sábado, 23 de maio de 2009

O relatório do FBI

Os documentos no caso Colina do Sol estão sob "sigilo de Justiça". Mas, isso quer dizer que o processo em si está sob sigilo, não tudo o que está nele. Quer dizer, se for enfiado uma matéria de jornal (e há muitos, vi o treco uma vez no balcão e um volume está recheado de recortes) não quer dizer que aqueles edições daqueles jornais estão, de repente, sob sigilo, onde quer que se encontram.

Outros documentos, obtidos fora do processo, também podem ser publicados sem ferir o sigílo. Um destes é o relatório da FBI americano, que analisou o disco do laptop do Fritz Louderback, e dois discos externos que não são dele. O relatório usa palavras técnicas, mal explicadas, para tentar criar pelo em ovo. Felizmente, foi obtido pelos acusados diretamente da polícia americana, como é direto deles, e aqui está, para sua leitura, com explicações claras, e referências relevantes.

Curto e grosso, o relatório disse que não encontraram coisa alguma. Descreverem uma fotos "suspeitas", e encontrei exemplares dos mais suspeitas, e inclui-os aqui, sem ter que classificar o blog como impróprio para crianças.


DETALHES DA INVESTIGAÇÃO

Durante o mês de fevereiro de 2008, o Escritório de Fiscalização de Imigração e Alfândega (ICE) Adido do escritório de Brasília, pediu ajuda com a peritagem forense de um computador laptop e duas drives externas. Estes itens foram apreendidos de Frederick Louderback quando ele foi preso sob acusações de pedofilia pela Polícia Civil brasileira.

No 31 de março de 2008, o Agente Especial (SA) John D. Whitaker, do Grupo Forense Digital do FBI de Los Angeles, chegou em Porto Alegre, Brasil para ajudar o Adido ICE e a Polícia Civil brasileira com a aquisição e inspecção preliminar dos aparelhos de informática acima referidos para dados suspeitos, especificamente arquivos/volumes criptografados e/ou evidência de pornografia infantil e/ou arquivos de imagens.

Os aparelhos de informática foram identificadas da seguinte maneira:

  1. Dell Inspiron PPO5XB, número de série 42597159013, tendo dentro um disco rígido tipo laptop Seagate 100 GB SATA, número de série 3MSO7CTV(doravante chamado "Dell Inspiron PPO5XB").
  2. Caixa externo para disco rígido CMS, número de série 78485G1381, tendo dentro um disco rígido tipo laptop Western Digital 100 GB IDS, número de série ausente (doravante chamado "CMS External USB Laptop Drive").
  3. Caixa externo para disco rígido Buslink USB, número de série 1Q1L2CA01563, tendo dentro um disco rígido Maxtor 20 GB IDE, número de série L22KG7HCDL02A (doravante chamado "Buslink USB External Drive").

No dia 31 de março de 2008, o agente Whitaker utilizou para aquisição e análise forense o computador "Little Shuttle", a programa EnCase 4.22a, Digital Intelligence FireChief [http://www.digitalintelligence.com/files/FireChief_Manual.pdf] 4 aparelhos SATA ao IDE ponte-de-converter anti-escritura para copiar de maneira forense o Dell Inspiron PP05XB. Depois de copiar, o agente Whitaker utilizou EnCase 4.22a para validar a imagem forense, computando e comparando o valor hash do arquivo copiado de 59ddfda36be97ef68c00acc3f89ce95c ao valor hash computado para o arquivo de origem de 59ddfda36be97ef68c00acc3f89ce95c.

Hash e Assinatura

Um dos conceitos bastante utilizados em analise de dados é o de "hash" ou assinatura. É a mesma coisa que dígito verificador, só que tem muito mais dígitos e portanto permite identificar um volume de dados maior. De um arquivo ou um disco é gerado um hash de geralmente 16 dígitos hexadecimais - portanto contendo algarismos de 0 a 9 as letras de "a" a "f". O comprimento da assinatura é escolhido de tal forma que a chance de dois arquivos diferentes apresentarem a mesma assinatura é de um em muitos bilhões.

Estes valores foram idênticos, confirmando a integridade da imagem adquirida como tendo zero erros. No dia 31 de março de 2008, o agente Whitaker utilizou para aquisição e análise forense o computador "Little Shuttle", a programa EnCase 4.22a, e o programa anti-escritura MFC M2CFG versão 1.0.0.1 USB [http://www.m2cfg.com/usb_writeblock.htm] para copiar de maneira forense a CMS External USB Laptop Drive. Depois de copiar, o agente Whitaker utilizou EnCase 4.22a para validar o imagem forense, computando e comparando o valor hash do arquivo copiado de 3247?(n)874c42d94b6d1408cc7584776dd ao valor hash computado para o arquivo de origem de 3247?(n)874c42d94b6d1408cc7584776dd. Estes valores foram idênticos, confirmando a integridade da imagem adquirida como tendo zero erros.

No dia 31 de março de 2008, o agente Whitaker utilizou para aquisição e análise forense o computador "Comp Laptop", a programa EnCase 4.22a, e o aparelho anti-escritura Digital Intelligence FireChief para copiar de maneira forense a Buslink USB External Drive. Depois de copiar, o agente Whitaker utilizou EnCase 4.22a para validar a imagem forense, computando e comparando o valor hash do arquivo copiado de cb7e0ace6ddCb23f682e6af2f73c7d80 ao valor hash computado para o arquivo de origem de cb7e0ace6ddCb23f682e6af2f73c7d80.

Assinatura Notável

Uma maneira de verifica se um arquivo já e conhecido é comparar sua hash ou assinatura com uma lista de arquivos já conhecidos.

Existe uma "lista branca", no National Software Reference Library, http://www.nsrl.nist.gov/ de arquivos desinteressantes, como os programas de Word ou Windows.

Há outras tipos de listas - de pornografia conhecida. Os mesmas arquivos circulam de mão em mão na Internet. Quando alguma coisa é encontrado, a assinatura é computada e adicionada a um catálogo. Assim se pode rapidamente identificar uma foto, saber de quando e de quem é (se isso já foi determinado) e até se algum juiz já a declarou pornográfica, ou não.

Quando o agente Whitaker fala claramente que "não identificou nenhuma assinatura notável", ele está dizendo "nenhuma pornografia conhecida foi encontrado".

Estes valores foram idênticos, confirmando a integridade da imagem adquirida como tendo zero erros. No dia 31 de março de 2008, o agente Whitaker montou o Dell Inspiron PP05XB, a CMS External USB Laptop Drive e a Buslink USB External Drive no EnCase para análise, com zero erros.

No dia 1 de abril de 2008, o agente Whitaker utilizou EnCase 4.22a para conduzir exames de assinatura de todos os dados contidos dentro das imagens forenses acima indicados. O resultado disso não identificou nenhuma assinatura notável.

No dia 1 de abril de 2008, o agente Whitaker examinou todos as imagens alocadas e não-alocadas dentro do Dell Inspiron PP05XB. O resultado deste exame identificou aproximadamente quatro imagens suspeitas e dez não-alocadas. Quatro das imagens alocadas suspeitas retratam um adolescente latino masculino em várias poses, em duas dos quais o jovem estava posando nu e posando de calção com uma adulta nua. As outras dez imagens pareciam ter sido imagens miniaturas de origem desconhecida.

BCWipe

No site do próprio fabricante, na página de "perguntas freqüentes" (http://www.jetico.com/bcwipe_faq.htm), a resposta à pergunta 2.21 (clique nela) dá uma explicação de um efeito inusitado da programa:

O BCWipe ocupa toda o espaço disponível, apagando os dados durante o procedimento Wipe Free Space. Quando o processo termina com sucesso, todo o espaço ocupado é liberado.

O Windows emita uma notificação de que há pouco espaço em disco logo antes que BCWipe termina. Você pode desprezar o recado de notificação (no Windows 95/98 você pode desabilitar a notificação no diálogo "propriedades do disco").

Se o espaço livre não reaparecer depois da limpeza, quer dizer que o BCWipe não conseguiu deleitar o arquivos temporários por algum motivo. Por favor, tente deletá-los manualmente (pastas '~BCWipe.tmp' ou '~BCWipe.stu') ou rode o BCWipe de novo e deixe-o terminar seu trabalho.

Aqui está o perigo: se o programa de limpeza pára antes da hora, deixa seu disco entulhado de arquivos que são lixo aleatório, sem significado nenhum. Mas o usuário pode ir no diretório c:\~BCWipe.tmp e deletar tudo que se encontra lá, sem pestanejar, porque são bobagens sem sentido mesmo.

Fazendo uma análise adicional de Dell Inspiron PP05XB, o agente Whitaker notou o programa BestCrypt, localizado em c:\Program Files\jelico\BestCrypt, estando instalado dentro do sistema operacional do Dell Inspiron PP05XB.

O agente Whitaker também notou muitos arquivos criptografados BestCrypt localizados em C:\~BCWipe.tmp\MEP_DIR\.

Estes arquivos de dados pareciam ser volumes criptografados. Três dos muitos arquivos/volumes criptografados suspeitos foram identificados da seguinte maneira:

  • Nome: 3, aproximadamente 98 mb, localizado em c:\~BCWipe.tmp\MFT_DIR\4XX\4XXXXXX\5XX\0XXXXXXX\
  • Nome: 6, aproximadamente 168 mb, localizado em c:\~BCWipe.tmp\MFT_DIR\G\0\4XXXXXX\5XX\0XXXXXXX\
  • Nome: 5, aproximadamente 200 mb, localizado em c:\~BCWipe.tmp\MFT_DIR\C\1XX\2XXXXXXX\2XX\2XXXXXXX\

Estes três arquivos/volumes criptografados suspeitos notáveis foram anotados e salvos para análise futura.

No dia 1 de abril de 2008, o agente Whitaker examinou todas as imagens alocadas e não alocadas no "CMS External USB Laptop Drive" e "Buslink USB External Drive". Os exames identificaram aproximadamente 32 imagens suspeitas alocadas. A maioria destas imagens retratavam crianças e adolescentes do sexo masculino e feminino, posando nus e/ou com pouca roupa, sozinhos ou com outros crianças e/ou adolescentes e/ou homens e/ou mulheres adultos. Uma das imagens mais notáveis era "Laura5_02.pdf", localizada em C:\Documents and Settings\Fritz\My Documents\Fritz's Pictures\Older Pics\FRITZ\Colina Stuff\Laura&Lucas\.

Esta imagem mostrava um menino e uma menina, impúberes, posando nus enquanto dançavam, com a legenda "Can. 2002: Laura, 7 anos, usa suas próteses numa lição de dança com seu irmão Lucas, no Centro de Recreação Nudista e Naturista Colina do Sol, Brasil." Texto adicional contido na imagem suspeita:

Propaganda Paga
Laura cresceu e suas próteses não servem mais.
Sem possibilidade de obter estes no Brasil,
mais uma vez Laura precisa de nossa ajuda.
As doações podem ser feitas mandando um cheque ou remessa para:

Laura's Fund
US Bank Community Service
Account Number 1-534-9082-9857
P.O. Box 64799
Saint Paul, Minnesota 55164

Coma ajuda de Nudistas e Naturistas, Laura recebeu suas primeiras próteses no Shriners Children's Hospital de Tampa em setembro de 2000. Com nossa nova ajuda, Laura logo receberá seus novos braços, muito necessários.

Obrigado.

"Uma das imagens mais notáveis"

Todas as 32 imagens suspeitas foram marcadas e guardadas para revisão do agente do caso. Durante análise mais detalhada do CMS Laptop Drive, o agente Whitaker notou dois arquivos ou volumes suspeitos criptografados com BestCrypt (jbc). Estes dois volumes suspeitas criptografados tinham os seguintes nomes:

Nome: Tests2.jbc, aproximadamente 2,147,483,648 MB, localizado em c:\

Nome: Test.jbc, aproximadamente 2,147,483,648 MB localizado em c:\.

Estes dois volumes .jbc, criptografados e suspeitos, foram marcados e salvos para análise posterior.

No dia 2 de abril de 2008, o agente Whitaker examinou todas as imagens alocadas e não alocadas no "Buslink USB External Drive". Os exames identificaram aproximadamente 77 imagens suspeitas alocadas e 330 imagens suspeitas não-alocadas. As 77 imagens (aproximadamente) alocadas retratavam crianças e adolescentes do sexo masculino e feminino, impúberes ou púberes, nus ou com pouca roupa, em poses provocativas e/ou envolvidos em situações sexuais com outros menores impúberes e/ou púberes e/ou adultos do sexo masculino e/ou feminino. As images não-alocadas restantes, em numero aproximado de 330, foram descobertas num arquivo VMMHIBER.W9X.

VMMHIBER.W9X

O arquivo VMMHIBER.W9X é usado no sistema operacional Windows Millennium Edition (WinME ou Windows MD). São escritos dados neste arquivo manualmente pelo usuário ou automaticamente, criando-se um retrato do estado atual da memória do sistema operacional bem como de outras variáveis, dados estes salvos no arquivo VMMHIBER.W9X antes que o sistema entre no modo de hibernação ("sleep"). Quando o usuário acorda o computador da hibernação, o BIOS do computador faz o ciclo de auto-teste normal e lê os dados no arquivo VMMHIBER.W9X e carrega o estado em que o sistema estava na última vez que o sistema hibernou, assim diminuindo o tempo preciso para recomeçar.

Análise das aproximadamente 330 imagens não alocados. O agente Whitaker notou que estas imagens mostram na maioria meninos impúberes nus, com uns menores púberes nus, em poses provocativas e/ou envolvidos em situações sexuais com outros menores púberes e impúberes, e/ou homens adultos.

É importante notar que o arquivo de dados VMMHIBER.W9X foi descoberto dentro de espaço alocado e talvez salvo sem querer pelo usuário de computador para o aparelho de armazenamento Buslink USB External. Os dados dentro de um arquivo VMMHIBER.W9X não são normalmente acessível a um usuário de computador leigo. Mas os dados dentro deste arquivo indicam que as 322 imagens suspeitas foram vistas alguma vez por um usuário com um computador rodando Windows ME.

Todas as 407 imagens suspeitas foram notadas e salvas para ser revistas pelo agente.

No dia 7 de abril de 2008, o agente Whitaker utilizou o Kit de Ferramentas Forenses (FTK) do AccessData para montar e indexar todos os dados contidos no Dell Inspiron PPO5XP, CMS External USB Laptop Drive e Buslink USB External Drive. Quando esta índice foi completado, o agente Whitaker utilizou estes dados para gerar uma lista de possíveis senhas.

No 14 de abril de 2008, o agente Whitaker importou a lista de senhas geradas dentro do Kit de Ferramentas de Recuperação de Senhas (FRTK) da AccessData e montou as volumes/arquivos suspeitos anteriormente exportados dentro de PRTK para decifrados.

No 15 de abril de 2008, o agente Whitaker examinou os resultados do PRTK e notou que nenhuma senha foi encontrada.

O caso continua.

Nenhum comentário:

Postar um comentário