FORENSE COMPUTACIONAL: UMA PROPOSTA DE ENSINO

Paulo S. da Motta Pires Departamento de Engenharia de Computa¸ao e Automa¸ao c˜ c˜ Universidade Federal do Rio Grande do Norte 59078-970 Natal - RN pmotta@dca.ufrn.br

RESUMO
A caracter´ ıstica das informa¸˜es que devem ser disponibilizadas torna o ensino de disciplinas co relacionadas com seguran¸a de redes um desafio bastante interessante. Este trabalho descreve uma c proposta de formaliza¸˜o e de ensino da disciplina Forense Computacional. Essa proposta apresenta ca uma disciplina flex´ ıvel, pr´tica, que amplia a forma¸˜o dos estudantes de Ciˆncia da Computa¸˜o a ca e ca e de Engenharia de Computa¸˜o e os prepara para atuar em um mercado promissor e carente de ca especialistas.

ABSTRACT
Courses dealing with computer or network security present extremely interesting challenges due to the nature of the information that is handled. This paper presents a proposal for development and implementation of a course in Computer Forensics. This project introduces a course that is both flexible and practical while broadening the preparation of students in Computer Science and Computer Engineering in order to prepare them for work in an area that is very promising but has a shortage of specialists.

1

INTRODUCAO ¸˜

Ensinar disciplinas da ´rea de seguran¸a de sisa c temas computacionais ´ um desafio muito interese sante em virtude das caracter´ ısticas e peculiaridades das informa¸˜es a serem repassadas, [1]. Aos co estudantes devem ser apresentadas, de forma sistematizada, t´cnicas e ferramentas utilizadas para e comprometer sistemas computacionais e, tamb´m, e t´cnicas e ferramentas utilizadas para proteger ese ses mesmos sistemas. A apresenta¸˜o p´blica de material de natureza ca u sens´ ıvel traz dificuldades relacionadas ` defini¸˜o a ca da profundidade com que alguns conceitos devem ser tratados e ` certeza da corre¸˜o da destina¸˜o a ca ca ´ que ser´ dada aos conhecimentos adquiridos. E a comum, em universidades estrangeiras, para disciplinas com esse tipo de conte´do, a assinatura u obrigat´ria de documentos nos quais os alunos aso sumem o compromisso legal de n˜o utilizarem esses a conhecimentos para fins inadequados. Por diversas raz˜es, essa pr´tica ainda n˜o ´ adotada no Brasil. o a a e Apesar dessas dificuldades, as Institui¸˜es de co Ensino Superior n˜o podem deixar de preparar a profissionais nessa ´rea. Essa prepara¸˜o est´ sena ca a do realizada atrav´s de disciplinas de gradua¸˜o e e ca de p´s-gradua¸˜o com denomina¸˜es que, em geo ca co ral, incluem a palavra seguran¸a em seus t´ c ıtulos. Nessas disciplinas, s˜o apresentados conceitos relaa cionados ` seguran¸a de sistemas computacionais a c ou de seus servi¸os. Quando poss´ c ıvel, pelas pr´o prias caracter´ ısticas das quest˜es analisadas, essas o

101

disciplinas deixam de ter car´ter meramente cona templativo e s˜o realizadas experimenta¸˜es pr´tia co a cas em laborat´rio. o Neste trabalho, apresenta-se uma proposta de formaliza¸˜o e de ensino da disciplina Forense ca Computacional para alunos de gradua¸˜o em fica nal de curso ou para alunos de p´s-gradua¸˜o das o ca a ´reas de Ciˆncia da Computa¸˜o e de Engenhae ca ria de Computa¸˜o. Esta proposi¸˜o apresenta ca ca uma disciplina flex´ ıvel, de car´ter eminentemena te pr´tico, que amplia a forma¸˜o acadˆmica desa ca e ses estudantes. A disciplina proposta tem como pr´-requisito m´ e ınimo o conhecimento formal de TCP/IP (Transmission Control Protocol/Internet Protocol ) aprendido durante a disciplina de Redes de Computadores e, eventualmente, pode ser cursada em paralelo com as disciplinas que possuem a palavra seguran¸a em seus t´ c ıtulos, no contexto apresentado no par´grafo precedente. a Esta proposta segue padr˜es que est˜o sendo o a adotados para disciplinas desse tipo em outras institui¸˜es, [2], e, em particular, na Universidade de co Nebrasca, USA, [3]. Salvo melhor ju´ uma disızo, ciplina com o perfil aqui proposto ainda n˜o est´ a a formalizada no Brasil, apesar de excelentes trabalhos j´ terem sido produzidos, [4]. Assume-se que, a ao final dessa disciplina, o aluno apresente proficiˆncia adequada para coletar evidˆncias digitais e e em sistemas computacionais, interpretar os dados coletados, criar uma seq¨ˆncia de eventos que caue racterizem as a¸˜es realizadas pelo ente que causou co o problema e, mais importante, seja capaz de atuar

com competˆncia, profissionalismo e ´tica em um e e mercado promissor e carente de especialistas. Este trabalho est´ organizado como segue. A a se¸˜o 2 apresenta o contexto no qual a disciplina ca proposta se enquadra. Nessa se¸˜o, ´ apresentado ca e o padr˜o atual de forma¸˜o dos alunos dos cura ca sos de Ciˆncia da Computa¸˜o e de Engenharia e ca de Computa¸˜o na ´rea de seguran¸a de sistemas ca a c ´ computacionais ou de seus servi¸os. E demonstrac da a oportunidade da cria¸ao da Forense Computac˜ cional, uma sub-´rea da Forense Digital, como uma a disciplina formal. Em seguida, a se¸˜o 3 apresenca ta a distribui¸˜o da carga hor´ria, os t´picos que ca a o integram a ementa da disciplina e uma sugest˜o a para a realiza¸˜o da avalia¸˜o do rendimento dos ca ca estudantes. Na se¸˜o 4, mostra-se a dinˆmica com ca a que se pretende apresentar os assuntos. Sistemas operacionais livres e de c´digo fonte dispon´ s˜o o ıvel a escolhidos para as m´quinas onde devem ser reaa lizadas as pr´ticas de laborat´rio. A proposi¸˜o a o ca das ferramentas e dos ambientes a serem utilizados nessas pr´ticas ´ feita na se¸˜o 5. O trabalho a e ca ´ conclu´ com a proposta de algumas linhas de e ıdo pesquisa, ou de desenvolvimento, que podem ser seguidas como resultado da abordagem mais aprofundada e estendida dos assuntos apresentados no decorrer da disciplina. A disciplina, na forma como est´ aqui discua tida, ser´ implementada na ˆnfase em Engenharia a e de Computa¸˜o e Automa¸˜o do Programa de P´sca ca o gradua¸˜o em Engenharia El´trica da Universidaca e de Federal do Rio Grande do Norte e apresentada no primeiro semestre letivo de 2004.

2

O CONTEXTO

Nas Institui¸˜es de Ensino Superior, os aluco nos de Ciˆncia da Computa¸˜o e de Engenharia e ca de Computa¸˜o cursam a disciplina de Redes de ca Computadores segundo padr˜es bem estabelecio dos, [5, 6, 7]. Os estudantes complementam essa forma¸˜o cursando disciplinas na ´rea de seguca a ran¸a de sistemas ou de servi¸os utilizando textos c c consagrados, [8, 9, 10]. Este trabalho sugere que essa forma¸˜o inclua, tamb´m, a disciplina Forense ca e Computacional. A Forense Computacional pode ser definida como um conjunto de t´cnicas, cientificamente come provadas, utilizadas para coletar, reunir, identificar, examinar, correlacionar, analisar e documentar evidˆncias digitais processadas, armazenadas e ou transmitidas por computadores. Evidˆncia digital ´ qualquer informa¸˜o de vae e ca lor probat´rio que ´ armazenada ou transmitida de o e forma digital. Para a Forense Computacional, o computador, isolado ou em rede, pode ter sido o objeto ou o alvo de uma atividade criminosa cabendo ao analista a coleta de evidˆncias que possam levar ` identificae a
1 Os

ca ¸˜o e ao posterior indiciamento judicial de eventuais culpados, se esse for o objetivo. Formalmente, a Forense Computacional ´ uma e sub-´rea da Forense Digital [11]. A Forense Digital a pode ser definida como uma ´rea de conhecimento a que se utiliza de m´todos elaborados e comprovae dos cientificamente visando a preserva¸˜o, coleta, ca valida¸˜o, identifica¸˜o, an´lise, interpreta¸ao, doca ca a c˜ cumenta¸˜o e apresenta¸˜o de evidˆncias digitais ca ca e com o prop´sito de facilitar ou permitir a reconso titui¸˜o de procedimentos de natureza criminosa ca que ocorram em equipamentos digitais. A Forense Digital ´, portanto, mais abrangente e trabae lha com informa¸˜es armazenadas ou transmitidas co por equipamentos digitais como PDAs (Personal Digital Assistants), telefones celulares, m´quinas a de FAX, centrais telefˆnicas digitais, os pr´prios o o computadores, entre outros [12]. A Forense Digital ´ uma ciˆncia relativamente e e nova, complexa e engloba procedimentos e metodologias de ´reas t˜o distintas como Minera¸˜o de a a ca Dados, Lingu´ ıstica, L´gica, Probabilidade e Estao t´ ıstica, Processamento Digital de Sinais e de Imagens, Criptografia e Redes de Computadores. Pelo exposto, a disciplina proposta amplia a forma¸˜o dos estudantes dos cursos de Ciˆncia ca e da Computa¸˜o e de Engenharia de Computa¸˜o, ca ca preparando-os para um mercado promissor e carente de profissionais capacitados. Esses profissionais estar˜o aptos, tamb´m, a realizar pesquisa a e cient´ ıfica aplicada ` criminal´ a ıstica “no sentido de se chegar a resultados satisfat´rios na escolha dos o melhores procedimentos e metodologias”, [13]. Esse objetivo est´ de acordo com a proposta do moa delo de padroniza¸˜o de procedimentos em Forense ca Computacional apresentado na referˆncia [13]. See gundo essa referˆncia, “o exame pericial, bem coe mo o desenvolvimento e avalia¸˜o de procedimenca tos de an´lise forense, devem ser executados por a pessoa portadora de n´ ıvel superior, forensicamente capacitada e com habilita¸˜o t´cnica e ca e cient´ ıfica relacionada ` natureza do exame1 . a Al´m disso, tal pessoa n˜o deve ter antecedentes e a que levantem suspeitas acerca do seu car´ter e ´tia e ca”. Ainda, continuam os autores, [13], “o perito deve lastrear suas assertivas e conclus˜es com juso tificativas cient´ ıficas, de modo que haja, do ponto de vista cient´ ıfico, uma unica possibilidade de se ´ chegar a tais afirma¸˜es”. co

3

A ORGANIZACAO ¸˜ DISCIPLINA

DA

A disciplina est´ estruturada para ser apresena tada em 60 (sessenta) horas/aula, correspondentes a 04 (quatro) cr´ditos, com duas sess˜es semanais e o de 02 (duas) horas/aula cada. Essa carga hor´a ria est´ distribu´ ao longo de 15 (quinze) semaa ıda 102

destaques foram feitos pelo autor deste trabalho.

nas. As sess˜es s˜o utilizadas para a apresenta¸˜o o a ca formal dos assuntos relacionados com a disciplina, para a realiza¸˜o eventual de palestras proferidas ca por profissionais convidados e para a apresenta¸˜o ca de trabalhos desenvolvidos pelos alunos. As experiˆncias realizadas em laborat´rio n˜o est˜o contae o a a bilizadas nas 60 (sessenta) horas/aula previstas. Inicialmente, a disciplina ser´ oferecida no pria meiro semestre de 2004 para alunos da ˆnfase em e Engenharia de Computa¸˜o e Automa¸˜o do Proca ca grama de P´s-Gradua¸˜o em Engenharia El´trica o ca e da Universidade Federal do Rio Grande do Norte que tenham cursado o pr´-requisito m´ e ınimo estabelecido em se¸˜o anterior. ca A disciplina Forense Computacional, como est´ a sendo proposta, possui a seguinte ementa: Introdu¸˜o; Conceitos de Redes de Computadores e de ca Sistemas Operacionais; Sistemas de Detec¸˜o de ca Intrusos; Resposta a Incidentes; An´lise de Sistea mas Comprometidos; Aspectos Legais; Aspectos ´ Eticos. O desempenho individual dos estudantes ser´ a medido atrav´s da realiza¸˜o de duas avalia¸˜es e ca co individuais (com peso relativo de 40%), da apresenta¸˜o de um projeto de an´lise realizado em ca a grupo (com peso relativo de 40%) e pela apresenta¸˜o de um trabalho individual (com peso relativo ca de 20%). O programa da disciplina deve evoluir como descrito na pr´xima se¸˜o. o ca

4

A IMPLEMENTACAO ¸˜

Conforme apresentado na se¸˜o anterior, a disca ciplina prevˆ aulas ao longo de 15 (quinze) semae nas. Em termos de programa¸˜o semanal, os asca suntos ser˜o desenvolvidos na seq¨ˆncia que se sea ue gue. Na primeira semana, apresenta-se uma vis˜o a geral da ´rea de Forense Digital. O objetivo ´ a e mostrar o enquadramento dos assuntos tratados na disciplina Forense Computacional em um contexto mais amplo, como definido na se¸˜o 2. Nessa ca semana, devem ser estabelecidos os grupos de trabalho para a realiza¸˜o das tarefas pr´ticas. Tamca a b´m devem ser escolhidos os temas dos assuntos e que dever˜o ser pesquisados individuamente para a apresenta¸˜o no decorrer da disciplina. ca Nas duas semanas seguintes, apresentam-se os conceitos de redes de computadores e de sistemas operacionais que s˜o diretamente relacionados ` a a Forense Computacional. Nessa etapa, faz-se uma revis˜o dos protocolos do modelo TCP/IP. S˜o rea a visados conceitos correspondentes aos protocolos TCP (Transmission Control Protocol ), [14], UDP (User Datagram Protocol ), [15], ICMP (Internet Control Message Protocol ), [16], e IP (Internet Protocol ), [17]. O objetivo principal da apresenta¸˜o desses protocolos ´ preparar os estudantes ca e para a an´lise de logs a ser realizada na etapa suba

sequente. Assim sendo, s˜o enfatizados o mecaa nismo de handshaking, as portas dos servi¸os, os c campos de flags do protocolo TCP e o conceito de cliente-servidor. Em rela¸˜o ao protocolo IP, ca apenas o IPv4 (Internet Protocol version 4 ) ser´ a considerado e dar-se-´ ˆnfase ` revis˜o de endea e a a re¸amento. No estudo dos protocolos dever˜o ser c a utilizadas ferramentas de an´lise de tr´fego. Com a a rela¸˜o a sistemas operacionais, a op¸˜o ´ sempre ca ca e pelos sistemas livres e de c´digo aberto. Ser˜o utio a lizados o Linux e o OpenBSD como sistemas operacionais das m´quinas do laborat´rio e das c´lulas a o e de an´lise forense. Desta forma, ser´ dada uma a a vis˜o geral de aspectos relativos a sistemas de ara quivos (filesystems), parti¸˜es, devices, kernel, coco mandos e utilit´rios mais importantes desses sistea mas. Dependendo da disponibilidade, poder˜o ser a apresentadas caracter´ ısticas de sistemas operacionais fechados. Nas trˆs semanas subsequentes, ser˜o apresene a tados assuntos relativos a sistemas de detec¸˜o de ca intrusos e de procedimentos de resposta a incidenˆ e a a tes, [18, 19, 20]. Enfase ´ dada ` an´lise e compreens˜o de logs e ` importˆncia de se estabelecer a a a mecanismos de sincroniza¸˜o de tempo para os dica versos equipamentos de rede. As implementa¸˜es co de m´quinas centralizadoras de logs (loghosts) e a do protocolo NTP (Network Time Protocol ), [21], devem ser feitas nesta etapa. Al´m disso, ser˜o e a discutidas as arquiteturas de honeynets e honeypots [22]. Essas arquiteturas ser˜o avaliadas do a ponto de vista de fornecedoras de material para an´lise. Procedimentos para resposta a incidentes a de seguran¸a ser˜o apresentados. c a As sess˜es dessas 6 (seis) primeiras semanas deo vem ser enriquecidas com experiˆncias em laborae t´rio nas quais os alunos realizam, entre outras, as o seguintes tarefas: • Utiliza¸˜o de ferramentas para coleta e an´ca a lise de tr´fego de rede; a • Implementa¸˜o de sistemas de detec¸˜o de ca ca intrusos e an´lise dos respectivos logs; a • Implementa¸˜o de uma firewall e an´lise dos ca a logs correspondentes; • Implementa¸˜o de um sistema centralizado ca de coleta de logs, e • Implementa¸˜o de uma hierarquia NTP. ca Em seguida, e durante as pr´ximas 5 (cinco) seo manas, ser˜o realizadas as sess˜es correspondentes a o aos trˆs A da Forense Computacional: e • Aquisi¸˜o das evidˆncias sem alterar ou conca e taminar os dados originais; • Autentica¸˜o das evidˆncias coletadas de ca e forma a comprovar que estas s˜o idˆnticas a e a `s originais apreendidas, e

103

• An´lise das evidˆncias recolhidas. a e O objetivo nessa etapa ´ apresentar situa¸˜es e co reais para que os estudantes, agora analistas forenses, desenvolvam seus trabalhos. Essas sess˜es s˜o o a baseadas nas recomenda¸˜es da RFC-3227, [23]. co Utiliza-se, tamb´m, o material escrito em portue guˆs dispon´ em [24] e as referˆncias [25, 26, 27]. e ıvel e As exposi¸˜es te´ricas dessas sess˜es tamb´m co o o e ser˜o complementadas com pr´ticas realizadas em a a laborat´rio. Atrav´s dessas pr´ticas, o estudante o e a adquire capacita¸˜o para: ca • Documentar procedimentos; • Definir o hardware necess´rio para a montaa gem da c´lula de an´lise de m´ e a ıdias; • Instalar o sistema operacional, e as ferramentas adequadas, no equipamento onde as evidˆncias ser˜o analisadas; e a • Utilizar ferramentas para: – coletar evidˆncias em mem´ria; e o – coletar evidˆncias relacionadas ao estae do dos processos, e – coletar evidˆncias relacionadas ao estae do das conex˜es de rede. o • Utilizar procedimentos para duplica¸˜o de ca m´ ıdias; • Utilizar procedimentos para preserva¸˜o das ca evidˆncias coletadas, e e

• Utilizar ferramentas para a an´lise das evia dˆncias coletadas. e

´ E importante salientar que todas as experiˆncie as em laborat´rio s˜o realizadas segundo a disponio a bilidade de cada um dos grupos de alunos e podem ter ou n˜o o acompanhamento direto, formal, do a professor. A semana seguinte ´ reservada para a abordae gem de aspectos legais e ´ticos relacionados ` Foe a rense Computacional. Essas atividades podem ser combinadas com palestras de convidados representantes de entidades encarregadas da manuten¸˜o ca da lei. Finalmente, as 3 (trˆs) ultimas semanas da dise ´ ciplina est˜o reservadas para que os alunos aprea sentem os trabalhos te´ricos e/ou pr´ticos deseno a volvidos. Todos os procedimentos propostos para a apresenta¸˜o da disciplina est˜o sumarizados na Tabeca a la 1. Pode-se observar que as 15 (quinze) semanas est˜o agrupadas em 3 (trˆs) etapas. A primeira a e etapa, constitu´ pelas 6 (seis) primeiras semaıda nas de aula, concentra as atividades relativas ` coa leta e an´lise de tr´fego de rede, implementa¸˜o a a ca de servi¸os (sistema de detec¸˜o de intrusos, fic ca rewall, loghosts, hierarquia NTP) e an´lise de logs. a A segunda etapa, com 5 (cinco) semanas de aula, corresponde a atividades relacionadas ` aquisi¸˜o, a ca autentica¸˜o e an´lise de evidˆncias. ca a e

Tabela 1: Forense Computacional: resumo dos t´picos a serem abordados o Etapa Total de Semanas 1 Atividades Planejadas Introdu¸˜o ca Contextualiza¸˜o da disciplina ca Defini¸˜o dos Grupos de Trabalho para realiza¸˜o de tarefas pr´ticas ca ca a Escolha de temas para a realiza¸˜o do Trabalho Final Individual ca TCP/IP - Protocolos TCP, UDP, ICMP, IPv4 Linux/OpenBSD como base das c´lulas de an´lise forense e a Outros sistemas operacionais Sistemas de detec¸˜o de intrusos ca Sistemas de prote¸˜o de redes e de hosts - firewalls ca M´quinas centralizadoras de logs, loghosts a Mecanismo de sincroniza¸˜o de tempo, protocolo NTP ca Utiliza¸˜o de honeynets, honeypots como fornecedoras de material ca Procedimentos para resposta a incidentes de seguran¸a c M´ ıdias digitais Procedimentos para coleta e preserva¸˜o de evidˆncias ca e Procedimentos para an´lise de evidˆncias a e Utiliza¸˜o de ferramentas e de ambientes para an´lise forense ca a Aspectos legais e ´ticos da Forense Computacional e Apresenta¸˜o dos trabalhos realizados ca 104

2 1

3

2

5 1 3

3

Na terceira etapa, com 4 (quatro) semanas de aula, s˜o discutidos aspectos ´ticos e legais pertia e nentes e s˜o apresentados os trabalhos desenvolvia dos pelos estudantes. A divis˜o em etapas dos assuntos tratados na a disciplina Forense Computacional auxilia no processo de escolha das ferramentas a serem utilizadas nos trabalhos desenvolvidos em laborat´rio. o

5

FERRAMENTAS E AMBIENTES

Para as atividades desenvolvidas em laborat´o rio, a op¸˜o ´ a utiliza¸˜o de ferramentas e ambienca e ca tes livres e de c´digo aberto por quest˜es de custos o o e, tamb´m, por estarem facilmente dispon´ e ıveis. O

c´digo aberto traz em si, ainda, a vantagem adicioo nal de possibilitar a realiza¸˜o de auditorias como ca mais uma pr´tica de ensino. a As experiˆncias de laborat´rio ser˜o realizadas e o a em m´quinas com sistemas operacionais Linux e a OpenBSD. Inicialmente, ser´ dado destaque ` utia a liza¸˜o de comandos ou utilit´rios geralmente preca a sentes nessas distribui¸˜es e que devem ser de coco nhecimento dos estudantes. Podem-se citar: ls, cd, cat, dd, mount, file, strings, ps, arp, lsof, netstat, find, strace, grep, entre outros. Tamb´m ser˜o usadas e avaliadas as ferramene a tas e os ambientes mostrados na Tabela 2. Nessa Tabela, todos os links apresentados est˜o ativos a em junho de 2003. Essas ferramentas e ambientes representam apenas uma pequena fra¸˜o do mateca rial que est´ dispon´ na Internet, [28]. a ıvel

Tabela 2: Ferramentas e Ambientes Utilizados Etapa Ferramentas e Ambientes tcpdump, libpcap ethereal nmap netcat snort chkrootkit iptables pf TCT The Sleuth Kit The Autopsy Forensic Browser trinux FIRE Knoppix Disponibilidade http://www.tcpdump.org http://www.ethereal.org http://www.insecure.org http://www.atstake.com http://www.snort.org http://www.chkrootkit.org http://www.netfilter.org http://www.benzedrine.cx/pf.html http://www.porcupine.org http://www.sleuthkit.org/sleuthkit/index.php http://www.sleuthkit.org/autopsy/index.php http://trinux.sourceforge.net/ http://fire.dmzs.com http://www.knoppix.org

1

2

Como descrito na se¸˜o anterior, a apresenca ta¸˜o da disciplina est´ dividida em etapas para ca a facilitar a escolha das ferramentas e dos ambientes a serem utilizados em laborat´rio. Na Etapa o 1, mostrada na Tabela 2, nos procedimentos de aprendizagem relativos ` coleta e an´lise de tr´fego a a a de rede, ser˜o usadas as ferramentas tcpdump e a ethereal. A ferramenta tcpdump, uma das mais destacadas na ´rea de seguran¸a, [19], ´ uma intera c e face para as funcionalidades de captura e de filtragem de pacotes que s˜o oferecidas pela biblioteca a libpcap. A biblioteca libpcap tamb´m ´ adotae e da como base para alguns sistemas de detec¸˜o de ca intrusos. O tr´fego capturado via tcpdump pode a ser analisado pelo pr´prio programa ou por uma o ferramenta auxiliar. A ferramenta auxiliar escolhida, ethereal, pode ser usada em n´ de linha ıvel de comando ou atrav´s de sua interface gr´fica. e a Ainda na primeira etapa, ser˜o usados os proa gramas nmap, netcat, snort e chkrootkit, [29].

O software nmap ´ um port scanner utilizado para e fazer auditorias e mapeamento de redes e tamb´m e serve como gerador de tr´fego interessante. Esa se tr´fego ´ capturado pelo tcpdump e analisado a e atrav´s do ethereal. O netcat ´ um utilit´rio que e e a lˆ ou escreve dados atrav´s de conex˜es de rede via e e o protocolo TCP ou UDP. Pode ser usado para fazer transferˆncias de conte´do de m´ e u ıdias de um computador para outro. O snort ´ um sistema de e detec¸˜o de intrusos. Na disciplina, ele ser´ empreca a gado para produzir logs das amea¸as geradas no lac borat´rio. O chkrootkit ´ utilizado para detectar o e a presen¸a de rootkits. Os rootkits s˜o ferramenc a tas utilizadas por atacantes ap´s comprometerem o m´quinas. a A implementa¸˜o das firewalls ser´ feita ca a usando-se o iptables nos sistemas Linux ou o pf nos sistemas OpenBSD. As t´cnicas de aquisi¸˜o, autentica¸˜o e an´lie ca ca a se das evidˆncias s˜o estudadas durante 5 (cinco) e a

105

semanas usando-se as ferramentas e os ambientes apresentados na Etapa 2 da Tabela 2. Nessa etapa, a primeira ferramenta apresentada aos estudantes ´ o TCT, The Coroner’s e Toolkit, desenvolvida por Dan Farmer e Wietse Venema. TCT ´ composto por programas para e aquisi¸˜o de dados (grave-robber) e por prograca mas para an´lise de sistemas de arquivos (unrm, a ils, icat e lazarus). O software The Sleuth Kit, anteriormente conhecido como TASK - The @stake Sleuth Kit, ´ uma cole¸˜o de ferramentas em linha de coe ca mando que permite examinar sistemas de arquivos NTFS, FAT, FFS, EXT2FS, e EXT3FS. Foi testado em diversas distribui¸˜es Linux e *BSD. Apesar co de adotar o c´digo e a arquitetura de projeto do o TCT, estende suas funcionalidades. O programa The Autopsy Forensic Browser ´ uma interfae ce gr´fica para o software The Sleuth Kit. a No decorrer do curso, o aluno utilizar´ ambiena tes autˆnomos gravados em disquetes ou em CDs o auto-execut´veis. Esses ambientes possuem um a conjunto de ferramentas que permitem a realizaca ¸˜o ou que podem auxiliar nos procedimentos de an´lise forense. Os ambiente s˜o: a a • trinux, uma distribui¸˜o Linux baseada em ca disquete que possui ferramentas que podem ser utilizadas para an´lise de tr´fego e veria a fica¸˜o de vulnerabilidades, entre outros; ca • FIRE (Forensic and Incident Response Environment Bootable CD) que, atualmente, possui 196 (cento e noventa e seis) ferramentas dispon´ ıveis, agrupadas em: – ferramentas para recupera¸˜o e an´lise ca a de dados; – ferramentas para resposta a incidentes; – ferramentas para realiza¸ao de testes de c˜ penetra¸˜o; ca – ferramentas diversas compiladas estaticamente, e – ferramentas para a descoberta de v´ ırus. • Knoppix, uma distribui¸˜o Linux de prop´ca o sito geral que pode ser adotada na fase de coleta de evidˆncias em sistemas compromee tidos. As ferramentas e os ambientes descritos ser˜o a utilizados para analisar: • os logs obtidos de sistemas em produ¸˜o ou ca gerados atrav´s de pr´ticas desenvolvidas no e a pr´prio laborat´rio; o o • as imagens de sistemas comprometidos atrav´s de experiˆncias pr´ticas realizadas em lae e a borat´rio, e o • imagens de sistemas comprometidos obtidas na Internet.

6

˜ CONCLUSOES

Apresenta-se uma proposta de formaliza¸˜o e ca de ensino da disciplina Forense Computacional. Essa disciplina pode ser enquadrada como disciplina complementar para alunos em final de curso nos cursos de gradua¸˜o de Ciˆncia da Computaca e ca ¸˜o ou de Engenharia de Computa¸˜o ou em cursos ca de p´s-gradua¸˜o dessas mesmas ´reas. A disciplio ca a na, de car´ter eminentemente pr´tico, ser´ iniciala a a mente implementada na ˆnfase em Engenharia de e Computa¸˜o e Automa¸˜o do Programa de P´sca ca o gradua¸˜o em Engenharia El´trica da Universidaca e de Federal do Rio Grande do Norte e apresentada no primeiro semestre letivo de 2004. Com essa disciplina abrem-se perspectivas de realiza¸˜o de pesquisas de novas t´cnicas em comca e puta¸˜o forense, de amplia¸˜o da cobertura ou de ca ca realiza¸˜o de auditorias em ferramentas e em ambica entes existentes, de desenvolvimento de novas ferramentas e na cria¸˜o de metodologias para a valica da¸˜o de t´cnicas e procedientos atualmente adoca e tados.

Referˆncias e
[1] D. Frinke, Who Watches the Security Educators?, IEEE Security & Privacy Magazine, Vol.1, Issue 3, pp. 56-58, May-June, 2003. [2] Digital Forensic Education, The Electronic Evidence Information Center, dispon´ ıvel em http://www.e-evidence.info/education. html em junho de 2003. [3] J.P. Craiger, A. Nicoll, B. Burnham, An Applied Course in Network Forensics, Proceedings of the Workshop for Dependable and Secure Systems, University of Idaho, Moscow, Idaho, USA, September, 2002, dispon´ ıvel em http://craiger.ist.unomaha.edu/pc/ craiger.netforensics.FINAL.pdf em junho de 2003. [4] P.L. de Geus, Instituto de Computa¸˜o da ca UNICAMP, dispon´ em http://bastion. ıvel las.ic.unicamp.br/paulo/papers/ em junho de 2003. [5] W.R. Stevens, TCP/IP Illustrated, The Protocols, Vol. 1, Addison-Wesley, 1994. [6] J.F. Kurose, K.W. Ross, Computer Networking, A Top-Down Approach Featuring the Internet, Addison-Wesley, 2001. [7] D.E. Comer, Internetworking with TCP/IP Principles, Protocols, and Architecture, Vol. 1, 3rd. Edition, Prentice-Hall, 1995.

106

[8] W. Stallings, Cryptography and Network Security, Principles and Practice, 2nd Edition, Prentice-Hall, 1999. [9] S. Garfinkel, G. Spafford, Practical Unix & Internet Security, 2nd Edition, O’Reilly & Associates, 1996. [10] C. Kaufman, R. Perlman, M. Speciner, Network Security, Private Communication in a Public World, 2nd Edition, Prentice Hall, 2002. [11] G. Palmer, A Road Map for Digital Forensic Research, Report for the First Digital Forensic Research Workshop (DFRWS), DTR-T001-01 FINAL, November 2001, dispon´ em http: ıvel //www.dfrws.org/dfrws-rm-final.pdf em junho de 2003. [12] W. Harrinson, e outros, A Lessons Learned Repository for Computer Forensics, International Journal of Digital Evidence, Fall 2002, Vol. 1, Issue 3, dispon´ ıvel em http://www. ijde.org/docs/02_fall_art1.pdf, em junho de 2003. [13] M.A. dos Reis, P. L. de Geus, Forence Computacional: Procedimentos e Padr˜es, Anais do o SSI2001, 3o . Simp´sio de Seguran¸a em Inforo c m´tica, Instituto Tecnol´gico de Aeron´utica, a o a S˜o Jos´ dos Campos, SP, Outubro de 2001, a e dispon´ em http://www.dcc.unicamp.br/ ıvel ~ra000504/ em junho de 2003. [14] J. Postel, Transmission Control Protocol, RFC-793, September, 1981, dispon´ ıvel em http://www.rfc-editor.org em junho de 2003. [15] J. Postel, User Datagram Protocol, RFC-768, August, 1980, dispon´ ıvel em http://www. rfc-editor.org em junho de 2003. [16] J. Postel, Internet Control Message Protocol, RFC-792, September, 1981, dispon´ ıvel em http://www.rfc-editor.org em junho de 2003. [17] J. Postel, Internet Protocol, RFC-791, September, 1981, dispon´ ıvel em http://www. rfc-editor.org em junho de 2003. [18] S. Northcutt, J. Novak, Network Intrusion Detection, 3rd Edition, New Riders Publishing, 2003. [19] S. Northcutt, M. Cooper, M. Fearnow, K. Frederick, Intrusion Signatures and Analysis, New Riders Publishing, 2001.

[20] E.E. Schultz, R. Shumway, Incident Response: A Strategic Guide to Handling System and Network Security Breaches, New Riders Publishing, 2002. [21] D.L. Mills, Network Time Protocol (Version 3), RFC-1305, March, 1992, dispon´ ıvel em http://www.rfc-editor.org em junho de 2003. [22] A.B. Filho e outros, Honeynet.BR: Desenvolvimento e Implanta¸ao de um Sistema pac˜ ra Avalia¸ao de Atividades Hostis na Interc˜ net Brasileira, Anais do IV Simp´sio sobre o Seguran¸a em Inform´tica, SSI2002, S˜o Joc a a s´ dos Campos, SP, pp. 19-25, Novembro de e 2002, dispon´ ıvel em http://www.lac.inpe. br/security/honeynet/#papers em junho de 2003. [23] D. Brezinski, T. Kilalea, Guidelines for Evidence Colletion and Archiving, RFC-3227, February, 2002, dispon´ ıvel em http://www. rfc-editor.org em junho de 2003. [24] M.A. dos Reis, P. L. de Geus, An´lise Foa rense de Intrus˜es em Sistemas Computacio onais: T´cnicas, Procedimentos e Ferramene tas, Anais do I Semin´rio Nacional de Per´ a ıcia em Crimes de Inform´tica, Macei´, AL, a o Novembro de 2002, dispon´ ıvel em http:// www.dcc.unicamp.br/~ra000504/ em junho de 2003. [25] W.G. Kruse, J.G. Heiser, Computer Forensics, Incident Response Essentials, AddisonWesley, 2002. [26] D. Schweitzer, Incident Response - Computer Forensics Toolkit, Wiley, 2003. [27] K. Mandia, C. Prosise, Incident Response: Investigating Computing Crime, McGraw-Hill, 2001. [28] The Ultimate Collection of Forensic Software, dispon´ ıvel em http://www.tucofs.com em junho de 2003. [29] N. Murilo, K. Steding-Jessen, M´todos para a e Detec¸ao Local de Rootkits e M´dulos de Kerc˜ o nel Maliciosos em Sistemas Unix, Anais do 3o . Simp´sio sobre Seguran¸a em Inform´tio c a ca, SSI2001, S˜o Jos´ dos Campos, SP, pp. a e 133-139, Novembro de 2001.

107