar para quatro grandes reas antes que os jogos ol mpicos aconte am em 2016 Essas reas seriam 1 Necessidade de uma legisla o interna a qual tipifique o que terrorismo para o Brasil 2 a constru o de uma cultura de seguran a voltada para a cibern tica ao n vel de implica es reais e virtuais 3 o fato d
320. s dados do fluxo de DLL s o processados automaticamente Em 5 no ano de 2014 outra solu o de automatiza o da an lise de mem ria foi apresentada por Fahad Associate Director Security Research and Analytics UBS AG Ela composta de tr s fases primeiro aquisi o da mem ria para um drive seguro que fique oculto para o usu rio Segundo a execu o do Volatility para extra o das informa es rele vantes contidas no dump da mem ria As duas primeiras fases ser o executas a cada 30 minutos Por fim essas informa es s o enviadas para um servidor central que far a an lise Esta fase executar um algoritmo de compara o do dump atual com as informa es contidas na base de dados Assim poss vel identificar a cria o de novas conex es de redes novos servi os altera o e cria o de chaves de registros entre outros dados O problema o aumento do processamento do host e o volume de dados sendo transferidos pela rede Como a an lise de mem ria tem sido amplamente aplicada na identifica o de c digo malicioso existem alguns cuidados que devem ser levados em considera o na fase de coleta da mem ria vol til pois o processo de aquisi o geralmente re quer a execu o de c digo na m quina infectada Este processo pode ser interferido pelo malware em execu o Em 18 no ano de 2013 Johannes analisou v rias t cnicas antiforense que interferiam na aquisi o da mem ria e testou
321. s de alocac o Ele mant m o controle do que est livre e em uso pela representa o de cada bloco por um bit Isso equivalente ao Bitmap Volume do HFS A principal diferenca entre Bitmap Volume e Allocation File que este um arquivo comum que pode existir em qualquer lugar no volume podendo diminuir ou aumentar de tamanho e n o precisa ser cont guo Enquanto aquele sempre reside em rea reservada e seu tamanho fixo A localizac o do primeiro extent do Allocation File armazenado em Volume Header Esta arquitetura de File Allocation induz a flexibilidade no sistema de arquivos HFS n o encontrada em HFS 7 B Catalog File O catalog file uma rvore B que armazena a hierarquia de pastas e arquivos Ele descreve todos os arquivos e pastas do volume incluindo os arquivos especiais e da hierarquia no volume semelhante ao Catalog File do HFS O Catalog File organizado em uma rvore B para permitir pesquisas r pida e eficientes por meio de uma grande hierarquia Este arquivo cont m informa es vitais sobre cada arquivo e pasta juntamente com as informa es do cat logo A principal diferen a entre os registros em HFS e HFS que no Catalog File em HFS os n s da rvore B relativo aos arquivos e pastas cont m mais informa es e podem ter diferentes tamanho ao contr rio do HFS A localiza o do primeiro extent do Catalog File armazenado no Volume Header Catalog File cont m n de cabe alho n s
322. s de captura e coleta de dados gerac o de alertas e honeypots est o implementados em um nico computador J as h bridas representam uma combinac o entre honeynets reais e virtuais Nesta categoria por exemplo opera es de captura controle de dados e sistemas de logs s o implementados em dispositivos f sicos distintos enquanto os honeypots s o configurados em um nico computador atrav s de um software de virtualiza o II PROPOSTA DE UM AMBIENTE HONEYNET VIRTUAL DE AUTOCONTENCAO Esta se o descreve os aspectos relacionados ao desenvolvimento de um ambiente honeynet virtual de autoconten o para ser invadido e comprometido A arquitetura proposta neste trabalho tem como objetivo detectar e capturar ataques novos e desconhecidos em rg os Governamentais Neste ambiente uma parte substancial do tr fego capturado ter origem il cita ou maliciosa ou seja estar comprometida por c digos maliciosos Para atingir este objetivo o desenvolvimento da arquitetura foi dividido em tr s fases distintas 3 10 arquitetura proposta e modelo de solu o fase 1 controle de dados fase 2 e captura de dados fase 3 Dessa forma por um lado poss vel atender os requisitos definidos na Se o anterior e por outro lado trata se de uma soluc o em camadas e verifica se que quanto mais camadas de informa es o ambiente tiver mais f cil ser analisar e aprender com os intrusos A arquitetura do ambiente honeyne
323. s de permiss o de arquivo em outra plataformas como Windows 5 Assim como HFS HFS divide o volume em setores de 512 bytes e agrupa os em blocos de aloca o normalmente 8 e atribui a um arquivo Blocos de aloca o s o endere ados por ponteiros de 32 bits 6 Para reduzir a fragmenta o do arquivo blocos de aloca o cont guas chamados Clumps s o atribu dos aos arquivos O n mero de blocos de aloca o por Clump fixa e especificado em Volume Header Os primeiros 1024 bytes e ltimos 512 bytes de volume s o reservados O Volume Header est localizado imediatamente ap s primeiros 1024 bytes e fixo O Alternate Volume Header que r plica do Volume Header est localizado nos 1024 bytes antes do final do volume e tamb m fixo 7 O Volume Header armazena r tulos do tempo o n mero de arquivos sobre o volume localiza o de outras estruturas sobre o volume tamanho de blocos de aloca o tamanho de aglomerados etc 7 Um volume HFS tem cinco arquivos especiais que s o utilizados para organizar o espa o do volume utilizado para armazenar pastas arquivos e atributos S o eles www ICoFCS org 2015 Reserved 1024 bytes volume Header Allocation File Extents Overflow File Catalog File Attributes File startup File Fig 1 Layout do HFS 5 File Data 4 or i Free Space A Allocation File O Allocation File um bitmap que controla a utilizac o dos bloco
324. s de terrorismo f sico como tamb m no mbito cibern tico Afinal mesmo que durante os grandes eventos recentes se tenha utilizado da tecnologia para manter a capilaridade da atua o militar 31 esse mesmo uso traz vulnerabilidades para a manuten o de comunica es efetivas e seguras Nesse ponto ainda que haja um engajamento integrado de rg os de intelig ncia seguran a e defesa 32 existe a necessidade de refor ar linhas de comunica o Em outras palavras se a comunica o entre as unidades de defesa seguran a ou intelig ncia forem cortadas total ou parcialmente e supondo hipoteticamente um fim terrorista por tr s dessa a o criar estrat gias alternativas de comunica o ou mesmo um sistema de backup que restaure rapidamente as conex es se torna imperativo Devemos lembrar que priorizar a capilaridade em meio a um territ rio t o extenso um assunto importante e s rio ainda mais dado o fluxo de pessoas que grandes eventos como os jogos ol mpicos podem proporcionar Lugares de dificil comunica o e acesso tamb m devem ser levados em considera o e adequados com infraestrutura ou pessoal qualificado N o s os canais de comunica o eletr nica internos devem ser protegidos como tamb m as vias de tr fego de informa es com a INTERPOL AMERIPOL e MERCOSUL 33 devem ser asseguradas para que n o haja falseamento de informa es tampouco para que haja a falta delas em uma situa o de e
325. s para dificultar sua detec o As t cnicas usadas nesta fase devem ser capazes de identificar os principais tipos de hooks usados pelo malwares Deve se identificar a exist ncia de m dulos n o vinculados hooks de system calls SSDT inline hooks altera es na Interrupt Descriptor Table IDT nos handles da I O Request Packets IRP Al m disso devem ser identificados os hooks da Import Address Table IAT Tamb m identifique quais processos est o executando em modo debug e a exist ncia de threads rf s Essa t cnicas foram descritas na subse o III A G Dump de processos DLLs e drivers suspeitos Essa etapa da metodologia tem o objetivo de aprofundar a an lise dos poss veis c digos maliciosos identificados nas outras fases Estes artefatos ser o reconstru dos a partir do dump de mem ria que est sendo analisado Os artefatos podem ser processos drivers ou DLLs O hash destes arquivos devem ser comparadas com uma base de hash de malwares conhecidos como o Virustotal Deve se procurar strings suspeitas tais como url email CPF e nomes de arquivos de sistema Al m de identificar chamadas de sistemas comuns entre os malwares e a entropia dos arquivos Fig 5 Metodologia maldetect x e gt Cc 192 168 1 104 maldetect Maldetect Detecting Unknown Malware Fases Configura o Image Path root maldetectdumps win Profile Win7SP1x64 System root ciwindows Base Drirectory Volatility
326. s pelos sistemas de intercepta es telef nicas foram questionadas em tr s casos distintos Al m desses questionamentos a defesa argumenta que n o possui paridade de armas em rela o aos rg os acusat rios Este questionamento levou necessidade de per cia em um ambiente com grande quantidade de dados que s fol viabilizada com o desenvolvimento de um software espec fico para este fim Com o auxilio desse software foi possivel responder aos quesitos formulados pelos Ju zes e pela defesa bem como fornecer a defesa dados estruturados para que ela pudesse fazer suas pr prias an lises O software pericial foi utilizado em tr s per cias distintas e est pronto para ser usado e ou adaptado para outros casos semelhantes que demandem os mesmos tipos de an lise nos artefatos digitais produzidos pelos sistemas de intercepta o telef nica O cotejamento entre os registros dos dois sistemas envolvidos nas intercepta es apresentou dificuldades t cnicas devido a diferen as entre seus dados Foi utilizado um algoritmo que tenta relacion los por aproxima o Essa tarefa logrou um sucesso parcial Como trabalho futuro haveria espa o para se estudar mais detalhadamente essa rela o e com isso propor um aprimoramento desse algoritmo www ICoFCS org 2015 1 2 3 4 5 6 7 REFERENCIAS Ferro Junior Celso Moreira Oliveira Filho Edemundo Dias de Preto Hugo C sar Fraga Seguran a P blica
327. s poss veis consequ ncias Nesse sentido em que pese o Brasil n o tenha atos de terrorismo como uma realidade pr xima enquanto anfitri o dos jogos ol mpicos em 2016 ele deve se preparar para poss veis ataques cibern ticos nesse formato Afinal se tratando do ciberespa o n o podemos assumir padr es e muito menos que certos pa ses n o ser o atingidos direta ou indiretamente por a es de terceiros Assim o presente artigo se divide em duas partes A primeira visa elucidar como o pa s pode entender o termo Ciberterrorismo e como esse fen meno preocupa os pa ses a n vel internacional J a segunda parte pretende mostrar os desafios para os quais o Brasil em espec fico deve atentar nessa seara e quais as poss veis medidas que podem ajudar a contorn los 84 II CIBERTERRORISMO ENTENDIMENTO FORMAS DE ATUACAO E COMBATE Em que pese o termo Ciberterrorismo tenha aparecido pela primeira vez em um artigo de Barry Collin 1 nos anos 1980 significando o perigo de ataques conduzidos a longa distancia como consequ ncia da interse o entre mundo f sico e virtual e tendo como alvos Infraestruturas Criticas de um pais fazendo com que a popula o de um pais n o conseguisse comer beber se locomover ou viver ainda nao existe uma defini o internacional padr o para esse fen meno Assim o debate acerca das amea as que o Ciberterrorismo apresenta continua vivo e ganhando cada vez mais relev ncia
328. sado o plugin apihooks e os outros os nomes dos plugins do Volatility correspondem a t cnica de hook que eles detectam Portanto foram usados os seguintes plugins do Volatihty ssdt irp idt Al m disso foi feita a verifica o de threads rf s usando o plugin threads do Volatility G Dump de processos DLLs e drivers suspeitos Nesta fase s o listados os processos em ordem decrescente do n mero de anomalias encontradas nas fases anteriores e o analista pode escolher os artefatos que ser o extra dos da mem ria Para realizar a extra o destes artefatos foi utilizado os seguintes plugins do Volatility procdump ddldump e moddump Ap s a extrac o usando a API do VirusTotal feita uma consulta pelo hash sha256 do artefato extra do do dump da mem ria 67 H Processamento Correlac o e Relat rio Todas as informa es obtidas nas fases anteriores s o processadas e correlacionadas de tal forma que os poss veis c digos maliciosos recebam uma pontua o para cada anoma lia encontrada quanto maior sua pontua o mais anomalias o processo possui Para cada antiv rus que retorna como malware a Maldetect Tool eleva a pontua o de anomalia do artefato A descri o da cada anomalia armazenada na base de dados para fins de relat rio Al m disso para compor o relat rio final s o coletadas as seguintes informa es valores da chave de registro Micro soft Windows Current Version Run usada para ar
329. sagem Your device does not qualify for bootloader unlocking foi mostrada conforme ilustra a Figura 15 Desta forma conclui se que este aparelho n o pode ter seu boot loader destravado A p gina em https motorola global portal custhelp com diz Your device does not qualify for bootloader unlocking 5 Paste together the 5 lines of output into one continuous string without bootloader or INFO or white spaces Your string needs to look like this 0A40040192024205 4C4D355631323030373731363031303332323239 BD008A672BA4746C 2CE02328A2ACO0C39F951A3E5 1F532800020000000000000000000000 6 Check if your device can be unlocked by pasting this string in the field below and clicking Can my device be unlocked 344589094541584983034323331303136333400585431303333000000 F617441B6FB56D4257660778 la Fig 15 XT1033 mensagem indicando dispositivo unlockable Sem o c digo de destravamento n o foi poss vel destravar o boot loader Logo tamb m n o foi poss vel fazer a 44 www ICoFCS org 2015 substitui o da parti o recovery do XT1033 neste experimento Isto por m n o invalida a aplica o deste m todo em modelos cujo boot loader esteja destravado D Resultados para o Motorola Moto G 2 Gera o XT1069 Assim como ocorreu como XT1033 0 boot loader estava travado Procedeu se ent o a tentativa de destravamento atrav s da execu o do comando fastboot oem get unlock data e a obten
330. sando uma necessidade espec fica de emprego de recursos t cnicos ligados a um objetivo concreto o exploit que oferece as condi es m nimas de sucesso na explora o de falhas Entretanto para que o exploit obtenha sucesso diversas etapas precisam ser entendidas corretamente Os t picos a seguir detalham alguns aspectos de forma a explicar o que s o vulnerabilidades Zero day o que s o 91 www ICoFCS org 2015 exploits e o processo b sico de emprego dos mesmos Para fins deste artigo uma vulnerabilidade um tipo de falha que permite ao atacante obter sucesso na explora o de um recurso tecnol gico seja ele na forma de um hardware ou de um software A VULNERABILIDADES ZERO DAY Sob o aspecto de seguran a da informa o uma vulnerabilidade Zero day um tipo de falha para a qual n o existe defesa pr via eficiente devido ao fato de n o existir uma corre o ou uma atualiza o que a remova do produto sendo explorado Isso permite a um atacante considerando o seu objetivo e o n vel de aprofundamento da explora o desejada uma elevada taxa de sucesso na explora o da falha e consequentemente alcan ar o objetivo desejado seja ele relacionado obten o de informa es seja ao controle do recurso explorado seja nega o de servi o ao recurso por parte de outrem Relacionado ao desenvolvimento de produtos e aplica es na rea de tecnologia e seguran a da informa o um Zero day uma
331. se modelo Como os mesmos autores explicam a camada de aplica o se preocupa com a m quina na qual o jogo executado Nesta camada onde estar localizado o c digo que realiza a comunica o com dispositivos de hardware como o mouse O teclado e o monitor servicos do sistema operacional tais como as comunica es de rede e opera es como a inicializa o e desligamento do jogo Jogo Local Jogo Remoto Eventos do Jogo Eventos do Jogo Vis o do Jogo L gica do Jogo Eventos do Jogo Fig 1 Vis o geral de uma arquitetura l gica de um jogo Fonte Adaptado de Mcshaffry e Graham 6 Na camada de l gica ainda segundo Mcshaffry e Graham 6 poss vel encontrar os subsistemas de gest o de estado do jogo que respons vel por comunicar as mudancas de estado para outros sistemas assim como aceitar comandos de entrada de outros sistemas A camada de vis o do jogo respons vel por apresentar o estado do jogo e traduzir entrada em comandos de jogo que s o ent o enviados para a l gica do jogo Por fim a camada de vis o remota respons vel por enviar em jogos que utilizam a rede de computadores dados de sincronizac o entre o jogo local e o jogo remoto Esse modelo de arquitetura utilizado na grande maioria dos sistemas de jogos assim como para os modelos de interac o entre os jogadores e o sistema de jogo apresentados por Fullerton 5 os quais s o single player pl
332. se torna uma vulnerabilidade Zero day quando uma vulnerabilidade descoberta e publicada na Internet seja por um grupo de pesquisa uma empresa seja pelo pr prio fabricante do produto Nesta etapa normalmente o respons vel pelo produto previamente avisado para que desenvolva a respectiva corre o do produto antes da 2 1 Descobrimento privado de vulnerabilidade 2 2 Relat rio P blico de vulnerabilidade divulga o em massa da falha Vale observar que antes da corre o qualquer produto atingido pela vulnerabilidade pass vel de explora o Dado o conhecimento da vulnerabilidade 3 Cria o de Prova de Conceito PoC desenvolvido um c digo pr vio que demonstra a capacidade da explora o da vulnerabilidade Normalmente a PoC um passo para a cria o de um exploit para o produto vulner vel O fabricante capaz de desenvolver uma nova vers o do produto de maneira a evitar que o exploit seja eficiente em termos de explora o da falha de seguran a O respons vel pelo produto torna p blico a sua atualiza o de forma que os usu rios desse produto possam fazer a respectiva atualiza o e consequentemente evitar que o produto seja explorado Os usu rios devem ter um processo de manuten o de atualiza o do produto de forma a fazer com que o produto seja atualizado com uma vers o que n o seja explorada 4 Desenvolvimento de atualiza o do produto B
333. seada na imagem da partic o recovery do Android 2 1 Possui diversas op es como backup restaura o atualiza o do aparelho atrav s de arquivos zip e acesso via ADB habilitado 13 TWRP Team Wm Recovery Project possui al m das op es padr o fun es como backup e restaura o e acesso via ADB habilitado Sua interface sens vel ao toque e personaliz vel 18 b TI MATERIAIS E M TODOS Para a realizac o dos experimentos deste trabalho quatro modelos diferentes de smartphones foram utilizados As especifica es de cada aparelho foram descritas em cada experimento Al m disso acess rios como cabos USB e carregadores compativeis com cada modelo de aparelho foram necess rios Para a elaborac o do m todo de extrac o de 40 www ICoFCS org 2015 dados proposto optou se incialmente pela realizac o de uma ampla pesquisa bibliogr fica sobre per cia forense em dispositivos m veis A partir da fase inicial de pesquisa foi poss vel encontrar estudos que tratavam especificamente do tema proposto por este trabalho e analisar diversas caracter sticas do sistema operacional Android e elaborar um m todo O m todo foi elaborado baseando se nos princ pios gerais da computa o forense Todavia durante a pesquisa bibliogr fica foi verificado que o processo de an lise pericial em smartphones sempre mais invasivo do que an lises de computadores pessoais Desta forma o m todo proposto foi criado no
334. sem a bateria Ent o o software identifica o dispositivo OMAP4430 instala os drivers necess rios e para em um segundo est gio S ent o a bateria deve ser acoplada novamente Se o Windows n o conseguir encontrar os drivers na pasta do Omap4Boot e instalar automaticamente a instalac o deve ser feita de forma manual e o procedimento repetido Feito isso a tela do celular deve apresentar o logotipo da LG em tom de cinza e o texto fastboot v0 5 no canto superior esquerdo Esse mesmo procedimento pode ser feito para ligar o telefone no modo download bastando segurar a tecla Volume A pr xima etapa a substituic o da partic o em si Isso pode ser feito com o comando fastboot flash recovery recovery img Este comando substitui a partic o recovery pela imagem recovery img fornecida Por fim o telefone deve ser ligado novamente no modo recovery Se todas as etapas foram concluidas com sucesso a tela do aparelho deve apresentar a interface da ClockworkMod como ilustra a Figura 12 EM Unblicker Omap4boot fastboot enabled u boot wkpark at gmail dot com Prada 3 6 SU546 KU5466 P946 gt Optimus 3D CSU76H P920 gt Optimus 3D Cube SUS7H P72H gt E Please select 1 2 or exit ix A Optimus 3D selected waiting for OMAP44xx device Fig 12 Software OMAP4Boot aguardando conex o com o P920h O m todo de extra o de dados utilizado neste experimento tamb m foi o adb pull de forma similar ao
335. set Conte do em hexadecimal Texto Olea Conte do em hexadecimal i Texto Hexa Hexa i E 2A Offsets 3 c lulas Cabe alho Offsets 2 c lulas 02000 bo pr 01 pr sjor 99 ETE doce 02000 al No aca 02010 00 02010 00 61 OM OD 61 00 00 00 00 00 00 00 00 00 ae lo idad Regi o n o alocada Regi o n o alocada com lixo 02e70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02e70 30 31 38 33 36 39 30 2D 34 04 4D 65 6E 73 61 67 0183690 4 Mensag 02e80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02e80 65 6D 20 34 01 4C FD AC EE 4F 30 01 4C FD AC 5B em 4 Ly 100 Ly a cee Ss AN 02e90 1E FF 01 4C FD AD A 18 FF 00 00 01 38 43 09 25 7 Ly 8C OF 08 00 8 Etr r 02ea0 01 08 21 05 00 00 OF 08 00 00 00 08 08 08 08 00 00 00 08 C lula 3 556184 02eb0 00 05 01 05 01 00 00 00 08 00 35 35 36 31 38 34 556184 40 73 2E 16112 s whatsap 02ec0 38 31 36 31 31 32 40 73 2E 77 68 61 74 73 61 70 816112 s whatsap 34 32 39 p ner1429970185 02ed0 70 2E 6E 65 74 31 34 33 30 31 38 33 36 39 30 2D p net1430183690 61 67 65 A quadras 02ee0 33 04 4D 65 6E 73 61 67 65 6D 20 33 01 4C FD AC 3 Mensagem 3 Ly E4 Fi eo O mn 02ef0 C2 D4 30 01 4C FD AC 2F A3 FF 01 4C FD AD SB 38 dO Ly Y L 8 E co sgo A E As 02f00 FF 00 00 00 DO 43 09 25 01 08 21 05 00 00 OF 08 p DC da pue 00 00 00 08 08 08 08 00 00 05
336. sidade cair Fig 11 Resolu o de 75 dpi Balan a enganosa abomina o para o SENHOR mas o peso justo o seu prazer Em vindo a soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos ntegros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitam as riquezas no dia da ira mas a justi a livra da morte A justi a do sincero endireitar www ICoFCS org 2015 Balan a enganosa abomina o para o SENHOR mas o peso justo o seu prazer Em vindo a soberba vir tamb m a afronta mas com os humildes est a sabedoria A sinceridade dos ntegros os guiar mas a perversidade dos aleivosos os destruir De nada aproveitam as riquezas no dia da ira mas a justi a livra da morte A justi a do sincero endireitar o seu caminho mas o perverso pela sua falsidade cair Fig 13 Resolu o de 600 dpi As figuras 10 11 12 e 13 permitem concluir que a qualidade da digitaliza o de um documento pode trazer dificuldades para recupera o da watermark Uma imagem muito degradada pode interferir na interpreta o dos caracteres analisados Entretanto nos quatro cen rios analisados atrav s da amplia o das imagens ainda poss vel verificar as diferen as entre os caracteres como ilustra a figura 14 E percept vel que a degrada o da imagem mais acentuada com a resolu o de 73 dpi mas ainda existe a varia o da silhueta da letra
337. sil E mails marco marinho Oieee org pgondim ene unb br joaopaulo dacosta ene unb br satisfactory data rates and can be an economic choice in comparison to cabling of an entire floor or building To keep up with the demand for higher networking speeds most wireless networking standards have adopted the Multiple Input Multiple Output MIMO technology Systems that employ MIMO also provide the physical requirements for the application of mathematical tools of array signal processing Array signal processing has developed many techniques towards the estimation of the direction of arrival DOA of a radio signal Knowledge of the DOA offers outstanding benefits such as spatial filtering We refer here to many im portant DOA estimation methods such as Iterative Quadratic Maximum Likelihood IQML 2 Root WSF 3 and Root MUSIC 4 Expectation Maximization EM 5 6 7 8 the space Alternating Generalized Expectation Maximization SAGE 9 10 11 and Estimation of Signal Parameters via Rotational Invariance ESPRIT 12 which can be applied This manuscript proposes taking advantage of using com ponents present at modern MIMO wireless communication systems for the estimation of the user location by means of DOA estimation By obtaining the location of the user when he she first authenticates for example using biometrics or a password it is possible to enforce authentication on multiple levels The remainder of this
338. sim que estas teclas foram liberadas a tela do modo fastboot foi mostrada Nela foi poss vel verificar o texto Device is LOCKED conforme mostrado na Figura 13 AP Fastboot Flash Mode S 41 00 sha O4e4be3 2014 01 09 19 57 01 CPU MSMB226 CS eMC 0GB Toshiba RV 06 PY 51 TY 17 DRAM 1024MB Hynix S4 SDRAM DIE 40b Device is LOCKED Status Code 8 Connect USB Data Cable Fig 13 XT1033 tela do modo fastboot Neste momento o telefone estava no modo fastboot mostrando a informa o de que o boot loader estava travado Ent o o cabo USB foi conectado ao telefone e ligado ao computador e o comando fastboot oem get unlock data executado Figura 14 O retorno da execu o deste comando o c digo de verifica o a ser passado para o site da Motorola a EN C Windows system32 cmd exe Users Adriano gt fasthboot devices 4423161634 fasthoot Users Adriano gt fasthboot oem get unlock data lt hoot loader 3A45890945415849H30343233313031 boot loader gt 363334M0585431303333B000001F61 7 lt hootloader gt 441 B6FB56D425 76667788 FCE24C9BBD Chootloader gt 38F9EHFC61 B201 6F 4000000000008 Chootloader gt 6666006 OKAY 6 166s finished total time M 168s Users Adriano gt _ L Fig 14 XT 1033 execu o do comando para obter unlock data O c digo de verifica o tratado de forma a n o conter espa os ou informa es adicionais Ao entrar como c digo no site da Motorola a men
339. so em 19 de Abril de 2015 Global CounterTerrorism Forum The Hague Marrakech Memorandum on Good Practices for a More Effective Response to the FTF Phenomenon Dispon vel em https www thegctf org web guest foreign terrorist fighters jsessionid 2C659ESECACBD47050353F462BA883 CF w142 Acesso em 19 de Abril de 2015 p 01 traduc o nossa Ibid Ibid S RES 2178 2014 p 02 tradu o nossa Ginkel Op cit p 04 tradu o nossa www ICoFCS org 2015 19 NETMundial Multistakeholder Statement 2014 Disponivel 28 Guimar es S P Terrorismo e Grandes Eventos In em http netmundial br netmundial multistakeholder Seminario Internacional Terrorismo e Grandes Eventos statement Acesso em 19 de Abril de 2015 P 05 2013 Bras lia DF Terrorismo e grandes eventos recurso 20 Campos A J de Terrorismo e Grandes Eventos In eletr nico C mara dos Deputados Comiss o de Relac es Semin rio Internacional Terrorismo e Grandes Eventos Exteriores e de Defesa Nacional Brasilia Camara dos 2013 Brasilia DF Terrorismo e grandes eventos recurso Deputados Edi es Camara 2014 p 71 eletr nico C mara dos Deputados Comiss o de Rela es 29 Salaberry L A S Terrorismo e Grandes Eventos In Exteriores e de Defesa Nacional Bras lia C mara dos Semin rio Internacional Terrorismo e Grandes Eventos Deputados Edi es C mara 2014 P 58 2013 Bras lia DF Terrorismo e grandes eventos recurso 21 Woloszyn A L O
340. ss o linear com fun es polinomiais at o grau 5 Y B0 PiX B 2X BaX Bax T Bsx gt anova ImMnunemp 1 ImMnunemp 2 ImMnunemp 3 ImMnunemp 4 ImMnunemp 5 Analysis of Variance Table Model Model Model Model Model Maior NumcontMesmaEmpr esa Maior NumContMesmaEmpresa Maior NumContMesmaEmpresa Maior NumContMesmaEmpresa Maior NumContMesmaEmpresa NumContratos poly NumContratos poly Numcontratos poly Numcontratos poly Numcontratos 2 3 4 5 Res RSS Df sum of sq 1771 6797 5 Pr gt F 936 68 294 957 lt 2 2e 16 97 84 30 810 3 277e 08 69 77 21 969 2 983e 06 81 84 25 770 4 251e 07 v un A H y e lo un y a uy 8 1 0 1 at 1 4 1 Sigmif codes 500 27 0 01 0 05 0 1 2 Fig 2 Compara o entre polin mios de diferentes graus Pelos valores p e F percebe se que os modelos de 3 4 e 5 graus apresentam um ajuste melhor que a regress o linear simples Para o modelo com polin mio de 5 grau o coeficiente de determina o R igual a 0 60 ou seja superior ao da regress o linear simples Fig 2 A Figura 3 a seguir apresenta os diferentes modelos no gr fico 20 1 ContMesmaEmpresa wie NW a A VN MaiorNum 10 1 t A e A Y NumContratos Regress o linear simples Polin mio de 2 grau Polin mio de 3 grau Polin mio de 4 grau Polin mio d
341. sses dados ser o usados para identificar processos leg timos verificar a escrita correta do nome identificar caminhos suspeitos dos processos verificar o pai do processo e identificar par metros de linha de comando que iniciou o processo e Analisar DLLs e handles de processos Existe uma diferen a fundamental entre programa e processo Um programa uma sequencia est tica de VirusTotal um servi o gratuito que analisa arquivos e URL s suspeitas e facilita a r pida detec o de v rus worms cavalos de tr ia e todos os tipos de malwares Acesso em https www virustotal com 3Refer ncia abstrata para um recurso 16 61 www ICoFCS org 2015 Acquisition tool Version Format KDBG MmGetPhysical MmMap MemoryDump memory ranges Mdl Memoryze 2 0 raw PASS FAIL PASS FTK Imager 3 1 2 raw PASS FAIL PASS Win64dd 1 4 0 raw PASS FAIL FAIL FAIL Win64dd 1 4 0 dmp FAIL FAIL FAIL Dumplt 1 4 0 raw PASS FAIL FAIL WinPmem 1 3 1 raw FAIL FAIL PASS WinPmem 1 3 1 dmp FAIL FAIL PASS WindowsMemoryReader 1 0 raw PASS FAIL PASS WindowsMemoryReader 1 0 dmp PASS FAIL PASS Fig 1 Resultado da aquisi o de mem ria com t cnicas de antiforense ativada 18 Identificar processos estranhos as portas TCP suspeitas e os processos associados a elas ee bem como os indicativos da presenca de backdoors e a as reputa o dos IP s que a maquina est conectada Dessa Analisar DLLs e handles de processos forma
342. ssim construindo uma rvore sint tica que por sua vez ser utilizada para inser o do elemento de seguran a 9 Sem ntica Permite realizar mudan as de palavras por sin nimos ou utilizar abrevia es e acr nicos para construir a marca d gua 10 d Estrutural Utiliza caracter sticas pr prias da linguagem como a ocorr ncia de letras duplas ou preposi es O texto n o alterado mas suas caracter sticas s o utilizadas na cria o da marca d gua 8 A pesquisa classificada como Baseada em Imagem porque utiliza aspectos visuais do texto mais especificamente dos caracteres para inser o e recupera o da watermark Dentro dessa categoria podemos listar tr s t cnicas 10 a Line Shifting as linhas do texto s o deslocadas verticalmente para baixo ou para cima de tal forma que seja pouco percept vel aos olhos humanos As linhas mpares n o s o alteradas para que funcionem como linhas de controle Entretanto para recupera o da watermark necess rio o documento original para fins de compara o Word Shift Coding deslocamento horizontal das palavras ou linhas de acordo com a watermark que se pretende inserir As palavras s o classificadas em grupos nos quais os grupos pares variam de acordo com a watermark e os mpares funcionam como controle e compara o para os deslocamentos As palavras das extremidades n o podem ser alteradas para que seja preservado o alinhamento Assim
343. ste controle cabe ao firewall elemento que tem a finalidade de filtrar pacotes e de separar as duas redes internet e honeynet e pelo iptables configurado no honeywall Foram definidas tr s regras para controlar o fluxo do tr fego e Qualquer individuo poder realizar uma conex o da internet para a honeynet Isso permite que um intruso explore os honeypots O firewall controlar conex es feitas da rede honeynet com a internet para evitar que os intrusos usem os honeypots comprometidos para atacar outros sistemas em produc o Esta regra ser replicada tamb m no firewall iptables implementado no honeywall para que haja uma redund ncia de controle de fluxo A rede honeypot e a rede ger ncia n o poder o se comunicar Isso garante que os honeypots comprometidos n o modifiquem ou destruam os dados coletados Ao mesmo tempo um script rc firewall implementado no iptables do honeywall utilizado com a mesma finalidade ou seja prevenir ataques de dentro da rede honeynet para outros sistemas O principal objetivo deste script limitar o n mero de conex es UDP TCP ICMP que podem ser feitas para fora da rede honeynet em uma escala de tempo mensal ou di ria Nesta fase foram implementadas duas camadas de seguran a para diminuir o impacto de falhas durante o controle do tr fego de dados C Fase 3 Captura de Dados A captura de dados tem como finalidade coletar todas as atividades que ocorrem dentro da rede hon
344. ste foi realizado quanto ao requisito controle de dados do ambiente para verificar se o honeywall estava coletando todos os dados de entrada e sa da Portanto foi feito 74 www ICoFCS org 2015 um ping da maquina virtual Linux Kali 172 30 20 100 para o Honeypot DNS 172 30 20 13 Com base na configurac o feita no conjunto de regras do snort foi poss vel capturar os pacotes ICMP Figura 3 04 27 15 56 18 831361 26 0 78 DC 4E F8 172 30 20 100 gt 172 30 20 13 ICMP TTL Type 8 Code 0 ID 6594 Seq 2 ECHO 25 SC 3E 55 00 00 00 00 1B 58 OB 00 00 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 30 31 32 33 34 35 36 37 gt 2E C 53 6B 2B 85 type 0x800 len 0x62 64 TOS 0x0 ID 29641 IpLen 20 DgmLen 84 DF 00 00 00 1D 1E 1F 2D 2E 2F ENS eus Xooooo MESSE 01234567 04 27 15 56 18 831979 2E C 53 6B 2B 85 172 30 20 13 gt 172 30 20 100 ICMP TTL Type 0 Code 0 ID 6594 25 SC 3E 55 00 00 00 00 10 11 12 13 14 15 16 17 20 21 22 23 24 25 26 27 30 31 32 33 34 35 36 37 gt 26 0 78 DC 4E F8 type 0x800 len 0x62 64 TOS 0x0 ID 55708 IpLen 20 DgmLen 84 Seq 2 ECHO REPLY 1B 58 0B 00 00 00 00 00 amp gt U gt eee 18 19 1A 1B 1C 1D 1E 1F 28 29 2A 2B 2C 2D 2E 2F mete 01234567 4 pg a a ga ge a ge ge gg ge gee gg ge Fig 3 Captura do pacote ICMP Ainda neste teste o snort mostrou algumas assinaturas relacionadas ao pacote ICMP que s o de extrema import ncia para determ
345. strado na Figura 7 ocorre a troca de pacotes TCP e UDP com endere os IP espec ficos de cada usu rio Dessa forma durante o passo da coleta de dados da rede os dados mais relevantes s o aqueles coletados durante a intera o com o alvo no ambiente virtual Nesse sentido a grava o em v deo da execu o da partida se torna relevante j que atrav s dela poss vel identificar os momentos de intera o com o alvo e em seguida filtrar os dados de tr fego relacionados a esse per odo Q Q Jogador 1 Servidor Jogos Jogador 2 intera o com outros jogadores p TCP e UDP Fig 7 Principais opera es e protocolos utilizados durante a execu o do jogo B Coleta dos dados de tr fego de rede O software sniffer instalado na m quina coletora foi o tcpdump Atrav s do comando tcpdump n poss vel iniciar a captura do tr fego Assim ser mostrado todo o tr fego de rede que passa pela primeira interface listada com o comando tcpdump D sem resolver nomes Isso permitir a visualiza o do tr fego em tempo real 7 10 Foram necess rias in meras tentativas para entrar na mesma partida ou jogo do alvo Essa a fase de forma o dos grupos Em geral uma partida iniciada com um grupo de 12 jogadores divido em duas equipes rivais de 6 jogadores Durante a partida alguns jogadores podem sair e outros jogadores podem entrar Na Figura 8 apresentada a execu o do jogo Call of Duty Black Ops
346. suportado VERS ES DO ANDROID E SEUS N VEIS DE API KITKAT JELLY BEAN MRI ICE CREAM SANDWICH MRI ICE CREAM SANDWICH HONEYCOMB MR Android3 1 x 12 HONEYCOMB MRI Android3 0x 11 HONEYCOMB Android 2 3 4 Android 2 3 3 GINGERBREAD MRI GINGERBREAD Android 2 3 2 Android 2 3 1 ECLAIR MRI ECLAIR 0 1 TABELA IV Vers o Android 4 4 Android 4 3 Android 4 2 2 Android 4 2 Android 4 1 1 Android 4 1 Android 4 0 4 Android 4 0 3 Android 4 0 2 Android 4 0 1 Android 4 0 Android 3 2 Android 2 3 Android 2 2 x Android 2 1 x Android 2 0 1 Android 2 0 Android 1 6 Android 1 5 Android 1 1 Android 1 0 Fonte 19 CUPCAKE BASE 1 1 Ap s a instalac o poss vel verificar qual o n vel da API est instalado usando o programa SDK Manager instalado junto com o SDK Nele tamb m poss vel acrescentar ou remover outros niveis de API como ilustrado na Figura 5 E A Android SDK Manager Packages Tools SDK Path D android dev sdk Packages Name API Rev Status 7 LQ Tools 7 5 API19 Y iw Intel x86 Atom System Image Y Ep Google APIs ARM System Image API18 Android 4 2 API 17 Android 4 1 2 API16 Android 4 0 3 API 15 2 Android 4 0 API 14 5 Android 3 2 API13 5 Android 3 1 API12 Android 3 0 API11 Android 2 3 3 API10 Android 2 2 API 8 7 5 Android 2 1 API7 Android 1 6 API 4 Android 1 5 API 3 F
347. t para o sistema operacional Windows 7 A se o VII apresenta os resultados obtidos a partir da execu o da Maldetect para detec o de artefatos maliciosos em dumps de mem ria vol til de esta es infectadas e por fim na ltima 60 se o sao feitas as considera es finais Il TRABALHOS RELACIONADOS An lise de mem ria foi um dos principais temas do desafio de 2005 do Digital Forensic Research Workgroup DFRWS o que motivou um esfor o de pesquisa e desenvolvimento de ferramentas nesta rea 4 Este desafio deu in cio aos estudos de an lise de mem ria usando t cnicas forenses Em 20 no ano de 2011 V mel publicou um survey que apresenta v rias t cnicas de aquisi o de mem ria baseada em software e hardware Mostrando tamb m v rias t cnicas de an lise de processos de recupera o de chave criptogr fica de an lise de registro de sistemas de redes de arquivos do estado do sistema e de uma aplica o espec fica baseada nas estruturas de mem ria do sistema operacional Essas t cnicas s o am plamente utilizadas em an lise manual de mem ria Em 7 no ano de 2013 Liang Hu et al mostrou a import ncia de automatizar o processo de an lise de mem ria vol til O artigo prop e automatizar a an lise de mem ria baseada em dois fluxos de an lise DLL flow e Process flow Em cada fluxo s o coletados diversos dados que ser o proces sados e correlacionados gerando um relat rio Por m apenas o
348. t permite ao atacante realizar a es no ambiente cibern tico como por exemplo permitir o controle remoto de determinados dispositivos atrav s de um canal de comunica o ou causar falha ou interrup o de servi os computacionais e de sistema de controle de outrem Para ser eficiente um exploit faz uso de t cnicas de explora o de falhas que permitem ao atacante a execu o de instru es visando o controle do recurso computacional desejado O desenvolvimento de exploits passa por etapas espec ficas que variam de acordo com o recurso a ser explorado Desta forma para uma vulnerabilidade ser pass vel de explora o em tempo h bil necess rio no m nimo o dom nio da tecnologia a ser explorada Isto envolve a capacidade de entender ou replicar o ambiente a ser explorado Entretanto o exploit pode ser desenvolvido por meios pr prios ou ser adquirido para um prop sito particular observada uma janela de oportunidade De maneira geral o processo de emprego de um exploit segue um ciclo de vida conforme a Figura 1 cujas etapas s o explicadas na Tabela 1 Observa se nessa figura que a janela de oportunidade durante a qual o recurso est explor vel vari vel em fun o de v rios aspectos como tempo de atualiza o tempo de descobrimento complexidade da falha entre outras www ICoFCS org 2015 Conforme o estudo de Bilge e Dumitras 7 s o conhecidos alguns detalhes da janela de oportunidade Por exemplo o
349. t virtual de autocontenc o disp e de um servidor f sico Dell PowerEdge 2950 sete servidores virtuais e um firewall CISCO ASA 5520 A Figura 1 apresenta a estrutura do ambiente utilizado Rede Honeynet 172 30 20 24 Linux DNS eth0 interface virtual bridge n o tem IP eth1 interface virtual host only n o tem IP eth2 interface virtual bridge 172 30 10 30 Intruso 172 30 20 1 Intruso teste 172 30 20 100 Honeywall Rede ger ncia 172 30 10 0 24 Honeypot Linux 172 30 20 13 inux NTP Honeypot 172 30 20 19 inux FTP Honeypot 172 30 20 21 WEB Honeypot 172 30 20 25 XP SP3 lt gt Honeypot 172 30 20 36 Ne r eth0 interface f sica XenServer 172 30 10 10 Ger ncia Honeywall XenServer 172 30 10 20 Fig 1 Arquitetura proposta e modelo de solu o A Fase 1 Arquitetura Proposta Nesta fase a arquitetura foi desenvolvida com o Hypervisor XenServer uma soluc o de virtualizac o de c digo aberto que possibilita gerenciar infraestruturas virtuais 12 13 Toda a estrutura do projeto foi feita em apenas um servidor f sico Recomenda se a utiliza o de hardware dedicado para que as m quinas virtuais possam ser executadas corretamente A Tabela III apresenta as caracter sticas do servidor e plataforma de virtualiza o utilizada TABELA II CARACTER STICAS DO SERVIDOR PowerEdge 2950 Processador Intel Xeon E5410
350. tados experimentais obtidos para quatro tipos de calibres utilizados por pistolas Este artigo possui cinco se es incluindo esta introdu o Inicialmente na Se o II s o apresentados os aspectos te ricos e a modelagem f sica para o problema proposto Em seguida a Se o III aborda os ensaios realizados e os resultados obtidos Apresentam se na Se o IV as an lises e considera es comparando o modelo te rico adotado e os resultados experimentais obtidos as conclus es sao apresentadas na Se o V Hnalmente II MODELAGEM F SICA DO PROBLEMA Na Se o I A apresenta se uma introdu o aos mecanismos de expuls o do estojo na Se o I B s o abordadas as caracter sticas f sicas e respectivas dimens es dos calibres delimitados neste artigo e na Se o I C proposta uma modelagem do comportamento ac stico dos calibres delimitados A Mecanismos de Expuls o do Estojo As armas de fogo quanto ao funcionamento s o classificadas em armas de tiro unit rio e armas de repeti o As armas de tiro unit rio s o aquelas que comportam carga para um nico disparo mesmo disparando m ltiplos proj teis simultaneamente tendo portanto seu carregamento manual Como exemplo pode se citar as espingardas de um cano pistolas de tiro unit rio e garruchas J as armas de repeti o podem ser classificadas em n o autom ticas semiautom ticas e autom ticas 10 Ainda de acordo com a literatura correl
351. tcat e medusa para realizar o segundo ataque no protocolo SSH Primeiro foi executado o netcat para levantar o banner do servico SSH Depois executamos a ferramenta medusa para realizar o ataque de for a bruta como mostrado na Figura 10 Ap s o ataque a ferramenta retorna os usu rios luiza e marcia e as senhas senhaluiza e senhamarcia que foram encontrados Em uma ltima etapa Figura 11 o intruso realizou uma conex o FTP com o honeypot 172 30 20 21 Nesta conex o foram executados os seguintes comandos s cd Documentos get seminario txt delete seminario txt e exit root preto nc 172 30 20 21 22 SSH 2 0 OpenSSH_6 0p1 Debian 4 deb7u2 AG root preto medusa M ssh BANNER SSH 2 0 OpenSSH 6 0pl h 172 30 20 21 U root usuarios txt P senhas txt grep SUCCESS ACCOUNT FOUND ssh Host 172 30 20 21 User luiza Password senhaluiza SUCCESS ACCOUNT FOUND ssh Host 172 30 20 21 User marcia Password senhamarcia SUCCESS root preto Fig 10 Ataque de for a bruta com medusa root preto ftp 172 30 20 21 Connected to 172 30 20 21 20 ProFTPD 1 3 4a Server FTP RAEOO Name 172 30 20 21 root luiza 331 Password required for luiza Password 30 Welcome archive user Lluiza l172 30 20 100 tIFF 172 30 20 21 30 The local time is Thu Apr 30 17 44 34 2015 30 This is an experimental FTP server If you have any unusual problems 30 please report them via e mail to lt root brotas raeoo com br gt
352. teDate do volume header essa data est armazenada em GMT contentModDate R tulo de tempo em que o conte do do arquivo foi modificado Entenda se conte do n o apenas os dados do arquivo mas qualquer informa o associada a ele resource como cone v deo QuickTime som e outros attributeModDate R tulo de tempo da ltima vez em que qualquer campo no registro de cat logo do arquivo foi alterado accessDate R tulo de tempo em que o conte do do arquivo foi lido pela ltima vez Criado para compatibi lidade do Mac OS X com o POSIX tem o valor de zero quando criado pelo Mac OS tradicional backupDate R tulo de tempo de quando foi feito o ltimo backup da pasta Deve ser atualizado por alguma aplica o de backup e n o pelo sistema HI RESULTADOS OBTIDOS As tabelas abaixo mostram os resutados obtidos no OS X vers es Mavericks 10 9 0 e Yosemite 10 10 3 com o sistema de arquivo HFS vers o 4 Os softwares FTK Imager 3 2 e HSFExplorer 0 23 foram utilizados para acessar a estrutura do sistema de arquivos 81 Mover diret rio na mesma partic o Mover arquivo na mesma partic o Copiar diret rio na mesma parti o Copiar arquivo na mesma parti o Mover diret rio para parti o diferente Mover arquivo para parti o diferente Copiar diret rio para parti o diferente Data de Data Acesso de Backup Data de Data de Data de Cria o Modifica o Alterac o de Atrib
353. tect phishing emails Proceedings of the 16th international conference on World Wide Web ACM 2007 McGrath D Kevin and Minaxi Gupta Behind Phishing An Examina tion of Phisher Modi Operandi LEET 8 2008 4 Garera Sujata et al A framework for detection and measurement of phishing attacks Proceedings of the 2007 ACM workshop on Recurring malcode ACM 2007 RSA Online Fraud Resource Center http www emc com emc plus rsa thought leadership online fraud index htm resources acessado em 29 04 2015 APWG Reports http www antiphishing org resources apwg reports acessado em 29 04 2015 108 www ICoFCS org 2015 www ICoFCS org 2015 DOI 10 5769 C2015015 or http dx doi org 10 5769 C2015015 Pericia Computacional em Artefatos Digitais de Interceptacoes Telefonicas Wilson Leite da Silva Filho Resumo Este artigo apresenta o trabalho pericial realizado em tr s casos de intercepta es telef nicas S o discutidos os aspectos operacionais e t cnicos das intercepta es telef nicas automatizadas pelos Sistemas Vigia e Guardi o Esses sistemas seram uma grande quantidade de artefatos digitais que foram questionados quanto a sua integridade e integralidade A defesa tamb m trouxe discuss o o princ pio da igualdade de armas alegando que n o possui os mesmos recursos de an lise que a parte acusat ria Desses questionamentos que envolvem uma grande quantidade de dados surgiu a necessidade de dese
354. tem v rios m todos para extra o de dados Estes m todos s o basicamente divididos entre extra o f sica e extra o l gica 15 www ICoFCS org 2015 De acordo com 4 a extra o f sica pode ser classificada em extra o por hardware e por software A extra o por hardware realizada utilizando duas t cnicas conhecidas como chip off e Joint Test Action Group JTAG Este tipo de extra o s til quando os dados armazenados na mem ria flash n o est o criptografados Do contr rio os dados podem at ser extra dos mas n o ser o adequadamente utilizados J a extra o por software utiliza a t cnica de executar software no aparelho fornecendo uma imagem f sica completa das parti es 4 Ea t cnica normalmente empregada em diversas ferramentas de extra o de dados As t cnicas de extra o l gica dos dados s o menos destrutivas ao aparelho pois n o necessitam de altera es de hardware no dispositivo a ser analisado Segundo 4 as t cnicas l gicas de extra o de dados apenas necessitam que a op o de depura o USB esteja habilitada A t cnica conhecida como ADB pull utiliza o comando pull do ADB para realizar uma c pia recursiva dos diret rios e arquivos a serem analisados do aparelho para a m quina do perito Apesar de simples essa t cnica nem sempre vi vel pois na maioria dos casos o usuario sob o qual o ADB executado nao possui permiss o de leitura nos diret rios
355. ter sticas complexas demandando an lises demo radas quando realizadas manualmente Prop e se um m todo para reconhecimento autom tico de vogais com extrac o de caracter sticas para an lises ac sticas objetivando se contribuir com uma ferramenta de apoio nesses exames A proposta baseia se na medic o dos formantes atrav s de LPC seletivamente por detecc o da frequ ncia fundamental taxa de passagem por zero largura de banda e continuidade Realiza se o agrupamento das amostras atrav s do m todo k means com centros iniciais determinados a partir dos histogramas dos primeiros forman tes Experimentos preliminares com uma base de dados pr classificados forneceram resultados promissores com localizac o de regi es correspondentes s vogais anteriores e posterior m dia baixa propiciando a visualiza o do comportamento do trato vocal de um falante Palavras Chave Fon tica Forense Exame de Compara o de Locutores An lise Ac stica Trap zio Fon tico software Praat Abstract Forensic Speaker Comparison exams have complex characteristics demanding a long time for manual analysis A method for automatic recognition of vowels providing feature extraction for acoustics analysis is proposed aiming to contribute as a support tool in these exams The proposal is based in formant measurements by LPC selectively by fundamental frequency detection zero crossing rate bandwidth and continuity The k means method is
356. tes na pr tica determinada pelo valor da frequ ncia de amostragem em kHz mais dois 21 Yn y Ai ni 5 1 1 in y il ni 6 1 1 HI MATERIAIS E M TODOS A Amostras de dados Para os experimentos preliminares est o sendo utilizados arquivos de udio produzidos em pesquisa realizada pelo Grupo de Estudos de Sons da Fala da UTFPR 22 Trata se de grava es de oito pesquisadoras com a leitura de texto apresentando aproximadamente 60 segundos de dura o Os fonemas alvo daquele estudo eram interplosivos e pre sentes em s labas t nicas totalizando quatro repeti es para cada uma das vogais orais t nicas do PB as quais foram manualmente etiquetadas servindo de refer ncia Em uma pr xima etapa do projeto ser o utilizados os corpora Spoltech e C ORAL O primeiro um corpus compilado atrav s do projeto CORPORA from CSLU The Spoltech Brazilian Portuguese v1 0 23 que apresenta 8 080 trechos com falas de 477 falantes consistindo de leituras de www ICoFCS org 2015 senten as foneticamente balanceadas e de respostas a pergun tas O segundo um corpus compilado atrav s do projeto C ORAL desenvolvido pelo N cleo de Estudos em Linguagem Cogni o e Cultura da Universidade Federal de Minas Gerais 24 que apresenta registros com fala espont nea trazendo uma proximidade maior de situa es reais B Algoritmos utilizados Para esta etapa est sendo utilizado aca
357. the simulation area and its location is estimated Figure 6 shows the average location error for 10000 random points For a SNR of 20 dB the technique proposed in Subsection IV A is precise to within approximately 3 cm i e the method can provide precise and online border enforcing for wireless system users under the simulated scenario The precision of the method varies according to the number of WiFi hotspots and antennas present at each hotspot The results shown in Figure 6 also validate the approach proposed in Subsection IV B VI CONCLUSION This manuscript addressed an initial discussion on possible methods for providing continuous authentication while rely ing on DOA estimation in MIMO wireless networks The mathematical tools for providing a precise DOA estimation 34 in antenna arrays were presented Once a DOA estimate has been obtained the system can then estimate the user s location within the network coverage By using the estimated user position a set of rules can be enforced for the sake of obtaining a robust authentication system The first set of rules regards the containment of the user within a set of boundaries This can be easily imple mented with the estimate of the users location The second set regards the analyzes of the movement speed of the user within the network coverage If the speed exceeds a certain value the system considers the transaction is no longer safe due to the possible existence of a spoof
358. tication in the recent landscape is given by the revenue lost by companies due to Internet fraud According to 1 approximately 3 4 billion dollars were lost in the year of 2011 due to on line fraud Therefore considerable attention has been devoted by the scientific community to the development of new ways of improving security at every part involved in Internet transactions Most of the systems that rely on electronic authentication verify the user s identity in a single authentication step and then allow them to freely use the system either until they log out or for a given amount of time when they must be re authenticated The process of constant re authentication in a system is known as continuous authentication For systems that rely on continuous authentication users must constantly prove to the system who they are in order to continue operating it Although these types of re authentication improve security they will most likely result in a negative impact on the perception a user has of the ease of use of a system Most of the modern user s systems are connected to core networks by wireless access networks Such networks have become omnipresent in today s large cities and most of to day s workplaces They enable user mobility while delivering Marco Antonio Marques Marinho Paulo Roberto de Lira Gondim and Joao Paulo Carvalho Lustosa da Costa Departamento de Engenharia El trica Uni versidade de Bras lia Bras lia DF Bra
359. tinat rio da c pia devendo ser armazenado e registrado historicamente a vincula o do documento a este identificador 2 Defini o de um subconjunto C com as letras do alfabeto que ter o suas formas alteradas no texto 3 Inclus o opcional de pre mbulo ou mecanismo de seguran a marca d gua O c digo identificador pode ser acrescentado de elementos diferentes com finalidades distintas A marca d gua pode vir acompanhada de um c digo pre mbulo ser submetida a uma fun o criptogr fica ou um c digo de verifica o de erro No caso do pre mbulo definido seu tamanho e se ser inserido 16 www ICoFCS org 2015 no inicio e ou fim do c digo identificador desta forma auxiliando na identifica o da watermark no texto A fun o criptogr fica ser aplicada com a finalidade de ocultac o da mensagem proposta entretanto pode gerar um watermark de tamanho maior A terceira forma proposta consiste na inclus o de um c digo de verifica o de erros associado ao c digo identificador Uma abordagem que poderia ser utilizada com c digos identificadores pequenos o c digo de Hamming 7 4 19 o qual possibilita a detec o de at dois bits e a recupera o de at um bit da mensagem A aplica o de um c digo de verifica o contribui para solu o de dois problemas desse contexto de marcas d gua em documentos impressos ou digitalizados como existe a possibilidade de ru dos poss vel que alg
360. tion methodology for Android devices Digital Investigation The International Journal of Digital Forensics amp Incident Response 8 p S14 524 ago 2011 13 TYLER J and VERDUZCO W XDA Developers AndroidTM Hacker s Toolkit John Wiley and Sons 2012 14 XDA DEVELOPERS Recovery Disponivel em lt http forum xda developers com wiki Recovery gt Acesso em 01 mar 2014a 15 SON Namheun LEE Yunho KIM Dohyun JAMES Joshua LEE Sangjin LEE Kyungho A study ofuser data integrity during acquisition of Android devices Digital Investigation The International Journal of Digital Forensics amp Incident Response 10 p S3 S1 1 ago 2013 16 VIAFORENSICS AFLogical tool Dispon vel em lt https viaforensics com resources tools android forensics tool gt Acesso em 03 mar 2014 17 XDA DEVELOPERS Boot Loader Dispon vel em lt http forum xda developers com wiki Bootloader gt Acesso em 03 mar 2014b 18 TEAM WIN Team Win Recovery Project Disponivel em lt http teamw in project twrp2 gt Acesso em 03 mar 2014 19 ANDROID DEVELOPERS What is API Level Disponivel em lt http developer android com guide topics manifest uses sdk element html ApiLevels gt Acesso em 01 abr 2014b 20 SAMSUNGELECTRONICS Servicemanual for GSM telephone GT 19100 2011 103 p 21 LG ELETRONICS LG P920h Manual do usu rio 2011 22 GIT HUB OMAP4BOOT Tools to boot omap 4xx over USB
361. tion n 11 p 201 213 http www journals elsevier com digital investigation 8 PEREIRA Murilo Tito Forensic analysis of the Firefox 3 Internet history and recovery of deleted SQLite records 2009 Elsevier Digital Investigation n 5 p 93 103 http www journals elsevier com digital investigation Para mensagens muito longas cujo conte do extrapola o espaco especificado na c lula sao definidos 4 bytes no final da rea destinada a c lula que cont m o endereco da p gina de overflow com o restante da mensagem que pode ser recuperada Peritos Criminais Alberto Magno M Soares Joao Paulo C de Sousa Juliano K M Oya Se o de Per cias em Inform tica Instituto de Criminal stica Policia Civil do Distrito Federal Bras lia DF Brasil E mails alberto magno gmail com jpclaudino gmail com juliano cya gmail com 52 www ICoFCS org 2015 DOI 10 5769 C2015007 or http dx doi org 10 5769 C2015007 Investigac o em Ambientes de Jogo Multijogadores Online Juliano K M Oya Cleber Scoralick Junior e Bruno W P Hoelz Resumo Jogos online por meio da Internet podem ser utilizados para auxiliar ou cometer crimes como explorac o sexual de criancas e adolescentes racismo inj ria difamac o cal nia e associac o criminosa Al m disso crimes praticados fora do ambiente online como furtos podem apresentar vest gios inesperados nesse ambiente Neste trabalho realizou se um estudo explorat rio do ambiente de j
362. tivo do software Praat calcula a autocorrela o de cada bloco de sinal submetido a uma janela de Hanning ou Gaussiana sendo o resultado obtido pela divis o da fun o de autocorrela o do sinal pela autocorrela o da pr pria janela como demonstrado na Equa o 1 em que r 7 corresponde autocorrela o resultante rr w 7 autocorrela o do sinal janelado e r 7 autocorrela o da janela utilizada Dessa forma evita se que harm nicos sejam confundidos com a frequ ncia fundamental 20 Cpe herr Cele en Ca 1 O algoritmo possui ainda refinamentos com limiares de sil ncio e de vozeamento e a atribui o de custos para transi es de vozeamento desvozeamento valor de oitava e salto de oitava entre dois frames consecutivos O tamanho da janela de an lise tamb m est atrelado ao limite inferior para busca de frequ ncia pitch floor 9 D Formantes Uma forma de reconhecer as regides voc licas de um sinal de voz atrav s da obtenc o dos formantes que pode ser feita pela aproxima o do envelope espectral desse sinal atrav s de uma an lise de predi o linear ou LPC Linear Predictive Coding exemplificado na Figura 2 Tal t cnica consiste em separar o sinal de excita o da resposta do trato vocal extraindo justamente a informa o de formantes que de interesse para a an lise 14 A an lise de predi o linear parte do pressuposto de que cada amostra do sinal de fala aproxima
363. to penetra o infe o em vers o p blica como em vers o comercial sendo ambas as silenciosa vers es coordenadas e mantidas por uma empresa americana Mozilla Firefox Firefox addon Windows 7 400 Bootstrapped Code Windows XP Window 8 1 reduzido Outra plataforma menos difundida mas aparentemente Execution muito conhecida no mercado de seguran a cibern tica OLE automation Internet Explorer lt 11 800 conhecida como Elderwood Project tendo sido reportada array remote code publicamente pela equipe de seguran a da empresa Symantec execution WolfPack Java 1 6 0 Java 1 7 0_06 Java 1000 15 Tal plataforma relacionada a um grupo espec fico de 1 7 0_10 Java 1 7 0_17 Java hackers permite a cria o de vetores de ataques e c digos para Applet Windows 7 vulnerabilidades em sistemas Adobe Flash e navegadores Windows XP Window 8 1 Internet Explorer por exemplo Exploits Kits de Firefox 31 34 Windows 7 800 teste de Existem dados em fontes abertas que apontam o uso desta pd infe o plataforma em ataques conhecidos como a Opera o Aurora silenciosa Tamb m existem relatos de arquivos de malware relacionados Polymorphism IE1 1 Internet Explorer 11 1200 Eld d Pror Estad Unid Exploit Source Code Windows 7 ao Elderwoo roject em pa ses como Estados Unidos Canad China Austr lia Hong Kong entre outros Uma Polymorphism Firefox 31 34 Windows 7 1000 caracter stica marcante do grupo relaciona
364. tp cran r project org web views WebTechnologies html 5 Os pacotes do R que permitem a extra o de dados da Web em baixo nivel s o XML RCurl e rjson RJSONIO jsonlite O pacote XML cont m fun es para an lise XML e HTML e suporta XPath para pesquisa em XML Uma importante fun o em XML para extrair dados de uma ou mais tabelas HTML readHTMLTable O pacote RCurl faz uso da biblioteca libcurl para transfer ncia de dados usando v rios protocolos permite compor solicita es HTTP e fornece convenientes fun es para busca de URLs m todos get post e outros al m de processar os resultados retornados pelo servidor Web JSON JavaScript Object Notation um formato de interc mbio de dados que se tornou o mais comum da Web Os pacotes rjson RISONIO e jsonlite convertem objetos R em objetos JSON e vice versa 5 C Modalidades de Licita es No estudo de caso realizado procurou se distinguir os contratos celebrados por diferentes modalidades de licita o De uma maneira sucinta s o relacionadas as principais modalidades nesta se o A lei n 8 666 de 21 de junho de 1993 instituiu as normas para licita o e contratos da administra o p blica De acordo com a referida lei existem varias modalidades de licitac o dentre as quais carta convite tomada de pre os e concorr ncia A lei n 10 520 de 17 de julho de 2002 instituiu a modalidade de licita o denominada preg o para a aquisic o de bens e s
365. tware Engineering Criminology BEST PAPER AWARD On this year the Best Paper Award winner is the paper Identifica o do calibre de muni es por meio da assinatura ac stica dos estojos ejetados written by Luiz Vinicius Gontijo Laborda Larrain Jo o Paulo Carvalho Lustosa da Costa and Tadeu Junior Gross The choice was made by the TPC members CONTENTS Identifica o do Calibre de Muni es por Meio da Assinatura Acustica dos Estojos Ejetados By Luiz Vinicius Gontijo Laborda Larrain Jo o Paulo Carvalho Lustosa da Costa Tadeu Junior Gross 08 Prote o da Prova Documental Impressa e Digitalizada com a Utiliza o de Watermarking By Felippe Pires Ferreira 14 M todo para An lise Ac stica e Reconhecimento de Vogais em Exames de Compara o de Locutores By Andrea Alves Guimar es Dresch Hugo Vieira Neto Andr Eug nio Lazzaretti Rubens Alexandre de Faria 22 Continuous Authentication via Localization Using Triangulation of Directions of Arrival of Line of Sight Components By Marco Antonio Marques Marinho Paulo Roberto de Lira Gondim Jo o Paulo Carvalho Lustosa da Costa 31 Extra o de Dados em Smartphones com Sistema Android Usando Substitui o da Parti o Recovery By Sibelius Lellis Vieira Adriano Rodrigues da Cruz 36 M todo de Recupera o de Mensagens Apagadas do SQLite no Contexto do Aplicativo WhatsApp Para Plataforma Android By Alberto Magno Muniz Soares Jo o Paulo Claudino de Sousa Juliano K M
366. uagem R e apresenta um estudo de caso para identificac o da correlac o entre o maior n mero de contratos realizados por uma unidade administrativa com uma mesma empresa e 0 n mero total de contratos celebrados por esta unidade administrativa As informa es foram extra das do s tio da internet www dados gov br Palavras Chave extra o de dados da Web contratos p blicos reconhecimento de padr es dados abertos dados governo Abstract This article lists techniques for extracting Web data relating to tenders and public contracts for statistical inference for pattern recognition using the R language and presents a case study to identify the correlation between the maximum number of public contracts from an administration unity with the same company and the total number of contracts from this administration unity The information was extracted from the Web site www dados gov br Keywords Web data extraction public contracts pattern recognition open data government data I INTRODU O Identificar padr es em licita es e contratos p blicos fraudulentos de fundamental import ncia para a melhor utiliza o dos recursos humanos dos rg os de controle governamentais A enorme quantidade de licita es p blicas juntamente com a escassez de pessoal nos rg os de controle faz com que as verifica es dos contratos sejam realizadas em um pequeno percentual O crit rio de escolha dos contratos a serem
367. ucesso ou insucesso no emprego de determinada ferramenta etc Algumas dessas quest es t m n o somente implica es estrat gicas mas devem muitas vezes ser detalhadas em seus aspectos t ticos e operacionais de acordo com o n vel de a o que se deseje empreender no mercado de vulnerabilidades Por outro lado visto que muitas das ferramentas a dispon veis s o usadas tamb m no sentido de contribuir com medidas de prote o de sistemas cibern ticos importante ressaltar que utilizar dessa forma tais ferramentas requer prepara o n o apenas adquiri las mas principalmente para ter um planejamento claro e definido do seu emprego bem como ter capacidade de analis las seja na perspectiva forense seja na perspectiva de crime cibern tico O presente trabalho de car ter explorat rio apresenta atividades que t m a possibilidade de ao menos parcialmente ser objeto de automa o seja no levantamento nas an lises e na aquisi o de conhecimentos reunindo tecnologias de minera o de dados filtragem descoberta de padr es representa o de ontologias de seguran a na rea cibern tica etc assuntos que constituem poss veis trabalhos futuros AGRADECIMENTOS Os autores agradecem s Ag ncias brasileiras de pesquisa e inova o CAPES Projeto FORTE Edital CAPES Ci ncias Forenses 25 2014 e FINEP Conv nio RENASIC PROTO 01 12 0555 00 pelo suporte a este trabalho REFER NCIAS Clarke Richard A
368. ulo de Formantes no Praat utilizada a op o To Formant Burg que possibilita a escolha do n mero m ximo de formantes a ser buscado e o valor m ximo da frequ ncia A largura da janela configurada em 25ms por ser um valor considerado empiricamente razo vel para este tipo de an lise Mantem se em 50 Hz o valor do filtro de pr nfase que corresponde ao valor inicial em que o filtro atuar para corrigir a combina o da atenua o de altas frequ ncias provocada pelo trato vocal e a amplifica o associada radia o do som atrav s da abertura dos l bios Em seguida a matriz obtida submetida fun o For mant Track que considera os valores obtidos para cada frame como um candidato ao qual atribu do um custo referente ao valor da frequ ncia banda e transi o entre oitavas O n mero m ximo de formantes ser menor por m com maior exatid o dos valores obtidos Ap s convers o para tabela realizada ainda uma limpeza de valores undefined para que o arquivo salvo possa ser corretamente carregado no Matlab 5 Sele o de amostras no Matlab as tabelas geradas 25 OO O Fig 3 6 Centroide cluster Inftio SelePPlo do trecho de Mudio Continui dade ok Reamostragem e eliminarlo do nivel DC Banda ok CBllculo da taxa de passagem por zero ZCR Centroide cluster C llculo da frequ ncia fundamental FO
369. ultado apresentado na Tabela II TABELA II DESCRI O DOS CAMPOS DA TABELA MESSAGES key remote jid 21 Na Figura 7 apresentado o registro com dados dessa mensagem Considerando os valores de tamanhos obtidos na Tabela II possivel extrair o conte do de cada campo da messages pr je i PAN key remote Jid status key id 566184816112 s w hatsapp net14299 70185 3 Mensagem 3 L9 U00 LO y 35 35 36 31 38 34 38 31 36 31 31 32 4073 2E 77 68 61 74 73 61 70 70 2E 6E 65 74 31 34 32 39 99 37 30 31 38 35 2D 33 04 4D 65 6E 73 61 67 65 6D y A wi 01 4C FO E5 E7 08 FF L a F atado AR teeseecececces qe do AR AAN Cee n te AS received timestamp timestamp send timestamp Fig 7 Exemplo de interpreta o da estrutura de dados de um registro de mensagem do aplicativo WhatsApp 48 www ICoFCS org 2015 IV RECUPERA O DE MENSAGENS A Recupera o de dados na regi o desalocada freeblock de p ginas folha No cen rio de recupera o de dados deve se primeiramente compreender o funcionamento das p ginas folha visto que estas p ginas s o as respons veis por armazenar o conte do dos registros em um banco de dados SQLite Uma p gina folha assim como qualquer outra p gina estruturada em c lulas Cada p gina folha possui um cabe alho composto de 8 bytes que cont m as informa es descritas na Tabela II O cabe alho seguido po
370. um arquivo de banco de dados dividido em v rias unidades de armazenamento chamadas p ginas As p ginas s o numeradas sequencialmente iniciando em 1 e possuem o mesmo tamanho que pode ser entre 512 2 e 65 536 2 bytes P gina 1 s P g O agina z Fig 2 Vis o geral da estrutura de um arquivo de banco de dados No in cio da primeira p gina armazenado o cabe alho do banco de dados uma sequ ncia de 100 bytes cujos primeiros 16 bytes s o a assinatura SQLite format 3 indicando que se trata de um banco de dados SOLite Ainda no cabe alho pode ser extra da a informac o do tamanho das p ginas offset 16 tamanho de 2 bytes os quais devem ser interpretados como um inteiro de 16 bits no formato big endian Essa mesma p gina raiz de uma b tree que cont m uma tabela especial denominada sqlite master que armazena o esquema completo do banco de dados P ginas Internas Saar E ponteiro T a OF Tt i A VA ak no os 5 os 21 dados 23 da os Iv CCC Fig 3 Exemplo de uma estrutura de rvore balanceada Fonte adaptado de 6 47 www ICoFCS org 2015 Uma grande parte do arquivo do banco de dados SQLite organizada em uma ou mais estruturas b tree Uma nica estrutura b tree armazenada usando uma ou mais p ginas e cada p gina cont m um nico n da b tree As p ginas usadas para armazenar uma nica estrutura de b tree n o precisam
371. um esfor o que s pode ser realizado em tempo razo vel com o auxilio de recursos computacionais Desta forma desenvolveu se um software espec fico para esta tarefa Em linhas gerais o software deve ler o relat rio emitido pelo Sistema Guardi o na presen a do perito e interpretar cada linha deste relat rio extraindo informa es que ser o usadas para procurar o arquivo correspondente nas m dias anexas aos autos e no disco r gido de backup O sucesso desta compara o similar ao processo de extra o dos udios de dentro do Sistema Guardi o caso eles ainda estivessem l Os m dulos e o fluxo dos dados envolvidos nessa opera o est o demonstrados nos diagramas das figuras 2 3 e 4 www ICoFCS org 2015 L Dados obtidos pelo Perito diretamente do Sistema Guardi o Dados fornecidos pelo rg o Policial Software Pericial Relat rios emitidos pelo Software Pericial mm Fluxo dos dados Figura 2 Legenda dos fluxogramas Software Pericial Relacionamento das ema Informac es l Relat rio com dados Guardi o e udios relacionados Figura 3 Fluxograma do software pericial Com esse m dulo do software foi poss vel responder aos quesitos a se o conjunto dos artefatos digitais anexados aos autos correspondem a completude das intercepta es telef nicas b se os registros e udios est o ntegros ou seja n o foram apagados ou editados O pr ximo quesito a ser respondido foi c s
372. uma informa o seja perdida durante o processo de recupera o da watermark e no caso do c digo Hamming permite a detec o da letra que sofreu interfer ncia ou foi alterada propositalmente O subconjunto descrito anteriormente uma das bases do m todo A adi o de uma marca d gua n o percept vel em texto utiliza varia es no formato das letras dos documentos S o pequenas varia es que se tornam pouco percept veis quando inseridos em um documento completo As diferen as das letras podem ser impostas atrav s de fontes novas com diverg ncias intencionais ou atrav s de duas fontes textuais predefinidas em editores de texto que possuem letras com formas semelhantes como a letra a da fonte Arial e a mesma letra a da fonte Calibri A escolha dos caracteres que comp em o subconjunto dever considerar caracter sticas presentes no idioma em que o texto escrito Devem ser analisados aspectos como a Frequ ncia de ocorr ncia dos caracteres nas palavras do idioma Ocorr ncia de d grafos como rr ou ss Um subconjunto C com muitos caracteres permite a inclus o de watermark em um menor fragmento de texto Entretanto pode comprometer a marca d gua tornando mais frequentes e percept veis os caracteres alterados 18 d O tamanho dos caracteres no documento influenciar a percep o das diverg ncias entre letras Distor es que possam acontecer nos caracteres durante o processo de digitaliza o
373. uma processo mais aberto e democr tico quanto ao texto jur dico da dita tipifica o Talvez atrav s de uma plataforma online de modo que tanto a sociedade mul umana quanto grupos de movimento social leg timos sejam abarcados O terceiro argumento parece um pouco deslocado Afinal como Embaixador Samuel Pinheiro Guimar es colocou em um Semin rio recente sobre o terrorismo Enquanto o Brasil mantiver internamente um conv vio pac fico harmonioso entre as diferentes comunidades de um lado e no sistema internacional ter posi es que fa am com que ele continue na linha de defesa da paz de defesa do desarmamento de rep dio ao terrorismo de solu o pac fica das controv rsias nos estaremos criando as principais condi es para evitar que o Brasil seja inclu do no rol das na es que s o objeto de eventuais atentados terroristas 28 Por fim quanto ao quinto argumento infelizmente essa uma realidade na hist ria brasileira e deve ser superada socialmente atrav s de mecanismos como a Comiss o da Verdade Portanto de maneira geral constata se a necessidade de uma tipifica o do terrorismo na legisla o interna lembrando a igual necessidade de um debate no corpo jur dico que se desenvolver para a vertente cibern tica Fazendo a ressalva de que ao se analisar a vertente cibern tica o melhor caminho seria a n o dire o aos extremos Em outras palavras n o se pode tipificar o Ciberterrorismo enqu
374. umas etapas deste processo Estas melhorias visam tornar este processo mais eficaz e possibilitar a identificacao de um n mero maior de fraudes IV EXPERI NCIAS OBTIDAS NA MANUTEN O DO CAT LOGO DE FRAUDES Ao longo desses sete anos de tratamento e an lise de fraudes foi poss vel observar diversas tend ncias no com portamento dos e mails fraudulentos O entendimento des sas tend ncias oferece condi es de desenvolver guias de recomenda es e ferramentas automatizadas que possam aju dar no combate dissemina o dessas fraudes Essa se o apresenta algumas estat sticas tais como quantidade de e mails recebidos n mero de fraudes analisadas n mero de fraudes por categoria etc Assim tamb m s o apresentados resultados de an lises de URLs maliciosas e tend ncias obser vadas no Cat logo de Fraudes da RNP A Estat sticas de fraudes catalogadas Os e mails recebidos passam por uma triagem e s o classifi cados como spam fraude ou mensagem em l ngua estrangeira http www rnp br servicos seguranca catalogo fraudes 105 Grande parte dos e mails encaminhados por usu rios s o men sagens de spam A figura 1 contrasta a quantidade total de e mails recebidos com a quantidade de mensagens classificadas como fraudes ou mensagens em l ngua estrangeira no per odo de abril de 2014 a abril de 2015 25000 total fraudes l ngua estrangeira 20000 15000 10000 Abr Mai Jun Jul A
375. uperposi o das ondas que se propagam nos tubos em sentidos opostos produz uma onda estacion ria Os comprimentos de ondas para os quais estes fen menos acontecem correspondem as frequ ncias de resson ncia do tubo A Figura 4 exibe algumas ondas sonoras estacion rias para um tubo com uma das extremidades fechadas e a outra aberta Neste caso haver um ponto de deslocamento m ximo na extremidade aberta e um n na extremidade fechada Para o c lculo com precis o do comprimento de onda da primeira harm nica a corre o final deve ser considerada Esta corre o final pode ser obtida atrav s do produto do di metro do tubo por uma constante 12 Atrav s de pesquisa bibliogr fica foi observado a aplica o de coeficientes de corre o final para tubos com uma extremidade fechado na faixa de 0 3 a 0 6 Para a modelagem deste problema em espec fico foi adotado um coeficiente de corre o final de 0 4 n l ie eee 1 023 X y C D no 3 OO rte 4 L xD 7 n Fig 4 Ondas estacion rias em tubos com apenas uma extremidade livre Para a estimativa das frequ ncias de resson ncia te ricas foi considerado o estojo como sendo um tubo cil ndrico ideal ou seja perfeitamente cil ndrico e homog neo com apenas uma das extremidades fechada As frequ ncias de resson ncia podem ser estimadas por f nv N 4 L 0 4D em que v Le D s o a velocidade do som o comprimento total e o di metro interno do tubo
376. utilizam esses enderecos IPs n o podem comunicar se diretamente com outros dispositivos na Internet necessitando de um servico de traduc o de enderecos IPs privados para endere os roteaveis na Internet Comumente o servi o utilizado o NAT Network Address Translation 11 Para organizar o endere amento IP faixas de endere amentos s o distribu dos de forma hier rquica sendo a IANA Internet Assigned Numbers Authority 17 a autoridade central respons vel No Brasil a autoridade regional a CGI br 4 que dentre outras atribui es realiza a aloca o de endere os IP no mbito nacional Dessa forma um provedor de conex o de Internet tamb m chamados de ISP Internet Service Provider deve contratar faixas de endere os IP atrav s dos registros regionais ou nacionais quando houver e quando um cliente desse provedor se conectar Internet ele dever receber um dos endere os IP pertencentes faixa contratada 11 Para poder utilizar a Internet o dispositivo que interliga a rede local ao ISP deve se autenticar no provedor O registro destas autentica es de extrema import ncia para a investiga o pois atrav s dele poss vel identificar que um cliente iniciou uma conex o em determinada data e hor rio qual o endere o IP recebeu e a data e hor rio da desconex o Em uma nova conex o o mesmo usu rio pode receber outro endere o IP por 1sso de suma import ncia que a investiga
377. utos X X diretBlrio diretflrio na na partito partiPRlo de de destino origem e alterado de destino alterados X X arquivo arquivo na na partittlo partio de de destino origem e alterado de destino alterados X X diretBlrio diretflrio na na partito partio Tabela 1 Pela interface gr fica do sistema operacional Compactar Pasta tar cf Compactar Arquivo tar cf Descompactar Pasta tar xf Descompactar Arquivo tar xf Arquivo tar ap s descompactac o Compactar Arquivo gzip Descompactar Arquivo gzip d Compactar Pasta zip Compactar Arquivo zip Descompactar Pasta unzip Descompactar Arquivo unzip Arquivo zip ap s descompactac o Tabela 2 Linha de comando para compacta o e descompacta o Data de Acesso Data Data de Data de de Modifica o Altera o Cria o de Atributos www ICoFCS org 2015 Data Data de de Modifica o Cria o Alterar permiss es do arquivo chmod xxx Alterar permiss es de pasta chmod xxx Arquivo oculto Chflags hidden Pasta oculta Chflags hidden A o Data de Acesso Data de Altera o de Atributos Tabela 3 Linha de comando para manipula o de atributos Data Data de de Modifica o Cria o Cat Data de Acesso Data de Alterac o de Atributos Tabela 4 Linha de comando para leitura de arquivo Data Data de de Modificac o Cria o Ls Cd Cria o de diret ri
378. utura b tree e inspe o das reas de freespace rea n o alocada e freeblock regi o desalocada dessas p ginas em busca de c lulas marcadas como apagadas que possibilitem recupera o das mensagens Para o processo de recupera o de mensagens foi desenvolvido programa na linguagem JAVA para percorrer os dados do arquivo da base de dados conforme algoritmo descrito na Figura 16 Essencialmente o algoritmo desenvolvido realiza leitura do tamanho das p ginas do arquivo inspeciona a rea desalocada e levanta informa es do esquema de dados da tabela messages Iterativamente percorre todas as p ginas de dados examinando o espa o n o alocado freespace e os blocos desalocados freeblocks e em cada uma dessas reas faz an lise l xica dos bytes no formato definido no esquema localizando a posi o da sequ ncia de caracteres Us whatsapp caracter stica do campo denominado key remote jid que deve conter identifica o do interlocutor nos registros pertencentes tabela de mensagens Esta t cnica semelhante utilizada em 8 para recupera o de registros da tabela moz places da base de dados SQLite do browser Firefox Como exemplo de recupera o na rea n o alocada freespace execu o do algoritmo inicialmente foi analisado cen rio da base de dados com exclus o simult nea de v rias mensagens de uma conversa O programa identificou mensagens em rea n o alocada conforme descrito na Figura
379. va dos Santos Dino Macedo Amaral Departamento de En genharia El trica Universidade de Bras lia Bras lia DF Brasil E mails holyminds O gmail com dinoamaral O gmail com Inicialmente os malwares tinham objetivos simples como apagar arquivos ou provocar erros ou ainda executar ativi dades indesejadas em um computador as quais eram perce bidas pelos usu rios Por m com o avan o dos malwares os mesmos s o capazes de capturar e at sequestrar dados relevantes das v timas Este ltimo tipo de malware chamados de rasomware 1 criptografa os arquivos da v tima e pedem pagamento pela decifra o destes arquivos 3 Existe ainda o conceito de Advanced Persistent Threats APT Amea a Persistente Avan ada a qual geralmente possui alvos espec ficos e utiliza t cnicas avan adas como a explora o de uma ou mais vulnerabilidades 0 day e o uso de certificados falsificados para comprometer as esta es de seus alvos 21 Assim na maior parte dos casos n o s o produzidos por indiv duos isolados mas sim por institui es crime orga nizado ou governos que mediante objetivos espec ficos ajudam a financiar tais atividades 3 Este tipo de amea a geralmente usada em atividades de espionagem ou sabotagem 10 Diante deste cen rio a an lise de mem ria vol til con siste em umas das principais t cnicas para analisar amea as avan adas por ser eficiente na identifica o de caracter sticas comportamentais t
380. vendo phishing e suas principais caracter sticas O Anti Phishing Working Group APWG publica relat rios trimestralmente 12 com as tend ncias de ataques de phishing informando a quantidade de marcas utilizadas como alvo pelos phishers os setores mais atacados da ind stria os pa ses que mais hospedam sites de phishing e cavalos de tr ia utilizados nestes ataques e a distribui o dos phishings por TLD top level domain III PROCESSO DE TRATAMENTO Desde 2008 o Centro de Atendimento a Incidentes de Seguran a da RNP CAIS RNP mant m uma base de dados de fraudes eletr nicas encaminhadas por usu rios da Internet Todos os e mails recebidos pelo CAIS apontados como alerta de uma potencial fraude s o analisados e catalogados em uma ferramenta web disponibilizando as informa es coletadas www ICoFCS org 2015 como fonte de consulta atrav s do site da iniciativa O ob jetivo do cat logo portanto apoiar a comunidade brasileira na identifica o e conscientiza o sobre os principais golpes eletr nicos que est o sendo veiculados na Internet A partir dos e mails recebidos pelo CAIS realizada uma triagem inicial Atualmente cerca de 15 000 mensagens s o tratadas a cada m s desse total s o descartados os spams e as mensagens em l ngua estrangeira posteriormente descarta se as mensagens repetidas Com isso s o catalogadas uma m dia de 200 novas fraudes por m s Ap s a mensagem ser classificada como f
381. vos registros v o sendo inseridos a regi o desalocada vai sendo ocupada destruindo a informa o das conversas mais antigas www ICoFCS org 2015 Offset Contetido em hexadecimal Texto todas as conversas foram exclu das e uma nova mensagem foi Hexa i hoes GG 9 enviada ao usu rio Teste WhatsApp 3 Cabe alho Offsets 4 c lulas Chat com usu rio Teste WhatsApp 2 removido T i ste WhatsApp 2 fo oo od bo od be ad ooffer oilbr calor lt o1 fe 29 Reai o n o al d Nova mensagem enviada para egiao nao alocada APRIL 28 2015 usuario Teste WhatsApp 3 02e70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 7 touro Mensagens Y Ma 02880 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 exclu das 00 00 00 00 00166 04 1F 00 43 09 25 f C Mensagem 2 418 am v APRIL 28 2015 a aae kadas Mensagem 3 41s ay gt C lula 4 556184 XXXXXXXXXXXXXXXXXXXXXXXXXXX Mensagem 4 418 am FITAMI 8161128s whatsap p net1429970185 Mensagem 418 4M v 3 Mensagem 3 L a Mensagem 6 45 am v 000 L afi y L be yA e t Fig 14 Chats com os usu rios Teste WhatsApp 2 e Teste WhatsApp 3 02 10 UU 00 00 oe 08 oe 08 00 00 05 01 05 01 00 00 00 SEI N 02 20 08 00 35 35 36 31 38 34 38 31 36 31 31 32 40 73 556184816112 s Neste cen rio mesmo com a exclus o do chat com o 02 30 2E 77 68 61 74 73 61 70 70 2E 6E 65 74 31 3
382. ware de computa o forense criado pela AccessData Ele capaz de processar um dispositivo como um disco r gido em busca de informa es diversas 9 2 uma aplica o para visualizar e extrair arquivos de um volume HFS ou em um volume HFSX que est o localizados em uma unidade f sica como uma imagem de um disco dmg ou em um dump de sistema de arquivos em formato raw 10 19 C Trabalhos correlatos Um estudo do comportamento de r tulos de tempo em siste mas NTFS foi realizado por Junior Cleber Scoralick 1 Seu trabalho baseou se em Chow et al 2 que apresentaram regras gerais baseadas em alguns dos r tulos de tempo existentes Ele tamb m inspirou se em Bang et al 3 e Bang Yoo e Lee 4 que avaliaram mais r tulos de tempo e um n mero maior de opera es Este artigo busca realizar um estudo semelhante mas aplicado ao sistema de arquivo HFS II ASPECTOS T CNICOS O HFS tamb m chamado Mac OS Extended foi introdu zido em 1998 para superar os problemas da HFS e se tornar o sistema de arquivos principal usado em computadores Mac HFS uma vers o melhorada do HFS suportando arquivos e volumes maiores pelo o uso de endere os de blocos de aloca o de 32 bits e Unicode para nomes de arquivos Ele tamb m suporta m ltiplos atributos para arquivos como jour naling registros de textitinline attribute data lista de controle de acesso baseado em arquivos de seguran a e compatibilidade com os modelo
383. work is divided into five sections In Section II the problem of DOA estimation is detailed and explained The localization of a user within a network is shown in Section III In Section IV three ways of employing the estimated location to user authentication are discussed In Section V numerical simulations are presented considering mobility models and the average location error as a metric Finally in Section VI conclusions are drawn II DIRECTION OF ARRIVAL ESTIMATION This section describes the steps involved in estimating the DOAs of a set of received signals in an antenna array Subsection H A details the data model In Subsection II B the estimation of the DOAs using the ESPRIT algorithm is presented A Data Model The baseband signal received at the m th antenna of an antenna array composed of M antennas at time snapshot t 31 can be represented as d at y s t e 7 1 4 m t 1 i 1 where s t is the complex symbol transmitted by the i th source at time snapshot t and n t is the zero mean circularly symmetric ZMCS additive white Gaussian noise present at the antenna m at time snapshot t u 0 represents the spatial frequency of the signal transmitted by the 2 th source For this work the spatial frequencies of a signal impinging over the uniform linear array ULA are given by O o cos 0 2 where 0 is the direction of arrival of the i th signal A is the separation between the antenna elements and
384. www ICoFCS org 2015 B R Project Antes da descrig o dos procedimentos para obtenc o dos dados utilizados no estudo de caso nesta se o s o apresentadas algumas maneiras de extra o de dados da Web A extra o de dados da Web pode ser realizada em v rios n veis desde a an lise de baixo n vel dos formatos HTML XML JSON at a chamada final de fun es simples implementadas por v rios pacotes de conveni ncia que podem por exemplo fazer uso internamente de especifica es de API 5 A linguagem R fornece uma gama de funcionalidades e recursos que possibilitam a extra o e an lise de dados da Web de uma maneira r pida e simples Sua utilizac o cresceu bastante no mundo nos ltimos anos Por este motivo foi escolhida para a realizac o do estudo de caso R uma linguagem de programa o livre e um ambiente de software que fornece uma grande variedade de t cnicas estat sticas e gr ficas A CRAN Comprehensive R Archive Network uma rede de FTP e servidores Web ao redor do mundo que armazena vers es do c digo e documenta o do R id nticos e atualizados Dentro da comunidade R muitos projetos contribuiram para fornecer infraestrutura que permitissem a intera o do R com a Web Recentemente uma grande quantidade de pacotes de correspond ncia com tecnologias Web tem sido desenvolvida e agora coletada organizada e estruturada em uma vista de tarefas de tecnologias Web CRAN dispon vel no ht
385. x para identificar se o malware j foi instalado na m quina da v tima e assim n o executar nada e Avaliar os artefatos de rede Durante a an lise dos artefatos de rede deve se identificar Mecanismo de sincroniza o usado para serializar o acesso um recurso T cnica utilizada por rootkits para modificar o comportamento normal de 16 uma a o do sistema operacional ou processo 62 rotinas de tratamento ou em apenas um ponto 11 Outra t cnica utilizada o hook driver Hooking the I O Request Packet IRP na qual os rootkits alteram a IRP estrutura de dados que cont m c digos para identificar as opera es desejadas e buffers de dados que ser o lidos ou escritos pelo driver Geralmente o m dulo tcpip sys atacado com esta t cnica 11 Por ltimo pode ser usada a inline hook tamb m conhecida como Dynamic code patching que sobrescreve os primeiros bytes de um fun o com a instru o de jump instru o JMP do assembly 8 para redirecionar a execu o para a fun o do c digo malicioso e ao final de sua execu o retornar para a fun o original 15 Dump de processos DLLs e drivers suspeitos Nesta fase espera se obter uma lista dos poss veis artefa tos malicioso que precisam de uma an lise mais profunda Para esses poss veis malwares deve se realizar um dump do processo correspondente da mem ria e realizada uma revis o de strings varredura com antiv rus engenharia reversa e outr
386. xpuls o do estojo independe da a o volunt ria do atirador estando condicionada portanto exclusivamente ao disparo da arma de fogo Por outro lado esta abordagem tamb m demonstra se v lida para determinadas armas de repeti o n o autom tica condicionada a o volunt ria do atirador para a extra o do estojo como no caso de espingardas de repeti o pump action ou na pr pria substitui o dos cartuchos deflagrados no tambor do rev lver Saw E me ua AUTO www ICoFCS org 2015 B Caracteristicas F sicas do Estojo O cartucho composto de maneira geral por quatro componentes o proj til a carga propelente o estojo e a espoleta conforme apresentado na Figura 2 Para a ocorr ncia do tiro a arma percute a espoleta que provoca a queima da carga propelente gerando um grande volume de gases que expulsa o proj til atrav s do cano da arma O estojo o inv lucro que permite a uni o mec nica de todos estes componentes em uma nica pe a facilitando o manejo da arma e a redu o do intervalo de cada disparo Proj til Propelente Fig 2 Componentes presentes em um cartucho de fogo central Atualmente a maioria dos estojos s o constru dos em metais n o ferrosos principalmente o lat o composto por liga de cobre e zinco mas ainda assim poss vel encontrar estojos de diversos tipos de materias como alum nio pl stico papel o entre outros A forma e as dimens es do estojo indi
387. ysics acoustical After we validated this model to four pistols caliber s and tested if the acoustical signature generated when the casing touch any rigid surface can be used to identify the ammunition caliber s in terms of audio forensics Keywords Audio Forensics Forensic Ballistcs Gunshot Recordings Firearm identification I INTRODUCAO A difus o dos dispositivos port teis de grava o tais como os celulares smartphones e suas integra es com as diversas redes sociais existentes geram um volume exacerbado de registros audiovisuais contendo em diversas ocasi es eventos relacionados a pr tica de a es delituosas incluindo o uso de armas de fogo A an lise forense ac stica demonstra se uma importante e promissora rea das ci ncias forenses para a investiga o de crimes com emprego de armas de fogo Isto porque as grava es desta natureza possuem informa es preciosas com potencial para elucidar questionamentos tais como o reconhecimento do estrondo como um tiro real de arma de fogo a identifica o do calibre da arma de fogo empregada a quantidade de armas envolvidas e a ordem dos autores dos disparos Em meio s abordagens para estes problemas encontram se a modelagem e a caracteriza o ac stica de disparos de armas de fogo 1 3 a detec o de tiros em ambientes ruidosos 4 a influ ncia do ngulo e dire o na grava o de tiros 5 a identifica o do calibre da arma atrav s
Download Pdf Manuals
Related Search