0

WAGNER DE PAULA RODRIGUES

ANLISE PERICIAL EM SISTEMA OPERACIONAL MS-WINDOWS 2000

LONDRINA-PR 2004

WAGNER DE PAULA RODRIGUES

ANLISE PERICIAL EM SISTEMA OPERACIONAL MS-WINDOWS 2000

Monografia apresentada ao Curso de Especializao em Redes de Computadores e Comunicao de Dados, da Universidade Estadual de Londrina, como requisito parcial para a obteno do ttulo de Especialista, sob orientao do Prof. Dr. Alan Salvany Felinto.

LONDRINA-PR 2004

Rodrigues, Wagner de Paula Anlise Pericial em Sistema Operacional MS-Windows 2000 / Wagner de Paula Rodrigues. -- Londrina: UEL / Universidade Estadual de Londrina, 2004. ix, 70f. Orientador: Alan Salvany Felinto Dissertao (Especializao) UEL / Universidade de Londrina, 2004. Referncias bibliogrficas: f. 35-36 1. Percia. 2. Segurana. 3. Redes 4. Computador Monografia. I. Rodrigues, Wagner de Paula. II. Universidade Estadual de Londrina Especializao em Redes de Computadores e Comunicao de Dados, III. Anlise Pericial em Sistema Operacional MS-Windows 2000.

WAGNER DE PAULA RODRIGUES

ANLISE PERICIAL EM SISTEMA OPERACIONAL MS-WINDOWS 2000

Esta monografia foi julgada adequada para obteno do ttulo de Especialista, e aprovada em sua forma final pela Coordenao do Curso de Especializao em Redes de Computadores e Comunicao de Dados, do Departamento de Computao da Universidade Estadual de Londrina.

Banca Examinadora:

____________________________________________ Prof. Alan Salvany Felinto, Dr. (UEL) - Orientador

____________________________________________ Prof. _______________________________________

____________________________________________ Prof. _______________________________________

Londrina, 15 de dezembro de 2004

DEDICATRIA

Dedico este trabalho minha esposa Rosimara e minha filha Laila, que por muitas vezes compreenderam minha ausncia. Ao meu irmo Prof. Vander, que pelos seus referenciais e sem intervir, me mostrou os valores de realizar minha ps-graduao. E principalmente aos meus pais Antonio e Catarina (in memorian) que partiram, mas me deixaram como herana o valor que deve ser dado busca pelo conhecimento, embora eles no estejam presentes fisicamente, sempre se fazem presentes em meu corao.

AGRADECIMENTOS

Seriam muitas pessoas a relacionar neste espao, mas no posso deixar de citar os seguintes: a) Minha esposa Rosimara, que me apoiou desde o nicio; b) Minha filha Laila que por muitas vezes deixei de me divertir com ela em prol deste projeto; c) Ao orientador Prof. Dr. Alan Salvany Felinto; d) A todos os meus amigos que no pude enumerar; e) Ao Grande Pai e proprietrio de todo conhecimento, por ter me dado a permisso de usar parte deste conhecimento para a elaborao deste projeto.

Quem perde seus bens perde muito; quem perde um amigo perde mais; mas quem perde a coragem perde tudo. Miguel de Cervantes

RESUMO
Devido aos inmeros tipos de ataques sofridos em equipamentos ligados Internet, sejam eles vindos de rede interna ou externa, faz-se necessrio preparar o ambiente para que possa ser realizada a percia em caso de ataques bem sucedidos, para que seja possvel em uma segunda fase, realizar uma auditoria em um sistema-alvo. O objetivo deste trabalho o de apresentar algumas informaes para serem utilizadas na criao deste ambiente formal, e tambm algumas ferramentas que possibilitem a realizao de auditoria. De forma alguma ser aqui esgotado a abordagem para este item, mas sim reunir alguns dos conceitos disponveis e permitir o entendimento dos mesmos.

Palavras-chave: 1) Percia. 2) Segurana. 3) Redes. 4) Computador.

Abstract

Had to the innumerable types of attacks suffered in on equipment to the InterNet, they are come they of internal or external net, becomes necessary to prepare the environment so that the skill in case of successful attacks can be carried through, so that it is possible in one second phase, to carry through an auditorship in a systemtarget. The objective of this work is to present some information to be used in the creation of this formal environment, and also some tools that make possible the auditorship accomplishment. Of form some here will be depleted the boarding for this item, but yes to congregate some of the available concepts and to allow the agreement of the same ones.

Key Words: 1) Pericia. 2) Security. 3) Network. 4) Computer.

SUMRIO

1. INTRODUO................................................................................................................... 10 1.1. Organizao do trabalho........................................................................................... 11 2. A PERCIA FORENSE ..................................................................................................... 12 2.1. Percia aplicada ambientes de rede .................................................................... 14 2.2. Anlise Pericial ........................................................................................................... 14 2.3. Anlise Fisca ............................................................................................................. 15 2.4. Anlise Lgica ............................................................................................................ 17 2.5. Fontes de Informao ............................................................................................... 18 3. PADRONIZAO ............................................................................................................. 20 3.1. Entidades..................................................................................................................... 21 3.2. Padronizao Internacional ...................................................................................... 22 3.3. Padronizao Nacional ............................................................................................. 22 4. OBTENO DE EVIDNCIAS....................................................................................... 24 4.1. Identificao ................................................................................................................ 26 4.2. Preservao ................................................................................................................ 26 4.3. Apresentao .............................................................................................................. 26 4.4. Anlise ......................................................................................................................... 27 4.4.1. Live Analisys ........................................................................................................ 27 4.4.2. Anlise Postmortem ou Off-line ........................................................................ 44 5. A INVESTIGAO ........................................................................................................... 49 5.1. O alerta ........................................................................................................................ 49 5.2. A busca pelas evidncias ......................................................................................... 49 5.3. A vulnerabilidade ........................................................................................................ 60 5.4. O Ataque ..................................................................................................................... 60 6. CONCLUSO .................................................................................................................... 66 7. APNDICE A ..................................................................................................................... 67 REFERNCIAS ..................................................................................................................... 69

10

1. INTRODUO

Atualmente, a Informtica tornou-se parte da vida de todos. Ela est presente em lojas, supermercados, lanchonetes, escritrios, empresas e tambm nas escolas. Mas, como melhorar a segurana da informao, proteger nossos ativos e preparar um ambiente para a realizao de percia ou auditoria utilizando os benefcios disponveis? Na 9 Pesquisa Nacional de Segurana da Informao realizada pela empresa Mdulo Security foram apresentados alguns resultados que nos levam a refletir sobre os riscos que esto volta dos computadores pessoais e corporativos. Nesta pesquisa temos a apresentao de apontadores que ratificam como grandes desafios: o crescimento dos problemas de segurana a cada ano, acompanhando o crescimento de ataques, a evoluo da tecnologia e o aumento dos investimentos dos setores na segurana da informao. Alguns itens que chamam a ateno so os seguintes: a) 78 % dos entrevistados apontam que em 2004 as ameaas, riscos e ataques devero aumentar; b) 26 % das empresas no conseguem nem sequer identificar os responsveis pelos ataques; c) 60 % indicam a Internet como principal ponto de invaso em seus sistemas. Observando estes nmeros, percebemos o quo importante preparar o ambiente dos servidores e estaes, sejam elas de redes corporativas ou isoladas em residncias, para uma possvel percia ou auditoria em caso de invaso

11

ou comprometimento da mesma devido a um ataque, seja ele vindo de uma rede interna ou externa.

1.1. Organizao do trabalho

No Captulo 2 so apresentados os conceitos sobre percia forense, estabelecendo uma ligao para o tema especifico que percia forense aplicada redes e computadores, tambm apresentado conceitos sobre evidncia, prova e anlises. Aps definir os conceitos de percia, no Captulo 3 so apresentados os conceitos internacionais e nacionais de padronizao para a realizao de anlises periciais, sendo tambm abordado as entidades envolvidas nas aes de padronizao. Como necessrio o uso adequado de ferramentas para uma anlise pericial, no Capitulo 4 apresentado s caractersticas de anlises em sistemas ao vivo (Live Analisys), bem como em sistema off-line (Postmortem) e as ferramentas a serem utilizadas para a tarefa de anlise em cada um dos casos. Finalizando, no Captulo 5 so apresentadas as vrias fases de uma anlise de um sistema Windows 2000 violado por meio de exploits, apresentando o uso das ferramentas e os mtodos utilizados para obteno dos dados para a resposta ao incidente.

12

2. A PERCIA FORENSE

Podemos definir que a percia forense aplicada redes, como um estudo do trfego de rede a fim de buscar a verdade em vrias esferas, sejam elas, cveis, criminais ou administrativas. O objetivo fim proteger o usurio e os recursos passveis de explorao, invaso de privacidade ou qualquer outro crime que possa vir a ser aplicado devido ao crescimento das tecnologias em redes que temos acesso. Temos ainda dois conceitos comuns que devem ser apresentados antes de tratarmos a percia dentro do escopo computacional: Percia Forense: quando observamos a palavra percia forense, sempre nos remetemos aos crimes comuns, onde so apresentados os mtodos a serem utilizados na busca por algo que leve a encontrar o responsvel pelo mesmo, sendo que estes mtodos so padres aceitos para que seja possvel identificar uma marca, um fio de cabelo, uma impresso digital ou qualquer indcio que possa levar soluo do crime em questo. O sucesso desta anlise est na adoo de trs regras bsicas: isolamento do permetro para evitar a contaminao do local do crime, identificao, coleta de dados e materiais que possam ter alguma relao com o crime e aps estas duas etapas, passa-se a realizar as anlises laboratoriais. Para que esta analise seja eficaz, vrias fases ou etapas de processo sero executadas, sendo

13

que elas diferem conforme o tipo de material ou dado a ser analisado. A partir deste ponto j temos a informao para realizar uma anlise, sendo que no caso de uma evidncia digital teremos um ciclo de processos especficos.

Evidncia Digital: tem sido definido que todos os dados que funcionem de forma a estabelecer que um crime foi cometido ou que possa fornecer uma ligao entre um crime e sua vtima seria uma evidncia digital. H tambm a definio proposta pelo Standard Working Group on Digital Evidence em que toda informao de valor verdadeiro que armazenado ou transmitido em um formato digital uma evidncia digital. Muitas outras definies so abordadas na literatura mundial, mas ficarei apenas nestas duas

apresentaes por entender que elas j transmitem uma viso do contexto de forma clara. Uma regra que deve ser seguida como boa prtica a Regra da Melhor Prova, onde realizase uma cpia fiel do sistema por meio de ferramentas de sistema e software pericial, introduzindo tais informaes nos procedimentos jurdicos, contanto que as mesmas no tenham sido obtidas de forma contrria lei, como por exemplo, cpia de uma rea de disco realizada remotamente por meio de invaso.

14

2.1. Percia aplicada ambientes de rede

Segundo [Thorton], a cincia forense aquela exercida em favor da lei para uma justa resoluo de um conflito. Pode-se ento dizer, que a cincia forense, em sua origem, baseia-se em procedimentos cientficos para a obteno de informaes que possam ser teis durante uma disputa judicial. Devido ao aumento do uso cotidiano do computador e da Internet por parte das empresas e usurios domsticos, fez com que surgissem crimes que explorassem esse novo tipo de comportamento. So crimes praticados por criminosos que de posse deste novo recurso, se propuseram aprender novas tcnicas e mtodos de roubo, ou, em sua maioria, por pessoas de conduta aparentemente ntegra no mundo real, mas que buscam se beneficiar do virtual anonimato conferido pela Rede, para praticar atos ilcitos. A fim de que as agncias legais pudessem lidar com este novo tipo de crime e ajudar a justia a condenar estes criminosos, criou-se a forense computacional. Segundo Noblett (2000), a forense computacional pode ser definida como sendo a cincia de adquirir, preservar, recuperar e exibir dados que foram eletronicamente processados e armazenados digitalmente. Assim como ocorre nas outras disciplinas forenses, o processo de anlise no meio computacional metdico e deve seguir procedimentos previamente testados e aceitos pela comunidade cientfica internacional, de forma que todos os resultados obtidos durante uma anlise sejam passveis de reproduo.

2.2. Anlise Pericial

A anlise pericial o processo usado pelo investigador para descobrir informaes valiosas, a busca e extrao de dados relevantes para uma

15

investigao. O processo de anlise pericial pode ser dividido em duas camadas : anlise fsica e anlise lgica. A anlise fsica a pesquisa de seqncias e a extrao de dados de toda a imagem pericial, dos arquivos normais s partes inacessveis da mdia. A anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos investigado no formato nativo, percorrendo-se a rvore de diretrios do mesmo modo que se faz em um computador comum.

2.3. Anlise Fisca

Durante a anlise fsica so investigados os dados brutos da mdia de armazenamento. Ocasionalmente, pode-se comear a investigao por essa etapa, por exemplo quando se est investigando o contedo de um disco rgido desconhecido ou danificado. Depois que o software de criao de imagens tiver fixado as provas do sistema, os dados podem ser analisados por trs processos principais : uma pesquisa de seqncia, um processo de busca e extrao e uma extrao de espao sub-aproveitado e livre de arquivos. Todas as operaes so realizadas na imagem pericial ou na copia restaurada das provas. Com freqncia , se faz pesquisas de seqncias para produzir listas de dados . essas listas so teis nas fases posteriores da investigao. Entre as listas geradas esto as seguintes : Todos os URLs encontrados na mdia. Todos os endereos de e-mail encontrados na mdia. Todas as ocorrncias de pesquisa de seqncia com palavras sensveis a caixa alta e baixa.

16

O primeiro processo da anlise fsica a pesquisa de seqncias em todo o sistema. Uma das ferramentas de base DOS mais precisa o StringSearch. Ela retorna o contedo da pesquisa de seqncia e o deslocamento de byte do incio do arquivo. Quando se examinam os resultados da pesquisa de seqncias, tem-se um prtico roteiro para converter o deslocamento em um valor de setor absoluto. Alguns tipos de caso podem beneficiar-se de uma forma especializada de pesquisa de seqncia , o processo de busca e extrao. Este o segundo dos trs que se usa durante a analise fsica. O aplicativo analisa uma imagem pericial em busca de cabealhos dos tipos de arquivos relacionados ao tipo de caso em que se estiver trabalhando. Quando encontra um, extrai um nmero fixo de bytes a partir do ponto da ocorrncia. Por exemplo, se estiver investigando um indivduo suspeito de distribuio de pornografia ilegal, analisa-se a imagem pericial e se extrai blocos de dados que comeam com a seguinte seqncia hexadecimal: $4A $46 $49 $46 $00 $01 Esta seqncia identifica o incio de uma imagem JPEG. Alguns formatos de arquivos (entre eles o JPEG) incluem o comprimento do arquivo no cabealho. Isto muito til quando se est extraindo dados brutos de uma imagem pericial. Esta capacidade de extrao forada de arquivos incrivelmente til em sistemas de arquivos danificados ou quando os utilitrios comuns de recuperao de arquivos apagados so ineficientes ou falham completamente. At certo ponto, todos os sistemas de arquivos tm resduos. Os tipos de resduo se enquadram em duas categorias : espao livre, ou no-alocado, e espao subaproveitado.

17

O espao livre qualquer informao encontrada em um disco rgido que no momento no esteja alocada em um arquivo. O espao livre pode nunca ter sido alocado ou ser considerado como no-alocado aps a excluso de um arquivo. Portanto, o contedo do espao livre pode ser composto por fragmentos de arquivos excludos. O espao livre pode estar em qualquer rea do disco que no esteja atribuda a um arquivo nativo, como um bloco de dados vazio no meio da terceira partio ou no 4253o setor no-atribudo da unidade, que no faz parte de uma partio por estar entre o cabealho e a primeira tabela de alocao de arquivos. Informaes de escritas anteriores podem ainda estar nessas reas e ser inacessveis para o usurio comum. Para analisar o espao livre preciso trabalhar em uma imagem do nvel fsico. O espao subaproveitado ocorre quando dados so escritos na mdia de armazenamento em blocos que no preenchem o tamanho de bloco mnimo definido pelo sistema operacional. Se decidir extrair o espao de arquivos subaproveitados e livre, isto torna-se o terceiro processo de anlise fsica mais importante. Esse processo exige uma ferramenta que possa distinguir a estrutura particular de sistema de arquivos em uso.

2.4. Anlise Lgica

Durante um exame de arquivos lgicos, o contedo de cada partio pesquisada com um sistema operacional que entenda o sistema de arquivos. neste estgio que cometido a maioria dos erros de manipulao das provas. O investigador precisa estar ciente de todas as medidas tomadas na imagem restaurada. por isto que quase nunca se usa diretamente sistemas operacionais

18

mais convenientes, como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo bsico proteger as provas contra alteraes. Montar ou acessar a imagem restaurada a partir de um sistema operacional que entenda nativamente o formato do sistema de arquivos muito arriscado, pois normalmente o processo de montagem no documentado, no est disposio do pblico e no pode ser verificado. Uma forma de realizar isto montar cada partio em Linux, em modo somente leitura. O sistema de arquivos montado ento exportado, via Samba, para a rede segura do laboratrio, onde os sistemas Windows 2000 ou 2003, carregados com visualizadores de arquivos, podem examinar os arquivos. Como referenciado, esta abordagem ditada pelo prprio caso. Se fizer uma duplicata pericial de um sistema Irix 6.5, provvel que se evite usar o Windows 2000 para visualizar os dados.

2.5. Fontes de Informao

Pode ser dividido em trs locais onde pode-se descobrir informaes valiosas para uma investigao: Espao de arquivos lgicos: Refere-se aos blocos do disco rgido que, no momento do exame, esto atribudos a um arquivo ativo ou estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode). Espao subaproveitado: Espao formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. Chamamos todos os tipos de resduo de

19

arquivos, como a RAM e os arquivos subaproveitados, de espao subaproveitado. Espao no-alocado: Qualquer setor no tomado, esteja ou no em uma partio ativa. Para fins de ilustrao, os dados de um disco rgido foram divididos em camadas parecidas s do modelo de rede OSI. Encontram-se informaes com valor de provas em todas essas camadas. O desafio encontrar a ferramenta certa para extrair as informaes. A tabela 1 mostra as relaes entre setores, clusters, parties e arquivos. Isso ajuda a determinar o tipo de ferramenta a ser usada para extrair as informaes. Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional ou para o hardware do computador.
Camada do sistema de arquivos Armazenamento de aplicativos Classificao de informaes Alocao de espao de armazenamento Formato de blocos Classificao de dados Fsica Localizao de provas em DOS ou Windows Arquivos Diretrios e pastas FAT Clusters Parties Setores absolutos ou C/H/S Localizao de provas em Linux Arquivos Diretrios Inode e bitmaps de dados Blocos Parties Setores absolutos

Tabela 1: Camadas de armazenamento do sistema de arquivos

20

3. PADRONIZAO

A identificao de recursos dentro de uma organizao que possam ser usados como evidncia computacional um antigo problema encontrado pelas instituies competentes, isto porque tais recursos normalmente ficam espalhados entre as agncias. Atualmente parece existir uma tendncia mudana desses exames para o ambiente laboratorial. O servio secreto norte americano realizou uma pesquisa, em 1995, na qual foi constatado que 48% das agncias tinham laboratrios de forense computacional e que 68% das evidncias encontradas foram encaminhadas a peritos nesses laboratrios e, segundo o mesmo documento, 70% dessas mesmas agncias fizeram seu trabalho sem um manual de procedimentos, conforme descrito por Noblett (1995). Para desenvolver protocolos e procedimentos, faz-se necessrio estabelecer polticas para a manipulao de uma evidncia computacional. Tais polticas devem refletir um consenso da comunidade cientfica internacional, provendo resultados vlidos e reproduzveis. Levando em considerao que a forense computacional diferente das outras disciplinas forenses, uma vez que no se pode aplicar exatamente o mesmo mtodo a cada caso, como citado por Noblett (1995). A ttulo de exemplo temos como estudo de caso a anlise feita no DNA recolhido de uma amostra de sangue na cena de um crime, pode-se aplicar exatamente o mesmo protocolo a toda amostra de DNA recebida (elimina-se as impurezas e o reduz sua forma elementar). Noblett (1995) relata que, quando se tratam de ambientes computacionais no se pode executar o mesmo procedimento

21

em todos os casos, uma vez que se tm sistemas operacionais e mdias diferentes e diversas aplicaes.

3.1. Entidades

IOCE (International Organization on Computer Evidence): Entidade internacional centralizadora dos esforos de padronizao. Ela foi estabelecida em 1995 com o objetivo de facilitar a troca de informaes, entre as diversas agncias internacionais, sobre a investigao de crimes envolvendo computadores ou outros assuntos relacionados a forense em meio eletrnico. Estabelecendo uma harmonizao dos mtodos e prticas a fim de garantir a habilidade de usar a evidncia digital coletada em qualquer jri, independente do estado em que o mesmo se encontra. SWGDE (Scientific Working Group on Digital Evidence): Criado em 1998, ele o representante norte-americano nos esforos de padronizao conduzidos pela IOCE; HTCIA (High Technology Crime Investigation Association): Organizao sem fins lucrativos que visa discutir e promover a troca de informaes que possam auxiliar no combate ao crime eletrnico; IACIS (International Association of Computer Investigatibe Specialists): Trata-se de uma associao sem fins lucrativos, composta por voluntrios com o intuito de atuar no treinamento em forense computacional; SACC (Seo de Apurao de Crimes por Computador): Atua no mbito do Instituto Nacional de Criminalstica/Polcia Federal, a fim de dar suporte

22

tcnico s investigaes conduzidas em circunstncias onde a presena de informao em formato digital constatada;

3.2. Padronizao Internacional

A partir do crescimento da Internet e da consolidao do mundo globalizado, comeamos a ter crimes que extrapolam os limites da jurisdio nacional, passando a no ter fronteiras limitadas fisicamente, obrigando as agncias legais de vrios pases definirem mtodos comuns para o tratamento de evidncias eletrnicas. Como cada pas tem sua prpria legislao e no seria possvel a definio de normas globais para contemplar todos os pases, mas busca-se uma padronizao para a troca de evidncias entre paises. Atualmente j existem padres definidos e sendo aplicados de forma experimental. Eles foram desenvolvidos pelo SWGDE e apresentados na International Hi-Tech Crime and Forensics Conference (IHCFC), que foi realizada em Londres, de 4 a 7 de outubro de 1999. Os padres desenvolvidos pelo SWGDE seguem um nico princpio, o de que todas as organizaes que lidam com a investigao forense devem manter um alto nvel de qualidade a fim de assegurar a confiana e a exatido das evidncias. Em SWGDE (2000), foi apresentado mtodos de busca desse nvel de qualidade pode, atingindo o mesmo atravs da elaborao de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de anlise conhecida, e prever a utilizao tcnicas, equipamentos e materiais largamente aceitos pela comunidade cientfica (Apndice A)

3.3. Padronizao Nacional

23

No Brasil ainda no possumos uma padronizao, apenas trabalhos feitos a pedido da polcia federal, alguns trabalhos acadmicos e alguns direcionados ao pblico leigo. Algumas das instituies que esto envolvidas em um esforo de padronizao nacional so: NBSO (Network Information Center (NIC) - Brazilian Security Office): atua coordenando as aes e provendo informaes para os sites envolvidos em incidentes de segurana; CAIS (Centro de Atendimento a Incidentes de Segurana): tem por misso o registro e acompanhamento de problemas de segurana no backbone e PoPs da RNP, bem como a disseminao de informaes sobre aes preventivas relativas a segurana de redes; GT-S: grupo de trabalho em segurana do comit gestor da internet brasileira.

24

4. OBTENO DE EVIDNCIAS

Quando tratamos de anlise forense de ambientes Windows, seguimos alguns princpios bsicos que so comuns s anlises de qualquer plataforma computacional e que foram originalmente herdados de bases da Cincia Forense em geral. Basicamente estes princpios esto fundamentados em mtodos que buscam dar credibilidade aos resultados, fornecendo mecanismos para a verificao da integridade das evidncias e da corretude dos procedimentos adotados. A rigorosa documentao das atividades fundamental para que uma anlise possa ser aceita, mesmo que o stress causado por um incidente de segurana, tornem difcil atividade de documentar as decises e aes, o que pode prejudicar uma futura ao judicial contra os responsveis, pois pode inviabilizar uma avaliao do tratamento dado s evidncias. Alm da correta documentao, pode-se citar mais alguns princpios das demais disciplinas forenses que foram herdados pelo meio computacional: Rplicas: realizar a duplicao pericial completa sempre recomendvel para que seja possvel a repetio dos processos e a busca da confirmao dos resultados, sem que ocorra o dano evidncia original, devido a algum erro do examinador. Normalmente necessrio a obteno de uma imagem bit-a-bit dos sistemas. Tarefa esta, que muitas vezes toma um grande tempo.;

25

Garantia

de

Integridade:

deve

haver

procedimentos

previamente determinados que visem garantir a integridade das evidncias coletadas. No mundo real as evidncias so armazenadas em ambientes cuja a entrada restrita, so tiradas fotos, minuciosas descries das peas so escritas com o intuito de verificar sua autenticidade posteriormente. No mundo virtual a autenticidade e a integridade de uma evidncia podem ser verificadas atravs da utilizao de algoritmos de hash criptogrfico como o MD5, SHA-1 e o SHA-2. Alm disso possvel armazen-las em mdias para somente leitura, como CD-ROMs; Ferramentas Confiveis: no h como garantir a

confiabilidade dos resultados obtidos durante uma anlise se os programas utilizados no forem comprovadamente

idneos. O mesmo ocorre no mundo real onde os experimentos de uma anlise laboratorial devem ser

conduzidos em ambientes controlados e comprovadamente seguros a fim de que os resultados no possam ser contaminados por alguma influncia externa; Ainda fazendo referncia documentao tem-se quatro pontos fundamentais a serem tratados: Identificao, Preservao, Anlise e por fim a Apresentao, que no ser tratada com detalhamento neste trabalho.

26

4.1. Identificao

Dentre os vrios fatores envolvidos no caso, necessrio estabelecer com clareza quais so as conexes relevantes como datas, nomes de pessoas, empresas, rgos pblicos, autarquias, instituies etc., dentre as quais foi estabelecida a comunicao eletrnica. Discos rgidos em computadores podem trazer a sua origem (imensas quantidades de informaes) aps os processos de recuperao de dados.

4.2. Preservao

Todas as evidncias encontradas precisam obrigatoriamente ser legtimas, para terem sua posterior validade jurdica. importante sempre lembrar de proteger a integridade dos arquivos recuperados durante a resposta. Sendo assim, todo o processo relativo obteno e coleta das mesmas, seja no elemento fsico (computadores) ou lgico (mapas de armazenamento de memria de dados) deve seguir normas internacionais. Deve-se sempre estar atento ao quesito contraprova, pois a outra parte envolvida poder solicitar a mesma a qualquer tempo do processo, lembrando sempre que, caso o juiz no valide a evidncia, ela no poder ser re-apresentada.

4.3. Apresentao

Tecnicamente chamada de substanciao da evidncia, ela consiste no enquadramento das evidncias dentro do formato jurdico como o caso ser ou poder ser tratado. Os advogados de cada uma das partes ou mesmo o juiz

27

do caso podero enquadr-lo na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidncias, atua-se em conjunto com uma das partes acima descritas para a apresentao das mesmas.

4.4. Anlise

Aqui est concentrada a pesquisa propriamente dita, onde todos os filtros de camadas de informao j foram transpostos e pode-se deter especificamente nos elementos relevantes ao caso em questo. importante manter o foco ao solicitado, pois muitas vezes, durante a anlise, depara-se com novas fontes de dados que podem levar a outras vertentes, fazendo com que esta mudana de foco, prejudique a percia podendo at anular todo o trabalho pericial, devido ao abuso na coleta de provas. O profissionalismo essencial quando se trata na obteno da chamada prova legtima, a qual consiste numa demonstrao efetiva e inquestionvel dos rastros e elementos da comunicao entre as partes envolvidas e seu teor, alm das datas, trilhas, e histrico dos segmentos de disco utilizados.

4.4.1. Live Analisys

Pode-se definir a live analysis como sendo aquela efetuada em um sistema vtima de algum incidente de segurana sem que, anteriormente, tenha sido executado qualquer procedimento para seu desligamento. s vezes, tal

procedimento precisa ir alm de apenas obter as informaes volteis. Desligar o sistema pode resultar na paralisao de um servio essencial, portanto, muitas

28

vezes faz-se necessrio descobrir provas e remover de maneira apropriada os programas marginais sem a interrupo de qualquer servio oferecido pela mquina. Neste tipo de procedimento algumas etapas devem ser seguidas: Coletar os dados mais volteis; Reunir as informaes, vindas principalmente dos logs de eventos e do registro do sistema-alvo; Devido a possveis problemas que podero surgir durante este trabalho, importante a elaborao de um CD, contendo um kit de resposta, para que o trabalho no seja prejudicado pela ineficincia no uso das ferramentas disponveis. Uma maneira de descobrir quais DLLs um programa necessita para ser executado atravs da utilizao do Dependecy Walker (depends.exe). Esta ferramenta vem com o Resource Kit do W2k e analisa toda a rvore de dependncias de determinado software, podendo exibir inclusive quais funes so utilizadas e exportadas em cada biblioteca. Outra alternativa o listdlls.exe1, desenvolvido por Mark

Russinovich. Esta ferramenta capaz de listar todas as bibliotecas que esto sendo utilizadas por determinado processo. Desta forma, necessrio executar a ferramenta a ser analisada, posteriormente utilizar o listdlls.exe, para obter-se a listagem de DLLs necessrias. O listdlls tambm pode ser til durante a live analysis, na qual pode ser utilizado para investigar algum processo suspeito em uma mquina invadida. A utilizao de bibliotecas necessrias execuo dos programas ser importante para situaes onde uma das ferramentas a serem utilizadas durante a anlise necessite de uma biblioteca que j esteja na memria, nesta

29

situao ela no ser carregada novamente, fazendo com que a DLL presente no CD seja ignorada e abrindo uma brecha para a produo de falsos resultados. Uma soluo para evitar o acesso a tais bibliotecas eliminar todo acesso bibliotecas dinmicas atravs de compilao esttica de todas as ferramentas a serem utilizadas, mas como poucas ferramentas para a plataforma Windows possuem cdigo aberto, tal soluo fica inviabilizada. A anlise ao vivo representa um grande problema para a percia em ambientes Windows 2000. A seguir sero apresentadas algumas ferramentas que podero compor o CD de kit de reposta para a percia deste ambiente. Inicialmente, seguindo as duas etapas citadas acima, sero coletados os dados mais volteis: Execute a data e hora para encaixar a resposta entre a hora inicial e final, isto para garantir a correlao entre os logs do sistema e os logs baseados em rede; Utilizar o loggedon para identificar quem est conectado ao sistema; Utilizar o netstat para visualizar as conexes atuais; Utilizar o pslist para identificar todos os processos em execuo; Utilizar o fport para identificar quais programas abriram portas especficas. Aps isto ser feito poder seguir os passos seguintes de forma mais livre em busca de pistas no sistema. a) Logs

30

Os logs mostram informaes sobre o passado do sistema-alvo, tornando uma das melhores fontes de informao, tais informaes podem ser o diferencial entre o sucesso e o fracasso de uma auditoria. O Windows 2000 possue trs tipos de log: o System log, Application log e Security log, sendo possvel obter informaes como: Determinar quais usurios tm acessado determinados arquivos; Determinar quais usurios tm feito logon no sistema; Determinar falhas no logon de usurios; Monitorar o uso de determinadas aplicaes; Monitorar mudanas nas permisses de usurios.

AuditPol: Para a busca de informaes sobre as diretivas de auditoria existentes no sistemas ser utilizado a ferramenta AuditPol constante no pacote NT Resource Kit. Na figura abaixo mostrado a ferramenta AuditPol em uso:

Figura 4.1 Determinao de log do sistema pelo auditpol

NTLAST: Desenvolvido por J.D. Glaser (Foundsone), ela permite monitorar logins bem ou mal sucedidos a um sistema, caso a auditoria Logon ou Logoff esteja ativada. Um dos objetivos do uso desta ferramenta a busca de contas de usurios e sistema remotos suspeitos que acessam ao sistema-alvo.

31

Abaixo temos o uso da ferramenta listando todos os logons bemsucedidos.

Figura 4.2 Visualizando logons bem-sucedidos via ntlast

Nesta prxima figura apresentado o uso do ntlast para listar todos os logons fracassados.

Figura 4.3 Visualizando logons fracassados via ntlast

importante recuperar todos os logs para anlise off-line, para tanto pode ser usado o prprio Event Viewer, mas o mesmo permite uma consulta de forma aleatria, as ferramentas dumpel e netcat permite recuperar logs remotos. Dumpel: Ferramenta constante no NTRK, ela permite obter logs de evento do sistema-alvo, esvaziando todo o log de segurana, com tabs como delimitador.

Figura 4.4 Uso da ferramenta dumpel

32

Figura 4.5 Resultado obtido pelo uso da ferramenta dumpel

Event Viewer: possvel utilizar esta ferramenta para visualizar os logs locais, bem como os remotos. Para a visualizao de logs remotos basta ir em Log | Select Computer, mas para isto ser necessrio ter uma conexo via conta de administrador, conforme apresentado abaixo. No recomendvel o acesso remoto aos logs, pois se a mquina ou a rede estiver comprometida, esta no seria uma metodologia segura para a resposta a incidentes.

Figura 4.6 Utilizao de Event Viewer para anlise de logs de eventos

33

Figura 4.7 Detalhamento de um evento utilizando o Event Viewer

Dir: Apesar do comando dir ser utilizado normalmente apenas para listar arquivos ou pastas, o mesmo pode ser utilizado para obter informaes mais interessantes, como por exemplo o horrio de modificao, criao e acesso aos arquivos. Abaixo temos trs exemplos do uso do comando:

Figura 4.8 Listagem recursiva de todas as horas de acesso no drive D

Figura 4.9 Listagem recursiva de todas as horas de modificao no drive D

Figura 4.10 Listagem recursiva de todas as horas de criao no drive D

34

Doskey: o comando doskey permite exibir o histrico de comandos do Shell de comandos atuais em um sistema. possvel utilizar o comando doskey /history para controlar comandos executados no sistema durante uma resposta;

Figura 4.11 Uso do doskey para registrar as etapas seguidas no processo de auditoria

At: a documentao das tarefas agendadas no Task Scheduler, pode ser obtida utilizando o comando nativo at. Esta busca importante em virtude da possibilidade de um atacante poder agendar processos maliciosos para serem executados em horrios mais convenientes s suas atividades. Tais agendamentos podem ser visualizados na pasta %systemroot%\Tasks, entretanto o comando at s apresenta tarefas por ele agendado.

Figura 4.12 Apresentao do resultado obtido por meio do comando At

I386kd / Dumpchk: Em algumas situaes pode ser necessrio esvaziar o contedo de memria, para obter senhas, texto limpo de alguma mensagem criptografada ou mesmo recuperar o contedo de um arquivo recentemente aberto. No Windows, tais aes no so consideradas procedimentos periciais seguros. Para esta ao pode ser utilizado o I386kd conforme citado no documento encontrado em http://support.microsoft.com/kb/q254649/, podendo ser

35

utilizado o dumpchk para verificar se criado corretamente o arquivo de despejo de memria. b) Conexes de Rede A busca de informaes sobre conexes de rede, permite ter uma idia de como uma mquina est utilizando a rede em um dado momento. Da mesma forma que os processos da mquina, tal atividade a nica oportunidade de se realizar a coleta deste tipo de informao, pois a mesma voltil, no deixando nenhum rastro ou histrico aps a conexo estiver extinta, a no ser que cada aplicao cuide disso atravs da alimentao de arquivos de log, ou seja utilizada alguma ferramenta especfica para este fim, como o TCPWrapper, que ser abordado logo abaixo. Uma anlise importante a ser feita a verificao da utilizao de recursos de rede especficos da plataforma Windows, como o protocolo NetBIOS e os compartilhamentos de recursos atravs do protocolo SMB (Server Message Block). A seguir tem-se um conjunto de programas teis para a coleta de informaes relativas a conexes de rede: Arp: um programa que utilizado para acessar seu prprio cach, que mapeia o endereo IP ao endereo MAC fsico dos sistemas com os quais o sistema-alvo tem se comunicado no ltimo minuto;

Figura 4.13 Resultado do comando arp

Netstat: o objetivo desta ferramenta nativa fornecer estatsticas de utilizao da rede, mais especificamente dados sobre os protocolos IP, UDP e

36

TCP. Ele exibe informaes que podem ser teis para o examinador, tais como a lista de conexes ativas na mquina, as portas que esto aceitando conexes da rede e qual o estado atual da tabela de roteamento;

Figura 4.14 Dados obtidos por meio do comando netstat

Nbtstat: ferramenta nativa que exibe informaes relacionadas ao protocolo NetBIOS. usado para acessar o cache do NetBIOS remoto, observando conexes NetBIOS recentes aproximadamente durante os ltimos dez minutos.;

Figura 4.15 Amostra obtida pelo comando nbtstat

Tracert: indica quais roteadores esto entre a mquina local e um determinado destino em uma rede. Este aplicativo nativo e pode ser til caso sejam observadas rotas de rede suspeitas durante a utilizao do netstat;

37

Figura 4.16 Resultado obtido pelo comando tracert

Fport: parte integrante do Foundstone Forensic Kit e indica quais processos esto utilizando quais portas TCP/UDP, alm disso, fornece o caminho para seu binrio. Ele poder ser usado antes e depois de executar um processo marginal a fim de determinar se o processo marginal abriu qualquer soquete de rede;

Figura 4.17 Lista de processos obtida pelo uso da ferramenta fport

Windump: ferramenta para captura de pacotes de rede, pode ser utilizada para armazenar o trfego de determinada conexo para uma posterior anlise. A interpretao de seus dados pode ser muito trabalhosa, devido grande quantidade de informaes que so geradas, contudo, possvel o armazenamento de seus dados para que eles possam ser analisados posteriormente por programas de interface mais amigvel como o ethereal;

38

Figura 4.18 Coleta realizada por meio da ferramenta windump

Net: programa nativo que agrega inmeras funcionalidades relacionadas administrao de redes Windows. Este aplicativo pode ser til durante a anlise ao vivo (live analysis) para que o examinador obtenha dados relativos aos compartilhamentos mapeados (net use), compartilhamentos exportados (net share) e a lista das sesses em atividade na mquina (net session);

Figura 4.19 Uso do comando net use

Figura 4.20 Uso do comando net share

Rmtshare: este aplicativo do NTRK tem praticamente as mesmas funcionalidades no net share, contudo pode realizar todas as suas tarefas remotamente, sempre observando os riscos de se realizar anlises de modo remoto;

39

Figura 4.21 Resultado obtido pela ferramenta rmtshare

Rasautou: mquinas com conexes dialup podem ser configuradas para efetuarem discagem toda vez que uma aplicao solicite acesso Internet (dial-on-demand) e comum que algumas aplicaes tentem utilizar este recurso por default. O Windows 2000 mantm um histrico de todos os endereos IP que foram conectados via dial-on-demand, que podem ser consultados atravs desta ferramenta nativa (rasautou -s);

Figura 4.22 Obteno de dados por meio da ferramenta rasautou

c) Usurios Dados de usurios podem ser analisados de forma off-line, mas informaes sobre quem est logado em neste momento e quais processos esto sendo executados podem ser perdidos. Tais informaes so estratgicas, e necessrio verificar se as polticas de auditoria esto habilitadas no sistema, a fim de que tais informaes no sejam perdidas por negligncia. Caso tais polticas no estejam habilitadas no ser possvel analisar logs de registro de tais informaes,

40

pois os mesmos no existem. Portanto, a coleta destes dados passa a ser fundamental. Pwdump: Ferramenta desenvolvida por Todd Sabin, com o objetivo de examinar as senhas do banco de dados SAM (Security Access Manager). Estas senhas podem ser decifradas utilizando a consagrada ferramenta John the Ripper ou L0phtcrack. Este procedimento pode ser til quando no existe uma cooperao por parte de algum usurio nas investigaes.

Figura 4.23 Utilizao da ferramenta pwdump

Figura 4.24 Uso do L0phtcrack para obter as senhas do sistema-alvo

net: Atravs do comando net user possvel consultar quais usurios esto cadastrados na mquina local, alm de viabilizar a alterao de seus respectivos dados;

41

Figura 4.25 Obteno de dados por meio do comando net user

Psloggedon: aplicativo que permite determinar quem est usando recursos do sistema-alvo. Esta tarefa pode ser executada tanto local quanto remotamente. Caso o nome do usurio seja informado, este aplicativo tentar localiza-lo em todas as mquinas do domnio;

Figura 4.26 Dados obtidos por meio da ferramenta psloggedon

Rasusers: ferramenta do NTRK capaz de listar os usurios que possuem permisses para se conectarem, via dial-up, em determinada mquina.

Figura 4.27 Lista de usurios obtidos pela ferramenta rasusers

d) Registro O registro do Windows uma coleo de arquivos de dados que armazena dados vitais de configurao do sistema. O sistema operacional utiliza o

42

Registro para armazenar informaes sobre o hardware, software e componentes de um sistema. O registro pode revelar o software instalado no passado, a configurao de segurana da mquina, programas de inicializao, cavalos-de-tria, dll e os arquivos recentemente utilizados para muitos aplicativos diferentes. Ele consiste de cinco chaves-raiz (hives): HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.

Os cinco hives so compostos a partir de quatro arquivos maiores no sistema: SAM, SECURITY, SOFTWARE e SYSTEM. O local padro desses arquivos o diretrio %systemroot%\system32\Config. Ele uma fonte excelente para identificar software e aplicativos que foram instalados em um sistema e ento manualmente excludos. O Windows 2000 no altera as entradas do registro quando um usurio manualmente exclui um aplicativo. Freqentemente, o arquivo uninstall da maior parte dos aplicativos no limpa a sub-chave Uninstall Registry. Abaixo temos algumas ferramentas relacionadas manipulao do registro: Regedit: editor de registro padro do Windows 2000, sendo possvel por meio dele realizar operaes em modo grfico de incluso, excluso e alterao do registro do Windows;

43

Figura 4.28 Uso da ferramenta regedit

Regedt32: editor de registro nativo do Windows 2000, representa uma alternativa sua utilizao do regedit, uma vez que apresenta recursos extras tal como a manipulao das permisses associadas a uma determinada chave;

Figura 4.29 Utilizao da ferramenta regedit32

Regdump/Reg query: O registro do Windows armazena uma grande quantidade de dados importantes, que so teis durante o processo de resposta a incidentes. Para a recuperao viva destes dados ser uilizado o

44

regdump ou o reg query, ambos constantes no NT Resource Kit. O regdump cria uma grande lista em formato texto do registro, j o reg query extra apenas os valores-chave de interesse no registro. Abaixo apresentado um lote de amostra para obteno de infiormaes do sistema-alvo.

Figura 4.30 Amostra de log extrada pelo reg query

Alguns pontos interessantes de coleta so as informaes contidas na chave Run e tambm na chave RunOnce do registro, local que pode ter sido explorado pelo invasor, implantando neste ponto uma chamada a um cavalo-de-tria para que o mesmo possa ser executado no momento da reinicializao do sistema. Reg: ferramenta do NTRK, operada em modo texto, que oferece uma interface completa para manipulao do registro. Permite realizar consultas, incluses e modificaes em valores das chaves de registro, sendo possvel realizar tais operaes de forma remota;

4.4.2. Anlise Postmortem ou Off-line

Aps a realizao de uma coleta inicial de informaes volteis, pode ser necessria uma auditoria off-line detalhada, tal anlise pode ser descrita como aquela conduzida a partir de cpias das evidncias originais em uma mquina preparada para esta tarefa.

45

Um dos conceitos bsicos o de manter a integridade das provas. Mas, o que so provas ? Qualquer informao com valor comprobatrio, seja para confirmar ou rejeitar uma hiptese, uma prova. Algumas vezes ser necessria a realizao da duplicao pericial, situaes estas que exigem a duplicao de todos os sistemas e todos os setores da imagem para serem vasculhados em busca de informao. Para a realizao de uma duplicao pericial importante garantir uma metodologia para criar uma boa imagem pericial. Um dos mtodos mais comuns o apreender a mquina e envi-la a um laboratrio de percia. Atualmente existem mquinas periciais, com unidades removveis e muito espao de armazenamento para realizar a duplicao no prprio local. Esta operao pode ser realizada por softwares especializados como o SafeBack e o EnCase. possvel tambm realizar tal operao de forma remota, enviando os dados por meio da rede. Uma forma de se realizar este procedimento por meio da ferramenta netcat em conjunto com o dd. Mas, qual ferramenta usar ? Os requisitos que um software precisa cumprir para ser uma ferramenta pericial confivel so: Ter a capacidade de criar uma imagem de cada bit de dados da mdia de armazenamento. Precisa poder criar uma imagem de cada byte, do inicio da unidade trilha de manuteno. Precisa ser capaz de tratar os erros de leitura com segurana. Se o processo falhar aps diversas tentativas de ler um setor danificado, este anotado, saltado e criado um espao reservado de tamanho idntico no resultado da leitura.

46

No pode fazer nenhuma alterao das provas originais. Precisa poder ser submetido a provas e anlises cientficas. Os resultados precisam poder ser replicados e verificados por terceiros, se necessrio.

O arquivo de imagem criado precisa ser protegido por uma soma de verificao ou algoritmo de hash. Isso pode ser feito durante a criao do arquivo ou no final do processo.

As principais ferramentas disponveis so: SafeBack EnCase dd

A seguir ser apresentado a forma de se utilizar o comando dd, pois o mesmo est disponvel na vrias variantes de plataforma *nix. Uma vez inicializado o sistema no ambiente confivel, ser iniciado o processo de criao da imagem. importante olhar a documentao do dd, para obter maiores informaes sobre cada uma das opes utilizadas nos exemplos a seguir. Para criar uma imagem de disco que caibam em um CR-ROM, use os seguintes comandos:
#dd if=/dev/hda of=/mnt/evidencia/disco1.img bs=1M count=620 #dd if=/dev/hda of=/mnt/evidencia/disco2.img bs=1M count=620 skip=621 #dd if=/dev/hda of=/mnt/evidencia/disco3.img bs=1M count=620 skip=1241 #dd if=/dev/hda of=/mnt/evidencia/disco4.img bs=1M count=620 skip=1861

Uma outra opo de cpia, a utilizao de uma mquina pericial conectada maquina de evidencias, por meio de um cabo Ethernet. Uma forma de uso seria a seguinte:

47

#netcat l p 5000 > /mnt/evidencia/dw-7.dd Desta forma a mquina pericial foi configurada para aceitar conexes em uma porta TCP por meio do netcat. Com esta linha de comando, a mquina fica escuta na porta TCP 5000. Este recurso somente aceita imagens menores que 2Gb, para tamanhos maiores ser necessrio usar scripts para detectar o comprimento de registro do fluxo de entrada. Na mquina que contem as provas, ser aplicada a seguinte linha de comando: #dd if=/dev/hda | nc 192.168.0.1 5000 Aps isto ser realizado fundamental calcular o hash MD5 para a mdia de origem, bem como para a imagem final, para que as mesmas possam ser admitidas como provas. A partir deste ponto j temos uma imagem que poder ser tratada sem risco de perda da fonte original, caso seja necessrio, pode-se gerar outras imagens para uso na auditoria, pois muitas vezes a duplicao pericial pode tornarse a prova real. Para este momento ser dado dois exemplos de anlises postmortem utilizando as camadas habituais de software, nos quais apenas prevenido o possvel controle do atacante sobre o que observamos na mquina vtima: Registro: a anlise do registro de uma mquina pode ser feita de maneira off-line atravs dos arquivos exportados com o regedit ou regedt32, como visto na seo anterior, item d, podem ser lidos em qualquer editor de texto, ou utilizar as ferramentas j citadas. Lembrando que os arquivos coletados so exportados para a mquina forense, partindo-se da mquina vitima e em seguida

48

analisados. Como pode ser possvel a mistura de dados originrios da maquina vitima com os dados da estao forense, fundamental a realizao do backup do registros da estao, pois seus valores podero ser sobrescritos; Logs: Na seo anterior verificou-se como obter e visualizar logs de evento de um sistema vivo, para sistemas off-line, ser necessrio obter cpias dos arquivos secevent.evt, appevent.evt e sysevent.evt da duplicata pericial. Esses arquivos geralmente esto armazenados no local padro

\%systemroot%\system32\Config, os mesmos podem ser obtidos atravs de um disco de inicializao do DOS (com NTFS para DOS, caso o sistema de arquivos seja NTFS) ou atravs de um disco de inicializao Linux com o kernel apropriado para montar drives NTFS. Uma vez obtidos os respectivos arquivos, eles podem ser importados pelo Event Viewer da estao forense.

49

5. A INVESTIGAO

A partir deste ponto inicia-se um estudo de caso fictcio em que um servidor web invadido por meio de um exploit, o qual explora uma vulnerabilidade conhecida e divulgada nos canais de comunicao especializados. Ser

demonstrado como o invasor entra no sistema utilizando tal software, e quais as conquistas realizadas por ele. Ser considerado para este estudo de caso uma anlise em um dispositivo vivo (Live Analisys), com algumas incurses em situaes de anlise Postmotem.

5.1. O alerta

No dia 27 de janeiro de 2005 s 13:10 horas, foi realizado um comunicado de que um dos servidores estaria sendo atacado, e que informaes poderiam ter sido retiradas da empresa. A primeira anlise realizada pelo administrador de que a mquina estaria com um comportamento anormal, com possibilidade de estar ocorrendo uma conexo remota. A primeira tomada de deciso foi de no realizar o desligamento da mquina, para que fosse possvel obter a coleta de informaes sobre processos ainda em execuo, bem como informaes sobre as conexes de rede, usurio ativos entre outros dados.

5.2. A busca pelas evidncias

Conforme foi descrito pelo administrador, a ao foi percebida no dia 27 de janeiro, imediatamente iniciou-se o trabalho de coleta das evidncias. Nos

50

captulos anteriores foram abordadas as ferramentas necessrias e os locais de busca das mesmas, seguindo estes conceitos, inicia-se o trabalho verificando os logs encontrados. Para cada ao realizada fundamental que se registre a data e hora de inicio e fim da atividade, para tanto poder ser utilizado os comandos date e time do prprio sistema operacional. Estas informaes, junto com os hashes criados de cada arquivo coletado, garantir que os arquivos no foram manipulados e que a evidncia continua intacta. O primeiro ponto a ser observado verificar se os logs esto sendo registrados, para tanto o uso da ferramenta AuditPol nos apresenta a seguinte condio dos servios de log do servidor-alvo. C:>AuditPol Running ... (X) Audit Enabled AuditCategorySystem = Success and Failure AuditCategoryLogon = Success and Failure AuditCategoryObjectAccess = Success and Failure AuditCategoryPrivilegeUse = Success and Failure AuditCategoryDetailedTracking = Success and Failure AuditCategoryPolicyChange = Success and Failure AuditCategoryAccountManagement = Success and Failure Unknown = Success and Failure Unknown = Success and Failure
Figura 5.2.1 Resultado obtido pela ferramenta AuditPol

Foi observado que neste computador no havia nenhum tipo registro ou conexo que fosse possvel determinar algum tipo de varredura de portas. Ento a busca por possveis registros deste tipo de atividade foi descartado, mas seria possvel ainda verificar as conexes de rede, mas antes fundamental avaliar os logs.

51

Na figura pode ser observado que o sistema operacional est configurado para registrar todos os logs necessrios, abaixo ser apresentado alguns fragmentos de alguns logs. A busca por tipos especficos de registros nos logs, facilita e agiliza o trabalho de prospeco de evidncias. Na tabela abaixo temos os identificadores e a descrio dos logs cuja busca deve ser priorizada, tais registros esto catalogados no log de segurana: ID 516 517 528 529 531 538 576 578 595 608 610 612 624 626 630 636 642 643 Descrio Alguns registros de evento de auditoria descartados. Log de auditoria limpo Logon bem-sucedido Logon falhou Logon falhou, bloqueado Logoff bem-sucedido Atribuio e uso dos direitos Uso de servio privilegiado Acesso indireto a objeto Mudana na diretiva de direitos Novo domnio confivel Mudana de diretiva de auditoria Nova conta adicionada Conta de usurio ativada Conta de usurio excluda Mudana no grupo de contas Mudana na conta de usurio Mudana na diretiva de dominio

Figura 5.2.2 Tabela de IDs de evento de log de segurana

Nota-se na figura abaixo que s 11:40 horas, foi realizada uma incluso de um usurio de forma bem-sucedida. Normalmente esta atividade se d

52

por meio de exploits que conseguem tal feito por meio de falhas do sistema operacional ou de algum servio que esteja sendo executado no mesmo. Atravs da ferramenta dumpel (dumpel l security t), foi obtido o log de segurana em arquivo texto e aberto em um editor para realizar anlise, conforme poder ser observado nas prximas figuras:

Figura 5.2.3 Registro onde caracterizado a incluso e ativao de um novo usurio

Figura 5.2.4 Caracterizao do uso da Shell e de ftp para realizar dowload da ferramenta pwdump, responsvel por coletar a base de usurios e senhas

Figura 5.2.5 Tentativas de login com a conta MASTER e sucesso no login como Administrador

53

Figura 5.2.6 Execuo do instalador do software de compactao 7zip

Figura 5.2.7 Acesso s pastas por meio do Explorer e execuo do software de compactao 7zip

Observando os logs de segurana, possvel estabelecer que: algum incluiu um novo usurio no sistema (MASTER), teve acesso uma Shell (cmd.exe), realizou o download da ferramenta pwdump atravs de ftp, e capturando os dados de usurio e senha por meio desta ferramenta, realizou remotamente a quebra da criptografia durante algum tempo e tendo sucesso nesta operao conseguiu realizar acesso atravs da conta Administrador, mas antes tentou acessar o sistema-alvo por meio da conta MASTER que o invasor teria criado anteriormente. Aps este acesso usou o Internet Explorer (IExplorer.exe) para baixar o software 7Zip, salvou o mesmo na pasta WINNT\repair, acessando o instalador salvo, instalo-o e acessou o Explorer (Explorer.exe) para copiar ou avaliar algum arquivo ou pasta. Continuando a busca por evidncias, ser agora realizada uma verificao nas conexes de rede, bem como nos processos, a fim de verificar se ainda existe algum tipo de operao em andamento.

54

Atravs do software FPort, que foi tratado anteriormente possvel verificar quais processos esto em andamento e quais as portas abertas por este processo.

Figura 5.2.8 Resultado obtido pela ferramenta FPort

Verifica-se nesta figura que existe um processo em execuo do programa Terminal Server, este servio se caracteriza pela possibilidade de conexo remota a um servidor Windows. Isto mostra que possivelmente o invasor ainda esteja com a conexo estabelecida, para verificarmos com qual endereo IP esta conexo est aberta usaremos o comando netstat, conforme pode ser visto na figura abaixo:

55

Figura 5.2.9 Apresentao do resultado obtido por meio do comando NetStat

A gama de informaes neste ponto j bastante elevada, alm das citadas anteriormente, temos informaes que o usurio realizou um acesso usando o recurso de Terminal Server e o endereo IP do invasor 192.168.0.252. Sabe-se tambm que o acesso por meio do Servidor de Terminais se deu por meio da conta Administrador, portanto possvel que o invasor tenha conseguido acesso a arquivos com nveis de proteo elevado. O prximo passo verificar quais as atividades realizadas pelo invasor, alguns locais onde possvel buscar tais evidncias so: Lixeira (Recycler); Pasta de cookies; Pasta de arquivos temporrios; Cach do browser.

Realizando uma busca na pasta recycler obteve-se as seguintes informaes:

56

Figura 5.2.10 - Contedo da pasta RECYCLER

Nota-se ento que foi gerado um arquivo compactado, pois arquivos com extenso 7z so caractersticos do software de compactao 7zip, software open-source, que facilmente encontrado em sites de download, como por exemplo o superdownloads.ubbi.com, que referenciado na pasta cookies.

Figura 5.2.11 Arquivo gerado com o software 7Zip, localizado na pasta RECYCLER

Se foi gerado um arquivo compactado e o mesmo foi eliminado, significa que antes da excluso pode ter ocorrido uma ao. Como na pasta RECYCLER e nos logs no se tem mais informaes, ser avaliado o contedo das pastas de cookies em busca de vestgios de conexo com algum site. Na figura

57

abaixo observa-se o contedo da pasta cookies, e nesta mesma pasta existe um cookie referenciando o site yahoo, provedor este que fornece mecanismo de correio eletrnico e tambm um cookie referenciando um site que prove servios de downloads de software, entre outros site visitados.

Figura 5.2.12 - Pasta cookies e seu contedo

Agora a busca ser concentrada no cach do browser, pois se o invasor acessou tais sites, provvel que tenha ficado armazenado algum resduo das aes no cach. Na figura abaixo apresentada parte do contedo das pastas registradas no cach, e possvel observar um arquivo chamado Attachments[1], indicando que foi enviado um email com anexo por meio de algum servio web.

58

Figura 5.2.13 Contedo parcial do cach do browser

Realizando uma anlise no referido arquivo, observa-se que foi acessado a conta whitefootbr@yahoo.com.br, e enviando o arquivo ftima.7z para a conta juruna@maxweb.com, nota-se que este o arquivo que foi encontrado na pasta RECYCLER.

59

Figura 5.2.14 Informaes obtidas pela anlise do arquivo Compose[1]

Com estas informaes possvel, atravs dos canais jurdicos, buscar informaes sobre o proprietrio da conta whitefootbr, e tentar identificar a pessoa responsvel pela invaso, bem como para quem foi enviado o email com os dados coletados. Muitos outros dados poderiam ser coletados nesta anlise, mas importante se concentrar e manter o foco no problema em questo, documentando tudo, para que tais dados possam ser aceitos como prova pericial em uma ao judicial. Neste case no foi realizada uma duplicata pericial, mas isto fundamental, para garantir que as provas estaro intactas, tais procedimentos foram abordados nos captulos anteriores.

60

5.3. A vulnerabilidade

A vulnerabilidade explorada apresentada no boletim tcnico da empresa Microsoft, este documento pode ser visualizado de forma completa em http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx. Este mdulo

explora um estouro da pilha do servio RPCSS, esta vulnerabilidade foi encontrada pelo grupo Delirium, sendo usado desde ento de forma macia.

5.4. O Ataque

Para compreender melhor a anlise realizada aps o ataque, a seguir ser apresentado como o mesmo foi realizado. Inicialmente realizada uma varredura nas portas a fim de verificar o status das mesmas, para isto ser utilizado a ferramenta nmap, na figura abaixo apresentada uma forma simplificada de uso da mesma:

Figura 5.4.1 Utilizao da ferramenta nmap

Aps realizada a varredura e detectada a porta que ser usada pelo exploit para realizar o ataque, inicia-se o procedimento de configurao do exploit com os dados do sistema-alvo, alguns parmetros sero necessrios como por exemplo: o endereo IP de destino, um nome de usurio e uma senha para este usurio. O objetivo neste ponto de criar um usurio vlido no sistema-alvo, pois desta maneira ser possvel acessar o mesmo remotamente sem a necessidade de

61

explorar de forma mais profunda os usurios do mesmo. Como parmetro est sendo estabelecido o usurio MASTER e a senha MASTER, conforme pode ser visto na figura abaixo:

Figura 5.4.2 Configurao do exploit para a criao de um usurio remotamente

Aps ser configurado, basta executar o mesmo para que se inclua um usurio e senha no sistema-alvo.

Figura 5.4.3 Execuo do exploit

A partir deste momento possvel acessar o sistema-alvo por meio de uma ferramenta de comunicao remota, telnet ou ftp, para isto importante verificar se o respectivo servio est em atividade, na figura abaixo possvel verificar a configurao para acesso do sistema-alvo por meio de um cliente do Terminal Server, j previamente verificado o status do servio.

62

Figura 5.4.4 Acesso do sistema-alvo

Como foi inserido um usurio e senha com privilgios baixos, hora de buscar acesso aos usurios cadastrados verdadeiramente no sistema-alvo, para isto ser utilizado um servio de ftp, onde est armazenada a ferramenta pwdump, e como meio de acesso ser utilizado o VNC, que uma ferramenta de administrao remota. O uso do VNC pode ser revelador, pois toda a ao feita pelo invasor poder ser vista no monitor conectado ao sistema-alvo. Mas para fins didticos fica mais fcil de se monitorar esta atividade. Abaixo apresentado a tela com as caractersticas de configurao do exploit para esta atividade, obrigatoriamente para que se possa utilizar o VNC, ser necessrio informar o endereo IP de origem, tornando o sistema do invasor mais vulnervel. Note que no sistema-alvo, no h instalado o software VNC, ele ser executado de forma remota por meio da falha, no ficando instalado o mesmo aps o trmino da atividade.

63

Figura 5.4.5 Visualizao da configurao do exploit

Aps a inicio do ataque, o sistema-alvo apresentar a seguinte tela, onde apresentado um Shell, sendo que na figura abaixo mostrado a realizao da conexo remota a um servio ftp, cuja origem o sistema-alvo e o destino a mquina do invasor. O objetivo desta conexo o download do software pwdump, que ser responsvel pela captura dos usurios e senhas do sistema alvo. Na figura abaixo apresentado o momento em que o sistema-alvo se conecta via ftp mquina do invasor.

Figura 5.4.6 Conexo via ftp ao sistema invasor

64

Feito a conexo, iniciada a transferncia do software pwdump, conforme apresentado a seguir.

Figura 5.4.7 Transferncia via ftp do software pwdump

Na figura abaixo apresentado, ainda no sistema-alvo, o resultado da coleta feita pelo software pwdump, como a coleta foi realizada com sucesso, a mesma transferida para o sistema do invasor via ftp para posterior anlise, conforme pode ser visto na figura 5.9.

Figura 5.4.8 Resultado da coleta realizado pelo pwdump

65

Figura 5.4.9 Apresentao da transferncia via ftp e o arquivo j no sistema invasor

Estando o arquivo coletado no sistema invasor, pode-se abrir o mesmo por meio da ferramenta L0phtcrack e em seguida buscar a quebra das senhas dos usurios cadastrados no sistema-alvo para um ataque mais profundo ao sistema-alvo. Na figura abaixo apresentado o resultado da atividade na ferramenta em relao ao contedo extrado pelo pwdump.

Figura 5.4.10 Resultados obtidos por meio da ferramenta L0phtcrack

De posse dos usurios e senha conquistados, o invasor poder ter acesso irrestrito ao sistema-alvo.

66

6. CONCLUSO

Nos ltimos anos tem-se visto muitas ocorrncias de crimes relacionados com informtica se espalharem, muitas empresas tem sido lesadas financeiramente bem como em sua imagem. Muitas situaes maliciosas tem feito com que o mercado corporativo sinalize por necessidades emergenciais de controle e diagnstico, situaes como por exemplo: crackers, vrus, fraudes eletrnicas na Internet, E-mail abusivo, pedofilia entre outro, soma-se a isto novas tecnologias como redes sem fio, condies humanas como insatisfao pessoal, gerando novas entradas de acesso aos sistemas computacionais, lgicos ou fsicos e como agravante, as empresas especializadas apontam para um aumento destas condies para os prximos anos. Nota-se portanto que o mercado de atuao de percia aplicada sistemas computacionais tende a aumentar nos prximos anos com objetivo de combater no somente ameaas externas e internas, bem como trabalhar em procedimentos e mecanismos de forma a proteger as corporaes de forma prativa. Com este trabalho foi possvel avaliar a gama de possibilidades de busca de informaes para resposta a incidentes, bem como para auditoria sistemas computacionais, no sendo aqui, de forma alguma esgotado o processo de aprendizagem e de estudo de mtodos e procedimentos para se atingir as metas de forma cada vez mais eficiente.

67

7. APNDICE A
Exemplo de SOP - (Standard Operating Procedures) O contexto do presente SOP o da anlise postmortem de uma mquina vtima de um incidente de segurana. Aps o desligamento da mquina em questo existe a necessidade de se efetuar cpias bit-a-bit de seu disco rgido para que os procedimentos de anlise no sejam conduzidos a partir das evidncias originais, evitando-se assim, o risco de que um eventual erro do examinador venha a danificar ou alterar a evidncia original de alguma forma. Empresa X S/A Time de Resposta a Incidentes Segurana TRIS Documento: AF/0013 Responsvel: <Nome do Responsvel> Verso: 1.0 01/12/2004 Descrio: Procedimento para duplicao bit-a-bit de disco rgido IDE proveniente de mquina envolvida em incidente de segurana. Requisitos: Mquina confivel utilizando Linux Red Hat 7.3 (AF/0008) com quantidade de espao livre em disco superior capacidade total de armazenamento do disco que se deseja duplicar. Presena dos programas dd e md5sum em conjunto com suas bibliotecas certificadamente originais (AF/0010). Procedimento: 1. Documentao de todas as informaes relevantes impressas na superfcie externa do disco, tais como: modelo, fabricante, quantidade de cilindros e

68

cabeas de leitura. Alm do registro das posies dos jumpers presentes no equipamento; 2. O disco deve ser instalado na estao forense no canal IDE secundrio, e para que no haja conflitos em relao s configuraes de dominncia (master/slave), o disco deve ser o nico dispositivo presente no canal. Para os prximos passos ser suposto o mapeamento do disco alvo no dispositivo de bloco /dev/hdc; 3. Ligue a estao e execute a deteco de discos presente na BIOS, tomando o cuidado de documentar a geometria do disco detectado; 4. Identifique e documente as parties presentes no dispositivo atravs do comando: fdisk -l /dev/hdc; 5. Calcule o hash MD5 de todos os dados contidos no disco atravs do comando: dd if=/ dev/hdc | md5sum -b; 6. Efetue a cpia de cada bit presente no dispositivo analisado, incluindo os espaos aparentemente vazios. Isto pode ser feito atravs do comando: dd if=/dev/hdc of=<nome-do-arquivo>. Note que tal procedimento pode exigir uma considervel capacidade de disco da estao forense. 7. Calcule o hash MD5 do arquivo gerado no passo 6 atravs do comando: dd if=<nomedo-arquivo> | md5sum -b; 8. Verifique se os hashes criptogrficos gerados nos passos 5 e 7 correspondem exatamente ao mesmo valor.

69

REFERNCIAS

CASEY, Eoghan; Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet; Academic Press; 2 Edio; 2004;

MANDIA, Kevin; PROSISE, Chris; Hackers Resposta e Contra-Ataque: Investigando Crimes por Computador; Campus; 2001;

NOBLETT, Michael G.; Report of the Federal Bureau of Investigation on development of forensic tools and examinations for data recovery from computer evidence; Proceedings of the 11th INTERPOL Forensic Sciense Symposium; 1995;

NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.; Recovering and Examining Computer Forensic Evidence; Forense Science Communications; Federal Bureau of Investigation; Outubro 2000, Vol. 2 N. 4;

SWGDE, Scientific Working Group on Digital Evidence; IOCE, International Organization on Digital Evidence; Digital Evidence: Standards and Priciples; Forense Science Communications; Federal Bureau of Investigation; Abril 2000, Vol. 2 N. 2;

THORTON, J.; The general assumptions and rationale of forensic identification; Modern Scientific Evidence: The Law and Science of Expert Testimony; West Publishing Co.; Volume 2; 1997;