Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.

[ Hits: 61.974 ]

Por: Matuzalém Guimarães em 03/01/2009


Referências



MURILO, Nelson ; STEDING-JESSEN, Klaus; MÉTODOS PARA DETECÇÃO LOCAL DE ROOTKITS E MÓDULOS DE KERNEL MALICIOSOS EM SISTEMAS UNIX. Disponível em:
http://www.chkrootkit.org/papers/chkrootkit-ssi2001.pdf
Acessado em 01 de dezembro de 2008 às 00:09.

BORCHARDT, Mauro Augusto; Uma Arquitetura para a Autenticação Dinâmica de Arquivos. Dissertação (Mestrado) - Pontifícia Universidade Católica do Paraná; 2002 disponível em:
http://www.ppgia.pucpr.br/teses/DissertacaoPPGIa-MauroBorchardt-112002.pdf
Acessado em 29 de novembro de 2008 às 21:53

NEMETH, Evi; SNYDER, Garth; SEEBASS, Scaott; HEIN, Trent R.; Manual de Administração do Sistema UNIX; 3ª Edição, Traduzida, Artmed Editora S.A: 2001.

HEISER, Jay G.; KRUSE, Warren G. II; Computer Forensics Incident Response Essentials. Addison-Wesley: New York, 2001.

CAGNANI, Caio; SANTOS, Valdecir de Deus dos; Computação Forense: Fundamentos. Universidade do Vale do Rio dos Sinos; UNISINOS; disponível em:
http://www.exatec.unisinos.br/~glaucol/arquivos/Artigo_-_Forense(Caio_e_Valdecir).pdf
Acessado em 30 de novembro de 2008.

JUNIOR, Arnaldo Candido; SAÚDE, Almir Moreira; CANSIAN, Adriano Mauro; Técnicas e Ferramentas Utilizadas em Análise Forense. Disponível em:
ftp://[email protected]/pub/gts/gts0205/05-tech-tools-forensics.pdf
Acessado em 30 de novembro de 2008, as 21:27.

CSIRT, Security Incident Response Team; RNP, Rede Nacional de Pesquisa; Analisadores de Log. Disponível em:
http://homepages.dcc.ufmg.br/~marcsg/Arquivos/apres_logs.pdf
Acessado em 30 de novembro de 2008 às 23:10.

FARMER, Dan; VENEMA, Wietse; Forensic Discovery; Addison-Wesley Professional; 1ª edição, 2005.

SOLHA, Liliana Esther Velásquez Alegre; Os Logs como Ferramenta de Detecção de Intrusão. Boletim bimestral sobre tecnologia de redes produzido e publicado pela Rede Nacional de Ensino e Pesquisa (RNP), 19 de maio de 1999, volume 3, número 3. Disponível em:
http://www.rnp.br/newsgen/9905/logs.html
Acessado em 01 de dezembro de 2008 às 00:19.

Página anterior    

Páginas do artigo
   1. Indícios da invasão
   2. Ferramentas para coleta de dados
   3. Análise dos dados
   4. Identificação do invasor
   5. Referências
Outros artigos deste autor

Segurança da Informação na Internet

Scanners de portas e de vulnerabilidades

NFS rápido e direto usando Slackware 12

Monitoramento de redes com o Zenoss

Estudantes de computação e o Linux/Unix

Leitura recomendada

Instalando um firewall em ambientes gráficos leves

Detectando possíveis trojans e lkms em seu servidor

Detectando vulnerabilidades com o Nessus

O phishing e uma análise forense

Notificação Fail2ban pelo Telegram

  
Comentários
[1] Comentário enviado por brevleq em 05/01/2009 - 14:47h

Muito bom!!

[2] Comentário enviado por y2h4ck em 06/01/2009 - 09:20h

Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:

- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.

Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)


[]s

Anderson

[3] Comentário enviado por matux em 06/01/2009 - 13:34h

Olá Anderson,

Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.

Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.

2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.

3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.

Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!

[4] Comentário enviado por edipo.magrelo em 08/01/2009 - 11:25h

Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura

[5] Comentário enviado por eisen em 21/05/2009 - 09:34h

Muito bom mesmo, rápido e direto.
Parabéns.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts