Você está na página 1de 20

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

TCNICAS DE PERCIA FORENSE COMO FERRAMENTAS DE PREVENO DE INCIDENTES DE SEGURANA

Marcelo Teixeira de Azevedo (ITA-SP) exemplo@fals.com.br Ana Lucia Pegetti (ITA-SP/FALS) exemplo@fals.com.br Kleyton Maia dos Santos (ITA-SP) exemplo@fgals.com.br

Resumo: O presente artigo estuda a percia forense aplicada informtica e suas implicaes para a preveno de acidentes. Para tanto, so apresentados estudos de caso relevantes, que possibilitaram analisar eventos em que a percia fez-se necessria e buscar as prticas que elevassem as camadas de segurana desse sistema, mitigando riscos e possibilitando aes proativas por parte de seus administradores. Por fim, so identificadas as medidas que possibilitam a preveno de incidentes de segurana em uma rede computacional. Conclui-se que, com as prticas estudadas, o profissional de segurana da informao atuante em grupos de preveno e resposta a incidentes poder aumentar as camadas de segurana do ambiente computacional e, assim, prevenir incidentes, sabendo coletar e tratar uma evidncia. Palavras-chave: Percia forense. Leis e crimes digitais. Ferramentas de segurana. Abstract: The present paper studies the forensic skill applied to the computer science and its implications for the prevention of accidents. For so much, relevant case studies are presented, which made possible to analyze events in that the skill was made necessary, and to look for the practices to elevate the safety layers of that system, mitigating risks and making possible proactive actions on the part of its administrators. Finally, they are identified the measures that make possible the prevention of safety's incidents in a computer network. It is concluded that, with the studied practices, the professional of information safety active in groups of prevention and attack to incidents can increase the safety layers of the computer environment, and, like this, to prevent incidents, knowing how to collect and to treat an evidence. Keywords: Forensic skill. Digital law and crimes. Safety tools.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

1 INTRODUO
1.1 Preliminares
O tema escolhido aborda a percia computacional, que uma das reas de atuao dos profissionais de segurana da informao, cujo panorama mundial est diretamente envolvido com o uso da tecnologia e de sistemas informatizados, os quais precisam ser seguros e garantir disponibilidade, integridade e confidencialidade das informaes. Entretanto, quando algo de anormal acontece, como se deve proceder? Como saber, diante do emaranhado de bytes, o que constitui tal anormalidade? E o que ocorre quando, por trs dessa anormalidade, h uma ao ilcita? Nesse sentido, os profissionais da rea de segurana precisam, alm de estar preparados para lidar com essas situaes, ser capazes de ajudar a solucionar um evento, bem como de instruir as pessoas a seu redor a agir e proteger os dados e as evidncias. Precisam, alm disso, saber proteger os sistemas de informao, prever as aes de cibercriminosos e reagir diante de ameaas aos sistemas de informao, para que os criminosos no se prevaleam de um sistema sob os cuidados de um profissional na segurana da informao.

1.2 Delimitao do Tema


O tema est delimitado no estudo de tcnicas de percia computacional e suas formas de atuao. Alm disso, o estudo de caso realizado proporciona visualizar uma das formas de aplicao das tcnicas e ferramentas da percia, uma vez que tal aplicao d-se conforme o objetivo do caso, seja ele judicial ou corporativo. Por fim, apresenta-se uma proposta de mtodos que um profissional na rea de segurana da informao pode se valer para evitar a efetivao de um crime, no que se refere a prticas ilcitas nos sistemas computacionais.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

1.3 Justificativa para a Pesquisa


O crescente uso e a grande aplicao de sistemas informatizados e da tecnologia trazem riscos, como o mau uso da tecnologia por parte de pessoas que criam sistemas motivadores de prticas ilcitas, como tambm por parte daquelas que, mesmo no os criando, utilizam-se deles. Cabe ressaltar, ainda, que cada nova tecnologia desenvolvida proporciona a possibilidade de seu uso para prticas ilcitas. Nesse sentido, neste estudo, ser apresentado o panorama das prticas de percia, com foco principalmente nas medidas para coibir e prevenir as aes ilcitas nos sistemas computacionais.

1.4 Referencial Terico


Para o desenvolvimento deste trabalho, algumas obras so centrais para embasar e conduzir aos objetivos propostos. Dentre essas obras, tem-se a literatura relativa rea de Percia Forense Aplicada Informtica, de autoria de Freitas (2006), que fornece, a partir de mtodos e ferramentas estudados pelo autor, um embasamento sobre a evoluo do assunto ao longo da histria. A obra de Tocchetto e Espindula (2005), por sua vez, utilizada por apresentar informaes a respeito de prticas e procedimentos metodolgicos para um trabalho na rea de percia forense, sendo complementado pela literatura de Ng (2007), que informa os fatores motivadores para uma equipe de percia corporativa, bem como desenvolve conceitos e prticas para compor um modelo de equipe forense computacional. Alm disso, responsvel tanto pela interveno nas corporaes ligadas a casos de investigaes forenses quanto pelas polticas e desenvolvimentos de prticas que objetivam aumentar a segurana de um sistema corporativo. Nesse contexto, Farmer e Venema (2005) mostram no s a forma como informaes forenses podem ser localizadas, como tambm algumas ferramentas especficas para prticas no sistema UNIX. Alm disso, apresentam uma base de como as informaes persistem e como podem sofrer com aes deliberadas, atravs de uma anlise de procedimentos de percia e soluo de problemas.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Ainda, Alberto Filho (2010) expe aspectos da prova pericial e da atividade do perito durante o processo judicial, alm de apontar as principais modificaes no ordenamento jurdico, sendo, assim, fonte de informao ao tema associado percia, prova pericial e atuao do perito.

1.5 Problema
O trabalho de percia tem como dever buscar respostas sobre o que aconteceu em um incidente. Dessa forma, o perito, com requisitos tcnicos para isso, precisa conhecer a fundo sua rea de atuao, assim como as ferramentas que tem ao seu dispor. Alm disso, importante para o perito a organizao de seu trabalho e orientao para alcanar os objetivos. Por esses motivos, este trabalho no se resume apenas a um estudo da aplicabilidade e dos mtodos da percia computacional, mas visa a contextualizar o panorama atual da percia e indicar um mtodo de atuao, a fim de melhorar a eficcia do trabalho do perito. Isso porque, mesmo atuando corretamente na percia, o profissional de segurana da informao precisa saber como prevenir incidentes; evitando, minimizando e coibindo, assim, os riscos aos sistemas de informao. Nesse sentido, espera-se que o presente trabalho mostre que em cada incidente existe uma rica fonte de informao para se analisar e identificar tcnicas ou ferramentas, com o objetivo de aumentar a segurana de seus sistemas de informao.

2 FUNDAMENTAO TERICA
2.1 Percia
Do latim peritia, o vocbulo definido por Ferreira (2009) como qualidade de perito, vistoria especializada, alm de ser citado no glossrio do Instituto Brasileiro de Avaliaes e Percias de Engenharia de So Paulo (IBAPE/SP, 2011) como atividade incumbida a profissional especializado, legalmente habilitado a esclarecer um fato, ou

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

seja, descobrir fatores ou estados motivadores, alegaes de direito ou propriedade da coisa que objeto de litgio ou processo. Alm disso, no direito, a percia produtora de provas, sendo os peritos qualificados eleitos pelos juzes. Definida no Cdigo de Processo Civil, Lei n 5.869, de 11 de janeiro de 1973, art. 420, a prova pericial, por sua vez, consiste em exame, vistoria ou avaliao, sendo considerada, no decorrer do processo civil, um dos momentos mais cautelosos na estrutura de composio do texto. Nesse contexto, considerando que o momento de avaliao classificatrio de valor ao fato ou objeto, a vistoria o momento de anlise da caracterstica de bem imvel e o exame, referente a bem mvel e pessoas. Para tanto, o profissional perito na rea em questo utiliza tcnicas e ferramentas desenvolvidas para tal, fazendo-se necessrio o esclarecimento de detalhes tcnicos. Cumpre informar que, no presente trabalho, a percia ser abordada no escopo tecnolgico, uma vez que a crescente e contnua complexidade dos sistemas de tecnologia exige, cada vez mais, a interveno tcnica para esclarecer a veracidade de fatos ou circunstncias.

2.2 Forense

Do latim forense, o vocbulo definido por Ferreira (2009) como aquilo que se refere ao foro judicial, sendo relativo aos tribunais. Dessa forma, a tcnica forense diz respeito aplicao de recursos cientficos em um processo jurdico, sendo que essas prticas valem-se da percia para alcanar os objetivos de prova, visto que muitas provas no so perceptveis a olho nu nem esto disponveis a pessoas desprovidas de conhecimentos tcnicos necessrios. Ressalte-se que, com o passar do tempo, a criminologia desenvolve-se cada vez mais; isso porque, uma vez que os criminosos usam as mais criativas alternativas para driblar a lei, necessrio utilizar recursos cientficos em busca de uma maior eficincia, visando a tomar as devidas precaues para o correto julgamento desses casos, mesmo que, aparentemente, no caso dos meios eletrnicos, no haja pistas nem rastros fsicos.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

2.3 A Percia Forense Computacional


A percia forense computacional definida por Freitas (2006) como a aplicao de conhecimento de informtica e tcnicas de investigao com a finalidade de obteno de evidncias, alm de, para o autor, ser uma rea relativamente nova e em grande ascenso; justamente por isso tornou-se uma prtica importante nas corporaes e polcias, que utilizam resultados cientficos e matemticos estudados na cincia da computao. Nesse sentido, a finalidade motivadora da percia forense computacional , com base nas suas prticas cientficas, coletar e analisar as informaes disponveis no meio eletrnico, para que tais informaes (antes intangveis) passem a compor a certeza manifesta dos fatos que sero utilizados como provas. Essas informaes sero de grande valia, tambm, para o ambiente corporativo e judicial, pois, mesmo que no exista um processo judicial formal, as prticas da percia forense demonstraro o que realmente aconteceu e as intenes de um fato que tenha se desenrolado num ambiente eletrnico. Ainda, segundo Bustamante (2006), a percia forense pode ser definida como coleo e anlise de dados de um computador, sistema, rede ou dispositivos de armazenamento, de forma que sejam admitidos em juzo, sendo que as evidncias que um criminalista ou expert (tambm chamado perito) encontra geralmente no podem ser vistas a olho nu, dependendo de ferramentas e meios para a sua obteno. Nesse contexto, cabe ao profissional de informtica coletar as evidncias e produzir um laudo pericial com as evidncias e tcnicas abordadas na coleta. A computao forense continua em crescimento, tendo em vista que, cada vez mais, a sociedade faz uso dos computadores, exigindo profissionais nas esferas corporativas e judiciais, nas quais esto presentes questes sobre procedimentos ilegais em computadores. Atualmente, a busca por evidncias nos ambientes computacionais tem se tornado imprescindvel para a fora policial, pois pode esclarecer muitos crimes efetuados via computador. A cada dia, os dispositivos de armazenamento e acesso internet esto se tornando menores, mais baratos, mais rpidos, com maior portabilidade e com uso

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

amplamente difundido. Desse modo, na internet, no h como simplesmente isolar o local do crime, tampouco identificar de imediato a origem e autoria do crime, ou seja, possvel identificar a data e hora do evento, bem como alguns rastros de conexes em logs, mas no o autor do crime, como seria possvel com um exame de DNA. Isso se justifica devido natureza dinmica da rede, de modo que um local usado na internet para cometer crimes pode ser diferente ou ausente no dia seguinte. Assim, no se pode tomar concluses baseadas apenas em dados colhidos atravs de softwares.

3 ESTUDOS DE CASO
3.1 Invaso a Servidor Empresa ACME
3.1.1 Descrio Neste estudo de caso, ser apresentada uma situao simulada, baseada nos casos referentes a ssh do Projeto Honeypots da Honeynet (HONEYNET, 2010), que uma organizao de pesquisa lder em segurana internacional, dedicada a investigar os recentes ataques e a desenvolver ferramentas open source para melhorar a segurana na internet. Assim, considerar-se- que foi detectado, pelos administradores de rede da empresa fictcia ACME, comportamento instvel do servidor Domain Name Server (DNS) primrio, alto trfego de rede do servidor na porta do servio Secure Shell (SSH) e um anormal consumo de processamento do servidor.

3.1.2 Procedimento de anlise Feita a fase de levantamento e identificadas as tarefas do servidor no contexto da rede atual, concluiu-se que algo de errado estava ocorrendo, de modo que foram coletados os materiais necessrios para a percia atravs de um conjunto de discos com os softwares de coleta e anlise e uma unidade externa devidamente sanitizada para a coleta da imagem de disco do servidor. Cabe ressaltar que o acesso fsico ao servidor foi limitado apenas ao tcnico que iria efetuar a percia e que no foram necessrios

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

registros adicionais, como fotos, pois a percia foi realizada internamente; porm, em um caso oficial, esses procedimentos so impreterveis. A duplicao da unidade de disco do servidor foi feita com a ferramenta dd, utilizando o comando dd if=/dev/sdb1 of=/media/3268509868505ca3/imagem.dd, no qual if= representa a unidade de origem a ser copiada e of=, o arquivo de imagem que ir conter as informaes do disco bit a bit. Para melhor visualizao, a sada do comando dd pode ser verificada na Figura 1.

Figura 1 Sada do comando dd.

Uma vez feita a cpia, foi necessrio calcular o hash para garantir uma forma de validar a evidncia, comprovando que ela no foi alterada. Para tanto, foi utilizada a ferramenta sha512sum, com a qual possvel calcular o hash em sha 512 bits. Na Figura 2, so apresentados o comando e a sada, obtendo como resultado o valor de hash calculado para o arquivo imagem.dd, localizado na unidade /media/3268509868505CA3/; tal valor deve ser armazenado para futuras comparaes entre o disco original e a evidncia para garantir a integridade.

Figura 2 Sada do comando sha512sum.

J na fase de coleta, iniciou-se a captura do trfego com a ferramenta Wireshark, o que no auxilia muito no diagnstico, pois, durante uma seo de conexo via ssh, todo o contedo trafega de forma criptografada. Contudo, como resultado do uso dessa ferramenta, na Figura 3, possvel identificar a seo estabelecida e dados como: origem, destino protocolo e porta de comunicao.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Figura 3 Trfego de rede da seo ssh.

Por fim, aps a captura, foi interrompido o servio ssh, com objetivo de cessar o alto trfego de rede e a carga de processamento no servidor. Foram coletados, tambm, logs dos servios de ssh e autenticao, bem como foi identificada uma conexo remota estabelecida no servio de ssh que no era esperada.

3.1.3 Diagnstico Na fase de anlise, detectou-se a explorao do servio de ssh para acesso e troca de informaes e comandos com o servidor vtima; considerando que o acesso foi consumado com uma conta administrativa de root. Nesse sentido, a Figura 4 demonstra o resultado do comando tail para listar o final do arquivo de log, sendo possvel analisar as vrias tentativas de autenticao no servio ssh com usurio administrativo oriundas do mesmo endereo atacante.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Figura 4 Trecho de contedo arquivo de log /var/log/secure.

J a Figura 5 mostra intervalo do log, atravs do comando tail, no qual a conexo com o servio foi bem-sucedida, ou seja, momento em que o ataque obteve sucesso.

Figura 5 Log em destaque com conexo em /var/log/secure.

Identificada a intruso no sistema, foram analisados os arquivos criados ou alterados pelo atacante. Para tanto, foi feita a anlise dos mactimes com as ferramentas mac-robber e mactime, sendo necessrio gerar a base de dados para anlise com a ferramenta mac-robber, atravs do comando mac-robber /root/exploit > exploit.mactimes, no qual /root/exploit representa o diretrio a ser analisado e exploit.mactime, o arquivo de destino dos dados de mactimes, formando uma base de

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

dados para ser processada pela ferramenta, a qual ir compor a linha de tempo dos arquivos, conforme demonstrado na Figura 6.

Figura 6 Sada da linha de tempo do comando mactime.

Analisando todos os arquivos de imagem com a ferramenta autopsy (Figuras 7 e 8), verificou-se que os arquivos da pasta /root/exploit foram os nicos criados e alterados aps o ataque; essa pasta continha alguns arquivos de scripts maliciosos, que seriam posteriormente utilizados pelo atacante, porm a invaso foi frustrada antes que isso ocorresse, o que foi comprovado pelo fato de os atributos de execuo desses scripts ainda no terem recebido marcao.

Figura 7 Tela inicial da ferramenta autopsy.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Figura 8 Pesquisa por arquivos de log em Keyword Search da ferramenta autospy.

3.1.4 Resultados Com a anlise, foi possvel diagnosticar uma tentativa bem-sucedida de acesso ao servidor atravs do servio ssh, por uma tcnica chamada fora bruta, definida pelo Centro de Atendimento a Incidentes de Segurana (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP, 2010) como sucesses de tentativa e erro utilizando um conjunto de duplas usurio/senha para tentar obter acesso ao servio. Para melhor entendimento e anlise dos resultados, simulou-se o ataque utilizando o seguinte script atravs da distribuio Linux Fedora Security:
#!/bin/bash ARQSENHAS=senhas.txt BINSSH=/usr/bin/ssh BINPASS=/usr/local/bin/sshpass j=0 # for i in `cat $ARQSENHAS`; do

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

$BINPASS -p$i $BINSSH root@0.0.0.0 "echo 'Conexao bem sucedida'" j=$((j+1)); echo $j; done #

Nesse script, foram utilizadas duas ferramentas para conexo: o sshpass e o cliente de conexo remota ssh. A primeira destinada a prover senha para uma autenticao no interativa em uma ferramenta que necessite de uma autenticao interativa, como no exemplo; ou seja, quando se necessita de uma entrada via teclado para a autenticao, o sshpass simula essa entrada, possibilitando a automao da tarefa de tentativa de login. Assim, atravs do uso desse script, foi possvel testar vrias senhas para o mesmo usurio e servidor, sem interveno humana, agilizando a tarefa de tentativa e erro no login. Na Figura 9, possvel verificar as vrias tentativas de login, sendo que, na de nmero 10, a conexo foi bem-sucedida, possibilitando utilizar a senha presente no arquivo senhas.txt, na linha 10, para o acesso remoto via ssh. interessante ressaltar que esse arquivo deve conter as possveis senhas e ser gerado atravs de uma ferramenta de dicionrio de senhas, para melhorar as tentativas do acesso.

Figura 9 Sada do script de fora bruta no ssh.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

J na Figura 10, so apresentados os logs do servidor vtima, nos quais as tentativas so registradas pelo servio de conexo remota sshd. Na ltima linha, tem-se o momento da conexo bem-sucedida no servio durante o teste.

Figura 10 Log do servidor sshd.

Uma vez que a tentativa foi bem-sucedida, conclui-se que o servidor vtima estava de fato vulnervel a esse tipo de ataque, com uma senha fraca, descoberta no processo de tentativa e erro. Cumpre informar que, nessa fase, o perito deve compor um laudo expondo o parecer tcnico e apresent-lo a quem for necessrio, seja para a autoridade judicial ou os responsveis pela empresa ou setor.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

4.2 Prevenindo Incidentes com Base no Estudo de Caso


4.2.1 Prevenes no caso de invaso de servidor A preveno de incidentes em sistemas que provem acesso remoto requer uma anlise detalhada da infraestrutura de rede, com o intuito de configur-la corretamente para atender aos requisitos mnimos de segurana e funcionalidades do servio. Para tanto, os principais itens a serem considerados na anlise so: as questes de proteo e configurao correta do servidor que hospeda o servio de acesso remoto; a proteo dos dados que trafegam na rede, com uso de sistemas de firewalls e IDS/IPS/NIPS; e os mtodos de autenticao e identificao da identidade dos usurios que logam no acesso remoto. A seguir, sero apresentadas algumas questes para a preveno desses incidentes.

4.2.1.1 DMZ O modelo DMZ, sigla para de DeMilitarized Zone ou zona desmilitarizada, implementa na rede uma zona separada da rede externa (internet Wan) e da rede interna (rede local Lan). Esse termo, de origem militar, classifica uma regio sem atividades militares de defesa ou ataque, por vezes entre dois territrios em conflito; aplicado a redes, considera que ela contm servios com exposio internet, como de acesso remoto, correio, sites e protocolo de transferncia de arquivos FTP, os quais devem ficar separados da rede local. Assim, quando um ataque for bem-sucedido nesse ambiente, est confinado rede DMZ e no ir impactar em toda a rede da organizao. Esse conceito tambm aplicado para separar setores e usurios-chave em diferentes nveis de proteo, alm de ditar que a rede possui um nvel de segurana intermedirio, o qual, entretanto, no a colocaria como nica para armazenar dados crticos para a empresa, devendo, dessa forma, ser estudada e bem projetada antes de sua implementao.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Normalmente, o conceito de DMZ aplicado utilizando firewalls e suas polticas para separar os trfegos entre as redes, sendo as seguintes regras e polticas de segurana aplicadas:

comunicao da rede externa para DMZ aceita; comunicao da rede externa para a rede interna negada; comunicao da rede interna para DMZ aceita; comunicao da rede interna para a rede externa aceita; comunicao da DMZ para a rede interna negada; comunicao originada na DMZ para a rede externa negada.

Cabe ressaltar, ainda, que uma DMZ previne um incidente mais abrangente, pois, se um servio for comprometido nela, existem outras barreiras a transpassar antes de se alcanar os demais servios da rede. No contexto do estudo de caso, o servio ssh, uma vez violado, ficaria com o acesso isolado somente quela rede DMZ, dando uma melhor possibilidade de combate e proteo.

4.2.1.2 Servidor de log Em redes que crescem em sistemas e equipamentos, o gerenciamento de logs de forma descentralizada ir demandar cada vez mais tempo e recursos, uma vez que cada log, com suas particularidades e seu local de alocao, complica ainda mais o processo de anlise e monitoramento. Para resolver esse problema, utiliza-se a centralizao dos logs, que so arquivos com registros sobre servios ou mquinas e que auxiliam na administrao dos recursos, com informaes sobre acessos, problemas, avisos, alertas e demais informaes para a administrao do ambiente. O conceito consiste em definir um servidor responsvel por armazenar todos os logs, configurando as demais mquinas da rede para que seus logs sejam enviados para esse servidor. Essa funo de centralizao pode ser aplicada para vrios fins, como, por

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

exemplo, auditoria ou proteo de logs de alguma invaso; ainda, no servidor de logs, possvel obter uma melhor anlise da informao, para estudar o desempenho e o dimensionamento das mquinas, analisando, por exemplo, o servio que recebe mais acessos e precisa ser equilibrado. Para tanto, utilizada a ferramenta Linux Rsyslog, que coleta e centraliza os logs de mquinas Linux e Windows. Para uma ao de preveno de incidentes, muito importante que as informaes de logs e os registros estejam preservados e acessveis para anlise e percia, pois necessrio saber o que est ou estava acontecendo durante uma ao maliciosa; a tentativa de apagar ou encobrir rastros ir afetar os logs e registros, porm se esses registros forem tambm armazenadores em outro local, como no servidor de logs, isso preservar as evidncias, contribuindo para uma coleta de informaes sobre os eventos de forma eficaz.

4.2.1.3 Restrio e controle de acesso remoto Neste item, analisa-se tanto as medidas para uma correta configurao que, aplicadas ao servidor sshd, oferecem maior segurana e robustez ao servio, quanto outras alternativas. importante destacar que os conceitos podem ser aplicados a outros modelos de servio para acesso remoto, como Remote Desktop, Vpn, Logmein, Teamviewr e afins, bastando saber a forma de configurao destes. No caso do servio sshd, as configuraes devem ser feitas no arquivo /etc/ssh/sshd_config, no qual se encontram os parmetros de funcionamento do servio, lembrando que, aps qualquer alterao, deve-se recarregar o servio, para que as alteraes tenham efeito. Tambm, recomendada a troca da porta-padro de acesso do servio de acesso remoto, pois ataques automatizados vo explorar justamente essa porta; no ssh, a porta-padro a 22, que pode ser alterada atravs do parmetro Port XX, onde xx representa o nmero da porta em que o servio ir aguardar a conexo. Caso se utilize um firewall, nele tambm haver uma regra permitindo a essa porta comunicar-se. Alm disso, devem ser verificadas as seguintes recomendaes:

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

no permitir autenticao com usurio sem senha, ativando o seguinte parmetro na configurao do sshd: PermitEmptyPasswords no;

usar senhas fortes, complexas e com comprimento mnimo de 15 caracteres, ativando a opo de utilizar o pacote Pluggable Authentication Module (PAM), que auxilia nas regras de autenticao, exigindo requisitos de senhas e tentativas limitadas, atravs do parmetro UsePAM Yes;

limitar a quantidade de tentativas de senha errada, derrubando a conexo aps a tentativa, ativando a opo: MaxAuthTries 3. Nesse exemplo, limitar a trs as tentativas de senhas; caso, na terceira, a senha esteja errada, a conexo finalizada e ter de ser reiniciada;

no permitir que o usurio root ou outro que faa parte do grupo root efetue o login diretamente. conveniente, nesse caso, que se logue como usurio restrito, utilizando o comando su para elevar o privilgio como root, caso seja necessrio, pois tarefas simples e testes de funcionalidades podem ser executados como usurio comum, no afetando e alterando nada. Utilizar os seguintes parmetros: PermitRootLogin no, AllowUsers usuraiocomum1 usuariocomun2, AllowGroups gruposshdousuariocomun;

utilizar apenas a ltima verso do protocolo ssh, que, atualmente, a 2, ativando o parmetro: Protocol 2;

utilizar regras de firewall para permitir conexo na porta do servio de acesso remoto apenas por IPs conhecidos e para restringir ainda mais o servio de acesso remoto.

5 CONCLUSO
Com este trabalho, foi possvel analisar a aplicao da percia forense informtica, em que cada caso representa um desafio mpar, devido crescente evoluo dos ambientes computacionais. As dificuldades para os peritos e suas percias tambm se elevam com o panorama atual da legislao brasileira, que abrange, em parte, as tecnologias atuais. Sobre isso, Marco Aurlio Greco (2000) conclui que o

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

direito vem sofrendo igualmente os reflexos das modificaes profundas no mundo por conta dos avanos tecnolgicos e da globalizao. As novas tecnologias, cada qual com seus padres e dignas de um estudo individual, aparentam representar um volume de informao muitas vezes maior do que os recursos e ferramentas da percia forense computacional, porm possvel identificar que o mtodo proposto, seguindo uma sequncia lgica e organizada, possibilita ao perito atuar de forma mais eficiente e eficaz. Alm disso, importante ressaltar que os meios eletrnicos ainda despertam uma falsa sensao de anonimato e impunidade, sentimento confirmado pelo crescimento dos crimes eletrnicos nas pesquisas, mesmo margem de grandes dificuldades em torno de legislaes e tecnologias. Nesse contexto, este estudo demonstrou que os poderes competentes e as organizaes tm alternativas para buscar a segurana para seus ambientes computacionais. Com as prticas aqui estudadas, o profissional de segurana da informao atuante em grupos de preveno e resposta a incidentes poder aumentar as camadas de segurana do ambiente computacional e, assim, prevenir incidentes, sabendo coletar e tratar uma evidncia. Por fim, o caso apresentado constitue rica fonte de informao para uma anlise objetivando a preveno de incidentes, uma vez que trazem tona aspectos relevantes, tais como: os ambientes de rede precisam ser organizados e estruturados, ter redundncia e dispor de acompanhamento, monitoramento, manuteno e segurana adequada. Tambm, revelam que os sistemas precisam ser testados, atualizados e corrigidos, sendo, para tanto, utilizada uma gama de tcnicas, metodologias, procedimentos e ferramentas, a fim de prevenir incidentes e riscos segurana dos ambientes computacionais.

Peridico de Divulgao Cientfica da FALS Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

REFERNCIAS
FREITAS, Andrey Rodrigues. Percia forense aplicada informtica. Rio de Janeiro: Brasport, 2006. ALBERTO FILHO, Reinaldo Pinto. Da percia ao perito. Niteri: mpetus, 2010. BUSTAMANTE, Leonardo. Computao forense: preparando o ambiente de trabalho. Uol, julho, 2006. Disponvel em: <http://imasters.uol.com.br/artigo/4335/forense/computacao_forense__preparando_o_ambiente_de_trabalho/>. Acesso em: 04 maio 2009. FARMER, Dan; VENEMA, Wietse. Percia forense computacional: teoria e prtica aplicada. So Paulo: Prentice Hall, 2005.

GRECO, Marco Aurlio. Internet e direito. 2. ed. So Paulo: Dialtica, 2000. HONEYNET. Projeto Honeypots. Disponvel em: <http://www.honeynet.org>. Acesso em: 20 mar. 2010. NG, Reginaldo. Forense computacional corporativa. Rio de Janeiro: Brasport, 2007. REDE NACIONAL DE ENSINO E PESQUISA (RNP). Centro de Atendimento a Incidentes de Segurana (CAIS). Disponvel em: <http://www.rnp.br/cais/>. Acesso em: 29 mar. 2010. TOCCHETTO, Domingos; ESPINDULA, Alberi. Criminalstica procedimentos e metodologias. Porto Alegre: Cleusa dos Santos Novak, 2005.