Perícia em casos de software ilegal (pirataria)

software-piracy

Um tipo de perícia muito comum é para verificar a existência de software ilegal (pirata) numa empresa.

O trabalho investigativo é relativamente tranquilo, mas alguns cuidados precisam ser observados.

O primeiro ponto é saber quantos equipamentos precisam ser periciados. A melhor opção é realizar a perícia computador por computador, mas dependendo do número de equipamentos, isso fica inviável. O tempo médio gasto por dispositivo costuma variar de 3 a 5 minutos. Um representante da empresa periciada precisa levar o perito a cada um dos equipamentos.

Vamos trabalhar com um cenário de 50 estações Windows em rede, que é possível periciar em aproximadamente 4 horas.

A primeira coisa a fazer é rodar um “scan” na rede, bem no início dos trabalhos. É importante ter um pendrive contendo todas as ferramentas para execução em modo “portable“, ou seja, nada deve ser instalado nos computadores periciados.

Um bom software para realizar esse scan de rede é o SoftPerfect Network Scanner. Depois de terminado o scan, salvar no pendrive o arquivo no formato “csv”. Esse software é executado apenas no primeiro computador periciado.

A partir daí começa um trabalho cíclico, que deve ser executado em cada computador. As ações e softwares utilizados podem ser:

1- freepcaudit.exe – que faz um inventário de hardware e software. Salve o relatório no pendrive como “nome-da-estação.txt”.

2- LastActivityView – que lista os últimos eventos realizados no computador, composto de várias fontes. Bom para avaliar se existem evidências de instalação/desinstalação do software ilegal. Salve o relatório no pendrive como “nome-da-estação-lav.txt”.

3- Execute regedit /e d:\nome-da-estacao.reg “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall” – onde d:\ é a unidade do pendrive. Esse comando salva no arquivo “nome-da-estação.reg”, o conteúdo da chave de registro “Uninstall“, que também pode trazer evidências da instalação do software investigado. Você pode salvar esse comando num arquivo batch (exemplo: keysreg.bat), para facilitar a execução.

4- Copiar os logs de Aplicativos do Event Viewer (arquivo Application.evt ou Application.evtx). O caminho desse arquivo é:
C:\Windows\System32\config –> até Windows XP
C:\Windows\System32\winevt\Logs –> Vista e acima
Salve esse arquivo no pendrive e renomeie para “nome-da-estação.evtx”. Quando abrir, ordene pela coluna “sources“, e procure evidências do tipo “MsiInstaller“.

Esses QUATRO passos precisam ser repetidos em todos os computadores. Antes de mudar de equipamento, preencher o formulário de coleta de evidências de software contendo pelo menos:

  • Fabricante do equipamento
  • Modelo
  • Número de série
  • Sistema Operacional
  • Nome da Estação

Todas essas informações foram coletadas pelo aplicativo Free PC Audit. Basta abrir o arquivo .txt coletado e anotar os dados. Aconselhável anotar também o horário de início e fim da perícia em cada equipamento.

Outra dica é que essa coleta seja acompanhada por pelo menos um representante da empresa responsável pelos computadores.

Quando terminarem os computadores, confira com o arquivo de scan gerado inicialmente se o número de equipamentos confere. O resultado não será preciso, pois se a perícia iniciar bem cedo, pode ser que algumas máquinas tenham sido ligadas depois do scan. Mas dará uma boa ideia se o universo de computadores da empresa está contemplado na perícia.

Ao final dos trabalhos de coleta, gerar um documento contendo o hash (de preferência pelo menos SHA-1) de TODOS os arquivos gerados. Imprimir esse documento, assinar e pedir para todos os responsáveis que acompanharam os trabalhos assinarem também.

Isso irá garantir que os arquivos que serão periciados posteriormente não sofrerão nenhuma alteração em relação à coleta.

O “estado da arte” seria realizar a duplicação forense (cópia bit-a-bit) de cada HD das estações periciadas, mas ficaria inviável devido aos fatores “tempo” e “tamanho” dos dados. Imagine 50 estações com um HD de 1TB em cada uma delas. Onde armazenar 50TB de dados somente para uma perícia de software ilegal?

A ação de geração de hash dos arquivos coletados já garante a legalidade do processo. O aplicativo MultiHasher pode ajudar na geração dos hashes de vários arquivos simultaneamente.

Não esquecer também de assinar o formulário de coleta de evidências de software e pedir que testemunhas assinem também.

Depois, no ambiente de trabalho do perito, durante a análise forense, cada um dos arquivos coletados precisa ser analisado para procurar evidências do software ilegal. Aí então é preparar o laudo pericial e anexar os documentos preenchidos em campo e uma mídia (eu gosto de DVD-R) contendo todos os arquivos coletados.

Observações:

Se o ambiente possuir muitos equipamentos, 100, 500, 1000, fica impossível a perícia em cada um deles. Nestes casos, os QUATRO passos podem ser substituídos pelo inventário de hardware e software via rede, com ajuda de um aplicativo tipo Network Asset Tracker. O administrador da rede periciada terá que fornecer um usuário com direito de “Domain Admins” para inserir no software Network Asset Tracker para a coleta remota das informações.

Os aplicativos citados neste artigo são todos para plataforma Windows. Se precisar inventariar alguma estação MAC, você pode abrir o terminal e digitar o comando:

system_profiler -detailLevel full > Desktop/arquivo.txt

Que salvará no Desktop um arquivo chamado “arquivo.txt”, contendo todos os softwares instalados neste MAC.

Se precisar inventariar algum Linux, uma opção rápida e simples é digitar o comando:

find / -iname “*nome-do-software*”

Que irá listar todos os arquivos contendo “nome-do-software”.

Vaine Luiz Barreira

Executivo de TI e Segurança da Informação.
Perito em Computação Forense.

LinkedIn 

Share on Facebook0Share on LinkedIn0Share on Google+0
(Visited 1.963 times, 1 visits today)

2 comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *