Computação Forense - Entendendo uma perícia

Neste artigo conheceremos um pouco mais sobre uma perícia forense e um pouco sobre ataques e técnicas de rastreabilidade.

[ Hits: 35.028 ]

Por: André em 23/03/2010 | Blog: http://127.0.0.1


A busca



Ok, após realizarmos parte da busca entramos alguém que usa como apelido "def4c3r", só que não temos certeza se esta realmente é a pessoa que estamos procurando, agora, vamos filtrar um pouco e fazer uma busca mais detalhada sobre esta pessoa achada, para termos certeza do que estamos fazendo.

Podemos agora, buscar sobre informações sobre esta pessoa, algo como:

Procurar descobrir o histórico da pessoa na WEB (se tem ligação profunda com informática, se gosta deste tipo de coisa...).

Tentar se aproximar e fazer uma amizade para descobrir o máximo de informações possíveis.

Verificar em fóruns para verificar se o usuário tem contato com esse lado da informática (Blackhat, deface, cracking...).

Depois de descobrir bastante coisa sobre a pessoa, vamos agora ter certeza:
  • Verificar o endereço de IP nos logs
  • Descobrir a localidade e o provedor que o usuário utiliza
  • Entrar em contato com o provedor a procura de informações sobre o usuário (tenha uma autorização)

Daí assim que lemos "Verificar o endereço de IP nos logs" surge a pergunta:

"E se o cracker estiver usando proxy?"

R: Existem ferramentas forenses para identificar o IP real do suspeito, independente de proxy público ou não (da mesma forma que existem técnicas anti-forense para ocultar rastros, mas não vem ao caso agora).

Meu site foi invadido, o que devo fazer?

Não mexa em nada, pois esta será a cena do crime e será onde o perito analisará a procura de pistas para chegar até o atacante (ler na página 1 do artigo).

Por segurança, tenha sempre um backup dos seus arquivos no servidor, como: páginas, programas hospedados, banco de dados etc.

Chegamos até a casa do suspeito, e agora?

Realizando todo o trabalho da perícia e todo o processo investigativo, que pode demorar meses e até anos após termos realmente certeza se o rastro que estamos seguindo é mesmo do criminoso que estamos procurando, vamos agora analisar a outra cena, que chamaremos de "arma do crime", que é de onde partiu o ataque (casa do suspeito).

Vamos começar "sacando" as nossas ferramentas forenses para verificar qual tipo de ferramenta foi utilizada, algo como:
  • Scanners de vulnerabilidade
  • Scanners de porta
  • Ferramentas para ataque (brute force, por exemplo)
  • Dicionários de senhas ou world list
  • Exploits
  • Entre outros, a lista é grande!

Procuraremos no registro, caso haja, logs do bash:

/home/usuário/.bash_history

Ou do root, é claro: ;)

/root/.bash_history

No Windows podemos verificar no Regedit, no "C:\arquivos de programas..." aquela coisa toda, para vermos se tem algum diretório de algum programa cracker, que talvez o suspeito tenha desinstalado, mas tenha ficado algo para trás.

Os registros que poderiam incriminar o suspeito foram deletados! E agora?

Existem ferramentas forenses que permitem recuperar dados e arquivos deletados, estas ferramentas fazer uma "varredura pente fino" no HD.

Podemos citar algumas destas ferramentas como:

TheSleuthKit e Autopsy - Fazem uma análise no sistema de arquivos e podem ser utilizadas para determinar se será necessária uma providência e onde.

FileScavenger - Bem útil e prático.

Foremost - Bom, porém um pouco mais limitado que os outros, mas faz o que promete, quando é para recuperar estes arquivos deletados, independente da extensão e tipo. E também faz uma varredura pelo disco e não simplesmente se baseia pela lista de arquivos. Os nomes vêm, então, inventados, pois ele não utiliza a tal lista de arquivos.

ff3hr - Recupera o histórico do Firefox, que é bem útil em uma perícia. Eu já até postei uma dica sobre ele:
Porque recuperar/analisar o histórico do navegador?

Podemos verificar se o suporto atacante visitou o site invadido, antes, depois ou no dia do ataque ocorrido.

É isso, com essas informações obtidas, poderíamos ter certeza se este era o tal vândalo vulgo "def4c3r", e, poderíamos levá-lo a justiça para que seja tomada as opções cabíveis.

Obs.: Isto foi só uma breve introdução sobre como funciona e ocorre uma perícia Forense, não há qualquer forma de garantia.

Espero que tenham gostado da leitura, desculpem qualquer erro ou coisa do tipo.

Página anterior    

Páginas do artigo
   1. Introdução
   2. A busca
Outros artigos deste autor

Introdução ao Fortran (parte 1)

Instalando o Debian em uma máquina virtual (VirtualBox)

OpenSUSE - Uma ótima opção de distribuição

Introdução ao Anonimato na Web - Web Anonimity

lib cURL - Trabalhe com URLs em C

Leitura recomendada

Análise passiva (parte 2)

Metasploit Exploitation

ProFTPD + ClamAV - FTP livre de vírus

wlmproxy - um proxy superior

Debian Sarge + Snort + MySQL + Acidlab + Apache

  
Comentários
[1] Comentário enviado por valterrezendeeng em 23/03/2010 - 12:55h

Bom Artigo.

Da uma boa visão geral.

Gostaria de mais informações de como colocar " a mão na massa"


[2] Comentário enviado por andrezc em 23/03/2010 - 22:40h

Olá Valter,

nos próximos artigos sobre Forense, estarei aprofundando mais nas ferramentas e na prática.

Abraços.

[3] Comentário enviado por removido em 23/03/2010 - 22:44h

Pra quem quiser brincar:

http://www.fdtk.com.br/wordpress/

Não vou opiniar pois nunca tirei tempo pra testar, mas fica a dica.

[4] Comentário enviado por hugutux em 24/03/2010 - 11:50h

muito bom isso, da pra ter um conhecimento legal de como as coisas funcionam nesses casos!

[5] Comentário enviado por VoraZBR em 24/03/2010 - 14:31h

Interessantíssimo seu artigo amigo,

Com certeza vai ser de grande esclarecimento para o pessoal mais leigo em forense.


[]'s

[6] Comentário enviado por andrezc em 24/03/2010 - 20:43h

Olá Hugo, VoraZBR.

Fico feliz que tenham gostado do artigo e do tema do mesmo. Em breve estarei escrevendo mais sobre o assunto, um abraço.

[7] Comentário enviado por fnx-15 em 24/03/2010 - 20:47h

eu nao entendo muito mais me ajudou a coonprender mais o forense

[8] Comentário enviado por andrezc em 24/03/2010 - 21:50h

Olá Maikon;

Fico feliz que tenha gostado do artigo, em breve, como eu havia dito, mais artigos sobre Forense computacional.

[9] Comentário enviado por izaias em 27/03/2010 - 11:31h

Investigadores computacionais sempre devem estar à frente, avançando.
Esses fraudadores profissionais ganham a vida assim, verdadeiros parasitas sociais.

Parabéns Júnior!!!

[10] Comentário enviado por removido em 27/03/2010 - 13:28h

Infelizmente, nossa constituição não caracteriza todos os tipos de crime virtuais, então nem sempre é possível punir alguém que nos causou danos materiais como perda de dados ou destruição de uma web-page. Por isso, é preciso se defender o máximo possível e esperar nunca ter que usar a computação forense, que normalmente é utilizada após o dano ter sido feito.

[11] Comentário enviado por #essence. em 30/03/2010 - 19:02h

Parabéns pelo artigo!

Esses artigos são o que me influenciam cada vez mais a seguir an área de segurança!
Acho uma pena não termos uma lei específica para esse tipo de crime e tantos outros crimes virtuais. Agora que o Brasil está dando seus primeiros passos na Segurança da Informação e com certeza bons profissionais será essencial!

[12] Comentário enviado por fernandopinheiro em 07/07/2010 - 17:36h

Parabens pelo artigo, Bem simples mas com bom conteudo!!

[13] Comentário enviado por danilobs em 03/01/2011 - 20:37h

Ótimo artigo, concordo com o fernandopinheiro, embora seja simples é muito explicativo.

Muito bom!

Abraço!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts