Laudo Forense Digital (Cenário 4)

6,430 views

Published on

Trabalho de Final do Curso "Investigação Forense Digital"
carlosmottacastro@gmail.com

Published in: Technology

Laudo Forense Digital (Cenário 4)

  1. 1. LAUDO TÉCNICOFORENSE COMPUTACIONALCASO: Cenário04Lab CorpPerítos:Alessandro UbirajaraCarlos Eduardo Motta de CastroCarlos Eduardo Pires RochaÉrico C. ManfrediJulio Henrique da ConceiçãoData de Entrega:17/06/2013
  2. 2. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 2-57ConteúdoAPRESENTAÇÃO.................................................................................................................................3Nossa especialidade:.....................................................................................................................3Introdução.....................................................................................................................................4Análise...........................................................................................................................................4Objetivo.........................................................................................................................................4Dados do Cliente ...........................................................................................................................4CUSTÓDIA..........................................................................................................................................5Cadeia de Custódia........................................................................................................................5INVESTIGAÇÃO ..................................................................................................................................8Método Aplicado...........................................................................................................................8Normas..........................................................................................................................................8Tratamento das Evidências ...............................................................................................................9ATA NOTARIAL (Recuperação das Evidências)..............................................................................9EVENTOS NA LINHA DO TEMPO..................................................................................................10CONCLUSÃO ....................................................................................................................................45Comentário Final.........................................................................................................................46Apoio da Equipe do Contratante.................................................................................................46QUESTIONÁRIO ...............................................................................................................................47TIMESHEET (Resume)..................................................................................................................48Ferramentas ................................................................................................................................48EQUIPE TÉCNICA (Perítos)...............................................................................................................49ANEXOS ...........................................................................................................................................50Anexo I (Termo de Responsabilidade) ........................................................................................50Anexo II (Contrato)......................................................................................................................56
  3. 3. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 3-57APRESENTAÇÃOA Computação Forense consiste, basicamente, no uso de métodos científicos parapreservação, coleta, validação, identificação, análise, interpretação, documentaçãoe apresentação de evidência digital. A aplicação desses métodos nem sempre sedá de maneira simples.Evidência digital entende-se pela informação armazenada ou transmitida emformatos ou meios digitais. Sendo que essa evidência, na maioria das vezes, éfrágil e volátil, o que requer a atenção de um especialista certificado ou bastanteexperiente a fim de garantir que os materiais de valor probatório possam serefetivamente isolados e extraídos correta e licitamente.Tais materiais podem ser apresentados em um tribunal de justiça como prova dematerialidade de um crime, ou mesmo como parte de um laudo pericial.Nossa especialidade:- Investigação de Fraudes- Assessoria Técnica aos Departamento Juridicos- Análise ForenseDireitos de Propriedade:As informações constantes neste documento e em qualquer de seus anexos, são de propriedade da Contratante. Asua utilização para outros fins que não de avaliação dos serviços propostos é expressamente proibida. Nenhumaparte deste documento pode ser reproduzida ou distribuída sem prévia autorização das Empresas envolvidas.
  4. 4. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 4-57IntroduçãoEste relatório tem como objetivo principal, através da utilização de ferramentasaplicadas na área da pericia forense computacional, a de extração de logs,visualização de eventos, arquivos, análise do registro do Windows e informaçõesdo computador, de obter evidências e indícios de fraude corporativa. Em ambientesWindows e Linux geralmente podemos identificar arquivos de log, realizandopesquisas pelo sufixo (extensão “.log”)Durante um processo de investigação (perícia) em um sistema computacional,devemos procurar por rastros, vestígios dos eventos / atividades realizadas pelosuspeito. Um exemplo típico são servidores web que registram em logs todas assolicitações ás páginas webs realizadas. (Para este tipo de log, existe um formatopadrão criado pela W3C - World Wide Web Consortium). Assim como mencionadono exemplo acima, a grande maioria das aplicações utilizadas, registrminformações importantes nos logs específicos de cada utilitário e SistemaOperacional.AnálisePara que o perito forense computacional possa coletar o maior número possível deevidências durante uma investigação, é imprescindível que o mesmo tenha umvasto conhecimento das aplicações suspeitas e a localização dos seus respectivosarquivos de logs.Mais importante do que conhecer a ferramenta e a localização do log, é saber lerestes logs e extrair informações válidas e confiáveis para composição dasevidências que serão apresentadas ao juiz.ObjetivoEncontrar evidências que indiquem o responsável pela transferência de arquivosconfidenciais e pessoais gravados originalmente na máquina do diretor para umamídia removível, contrariando o código de ética da empresa.Dados do ClienteNome : Lab Corp.
  5. 5. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 5-57CUSTÓDIAFoi disponibilizada uma imagem do PenDrive encontrado nas dependências daempresa e uma imagem da máquina do diretor.É importante ressaltar que o PenDrive foi indevidamente acessado pelo sr. JohnSmith antes de ser disponibilizado para a investigação. Esse ato apenas nospermite uma perícia em busca de indícios, levando em conta a possível alteraçãoda prova.Cadeia de CustódiaHD - DIRETORPENDRIVEMÍDIA ELETRÔNICA/DETALHES EQUIPAMENTOItem: Descrição:001 HD 61.440 MB - Cylinders: 16.383 Heads: 16 Sectors per Track: 63 Bytes per Sector: 512Fabricante: Modelo: Num. de serie:VMWARE VMWARE 00000001DETALHES SOBRE A IMAGEM DOS DADOSData/Hora: Criada por: Método: Nome da Imagem: Partes:25/02/2013-17:15ERICO C. MANFREDI DCFLDD CASO_4_DIRETOR 1Drive: HASH:1MD5 verification hash: f859f33aaaeba32a4bc77fc2961bca83SHA1 verification hash: 3a52187b2ce8fafa5aede35b82298c799b2e23feMÍDIA ELETRÔNICA/DETALHES EQUIPAMENTOItem: Descrição:001 PENDRIVE 1.947 Mb - 3.987.456 setores 512 bytes/setorFabricante: Modelo: Num. de serie:Kingston DT 2.0 Data Traveller USB 2.0 00000001DETALHES SOBRE A IMAGEM DOS DADOSData/Hora: Criada por: Método: Nome da Imagem: Partes:25/02/2013-17:15ERICO C. MANFREDI E01 CASO_4_PENDRIVE 1Drive: HASH:1MD5 verification hash: 789bdd8e4c0f0e9a8b9e475041769c1cSHA1 verification hash: 53a3c7ea07cf02f197b223418e69b284f2b27ca4
  6. 6. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 6-57Cópia 1:No dia 22/02/2013 criamos a imagem FORENSE do DIRETOR, no estado bruto (E01), como cópiade análise.Imagem gerada pelo FTK Imager :Created By AccessData® FTK® Imager 3.1.3.2Case Information:Acquired using: ADI3.1.3.2Case Number: CASO_4_DIRETOREvidence Number: 0002Unique description: DIRETORExaminer: ERICONotes:--------------------------------------------------------------Information for C:DADOSPOS GRADUACAOTRABALHO 7IMAGENSCASO_4_DIRETOR:Physical Evidentiary Item (Source) Information:[Device Info]Source Type: Physical[Verification Hashes]MD5 verification hash: f859f33aaaeba32a4bc77fc2961bca83SHA1 verification hash: 3a52187b2ce8fafa5aede35b82298c799b2e23fe[Drive Geometry]Bytes per Sector: 512Sector Count: 125.829.120[Image]Image Type: E01Case number: diretorEvidence number: 1Examiner: ericoNotes:Acquired on OS: Windows 7Acquired using: ADI3.1.3.2Acquire date: 14/05/2013 00:49:46System date: 14/05/2013 00:49:46Unique description: DiretorSource data size: 61440 MBSector count: 125829120[Computed Hashes]MD5 checksum: f859f33aaaeba32a4bc77fc2961bca83SHA1 checksum: 3a52187b2ce8fafa5aede35b82298c799b2e23feImage Information:Acquisition started: Mon Fev 25 18:06:18 2013Acquisition finished: Mon Fev 25 18:07:59 2013Segment list:C:DADOSPOS GRADUACAOTRABALHO 7IMAGENSCASO_4_DIRETOR.E01Image Verification Results:Verification started: Wed Jun 05 19:19:32 2013Verification finished: Wed Jun 05 19:49:03 2013MD5 checksum: f859f33aaaeba32a4bc77fc2961bca83 : verifiedSHA1 checksum: 3a52187b2ce8fafa5aede35b82298c799b2e23fe : verifiedObs: O log de BITSTREAM DATA, consta no DVD
  7. 7. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 7-57Cópia 2:No dia 25/02/2013 criamos a imagem FORENSE do PENDRIVE, no estado bruto (E01), como cópiade análise.Imagem gerada pelo FTK Imager :Created By AccessData® FTK® Imager 3.1.3.2Case Information:Acquired using: ADI3.1.3.2Case Number: CASO_4_PENDRIVEEvidence Number: 0001Unique description: PENDRIVEExaminer: ERICONotes:--------------------------------------------------------------Information for C:DADOSPOS GRADUACAOTRABALHO 7IMAGENSCASO_4_PENDRIVE:Physical Evidentiary Item (Source) Information:[Device Info]Source Type: Physical[Verification Hashes]MD5 verification hash: 789bdd8e4c0f0e9a8b9e475041769c1cSHA1 verification hash: 53a3c7ea07cf02f197b223418e69b284f2b27ca4[Drive Geometry]Bytes per Sector: 512Sector Count: 3.987.456[Image]Image Type: E01Case number:Evidence number:Examiner:Notes:Acquired on OS: Windows 7Acquired using: ADI3.0.1.14Acquire date: 06/02/2013 19:42:18System date: 06/02/2013 19:42:18Unique description: untitledSource data size: 1947 MBSector count: 3987456[Computed Hashes]MD5 checksum: 789bdd8e4c0f0e9a8b9e475041769c1cSHA1 checksum: 53a3c7ea07cf02f197b223418e69b284f2b27ca4Image Information:Acquisition started: Mon Fev 25 18:06:18 2013Acquisition finished: Mon Fev 25 18:07:59 2013Segment list:C:DADOSPOS GRADUACAOTRABALHO 7IMAGENSCASO_4_PENDRIVE.E01Image Verification Results:Verification started: Wed Jun 05 18:08:01 2013Verification finished: Wed Jun 05 18:10:00 2013MD5 checksum: 789bdd8e4c0f0e9a8b9e475041769c1c : verifiedSHA1 checksum: 53a3c7ea07cf02f197b223418e69b284f2b27ca4 : verifiedObs: O log de BITSTREAM DATA, consta no DVD
  8. 8. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 8-57INVESTIGAÇÃOMétodo AplicadoNossa contratação ocorreu após o incidente, portanto, utilizamos o modelode investigação post-mortem seguindo os padrões existentes noprocedimento padrão, quanto à preservação das evidências para garantirsua integridade, execução da investigação sobre as réplicas perfeitas dasevidências, e o uso de ferramentas maduras confiáveis na condução dainvestigação. As cópias forenses foram geradas e documentadas nosarquivos de Bitstream Data e toda a investigação foi realizada através dascópias forenses.A investigação não foi direcionada a um único objetivo alvo, portanto,seguimos com busca generalizada de indícios e eventos que possam noslevar a autoria. Iniciamos com a análise dos Log´s e Registro do Windows,seguimos para análise dos eventos e seus participantes, continuamos com aanálise dos aplicativos instalados ou contidos no PC, comparamos aconsistência dos arquivos entre os dois repositórios. É importante para estainvestigação traçar relação entre os dois repositórios para definir a origemdos dados, tanto quanto definir o perfil dos usuários envolvidos. Com issopretendemos provar existência de falhas de segurança, suas consequênciase possível autoria. Vale salientar que antes de ser encaminhado o dispositivoPENDRIVE para a nossa equipe, este foi indevidamente conectado aestação do diretor pelo usuário John Smith.Trata-se de uma análise dedados contidos no objeto de custódia. Não houve uma entrevista prévia juntoaos envolvidos ou suspeitos. A análise crítica será aplicada nestainvestigação, tanto na imagem da máquina do diretor, como também noPenDrive.NormasReferências e Normas Técnicas (Aderências):– OSC2 CISSP CBK– NBRISO/IEC 27001– NBSO– CAISCódigo:– Código Civil Brasileiro– Código de Processo Penal- Art. 170- Art. 171
  9. 9. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 9-57Tratamento das EvidênciasATA NOTARIAL (Recuperação das Evidências)Objetivo: Recuperação e guarda de imagem digital de PenDrive e da máquina dodiretor (DIRET05).S A I B A M todos os que virem esta ata notarial que ao vigésimo quinto dia domês de fevereiro de dois mil e treze (25/02/2013), às 15h00min (hora legalbrasileira), em São Paulo, SP, República Federativa do Brasil, no 26° Tabelionatode Notas de São Paulo, eu, João N. Santos, escrevente autorizado pelo Tabelião,recebo a solicitação verbal do Sr. John Smith (responsável pela informática).Reconhecço a identidade do presente e a sua capacidade para o ato, dou fé.Verifico e presencio que: PRIMEIRO, através do software FTK Imager, foigerada a imagem forense de todo o PenDrive, com hash md5:789bdd8e4c0f0e9a8b9e475041769c1c, encontrado na lixeira da sala do diretor, ede todo o disco rígido da estação do diretor (DIRETOR) com hash md5:f859f33aaaeba32a4bc77fc2961bca83, salvando os dois arquivos em uma unidadede DVD-ROM. SEGUNDO, nada mais havendo pede-me o solicitante queidentifique o DVD-ROM e arquive uma cópia, o que faço. Para constar, lavro apresente ata para os efeitos do inciso IV do art. 334 do Código de Processo CivilBrasileiro e de acordo com a competência exclusiva que me confere a lei n.8.935/1994, em seus incisos III dos arts. 6o e 7o e art. 364 do Código de ProcessoCivil Brasileiro. Ao final, esta ata foi lida em voz alta, achada conforme eassinada pelo solicitante e por mim. Escrita pelo escrevente JORGE SCRIBER eassinada pelo Tabelião Substituto ANTONIO JUDGE. Dou fé.
  10. 10. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 10-57EVENTOS NA LINHA DO TEMPOOs eventos abaixo foram coletados do registro de logs do Sistema, deAplicações e de Segurança do Windows. Estes logs são consultados peloutilitário Event Viewer do próprio sistema operacional.Evento (SYSTEM) Data HoraNome: diret05 04/02/2013 05:43Nome: LAB01 (TROCA) 04/02/2013 07:55Product: WebFldrs XP -- Installation operation completedsuccessfully. 04/02/2013 08:24DHCP não renovou IP para 000C291EBC0E 04/02/2013 08:30Assumido IP local 169.254.224.98 04:02/2013 08:46Terminal Service Ativo 06/02/2013 13:57Product: Microsoft Visual C++ 2008 Redistributable - x869.0.30729.4148 -- Installation completed successfully. 06/02/2013 13:58VMWare Tools Iniciado 06/02/2013 14:03Product: VMware Tools -- Installation operation completedsuccessfully. 06/02/2013 15:24Nome: DIRET05 (TROCA) 06/02/2013 15:27Terminal Service Ativo 06/02/2013 15:28Compulter Browser Stopped 06/02/2013 15:28DHCP não renovou IP para 000C29D9D756 06/02/2013 16:02Computador perdeu a conexão para IP 192.168.101.134 06/02/2013 16:02Product: Microsoft Office Publisher MUI (English) 2007 --Installation operation completed successfully. 06/02/2013 16:43Um provedor, OffProv12, foi registrado no espaço de nomeWMI, RootMSAPPS12, para usar a conta do sistema local.Essa conta é privilegiada e o provedor pode gerar umaviolação de segurança se ela não representar corretamenteas solicitações do usuário. 06/02/2013 16:44Log de Eventos finalizado 06/02/2013 17:07Log de Eventos iniciado 18/02/2013 09:57Terminal Service Ativo 18/02/2013 09:57O Serviço da Central de Segurança do Windows foi iniciado. 18/02/2013 09:57Compulter Browser Stopped 18/02/2013 09:57Log de Eventos finalizado 18/02/2013 15:59Logon interativo do usuário Diretoria(Através da consulta ao arquivo de registro SAM File Information,detectamos que o último login ocorreu em 18/02/2013 as 12:57:18.) 18/02/2013 12:57
  11. 11. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 11-571.1. MIND MAP
  12. 12. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 12-571.2. COMPARAÇÃO VIA HASH DE ARQUIVOSAtravés da identificação de arquivos com mesmo HASH no PENDRIVE eno disco rígido da estação do diretor (DIRET05) chega-se a conclusãoque os arquivos são idênticos e que o PENDRIVE foi usado na estação.Foi usado o FTK para extrair o HASH das duas evidências (DIRET05 ePENDRIVE).Como conceito não técnico podemos dizer que "hash é a transformaçãode uma grande quantidade de dados em uma pequena quantidade deinformações", ou seja, podemos transformar um arquivo (grandequantidade de dados) em uma pequena sequencia de caracteres quebusca identificar um arquivo ou informação unicamente assim, se doisarquivos geram o mesmo HASH eles são únicos.
  13. 13. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 13-57- Sequencia de página contendo o HASH dos demais arquivos:
  14. 14. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 14-571.3. DIRETÓRIO DE DOWNLOADS DO USUÁRIO DIRETORIANo diretório de arquivos baixados da internet pelo usuário Diretoria(Documents and SettingsDiretoriaMy DocumentsDownloads) foramencontrados vários arquivos de SETUP de softwares usados para conexãoremota (LogmeIn e VNC) porém, não foram encontradas evidências deexecução ou instalação destes produtos.
  15. 15. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 15-571.4. PROGRAMAS INSTALADOSA consulta à lista de programas instalados na máquina do diretor (Painelde Controle / Adicionar e Remover Programas) não encontrou programasque pudessem ser usados para transferir os arquivos para uma outramáquina.
  16. 16. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 16-571.5. EXECUTÁVEIS CARREGADOS RECENTEMENTEDentre os arquivos acessados recentemente, identificados através doconteúdo da pasta WindowsPrefetch, não constam arquivos de imagemou executáveis que poderiam ser usados para conectividade remota etransferência de arquivos.
  17. 17. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 17-571.6. ARQUIVOS RECENTES NO PENDRIVEEntre os arquivos usados recentemente pelo usuário Diretoria estãoarquivos encontrados no PenDrive.
  18. 18. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 18-571.7. INSTALAÇÃO DO VMWAREEvidência dos softwares instalados na pesquisa através do Registry,confirmando a instalação de softwares que podem ser usados para ativarmaquinas virtuais e usar arquivos de dados, sem gravar o registro dasatividades na maquina real (VMware).O Registry é uma base de dados do Windows onde são armazenadasvárias informações de controle do sistema operacional e também aquelasusadas pelos softwares instalados.
  19. 19. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 19-571.8. NOME DA ESTAÇÃO DO DIRETORAtravés do Registry foi recuperado o nome da estação do diretorNome: (DIRET05).
  20. 20. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 20-571.9. USO DE DISPOSITIVOS REMOVÍVEISAtravés do Registry buscamos por evidências de uso de dispositivosremovíveis que pudessem ser usados para transporte de arquivos damaquina do diretor.Foi consultada a chave USBSTOR do Registry e não foi possívelidentificar se o PENDRIVE entregue como evidência foi usado namáquina DIRET05 pois não é possível identificar o device id doPENDRIVE.
  21. 21. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 21-571.10. USO DE DISPOSITIVOS REMOVÍVEISNa chave SYSTEM/CurrentControlSet2 (USBSTOR) do Registry foiencontrado o nome de um dispositivo removível mas ainda assim, não épossível confirmar que este dispositivo é o PENDRIVE entregue comoevidência.
  22. 22. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 22-571.11. ID DO USUÁRIO DIRETORIAO ID interno atribuído pelo sistema operacional ao usuário Diretoria é o1003, conforme indicado no Registry. Este ID é usado para identificar porexemplo quais, arquivos encontrados na Lixeira, eram do usuárioDiretoria.
  23. 23. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 23-571.12. CACHE DO INTERNET EXPLIRER NO REGISTRYIdentificação através do Registry, qual é o diretório de localização docache do Internet Explorer (histórico) onde estão os históricos denavegação.O objetivo é buscar no histórico de navegação por sites que pudessemter sido usados para fazer upload dos arquivos da estação do diretor.
  24. 24. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 24-571.13. HISTÓRICO DO INTERNET EXPLORERConsultado o diretório onde é saldo o histórico de navegação do InternetExplorer, não foram encontradas informações de navegação quemostrassem possíveis sites para onde foram feitos os uploads de arquivosda máquina do diretor.
  25. 25. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 25-571.14. DIRETÓRIO DE LOGS DO SISTEMA OPERACIONALAtravés do Registry identificamos o diretório onde são salvos os arquivosde log do sistema operacional. Estes arquivos são consultados e exibidosatravés do utilitário Event Viewer.
  26. 26. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 26-571.15. TROCA DE NOME DA ESTAÇÂOAtravés do Event Viewer, consultando os logs do sistema operacional,identificamos que ocorreu uma troca do nome da estação de LAB-01para DIRET05.
  27. 27. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 27-571.16. ENDEREÇO IP FORNECIDO PELO SERVIÇO DHCPConsultando os logs do sistema operacional, através do Event Viewer,identificamos que o endereço IP concedido anteriormente pelo DHCPpara a estação era o 192.168.101.134.O DHCP é um serviço disponível na rede que fornece um endereço IP deforma dinâmica às estações de trabalho configuradas para obter seuendereço do servidor DHCP.Sem um endereço IP um computador não consegue trafegar por umarede que use o protocolo TCP/IP, que é o protocolo padrão usado pelaInternet.
  28. 28. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 28-571.17. CD-BURNING IDENTIFICADO NO LOG DO WINDOWSConsultando os logs do sistema através do Event Viewer, verificamosque o serviço CD-Burning foi inicializado, podendo indicar que asimagens foram salvas através de um CDROM porém, não foi encontradaa instalação e uso do CD-Burning, mostrando que ele pode ter sidoremovido, sem deixar evidências de instalação.
  29. 29. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 29-571.18. LIXEIRA VAZIAA RecycleBin ou Lixeira está vazia, não sendo encontrados arquivosremovidos de softwares que possam ter sido usados para transferir asimagens.Na RecycleBin são salvos ponteiros para os arquivos que foramapagados sem a opção de deleção definitiva, permitindo que o sistemaoperacional possa restaurá-los.
  30. 30. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 30-571.19. OUTLOOK SEM E-MAILS ENVIADOSNa pasta de e-mails enviados do Outlook Express, não foramencontrados registros de e-mails enviados, que seriam uma outraalternativa para envio dos arquivos da estação do diretor.O Outlook Express é um cliente de e-mail, ou seja, é um software quepermite o recebimento e envio de e-mails.
  31. 31. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 31-571.20. ÚLTIMOS ARQUIVOS USADOSConsultado o diretório (Recent) do usuário Diretoria para identificar osúltimos documentos usados por ele. Os mesmos arquivos foramencontrados no PENDRIVE.No diretório Recent o Windows XP salva informações sobre os últimosarquivos usados por cada usuário.
  32. 32. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 32-571.21. EXECUTÁVEIS USADOS NO PASSADO (PAGEFILE)Fizemos uma varredura do PAGEFILE através do OSForensics, e nãoencontradas evidências de execução do WIPEOUT.Como o Windows pode ser configurado para eliminar o PAGEFILE quando édesligado, verificamos no Registry (ClearPageFileAtShutDown) se estaconfiguração estava ativa pois se estivesse, o PAGEFILE não seria indicadopara identificar a execução do WIPEOUT. O Windows não estavaconfigurado para apagar o PAGEFILE.Como o WIPEOUT é um browser que após navegar na Internet, tempropriedades de apagar inclusive o próprio rastro de sua instalação,verificamos através do PAGEFILE se ele havia sido executado. O WIPEOUTpoderia ter sido usado para fazer upload de arquivos da máquina do diretor.O PAGEFILE (arquivo de paginação) é um arquivo, localizado no discorígido, para onde o Windows move informações que estão na memória RAMdo computador, mas que não estão em uso no momento; o SistemaOperacional faz isso quando precisa de espaço na memória RAM e estaestá sem espaço disponível. Todo executável é transferido para a memóriaRAM durante sua execução.
  33. 33. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 33-571.22. WIPEOUTFoi encontrado na estação o software WIPEOUT que é um browser que aoser finalizado limpa todo o histórico de navegação, cookies, etc, entretantonão foram encontradas evidências de que ele foi executado.Após a execução do WIPEOUT, é criado um arquivo no Desktop e outro noPREFETCH e estes arquivos não existem na imagem original.
  34. 34. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 34-571.23. HISTÓRICO DE NAVEGAÇÃO (INDEX.DAT)O arquivo index.dat é uma base de dados que armazena as informações dehistórico de navegação de Internet para o browser Internet Explorer portanto,buscamos neste arquivo por sites que pudessem ser usados para fazer upload dearquivos da máquina do diretor.Este arquivo possui um formato próprio, não sendo possível sua visualizaçãodiretamente através de um editor de texto. Para esta análise, as informações sobreo histórico de navegação foram obtidas através do programa Pasco, da McAfee,versão 1.0 (http://www.mcafee.com/br/downloads/free-tools/pasco.aspx )Arquivo:C:Documents and SettingsDiretoriaLocalSettingsHistoryHistory.IE5index.datHash MD5: 6587e4f8ded9256484d97a898c37d886Hash SHA1: ab39e984867bd5e3e3ca61a1e323acce716e6174Comando utilizado:/pasco -d /analise/maquina-diretor/DocumentsandSettings/Diretoria/LocalSettings/History/History.IE5/index.datSaída:History File: /analise/maquina-diretor/Documents and Settings/Diretoria/LocalSettings/History/History.IE5/index.datTYPE URL MODIFIED TIME ACCESS TIME FILENAME DIRECTORY HTTP HEADERSURL Visited: Diretoria@about:blank Wed Feb 6 17:46:31 2013 Wed Feb 6 17:46:31 2013 URLURL Visited: Diretoria@about:Home Mon Feb 4 09:24:44 2013 Mon Feb 4 09:24:44 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/20090409_campanha_salarial_2009.xls Wed Feb 6 17:47:03 2013 Wed Feb 6 17:47:03 2013 URLURL Visited: Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/NDA.docWed Feb 6 18:06:23 2013 Wed Feb 6 18:06:23 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/119_12_ce_bandeira_mercosul.xls Wed Feb 6 17:47:02 2013 Wed Feb 6 17:47:02 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/7315_Anexo%201%20-%20Modelo%20de%20Proposta%20Comercial_RETIFICADO.xls Wed Feb 6 17:47:01 2013 Wed Feb 617:47:01 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Downloads/Microsoft%20Office%202007%20Enterprise-%20Fully%20Activated-hasim751/Office%202007%20Enterprise/Product%20Key.txtWed Feb 6 17:38:19 2013 Wed Feb 6 17:38:19 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Copy%20of%207315_Anexo%201%20-%20Modelo%20de%20Proposta%20Comercial_RETIFICADO.xls Wed Feb 6 17:47:12 2013 WedFeb 6 17:47:12 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Anexo_X_RREO_6_edicao.xlsWed Feb 6 17:47:19 2013 Wed Feb 6 17:47:19 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Anexo%2007%20-%20Cronograma%20Fisico-financeiro.xls Wed Feb 6 17:47:17 2013 Wed Feb 6 17:47:17 2013 URL
  35. 35. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 35-57URL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/conc0309anexoIX.xls WedFeb 6 17:47:23 2013 Wed Feb 6 17:47:23 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Cartao%20Proposta%20Inclusao.xls Wed Feb 6 17:47:25 2013 Wed Feb 6 17:47:25 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/Application%20Data/Microsoft/Templates/Normal.dotm Wed Feb 6 18:06:30 2013 Wed Feb 6 18:06:30 2013 URLURL Visited: Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/comite-financeiro-partidos-politicos-e-partidos-candidatos1.xls Wed Feb 6 17:47:29 2013 Wed Feb 6 17:47:292013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/CONFIDENCIAL.doc WedFeb 6 18:06:30 2013 Wed Feb 6 18:06:30 2013 URLURL Visited: Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/DR_PS.docWed Feb 6 18:06:27 2013 Wed Feb 6 18:06:27 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/contrato_confidencialidade-rede-cin.doc Wed Feb 6 18:06:27 2013 Wed Feb 6 18:06:27 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/judoc_Resol_20120619_RES2006-191.doc Wed Feb 6 18:06:26 2013 Wed Feb 6 18:06:26 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Exercicios.ABIN.doc WedFeb 6 18:06:27 2013 Wed Feb 6 18:06:27 2013 URLURL Visited:Diretoria@file:///C:/Documents%20and%20Settings/Diretoria/My%20Documents/Copy%20of%20Anexo_X_RREO_6_edicao.xls Wed Feb 6 18:06:41 2013 Wed Feb 6 18:06:41 2013 URLAnálise:É possível verificar que entre as 17:46 e 18:06 do dia 06 de Fevereiro de 2013,alguns arquivos locais da pasta MY DOCUMENTS foram acessados através doBrowser, porém o conteúdo do INDEX.DAT não apresenta indícios de navegaçãopara sites através dos quais se poderia transferir arquivos da máquina do diretor.
  36. 36. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 36-571.24. CONTEÚDO DA ESTAÇÃO DO DIRETOR (DIRET05)A máquina do diretor (DIRET05) contém arquivos com informações importantesda empresa como demonstrado pela lista dos arquivos modificadosrecentemente.É possível afirmar que tanto a estação do diretor quanto o PENDRIVE, temindícios de acesso recente aos arquivos porém os logs internos no Windowsnão possuem registro desta utilização. É possível que o uso de MáquinasVirtuais explique este fato.Máquinas Virtuais são implementadas por softwares com o VMWare e VirtualBox e executam como se fossem um computador virtual, tendo seu própriosistema operacional, discos, etc, compartilhando recursos como disco,processador e memória com a máquina hospedeira.Nome Data Modificação Data Criação Data Acessadodesktop.ini 04/02/2013 08:24 04/02/2013 08:24 18/02/2013 15:58Relatorio_de_Despesas_e_Viagem.xls 05/02/2013 21:13 05/02/2013 21:13 05/02/2013 21:18ddcNaoreembolsavel.xls 05/02/2013 21:13 05/02/2013 21:13 05/02/2013 21:18004. modelo de RELATORIO DEDESPESAS COM CARTAOCORPORATIVO.xls 05/02/2013 21:13 05/02/2013 21:13 05/02/2013 21:18DESPESAS GERAIS.xls 05/02/2013 21:13 05/02/2013 21:14 06/02/2013 16:36empresas_fluxocaixa.xls 05/02/2013 21:13 05/02/2013 21:13 05/02/2013 21:18a_despesas_comrecursos_adcionais_3_tri_09.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18Planejadores_despesas_receitas.xls 05/02/2013 21:14 05/02/2013 21:14 06/02/2013 16:36Modelo-Despesa-com-Diárias.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18Anexo_X_RREO_6_edicao.xls 05/02/2013 21:14 05/02/2013 21:14 06/02/2013 16:47Reembolso_de_Despesas.xls 05/02/2013 21:14 05/02/2013 21:14 18/02/2013 15:58pamioutrasdespesas.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18Execucao das despesas Orcamentaria -Financeira e Pessoal - 1o trimestre de2012.xls 05/02/2013 21:14 05/02/2013 21:14 06/02/2013 16:47formulario_prest_contas_ressarcimento.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:1800237295.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:1800237897.xls 05/02/2013 21:15 05/02/2013 21:14 05/02/2013 21:18Guia_Outras_Despesas.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18dados das capitais - despesas depessoal.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18
  37. 37. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 37-57Planilha de Levantamento deCustos.xls 05/02/2013 21:15 05/02/2013 21:14 06/02/2013 16:37despesas_pessoais.xls 05/02/2013 21:14 05/02/2013 21:14 06/02/2013 16:36guia_ressarcimento_pasbc.xls 05/02/2013 21:14 05/02/2013 21:14 06/02/2013 16:47Edital-FNC-ANEXO-I-Orçamento-fisico-financeiro-dos-projetos-do-FCN-9.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18orcamento-fisico-financeiro (1).xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18orcamento-fisico-financeiro.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18cronograma-fisico-financeiro.xls 05/02/2013 21:15 05/02/2013 21:14 18/02/2013 15:58Controle Financeiro.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18F - Cronograma Fisico Financeiro.xls 05/02/2013 21:14 05/02/2013 21:14 06/02/2013 16:36anexo_ia-orcamento_fisico-financeiro.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18Acompanhamento_Financeiro.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18MODELO_FINANCEIRO_2012.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:1817_ANEXO_XI_CONC_02-2012_Modelo_de_Cronograma_Financeiro.xls 05/02/2013 21:14 05/02/2013 21:14 05/02/2013 21:18ie2-29.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18TELEFONES FINANCEIROSUNIDADES.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18comite-financeiro-partidos-politicos-e-partidos-candidatos1.xls 05/02/2013 21:15 05/02/2013 21:15 06/02/2013 16:47Anexo 07 - Cronograma Fisico-financeiro.xls 06/05/2013 17:06 05/02/2013 21:15 06/02/2013 17:06balanco_financeiro1206.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18controlepessoal.xls 05/02/2013 21:15 05/02/2013 21:15 06/02/2013 16:36balanco_financeiro0308.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18Planilha de Cronograma FísicoFinanceiro - ANEXO X.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18Relatorio_Financeiro_DEBQ_Local_-_2010.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18cronogffanual.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18ANEXO x - FISICO FINANCEIRO (ETB) -(TOTAL - DIVIDIDOS EM TRECHOS).xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18planilhas-financeiras.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18PlanilhaOrcamentoIndividuaeFamiliar.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18balanco_financeiro0808.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18AX - Parecer Financeiro.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18Orcamento_Domestico-VoceSA.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18orcamento_cine-ambiente.xls 05/02/2013 21:15 05/02/2013 21:15 05/02/2013 21:18consorcio_controle_gastos.xls 05/02/2013 21:15 05/02/2013 21:15 06/02/2013 16:36
  38. 38. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 38-57Anexo III_Planilhas Orcamento.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:1800000345.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18ORCAMENTO SEINFRA_PGE ENVIADOSEINFRA HOSPITAL SERTÃO CENTR.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18CurtaCrianca_ANEXO4.xls 05/02/2013 21:16 05/02/2013 21:16 06/02/2013 16:47Proposta de venda generosalimentícios agriculturafamiliar_25_09_12.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18propar2.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:1807_12_srp_coffee_break_lances_applicare.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:1820090409_campanha_salarial_2009.xls 06/02/2013 16:47 05/02/2013 21:16 06/02/2013 16:47FO-229-05_Aceite_para_Proposta_Comercial_Produto_PR.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18proposta-socio-ouro.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18form_proposta_qualificacao_planseq.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18Cartao Proposta Inclusao.xls 05/02/2013 21:16 05/02/2013 21:16 06/02/2013 16:477315_Anexo 1 - Modelo de PropostaComercial_RETIFICADO.xls 05/02/2013 21:16 05/02/2013 21:16 06/02/2013 16:47conc0309anexoIX.xls 06/02/2013 17:06 05/02/2013 21:16 06/02/2013 17:06proposta-de-socio-efetivo-abex-futebol.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18Novas Tecnologias - Proposta deIncorporação.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18Proposta Adesao Redecard BNDES.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18Proposta.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18Proposta Pregao N 057 2012.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18Proposta Pregao N 063 2012.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18119_12_ce_bandeira_mercosul.xls 05/02/2013 21:16 05/02/2013 21:16 06/02/2013 16:47Funcionalidades.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18PROPOSTA-ADMISSAO.xls 05/02/2013 21:16 05/02/2013 21:16 05/02/2013 21:18tabelas_rp_4T 12p.xls 05/02/2013 21:17 05/02/2013 21:17 05/02/2013 21:18tabelas_rp_2T 10p.xls 05/02/2013 21:17 05/02/2013 21:17 05/02/2013 21:18tabelas_rp_1T05_p.xls 05/02/2013 21:17 05/02/2013 21:17 05/02/2013 21:18poupança diária.xls 05/02/2013 21:17 05/02/2013 21:17 06/02/2013 16:37+Classificação+Documentos.doc 05/02/2013 22:30 06/02/2013 15:12 18/02/2013 15:58260_manual gestão de docs.pdf 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 15:121999_DARPA_EvaulationSumPlans.pdf 05/02/2013 23:48 06/02/2013 15:12 06/02/2013 15:12
  39. 39. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 39-571999_NewPlans.pdf 05/02/2013 23:48 06/02/2013 15:12 06/02/2013 15:126724.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:38521995.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:38aeci_pt.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12André MX.url 05/02/2013 22:26 06/02/2013 15:12 06/02/2013 16:37anexo02_dopagem.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12anexo03_dopagem.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12apre_GM_24032011.pdf 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 15:12aprovados_fies_20062.pdf 05/02/2013 22:20 06/02/2013 15:12 06/02/2013 15:12BM[25761-1-0].PDF 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12CONFIDENCIAL.doc 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 16:47Autos023100082257.doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 15:52Confidencial.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 16:36Confidencialidade e Sigilo.doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 16:36ContratoTrabalho.doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 16:36contrato_confidencialidade-rede-cin.doc 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 16:37Deliberacao 003 DeclaracaoConfidencial.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12DIPROIN37ANEXO.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 16:36DR_PS.doc 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 16:47FIC_PCPA.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12Exercicios.ABIN.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:47FIC.PDF 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12FICHA CAD.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12gera cadastro.mht 05/02/2013 22:25 06/02/2013 15:12 06/02/2013 16:47ICOnnnnnnnnAAMM.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12hosts_1998.html 05/02/2013 23:48 06/02/2013 15:12 06/02/2013 16:47Gerador de Cartão de Crédito - ComoGerar Cartões de Crédito Válidos paraTestes de Software.url 05/02/2013 22:24 06/02/2013 15:12 06/02/2013 16:36judoc_Resol_20120619_RES2006-191.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:47ITOC Research cdx Datasets.mht 05/02/2013 23:49 06/02/2013 15:12 06/02/2013 16:47LLab-1-Intro.ppt 05/02/2013 23:47 06/02/2013 15:12 06/02/2013 15:12master Itau.txt 05/02/2013 22:24 06/02/2013 15:12 06/02/2013 15:12II-sim.ppt 05/02/2013 23:48 06/02/2013 15:12 06/02/2013 15:12Mercado_Nao-Residencial_Demo.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12MIT Lincoln LaboratoryCommunication Systems and CyberSecurity Cyber Systems andTechnology DARPA IntrusionDetection Evaluation II.mht 05/02/2013 23:47 06/02/2013 15:12 06/02/2013 16:47
  40. 40. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 40-57MIT Lincoln LaboratoryCommunication Systems and CyberSecurity Cyber Systems andTechnology DARPA IntrusionDetection Evaluation.mht 05/02/2013 23:47 06/02/2013 15:12 06/02/2013 16:47Mercado_Residencial_Demo.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12Modelo de Termo de Sigilo econfidencialidade.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:36NDA.doc 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 16:47modelo_termo_confidencialidade_edital_senai_sesi_2012.doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 16:36NOVO QBS.pdf 05/02/2013 22:31 06/02/2013 15:12 06/02/2013 15:12NDA (1).doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 16:36Particulares2010.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12Planilha - Versao02.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12pstock.xls 05/02/2013 22:33 06/02/2013 15:12 06/02/2013 15:12rl-tstbed.ppt 05/02/2013 23:48 06/02/2013 15:12 06/02/2013 15:12RosaRibeiroClaudiaCunhaEvaFanzeres1.doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 16:36schedule_1998.html 05/02/2013 23:48 06/02/2013 15:12 06/02/2013 17:06TEASER Tren Eléctrico Versión Final enENGLISH.doc 05/02/2013 22:32 06/02/2013 15:12 06/02/2013 16:36termo_sigilo_empresas.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:36tese para congresso - quebra desigilo.doc 05/02/2013 22:30 06/02/2013 15:12 06/02/2013 16:36visa bradesco.txt 05/02/2013 22:23 06/02/2013 15:12 06/02/2013 15:12Copy of 7315_Anexo 1 - Modelo deProposta Comercial_RETIFICADO.xls 06/02/2013 16:47 06/02/2013 16:47 06/02/2013 16:47Copy of Anexo_X_RREO_6_edicao.xls 06/02/2013 17:06 06/02/2013 17:06 06/02/2013 17:06
  41. 41. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 41-571.25. VERSÃO DO SISTEMA OPERACIONALConforme apresentado abaixo, o sistema operacional instalado na estaçãoDIRET05 é o Windows XP, com a atualização Service Pack 3.• Sistema Operacional : Microsoft Windows XP.• Atualizações MS: Service Pack 3.• Proprietario da maquina : Lab Corp.• Organização: Lab Corp.
  42. 42. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 42-571.26. USER LOGONConforme consultado nos logs do sistema operacional e visualizado pelo EventViewer, dos cinco usuários com acesso local a estação, o último logon foirealizado pelo usuário Diretoria em 18/02/2013 às 12:57.
  43. 43. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 43-571.27. COMPARAÇÃO DE ARQUIVOSLista de arquivos coincidentes entre o PenDrive e a Máquina do Diretor e seusrespectivos HASHs.Arquivo MD5 SHA1diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/conc0309anexoIX.xls0aa402b734576640959e50368daf9c5fc3d86392bea05a5f708be216dca408736a71088bdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/CONFIDENCIAL.doc22de3b046da327dd761a7cbd70c82fffee45dd85b734d4278729357f5a314269e742d266diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Confidencial.pdfc80802ba678868920e96b834c3258fb7022cede04b2497bed1352f08d20347c11bdab374diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Confidencialidade e Sigilo.docedf570782630d7957ac0d11be2f4ac8389100e16dc94c45a044231607a27fefe1c591474diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/consorcio_controle_gastos.xlsd75e53961e4c3e1db29760653326f54ed9fa9e76555802348fac67ebb26a650bc4f79b88diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/contrato_confidencialidade-rede-cin.doc791eb6e9d519a131638a431cd6d5bba0211849ae7764cb3f82bf402d6e0f3a61e6cfe36fdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/ContratoTrabalho.docc79ef134f8950b534b2f7338f40e35d5fd68c8d2dbf6ae5017c67d584abcc8cc3b9731aadiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Controle Financeiro.xls8e0ba12aa21e4d04d803865cd6fd12f16aabc61e11cb4a87357038320c27f7ee35a1fddbdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/cronogffanual.xlsbc918e42d2ce44a552e3583289a60e91c3dd90153a05bf91f4c2997e070092fc6d6e1453diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/cronograma-fisico-financeiro.xls9df2df99f00a27766e2f7bceeda7834dbe092d60e73d37e881b99193867b5e801fd97e0fdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/CurtaCrianca_ANEXO4.xlsd3469aafb95de8dd44f38f7df93dc621379c94748cb51ddbf13e7ed73aecc14cdb8a5ea5diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/dados das capitais - despesas depessoal.xls98d87269d5209b58ea7dacaf8cbbc8d088e4228be6c7d2eb9ba5d8162be0d7619b5f4cb6diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/ddcNaoreembolsavel.xlsa6cec29623ac044e2dff237ca52966fbad280bced58ce046b56cdf45295d222eefc856cfdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Deliberacao 003 DeclaracaoConfidencial.pdfeb796ea77797270d2fad6ec5fa310d82b39327166e4ddd20f833c8854fb7ee1389453ceadiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/DESPESAS GERAIS.xls2d2d53fa444c11a7361cb7283b9e8810d7fd2c3683a9ca06b46dbd935422269cb824a99cdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/despesas_pessoais.xls75a29d4e15edaaf2db75e900e0cf9325e560fd596de804efdb5d4d878cfdfa26a5ed1693
  44. 44. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 44-57Arquivo MD5 SHA1diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/DIPROIN37ANEXO.xls53fbae37854c943888c2f6898452563133c9d43127ca233c6a82a4e08233a2b1f93aeaa4diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/DR_PS.doc4ad68cff88b3862324ae0a716c32aa8e465e89a5c2f3f465c0df91172d6a45b2e0542787diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Edital-FNC-ANEXO-I-Orçamento-físico-financeiro-dos-projetos-do-FNC-9.xls8b69d9bc3c2fa502efe9deea75a4e045c9c0b41697a05452049655d08a46a68965d15576diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/empresas_fluxocaixa.xls33ec83ba1fdddb4c93038a67955e3cee7bcb348363bdbd9d422e09af8636aa6732cb7197diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Execucao das despesas Orcamentaria-Financeira e Pessoal - 1o trimestre de 2012.xls3079f72e5f7517b9363709af472ad80a3e3016cb89ee30de3ea80a304c9fdb13fdc17b4fdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Exercicios.ABIN.docd85ab14a78842c58a7d522bdca3decc3115369d0cf5394fdccc9552bc4b2890a6f60ffbddiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/F - Cronograma Fisico Financeiro.xls15c59f4d9dbcf6897c1079a0179769d9302fc684ebb27e9ce5cd7fd6aa19ae01cc86ad81diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/orcamento-fisico-financeiro.xls551ab98e1839120c7fe9f4bc09a8b89567b9fa68aedd56e25a685439365d60904f5d90fediretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/orcamento_cine-ambiente.xls099a62676c4536abea3502456a0f2f2878015932518d4b708c6eb9016d67110e0523b43fdiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Orcamento_Domestico-VoceSA.xls3cfd8ed8a52f891067d66f3c558a32a41fbc9c01124f38ecd811543c2c6699d9c66840b7diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/pamioutrasdespesas.xls55a680171733c960f34053ecac6c08e636f89644d167b1d851e0eb4bef117035f72346e4diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Particulares2010.xls9bd9d129114b9a19dfc24d7ba9e6d783f01b43d37120546110b2e0e758830779bb882369diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Planejadores_despesas_receitas.xls93cf80131376ead50b7c4de8fc8d4603114fda9fcfa13ea0d003c4f3055e89adb6dd85d9diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Planilha - Versao02.xls419b75e5938fbc8990e2d542e935ebf47c818ef967d5e04114d5fb3046e2ef009afc5789diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Planilha de Cronograma Físico Financeiro- ANEXO X.xls3533f79e029451b556acd00799b8e44f19fc6bca356b361a903bbed60dd840c4db6cdd70diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/Planilha de Levantamento de Custos.xlsd2535e66bc9ad319360196fd8236cb51b2db5778448d8e66ec96a04dd23496161e535147diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/PlanilhaOrcamentoIndividuaeFamiliar.xls9a018cd0cfe7f9b52ac5459c63467fdf499018dcacab791ee000d518a58900052457503adiretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/planilhas-financeiras.xls8e827090fb1523b768d557a56496d606c3261d27bbb0811b76bfb8891c27ce7fb0f6164d
  45. 45. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 45-57Arquivo MD5 SHA1diretor1.E01/Partition 1/NONAME[NTFS]/[root]/Documents and Settings/Diretoria/MyDocuments/poupança diária.xlscc1d2d42af944d3a46da01678e4e15e5f288ecb3679ba5d2b52689f52124d58c2abb1493CONCLUSÃODe acordo com o item 33, a maioria dos arquivos que estão contidos noPENDRIVE, também se encontram no HD do computador DIRET05, objeto destaperícia. Alguns arquivos do PENDRIVE tem data posterior de Ultimo Acesso eCriação em relação aos mesmo encontrados no DIRET05. Partindo do princípioque o PENDRIVE, assim que foi encontrado, foi acessado por um dos funcionários,as datas de ultimo acesso dos arquivos receberam alteração durante este ato.Mesmo assim, é possível dizer que as informações tem origem no computadorDIRET05. Existe uma grande suspeita junto ao computador DIRET05, quanto a suautilização, para atividades nada convencionais, referente aos interesses daempresa LAB CORP.Conforme demonstrado no Item 8, os softwares encontrados gravados na pastaDOWNLOADS, do computador DIRET05, são de uso inapropriado e trazem riscosao sistema de segurança da rede de dados corporativa. É sabido que softwaresdeste tipo abrem portas que podem ser utilizadas por vírus e outras aplicaçõesnocivas a rede da empresa. O computador DIRET05 tem pouquíssima evidência deutilização, o que nos levanta suspeitas de utilização de computadores virtuaisexecutados a partir do mesmo PC, para trabalho, diversão e outras atividades deinteresse do usuário. Alguns programas encontrados na pasta DOWNLOADSpermitem limpeza de disco e remoção de evidências de utilização.Sugerimos que uma entrevista junto ao usuário do computador periciado, seja umaforma para esclarecer como ele consegue trabalhar, receber e-mails corporativos,manipular informações digitais da empresa onde atua, sem ter efetivamente usadoo seu computador do escritório.Encontramos a existência do software VMware no REGISTRY do SistemaOperacional, instalado no dia 06/02/2013, conforme demonstrado na análise doItem 12. Não ficou comprovada a utilização de maquinas virtuais no DIRET05, pornão termos encontrado a imagem da maquina ou LOG´s de utilização. Sem aimagem da maquina virtual, não é possível concluir o mau uso das informações,cópia de arquivos , acessos do computador na rede ou internet a partir da rede dedados da empresa LAB CORP.Existem evidências de utilização de conteúdo de dados no disco, pois o HDpericiado não contém registros de nenhum tipo, arquivos de e-mails ou qualqueroutra atividade na internet.
  46. 46. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 46-57Este laudo não apresenta prova ou evidência conclusiva. É importante ressaltarque o PENDRIVE, fora indevidamente utilizado pelo Sr, John Smith, antes de serdisponibilizado para a equipe de perítos. O Sr. Smith não se preocupou em seguiros procedimentos de forense e normas de preservação de provas a serempericiadas. Todas as atividades estão levando em conta a possível alteração dasprovas.Comentário FinalÉ sugerida a formulação de uma nova estratégia de segurança na empresa, acriação de uma política de Segurança da Informação adequada, leva em conta asprevisões de expansão, os acréscimos de capacidades nos sistemas e seususuários, licenciamento, aderentes ao plano diretor de tecnologia da LAB CORP.Caso mantenham as tendências atuais, mesmo desconsiderando os novosserviços, crescimento ou alterações, é necessário tomar ações urgentes, visando àreestruturação e a análise da política de segurança para dispositivos móveisvigente, focando na resiliência e mitigação dos riscos apresentados neste laudo.Apoio da Equipe do ContratanteNão houve interferência ou participação da equipe técnica da contratante, naelaboração deste laudo, além do fornecimento dos equipamentos repositórios dedados, objetos desta perícia.
  47. 47. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 47-57QUESTIONÁRIO1. Identificação do Sistema Operacional- Windows XP, Service Pack 3 (conforme evidência 3.27)2. Hora e Data do Último Logon no Sistema- Último logon em 18/02/2013 as 12:57:18 (conforme evidência 3.28)3. Identificação de nome da máquina e do domínio- Nome da máquina é DIRET05 (conforme evidência 3.10)- A máquina não está registrada em um domínio.4. Conexões de Rede em Uso- Não foram encontradas evidências de conexões de rede em uso.5. Documentação dos Softwares Instalados na MáquinaSoftwares instalados na máquina: (conforme evidência 3.6)- Adobe Reader- Microsoft Office Enterprise- Microsoft Visual C++- VMWare Tools- WinRAR6. Qual é o nome de identificação do Pendrive? Relate os arquivosencontrados no mesmo- O nome do pendrive é “PENDRIVE [FAT32]” conforme o nome de volumeno File System.- Na evidência 1 estão listados os arquivos encontrados no PENDRIVE quepossuem uma correspondência com os arquivos da máquina DIRET05,alguns inclusive com o mesmo HASH.7. Na máquina do diretor, quais foram os dispositivos removíveisacessados?Os dispositivos acessados foram: (conforme evidência 3.11)- Kingston DataTraveler 2.0 USB Device
  48. 48. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 48-578. Na máquina do diretor, quais foram os últimos arquivos acessados ealterados?- Os últimos arquivos alterados na máquina estão descritos no Item 3.26.- Os últimos arquivos acessados, como encontrado na pasta RECENT, estãodescritos no Item 3.22.9. Há indícios que o usuário tenha utilizado outras mídias para levarinformações dessa máquina para dispositivos removíveis?- Não existem indícios de conexão de outros dispositivos removíveis além dorelacionado na questão 7.10. Na hora que o PENDRIVE foi inserido na máquina do diretor houvealguma tentativa de conexão com a internet ou rede de dados?- Não foram encontradas informações que indiquem histórico de navegaçãoa sites ou a conexões de rede (conforme Itens 3.11, 3.15 e 3.25).TIMESHEET (Resume)Horas trabalhadas: 400 horasAnálise: 390 horasGeração das imagens: 10 horasFerramentasAbaixo segue a lista de ferramentas utilizadas durante a investigação e ondeforam aplicadas.1.27.1. Recovery versão 1.5.2.0 - MiTec1.27.2. FTK Imager versão 3.1.2.0 - AccessData.1.27.3. OSForensics 2.x1.27.4. FTK Tool Kit 4.21.27.5. Mcafee Tools for LINUX
  49. 49. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 49-57EQUIPE TÉCNICA (Perítos)Alessandro Ubirajara Carlos EduardoMotta de CastroCarlos Eduardo P. RochaÉrico C. Manfredi Julio Henrique da ConceiçãoDireitos de Propriedade:As informações constantes neste documento e em qualquer de seus anexos, são de propriedade da BoaventuraConsulting e NS Brasil. A sua utilização para outros fins que não de avaliação dos serviços propostos éexpressamente proibida. Nenhuma parte deste documento pode ser reproduzida ou distribuída sem préviaautorização das Empresas envolvidas.
  50. 50. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 50-57ANEXOSAnexo I (Termo de Responsabilidade)Termo de responsabilidade que todo funcionário assina, garantindo terconhecimento dos padrões de comportamento, ética e da política de uso dosequipamentos de informática.LAB CorpTermo de ResponsabilidadePOLÍTICADE TI
  51. 51. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 51-57Sumário01. INTRODUÇÃO.................................................................... 302. PROPÓSITO....................................................................... 303. ABRANGÊNCIA.................................................................. 304. DIREITOS DE USO............................................................. 405. DEVERES CORRESPONDENTES..................................... 406. PROIBIÇÕES...................................................................... 507. COMPROMISSOS.............................................................. 608. SOFTWARES E LICENÇAS............................................... 709. ADIÇÃO E REMOÇÃO DE RECURSOS............................ 710. ADMINISTRADOR DA REDE............................................. 711. AUDITORIA......................................................................... 812. USO DE SENHA................................................................. 813. POLÍTICA DE TI.................................................................. 814. DE ACORDO....................................................................... 9
  52. 52. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 52-5701. INTRODUÇÃOA intenção da CSI (Comissão de Segurança da Informação) com a publicação da Política de Uso Aceitável nãoé impor restrições contrárias à cultura de abertura e confiança da LAB Corp, mas proteger a empresa, nossosfuncionários e parceiros, de ações ilegais ou danosas praticadas por qualquer indivíduo, de forma proposital ouinadvertidamente.Sistemas relacionados à Internet/Intranet/Extranet - incluídos, mas não limitados, os equipamentos decomputação, software, sistemas operacionais, dispositivos de armazenamento, contas de rede que permitemacesso ao correio eletrônico, consultas WWW e FTP a partir de IP’s (endereços de protocolo da internet) e osistema de telefonia - são propriedades da LAB Corp , devendo ser utilizados com o exclusivo propósito deservir aos interesses da empresa e de seus clientes, no desempenho de suas atividades empresariais.A segurança efetiva é um trabalho de equipe envolvendo a participação e colaboração de todos os funcionáriose afiliados de nossa empresa que manipulam informações e/ou sistemas de informações.É de responsabilidade de cada usuário de computador conhecer esta política e conduzir suas atividades deacordo com a mesma.02. PROPÓSITOO propósito desta política é delinear a utilização aceitável dos equipamentos de informática e de telefonia daLAB Corp Estas regras foram definidas para proteger os funcionários e a empresa. A utilização inapropriadados equipamentos e sistemas relacionados no item anterior torna-os vulneráveis à atuação de hackers,contaminação por “vírus” e danificação, gerando comprometimento dos sistemas e serviços da rede, além deproblemas legais.03. ABRANGÊNCIAEsta política se aplica aos funcionários, prestadores de serviços, consultores, auditores, fiscais, temporários edemais colaboradores que estejam a serviço da LAB Corp , incluindo toda a mão-de-obra terceirizada oudisponibilizada mediante convênios, parcerias ou quaisquer outras formas de atuação conjunta com outrasempresas; e abrange todos os sistemas e equipamentos de propriedade da LAB Corp , bem como aqueles depropriedade de terceiros que lhe sejam confiados a qualquer título, ou cedidos pela mesma a terceiros.6POLÍTICA DE USO ACEITÁVEL DE TI POLÍTICA DE USO ACEITÁVEL DE TI 704.04. DIREITOS DE USOOs colaboradores da LAB Corp Equipamentos têm os seguintes direitos:4.1. Fazer uso legal dos recursos computacionais colocados à sua disposição, respeitadas as normas deutilização estabelecidas pela empresa;4.2. Ter conta de acesso à rede corporativa, respeitadas as normas de utilização estabelecidas pela empresa;4.3. Ter conta de correio eletrônico com a extensão do domínio da empresa, vetado o acesso a e-mailspessoais;4.4. Acessar a Intranet e a Internet, respeitando as políticas da Empresa;4.5. Acessar as informações que forem franqueadas, relativas às áreas de armazenamento privado ecompartilhado, respeitadas as normas de utilização e confidencialidadeestabelecidas pela Empresa;4.6. Solicitar suporte técnico sempre que verificado omau funcionamento dos equipamentos ou do sistema de redecorporativa;4.7. Fazer uso do telefone da empresa para tratar de assuntos relacionados ao trabalho.05. DEVERES CORRESPONDENTESOs usuários da rede corporativa têm as seguintes obrigações:5.1. Responder pelo uso exclusivo de sua conta pessoal de acesso à rede corporativa;
  53. 53. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 53-575.2. Identificar, classificar e enquadrar as informações da rede corporativa relacionadas às atividades por sidesempenhadas;5.3. Zelar por toda e qualquer informação armazenada na rede corporativa contra alteração, destruição,divulgação, cópia e acessos não autorizados;5.4. Guardar sigilo das informações confidenciais, mantendo- as em caráter restrito;5.5. Manter, em caráter confidencial e intransferível, a senha de acesso aos recursos computacionais e deinformação da organização, informando-a formalmente ao Administrador da Rede;5.6. Informar imediatamente à gerência sobre quaisquer falhas ou desvios das regras estabelecidas nestedocumento, bem como sobre a ocorrência de qualquer violação às mesmas, praticada em atividadesrelacionadas ao trabalho, dentro ou fora das dependências da empresa;5.7. Responder cível e criminalmente pelos danos causados em decorrência da não observância das regras deproteção da informação e dos recursos computacionais da rede corporativa;5.8. Fazer uso dos recursos computacionais para trabalhos de interesse exclusivo da organização;5.9. Fazer a emissão de pedidos de compra de recursos computacionais e a confirmação do recebimento dascompras à administração, via e-mail, com cópia ao gestor.8 POLÍTICA DE USOACEITÁVEL DE TI POLÍTICA DE USO ACEITÁVEL DE TI 906. PROIBIÇÕESÉ proibido aos usuários da rede:6.1. Acessar, copiar ou armazenar programas de computador ou qualquer outro material (músicas, fotos evídeos) que violem a lei de direitos autorais (copyright), bem como aqueles de conteúdo ilegal, pornográfico,discriminatório, homofóbico, racista ou que faça apologia ao crime;6.2. Utilizar os recursos computacionais ou quaisquer outros de propriedade da empresa, colocados àdisposição do colaborador em razão do exercício de sua função, para constranger, assediar, prejudicar ouameaçar a mesma ou terceiros, sejam eles indivíduos ou organizações;6.3. Passar-se por outra pessoa ou esconder, por qualquer meio, a própria identidade quando utilizar osrecursos computacionais ou quaisquer outros de propriedade da empresa, colocados à disposição docolaborador em razão do exercício de sua função;6.4. Alterar os sistemas padrões, sem autorização;6.5. Divulgar quaisquer informações confidenciais para concorrentes e/ou qualquer pessoa não ligada àsatividades da empresa;6.6. Efetuar qualquer tipo de acesso ou alteração não autorizada a dados dos recursos computacionaispertencentes à empresa;6.7. Violar os sistemas de segurança dos recursos computacionais, no que tange à identificação de usuários,senhas de acesso, fechaduras automáticas, sistemas de alarme e demais mecanismos de segurança erestrição de acesso;6.8. Utilizar acesso discado através de modem, ou qualquer outra forma de conexão não autorizada, quandoconectado às redes instaladas nas dependências da empresa;6.9. Acessar e-mail pessoal;6.10. Fazer uso do telefone da empresa para discussão de assuntos pessoais;6.11. Utilizar quaisquer recursos ou equipamentos da empresa para fins diversos daqueles necessários aodesempenho da função contratada;6.12. Criar blogs e comunidades na Internet, ou qualquer ambiente virtual semelhante, utilizando-se, semautorização expressa, da logomarca da empresa;6.13. Fazer uso do telefone celular particular dentro das dependências da Empresa.
  54. 54. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 54-5707. COMPROMISSOSOs usuários da rede comprometem-se a:7.1. Respeitar áreas de acesso restrito, não executando tentativas de acesso às mesmas, ou utilizandomáquinas alheias às permissões de acesso delimitadas a cada categoria de colaboradores;7.2. Não desenvolver, fomentar ou promover ações que incentivem o racismo ou qualquer tipo dediscriminação que viole quaisquer outros direitos constitucionais do cidadão;7.3. Não fazer uso da rede para molestar, ameaçar ou ofender seus usuários ou terceiros, por quaisquer meios,sejam textos, imagens, vídeos ou correios eletrônicos;7.4. Não fazer uso da rede para circulação de propaganda política;7.5. Não tomar atitude ou ação que possa, direta ou indiretamente, indisponibilizar recursos da redecorporativa;7.6. Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento darede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total dearquivos ou a indisponibilização de serviços;7.7. Não executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possamfacilitar o acesso de usuários não autorizados à rede corporativa da empresa;7.8. Não utilizar nenhum programa de bate-papo ou de mensagem instantânea, tais como Skype, MSN eGoogle Talk, entre outros, exceto as eventuais ferramentas disponibilizadas pela empresa unicamente para finsprofissionais;7.9. Não enviar informações confidenciais (autorizadas) para e-mails externos sem proteção. No mínimo, oarquivo deve contar com a proteção de uma senha “robusta”;7.10. Responsabilizar-se perante a empresa e terceiros por quaisquer prejuízos advindos da violação doscompromissos,deveres e proibições estabelecidas nesse documento;7.11. Utilizar-se, de forma ética e em conformidade com as normas de conduta e segurança estabelecidas pelaempresa, de 10 POLÍTICA DE USO ACEITÁVEL DE TI POLÍTICA DE USO ACEITÁVEL DE TI 11 todos osrecursos, equipamentos e informações que lhe sejam confiados em razão do desempenho de sua atividadeprofissional.08. SOFTWARES E LICENÇAS8.1. Todo software executado nos equipamentos da rede corporativa da LAB Corp deverá ser licenciado, sendovetada a utilização de qualquer software sem licença;8.2. A utilização de softwares livres ou temporários deverá ser solicitada ao responsável pela administração darede, por escrito e, em caso de aprovação, a instalação e remoção deverão ser realizadas pelo mesmo;8.3. A utilização de softwares não licenciados é considerada uma Não-Conformidade Gravíssima e acarretarápunições ao funcionário ou colaborador, em qualquer nível, da LAB Corp.09. ADIÇÃO E REMOÇÃO DE RECURSOSÉ vetada aos usuários da rede de computadores da organização a adição e remoção de quaisquer recursos,sejam eles microcomputadores, impressoras, PENDRIVES, MP3 players ou outros equipamentos edispositivos. A adição e remoção desses deverão ser solicitadas ao setor responsável, para aprovação e, emcaso positivo, tais procedimentos deverão ser realizados pelo mesmo.10. ADMINISTRADOR DA REDE10.1. O uso das senhas e informações dos usuários, pelo Administrador da Rede, deverá ser realizado comfins operacionais e preventivos, cabendo ao Administrador manter a confidencialidade das informaçõesadquiridas, sob pena de punição;
  55. 55. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 55-5710.2. O controle das senhas dos usuários da PESA deve ser feito pelo Administrador da Rede e reportadoformalmente para a Alta Direção da Empresa com as devidas atualizações.11. AUDITORIA11.1. Todos os funcionários que utilizam a rede corporativa (informática e telefonia) serão submetidos àauditoria, realizada por um profissional da administração da rede LAB Corp Equipamentos ou empresaespecializada, com o objetivo de verificar o cumprimento das normas estabelecidas;11.2. A auditoria ocorrerá semanalmente em microcomputadores ou notebooks escolhidos aleatoriamente e,caso verificada alguma não-conformidade, será instaurada uma sindicância interna voltada à apuração deresponsabilidades e classificação da gravidade da violação das normas de utilização dos equipamentos;11.3. Após a classificação da gravidade (alta, média ou baixa), a não-conformidade será comunicada aoComitê de Ética para adoção das providências cabíveis.12. USO DE SENHA12.1. Cada usuário da rede corporativa da LAB Corp deverá informar formalmente ao Administrador da Redesuas senhas de acesso à máquina e ao servidor. Quando o Administrador da Rede solicitar a alteração dassenhas, o usuário deverá fazê-lo e proceder à nova comunicação ao mesmo;12.2. A responsabilidade pela manutenção do sigilo das senhas é exclusiva do colaborador, ao qual é proibidodivulgar as senhas pessoais de acesso à rede corporativa a terceiros, exceto na hipótese descrita no item10.12 POLÍTICA DE USO ACEITÁVEL DE TI13. POLÍTICA DE TIO colaborador abaixo nominado declara, para os fins de Direito, livre de qualquer impedimento, que por seremde propriedade da empresa, todos os equipamentos, sistemas, acessos à rede corporativa e e-mailscorporativos, bem como os terminais de telefonia fixa ou móvel, somente poderão ser utilizados para odesempenho das funções profissionais e nos seus limites, conforme a legislação pertinente e normas internas,no interesse da LAB CorpAssim sendo, o colaborador abaixo nominado reconhece a legitimidade da LAB Corp para monitorar suasatividades laborativas, com a finalidade de manutenção da ordem e segurança pessoal de seus colaboradores,bem como da integridade da rede corporativa (informática e telefonia) e dos equipamentos e sistemas de suapropriedade, além do necessário sigilo das informações. Pelos mesmos motivos, o colaborador abaixonominado declara ter recebido, lido e concordado com todas as normas estabelecidas neste documento,autorizando, por este ato, a empresa a monitorar qualquer atividade computacional e de telefonia realizada, emespecial os e-mails e as ligações telefônicas geradas ou recebidas através dos terminais telefônicos daempresa, além de inventariar periodicamente o histórico de e-mails, ligações efetuadas, recebidas e outrositens correlacionados.14. DE ACORDOEu,_____________________________________ ,declaro estar ciente dos termos das políticas de segurançarelacionadas neste documento e autorizo o monitoramento de minhas atividades computacionais e de telefoniapela LAB Corp , estando ciente dos meus direitos, obrigações e deveres para com esta empresa._____________, ________ de ________de __________Assinatura:_____________________________________________CPF: _________._________._________-_____
  56. 56. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 56-57Anexo II (Contrato)Modelo do Contrato de Prestação de Serviços de Perícia Assinado com aLabCorpContrato Particular de Prestação de Serviços de PeríciaContrato particular que entre si celebram ________________________________, CNPJ_____________________, situada na __________________________________, (cidade/estado), neste atorepresentada pelo sócio ________________________________, CPF nº _______________________, Cart.Identidade nº _____________________ (órgão expedidor), doravante denominada simplesmente,CONTRATANTE; e do outro lado, _______________________, Contador e Perito Judicial, CRC/____ nº_____________________________________________, estabelecido na_________________________________, (cidade/estado); doravante denominado, simplesmente, PERITOASSISTENTE na forma e condições a seguir especificadas:DO OBJETO1. PERITO ASSISTENTE, já qualificado previamente, acompanhará os serviços do PERITO FORENSECOMPUTACIONALno processo nº _____________, movido pela CONRATANTE contra_____________________________________ em Ação de _________________, ora em tramitação na______________________________________________________.DAS OBRIGAÇÕES DAS PARTES2. O PERITO ASSISTENTE se obriga a examinar o LAUDO PERICIAL COMPUTACIONAL da lavra do Sr.PERITO FORENSE COMPUTACIONAL e emitir PARECER PERICIAL COMPUTACIONAL sobre o mesmo,bem como estar presente em todas as instâncias no âmbito do Tribunal______________________________________, quando assim o requerer.(Obs.: Outro serviço que pode ser prestado, por exemplo, é aquele de orientar a parte já na feitura dosquesitos, o que pode constar no contrato como sendo .serviços de assessoramento. na feitura dos quesitos.)3. Tratando-se de quesitos suplementares àqueles formulados pelas partes na preliminar, novos valores serãoajustados, observando-se o princípio basilar da responsabilidade profissional e da justa remuneração pelosserviços prestados.4. O PERITO ASSISTENTE se obriga a protocolar no Cartório da _____ Vara_______________________________________, seu PARECER PERICIAL COMPUTACIONAL no prazoprevisto no Código de Processo Civil.5. O PERITO ASSISTENTE não assume nenhuma responsabilidade por eventual sucumbência doCONTRATANTE, em razão das manifestações sobre o Laudo Pericial COMPUTACIONAL do perito oficial, oque poderá ocorrer de forma parcial ou de total concordância.6. O CONTRATANTE obriga-se a fornecer as mídias, informações, documentos e a assistência necessáriapara o bom desempenho dos serviços.7. O CONTRATANTE compromete-se a pagar em dia o valor dos honorários fixados.DOS HONORÁRIOS PROFISSIONAIS, FORMA DE PAGAMENTO, PRAZO E RESCISÃO.8. O CONTRATANTE pagará ao PERITO ASSISTENTE o valor de R$_______________________ pelocumprimento do objeto deste contrato.9. O CONTRATANTE obriga-se a efetuar o pagamento do valor ajustado em ___________ parcelas fixas deR$ __________ (reais) cada uma, vencendo-se a primeira na data da assinatura do presente contrato e asdemais a cada 30 (trinta) dias.(Obs.: pode ser fixada outra forma de pagamento)
  57. 57. Laudo Forense Computacional São Paulo, 21/02/2013Turma: IFCC-5 – Grupo: Delta CENÁRIO 4Laudo – Cenário04 57-5710. Este contrato entrará em vigor na data de sua assinatura e extinguirse-á com o cumprimento do objeto e opagamento do valor avençado.11. A falta de pagamento de qualquer parcela de honorários faculta ao PERITO ASSISTENTE suspender,imediatamente, a execução dos serviços ora pactuados, bem como considerar rescindido o presente,independentemente de notificação judicial ou extrajudicial.12. Considerar-se-á rescindido o presente contrato, independentemente de notificação judicial ou extrajudicial,caso qualquer das partes CONTRATANTES venha a infringir cláusula ora convencionada.DO FORO13. As partes elegem o foro ______________________________ para dirimir as questões oriundas dainterpretação e da execução do presente contrato, renunciando-se aos demais, ouDA CLÁUSULA COMPROMISSÓRIA (onde houver JUÍZO ARBITRAL) Os CONTRATANTEs submeterão àarbitragem eventuais litígios oriundos do presente contrato.(Lei nº 9.307/96).Local, ____ de _____________ de ________________._____________________________________CONTRATANTE_____________________________________PERITO ASSISTENTE - CONTRATADOTESTEMUNHAS1- __________________________________2- __________________________________** TÉRMINO DO LAUDO **

×