Arquivo mensais:maio 2017

A extorsão digital Ransonware e a perícia digital e computação forense.

O recente episódio envolvendo o worm WannaCry aclarou de forma única a ameaça muito comum atualmente, a qual muitas empresas e pessoas já experimentaram de forma trágica. O ataque ransonware. O WannaCry foi massificado com uso de um exploit, aparentemente obtido da NSA.

O exploit explorava uma desatualização do sistema Windows, da Microsoft, que lançou informações sobre como se proteger contra o worm, incluindo a implantação do patch MS17010, atualização do Windows Defender, bem como a não utilização do SMBv1.

O ransonware criptografa o disco das vitimas e exige um resgate para o envio da chave necessária para recuperar os arquivos. Estima-se mais de 74 países afetados em 45 mil ataques. No Brasil, inúmeros órgãos públicos ficaram fora do ar. Estes eventos demonstram a importância de prevenção, mas principalmente, de respostas forenses adequadas. O que um time de resposta pode imaginar é que basta desconectar a máquina infectada, impedindo que se prolifere pela rede, infectando as demais, reduzindo o poder do ataque. Mas a questão é: Como saber qual máquina foi a gênese do worm em uma rede?

A computação forense em Ransonware é embrionária, mas já tem valores e consenso em alguns pontos. Uma iniciativa interessante é o script PowerShell que, sabendo que o ransonware sobrescreve na NTFS arquivos por versões cifradas, é capaz de responder quando um arquivo é gravado, enviando e-mail e demonstrando as unidades mapeadas, logo, destinado à detecção e contenção do ataque. Pode-se inclusive tentar matar o processo relativo ao worm. [1]

Outra trilha valiosa é lecionada por Chris Brewer, da Nuix, que infectando-se com o CryptVault, realizou análise de rede, sistemas de arquivos e processos, de modo a determinar o host de origem do ataque, valendo-se ferramentas como Wireshark, Regshow, Processes Monitor e NetworkMiner.[2]

Algumas orientações são importantes diante de um ataque. Inicialmente, deve-se determinar qual tipo e versão do ransonware atacou a rede. Por exemplo, em sendo CryptoLocker, já se tem roteiros de recuperação de dados. [3]

Posteriomente a) deve-se determinar o vetor inicial do ataque, b) deve-se estimar a origem do mesmo, ou seja, como ele chegou à rede, e-mails em anexo, compartilhamento de arquivos, exploits, executáveis ou ameaças externas; c) pode ser possível identificar o numero da carteira bitcoin no e-mail de resgate.

A perícia poderá examinar evidências digitais de sistemas comprometidos para levantar artefatos de origem e de conexões remotas e demais dados. Uma outra fase pode, dependendo do ransonware, resultar em um trabalho de decodificação dos arquivos. Comumente, porém, o perito poderá ajudar no processo de negociação, com redução do valor do resgate afim de recuperar arquivos críticos.

Por fim, minimizado o dano causado, a equipe de computação forense poderá atuar na remediação, juntamente com a equipe de segurança digital, atuando para evitar explorações no futuro e cuidando para que o ambiente esteja realmente limpo.

As recomendações adicionais de respostas para um ataque desta natureza são a) desconectar o dispositivo afetado da rede, evitando que ataque acesse as unidades compartilhadas; b) muito cuidado com ações impensadas, como tentativas de recuperação (adicionar drives) em ambientes ainda infectados ou cópia de arquivos; c) conheça quais as opções diante do ataque e d) conte com o apoio de uma consultoria em computação forense especializada, sobretudo para a cópia bit-a-bit da unidade encriptada para eventualmente ser decodificada no futuro, caso nada seja possível ser feito no momento.

Um ataque de ransonware não precisa ser sobre dinheiro, podendo ser um ataque a uma delegacia de polícia ou órgão público para queima de provas, por exemplo. E se o atacante não quer dinheiro, os dados nunca mais serão recuperados (Como o ocorrido com Departamento de policia de Cocrell Hill, em caso recente.) Neste sentido, prevenção também é fundamental.

Portanto, contanto não se possa afirmar ser possível em todos os casos a recuperação integral dos arquivos, resta demonstrada que o papel do perito digital é indispensável na contenção, coletas e preservação das evidências, bem como na minimização do dano, com a possibilidade de identificação da origem do ataque, bem como de recuperação parcial ou futura dos dados.

Notas:

[1] http://www.freeforensics.org/2016/03/proactively-reacting-to-ransomware.html

[2] https://www.nuix.com/blog/ransomware-part-4-analyzing-results

[3] https://threatpost.com/forensics-method-quickly-identifies-cryptolocker-encrypted-files/103049/

José Antonio Milagre
Advogado. Perito em Informática. Mestre e Doutorando em Ciência da Informação pela UNESP, Coordenador da Pós-Graduação em Computação Forense pelo ESB – Brasília. Árbitro de tecnologia da CIAMTEC.br
E-mail: assessoria@josemilagre.com.br Website: www.direitodigital.adv.br

O crime não está seguro por trás das criptomoedas. Rastreamento, pericia digital e computação forense em casos envolvendo Bitcoins e BlockChain

A descentralização do sistema das criptomoedas tem levantado no mundo uma série de desafios acerca da possibilidade utilização do sistema por cibercriminosos, notadamente em questões envolvendo lavagem de dinheiro. Alguns países do mundo, aliás, partiram para a regulamentação especificamente da questão envolvendo o uso indevido para a lavagem. Outros países continuam observando o desenvolvimento e implicações do uso das criptomoedas.

Porém, ao contrário do que muitos imaginam, embora as transações de criptomoedas possam ser consideradas “seguras” ou privadas, já se discute na comunidade científica e acadêmica técnicas forenses para investigações envolvendo o tema. Do mesmo modo, alguns casos já reportados de investigações com sucesso envolvendo uso indevido de criptomoedas ou para finalidades criminosas. Sara Meiklejohn et al. escreveram a pesquisa “A Fistful of Bitcoins: Characterizing Payments Among Men with No Names”[1] onde apresentam desafios para localizar o uso de Bitcoin para atividades criminais e fraudulentas. Michael Doran (2015), propôs em seu paper “A forensic look at bitcoin cryptocuyrrency” [2] a análise de um sistema apreendido, envolvendo clonagem de HD, memória e outros artefatos, tendo recuperando informações sobre a mineração de moedas e até mesmo sobre aplicações de carteira virtual, tendo ainda recuperado transações realizadas pelos aplicativos Wallets. A análise de memória RAM corroborou inclusive os endereços dos bitcoin wallets.

A experiência foi feita com Bitminer, ferramenta de mineração, Multibit, carteira Bitcoin para Windows, Bitcoin-QT, outro Bitcoin Wallet e as ferramentas forenses Encase 6.19.7, Tableau, Internet Evidence Finder e Winen.exe para coleta de memória.

No mundo, iniciativas como ChainAnalysys [3] atuam prestando soluções forenses contra a lavagem de dinheiro em Bitcoins. A ferramenta Reactor promete rastrear os criminosos digitais. Por sua vez, a empresa Elliptic [4] oferece serviços de detecção de atividades ilegais na cadeia de Bitcoin, tendo se unido a LexisNexis e também a Internet Watch Foundation (IWF) para combater aqueles que usam bitcoins para comprar conteúdos audiovisuais de pornografia infantil online.

O serviço consegue cavar através de suspeitos e ligar transações em conjunto para determinar para onde o dinheiro está se movendo. Do mesmo modo, criminosos já respondem por crimes praticados em uso ao Bitcoin. Ross Ulbricht, um americano de 31 anos, que criou a SilkRoad, um mercado Bitcoin que facilitou a venda de um bilhão de dólares em drogas ilegais, foi condenado à prisão perpétua em fevereiro de 2015. Pelo mundo, inúmeras outras pessoas apreendidas por lavagem e dinheiro. Como se sabe, a maioria das pessoas usam os Bitcoins de forma legal, mas o suposto anonimato também pode ser considerado uma arma para usos indevidos.

O consultor geral do FBI Breth Nigh chegou a dizer em setembro de 2015 que os investigadores já podem “seguir o dinheiro”. Bitcoins podem ser considerados quantidades associadas a endereços como por exemplo “1Ez69SnzzmePmZX3WpEzMKTrcBF2gpNQ55” representando 30.000 bitcoins apreendidos na SilkRoad, o que equivaleria a 20 milhões de dólares à época e que aparentemente foi leiloado pelo Governo Norte-Americano.

Todas as transações são de conhecimento público. A propriedade de cada Bitcoin é registrada na cadeia de blocos ou blockchain. De fato, o que pode permanecer oculto é a verdadeira identidade dos proprietários dos Bitcoins, pois estes não cadastram nomes, mas uma sequencia numérica que os identifica na cadeia de blocos. Por outro lado, assim que um bitcoin é gasto, uma trilha ou processo forense pode se iniciar. No caso do SilkRoad os investigadores precisavam descobrir os IPs associados às transações, porém estavam diante de um desafio pois os usuários bitcoin estão conectados em uma rede peer-to-peer. Neste caso, apurar a autoria do crime se deu por um descuido do mantenedor do serviço e não por falha na segurança na cadeia.

Porém outras iniciativas de sucesso na recuperação de dados de conexão já foram reportadas: Em 2014 estudantes de pós-graduação na Penn State criaram uma versão de software para vendedores e compradores de bitcoins, uma espécie de “espiamule das moedas”, com o escopo de verificar tudo que acontecia. Eles conseguiram mapear endereços de IP de mais de 1000 endereços Bitcoin tendo inclusive divulgado a técnica em um paper denominado “An Analysis of Anonymity in Bitcoin Using P2P Network Traffic” [5]

Esta pesquisa nos apresenta uma reflexão importante sobre “o outro lado da moeda” do “pseduo-anominato” das transações em bitcoins. Se você prender um traficante de drogas nas ruas, você pegou um criminoso praticando um crime. Agora se você conseguir prender o mesmo criminoso usando alguns serviço atrelado a bitcoins, você pode descobrir todo o seu histórico delituoso, sua contabilidade. Em síntese, é preciso alertar que se há 2 (dois) anos atrás muitos se vangloriavam do total anonimato proporcionado nas transações bitcoin, hoje esta certeza não é mais absoluta, como aliás, nada é cem por cento seguro e tudo depende dos elos da corrente. Logicamente, esta é uma discussão longe de se finalizar e que envolve muitas forças.

Estuda-se sobre a criação de outras criptomoedas baseadas em estruturas mais “anônimas” (como a Shadow [6] e iniciativa ZeroCoin [7]) e até mesmo a possibilidade de alguns governos lançarem suas criptomoedas, logicamente, sem qualquer privacidade. Já se fala em técnicas “antiforense” como misturadores ou mixers, dark wallets, dentre outras. Já se fala em práticas que reduzem a privacidade, como a reutilização de endereços, bem como dos riscos de se manter chaves privadas em computadores, sujeitos às mais variadas ameaças (Já se apresenta até mesmo o Trezor [8], um hardware para armazenar as chaves e que seria mais seguro).

Nesta busca pela privacidade, a tentativa de se anonimizar pode tapar a cabeça e destapar os pés, como alertou Alex Biyukov e Ivan Pustogarov em “Bitcoin over Tor insn’t a good idea”[9], ao aplicarem que a utilização de Bitcoins sobre TOR pode dar brechas a inúmeras outras falhas de segurança.

Como visto, a propriedade de Bitcoins pode ser extremamente difícil de se provar, considerando inúmeros fatores, bem como que a chave privada pode estar nas mãos de terceiros, ocultada ou armazenada de várias maneiras, não existindo, em um primeiro momento, dada a descentralização da cadeia, um lugar para endereçar uma ordem judicial para quebra de IPs de um usuário. Por outro lado, considerando as pesquisas e experimentos em andamento pelo mundo, não se pode mais afirmar com 100% de segurança que criminosos podem se ocultar tranquilamente por trás da plataforma. Grandes são os esforços e iniciativas para aprimorar a privacidade e anonimizar o ambiente, assim como inúmeros são os projetos e pesquisas no escopo de fornecer elementos para condução de perícias, investigações e trilhas de rastreamento de transações usadas para prática de crimes ou para finalidades ilícitas.

 

Referências

[1] https://cseweb.ucsd.edu/~smeiklejohn/files/imc13.pdf

[2] https://www.sans.org/reading-room/whitepapers/forensics/forensic-bitcoin-cryptocurrency-36437

[3] https://www.chainalysis.com/

[4] https://www.elliptic.co/

[5] https://pdfs.semanticscholar.org/c277/62257f068fdbb2ad34e8f787d8af13fac7d1.pdf

[6] https://shadowproject.io/en

[7] http://zerocoin.org/

[8] https://shop.trezor.io/?a=6x7dt4qkzfir

[9] https://arxiv.org/abs/1410.6079

 

 

José Antonio Milagre

Advogado. Perito em Informática. Mestre e Doutorando em Ciência da Informação pela UNESP, Coordenador da Pós-Graduação em Computação Forense pelo ESB – Brasília. Árbitro de tecnologia da CIAMTEC.br

E-mail: assessoria@josemilagre.com.br Website: www.direitodigital.adv.br

09.05.2017