Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)
Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.
[ Hits: 66.010 ]
Por: Matuzalém Guimarães em 03/01/2009
Ferramentas para coleta de dados
Heiser; Kruse (2001) alertam que a coleta de dados é uma das etapas mais sensíveis de uma investigação forense computacional, pois nesta fase qualquer descuido por parte do investigador poderá interferir diretamente na validação das evidências coletadas.
Cagnani; Santos (2008) defendem que o tipo de dado envolvido no incidente que está sendo investigado, também é importante na determinação do tipo de análise e ferramentas que serão utilizadas na perícia. Os autores sugerem dois tipos de dados a serem investigados, os dados voláteis e os não-voláteis, estes podem ser observados na tabela 1.
Tabela 1 - Dados Voláteis e Não-Voláteis / adaptado Cagnani; Santos (2008)
São considerados voláteis segundo os autores todos os dados não gravados em algum tipo de mídia permanente, ou seja, os dados que são gerados em tempo de execução, que serão perdidos se a máquina envolvida for desligada. E são considerados como dados não-voláteis, todos os dados gravados de forma permanente ou não em algum tipo de mídia, ou seja, os dados que mesmo que sejam considerados temporários pelo Sistema que ainda estejam gravados em disco, podendo ser recuperados depois que a máquina seja desligada.
Para a coleta de dados voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 2.
Tabela 2 - Ferramentas para coleta de dados voláteis / adaptado de Cagnani; Santos (2008)
E para coleta de dados não voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 3.
Cagnani; Santos (2008) defendem que o tipo de dado envolvido no incidente que está sendo investigado, também é importante na determinação do tipo de análise e ferramentas que serão utilizadas na perícia. Os autores sugerem dois tipos de dados a serem investigados, os dados voláteis e os não-voláteis, estes podem ser observados na tabela 1.
Tabela 1 - Dados Voláteis e Não-Voláteis / adaptado Cagnani; Santos (2008)
Para a coleta de dados voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 2.
Tabela 2 - Ferramentas para coleta de dados voláteis / adaptado de Cagnani; Santos (2008)
Páginas do artigo
1. Indícios da invasão2. Ferramentas para coleta de dados
3. Análise dos dados
4. Identificação do invasor
5. Referências
Outros artigos deste autor
Monitoramento de redes com o Zenoss
Scanners de portas e de vulnerabilidades
Instalando Free Pascal Compiler no Ubuntu
Estudantes de computação e o Linux/Unix
Leitura recomendada
Solução de backup para servidores Windows, Linux & BSD’s
Snort avançado: Projetando um perímetro seguro
Comentários
[2] Comentário enviado por y2h4ck em 06/01/2009 - 09:20h
Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:
- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.
Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)
[]s
Anderson
Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:
- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.
Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)
[]s
Anderson
[3] Comentário enviado por matux em 06/01/2009 - 13:34h
Olá Anderson,
Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.
Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.
2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.
3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.
Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!
Olá Anderson,
Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.
Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.
2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.
3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.
Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!
[4] Comentário enviado por edipo.magrelo em 08/01/2009 - 11:25h
Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura
Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Instalando partes faltantes do Plasma 6
Adicionar botão "mostrar área de trabalho" no Zorin OS
Como montar um servidor de backup no linux
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 108.319 pts -
Fábio Berbert de Paula
2° lugar - 71.293 pts -
Mauricio Ferrari
3° lugar - 22.591 pts -
Alberto Federman Neto.
4° lugar - 20.550 pts -
edps
5° lugar - 20.385 pts -
Andre (pinduvoz)
6° lugar - 19.395 pts -
Buckminster
7° lugar - 19.204 pts -
Daniel Lara Souza
8° lugar - 18.732 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 18.235 pts -
Diego Mendes Rodrigues
10° lugar - 14.930 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
