Arquivo mensais:setembro 2008

Perícia Computacional em Nota Fiscal Eletrônica e-NF

Atendendo a pedidos dos amigos leitores, vamos traçar parâmetros basilares envolvendo a perícia forense computacional em ambientes averiguados pelos Fiscos. Em nosso artigo, peço licença aos demais Estados mas trato especificamente da nota fiscal Paulista, eis que mais de 12 milhões de notas foram emitidas até o presente momento, porém, a Receita tem se deparado com um clássico problema: A não correta escrituração e remessa dos arquivos.

Nota fiscal eletrônica é o documento emitido e armazenado eletronicamente, de existência apenas digital, com o intuito de documentar operações e prestações, cuja validade jurídica é garantida pela assinatura digital do emitente e autorização de uso pela administração tributária da unidade federada do contribuinte, antes da ocorrência do fato gerador.

Como dito, trata o presente de um breve artigo onde traço o panorama e conceitos básicos para esta perícia computacional. Detalhes podem ser obtidos em nossos treinamentos e palestras sobre perícia em SPED e Nota Fiscal Eletrônica. Deve-se destacar que no processo administrativo a própria Receita está “se virando” com os próprios fiscais, muitos sem conhecimentos de perícia computacional e técnicas de ocultação de servidores e dados, mas com conhecimentos suficientes para detectar fraudes básicas e lavrar autos de infração. O problema ocorre quando a evasão é sofisticada, envolvendo crimes contra a ordem tributária, com arquivos excluídos, servidores de caixa remotos ou partições criptografadas ocultas.

E é nestes casos que estamos nos deparando com um aumento de medidas judiciais de busca e apreensão e análise de equipamentos informáticos. E quando o caso vai para o Judiciário, a Receita se torna parcial, não restando outra alternativa senão pedir a perícia a um profissional habilitado no juízo. É aí que entramos.

Recentemente a Receita iniciou a operação “Obrigados NF-e”[1] onde fiscalizou empresas obrigadas a emitir a nota e o resultado foi preocupante ao Fisco, eis que com a tecnologia da informação, surgem inúmeras outras possibilidades de se não expedir as aludidas notas, além de dificuldade de fiscalização.

Basicamente, o empresário deve contratar consultoria visando integrar seus sistemas de informações à Receita, por meio de WebServices disponíveis pelo Fisco. Após, o sistema consiste na geração de arquivos eletrônicos assinados digitalmente e remetidos à Secretaria da Fazenda, que os validará e encaminhará ao contribuinte o devido protocolo. Se a mercadoria for transitar, será emitido o DANFE (Documento Auxiliar da Nota-Fiscal), documento que deverá ser impresso e servirá de guia para que os fiscais consultem no sistema a regularidade da carga.

Em São Paulo, a Nota Fiscal eletrônica encontra amparo na Portaria CAT 104/2007, bem como nas demais portarias que complementaram a Norma inicial[2]. Dispõe a referida portaria, dentre vários assuntos, que a transmissão do arquivo digital da NF-e deverá ser efetuada via Internet, com protocolo de segurança ou criptografia, mediante utilização de “software” desenvolvido ou adquirido pelo contribuinte ou do “software” disponibilizado pela Secretaria da Fazenda.

Segundo o art. 5º. da aludida Portaria, os arquivos gerados e enviados ao Fisco serão em formato “XML – Extensible Markup Language” e deverão ser validados previamente pelo Fisco quando do envio da nota, no que cerne à integridade e outros critérios definidos na Legislação.

Em casos de problemas técnicos, o usuário deve gerar um outro arquivo, denominado “contingência”, informando o ocorrido na remessa. Recomenda-se ao perito conhecer o disposto no Ato Cotepe/ICMS Nº 22, de 25/06/2008, que regulamenta os critérios técnicos para geração e transmissão das Notas Eletrônicas. Logicamente que nas perícias judiciais, os autos trarão elementos sobre as suspeitas da Secretaria que embasaram a medida e em alguns casos, os motivos pelos quais as notas eletrônicas estão sendo rejeitadas, como por exemplo, irregularidade fiscal do emitente.

Dentre os temas mais averiguados em perícias desta natureza, prepare-se para verificar o cancelamento eletrônico de notas e se realmente ocorreu a circulação da mercadoria, manobras na elaboração da carta de correção eletrônica, comparação dos arquivos de entrada com arquivos de saída, se a escrituração fiscal corresponde às Notas Eletrônicas emitidas, análises dos arquivos de lotes de 50 notas com no máximo 500 kbytes e seus respectivos hashs, dentre outros. Que fique claro que a comparação via hash das notas enviadas e das armazenadas são fundamentais para comprovar sutis alterações na contabilidade da empresa, que a princípio seriam indetectáveis ou de difícil detecção em auditoria humana.

Porém na maioria dos casos o escopo da perícia é: Verificar se o contribuinte conservou a NF-e em arquivo digital, para apresentação ao fisco, quando solicitado, nos termos do art. 11 da Portaria que comentamos. Mais, deve-se realizar recuperação de discos e vasculhar redes em busca de discrepâncias entre arquivos apresentados e armazenados ou apagados nos servidores do contribuinte.

Outro ponto que merece destaque, é que na maioria dos casos a aplicação geradora da Nota não é o programa emissor de Nota Fiscal da Receita (também disponibilizado ao contribuinte), mas de uma consultoria ou desenvolvedora contratada, de confiança da empresa. Nestes casos, os técnicos e fiscais podem se valer do apoio de profissionais técnicos, para lhes auxiliarem a desmembrar a estrutura de rede, chamadas e de banco de dados por traz das aplicações. Consigne-se por oportuno, que a Consultoria ou Empresa de Infra ou Software, se detectada a arquitetura de ambiente para “caixa dois”, também será responsabilizadas pelo crime cometido pelo contribuinte, diga-se, seu cliente, eis que era possível à consultoria analisar que a ordem de seu cliente era manifestamente ilegal.

Nada é confiável. Tivemos conhecimento de situações onde arquivos estavam esteganografados em imagens de produtos do e-commerce da empresa. Em outra situação, uma VPN (Virutal Private Network) há quilômetros de distância da sede, continha o espelho real das atividades do contribuinte, bem diversa da apresentada. Ainda, tem crescido as técnicas de ofuscação como embedded data, ADS (Alternate Data Stream) e Slack Space, onde o objetivo é ocultar arquivos em espaços não alocados do disco. Também, é preciso contar com técnicas de reversão de Wipe (Magnetic Levels), já que hoje em dia, mais que apagar arquivos, os golpistas sobrescrevem todos os clusters do disco, dificultando as técnicas convencionais de recovery.

Embora tenha crescido a demanda por perícia por parte das Fazendas Estaduais, destaca-se que o contribuinte poderá se valer da mesma, de maneira a eximir-se, com um laudo técnico, da responsabilidade dolosa ou por atos de terceiros, eis que crackers internos e externos poderão atuar alterando o estado dos arquivos e preservando o hash, por meio de técnicas de MD5 Collision, que permitem que arquivos diferentes tenham a mesma identidade.

Ainda, já é previsível que criminosos criem e injetem documentos fiscais eletrônicos em arquivos lotes de empresas vítimas, para validarem operações de contrabando ou roubo de cargas, além de outros crimes contra o patrimônio, como o próprio sniffing ou farejamento das transações eletrônicas.

Seja como for, a perícia forense computacional vem se demonstrando imprescindível na área tributária, quer para confirmar tecnicamente evasão e sonegação, quer para impedir casos de injustiça com contribuintes, atestando atividades de terceiros ou alheias à vontade da empresa, desclassificando a conduta como criminosa. O mercado cresce tanto na área pericial como na de segurança da informação dos arquivos da Nota Eletrônica, e tal investimento passa a não ser enxergado como custo, eis que as perdas da responsabilização tributária e multas por fraudes de terceiros é bem maior do que os gastos com um sistema íntegro, auditado, autêntico e principalmente, legal.

NOTAS:

[1] http://www.fazenda.sp.gov.br/publicacao/noticia.aspx?id=656

[2] http://www.fazenda.sp.gov.br/nfe/legislacao/legislacao_em_vigor.asp

Provedores podem pleitear restituição de indébito.

Recente Manifestação do STJ, envolvendo o Estado do Paraná e o Município de Curitiba Quem ganhou ?

Ninguém! Para o STJ os Provedores não devem ser Tributados!

Confira o julgamento do Recuro Especial no STJ em 25/03/2008. Aliás a matéria foi sumulada pelo órgão (Súmula 334 – “o ICMS não incide no serviço dos provedoresde acesso à Internet “).

“Mesmo após a edição da Lei Complementar 116/2003, não se cogita aincidência de ISS sobre o serviço prestado pelos provedores deacesso àinternet, porquanto não se equipara aos serviços de informática econgêneres previstos no item 1 anexo à referida lei – os quais sereferem a desenvolvimento, análise e processamento de dados.”

http://www.stj.gov.br/SCON/jurisprudencia/doc.jsp?livre=internet&&b=ACOR&p=true&t=&l=10&i=29

Bauru:E por falar em Cellebrite e Perícia em Mobyle…

Forte Interior: Bauru, há 345 km de São Paulo: Pólo em Tecnologia da Informação

Os Peritos Marcelo Lau e José Milagre, em 30-08-08: Curso realizado em Bauru.

Como vimos, lá fora as polícias e membros da Criminalística já estão equipados com devices de recuperação. Aqui no Brasil, a LegalTech, em parceria com a DataSecur, desenvolvem serviços corporativos e públicos de recuperação de dados em dispositivos móvies, através do Cellebrite. Assim, caso o cliente não queira adquir o equipamento, pode contratar o serviço para um caso específico, com sigilo, integridade e autenticidade. Atenção maridos: Não quebramos celulares de esposas, noivas, namoradas, etc.! O serviço de resgate cinetífico de dados imprescinde de autorização judicial ou de política corporativa transmitida (PCT). No interior de São Paulo, a filial RP e Bauru contam com os serviços…

Caso Prático lançado: Pornografia Infantil

Sem mais, vamos para a prática, se lá em San Franciso a polícia tem, aqui também, temos! Algumas fotos do II Curso de Perícia Computacional no Interior de São Pauço, realizado no coração do Estado, Bauru, com aproximadamente 400 mil habitantes:

Hora do Cellebrite.

Foram encontradas coisas interessantes

Mobile Forensics: Extraindo informações em Celulares

Em um de nossos treinamentos em perícia em dispositivos móveis fomos indagados sobre a real popularidade de tais ferramentas junto à Polícia Investigativa. Embora no Brasil ainda a procura seja modesta na área policial, lá fora a situação é diferente. A Polícia de São Francisco na Califórnia, por exemplo, segundo o site http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2008/09/08/BUPA12OC2V.DTL já utiliza a tecnologia. Dispositivos de investigação móvel como Cellebrite (o meu preferido), Data Pilot e o Oxygen Software tem se difundido na área da perícia computacional.

E porque alguém se preocuparia com celular ? Segundo um entrevistado Sfgate:

“The reason why the cell phone is important is that you are carrying around a personal diary of who you talk to and often what you talked about,” Morgester said in reference not to conversations but rather to texting, adding: “Youth today communicate through MySpace and texting.” Disse o Procurador Robert Morgester ao Sfgate.com.
Até mesmo toques e ringtones podem ser úties. Em um inquérito na Califórnica, uma testemunha recordou uma sinfonia durante o cometimento de um crime. Não é prova, mas um indício.Embora popular, a briga nos Estados Unidos está em torno da constitucionalidade ou não destes dispositivos, briga acirrada envolvendo inlusive o Jurídico da EFF (Eletronic Frontier Foundation)
E lá, o mandado de busca e vistoria é necessário? Parece que os Tribunais não vêm exigindo o Mandado para que a polícia saia recuperando SMS apagados e imagens de celulares de meros investigados:
“So far, most court decisions involving this new technology have allowed police officers to use forensic devices to extract information without a warrant. But civil libertarians favor one ruling by a federal judge in San Francisco that pushed the sliding scales toward requiring a warrant to search cell phones in most cases.”
Na matéria feita pelo SFGate, o Perito afirma que a necessidade de mandado é uma “zona cinzenta” e que em determinados casos urgentes como homicídios e sequestros em São Francisco, o papel pode ser substituido por uma “delcaração do Oficial”. (A validade disso no direito brasileiro é zero, isso só cola lá em cima mesmo)
Deve-se destacar também que tais dispositivos de recuperação de dados em celulares possuem criptografia Md5, que mantém intacta a integridade do material coletado… Em partes…Pois segundo Nate Lawson, da Oakland Consulting, a criptogragia do Cellebrite pode ser quebrar possibilitando ao manipulador “plantar provas” sem ser detectado. Argumenta que o ideal seria a criptografia SHA-256. Já a equipe Cellebrite alega que somente os melhores hackers do mundo podem realizar tal façanha:
“Cellebrite’s Ofrat said that despite the theoretical possibility of hacks to MD5, the likelihood is low. “You’d have to have the best hacker in the world,” he said. But his firm is studying SHA-256 and will move to that if it becomes an industry standard, he said.”

Perícia Computacional em Metadados de Imagens

Em um episódio ocorrido na Internet, uma personalidade disponibilizou em seu site imagens com “crop” apenas em seu rosto, para que somente tal área fosse exibida. Crackers então obtiveram acesso ao metadado .db que indexa e gerencia as imagens para o “preview”, onde havia o link para o arquivo original. Moral da história? As fotos “nua de corpo inteiro” circularam pela Internet, causando certos constrangimentos à celebridade.
(http://graphicssoft.about.com/b/2003/07/26/techtvs-cat-schwartz-exposed-is-photoshop-to-blame.htm)

Thumbnails são arquivos que indexam as imagens, além exibir, em alguns padrões, uma versão “miniatura” da mesma. Segundo a sábia Wikipédia, “Thumbnails são versões reduzidas de imagens, usadas para tornar mais fácil o processo de as procurar e reconhecer. Os motores de busca de imagem e programas de organização destas os usam muitas vezes, tal como alguns sistemas operativos e ambientes de trabalho modernos, como o Windows XP, KDE e o GNOME”

Já softwares como Photoshop e PhotoPaint arquivam no próprio arquivo original uma “versão” em miniatura da imagem. O problema ocorre na atualização da miniatura, quando o original é modificado ou ajustado para ser exibido ao público. Hoje, na Internet, é possível encontrar centenas de Softwares que geram Thumbnail das imagens, como em http://baixaki.ig.com.br/download/Thumbnail-Generator.htm.

Além dos Thumbs, imagens contém metadados EXIF. EXIF (Exchangeable Image File Format) são informações gravadas nas próprias fotos no momento em que ela é tirada ou editada. Existem dezenas de programas que exploram tais informações como Wexif, ActiveMetaData, etc. Em EXIF.org (http://www.exif.org/samples.html) é possível conhecer imagens e máquinas digitais que geram EXIFs, bem como programas para explorá-los.

A questão da exploração indevida de thumbnails é polêmica. Nos Estados Unidos, em recente caso Kelly v. Arriba Soft Corporation, travou-se uma ardente discussão sobre o uso indevido de thumbnails e fair use (uso justo de direitos autorais e da imagem). Em primeira instância a Ré foi condenada infratora por ter utilizado thumbnails que faziam referências aos originais em seu motor de busca. Porém, em segunda instância, na Corte de Apelações, decidiu-se que os thumbnails não eram ilegais. Porém uma coisa é linkar thumbnails, e a outra é a exploração para verificar como era a imagem original.

Dentre os Softwares utilizados para visualizar e gerar thumbnails está o Infran View (http://www.irfanview.com/). Mas você ainda acredita que suas imagens, após deletadas, são irrecuperáveis. Então faça um teste: Digite na Pesquisa do Windows: thumbs.db.

Quando você visualiza imagens e vídeos em miniatura, o Sistema Operacional cria arquivos ocultos nas pastas, chamados de thumbs.db. Tais arquivos são considerados Alternate Data Stream, então se não os localizar, altere as configurações de exibição de arquivos do seu Explorer. Eles também são gerados naquele pendrive ou dispositivo que você empresta para amigos e colegas. Como dito, alguns programas de edição, em simples crop (efeito recortar do Photoshop), não atualizam os metadados, então, as conseqüências podem ser catastróficas, como no exemplo abaixo:
Imagem cropada e substituída, porém sem atualização de thumbnail. Ao se exibir a imagem cropada em miniatura, é possível verificar a versão original da imagem.(Fair use)

Existe porém a possibilidade de não gerar miniaturas no sistema Windows:

1. No Windows Explorer clique em Ferramentas. 2. Escolha Opções de pasta.3. Escolha Modo de exibição.4. Marque um x em Não armazenar miniaturas em cache. 5. Clique em Aplicar a todas as pastas. 6. Clique em Aplicar e em OK.

Outra técnica é zerar as primeiras 10 posições (bytes) em hexadecimal da imagem. Na maioria dos casos, as alterações na imagem são mínimas, porém o resultado é alcançado, ou seja, o Photoshop não processa os bytes alocados para o Thumbnail. (Atenção em alguns padrões isso pode corromper o arquivo).

Deixando as técnicas de eliminação de lado, falamos de aplicações extremamente úteis na recuperação de imagens que um dia existiram na máquina, por meio de seus thumbs persistentes no sistema.

Não só os thumbs dos sistemas de imagens merecem cuidados mas os “crops” existentes em blogs, fóruns e sites de relacionamento. Em um outro caso em que presenciamos, uma mulher noiva inseriu uma foto com um ex-namorado em um blog e recortou (“crop”) mantendo somente seu rosto. Não durou muito para descobrirem a imagem original por trás da camada de ilusão do crop. A imagem chegou até o e-mail do então noivo (!)

O WFA (http://www.mitec.cz/wfa.html) é um utilitário forensics que pode rasterar uma imagem iso ou dd em busca de thumbnails e então extrair as minituras existentes. Talvez poderemos não ter tudo, mas o suficiente e com ética.

Muito comum em computação forense, a recuperação de arquivos, porém, como bits significantes já foram realocados com novas informações, a imagem recuperada apresenta-se corrompida total ou parcialmente. Abaixo podemos visualizar um exemplo de arquivo corrompido, mas que preserva seu thumb intacto (Baixe a imagem para testes forenses em http://www.legaltech.com.br/corrompida_milagre.jpg):

Imagem corrompida_milagre.jpg recuperada pelo ext2recover. Falha ao processar o arquivo, mas o thumb é visível.
Porém há casos em que a miniatura foi prejudicada. Em tal cenário, uma ferramenta forense pode auxiliar a reconstruir o passado com base nos fragmentos da miniatura. O Software Forensic Image Viwer (http://www.sandersonforensics.com/content.asp?page=103) é uma ferramenta capaz de analisar diretórios e imagens corrompidas, encontrando thumbnails embutidos em certos formatos de imagens e rastreando dados EXIF embutidos.

No exemplo abaixo, uma imagem corrompida, porém foi possível extrair metadados envolvendo sua miniatura, que estava íntegra:

Screen de recuperação de metadados de imagens por meio do FIV

Outra excelente ferramenta é para recuperação de metadados de imagens excluídas é o Vinetto (http://vinetto.sourceforge.net/). Vinetto é um binário forense utilizável por linha de comando, cuja função é analisar arquivos .db em partições FAT32 e NTFS. A explicação é simples: Quando uma imagem é deletada, seu thumbnail relativo e demais metadados permanecem armazenados no arquivo Thumbs.db. Então, os dados contidos nestes thumbs podem revelar quais imagens existiram na máquina, sendo um dado útil ao profissional de investigação computacional. O Vinetto extrai as informações dos arquivos thumbs.

Ainda, para manipulação de headers EXIF das imagens, recomendamos aos profissionais de perícia forense a utilização da ferramenta JHEAD.exe (http://www.sentex.net/~mwandel/jhead/). Tal ferramenta, disponível para Windows e Linux, é essencial para um perito, podendo precisar data e hora em que a foto foi tirada, máquina e modelo (embora uma investida hexadecimal possa revelar tal dado), distância do fotógrafo e fotografado, se utilizou flash ou não, além poder realizar um wipe (esterilização) em timestamps e replace (sobrescrição) em cabeçalhos e informações EXIF.

Jhead em ação: Informações extraídas de uma imagem .jpg

Como constatado, informações thumbnails e EXIFs podem persistir em um sistema mesmo após a exclusão das imagens. Em tal cenário, a perícia pode se valer da recuperação de arquivos thumbs e posteriormente de analisadores e recuperadores de metadados em tais arquivos. Deve-se ter em mente porém que alguns padrões de sistemas operacionais e softwares de edição não sobrescrevem as informações dos thumbs em pequenas alterações na imagem, ou na aplicação de efeitos blur (para embaçar a imagem) ou crop (cortar o arquivo preservando seu nome e dados). Assim, em uma simples análise da Película ou miniatura do arquivo, é possível identificar o arquivo original, posteriormente editado:

Arquivo editado mas que preservou o thumbnail original.

Concluindo, procuramos no presente trabalho demonstrar como as informações relativas a imagens podem persistir mesmo após a eliminação das mesmas. As técnicas apresentadas podem ser úteis ao perito em processos envolvendo difamação, incitação, pornografia infantil, dentre outros delitos praticáveis pela Rede Mundial de Computadores. Recomenda-se, sempre realizar os testes na imagem do disco, de maneira a preservar a identidade original dos dados obtidos. Para fazer o teste da miniatura acima, faça o download da imagem a seguir, e exiba no Windows Explorer em “Película” (http://img517.imageshack.us/img517/3368/2eds11zid1.jpg).

Até a próxima.