Introdução
A Ciência Forense Digital abrange todas as questões relacionadas aos crimes praticados na Internet ou fora dela, chamados cibercrimes. Estudando como coletar evidências de crimes digitais, analisar e documentar casos, esta ciência, relativamente nova aqui no Brasil segue as principais metodologias em conformidade a norma ABNT NBR ISO/IEC 27037:2013.
O que é HASH
Conforme descrito na Norma ABNT, a função Hash é um método de criptografia unidirecional, uma sequência de bits geradas por um algoritmo, em geral representada em base hexadecimal, que permite a conversão em letras e números (0 a 9 e A a F). O conceito teórico diz que “Hash é a transformação de uma grande quantidade de dados em uma pequena quantidade de informações”, podendo ser MD5, SHA1, SHA256 entre outras.
Muito usado no controle de integridade de arquivos e mídias de armazenamento, haja vista a baixíssima probabilidade de dois arquivos distintos submetidos a mesma função produzirem a mesma Hash. Essa sequência busca identificar um arquivo ou informação unicamente. Por exemplo, uma mensagem de correio eletrônico, uma senha, uma chave criptográfica ou mesmo um arquivo. Além disso, funções usadas em criptografia garantem que não é possível a partir de um valor de Hash retornar à informação original
Mas é importante que alguns hash já foram “quebrados” como o MD5 e SHA1.
HASH quebrados
MD5 Quebrado
O que de semelhantes estas imagens têm (imagem 1)? Tirando a parte que ambos estão ou estarão no chão? Elas tem seu MD5 quebrado, conforme demonstrado:
Prova de conceito:
ship.png – http://reduz.me/8c6ce
plane.jpg – http://reduz.me/7ab39
SHA1 Quebrado
Outro HASH quebrado é o SHA1, por um projeto desenvolvido pela CWI e GOOGLE.
Prova de conceito:
PDF1 – http://reduz.me/f4e50
PDF2 – http://reduz.me/8b992
Conclusão
Desta forma na Computação Forense, uma boa prática seria adotarmos a cultura para a extração do código hash em determinada evidência em pelo menos 2 tipos de Hash diferentes. Os geralmente utilizados são MD5 e o SHA1.
