A cada dia novas técnicas sofisticadas são desenvolvidas para comprometer sistemas. Com isso mais e mais ferramentas são lançadas na internet e qualquer pessoa com o mínimo conhecimento sobre o assunto consegue explorar com facilidade vulnerabilidades em servidores de empresas.

Isso nos retorna ao modus operandi, que do latin significa "modo de operação". Utilizamos o modus operandi para identificar níveis de conhecimento entre possíveis invasores. Quanto mais alto o modus operandi, mais difícil recolher informações periciais válidas sobre sua invasão.

Em geral uma simplificação do Modus Operandi de todo invasor:

1. Procurar alvo em potencial;
2. Identificar alvo;
3. Levantar falhas para acessar o alvo;
4. Exploração da falha;
5. Escalada de privilégios dentro do alvo para obtenção de uid=0;
6. Tornar-se invisível;
7. Reconhecimento inicial;
8. Instalação de backdoors para futuro acesso;
9. Limpeza de rastros;
10. Acesso pela backdoor e reconhecimento profundo do sistema.

O nível em que o invasor consegue executar o modus operandi é essencial para a perícia forense, pois tudo vai depender da quantidade de rastros que esse deixar de sua passagem pela máquina alvo.

Vamos definir alguns níveis de modus operandi para que possamos ter uma breve noção:

Como vimos na tabela acima, vai depender do modus operandi do invasor para determinarmos o sucesso de nossa pericia no sistema. Página anterior     Próxima página Páginas do artigo    1. Introdução    2. Análise pericial    3. Análise física    4. Modus Operandi    5. Links e ferramentas Outros artigos deste autor OpenVZ: Virtualização para servidores Linux Race condition - vulnerabilidades em suids Libsafe: Protegendo Linux contra Smashing Overflow SECtool - Análise Local para Linux Análise passiva (parte 2) Leitura recomendada Analizando os logs do IPTables Usuário especial para desligar servidores Linux Segurança da Informação no Brasil, qual é nossa realidade? IPtables e seus módulos Snort em modo defensivo com Flex Response 2    Comentários [1] Comentário enviado por norrinradd em 25/03/2004 - 11:32h Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. 0 0 × Editar post Mensagem Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. Gravar [2] Comentário enviado por norrinradd em 25/03/2004 - 11:35h Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. 0 0 × Editar post Mensagem Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. Gravar [3] Comentário enviado por y2h4ck em 25/03/2004 - 11:53h Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros.. Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda. Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia. 0 0 × Editar post Mensagem Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros.. Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda. Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia. Gravar [4] Comentário enviado por jllucca em 25/03/2004 - 14:46h excelente o artigo! []'s 0 0 × Editar post Mensagem excelente o artigo! []'s Gravar [5] Comentário enviado por davi182 em 26/03/2004 - 07:36h Muito bom! Parabéns! :) (ainda mais pra um viciado em CSI como eu hehehe) 0 0 × Editar post Mensagem Muito bom! Parabéns! :) (ainda mais pra um viciado em CSI como eu hehehe) Gravar [6] Comentário enviado por ryu em 07/06/2004 - 23:15h estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido 0 0 × Editar post Mensagem estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido Gravar [7] Comentário enviado por __OZzy__ em 11/07/2004 - 17:44h Aeee Bom lembra que tem um grupo de discussão sobre o temo http://br.groups.yahoo.com/group/PericiaForense/ []´x 0 0 × Editar post Mensagem Aeee Bom lembra que tem um grupo de discussão sobre o temo http://br.groups.yahoo.com/group/PericiaForense/ []´x Gravar [8] Comentário enviado por dudu_away em 18/09/2004 - 10:20h Aí kra.... mto bom msm seu artigo..... Parabéns.... 0 0 × Editar post Mensagem Aí kra.... mto bom msm seu artigo..... Parabéns.... Gravar [9] Comentário enviado por juantech em 12/10/2004 - 16:09h Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos). Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias. []'s Jairo Willian 0 0 × Editar post Mensagem Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos). Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias. []'s Jairo Willian Gravar [10] Comentário enviado por y2h4ck em 12/10/2004 - 20:42h Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim... se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :) então falou ae filhote ... 0 0 × Editar post Mensagem Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim... se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :) então falou ae filhote ... Gravar [11] Comentário enviado por removido em 23/11/2007 - 14:35h Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =) 0 0 × Editar post Mensagem Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =) Gravar [12] Comentário enviado por kalib em 08/01/2008 - 17:11h Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;] 0 0 × Editar post Mensagem Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;] Gravar Contribuir com comentário Enviar Patrocínio Site hospedado pelo provedor RedeHost. Destaques Atenção a quem posta conteúdo de dicas, scripts e tal (2) Agora temos uma assistente virtual no fórum!!! (247) Links importantes de usuários do VOL (3) Artigos Instalar certificado digital Safesign, fornecido pela Certisign e utilizado pela OAB-SP, em qualquer distribuição Linux usando distrobox Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg Criatividade para TI parte 1 Melhorando o tempo de boot do Fedora e outras distribuições Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46 Dicas Como Atualizar Fedora 39 para 40 Instalar Google Chrome no Debian e derivados Consertando o erro do Sushi e Wayland no Opensuse Leap 15 Instalar a última versão do PostgreSQL no Lunix mantendo atualizado Flathub na sua distribuição Linux e comandos básicos de gerenciamento Tópicos Mikrotik dhcp server (6) Microfone do meu headset não é recinhecido. Meu notebook é um Acer Asp... (12) Atenção a quem posta conteúdo de dicas, scripts e tal (2) Impressora Canon Ip 1800 (Drivers) 64 bit (7) ASRock H310CM-HG4 vs Linux (16) Top 10 do mês Xerxes 1° lugar - 75.798 pts Fábio Berbert de Paula 2° lugar - 60.936 pts Clodoaldo Santos 3° lugar - 47.082 pts Buckminster 4° lugar - 26.790 pts Sidnei Serra 5° lugar - 26.400 pts Daniel Lara Souza 6° lugar - 18.523 pts Alberto Federman Neto. 7° lugar - 18.142 pts Mauricio Ferrari 8° lugar - 17.978 pts Diego Mendes Rodrigues 9° lugar - 16.112 pts edps 10° lugar - 15.562 pts Scripts [Python] Adicione a opção Redimensionar e rotacionar imagens ao Nautilus [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse [Shell Script] Script para criar certificados de forma automatizada no OpenVpn [Shell Script] Conversor de vídeo com opção de legenda [C/C++] BRT - Bulk Renaming Tool A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda. FAQ - Perguntas frequentes Estatísticas do site Equipe de moderadores Membros da comunidade Anuncie Contato Política de privacidade Quem somos Termos de uso Site hospedado por: Descrição Habilidade Evidências Clueless Praticamente nenhuma Todas atividades são bastante aparentes Script kiddie Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits. Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo. Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros. Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema. Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware. Não deixa evidencias úteis. Pode comprometer totalmente o sistema.