Escolar Documentos
Profissional Documentos
Cultura Documentos
RESUMO
A caracterı́stica das informações que devem ser disponibilizadas torna o ensino de disciplinas
relacionadas com segurança de redes um desafio bastante interessante. Este trabalho descreve uma
proposta de formalização e de ensino da disciplina Forense Computacional. Essa proposta apresenta
uma disciplina flexı́vel, prática, que amplia a formação dos estudantes de Ciência da Computação
e de Engenharia de Computação e os prepara para atuar em um mercado promissor e carente de
especialistas.
ABSTRACT
Courses dealing with computer or network security present extremely interesting challenges due
to the nature of the information that is handled. This paper presents a proposal for development
and implementation of a course in Computer Forensics. This project introduces a course that is both
flexible and practical while broadening the preparation of students in Computer Science and Computer
Engineering in order to prepare them for work in an area that is very promising but has a shortage
of specialists.
Total de
Etapa Atividades Planejadas
Semanas
Introdução
Contextualização da disciplina
1
Definição dos Grupos de Trabalho para realização de tarefas práticas
Escolha de temas para a realização do Trabalho Final Individual
TCP/IP - Protocolos TCP, UDP, ICMP, IPv4
2 Linux/OpenBSD como base das células de análise forense
1 Outros sistemas operacionais
Sistemas de detecção de intrusos
Sistemas de proteção de redes e de hosts - firewalls
Máquinas centralizadoras de logs, loghosts
3
Mecanismo de sincronização de tempo, protocolo NTP
Utilização de honeynets, honeypots como fornecedoras de material
Procedimentos para resposta a incidentes de segurança
Mı́dias digitais
Procedimentos para coleta e preservação de evidências
2 5
Procedimentos para análise de evidências
Utilização de ferramentas e de ambientes para análise forense
1 Aspectos legais e éticos da Forense Computacional
3
3 Apresentação dos trabalhos realizados
104
Na terceira etapa, com 4 (quatro) semanas de código aberto traz em si, ainda, a vantagem adicio-
aula, são discutidos aspectos éticos e legais perti- nal de possibilitar a realização de auditorias como
nentes e são apresentados os trabalhos desenvolvi- mais uma prática de ensino.
dos pelos estudantes. As experiências de laboratório serão realizadas
A divisão em etapas dos assuntos tratados na em máquinas com sistemas operacionais Linux e
disciplina Forense Computacional auxilia no pro- OpenBSD. Inicialmente, será dado destaque à uti-
cesso de escolha das ferramentas a serem utilizadas lização de comandos ou utilitários geralmente pre-
nos trabalhos desenvolvidos em laboratório. sentes nessas distribuições e que devem ser de co-
nhecimento dos estudantes. Podem-se citar: ls,
cd, cat, dd, mount, file, strings, ps, arp, lsof,
5 FERRAMENTAS E AM- netstat, find, strace, grep, entre outros.
BIENTES Também serão usadas e avaliadas as ferramen-
tas e os ambientes mostrados na Tabela 2. Nessa
Para as atividades desenvolvidas em laborató- Tabela, todos os links apresentados estão ativos
rio, a opção é a utilização de ferramentas e ambien- em junho de 2003. Essas ferramentas e ambientes
tes livres e de código aberto por questões de custos representam apenas uma pequena fração do mate-
e, também, por estarem facilmente disponı́veis. O rial que está disponı́vel na Internet, [28].
Como descrito na seção anterior, a apresen- O software nmap é um port scanner utilizado para
tação da disciplina está dividida em etapas para fazer auditorias e mapeamento de redes e também
facilitar a escolha das ferramentas e dos ambien- serve como gerador de tráfego interessante. Es-
tes a serem utilizados em laboratório. Na Etapa se tráfego é capturado pelo tcpdump e analisado
1, mostrada na Tabela 2, nos procedimentos de através do ethereal. O netcat é um utilitário que
aprendizagem relativos à coleta e análise de tráfego lê ou escreve dados através de conexões de rede via
de rede, serão usadas as ferramentas tcpdump e protocolo TCP ou UDP. Pode ser usado para fa-
ethereal. A ferramenta tcpdump, uma das mais zer transferências de conteúdo de mı́dias de um
destacadas na área de segurança, [19], é uma inter- computador para outro. O snort é um sistema de
face para as funcionalidades de captura e de filtra- detecção de intrusos. Na disciplina, ele será empre-
gem de pacotes que são oferecidas pela biblioteca gado para produzir logs das ameaças geradas no la-
libpcap. A biblioteca libpcap também é adota- boratório. O chkrootkit é utilizado para detectar
da como base para alguns sistemas de detecção de a presença de rootkits. Os rootkits são ferramen-
intrusos. O tráfego capturado via tcpdump pode tas utilizadas por atacantes após comprometerem
ser analisado pelo próprio programa ou por uma máquinas.
ferramenta auxiliar. A ferramenta auxiliar esco- A implementação das firewalls será feita
lhida, ethereal, pode ser usada em nı́vel de linha usando-se o iptables nos sistemas Linux ou o pf
de comando ou através de sua interface gráfica. nos sistemas OpenBSD.
Ainda na primeira etapa, serão usados os pro- As técnicas de aquisição, autenticação e análi-
gramas nmap, netcat, snort e chkrootkit, [29]. se das evidências são estudadas durante 5 (cinco)
105
semanas usando-se as ferramentas e os ambientes 6 CONCLUSÕES
apresentados na Etapa 2 da Tabela 2.
Nessa etapa, a primeira ferramenta apresen- Apresenta-se uma proposta de formalização e
tada aos estudantes é o TCT, The Coroner’s de ensino da disciplina Forense Computacional.
Toolkit, desenvolvida por Dan Farmer e Wietse Essa disciplina pode ser enquadrada como disci-
Venema. TCT é composto por programas para plina complementar para alunos em final de curso
aquisição de dados (grave-robber) e por progra- nos cursos de graduação de Ciência da Computa-
mas para análise de sistemas de arquivos (unrm, ção ou de Engenharia de Computação ou em cursos
ils, icat e lazarus). de pós-graduação dessas mesmas áreas. A discipli-
O software The Sleuth Kit, anteriormente na, de caráter eminentemente prático, será inicial-
conhecido como TASK - The @stake Sleuth mente implementada na ênfase em Engenharia de
Kit, é uma coleção de ferramentas em linha de co- Computação e Automação do Programa de Pós-
mando que permite examinar sistemas de arquivos graduação em Engenharia Elétrica da Universida-
NTFS, FAT, FFS, EXT2FS, e EXT3FS. Foi testa- de Federal do Rio Grande do Norte e apresentada
do em diversas distribuições Linux e *BSD. Apesar no primeiro semestre letivo de 2004.
de adotar o código e a arquitetura de projeto do Com essa disciplina abrem-se perspectivas de
TCT, estende suas funcionalidades. O programa realização de pesquisas de novas técnicas em com-
The Autopsy Forensic Browser é uma interfa- putação forense, de ampliação da cobertura ou de
ce gráfica para o software The Sleuth Kit. realização de auditorias em ferramentas e em ambi-
No decorrer do curso, o aluno utilizará ambien- entes existentes, de desenvolvimento de novas fer-
tes autônomos gravados em disquetes ou em CDs ramentas e na criação de metodologias para a vali-
auto-executáveis. Esses ambientes possuem um dação de técnicas e procedientos atualmente ado-
conjunto de ferramentas que permitem a realiza- tados.
ção ou que podem auxiliar nos procedimentos de
análise forense. Os ambiente são:
[13] M.A. dos Reis, P. L. de Geus, Forence Compu- [24] M.A. dos Reis, P. L. de Geus, Análise Fo-
tacional: Procedimentos e Padrões, Anais do rense de Intrusões em Sistemas Computaci-
SSI2001, 3o . Simpósio de Segurança em Infor- onais: Técnicas, Procedimentos e Ferramen-
mática, Instituto Tecnológico de Aeronáutica, tas, Anais do I Seminário Nacional de Perı́-
São José dos Campos, SP, Outubro de 2001, cia em Crimes de Informática, Maceió, AL,
disponı́vel em http://www.dcc.unicamp.br/ Novembro de 2002, disponı́vel em http://
~ra000504/ em junho de 2003. www.dcc.unicamp.br/~ra000504/ em junho
[14] J. Postel, Transmission Control Protocol, de 2003.
RFC-793, September, 1981, disponı́vel em
http://www.rfc-editor.org em junho de [25] W.G. Kruse, J.G. Heiser, Computer Foren-
2003. sics, Incident Response Essentials, Addison-
Wesley, 2002.
[15] J. Postel, User Datagram Protocol, RFC-768,
August, 1980, disponı́vel em http://www. [26] D. Schweitzer, Incident Response - Computer
rfc-editor.org em junho de 2003. Forensics Toolkit, Wiley, 2003.
[16] J. Postel, Internet Control Message Proto-
col, RFC-792, September, 1981, disponı́vel [27] K. Mandia, C. Prosise, Incident Response: In-
em http://www.rfc-editor.org em junho vestigating Computing Crime, McGraw-Hill,
de 2003. 2001.
[17] J. Postel, Internet Protocol, RFC-791, Sep- [28] The Ultimate Collection of Forensic Software,
tember, 1981, disponı́vel em http://www. disponı́vel em http://www.tucofs.com em
rfc-editor.org em junho de 2003. junho de 2003.
[18] S. Northcutt, J. Novak, Network Intrusi-
[29] N. Murilo, K. Steding-Jessen, Métodos para a
on Detection, 3rd Edition, New Riders Pu-
Detecção Local de Rootkits e Módulos de Ker-
blishing, 2003.
nel Maliciosos em Sistemas Unix, Anais do
[19] S. Northcutt, M. Cooper, M. Fearnow, K. 3o . Simpósio sobre Segurança em Informáti-
Frederick, Intrusion Signatures and Analysis, ca, SSI2001, São José dos Campos, SP, pp.
New Riders Publishing, 2001. 133-139, Novembro de 2001.
107