Interforensics 2023
  1. Página Inicial
  2. Inscrições Científicas
  3. Trabalhos

Dados do Trabalho

Título

POST MORTEM ANALYSIS EM MEMORIAS DE TOTEM CAÇA-NIQUEL

Introdução

Com as propostas de inclusão digital, a empresa WordLink desenvolveu totem para acesso a serviço web, o qual era locado para estabelecimento comercial que ofertam serviço de acesso à web.
No Estado de SP esse equipamento é habitualmente encontrado em estabelecimento do tipo bar, onde segundo denúncias seriam utilizados como caça-níqueis.
O HDD de um totem apreendido foi encaminhado ao NPC de Campinas, um HDD retirado de totem para acesso a serviço web, para perícia, visando buscar vestígios da prática de jogo de azar, pois segundo denúncias tal totem seria utilizado para uso de jogo.

Objetivos

Utilização de post mortem analysis na busca vestígios da prática de jogo de azar em totem de acesso à web da marca WordLink.

Parte experimental

Realização de imagem clone do HD peça de exame, a qual foi submetida a análise com software Autopsy, que permitiu:
1. Identificar as partições do discos e o sistema operacional instalado;
2. Identificação dos usuários;
3. Analisar a timeline do sistema para identificar os arquivos utilizados;
4. Recuperar arquivos, inclusive os apagados e posterior exportação;
5. Análise do conteúdo dos arquivos exportados e virtualização da imagem clone.

Resultados e Discussões

Como resultado identificou-se que:
 O sistema operacional instalado era o Ubuntu 12.04;
 Três contas de usuários: “Kiosk, “Administrador” e “Root”;
 falta de uso dos serviços web disponíveis no usuário “Kiosk”;
 presença do arquivo KiosK-withLibs.jar, tratava-se de uma compilação de scripts, os quais só eram executados pelo usuário “Administrador”;
 existência diretório PT, onde o resultado do arquivo KiosK-withLibs.jar eram armazenados e ao final da execução eram apagados.
 Utilização de Virtual Private Network (VPN)
 Existência de arquivos de criptografia pública;
 Vestígios de arquivos na área de swap de jogo do tipo caça-níquel;
 Quando da virtualização da imagem clone identificou-se, após a obtenção da senha de acesso, obteve-se sucesso ao acesso ao site www3.housesk.com e ter acesso a jogo do tipo caça-níquel.

Conclusões

Os exames realizados permitiram encontrar vestígios da prática de jogo de azar no HDD do totem, a partir de login, com acesso a jogo de azar via VPN, configurando o delito previsto no art, 50 da Lei Contravenções Penais.

Referências e agradecimentos

SILVA, C. E. da. Emprego da engenharia reversa para caracterização do modus operandi das máquinas caça-níqueis quanto à prática de jogo de azar e outras fraudes. 2012.

Palavras Chave

caça-níquel, nuvem, computação forense

Arquivos

Estudos de casos

Área

ICCyber

Instituições

NPC Campinas - IC-SPTC-SP - São Paulo - Brasil

Autores

EDUARDO BECKER TAGLIARINI, JOSÉ MATEUS MORAIS