Criar um Site Grátis Fantástico
 


Total de visitas: 5343

Tutorial 6

O que é forense?

O que é forense computacional?

Forense computacional é a coleta de dados e evidências digitais a fim de comprovar o comprometimento de um sistema e ou ambiente. Para podermos comprovar o comprometimento de um ambiente e ou sistema precisamos coletar algumas informações e tomar algumas medidas tais como: Visualização do ambiente no estado anterior ao incidente de segurança, verificação física do objeto da analise como o estado de comunicação, serviços e utilização de memória e disco, vale ressaltar que todas as ações devem ser tomadas de forma a não alterar o estado do sistema e todas as evidências devem ser preservadas.

Analise Forense – Uma visão simplificada

O avanço da tecnologia permitiu diversas facilidades para nossas vidas, como fazer compras pela internet, acessar sua conta bancária e etc, com isso surgiu uma outra modalidade de crime os chamados Cyber Crimes, ou crimes cometidos por computador, nesses crimes não há cadáveres, não temos impressões digitais e nem um outros dados de analise forense comuns, temos apenas um computador as evidencias e rastros estão todas neles.

Analisando os dados

Para fazermos nossos analises precisamos coletar diversos dados tais como: Logs do sistema, todas as urls encontradas, todos os endereços pesquisados, recuperar arquivos apagados e etc, sempre tendo o cuidado de espelhar o HD em que se está examinando afim de preservar a integridade das provas, que não podem ser alteradas em nenhuma hipótese.

Procurando por provas

Vamos usar como base um ataque a um Web server, para ficar mais simples, supomos que um servidor Windows 2000 teve seu Web Server IIS(Internet Information Services), invadido. O local padrão para os logs do IIS é C:WINNTSystem32LogfilesW3SVC1 o formato padrão é o W3C Extended Log File Format, vejamos mais detalhes abaixo:

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2006-01-20 15:30:00
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
15:30:00 200.150.175.18 GET /index.asp 200 HTTP/1.0

O log acima mostra a versão do softwares Microsoft IIS 5.0, analisando o log vemos que foi um acesso em 20 de janeiro de 2006 as 15:00 do IP 200.150.175.18 um pedido GET para a index.asp que foi atendido com êxito (estatus 200 OK), e também sabemos a versão do HTTP do cliente 1.0.

O Estatus HTTP funciona da seguinte forma, qualquer estatus entre 200 e 299 informam que a solicitação foi atendida com êxito, estatus entre 300 e 399 informam que o cliente precisa tomar alguma ação para que a solicitação seja atendida. estatus entre 400 e 599 mostram algum tipo de erro que pode ser do cliente ou do servidor. Se quiser saber exatamente o que significa cada código de solicitação de uma pesquisada na internet, não é difícil encontrar.

A invasão

Dia 22 de janeiro de 2006 entre 20:00 e 21:30, um site foi invadido e teve sua página principal desconfigurada, era um servidor Web IIS 5.0 rodando sob Windows 2000 Server o administrador do servidor está preocupado pois haviam informações valiosas naquele servidor, ele contrata você para fazer uma investigação e descobrir como o invasor conseguiu entrar e que informações ele pegou do servidor.

A investigação

Você cuidadosamente espelha o HD da máquina atacada de modo a proteger a integridade dos dados, e começa a verificar os logs do servidor de 2 a 3 dias antes do ocorrido, o motivo? Procurar atividades suspeitas como um scanner de vulnerabilidades, espelhamento de site e etc, geralmente um criminoso, estuda antes o sistema a ser invadido, criminosos mais experientes podem levar ate meses para concretizar uma invasão, fazendo diversos analises e estudos do sistema alvo, evitando assim ao máximo sua detecção.

Você começa analisando os logs e descobre que dia 20 de Janeiro de 2006 por volta das 01:00 a muitos pedidos de uma mesma origem (IP 200.150.15.170) em um curtíssimo intervalo de tempo, como mostrado abaixo:

2006-01-20 01:01:05 200.150.15.170 GET / 401
2006-01-20 01:01:05 200.150.15.170 GET /index.asp 200
2006-01-20 01:01:05 200.150.15.170 GET /produtos.asp 200
2006-01-20 01:01:06 200.150.15.170 GET /images/fundo.jpg 200
2006-01-20 01:01:07 200.150.15.170 GET /images/logo.jpg 200
2006-01-20 01:01:08 200.150.15.170 GET /images/principal.jpg 200
2006-01-20 01:01:08 200.150.15.170 GET /images/banner.gif 200

Provavelmente o criminoso espelhou o site para poder analisá-lo com mais calma off-line. Indo mais um pouco a frente descobrimos que no dia 21 de Janeiro de 2006 um dia antes do ataque o criminoso varre o sistema em busca de alguma vulnerabilidade conhecida, observe o log abaixo.

2006-01-21 08:23:13 200.150.15.170
Criar uma Loja online Grátis  -  Criar um Site Grátis Fantástico  -  Criar uma Loja Virtual Grátis  -  Criar um Site Grátis Profissional