0

WAGNER DE PAULA RODRIGUES

ANLISE PERICIAL EM SISTEMA OPERACIONAL
MS-WINDOWS 2000



















LONDRINA-PR
2004



1









WAGNER DE PAULA RODRIGUES










ANLISE PERICIAL EM SISTEMA OPERACIONAL
MS-WINDOWS 2000





Monografia apresentada ao Curso de
Especializao em Redes de Computadores
e Comunicao de Dados, da Universidade
Estadual de Londrina, como requisito parcial
para a obteno do ttulo de Especialista,
sob orientao do Prof. Dr. Alan Salvany
Felinto.








LONDRINA-PR
2004



2






























Rodrigues, Wagner de Paula
Anlise Pericial em Sistema Operacional MS-Windows 2000 /
Wagner de Paula Rodrigues. -- Londrina: UEL / Universidade
Estadual de Londrina, 2004.
ix, 70f.
Orientador: Alan Salvany Felinto
Dissertao (Especializao) UEL / Universidade de
Londrina, 2004.
Referncias bibliogrficas: f. 35-36
1. Percia. 2. Segurana. 3. Redes 4. Computador Monografia.
I. Rodrigues, Wagner de Paula. II. Universidade Estadual de
Londrina Especializao em Redes de Computadores e
Comunicao de Dados, III. Anlise Pericial em Sistema
Operacional MS-Windows 2000.





3
WAGNER DE PAULA RODRIGUES


ANLISE PERICIAL EM SISTEMA OPERACIONAL MS-WINDOWS
2000



Esta monografia foi julgada adequada para obteno do ttulo de Especialista, e
aprovada em sua forma final pela Coordenao do Curso de Especializao em
Redes de Computadores e Comunicao de Dados, do Departamento de
Computao da Universidade Estadual de Londrina.


Banca Examinadora:

____________________________________________
Prof. Alan Salvany Felinto, Dr. (UEL) - Orientador

____________________________________________
Prof. _______________________________________

____________________________________________
Prof. _______________________________________



Londrina, 15 de dezembro de 2004








4
DEDICATRIA




Dedico este trabalho minha esposa Rosimara e minha filha Laila, que por muitas
vezes compreenderam minha ausncia. Ao meu irmo Prof. Vander, que pelos seus
referenciais e sem intervir, me mostrou os valores de realizar minha ps-graduao.
E principalmente aos meus pais Antonio e Catarina (in memorian) que partiram, mas
me deixaram como herana o valor que deve ser dado busca pelo conhecimento,
embora eles no estejam presentes fisicamente, sempre se fazem presentes em
meu corao.


































5
AGRADECIMENTOS







Seriam muitas pessoas a relacionar neste espao, mas no posso deixar de citar os
seguintes:

a) Minha esposa Rosimara, que me apoiou desde o nicio;

b) Minha filha Laila que por muitas vezes deixei de me divertir com ela em prol deste
projeto;

c) Ao orientador Prof. Dr. Alan Salvany Felinto;

d) A todos os meus amigos que no pude enumerar;

e) Ao Grande Pai e proprietrio de todo conhecimento, por ter me dado a permisso
de usar parte deste conhecimento para a elaborao deste projeto.





























6





































Quem perde seus bens perde muito; quem perde um
amigo perde mais; mas quem perde a coragem perde
tudo.
Miguel de Cervantes





7
RESUMO

Devido aos inmeros tipos de ataques sofridos em equipamentos ligados Internet,
sejam eles vindos de rede interna ou externa, faz-se necessrio preparar o ambiente
para que possa ser realizada a percia em caso de ataques bem sucedidos, para
que seja possvel em uma segunda fase, realizar uma auditoria em um sistema-alvo.
O objetivo deste trabalho o de apresentar algumas informaes para serem
utilizadas na criao deste ambiente formal, e tambm algumas ferramentas que
possibilitem a realizao de auditoria. De forma alguma ser aqui esgotado a
abordagem para este item, mas sim reunir alguns dos conceitos disponveis e
permitir o entendimento dos mesmos.



Palavras-chave: 1) Percia. 2) Segurana. 3) Redes. 4) Computador.






















8
Abstract

Had to the innumerable types of attacks suffered in on equipment to the InterNet,
they are come they of internal or external net, becomes necessary to prepare the
environment so that the skill in case of successful attacks can be carried through, so
that it is possible in one second phase, to carry through an auditorship in a system-
target. The objective of this work is to present some information to be used in the
creation of this formal environment, and also some tools that make possible the
auditorship accomplishment. Of form some here will be depleted the boarding for
this item, but yes to congregate some of the available concepts and to allow the
agreement of the same ones.

Key Words: 1) Pericia. 2) Security. 3) Network. 4) Computer.

































9

SUMRIO


1. INTRODUO................................................................................................................... 10
1.1. Organizao do trabalho...........................................................................................11
2. A PERCIA FORENSE..................................................................................................... 12
2.1. Percia aplicada ambientes de rede....................................................................14
2.2. Anlise Pericial...........................................................................................................14
2.3. Anlise Fisca.............................................................................................................15
2.4. Anlise Lgica............................................................................................................17
2.5. Fontes de Informao...............................................................................................18
3. PADRONIZAO............................................................................................................. 20
3.1. Entidades.....................................................................................................................21
3.2. Padronizao Internacional......................................................................................22
3.3. Padronizao Nacional .............................................................................................22
4. OBTENO DE EVIDNCIAS....................................................................................... 24
4.1. Identificao................................................................................................................26
4.2. Preservao................................................................................................................26
4.3. Apresentao..............................................................................................................26
4.4. Anlise.........................................................................................................................27
4.4.1. Live Analisys........................................................................................................27
4.4.2. Anlise Postmortem ou Off-line........................................................................44
5. A INVESTIGAO........................................................................................................... 49
5.1. O alerta........................................................................................................................49
5.2. A busca pelas evidncias .........................................................................................49
5.3. A vulnerabilidade........................................................................................................60
5.4. O Ataque.....................................................................................................................60
6. CONCLUSO.................................................................................................................... 66
7. APNDICE A..................................................................................................................... 67
REFERNCIAS ..................................................................................................................... 69



















10
1. INTRODUO


Atualmente, a Informtica tornou-se parte da vida de todos. Ela est
presente em lojas, supermercados, lanchonetes, escritrios, empresas e tambm
nas escolas. Mas, como melhorar a segurana da informao, proteger nossos
ativos e preparar um ambiente para a realizao de percia ou auditoria utilizando os
benefcios disponveis?
Na 9 Pesquisa Nacional de Segurana da Informao realizada
pela empresa Mdulo Security foram apresentados alguns resultados que nos levam
a refletir sobre os riscos que esto volta dos computadores pessoais e
corporativos. Nesta pesquisa temos a apresentao de apontadores que ratificam
como grandes desafios: o crescimento dos problemas de segurana a cada ano,
acompanhando o crescimento de ataques, a evoluo da tecnologia e o aumento
dos investimentos dos setores na segurana da informao.
Alguns itens que chamam a ateno so os seguintes:
a) 78 % dos entrevistados apontam que em 2004 as ameaas, riscos
e ataques devero aumentar;
b) 26 % das empresas no conseguem nem sequer identificar os
responsveis pelos ataques;
c) 60 % indicam a Internet como principal ponto de invaso em seus
sistemas.
Observando estes nmeros, percebemos o quo importante
preparar o ambiente dos servidores e estaes, sejam elas de redes corporativas ou
isoladas em residncias, para uma possvel percia ou auditoria em caso de invaso


11
ou comprometimento da mesma devido a um ataque, seja ele vindo de uma rede
interna ou externa.

1.1. Organizao do trabalho

No Captulo 2 so apresentados os conceitos sobre percia forense,
estabelecendo uma ligao para o tema especifico que percia forense aplicada
redes e computadores, tambm apresentado conceitos sobre evidncia, prova e
anlises.
Aps definir os conceitos de percia, no Captulo 3 so apresentados
os conceitos internacionais e nacionais de padronizao para a realizao de
anlises periciais, sendo tambm abordado as entidades envolvidas nas aes de
padronizao.
Como necessrio o uso adequado de ferramentas para uma
anlise pericial, no Capitulo 4 apresentado s caractersticas de anlises em
sistemas ao vivo (Live Analisys), bem como em sistema off-line (Postmortem) e as
ferramentas a serem utilizadas para a tarefa de anlise em cada um dos casos.
Finalizando, no Captulo 5 so apresentadas as vrias fases de uma
anlise de um sistema Windows 2000 violado por meio de exploits, apresentando o
uso das ferramentas e os mtodos utilizados para obteno dos dados para a
resposta ao incidente.


12
2. A PERCIA FORENSE


Podemos definir que a percia forense aplicada redes, como um
estudo do trfego de rede a fim de buscar a verdade em vrias esferas, sejam elas,
cveis, criminais ou administrativas. O objetivo fim proteger o usurio e os recursos
passveis de explorao, invaso de privacidade ou qualquer outro crime que possa
vir a ser aplicado devido ao crescimento das tecnologias em redes que temos
acesso.
Temos ainda dois conceitos comuns que devem ser apresentados
antes de tratarmos a percia dentro do escopo computacional:
Percia Forense: quando observamos a palavra percia
forense, sempre nos remetemos aos crimes comuns, onde
so apresentados os mtodos a serem utilizados na busca
por algo que leve a encontrar o responsvel pelo mesmo,
sendo que estes mtodos so padres aceitos para que seja
possvel identificar uma marca, um fio de cabelo, uma
impresso digital ou qualquer indcio que possa levar
soluo do crime em questo. O sucesso desta anlise est
na adoo de trs regras bsicas: isolamento do permetro
para evitar a contaminao do local do crime, identificao,
coleta de dados e materiais que possam ter alguma relao
com o crime e aps estas duas etapas, passa-se a realizar as
anlises laboratoriais. Para que esta analise seja eficaz,
vrias fases ou etapas de processo sero executadas, sendo


13
que elas diferem conforme o tipo de material ou dado a ser
analisado. A partir deste ponto j temos a informao para
realizar uma anlise, sendo que no caso de uma evidncia
digital teremos um ciclo de processos especficos.

Evidncia Digital: tem sido definido que todos os dados que
funcionem de forma a estabelecer que um crime foi cometido
ou que possa fornecer uma ligao entre um crime e sua
vtima seria uma evidncia digital. H tambm a definio
proposta pelo Standard Working Group on Digital Evidence
em que toda informao de valor verdadeiro que
armazenado ou transmitido em um formato digital uma
evidncia digital. Muitas outras definies so abordadas na
literatura mundial, mas ficarei apenas nestas duas
apresentaes por entender que elas j transmitem uma viso
do contexto de forma clara. Uma regra que deve ser seguida
como boa prtica a Regra da Melhor Prova, onde realiza-
se uma cpia fiel do sistema por meio de ferramentas de
sistema e software pericial, introduzindo tais informaes nos
procedimentos jurdicos, contanto que as mesmas no
tenham sido obtidas de forma contrria lei, como por
exemplo, cpia de uma rea de disco realizada remotamente
por meio de invaso.



14
2.1. Percia aplicada ambientes de rede

Segundo [Thorton], a cincia forense aquela exercida em favor da
lei para uma justa resoluo de um conflito. Pode-se ento dizer, que a cincia
forense, em sua origem, baseia-se em procedimentos cientficos para a obteno de
informaes que possam ser teis durante uma disputa judicial. Devido ao aumento
do uso cotidiano do computador e da Internet por parte das empresas e usurios
domsticos, fez com que surgissem crimes que explorassem esse novo tipo de
comportamento. So crimes praticados por criminosos que de posse deste novo
recurso, se propuseram aprender novas tcnicas e mtodos de roubo, ou, em sua
maioria, por pessoas de conduta aparentemente ntegra no mundo real, mas que
buscam se beneficiar do virtual anonimato conferido pela Rede, para praticar atos
ilcitos. A fim de que as agncias legais pudessem lidar com este novo tipo de crime
e ajudar a justia a condenar estes criminosos, criou-se a forense computacional.
Segundo Noblett (2000), a forense computacional pode ser definida
como sendo a cincia de adquirir, preservar, recuperar e exibir dados que foram
eletronicamente processados e armazenados digitalmente.
Assim como ocorre nas outras disciplinas forenses, o processo de
anlise no meio computacional metdico e deve seguir procedimentos previamente
testados e aceitos pela comunidade cientfica internacional, de forma que todos os
resultados obtidos durante uma anlise sejam passveis de reproduo.

2.2. Anlise Pericial

A anlise pericial o processo usado pelo investigador para
descobrir informaes valiosas, a busca e extrao de dados relevantes para uma


15
investigao. O processo de anlise pericial pode ser dividido em duas camadas :
anlise fsica e anlise lgica.
A anlise fsica a pesquisa de seqncias e a extrao de dados
de toda a imagem pericial, dos arquivos normais s partes inacessveis da mdia. A
anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos
investigado no formato nativo, percorrendo-se a rvore de diretrios do mesmo
modo que se faz em um computador comum.

2.3. Anlise Fisca

Durante a anlise fsica so investigados os dados brutos da mdia
de armazenamento. Ocasionalmente, pode-se comear a investigao por essa
etapa, por exemplo quando se est investigando o contedo de um disco rgido
desconhecido ou danificado. Depois que o software de criao de imagens tiver
fixado as provas do sistema, os dados podem ser analisados por trs processos
principais : uma pesquisa de seqncia, um processo de busca e extrao e uma
extrao de espao sub-aproveitado e livre de arquivos. Todas as operaes so
realizadas na imagem pericial ou na copia restaurada das provas. Com freqncia ,
se faz pesquisas de seqncias para produzir listas de dados . essas listas so teis
nas fases posteriores da investigao. Entre as listas geradas esto as seguintes :
Todos os URLs encontrados na mdia.
Todos os endereos de e-mail encontrados na mdia.
Todas as ocorrncias de pesquisa de seqncia com palavras
sensveis a caixa alta e baixa.


16
O primeiro processo da anlise fsica a pesquisa de seqncias
em todo o sistema. Uma das ferramentas de base DOS mais precisa o
StringSearch. Ela retorna o contedo da pesquisa de seqncia e o deslocamento
de byte do incio do arquivo. Quando se examinam os resultados da pesquisa de
seqncias, tem-se um prtico roteiro para converter o deslocamento em um valor
de setor absoluto.
Alguns tipos de caso podem beneficiar-se de uma forma
especializada de pesquisa de seqncia , o processo de busca e extrao. Este o
segundo dos trs que se usa durante a analise fsica. O aplicativo analisa uma
imagem pericial em busca de cabealhos dos tipos de arquivos relacionados ao tipo
de caso em que se estiver trabalhando. Quando encontra um, extrai um nmero fixo
de bytes a partir do ponto da ocorrncia. Por exemplo, se estiver investigando um
indivduo suspeito de distribuio de pornografia ilegal, analisa-se a imagem pericial
e se extrai blocos de dados que comeam com a seguinte seqncia hexadecimal:
$4A $46 $49 $46 $00 $01
Esta seqncia identifica o incio de uma imagem J PEG. Alguns
formatos de arquivos (entre eles o J PEG) incluem o comprimento do arquivo no
cabealho. Isto muito til quando se est extraindo dados brutos de uma imagem
pericial. Esta capacidade de extrao forada de arquivos incrivelmente til em
sistemas de arquivos danificados ou quando os utilitrios comuns de recuperao de
arquivos apagados so ineficientes ou falham completamente.
At certo ponto, todos os sistemas de arquivos tm resduos. Os
tipos de resduo se enquadram em duas categorias : espao livre, ou no-alocado, e
espao subaproveitado.


17
O espao livre qualquer informao encontrada em um disco rgido
que no momento no esteja alocada em um arquivo. O espao livre pode nunca ter
sido alocado ou ser considerado como no-alocado aps a excluso de um arquivo.
Portanto, o contedo do espao livre pode ser composto por
fragmentos de arquivos excludos. O espao livre pode estar em qualquer rea do
disco que no esteja atribuda a um arquivo nativo, como um bloco de dados vazio
no meio da terceira partio ou no 4253o setor no-atribudo da unidade, que no
faz parte de uma partio por estar entre o cabealho e a primeira tabela de
alocao de arquivos. Informaes de escritas anteriores podem ainda estar nessas
reas e ser inacessveis para o usurio comum.
Para analisar o espao livre preciso trabalhar em uma imagem do
nvel fsico. O espao subaproveitado ocorre quando dados so escritos na mdia de
armazenamento em blocos que no preenchem o tamanho de bloco mnimo definido
pelo sistema operacional.
Se decidir extrair o espao de arquivos subaproveitados e livre, isto
torna-se o terceiro processo de anlise fsica mais importante. Esse processo exige
uma ferramenta que possa distinguir a estrutura particular de sistema de arquivos
em uso.
2.4. Anlise Lgica

Durante um exame de arquivos lgicos, o contedo de cada partio
pesquisada com um sistema operacional que entenda o sistema de arquivos.
neste estgio que cometido a maioria dos erros de manipulao das provas. O
investigador precisa estar ciente de todas as medidas tomadas na imagem
restaurada. por isto que quase nunca se usa diretamente sistemas operacionais


18
mais convenientes, como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo
bsico proteger as provas contra alteraes.
Montar ou acessar a imagem restaurada a partir de um sistema
operacional que entenda nativamente o formato do sistema de arquivos muito
arriscado, pois normalmente o processo de montagem no documentado, no est
disposio do pblico e no pode ser verificado. Uma forma de realizar isto
montar cada partio em Linux, em modo somente leitura. O sistema de arquivos
montado ento exportado, via Samba, para a rede segura do laboratrio, onde os
sistemas Windows 2000 ou 2003, carregados com visualizadores de arquivos,
podem examinar os arquivos. Como referenciado, esta abordagem ditada pelo
prprio caso. Se fizer uma duplicata pericial de um sistema Irix 6.5, provvel que
se evite usar o Windows 2000 para visualizar os dados.

2.5. Fontes de Informao

Pode ser dividido em trs locais onde pode-se descobrir informaes
valiosas para uma investigao:
Espao de arquivos lgicos: Refere-se aos blocos do disco
rgido que, no momento do exame, esto atribudos a um
arquivo ativo ou estrutura de contabilidade do sistema de
arquivos (como as tabelas FAT ou as estruturas inode).
Espao subaproveitado: Espao formado por blocos do
sistema de arquivos parcialmente usados pelo sistema
operacional. Chamamos todos os tipos de resduo de


19
arquivos, como a RAM e os arquivos subaproveitados, de
espao subaproveitado.
Espao no-alocado: Qualquer setor no tomado, esteja ou
no em uma partio ativa.
Para fins de ilustrao, os dados de um disco rgido foram divididos
em camadas parecidas s do modelo de rede OSI. Encontram-se informaes com
valor de provas em todas essas camadas. O desafio encontrar a ferramenta certa
para extrair as informaes. A tabela 1 mostra as relaes entre setores, clusters,
parties e arquivos. Isso ajuda a determinar o tipo de ferramenta a ser usada para
extrair as informaes.
Cada camada do sistema de arquivos tem um fim definido, para o
sistema operacional ou para o hardware do computador.
Camada do sistema de
arquivos
Localizao de provas em
DOS ou Windows
Localizao de provas em
Linux
Armazenamento de
aplicativos
Arquivos Arquivos
Classificao de
informaes
Diretrios e pastas Diretrios
Alocao de espao de
armazenamento
FAT

Inode e bitmaps de dados
Formato de blocos Clusters Blocos
Classificao de dados Parties Parties
Fsica Setores absolutos ou C/H/S Setores absolutos
Tabela 1: Camadas de armazenamento do sistema de arquivos









20
3. PADRONIZAO


A identificao de recursos dentro de uma organizao que possam
ser usados como evidncia computacional um antigo problema encontrado pelas
instituies competentes, isto porque tais recursos normalmente ficam espalhados
entre as agncias. Atualmente parece existir uma tendncia mudana desses
exames para o ambiente laboratorial. O servio secreto norte americano realizou
uma pesquisa, em 1995, na qual foi constatado que 48% das agncias tinham
laboratrios de forense computacional e que 68% das evidncias encontradas foram
encaminhadas a peritos nesses laboratrios e, segundo o mesmo documento, 70%
dessas mesmas agncias fizeram seu trabalho sem um manual de procedimentos,
conforme descrito por Noblett (1995).
Para desenvolver protocolos e procedimentos, faz-se necessrio
estabelecer polticas para a manipulao de uma evidncia computacional. Tais
polticas devem refletir um consenso da comunidade cientfica internacional,
provendo resultados vlidos e reproduzveis. Levando em considerao que a
forense computacional diferente das outras disciplinas forenses, uma vez que no
se pode aplicar exatamente o mesmo mtodo a cada caso, como citado por Noblett
(1995). A ttulo de exemplo temos como estudo de caso a anlise feita no DNA
recolhido de uma amostra de sangue na cena de um crime, pode-se aplicar
exatamente o mesmo protocolo a toda amostra de DNA recebida (elimina-se as
impurezas e o reduz sua forma elementar). Noblett (1995) relata que, quando se
tratam de ambientes computacionais no se pode executar o mesmo procedimento


21
em todos os casos, uma vez que se tm sistemas operacionais e mdias diferentes e
diversas aplicaes.

3.1. Entidades

IOCE (International Organization on Computer Evidence): Entidade
internacional centralizadora dos esforos de padronizao. Ela foi estabelecida em
1995 com o objetivo de facilitar a troca de informaes, entre as diversas agncias
internacionais, sobre a investigao de crimes envolvendo computadores ou outros
assuntos relacionados a forense em meio eletrnico. Estabelecendo uma
harmonizao dos mtodos e prticas a fim de garantir a habilidade de usar a
evidncia digital coletada em qualquer jri, independente do estado em que o
mesmo se encontra.
SWGDE (Scientific Working Group on Digital Evidence): Criado em
1998, ele o representante norte-americano nos esforos de padronizao
conduzidos pela IOCE;
HTCIA (High Technology Crime Investigation Association):
Organizao sem fins lucrativos que visa discutir e promover a troca de informaes
que possam auxiliar no combate ao crime eletrnico;
IACIS (International Association of Computer Investigatibe
Specialists): Trata-se de uma associao sem fins lucrativos, composta por
voluntrios com o intuito de atuar no treinamento em forense computacional;
SACC (Seo de Apurao de Crimes por Computador): Atua no
mbito do Instituto Nacional de Criminalstica/Polcia Federal, a fim de dar suporte


22
tcnico s investigaes conduzidas em circunstncias onde a presena de
informao em formato digital constatada;

3.2. Padronizao Internacional

A partir do crescimento da Internet e da consolidao do mundo
globalizado, comeamos a ter crimes que extrapolam os limites da jurisdio
nacional, passando a no ter fronteiras limitadas fisicamente, obrigando as agncias
legais de vrios pases definirem mtodos comuns para o tratamento de evidncias
eletrnicas. Como cada pas tem sua prpria legislao e no seria possvel a
definio de normas globais para contemplar todos os pases, mas busca-se uma
padronizao para a troca de evidncias entre paises. Atualmente j existem
padres definidos e sendo aplicados de forma experimental. Eles foram
desenvolvidos pelo SWGDE e apresentados na International Hi-Tech Crime and
Forensics Conference (IHCFC), que foi realizada em Londres, de 4 a 7 de outubro
de 1999. Os padres desenvolvidos pelo SWGDE seguem um nico princpio, o de
que todas as organizaes que lidam com a investigao forense devem manter um
alto nvel de qualidade a fim de assegurar a confiana e a exatido das evidncias.
Em SWGDE (2000), foi apresentado mtodos de busca desse nvel de qualidade
pode, atingindo o mesmo atravs da elaborao de SOPs (Standard Operating
Procedures), que devem conter os procedimentos para todo tipo de anlise
conhecida, e prever a utilizao tcnicas, equipamentos e materiais largamente
aceitos pela comunidade cientfica (Apndice A)

3.3. Padronizao Nacional



23
No Brasil ainda no possumos uma padronizao, apenas trabalhos
feitos a pedido da polcia federal, alguns trabalhos acadmicos e alguns
direcionados ao pblico leigo.
Algumas das instituies que esto envolvidas em um esforo de
padronizao nacional so:
NBSO (Network Information Center (NIC) - Brazilian Security
Office): atua coordenando as aes e provendo informaes para os sites envolvidos
em incidentes de segurana;
CAIS (Centro de Atendimento a Incidentes de Segurana): tem por
misso o registro e acompanhamento de problemas de segurana no backbone e
PoPs da RNP, bem como a disseminao de informaes sobre aes preventivas
relativas a segurana de redes;
GT-S: grupo de trabalho em segurana do comit gestor da internet
brasileira.



24
4. OBTENO DE EVIDNCIAS


Quando tratamos de anlise forense de ambientes Windows,
seguimos alguns princpios bsicos que so comuns s anlises de qualquer
plataforma computacional e que foram originalmente herdados de bases da Cincia
Forense em geral. Basicamente estes princpios esto fundamentados em mtodos
que buscam dar credibilidade aos resultados, fornecendo mecanismos para a
verificao da integridade das evidncias e da corretude dos procedimentos
adotados.
A rigorosa documentao das atividades fundamental para que
uma anlise possa ser aceita, mesmo que o stress causado por um incidente de
segurana, tornem difcil atividade de documentar as decises e aes, o que
pode prejudicar uma futura ao judicial contra os responsveis, pois pode
inviabilizar uma avaliao do tratamento dado s evidncias.
Alm da correta documentao, pode-se citar mais alguns princpios
das demais disciplinas forenses que foram herdados pelo meio computacional:
Rplicas: realizar a duplicao pericial completa sempre
recomendvel para que seja possvel a repetio dos
processos e a busca da confirmao dos resultados, sem que
ocorra o dano evidncia original, devido a algum erro do
examinador. Normalmente necessrio a obteno de uma
imagem bit-a-bit dos sistemas. Tarefa esta, que muitas vezes
toma um grande tempo.;


25
Garantia de Integridade: deve haver procedimentos
previamente determinados que visem garantir a integridade
das evidncias coletadas. No mundo real as evidncias so
armazenadas em ambientes cuja a entrada restrita, so
tiradas fotos, minuciosas descries das peas so escritas
com o intuito de verificar sua autenticidade posteriormente.
No mundo virtual a autenticidade e a integridade de uma
evidncia podem ser verificadas atravs da utilizao de
algoritmos de hash criptogrfico como o MD5, SHA-1 e o
SHA-2. Alm disso possvel armazen-las em mdias para
somente leitura, como CD-ROMs;
Ferramentas Confiveis: no h como garantir a
confiabilidade dos resultados obtidos durante uma anlise se
os programas utilizados no forem comprovadamente
idneos. O mesmo ocorre no mundo real onde os
experimentos de uma anlise laboratorial devem ser
conduzidos em ambientes controlados e comprovadamente
seguros a fim de que os resultados no possam ser
contaminados por alguma influncia externa;
Ainda fazendo referncia documentao tem-se quatro pontos
fundamentais a serem tratados: Identificao, Preservao, Anlise e por fim a
Apresentao, que no ser tratada com detalhamento neste trabalho.




26
4.1. Identificao

Dentre os vrios fatores envolvidos no caso, necessrio
estabelecer com clareza quais so as conexes relevantes como datas, nomes de
pessoas, empresas, rgos pblicos, autarquias, instituies etc., dentre as quais foi
estabelecida a comunicao eletrnica. Discos rgidos em computadores podem
trazer a sua origem (imensas quantidades de informaes) aps os processos de
recuperao de dados.

4.2. Preservao

Todas as evidncias encontradas precisam obrigatoriamente ser
legtimas, para terem sua posterior validade jurdica. importante sempre lembrar
de proteger a integridade dos arquivos recuperados durante a resposta. Sendo
assim, todo o processo relativo obteno e coleta das mesmas, seja no elemento
fsico (computadores) ou lgico (mapas de armazenamento de memria de dados)
deve seguir normas internacionais. Deve-se sempre estar atento ao quesito contra-
prova, pois a outra parte envolvida poder solicitar a mesma a qualquer tempo do
processo, lembrando sempre que, caso o juiz no valide a evidncia, ela no poder
ser re-apresentada.

4.3. Apresentao

Tecnicamente chamada de substanciao da evidncia, ela
consiste no enquadramento das evidncias dentro do formato jurdico como o caso
ser ou poder ser tratado. Os advogados de cada uma das partes ou mesmo o juiz


27
do caso podero enquadr-lo na esfera civil ou criminal ou mesmo em ambas. Desta
forma, quando se tem a certeza material das evidncias, atua-se em conjunto com
uma das partes acima descritas para a apresentao das mesmas.

4.4. Anlise

Aqui est concentrada a pesquisa propriamente dita, onde todos os
filtros de camadas de informao j foram transpostos e pode-se deter
especificamente nos elementos relevantes ao caso em questo. importante manter
o foco ao solicitado, pois muitas vezes, durante a anlise, depara-se com novas
fontes de dados que podem levar a outras vertentes, fazendo com que esta
mudana de foco, prejudique a percia podendo at anular todo o trabalho pericial,
devido ao abuso na coleta de provas. O profissionalismo essencial quando se trata
na obteno da chamada prova legtima, a qual consiste numa demonstrao
efetiva e inquestionvel dos rastros e elementos da comunicao entre as partes
envolvidas e seu teor, alm das datas, trilhas, e histrico dos segmentos de disco
utilizados.

4.4.1. Live Analisys

Pode-se definir a live analysis como sendo aquela efetuada em um
sistema vtima de algum incidente de segurana sem que, anteriormente, tenha sido
executado qualquer procedimento para seu desligamento. s vezes, tal
procedimento precisa ir alm de apenas obter as informaes volteis. Desligar o
sistema pode resultar na paralisao de um servio essencial, portanto, muitas


28
vezes faz-se necessrio descobrir provas e remover de maneira apropriada os
programas marginais sem a interrupo de qualquer servio oferecido pela mquina.
Neste tipo de procedimento algumas etapas devem ser seguidas:
Coletar os dados mais volteis;
Reunir as informaes, vindas principalmente dos logs de
eventos e do registro do sistema-alvo;
Devido a possveis problemas que podero surgir durante este
trabalho, importante a elaborao de um CD, contendo um kit de resposta, para
que o trabalho no seja prejudicado pela ineficincia no uso das ferramentas
disponveis.
Uma maneira de descobrir quais DLLs um programa necessita para
ser executado atravs da utilizao do Dependecy Walker (depends.exe). Esta
ferramenta vem com o Resource Kit do W2k e analisa toda a rvore de
dependncias de determinado software, podendo exibir inclusive quais funes so
utilizadas e exportadas em cada biblioteca.
Outra alternativa o listdlls.exe1, desenvolvido por Mark
Russinovich. Esta ferramenta capaz de listar todas as bibliotecas que esto sendo
utilizadas por determinado processo. Desta forma, necessrio executar a
ferramenta a ser analisada, posteriormente utilizar o listdlls.exe, para obter-se a
listagem de DLLs necessrias. O listdlls tambm pode ser til durante a live analysis,
na qual pode ser utilizado para investigar algum processo suspeito em uma mquina
invadida.
A utilizao de bibliotecas necessrias execuo dos programas
ser importante para situaes onde uma das ferramentas a serem utilizadas
durante a anlise necessite de uma biblioteca que j esteja na memria, nesta


29
situao ela no ser carregada novamente, fazendo com que a DLL presente no
CD seja ignorada e abrindo uma brecha para a produo de falsos resultados.
Uma soluo para evitar o acesso a tais bibliotecas eliminar todo
acesso bibliotecas dinmicas atravs de compilao esttica de todas as
ferramentas a serem utilizadas, mas como poucas ferramentas para a plataforma
Windows possuem cdigo aberto, tal soluo fica inviabilizada.
A anlise ao vivo representa um grande problema para a percia em
ambientes Windows 2000. A seguir sero apresentadas algumas ferramentas que
podero compor o CD de kit de reposta para a percia deste ambiente.
Inicialmente, seguindo as duas etapas citadas acima, sero
coletados os dados mais volteis:
Execute a data e hora para encaixar a resposta entre a hora
inicial e final, isto para garantir a correlao entre os logs do
sistema e os logs baseados em rede;
Utilizar o loggedon para identificar quem est conectado ao
sistema;
Utilizar o netstat para visualizar as conexes atuais;
Utilizar o pslist para identificar todos os processos em
execuo;
Utilizar o fport para identificar quais programas abriram portas
especficas.
Aps isto ser feito poder seguir os passos seguintes de forma mais
livre em busca de pistas no sistema.
a) Logs


30
Os logs mostram informaes sobre o passado do sistema-alvo,
tornando uma das melhores fontes de informao, tais informaes podem ser o
diferencial entre o sucesso e o fracasso de uma auditoria.
O Windows 2000 possue trs tipos de log: o System log, Application
log e Security log, sendo possvel obter informaes como:
Determinar quais usurios tm acessado determinados
arquivos;
Determinar quais usurios tm feito logon no sistema;
Determinar falhas no logon de usurios;
Monitorar o uso de determinadas aplicaes;
Monitorar mudanas nas permisses de usurios.
AuditPol: Para a busca de informaes sobre as diretivas de
auditoria existentes no sistemas ser utilizado a ferramenta AuditPol constante no
pacote NT Resource Kit. Na figura abaixo mostrado a ferramenta AuditPol em uso:

Figura 4.1 Determinao de log do sistema pelo auditpol

NTLAST: Desenvolvido por J .D. Glaser (Foundsone), ela permite
monitorar logins bem ou mal sucedidos a um sistema, caso a auditoria Logon ou
Logoff esteja ativada.
Um dos objetivos do uso desta ferramenta a busca de contas de
usurios e sistema remotos suspeitos que acessam ao sistema-alvo.


31
Abaixo temos o uso da ferramenta listando todos os logons bem-
sucedidos.

Figura 4.2 Visualizando logons bem-sucedidos via ntlast

Nesta prxima figura apresentado o uso do ntlast para listar todos
os logons fracassados.

Figura 4.3 Visualizando logons fracassados via ntlast

importante recuperar todos os logs para anlise off-line, para tanto
pode ser usado o prprio Event Viewer, mas o mesmo permite uma consulta de
forma aleatria, as ferramentas dumpel e netcat permite recuperar logs remotos.
Dumpel: Ferramenta constante no NTRK, ela permite obter logs de
evento do sistema-alvo, esvaziando todo o log de segurana, com tabs como
delimitador.

Figura 4.4 Uso da ferramenta dumpel


32

Figura 4.5 Resultado obtido pelo uso da ferramenta dumpel

Event Viewer: possvel utilizar esta ferramenta para visualizar os
logs locais, bem como os remotos. Para a visualizao de logs remotos basta ir em
Log | Select Computer, mas para isto ser necessrio ter uma conexo via conta de
administrador, conforme apresentado abaixo. No recomendvel o acesso remoto
aos logs, pois se a mquina ou a rede estiver comprometida, esta no seria uma
metodologia segura para a resposta a incidentes.

Figura 4.6 Utilizao de Event Viewer para anlise de logs de eventos


33

Figura 4.7 Detalhamento de um evento utilizando o Event Viewer

Dir: Apesar do comando dir ser utilizado normalmente apenas para
listar arquivos ou pastas, o mesmo pode ser utilizado para obter informaes mais
interessantes, como por exemplo o horrio de modificao, criao e acesso aos
arquivos. Abaixo temos trs exemplos do uso do comando:

Figura 4.8 Listagem recursiva de todas as horas de acesso no drive D

Figura 4.9 Listagem recursiva de todas as horas de modificao no drive D

Figura 4.10 Listagem recursiva de todas as horas de criao no drive D


34
Doskey: o comando doskey permite exibir o histrico de comandos
do Shell de comandos atuais em um sistema. possvel utilizar o comando doskey
/history para controlar comandos executados no sistema durante uma resposta;

Figura 4.11 Uso do doskey para registrar as etapas seguidas no processo de auditoria

At: a documentao das tarefas agendadas no Task Scheduler,
pode ser obtida utilizando o comando nativo at. Esta busca importante em virtude
da possibilidade de um atacante poder agendar processos maliciosos para serem
executados em horrios mais convenientes s suas atividades. Tais agendamentos
podem ser visualizados na pasta %systemroot%\Tasks, entretanto o comando at s
apresenta tarefas por ele agendado.

Figura 4.12 Apresentao do resultado obtido por meio do comando At

I386kd / Dumpchk: Em algumas situaes pode ser necessrio
esvaziar o contedo de memria, para obter senhas, texto limpo de alguma
mensagem criptografada ou mesmo recuperar o contedo de um arquivo
recentemente aberto. No Windows, tais aes no so consideradas procedimentos
periciais seguros. Para esta ao pode ser utilizado o I386kd conforme citado no
documento encontrado em http://support.microsoft.com/kb/q254649/, podendo ser


35
utilizado o dumpchk para verificar se criado corretamente o arquivo de despejo de
memria.
b) Conexes de Rede
A busca de informaes sobre conexes de rede, permite ter uma
idia de como uma mquina est utilizando a rede em um dado momento. Da
mesma forma que os processos da mquina, tal atividade a nica oportunidade de
se realizar a coleta deste tipo de informao, pois a mesma voltil, no deixando
nenhum rastro ou histrico aps a conexo estiver extinta, a no ser que cada
aplicao cuide disso atravs da alimentao de arquivos de log, ou seja utilizada
alguma ferramenta especfica para este fim, como o TCPWrapper, que ser
abordado logo abaixo.
Uma anlise importante a ser feita a verificao da utilizao de
recursos de rede especficos da plataforma Windows, como o protocolo NetBIOS e
os compartilhamentos de recursos atravs do protocolo SMB (Server Message
Block). A seguir tem-se um conjunto de programas teis para a coleta de
informaes relativas a conexes de rede:
Arp: um programa que utilizado para acessar seu prprio
cach, que mapeia o endereo IP ao endereo MAC fsico dos sistemas com os
quais o sistema-alvo tem se comunicado no ltimo minuto;

Figura 4.13 Resultado do comando arp

Netstat: o objetivo desta ferramenta nativa fornecer estatsticas
de utilizao da rede, mais especificamente dados sobre os protocolos IP, UDP e


36
TCP. Ele exibe informaes que podem ser teis para o examinador, tais como a
lista de conexes ativas na mquina, as portas que esto aceitando conexes da
rede e qual o estado atual da tabela de roteamento;

Figura 4.14 Dados obtidos por meio do comando netstat

Nbtstat: ferramenta nativa que exibe informaes relacionadas ao
protocolo NetBIOS. usado para acessar o cache do NetBIOS remoto, observando
conexes NetBIOS recentes aproximadamente durante os ltimos dez minutos.;

Figura 4.15 Amostra obtida pelo comando nbtstat
Tracert: indica quais roteadores esto entre a mquina local e um
determinado destino em uma rede. Este aplicativo nativo e pode ser til caso
sejam observadas rotas de rede suspeitas durante a utilizao do netstat;


37

Figura 4.16 Resultado obtido pelo comando tracert

Fport: parte integrante do Foundstone Forensic Kit e indica quais
processos esto utilizando quais portas TCP/UDP, alm disso, fornece o caminho
para seu binrio. Ele poder ser usado antes e depois de executar um processo
marginal a fim de determinar se o processo marginal abriu qualquer soquete de rede;

Figura 4.17 Lista de processos obtida pelo uso da ferramenta fport

Windump: ferramenta para captura de pacotes de rede, pode ser
utilizada para armazenar o trfego de determinada conexo para uma posterior
anlise. A interpretao de seus dados pode ser muito trabalhosa, devido grande
quantidade de informaes que so geradas, contudo, possvel o armazenamento
de seus dados para que eles possam ser analisados posteriormente por programas
de interface mais amigvel como o ethereal;


38

Figura 4.18 Coleta realizada por meio da ferramenta windump

Net: programa nativo que agrega inmeras funcionalidades
relacionadas administrao de redes Windows. Este aplicativo pode ser til
durante a anlise ao vivo (live analysis) para que o examinador obtenha dados
relativos aos compartilhamentos mapeados (net use), compartilhamentos exportados
(net share) e a lista das sesses em atividade na mquina (net session);

Figura 4.19 Uso do comando net use

Figura 4.20 Uso do comando net share

Rmtshare: este aplicativo do NTRK tem praticamente as mesmas
funcionalidades no net share, contudo pode realizar todas as suas tarefas
remotamente, sempre observando os riscos de se realizar anlises de modo remoto;


39

Figura 4.21 Resultado obtido pela ferramenta rmtshare

Rasautou: mquinas com conexes dialup podem ser configuradas
para efetuarem discagem toda vez que uma aplicao solicite acesso Internet
(dial-on-demand) e comum que algumas aplicaes tentem utilizar este recurso
por default. O Windows 2000 mantm um histrico de todos os endereos IP que
foram conectados via dial-on-demand, que podem ser consultados atravs desta
ferramenta nativa (rasautou -s);

Figura 4.22 Obteno de dados por meio da ferramenta rasautou

c) Usurios
Dados de usurios podem ser analisados de forma off-line, mas
informaes sobre quem est logado em neste momento e quais processos esto
sendo executados podem ser perdidos. Tais informaes so estratgicas, e
necessrio verificar se as polticas de auditoria esto habilitadas no sistema, a fim de
que tais informaes no sejam perdidas por negligncia. Caso tais polticas no
estejam habilitadas no ser possvel analisar logs de registro de tais informaes,


40
pois os mesmos no existem. Portanto, a coleta destes dados passa a ser
fundamental.
Pwdump: Ferramenta desenvolvida por Todd Sabin, com o objetivo
de examinar as senhas do banco de dados SAM (Security Access Manager). Estas
senhas podem ser decifradas utilizando a consagrada ferramenta J ohn the Ripper
ou L0phtcrack. Este procedimento pode ser til quando no existe uma cooperao
por parte de algum usurio nas investigaes.

Figura 4.23 Utilizao da ferramenta pwdump

Figura 4.24 Uso do L0phtcrack para obter as senhas do sistema-alvo

net: Atravs do comando net user possvel consultar quais
usurios esto cadastrados na mquina local, alm de viabilizar a alterao de seus
respectivos dados;


41

Figura 4.25 Obteno de dados por meio do comando net user

Psloggedon: aplicativo que permite determinar quem est usando
recursos do sistema-alvo. Esta tarefa pode ser executada tanto local quanto
remotamente. Caso o nome do usurio seja informado, este aplicativo tentar
localiza-lo em todas as mquinas do domnio;

Figura 4.26 Dados obtidos por meio da ferramenta psloggedon

Rasusers: ferramenta do NTRK capaz de listar os usurios que
possuem permisses para se conectarem, via dial-up, em determinada mquina.

Figura 4.27 Lista de usurios obtidos pela ferramenta rasusers

d) Registro
O registro do Windows uma coleo de arquivos de dados que
armazena dados vitais de configurao do sistema. O sistema operacional utiliza o


42
Registro para armazenar informaes sobre o hardware, software e componentes de
um sistema. O registro pode revelar o software instalado no passado, a configurao
de segurana da mquina, programas de inicializao, cavalos-de-tria, dll e os
arquivos recentemente utilizados para muitos aplicativos diferentes. Ele consiste de
cinco chaves-raiz (hives):
HKEY_CLASSES_ROOT,
HKEY_CURRENT_USER,
HKEY_LOCAL_MACHINE,
HKEY_USERS,
HKEY_CURRENT_CONFIG.
Os cinco hives so compostos a partir de quatro arquivos maiores no
sistema: SAM, SECURITY, SOFTWARE e SYSTEM. O local padro desses arquivos
o diretrio %systemroot%\system32\Config.
Ele uma fonte excelente para identificar software e aplicativos que
foram instalados em um sistema e ento manualmente excludos. O Windows 2000
no altera as entradas do registro quando um usurio manualmente exclui um
aplicativo. Freqentemente, o arquivo uninstall da maior parte dos aplicativos no
limpa a sub-chave Uninstall Registry.
Abaixo temos algumas ferramentas relacionadas manipulao do
registro:
Regedit: editor de registro padro do Windows 2000, sendo
possvel por meio dele realizar operaes em modo grfico de incluso, excluso e
alterao do registro do Windows;


43

Figura 4.28 Uso da ferramenta regedit
Regedt32: editor de registro nativo do Windows 2000, representa
uma alternativa sua utilizao do regedit, uma vez que apresenta recursos extras
tal como a manipulao das permisses associadas a uma determinada chave;

Figura 4.29 Utilizao da ferramenta regedit32

Regdump/Reg query: O registro do Windows armazena uma
grande quantidade de dados importantes, que so teis durante o processo de
resposta a incidentes. Para a recuperao viva destes dados ser uilizado o


44
regdump ou o reg query, ambos constantes no NT Resource Kit. O regdump cria
uma grande lista em formato texto do registro, j o reg query extra apenas os
valores-chave de interesse no registro. Abaixo apresentado um lote de amostra
para obteno de infiormaes do sistema-alvo.

Figura 4.30 Amostra de log extrada pelo reg query

Alguns pontos interessantes de coleta so as informaes contidas
na chave Run e tambm na chave RunOnce do registro, local que pode ter sido
explorado pelo invasor, implantando neste ponto uma chamada a um cavalo-de-tria
para que o mesmo possa ser executado no momento da reinicializao do sistema.
Reg: ferramenta do NTRK, operada em modo texto, que oferece
uma interface completa para manipulao do registro. Permite realizar consultas,
incluses e modificaes em valores das chaves de registro, sendo possvel realizar
tais operaes de forma remota;

4.4.2. Anlise Postmortem ou Off-line

Aps a realizao de uma coleta inicial de informaes volteis,
pode ser necessria uma auditoria off-line detalhada, tal anlise pode ser descrita
como aquela conduzida a partir de cpias das evidncias originais em uma mquina
preparada para esta tarefa.


45
Um dos conceitos bsicos o de manter a integridade das provas.
Mas, o que so provas ? Qualquer informao com valor comprobatrio, seja para
confirmar ou rejeitar uma hiptese, uma prova.
Algumas vezes ser necessria a realizao da duplicao pericial,
situaes estas que exigem a duplicao de todos os sistemas e todos os setores da
imagem para serem vasculhados em busca de informao.
Para a realizao de uma duplicao pericial importante garantir
uma metodologia para criar uma boa imagem pericial. Um dos mtodos mais
comuns o apreender a mquina e envi-la a um laboratrio de percia. Atualmente
existem mquinas periciais, com unidades removveis e muito espao de
armazenamento para realizar a duplicao no prprio local. Esta operao pode ser
realizada por softwares especializados como o SafeBack e o EnCase. possvel
tambm realizar tal operao de forma remota, enviando os dados por meio da rede.
Uma forma de se realizar este procedimento por meio da ferramenta netcat em
conjunto com o dd.
Mas, qual ferramenta usar ? Os requisitos que um software precisa
cumprir para ser uma ferramenta pericial confivel so:
Ter a capacidade de criar uma imagem de cada bit de dados
da mdia de armazenamento. Precisa poder criar uma
imagem de cada byte, do inicio da unidade trilha de
manuteno.
Precisa ser capaz de tratar os erros de leitura com segurana.
Se o processo falhar aps diversas tentativas de ler um setor
danificado, este anotado, saltado e criado um espao
reservado de tamanho idntico no resultado da leitura.


46
No pode fazer nenhuma alterao das provas originais.
Precisa poder ser submetido a provas e anlises cientficas.
Os resultados precisam poder ser replicados e verificados por
terceiros, se necessrio.
O arquivo de imagem criado precisa ser protegido por uma
soma de verificao ou algoritmo de hash. Isso pode ser feito
durante a criao do arquivo ou no final do processo.
As principais ferramentas disponveis so:
SafeBack
EnCase
dd
A seguir ser apresentado a forma de se utilizar o comando dd, pois
o mesmo est disponvel na vrias variantes de plataforma *nix.
Uma vez inicializado o sistema no ambiente confivel, ser iniciado o
processo de criao da imagem. importante olhar a documentao do dd, para
obter maiores informaes sobre cada uma das opes utilizadas nos exemplos a
seguir.
Para criar uma imagem de disco que caibam em um CR-ROM, use
os seguintes comandos:
#dd if=/dev/hda of=/mnt/evidencia/disco1.img bs=1M count=620
#dd if=/dev/hda of=/mnt/evidencia/disco2.img bs=1M count=620 skip=621
#dd if=/dev/hda of=/mnt/evidencia/disco3.img bs=1M count=620 skip=1241
#dd if=/dev/hda of=/mnt/evidencia/disco4.img bs=1M count=620 skip=1861
Uma outra opo de cpia, a utilizao de uma mquina pericial
conectada maquina de evidencias, por meio de um cabo Ethernet. Uma forma de
uso seria a seguinte:


47
#netcat l p 5000 >/mnt/evidencia/dw-7.dd
Desta forma a mquina pericial foi configurada para aceitar
conexes em uma porta TCP por meio do netcat. Com esta linha de comando, a
mquina fica escuta na porta TCP 5000. Este recurso somente aceita imagens
menores que 2Gb, para tamanhos maiores ser necessrio usar scripts para
detectar o comprimento de registro do fluxo de entrada.
Na mquina que contem as provas, ser aplicada a seguinte linha de
comando:
#dd if=/dev/hda | nc 192.168.0.1 5000
Aps isto ser realizado fundamental calcular o hash MD5 para a
mdia de origem, bem como para a imagem final, para que as mesmas possam ser
admitidas como provas.
A partir deste ponto j temos uma imagem que poder ser tratada
sem risco de perda da fonte original, caso seja necessrio, pode-se gerar outras
imagens para uso na auditoria, pois muitas vezes a duplicao pericial pode tornar-
se a prova real.
Para este momento ser dado dois exemplos de anlises
postmortem utilizando as camadas habituais de software, nos quais apenas
prevenido o possvel controle do atacante sobre o que observamos na mquina
vtima:
Registro: a anlise do registro de uma mquina pode ser feita de
maneira off-line atravs dos arquivos exportados com o regedit ou regedt32, como
visto na seo anterior, item d, podem ser lidos em qualquer editor de texto, ou
utilizar as ferramentas j citadas. Lembrando que os arquivos coletados so
exportados para a mquina forense, partindo-se da mquina vitima e em seguida


48
analisados. Como pode ser possvel a mistura de dados originrios da maquina
vitima com os dados da estao forense, fundamental a realizao do backup do
registros da estao, pois seus valores podero ser sobrescritos;
Logs: Na seo anterior verificou-se como obter e visualizar logs de
evento de um sistema vivo, para sistemas off-line, ser necessrio obter cpias dos
arquivos secevent.evt, appevent.evt e sysevent.evt da duplicata pericial. Esses
arquivos geralmente esto armazenados no local padro
\%systemroot%\system32\Config, os mesmos podem ser obtidos atravs de um
disco de inicializao do DOS (com NTFS para DOS, caso o sistema de arquivos
seja NTFS) ou atravs de um disco de inicializao Linux com o kernel apropriado
para montar drives NTFS.
Uma vez obtidos os respectivos arquivos, eles podem ser
importados pelo Event Viewer da estao forense.





49
5. A INVESTIGAO


A partir deste ponto inicia-se um estudo de caso fictcio em que um
servidor web invadido por meio de um exploit, o qual explora uma vulnerabilidade
conhecida e divulgada nos canais de comunicao especializados. Ser
demonstrado como o invasor entra no sistema utilizando tal software, e quais as
conquistas realizadas por ele. Ser considerado para este estudo de caso uma
anlise em um dispositivo vivo (Live Analisys), com algumas incurses em situaes
de anlise Postmotem.

5.1. O alerta

No dia 27 de janeiro de 2005 s 13:10 horas, foi realizado um
comunicado de que um dos servidores estaria sendo atacado, e que informaes
poderiam ter sido retiradas da empresa. A primeira anlise realizada pelo
administrador de que a mquina estaria com um comportamento anormal, com
possibilidade de estar ocorrendo uma conexo remota. A primeira tomada de
deciso foi de no realizar o desligamento da mquina, para que fosse possvel
obter a coleta de informaes sobre processos ainda em execuo, bem como
informaes sobre as conexes de rede, usurio ativos entre outros dados.

5.2. A busca pelas evidncias

Conforme foi descrito pelo administrador, a ao foi percebida no dia
27 de janeiro, imediatamente iniciou-se o trabalho de coleta das evidncias. Nos


50
captulos anteriores foram abordadas as ferramentas necessrias e os locais de
busca das mesmas, seguindo estes conceitos, inicia-se o trabalho verificando os
logs encontrados.
Para cada ao realizada fundamental que se registre a data e
hora de inicio e fim da atividade, para tanto poder ser utilizado os comandos date e
time do prprio sistema operacional. Estas informaes, junto com os hashes
criados de cada arquivo coletado, garantir que os arquivos no foram manipulados
e que a evidncia continua intacta.
O primeiro ponto a ser observado verificar se os logs esto sendo
registrados, para tanto o uso da ferramenta AuditPol nos apresenta a seguinte
condio dos servios de log do servidor-alvo.








Figura 5.2.1 Resultado obtido pela ferramenta AuditPol

Foi observado que neste computador no havia nenhum tipo registro
ou conexo que fosse possvel determinar algum tipo de varredura de portas. Ento
a busca por possveis registros deste tipo de atividade foi descartado, mas seria
possvel ainda verificar as conexes de rede, mas antes fundamental avaliar os
logs.
C:>AuditPol

Running ...

(X) Audit Enabled

AuditCategorySystem =Success and Failure
AuditCategoryLogon =Success and Failure
AuditCategoryObjectAccess =Success and Failure
AuditCategoryPrivilegeUse =Success and Failure
AuditCategoryDetailedTracking =Success and Failure
AuditCategoryPolicyChange =Success and Failure
AuditCategoryAccountManagement =Success and Failure
Unknown =Success and Failure
Unknown =Success and Failure


51
Na figura pode ser observado que o sistema operacional est
configurado para registrar todos os logs necessrios, abaixo ser apresentado
alguns fragmentos de alguns logs. A busca por tipos especficos de registros nos
logs, facilita e agiliza o trabalho de prospeco de evidncias. Na tabela abaixo
temos os identificadores e a descrio dos logs cuja busca deve ser priorizada, tais
registros esto catalogados no log de segurana:
ID Descrio
516 Alguns registros de evento de auditoria descartados.
517 Log de auditoria limpo
528 Logon bem-sucedido
529 Logon falhou
531 Logon falhou, bloqueado
538 Logoff bem-sucedido
576 Atribuio e uso dos direitos
578 Uso de servio privilegiado
595 Acesso indireto a objeto
608 Mudana na diretiva de direitos
610 Novo domnio confivel
612 Mudana de diretiva de auditoria
624 Nova conta adicionada
626 Conta de usurio ativada
630 Conta de usurio excluda
636 Mudana no grupo de contas
642 Mudana na conta de usurio
643 Mudana na diretiva de dominio
Figura 5.2.2 Tabela de IDs de evento de log de segurana

Nota-se na figura abaixo que s 11:40 horas, foi realizada uma
incluso de um usurio de forma bem-sucedida. Normalmente esta atividade se d


52
por meio de exploits que conseguem tal feito por meio de falhas do sistema
operacional ou de algum servio que esteja sendo executado no mesmo.
Atravs da ferramenta dumpel (dumpel l security t), foi obtido o log
de segurana em arquivo texto e aberto em um editor para realizar anlise, conforme
poder ser observado nas prximas figuras:

Figura 5.2.3 Registro onde caracterizado a incluso e ativao de um novo usurio

Figura 5.2.4 Caracterizao do uso da Shell e de ftp para realizar dowload da
ferramenta pwdump, responsvel por coletar a base de usurios e senhas


Figura 5.2.5 Tentativas de login com a conta MASTER e sucesso no login como
Administrador


53

Figura 5.2.6 Execuo do instalador do software de compactao 7zip

Figura 5.2.7 Acesso s pastas por meio do Explorer e execuo do software de
compactao 7zip

Observando os logs de segurana, possvel estabelecer que:
algum incluiu um novo usurio no sistema (MASTER), teve acesso uma Shell
(cmd.exe), realizou o download da ferramenta pwdump atravs de ftp, e capturando
os dados de usurio e senha por meio desta ferramenta, realizou remotamente a
quebra da criptografia durante algum tempo e tendo sucesso nesta operao
conseguiu realizar acesso atravs da conta Administrador, mas antes tentou acessar
o sistema-alvo por meio da conta MASTER que o invasor teria criado anteriormente.
Aps este acesso usou o Internet Explorer (IExplorer.exe) para
baixar o software 7Zip, salvou o mesmo na pasta WINNT\repair, acessando o
instalador salvo, instalo-o e acessou o Explorer (Explorer.exe) para copiar ou avaliar
algum arquivo ou pasta. Continuando a busca por evidncias, ser agora realizada
uma verificao nas conexes de rede, bem como nos processos, a fim de verificar
se ainda existe algum tipo de operao em andamento.


54
Atravs do software FPort, que foi tratado anteriormente possvel
verificar quais processos esto em andamento e quais as portas abertas por este
processo.

Figura 5.2.8 Resultado obtido pela ferramenta FPort

Verifica-se nesta figura que existe um processo em execuo do
programa Terminal Server, este servio se caracteriza pela possibilidade de conexo
remota a um servidor Windows. Isto mostra que possivelmente o invasor ainda
esteja com a conexo estabelecida, para verificarmos com qual endereo IP esta
conexo est aberta usaremos o comando netstat, conforme pode ser visto na figura
abaixo:


55

Figura 5.2.9 Apresentao do resultado obtido por meio do comando NetStat

A gama de informaes neste ponto j bastante elevada, alm das
citadas anteriormente, temos informaes que o usurio realizou um acesso usando
o recurso de Terminal Server e o endereo IP do invasor 192.168.0.252. Sabe-se
tambm que o acesso por meio do Servidor de Terminais se deu por meio da conta
Administrador, portanto possvel que o invasor tenha conseguido acesso a
arquivos com nveis de proteo elevado.
O prximo passo verificar quais as atividades realizadas pelo
invasor, alguns locais onde possvel buscar tais evidncias so:
Lixeira (Recycler);
Pasta de cookies;
Pasta de arquivos temporrios;
Cach do browser.
Realizando uma busca na pasta recycler obteve-se as seguintes
informaes:


56

Figura 5.2.10 - Contedo da pasta RECYCLER

Nota-se ento que foi gerado um arquivo compactado, pois arquivos
com extenso 7z so caractersticos do software de compactao 7zip, software
open-source, que facilmente encontrado em sites de download, como por exemplo
o superdownloads.ubbi.com, que referenciado na pasta cookies.

Figura 5.2.11 Arquivo gerado com o software 7Zip, localizado na pasta RECYCLER

Se foi gerado um arquivo compactado e o mesmo foi eliminado,
significa que antes da excluso pode ter ocorrido uma ao. Como na pasta
RECYCLER e nos logs no se tem mais informaes, ser avaliado o contedo das
pastas de cookies em busca de vestgios de conexo com algum site. Na figura


57
abaixo observa-se o contedo da pasta cookies, e nesta mesma pasta existe um
cookie referenciando o site yahoo, provedor este que fornece mecanismo de correio
eletrnico e tambm um cookie referenciando um site que prove servios de
downloads de software, entre outros site visitados.

Figura 5.2.12 - Pasta cookies e seu contedo

Agora a busca ser concentrada no cach do browser, pois se o
invasor acessou tais sites, provvel que tenha ficado armazenado algum resduo
das aes no cach.
Na figura abaixo apresentada parte do contedo das pastas
registradas no cach, e possvel observar um arquivo chamado Attachments[1],
indicando que foi enviado um email com anexo por meio de algum servio web.


58

Figura 5.2.13 Contedo parcial do cach do browser

Realizando uma anlise no referido arquivo, observa-se que foi
acessado a conta whitefootbr@yahoo.com.br, e enviando o arquivo ftima.7z para a
conta juruna@maxweb.com, nota-se que este o arquivo que foi encontrado na
pasta RECYCLER.


59

Figura 5.2.14 Informaes obtidas pela anlise do arquivo Compose[1]

Com estas informaes possvel, atravs dos canais jurdicos,
buscar informaes sobre o proprietrio da conta whitefootbr, e tentar identificar a
pessoa responsvel pela invaso, bem como para quem foi enviado o email com os
dados coletados.
Muitos outros dados poderiam ser coletados nesta anlise, mas
importante se concentrar e manter o foco no problema em questo, documentando
tudo, para que tais dados possam ser aceitos como prova pericial em uma ao
judicial. Neste case no foi realizada uma duplicata pericial, mas isto fundamental,
para garantir que as provas estaro intactas, tais procedimentos foram abordados
nos captulos anteriores.



60
5.3. A vulnerabilidade

A vulnerabilidade explorada apresentada no boletim tcnico da
empresa Microsoft, este documento pode ser visualizado de forma completa em
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx. Este mdulo
explora um estouro da pilha do servio RPCSS, esta vulnerabilidade foi encontrada
pelo grupo Delirium, sendo usado desde ento de forma macia.

5.4. O Ataque

Para compreender melhor a anlise realizada aps o ataque, a
seguir ser apresentado como o mesmo foi realizado. Inicialmente realizada uma
varredura nas portas a fim de verificar o status das mesmas, para isto ser utilizado
a ferramenta nmap, na figura abaixo apresentada uma forma simplificada de uso
da mesma:

Figura 5.4.1 Utilizao da ferramenta nmap

Aps realizada a varredura e detectada a porta que ser usada pelo
exploit para realizar o ataque, inicia-se o procedimento de configurao do exploit
com os dados do sistema-alvo, alguns parmetros sero necessrios como por
exemplo: o endereo IP de destino, um nome de usurio e uma senha para este
usurio. O objetivo neste ponto de criar um usurio vlido no sistema-alvo, pois
desta maneira ser possvel acessar o mesmo remotamente sem a necessidade de


61
explorar de forma mais profunda os usurios do mesmo. Como parmetro est
sendo estabelecido o usurio MASTER e a senha MASTER, conforme pode ser visto
na figura abaixo:

Figura 5.4.2 Configurao do exploit para a criao de um usurio remotamente

Aps ser configurado, basta executar o mesmo para que se inclua
um usurio e senha no sistema-alvo.

Figura 5.4.3 Execuo do exploit

A partir deste momento possvel acessar o sistema-alvo por meio
de uma ferramenta de comunicao remota, telnet ou ftp, para isto importante
verificar se o respectivo servio est em atividade, na figura abaixo possvel
verificar a configurao para acesso do sistema-alvo por meio de um cliente do
Terminal Server, j previamente verificado o status do servio.


62

Figura 5.4.4 Acesso do sistema-alvo

Como foi inserido um usurio e senha com privilgios baixos, hora
de buscar acesso aos usurios cadastrados verdadeiramente no sistema-alvo, para
isto ser utilizado um servio de ftp, onde est armazenada a ferramenta pwdump, e
como meio de acesso ser utilizado o VNC, que uma ferramenta de administrao
remota. O uso do VNC pode ser revelador, pois toda a ao feita pelo invasor
poder ser vista no monitor conectado ao sistema-alvo. Mas para fins didticos fica
mais fcil de se monitorar esta atividade. Abaixo apresentado a tela com as
caractersticas de configurao do exploit para esta atividade, obrigatoriamente para
que se possa utilizar o VNC, ser necessrio informar o endereo IP de origem,
tornando o sistema do invasor mais vulnervel. Note que no sistema-alvo, no h
instalado o software VNC, ele ser executado de forma remota por meio da falha,
no ficando instalado o mesmo aps o trmino da atividade.


63

Figura 5.4.5 Visualizao da configurao do exploit

Aps a inicio do ataque, o sistema-alvo apresentar a seguinte tela,
onde apresentado um Shell, sendo que na figura abaixo mostrado a realizao
da conexo remota a um servio ftp, cuja origem o sistema-alvo e o destino a
mquina do invasor. O objetivo desta conexo o download do software pwdump,
que ser responsvel pela captura dos usurios e senhas do sistema alvo. Na figura
abaixo apresentado o momento em que o sistema-alvo se conecta via ftp
mquina do invasor.

Figura 5.4.6 Conexo via ftp ao sistema invasor



64
Feito a conexo, iniciada a transferncia do software pwdump,
conforme apresentado a seguir.

Figura 5.4.7 Transferncia via ftp do software pwdump

Na figura abaixo apresentado, ainda no sistema-alvo, o resultado
da coleta feita pelo software pwdump, como a coleta foi realizada com sucesso, a
mesma transferida para o sistema do invasor via ftp para posterior anlise,
conforme pode ser visto na figura 5.9.

Figura 5.4.8 Resultado da coleta realizado pelo pwdump



65

Figura 5.4.9 Apresentao da transferncia via ftp e o arquivo j no sistema invasor

Estando o arquivo coletado no sistema invasor, pode-se abrir o
mesmo por meio da ferramenta L0phtcrack e em seguida buscar a quebra das
senhas dos usurios cadastrados no sistema-alvo para um ataque mais profundo ao
sistema-alvo. Na figura abaixo apresentado o resultado da atividade na ferramenta
em relao ao contedo extrado pelo pwdump.

Figura 5.4.10 Resultados obtidos por meio da ferramenta L0phtcrack

De posse dos usurios e senha conquistados, o invasor poder ter acesso
irrestrito ao sistema-alvo.


66
6. CONCLUSO


Nos ltimos anos tem-se visto muitas ocorrncias de crimes
relacionados com informtica se espalharem, muitas empresas tem sido lesadas
financeiramente bem como em sua imagem. Muitas situaes maliciosas tem feito
com que o mercado corporativo sinalize por necessidades emergenciais de controle
e diagnstico, situaes como por exemplo: crackers, vrus, fraudes eletrnicas na
Internet, E-mail abusivo, pedofilia entre outro, soma-se a isto novas tecnologias
como redes sem fio, condies humanas como insatisfao pessoal, gerando novas
entradas de acesso aos sistemas computacionais, lgicos ou fsicos e como
agravante, as empresas especializadas apontam para um aumento destas
condies para os prximos anos.
Nota-se portanto que o mercado de atuao de percia aplicada
sistemas computacionais tende a aumentar nos prximos anos com objetivo de
combater no somente ameaas externas e internas, bem como trabalhar em
procedimentos e mecanismos de forma a proteger as corporaes de forma pr-
ativa.
Com este trabalho foi possvel avaliar a gama de possibilidades de
busca de informaes para resposta a incidentes, bem como para auditoria
sistemas computacionais, no sendo aqui, de forma alguma esgotado o processo de
aprendizagem e de estudo de mtodos e procedimentos para se atingir as metas de
forma cada vez mais eficiente.




67
7. APNDICE A
Exemplo de SOP - (Standard Operating Procedures)
O contexto do presente SOP o da anlise postmortem de uma
mquina vtima de um incidente de segurana. Aps o desligamento da mquina em
questo existe a necessidade de se efetuar cpias bit-a-bit de seu disco rgido para
que os procedimentos de anlise no sejam conduzidos a partir das evidncias
originais, evitando-se assim, o risco de que um eventual erro do examinador venha a
danificar ou alterar a evidncia original de alguma forma.
Empresa X S/A
Time de Resposta a Incidentes Segurana TRIS
Documento: AF/0013
Responsvel: <Nome do Responsvel>
Verso: 1.0 01/12/2004
Descrio:
Procedimento para duplicao bit-a-bit de disco rgido IDE
proveniente de mquina envolvida em incidente de segurana.
Requisitos:
Mquina confivel utilizando Linux Red Hat 7.3 (AF/0008) com
quantidade de espao livre em disco superior capacidade total de armazenamento
do disco que se deseja duplicar. Presena dos programas dd e md5sum em conjunto
com suas bibliotecas certificadamente originais (AF/0010).
Procedimento:
1. Documentao de todas as informaes relevantes impressas na
superfcie externa do disco, tais como: modelo, fabricante, quantidade de cilindros e


68
cabeas de leitura. Alm do registro das posies dos jumpers presentes no
equipamento;
2. O disco deve ser instalado na estao forense no canal IDE
secundrio, e para que no haja conflitos em relao s configuraes de
dominncia (master/slave), o disco deve ser o nico dispositivo presente no canal.
Para os prximos passos ser suposto o mapeamento do disco alvo no dispositivo
de bloco /dev/hdc;
3. Ligue a estao e execute a deteco de discos presente na
BIOS, tomando o cuidado de documentar a geometria do disco detectado;
4. Identifique e documente as parties presentes no dispositivo
atravs do comando:
fdisk -l /dev/hdc;
5. Calcule o hash MD5 de todos os dados contidos no disco atravs
do comando:
dd if=/ dev/hdc | md5sum -b;
6. Efetue a cpia de cada bit presente no dispositivo analisado,
incluindo os espaos aparentemente vazios. Isto pode ser feito atravs do comando:
dd if=/dev/hdc of=<nome-do-arquivo>.
Note que tal procedimento pode exigir uma considervel capacidade
de disco da estao forense.
7. Calcule o hash MD5 do arquivo gerado no passo 6 atravs do
comando:
dd if=<nomedo-arquivo>| md5sum -b;
8. Verifique se os hashes criptogrficos gerados nos passos 5 e 7
correspondem exatamente ao mesmo valor.


69
REFERNCIAS


CASEY, Eoghan; Digital Evidence and Computer Crime: Forensic Science,
Computers, and the Internet; Academic Press; 2 Edio; 2004;

MANDIA, Kevin; PROSISE, Chris; Hackers Resposta e Contra-Ataque:
Investigando Crimes por Computador; Campus; 2001;

NOBLETT, Michael G.; Report of the Federal Bureau of Investigation on
development of forensic tools and examinations for data recovery from
computer evidence; Proceedings of the 11th INTERPOL Forensic Sciense
Symposium; 1995;

NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.; Recovering
and Examining Computer Forensic Evidence; Forense Science Communications;
Federal Bureau of Investigation; Outubro 2000, Vol. 2 N. 4;

SWGDE, Scientific Working Group on Digital Evidence; IOCE, International
Organization on Digital Evidence; Digital Evidence: Standards and Priciples;
Forense Science Communications; Federal Bureau of Investigation; Abril 2000, Vol.
2 N. 2;

THORTON, J .; The general assumptions and rationale of forensic identification;
Modern Scientific Evidence: The Law and Science of Expert Testimony; West
Publishing Co.; Volume 2; 1997;