Friday, April 29, 2011

File Slack Space

Durante o trabalho de perícia, os usuários experimentam diversas formas para ocultação de dados. Já falei aqui neste blog sobre ADS, vou falar agora sobrem file slack space.

Basicamente, o file slack space é o espaço não utilizado no final de um arquivo, conforme figura abaixo:


O slack space é o espaço que "sobra" no final do arquivo, mas como o setor já foi "parcialmente" utilizado por uma porção de dados, o file system marca aquele espaço como utilizado. Pode parecer pouco, mas vamos a um exemplo prático: no Explorer, as propriedades de um cartão de memória me mostra que neste dispositivo cabem 527.138.816 bytes (quase 503 Mb, já que 1 Mb =1024K e 1 K = 1024 bytes). Desses, 302.809.088 estão livres e 224.329.728 foram usados. Somando-se os bytes livres com os usados obtém-se exatamente a capacidade do disco, como era de esperar. Por outro lado, na mesma tela o Explorer informa que nesse disco há 2.832 arquivos que, por sua vez, contêm 210.329.425 bytes. Fazendo os cálculos, conclue-se que o “slack space” desse disco é de 14.000.303 bytes (!!!). São quase 14MB de espaço, suficiente para um malware.

Como tanto espaço é disperdiçado? Simples, o tamanho da unidade de alocação de arquivos (cluster) é de 8.192 bytes, já que elas se estendem por dezesseis setores de 512 bytes. Não lembra (ou se confunde) com cluster e setor?? Vai uma ajudinha:



Portanto, por menor que seja o tamanho efetivo de um arquivo, ele jamais “gastará” menos de 8.192 bytes do disco. E a razão é simples: como cada entrada da FAT “aponta” para um trecho de 8.192 bytes e cada arquivo tem que usar no mínimo uma entrada da FAT, se eu criar um arquivo texto com um único caractere, o “tamanho” desse arquivo será de um byte. Mas como na unidade de alocação onde se acomoda esse byte nada mais poderá ser gravado, o arquivo gastará exatos 8.192 bytes de disco. Resultado: 8.191 bytes foram desperdiçados.


Utilizando o slack space para ocultar informações:

Como é um bloco "desperdiçado" do disco, o file system não o endereça, conseqüentemente, o sistema operacional não "enxerga", fazendo do file slack space uma ótima opção para ocultar informações. 

A melhor forma (leia-se a mais fácil) de se brincar com slack space é utilizando o bmap do Linux:

$ echo ”dados” | bmap –mode putslack /home/luiz.rabelo/.bash_history

Este comando grava a string "dados" no slack space do arquivo .bash_history do meu home. 

$ bmap –mode slack /home/luiz.rabelo/.bash_history
getting from block 192288501
file size was: 26
slack size: 4070
blocksize: 4096
dados

Este comando "lê" o file slack do arquivo do meu home.

$ bmap –mode wipeslack /home/luiz.rabelo/.bash_history

Finalmente, este comando "limpa" o slack do arquivo.


Não poderia ser mais simples =)






Maiores informações sobre opções de data hide em: http://www.techrepublic.com/blog/security/computer-forensics-finding-hidden-data/232
Maiores informações sobre file slack em: http://www.wikistc.org/wiki/Slack_space_data
Maiores informações sobre bmap em: http://realinfosec.com/?p=470

EnCE: Agora sim!




Depois da "pequena" gafe do começo do ano, saiu agora o resultado oficial: sou o mais novo profissional com a certificação EnCE!

Meu ID: 15-0411-4066



Depois da primeira gafe com o blog, agora é hora de comemorar! Sério \o/

Thursday, April 28, 2011

AccessData TRIAGE

Meu grande amigo Rodrigo Antão escreveu um excelente artigo sobre os crescentes desafios da computação forense nos dias de hoje, inclusive os problemas acarretados pelo crescente aumento da capacidade de armazenamento das mídias atuais: o volume de dados para análise após uma apreensão pode ser gigantesca! Discos com capacidade para armazernar 1TB de dados estão se popularizando cada vez mais, e uma análise em toda essa massa de dados pode demorar muito.

Pensando neste cenário, a AccessData apresenta sua resposta ao desafio: AD TRIAGE.



O AD TRIAGE é uma solução portátil, que pode ser utilizada em campo por profissionais que não tenham grandes conhecimentos em computação forense para realizar "acquire" de informações.


Detalhes do produto (em inglês)

  • Built on FTK technology
  • Preview and acquire full disk, targeted data, or copy an external hard drive (AD1, E01, RAW, or SMART)
  • Supports powered-down Macs with Intel® processors
  • Built-in explicit image detection and scoring
  • Advanced automated collection allows you to pre-configure Triage to automatically collect only pertinent data
  • The “Triage Receiver” can be used to export data to a pre-configured location on the network. Simply export the data directly from the target system to a designated network share.
  • Manual mode allows you to search the file system prior to collection
  • Pre-configured options for reporting on collected data


Esta solução da AccessData é capaz de coletar dados dos seguintes locais: (em inglês)

Browser
  • Chrome Browser History
  • Default Browsers
  • Firefox Browser History
  • Internet Explorer History
  • Internet Explorer Registry Keys
  • Typed URLs

Files
  • Desktop Files
  • MS Office Recently Opened
  • Recent Files
  • Recently Accessed Media Player Files
  • Temporary Executables

Network
  • ARP Table
  • DNS Cache
  • Domain Systems
  • Local Shares
  • Network Adaptors
  • Network Connections
  • Remote Shares
  • Routing Tables
  • IP Addresses

Software
  • Acrobat History
  • Application Usage History
  • Installed Software
  • Manually Launched Applications
  • Microsoft Management Console
  • Program Files Software
  • Start-up Programs

System
  • Clipboard Data
  • Device Drivers
  • Memory Dump
  • Processes
  • Scheduled Tasks
  • Screenshot
  • Services
  • User Accounts
  • User Groups
  • Acquire Registry
  • System Information
  • Typed Paths
  • USB Devices

Users
  • Owner Information
  • SAM Users



Já estou com a ferramenta aqui em mãos e estou testando. Assim que concluir meus testes, irei postar os resultados!


Maiores informações no site da AccessData.

Wednesday, April 27, 2011

iPhone espiona passos dos usuários



Se você tem um iPhone, seus passos estão sendo seguidos. É o que afirmam os pesquisadores da área de segurança Pete Warden e Alasdair Allan. Durante a conferência Where 2.0, realizada esta semana em São Francisco, nos Estados Unidos, eles afirmaram que o smartphone da Apple registra informações sobre sua localização com frequência e depois compartilha esses dados com o computador, toda vez que você sincroniza o celular.

Pelo que pude ler, o primeiro veículo de imprensa a divulgar esta notícia foi o britânico Guardian. Isso aconteceu ontem, dia 20/04. Hoje, dia 21/04, a notícia parece que tomou conta da internet!

Para variar um pouco, o Gizmodo (com todo seu ressentimento com a Apple) publicou um post um pouco exagerado, e a Macworld, claro, jogando panos quentes.

As principais informações sobre este caso estão compiladas no post IPhone e IPad guardam detalhes de localização #Privacidade #AppleGate #iOS #iPhoneTracker, pelo meu amigo Sandro Suffert.

Bom, é isso... 24 horas foram suficientes para gerar bastante informação sobre este AppleGate =)

[update 27/04/11] Resposta oficial da Apple sobre o #iPhoneTracker:


Gostaríamos de responder às perguntas que temos recebido recentemente sobre ao recolhimento e utilização de informações de localização dos nossos dispositivos.
1. Por que a Apple rastreia a localização do meu iPhone?A Apple não está monitorando o local do seu iPhone. A Apple nunca fez isso e não tem planos de um dia fazê-lo.
2. Então por que todo mundo está tão preocupado com isso?Fornecer aos usuários informações rápidas e precisas de localização, preservando a sua segurança e privacidade, levantou algumas questões técnicas muito complexas que são difíceis de se comunicar em uma simples frase. Usuários estão confusos, em parte porque os criadores desta nova tecnologia (incluindo Apple) não forneceram uma educação suficiente sobre estas questões até hoje.
3. Por que o meu iPhone registra a minha posição?O iPhone não está registrando a sua localização. Pelo contrário, ele mantém um banco de dados de hotspots Wi-Fi e torres de celular em torno de sua localização atual, alguns dos quais podem estar localizados a mais de cem milhas longe de seu iPhone, para ajudar o seu iPhone de forma rápida e calcular com precisão a sua localização quando é preciso. Calculando a localização de um telefone usando apenas dados de satélites GPS pode demorar vários minutos. O iPhone pode reduzir esse tempo para apenas alguns segundos usando hotspot Wi-Fi e dados de torre de celular para localizar rapidamente os satélites GPS, e até mesmo sua localização triangular utilizando apenas hotspot Wi-Fi e dados de torre de celular quando o GPS não está disponível (como no interior de edifícios ou nos porões). Estes cálculos são realizados ao vivo no iPhone usando um banco de dados de hotspot Wi-Fi e dados de torre de celular que é gerado por dezenas de milhões de iPhones que enviam as localizações geográficas nas proximidades de hotspots Wi-Fi e torres de celular de uma forma anônima e criptografada para a Apple.
4. Este banco de dados está armazenado no iPhone?O banco de dados inteiro é muito grande para ser armazenado em um iPhone, por isso nós fazemos o download de um subconjunto de informações (cache) em cada iPhone. Este cache está protegido, mas não criptografado, e é guardado no iTunes quando você faz backup de seu iPhone. O backup pode ser criptografado ou não, dependendo das configurações do usuário. Os dados de localização que pesquisadores estão vendo no iPhone não mostra o local atual ou por onde passou o iPhone, mas a localização de hotspots Wi-Fi e torres de celular em torno da localização do iPhone, que pode ser mais de cem milhas de distância . Nós pretendemos parar de realizar o backup deste cache em uma atualização de software em breve (veja a respeito no final do texto).
5. A Apple pode encontrar-me com base no meu hotspot Wi-Fi  ou os dados de torre de celular?Não. Esses dados são enviados para a Apple de uma forma anônima e criptografada. A Apple não consegue identificar a fonte destes dados.
6. As pessoas têm identificado dados de localização de até um ano armazenados no iPhone. Por que o meu iPhone necessita de tantos dados, só para encontrar o meu local de hoje?Estes dados não são de localização de dados do iPhone — são um subconjunto (cache) da base de dados dos hotspots Wi-Fi e torres de celular que é enviado à Apple para ajudar na rapidez e precisão do cálculo de localização do sistema. A razão pela qual o iPhone guarda tanta informação é um bug que descobrimos e temos plano de corrigi-lo em breve (veja a respeito no final do texto). Nós não pensamos que o iPhone precise armazenar mais de sete dias de dados.
7. Quando eu desligo o Serviço de Localização, por que meu iPhone continua a atualizar a base de dados da Apple?Não deveria. Este é um bug que pretendemos corrigir em breve (veja a respeito no final do texto).
8. Quais tipos de dados de localização são enviados para a Apple?A Apple está recolhendo dados de tráfego anonimamente para construir um banco de dados, com o objetivo de proporcionar aos usuários do iPhone um serviço melhor nos próximos anos.
9. A Apple fornece atualmente os dados recolhidos a partir de iPhones a terceiros?Nós fornecemos logs de travamento [de aplicativos] anônimos de usuários para desenvolvedores para os ajudar a depurar seus aplicativos. Nosso sistema de publicidade iAds pode usar o local como um fator de segmentação de anúncios. A localização não é compartilhada com ninguém mais a menos que o usuário explicitamente aprove isso, dando a localização atual para o anúncio (por exemplo, para localizar a loja Target mais próximo deles).
10. A Apple acredita que a segurança das informações pessoais e a privacidade são importantes?Sim, nós acreditamos fortemente nisso. Por exemplo, o iPhone foi o primeiro a pedir aos utilizadores para dar a sua permissão para cada aplicativo que queria usar a localização. A Apple vai continuar a ser um dos líderes no cuidado da segurança das informações pessoais e da privacidade.
Atualização de SoftwareDentro de poucas semanas, a Apple irá lançar uma atualização do sistema iOS que:
- reduzirá o tamanho do banco de dados de Wi-Fi e torres de celular em cache no iPhone,
– não fará mais backup deste cache no iTunes,
– excluirá esse cache completamente quando os Serviços de Localização foram desligados,
– o cache presentes no iPhone passarão a ser criptografados.

Monday, April 18, 2011

Forensics Data Carving

Uma notícia que chocou e revoltou todos os Brasileiros recentemente foi o caso do massacre do Realengo, onde o atirador Wellington Menezes de Oliveira abriu fogo contra crianças dentro de uma escola pública.

Para minha surpresa, esta semana fui agraciado por uma reportagem do jornal Extra, que circula no Rio de Janeiro, com a seguinte nota:

Técnicos do ICCE estão usando o software desenvolvido pelo FBI para recuperar as informações contidas nos computadores apreendidos na casa de Wellington. O programa EnCase, fornecido pela Techbiz Forense Digital, possibilita a recuperação até de arquivos que tenham sido apagados pelo atirador. Dois dos três HDs, os discos de memória dos equipamentos, estão em melhores condições.

Para mim foi muito satisfatório ler este trecho em específico. Mesmo que indiretamente e de forma diminuta, estamos colaborando com a solução dos mistérios que ainda envolvem este caso.

Para este artigo, resolvi falar sobre as técnicas utilizadas para recuperação destes arquivos apagados, chamada de data carving: Basicamente, data carving é um processo que localiza arquivos e objetos que foram deletados ou que estão "inseridos" em outros arquivos.


Os arquivos são "esculpidos" a partir do espaço alocado (ou não) baseando-se no "header" (cabeçalho) do tipo de arquivo e nos "footers" (rodapé). As estruturas do sistema de arquivos (FAT, MFT, inode table) não são utilizados durante o processo. Para demonstrar este recurso, vou utilizar o FTK, da AccessData.

Após criado o caso, o FTK nos solicita adicionar os arquivos de evidência e permite configurar o processamento destas evidências. Um click no botão "Refinement Options" abre a seguinte tela:



Observe que um dos últimos itens da lista a esquerda chama-se Data Carve, que vem desmarcado por padrão. Marcando esta opção, habilita-se o botão Carving Options, que nos exibe a seguinte tela:


Nesta tela, podemos verificar os tipos mais comuns de arquivos que o FTK consegue "esculpir" a partir do arquivo de evidência:

• AOL Bag Files
• BMP Files
• EMF Files
• GIF Files
• HTML Files
• JPEG Files
• LNK Files
• OLE Files (Office Documents)
• PDF Files
• PNG File

Vou tomar como exemplo um formato de arquivo muito popular, o JPEG, utilizado para arquivos de imagens. Praticamente todas as imagens que você vê na internet e também neste blog estão em formato JPEG. Na prática, o que um "data carve" faz é procurar uma sequência em hexadecimal 0xFF D8, que representa o início de um arquivo JPEG, e procurar depois o final deste arquivo, representado pelo 0xFF D9. Feito isso, tudo o que estiver entre estes dois blocos de imagem forma um arquivo de imagem JPEG:



No primeiro exemplo deste post há um arquivo de imagem "dentro" de um documento do Word. O princípio de funcionamento é o mesmo: imagina este documento do Word gravado no disco. O conjunto de dados que representa esta imagem está lá, o FTK só precisa "abrir" este documento do Word para conseguir achar o 0xFF D8 ...... 0xFF D9!

O mesmo princípio se aplica também a um arquivo de imagem JPEG, dentro de um arquivo do Word, compactado em um arquivo ZIP e enviado por e-mail. (!!!)


O FTK consegue abrir todos estes arquivos até chegar aos JPEG que estamos buscando.


Os mais atentos perceberam que o último item da tela do "Carving Options" não está presente na lista: Microsoft Outlook Personal Folder, ou simplesmente PST. Isso é por que esta não é uma entrada padrão do sistema, este é um "carve" customizado, disponível através do botão "Custom Carvers":


Observe que é informado o "header" do arquivo PST (representado por 0x21 42 44 4E) e o tamanho máximo do arquivo (em bytes). É possível até mesmo categorizar o arquivo através da seleção de algum item na árvore File Category. Ao contrário dos arquivos JPEG, um arquivo PST é extenso, e pode sofrer mais com a fragmentação dos dados no disco. Já existem algumas técnicas que tentam recuperar os fragmentos de um mesmo arquivo espalhados pelo disco após a perda da referencia (delete arquivo, wipe MFT free space, por exemplo), e os resultados são animadores!

Claro que, se você utiliza o FTK, não precisa se preocupar em saber headers e footers dos arquivos, a AccessData disponibiliza em seu site, quase 300 tipos de arquivos já pré-definidos, bastando importá-los para o seu FTK. Estes arquivos estão disponíveis em http://accessdata.com/support/custom-carvers e estão categorizados em formatos de arquivos para Windows, para Linux e para MacOS.


Leia mais sobre o formato JPEG aqui.
Leia mais sobre data carving em um excelente estudo da SANS sobre o tema aqui.
Leia mais sobre o processo de data carving no FTK através do manual do sistema, disponível aqui.

[update 19/04]

Excelente o trabalho: Advanced File Carving - How much evidence are you ignoring - by Bas Kloet - http://bit.ly/eKMotZ  (tks, Sandro!)

Fuzzy Hash sem mistérios

Já falei sobre fuzzy hash a algum tempo atrás, volto agora para detalhar melhor como este recurso funciona e o que não funciona.

Primeiro, vamos ao conceito de HASH: basicamente, é uma "impressão digital" do arquivo.


Observe que, por causa de um ponto ( . ) no final do segundo documento, a Função Hash gera um valor de MD5 completamente diferente do primeiro.

Já o fuzzy hash consegue "tratar" estas pequenas alterações nos arquivos. Basicamente, o que o algoritmo do fuzzy hash faz é "quebrar" o arquivo em pedaços e então analisar estes pedaços separadamente:


Desta forma, o fuzzy hash nos indica que temos um arquivo que tem 80% de similaridade com o arquivo original.

Claro que este é um exemplo didático e é falho: Se o ponto estivesse no começo da segunda sentença, pelo meu exemplo, eu teria um deslocamento de todo o bloco e não haveriam matches, mas o fuzzy hash consegue tratar isso muito bem. Novamente: este é um exemplo DIDÁTICO.

Para maiores informações, recomendo muito a leitura do documento da AccessData sobre o tema, disponível em: http://accessdata.com/downloads/media/Fuzzy_Hashing_for_Investigators.pdf

Também recomendo a leitura do The Digital Standard, que tem um post muito bom sobre o tema.

Saturday, April 16, 2011

Fraudes e mais fraudes no ML - Parte II

Recebi alguns e-mails sobre o post anterior do Mercado Livre, quando falei de golpes de venda de produtos ilícitos no Mercado Livre.

Acontece que inclusive produtos lícitos são vendidos no Mercado Livre: Todos os dias, pessoas compram celulares, câmeras digitais e aparelhos de GPS, e infelizmente algumas pessoas pagam e não recebem o produto. Este tipo de fraude acontece com cada vez mais freqüência, e os usuários não encontram nenhum apoio do Mercado Livre, tornando assim o site solidário com a fraude.


A defesa do Mercado Livre é a de que o site é uma plataforma de aproximação entre compradores e vendedores. Com funcionamento similar aos de classificados de jornais, shopping centers e corretoras de imóveis, a empresa não é proprietária nem guarda a posse dos produtos oferecidos, tampouco realiza as ofertas de venda ou efetua alguma compra.




O artigo 3 do Código de Defesa do Consumidor diz que o fornecedor é toda a pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, que desenvolve atividades de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produto ou prestação de serviços, definição que atinge em cheio o Mercado Livre.

A culpa não é toda do Mercado Livre. Responsabilizar o Mercado Livre não é mais difícil, mas sim conseguir punir as gangues de estelionatários que se utilizam do sistema de segurança do site para benefício próprio. Na justiça circulam várias decisões favoráveis (12) ou não ao Mercado Livre. Alguns usuários mais revoltados com as situações decidem até mesmo utilizar a internet a seu favor, e alguns casos são bem interessantes.

O Mercado Livre traz uma página sobre segurança nas negociações, que normalmente ninguém lê... Além disso, esta página é mais utilizada para tentar isentar a responsabilidade do mercado livre nas negociações.

Thursday, April 14, 2011

Os perigos do exibicionismo na Web

Quem me conhece sabe que sou muito fã do Twitter... Recentemente me deparei com um tweet da Dra. Patrícia Peck, que me inspirou a escrever este post:



Parece clichê falar sobre esse exibicionismo que vem ocorrendo na Web, mas alguns casos podem causar grande constrangimento para as partes, como o do vídeo com cenas eróticas (sexting) entre um casal de adolescentes no Rio Grande do Sul (RS), que circulou na internet. Tal situação é resultado da falta de conscientização para a ética e a responsabilidade digital. A regra é clara:

não publique nada na internet que você

não mostraria para sua mãe



Me atendo ao motivo do post, algumas pessoas acham legal tirar algumas fotos sensuais e publicar na internet. Fotos com celular, pois a resolução é satisfatória e está sempre a mão... Parece uma boa idéia, mas você tem idéia do quanto uma inocente foto tirada pelo celular pode te expor?? Fotos tiradas com celulares podem revelar sua localização precisa, baseada em posicionamento GPS, sabia?

Para não usar exemplos nacionais, para evitar expor (mais) as pessoas, vou fazer uma prova de conceito com sites americanos:

Procure no Google "sexy self photos iphone" (sem as aspas). Não se assuste com a quantidade de resultados encontrados. Vamos utilizar as fotos do primeiro link. 

Depois, vá até o site http://regex.info/exif.cgi e informe a URL da foto publicada. Como são muitas fotos e nem todas possuem tags GPS, já deixo aqui pronto o resultado, só clicar:

1   2   3   4   5

Aqui não tem nenhum truque. Smartphones e câmeras digitais mais recentes habilitam este recurso para que você possa saber, no mapa, onde tirou aquela foto maneira das férias. Veja o exemplo em uma confêrencia da Apple sobre o recurso:



Lembre-se, este blog não está ferindo a privacidade de ninguém, afinal, o que é privado não deve ser divulgado. Se eu colocar meu número de telefone aqui, terei que aguentar as consequências. É a mesma coisa!

Maiores informações sobre o sexting no portal G1.
Uso de imagem da Dra. Patrícia Peck foi autorizada.

Apologia a crimes ganha força na internet

Excelente a reportagem da Janaina Garcia, do UOL Notícias! Não queria mais postar notícias no blog (o Twitter faz um ótimo trabalho neste sentido), mas esta reportagem eu acho que DEVE ser postada aqui.

Eu me revolto quando vejo coisas assim. Me faltam palavras para expressar minha indignação.
Infelizmente, a internet no Brasil ainda é terra sem lei...



A chacina de 12 alunos entre 12 e 15 anos no bairro de Realengo, zona oeste do Rio de Janeiro, na última quinta-feira (7), não suscita apenas o debate sobre o desarmamento e outras medidas de combate à violência no país. Na contramão dessa discussão, comunidades na internet fazem apologia ao ato de Wellington Menezes de Oliveira, autor dos disparos e classificado por esses grupos ora como herói, ora como “atirador santo” e protagonista de um ato de “diversão” e “vítima de racismo”.

Comunidades com apologia ao crime

  • Reprodução Orkut
    Há apologia ao criminoso que matou 12 crianças em uma escola em Realengo, no Rio, semana passada...
  • Reprodução Orkut
    ... e também apologia à violência contra gays, um dos alvos preferidos nessas comunidades
  • Reprodução Orkut
    Racismo está entre os crimes que mais reúnem defensores na rede, apesar de ser crime
Desde o dia do massacre, a reportagem do UOL Notícias identificou pelo menos seis comunidades no site de relacionamentos Orkut que não apenas defendem o gesto do criminoso como também sugerem a prisão do sargento Márcio Alexandre Alves, que deteve Oliveira com um tiro e impediu que ele avançasse para o andar superior da escola Tasso da Silveira. Até a quarta-feira (13), ao menos três comunidades foram excluídas.
O enaltecimento de gestos como o de Oliveira, no entanto, não é ato isolado. Em uma busca pelo mesmo site, é possível apontar uma quantidade enorme de comunidades que, se não pregam “verdades” radicais como absolutas, apontam caminhos pelos quais suas regras devem ser seguidas --e estes caminhos, quase que invariavelmente, incitam práticas criminosas.
As temáticas com apologia ao crime são variadas: vão de preconceito contra negros e judeus, por exemplo, à exploração de conteúdo claramente pedófilo, incestuoso ou mesmo de incitação à violência contra minorias, conforme a orientação sexual, a classe social e até mesmo o gênero de seus alvos.
Em geral, os criadores e moderadores adotam perfis falsos ou completamente fantasiosos e estão ligados a várias outras comunidades de incitação à violência. Defesa de estupro como “prática corretiva” a lésbicas, morte a gays, a andarilhos e a negros e até lamentos a não extinção de países como o Japão, no terremoto seguido se tsunami no mês passado, são alguns dos exemplos. Nas comunidades de conteúdo explicitamente pedófilo, por exemplo, além da temática expressa em sua descrição, constam também listas de discussão onde fervilham a troca de fotos de crianças em trajes sumários e diálogos de conteúdo erótico.
Apesar da opção de se reportar o abuso dessas comunidades, elas estão no ar há semanas. Em algumas, antes de o usuário ter acesso ao conteúdo, um aviso em inglês alerta que ele “pode ser inapropriado a alguns usuários”. Mas isso não é obstáculo: basta um ou dois cliques para entrar se a intenção for integrar esses grupos.
De acordo com o criminalista Luiz Flávio Gomes, a legislação brasileira contempla não apenas a punição --detenção de três a seis meses, ou multa --a quem faz apologia a crimes, como também a quem enaltece ou faz apologia à figura de um criminoso. Isso é possível tanto pela Lei de Racismo, de 1989, como pelo Código Penal Brasileiro, de 1940. Pelo Código, por exemplo, os artigos 286 e 287 vedam a incitação pública da prática de crime e a apologia de crimes ou criminosos --inclusive os que agem em bando ou quadrilha.
Leis x repressão
Indagado sobre as comunidades recentes que enaltecem o atirador de Realengo, Gomes avaliou: “O MP (Ministério Público) conseguiria encaixar tranquilamente isso nas práticas que o Código Penal condena. Se tiver algum elemento racista envolvido, e referente a quaisquer etnias, facilmente se enquadra também na Lei de Racismo”.

Risco de “violência extrema”


Sobre a grande quantidade de grupos defendendo ações violentas nas outras comunidades identificadas, o criminalista avaliou como “preocupante” o discurso de exclusão que elas contêm. “É preocupante porque também é um discurso de violência, ainda que se tenha um conjunto de leis que eu julgue adequado para combater esse tipo de crime”, afirmou. “O que precisa é a polícia entrar em campo e reprimir essas ofensivas, tais como a ação em que os policiais cadastraram todos os grupos homofóbicos, em São Paulo, durante o protesto de sábado (9) no vão do Masp”, citou, referindo-se ao evento que opôs manifestantes contrários e favoráveis ao deputado federal Jair Bolsonaro (PP-RJ), que recentemente deu declarações consideradas racistas e homofóbicas por ativistas e outros representantes da sociedade civil organizada.
“É fundamental que haja esse controle repressivo, ou vamos chegar a extremos de violência. Por outro lado, precisam ser enraizados no discurso da mídia valores como a tolerância, o respeito e a compreensão das diferenças. O problema é que, antes disso tudo, falta educação”, conclui Gomes.

Parabéns a Janaína Garcia pela excelente cobertura dos fatos! 
Para comentários, utilize a notícia original publicada no site do UOL.

Wednesday, April 13, 2011

Crimes na internet - Como denunciar?

Qualquer pessoa ou entidade pode enviar ao Ministério Público Federal uma denúncia noticiando ilícitos, irregularidades, lesões ou ameaças a direitos. A denúncia apresentada, contudo, somente terá seguimento, ou seja, será objeto de investigação e atuação do Ministério Público Federal, se estiver incluída dentre as matérias de sua atribuição.



Atribuições do Ministério Público Federal


Na área criminal, os crimes que envolvam interesses da União, de autarquias federais ou empresas públicas federais ou fundações públicas federais, incluindo aqueles praticados pelos respectivos agentes públicos ou contra eles. Também os crimes políticos, os crimes previstos em tratados ou convenções internacionais com reflexos ou origem no estrangeiro, os crimes contra a organização do trabalho, contra o sistema financeiro e, em alguns casos, contra a ordem econômico-financeira e, ainda, os crimes cometidos a bordo de aeronaves e navios.
Exemplificativamente são de atribuição do Ministério Público Federal:
  • crimes de sonegação de tributos federais e outras fraudes fiscais e contra o INSS
  • falsificação de documentos públicos emitidos por órgãos ou entes federais, falsificação de dinheiro ou uso de dinheiro falso
  • corrupção nos órgãos públicos federais ou de seus agentes
  • fraudes em Bancos e em financiadoras
  • tráfico internacional de drogas
  • evasão de divisas, contrabando e descamiho
  • pornografia infantil e racismo pela internet

Na área cível, o Ministério Público Federal atua na defesa dos interesses e direitos coletivos, vale dizer, que são titularizados por um significativo número de pessoas, e desde que estejam de alguma forma relacionados a União, seus bens ou respectivos órgãos , autarquias federais ou empresas públicas federais, ou que envolvam o meio ambiente, o patrimônio nacional, o patrimônio cultural brasileiro, direitos e interesses das populações indígenas e outras populações tradicionais. O Ministério Público Federal também atua para garantir a observância dos princípios e direitos constitucionais por parte dos poderes e órgãos públicos federais e pelos serviços federais de relevância pública.
São exemplos de matérias de sua atribuição na esfera cível:
  • a defesa da flora e da fauna em unidades de conservação federais e contra a poluição em rios que dividem Estados ou o Brasil de outros países, bem como o patrimônio nacional histórico e cultural
  • a defesa da probidade na aplicação dos recursos públicos e da moralidade nos entes públicos federais e na conduta dos respectivos agentes
  • a defesa dos consumidores dos serviços fiscalizados e regulados por agências reguladoras, tais como telefonia, transporte aéreo, energia elétrica, saúde suplementar etc, naquilo que for relacionado à atuação dessas agências
  • defesa da cidadania, proteção do idoso, da criança e dos portadores de deficiência, dos estrangeiros, das minorias, bem como todo e qualquer impedimento ao exercício da cidadania em questões que envolvam a responsabilidade de órgãos ou entes federais
  • questões relacionadas ao funcionamento do SUS, no que refere às responsabilidades e recursos da União, e do Sistema Federal de Ensino
  • observância pelo serviço público federal ao que dispõe a lei e à Constituição Federal
Só excepcionalmente o Ministério Público Federal atua em defesa de interesses exclusivamente individuais, que são defendidos, via de regra, por advogados, pela defensoria pública estadual ou federal, ou, em alguns casos, pelo próprio interessado nos Juizados Especiais Estaduais ou Federais

Para denunciar, clique aqui.

Friday, April 8, 2011

Alerta! Fraudes e mais fraudes no ML

Poucos dias atrás eu publiquei aqui um anúncio do Mercado Livre que oferecia "carteiras de motorista sem burocracia".



O tempo passou, algumas pessoas compraram o suposto serviço e o anúncio foi encerrado. Agora algumas qualificações do suposto vendedor começam a aparecer:




Aparentemente, o usuário EDDESPACHANTE (que já foi banido da comunidade, mas não sem antes causar uma série de prejuízos) criou um anuncio no MercadoLivre apenas no intúito de obter vantagem enconômica de forma ilícita. Prática comum entre estelionatários que utilizam-se do site de vendas online a fim de praticarem crimes.

Todavia, no caso em tela há uma distinção, pois o produto oferecido é a venda de carteiras de motorista, prática sabidamente ilegal, que acaba por desqualificar o crime de estelionato, assim tipificado no Código Penal Brasileiro, no Artigo 171, "obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento." É crime doloso, onde o agente prevê o resultado lesivo de sua conduta e, mesmo assim, leva-a adiante, produzindo o resultado. A pena aplicada é de reclusão de um a cinco anos, mais multa.

Nenhum dos documentos vendidos foi entregue pelo “vendedor”, gerando revolta entre os compradores. Porém ao tentar adquirir a carteira de motorista de forma ilícita, o comprador passa da condição de vítima à cúmplice, não restando a este qualquer alternativa senão arcar com a própria má fé e amargar o prejuízo sofrido, uma vez que não é possível apelar para as autoridades policiais. Seria o mesmo que dar queixa do traficante que não entregou a cocaína encomendada.


Faz-se necessário também destacar a responsabilidade do site, que não cumpre com o devido dever de vigilância na prestação de seus serviços, servindo de instrumento para a prática de crimes.

No caso do estelionato puro e simples, onde os supostos vendedores não entregam o produto adquirido à responsabilidade do site é minimizada uma vez que não é possível prever a má fé . Mas no caso de anúncios de vendas de documentos o ilícito é óbvio levando a negligencia do site no controle de seu conteúdo à um nível de conivência com a prática de crimes.

Wednesday, April 6, 2011

Forense em registro do Windows

Acabei de adquirir o meu exemplar do livro Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry (review do livro aqui).


O registro do Windows contém várias informações que podem ser utilizadas no processo de análise forense, como contas de usuário, configurações de data e hora, relação de aplicativos instalados na máquina suspeita. Este livro detalha os conceitos básicos de registro do Windows e sua estrutura, fala sobre técnicas de ocultar dados no registro e traz uma análise sobre as principais entradas de registro que são de grande valor em uma análise forense.

Assim que a Amazom concluir a entrega, vou postar algumas informações e dicas sobre análise do registro do Windows.

O meu grande amigo Suffert já publicou um post muito bom sobre o registro do windows.

[off topic] Bush hid the facts

As vezes, quando estou explicando a forma como o sistema de arquivos armazena os dados no disco e comento sobre as diferenças entre ANSI e UNICODE, uso o exemplo do "Bush hid the facts" no notepad do Windows XP:



Não, não tem nada de teoria da conspiração aqui... Isso acontece por causa de um bug (se é que pode ser chamado de bug) no Windows XP, que não trata muito bem a string e converte o texto para chinês: 畢桳栠摩琠敨映捡獴. 


A falha acontece também com outras strings, por exemplo:
  • "this app can break"
  • "acre vai pra globo"
  • "aaaa aaa aaa aaaaa"
O Windows 7 é imune a esta falha.

Monday, April 4, 2011

Casos de polícia no Twitter, Facebook e Youtube



Muitas pessoas às vezes esquecem que, embora virtuais, as redes sociais funcionam como um elo com o mundo real. E que felizmente crimes podem ser descobertos ou desvendados por milhões de usuários, a todo momento. Aliás, não só a internet, mas smartphones, tablets e outras ferramentas hi-tech são grandes aliadas no combate ao crime. Por isso pense muito antes de criar blasfêmias contra alguém, como racismo ou homofobia entre outras. Por mínima que seja a ofença, você pode entrar em uma enrrascada com a justiça sem tamanho. Pense muito antes, afinal a internet não é uma terra sem lei, como muitos pensam.


Um taxista da Inglaterra, perdeu o emprego depois de divulgar no Youtube filmagens comprometedoras de seus passageiros. Colin Hedley usou a câmera de segurança do táxi para captar confissões e, segundo ele, expor "o tipo de pessoa que sai à noite para infringir a lei ou ser infiel". Hedley chegou a postar quatro vídeos na rede. Todos eles expõem conversas íntimas de seus passageiros sobre sua vida pessoal ou situações constrangedoras


Giselle Penagos foi atropelada pela própria prima, Melanie Snanopoulos (foto). E tudo por conta de ciúmes no Facebook. O caso aconteceu porque um rapaz, cobiçado pelas duas moças, aceitou um pedido de amizade virtual de Giselle, mas ignorou sumariamente o de Melanie. Irritada e fora de si, Melanie discutiu com sua prima dentro do carro, pediu para que ela descesse e a atropelou sem dó. Melaine declarou-se inocente em audiência na corte de Hempstead, Nova York. Ela foi liberada após o pagamento de US$ 10 mil de fiança


No começo do ano, Pradeep Manukonda enviou uma série de mensagens (virtuais e não virtuais) a Mark Zuckerberg, CEO do Facebook. Nos recados, Pradeep pedia ajuda a todo custo: "Por favor, me ajude, Mark. Eu estou muito cansado e exausto. Devo toda minha vida ao Facebook. Por favor, me ajude. Só assim eu estarei pronto para morrer por você". Além disso, o perseguidor tentou entrar na sede do Facebook e rondou a residência do jovem empresário. Zuckerberg conseguiu uma ordem judicial para manter Pradeep pelo menos 200 metros longe dele próprio e de todos seus familiares


A estudante brasileira Mayara Petruso ficou conhecida depois de postar uma mensagem considerada preconceituosa no Twitter, após a vitória da então candidata à presidente Dilma Rousefft: "Nordestisto [sic] não é gente. Faça um favor a SP: mate um nordestino afogado". Mayara foi processada pelos crimes de racismo e incitação pública de ato delituoso, no caso, homicídio.


Um casal norte-americano foi parar atrás das grades porque a noiva publicou um foto no Facebook ostentando sua aliança de noivado. Detalhe: era roubada. Crystal Yamnitzky talvez não soubesse que seu noivo, Robert Driscoll, havia furtado a joia, coberta de diamantes. A família do rapaz alegou que Crystal pedia constantemente o presente ao rapaz que, acuado e sem dinheiro, encontrou no roubo a saída para a situação. Resultado: os dois foram indiciados.


Rodney Knight, de 19 anos, invadiu uma casa, tirou uma foto de si mesmo ostentando o dinheiro roubado e postou no mural do Facebook da vítima. O dono da casa, que por sinal é jornalista, não hesitou em espalhar a foto por diversos veículos da imprensa. A polícia de Washington (EUA) não teve dificuldades em prendê-lo, pois era conhecido por outras ocorrências. Um dos policiais que ajudou na prisão classificou Rodney como o criminoso mais estúpido que já viu.


Richard Leon Barton, morador do estado de Michigan (EUA) é acusado de bigamia, mas só foi descoberto graças ao Facebook. Ele publicou fotos de seu casamento mais recente, mas não sem antes bloquear a "outra" e mais antiga esposa, a qual havia conhecido em 2004, pela internet. A esposa ''original'' achou estanho não conseguir acessar o perfil do marido. Passou então a buscar por referências nos perfis de contatos em comum. Foi quando encontrou as fotos do matrimônio paralelo do marido. De acordo com as leis do Estado, se for condenado, o segundo casamento de Richard pode ser anulado.

Há, sim... Antes que este humilde blog seja acusado pela lei 9.610/98, já entrego que copiei daqui.

Dados à venda no ML

Post rápido de domingo =)

Recentemente fiz um upgrade no meu bom e velho Pentium 4, com direito a 2x HD IDE80GB (not RAID, triste..) e agora com 1GB de memória RAMBUS (o.O). O melhor lugar para conseguir estas peças velhas (a.k.a. raridades)? O Mercado Livre, claro!



Já havia feito a compra a um tempo atrás e neste último FDS tive a oportunidade de colocar a mão na massa. A memória deu um pouco de trabalho, mas o HD foi plugar como slave e pronto!


Como sou muito curioso, resolvi dar uma olhadinha no meu "novo" HD usado, não no Explorer, mas uma olhadinha forense, utilizando o FTK Imager...

O diretório "C:\Arquivos de Programas RFB\IRPF2010" foi o que mais me chamou a atenção!! Adivinhe só o que tinha lá?? Juro que não abri, nem por curiosidade, não seria ético... Confesso também não me assustei com todas estas informações que achei: muitas fotos de família, arquivos de música, tudo aqui, acessível...

O motivo? Óbvio, o honesto vendedor formatou o HD, antes de anunciá-lo no ML, conforme aprendeu no curso de hardware do SENAC, o que ele não aprendeu é que o format não apaga nada...

Já escrevi sobre isso no blog (aqui e aqui). Desta vez eu volto a falar, mas foco no pessoal que utiliza o Windows 7. (não sei se aplica ao Vista):

O comando FORMAT foi melhorado, e agora possui um parâmetro para realmente apagar os dados, é o parâmetro /P, para passes. Este parâmetro escreve ZEROS em toda a superfície do disco, quantas vezes forem definidas:


No exemplo, formatei a unidade E:\ e ainda gravei ZEROS em cada setor quatro vezes.

Agora não tem mais desculpas: por favor, limpem seus discos, não deixem seus dados espalhados por ai!