(TCC II UTFPR) Avaliação de Técnicas Antiforenses Computacionais Aplicadas A Registros Linux

UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS PARA INTERNET
GUILHERME ZANINI DE S
AVALIAO DE TCNICAS ANTIFORENSES COMPUTACIONAIS APLICADAS A REGISTROS DE SISTEMAS LINUX
TRABALHO DE CONCLUSO DE CURSO
CAMPO MOURO 2013
GUILHERME ZANINI DE S
AVALIAO DE TCNICAS ANTIFORENSES COMPUTACIONAIS APLICADAS A REGISTROS DE SISTEMAS LINUX
Trabalho de Concluso de Curso de graduao do Curso Superior de Tecnologia em Sistemas para Internet da Coordenao de Informtica da Universidade Tecnolgica Federal do Paran UTFPR, como requisito para colao de grau. Orientador: Prof. Me. Rodrigo Campiolo
CAMPO MOURO 2013
Ministrio da Educao
Universidade Tecnolgica Federal do Paran
Campus Campo Mouro
Coordenao do Curso Superior de Tecnologia em Sistemas para Internet
ATA DA DEFESA DO TABALHO DE CONCLUSO DE CURSO

s vinte e um horas do dia trs de maio de dois mil e treze foi realizada no Mini-auditrio do EAD da UTFPR-CM a sesso pblica da defesa do Trabalho de Concluso do Curso Superior de Tecnologia em Sistemas para Internet do acadmico Guilherme Zanini de S com o ttulo AVALIAO DE TCNICAS ANTIFORENSES COMPUTACIONAIS APLICADAS A REGISTROS DE SISTEMAS LINUX. Estavam presentes, alm do acadmico, os membros da banca examinadora composta pelo professor Me. Rodrigo Campiolo (Orientador-Presidente), pelo professor Me. Luiz Arthur Feitosa dos Santos e pelo professor Me. Frank Helbert Borsato. Inicialmente, o aluno fez a apresentao do seu trabalho, sendo, em seguida, arguido pela banca examinadora. Aps as arguies, sem a presena do acadmico, a banca examinadora o considerou APROVADO na disciplina de Trabalho de Concluso de Curso e atribuiu, em consenso, a nota ____ (_________________________). Este resultado foi comunicado ao acadmico e aos presentes na sesso pblica. A banca examinadora tambm comunicou ao acadmico que este resultado fica condicionado entrega da verso final dentro dos padres e da documentao exigida pela UTFPR ao professor Responsvel do TCC no prazo de onze dias. Em seguida foi encerrada a sesso e, para constar, foi lavrada a presente Ata que segue assinada pelos membros da banca examinadora, aps lida e considerada conforme. Observaes:
___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ Campo Mouro, 03 de maio de 2013.
Me. Luiz Arthur Feitosa dos Santos Membro
Me. Frank Helbert Borsato Membro
Me. Rodrigo Campiolo Orientador
Deus, que me concedeu a Sua Graa, favor imerecido e benevolente para com os homens. memria de lcio de S, cujos sbios conselhos me serviram a vida toda e por sua dedicao com a famlia que expressaram o que amar. Djanira Zanini de S, no somente me, mas guerreira e refgio nos momentos de dor, um presente de Deus para ns. Francisco Mineiro Junior e Deise Mineiro, que conduziram e incentivaram minha educao formal, que me amaram e me ampararam em momentos difceis. Tais, Cintia e Ronaldo, meu irmos os quais amo. minha companheira e amada Jennifer, uma batalhadora, mulher de Deus, minha esposa. todos meus amigos, que me ajudaram, me incentivaram e foram pacientes comigo.
AGRADECIMENTOS
Certamente estes pargrafos no iro atender a todas as pessoas que fizeram parte dessa importante fase de minha vida. Portanto, desde j peo desculpas quelas que no esto presentes entre essas palavras, mas elas podem estar certas que fazem parte do meu pensamento e de minha gratido. Reverencio o Professor Me. Rodrigo Campiolo pela sua dedicao e pela orientao deste trabalho e, por meio dele, eu me reporto a toda a comunidade da Universidade Tecnolgica Federal do Paran (UTFPR) pelo apoio incondicional. A todos os colegas da Universidade gostaria de externar minha satisfao de poder conviver com eles durante a realizao deste curso, pelos momentos de estresse, pelas muitas conversas nas salas de aula, pois so como alavancas para o convvio sadio perante a sociedade e pela grande pacincia comigo. Agradeo aos pesquisadores e professores da banca examinadora pela ateno e contribuio dedicadas a este estudo. Reconheo tambm o carinho da minha famlia, pois acredito que sem o apoio deles seria muito difcil vencer esse desafio. E por ltimo, e nem por isso menos importante, agradeo a minha esposa Jennifer pelo carinho, amor e compreenso.
RESUMO
S, Guilherme Zanini de. Avaliao de Tcnicas Antiforenses Computacional Aplicadas a Registros de Sistema Linux. 59f. Trabalho de Concluso de Curso (Tecnologia em Sistemas para a Internet) Programa de Graduao em Tecnologia em Sistemas para Internet, Universidade Tecnolgica Federal de do Paran. Campo Mouro, 2013. Este trabalho aborda as tcnicas antiforenses computacionais aplicadas a arquivos de registro, conhecido como logs. Os registros so uma das principais fontes de informaes para peritos criminais e administradores de rede investigarem comportamentos anmalos em sistemas computacionais, como por exemplo, resultados de uma invaso. Objetiva-se neste trabalho investigar e analisar as tcnicas antiforenses aplicadas a sistemas de registro e avaliar a efetividade e dificuldade de execuo de tais tcnicas. Foram selecionados a distribuio GNU/Debian Linux para a realizao de dois casos de estudo: instalao padro e medidas de segurana. Em ambos os casos foram aplicadas as tcnicas antiforenses e avaliadas a efetividade e dificuldade baseadas na execuo de cada tcnica. Foi considerado neste trabalho que o sistema alvo j estava comprometido. Verificou-se que as tcnicas usadas como um super usurio so eficientes em um ambiente sem proteo adequada, logo, torna-se simples um invasor ocultar seus rastros. Palavras-chave: Antiforenses. Logs. Anlise Forense. Tcnicas. Segurana. Linux.
ABSTRACT
SA, Guilherme Zanini de. Analysis of the Anti-forensic Techniques Applied to Linux Log Files. 59p. End of Course Work (Systems Technology for the Internet) - Graduate Program in Systems Technology for the Internet, Federal Technological University of Paran. Campo Mouro, 2013. This work addresses anti-forensic techniques applied in log files. Log files are the main source of information for forensic experts and network administrators to investigate anomalies in computer systems, such as results from an invasion. The aim was to investigate anti-forensic techniques used in log files and also evaluate the efficacy and difficulty of implementing such techniques. We used GNU / Debian Linux and we carried out two case studies: standard installation and safety measures. In both case, antiforenses techniques were evaluated regarding efficacy and difficulty. We assumed that the target system was already compromised. We verified that the techniques used as a super user are efficient in an environment without proper protection hence it becomes easy an invader hide his actions. Keywords: Anti-forensic. Security. Linux. Forensic analysis.
LISTA DE ILUSTRAES
FIGURA 1 - ANATOMIA DE UM ATAQUE ............................................................................ 20 FIGURA 2- TOPOLOGIA DA REDE UTILIZADA .................................................................. 30 FIGURA 3 - LOG GERADO EM AUTH.LOG POR ACESSO SSH ........................................ 32 FIGURA 4 USO DO COMANDO HISTORY ...................................................................... 32 FIGURA 5 - PRIMEIRO COMANDO EXECUTADO POR UM INVASOR .............................. 33 FIGURA 6 - LOCALIZAO E EDIO DO REGISTRO AUTH.LOG .................................. 33 FIGURA 7 - APAGANDO DADOS DO AUTH.LOG ............................................................... 33 FIGURA 8 - COMANDO LAST VERIFICA LTIMOS ACESSOS BEM SUCEDIDOS ........... 33 FIGURA 9 - COMANDO LAST ADULTERADO .................................................................... 34 FIGURA 10 - EDITANDO ARQUIVO LASTLOG COM NANO .............................................. 34 FIGURA 11 - EXECUO DO COMANDO LASTLOG E INFORMAES DE IP ................ 34 FIGURA 12 - RESULTADO DO COMANDO LASTLOG ADULTERADO............................... 34 FIGURA 13 - ARQUIVOS CONTIDOS NO ROOTKIT E SUA TRANSFERNCIA ................ 35 FIGURA 14 - MOVENDO O ARQUIVO PARA O COMPILADOR C ...................................... 35 FIGURA 15 - INSTALAO DO WIPE E O SECURE-DELETE ........................................... 36 FIGURA 16 - CRIAO DE PASTAS PARA TESTE ............................................................ 36 FIGURA 17 - REMOO DE ARQUIVO COM WIPE E TESTE ........................................... 36 FIGURA 18 - REMOO COM SECURE-DELETE EM 3 ETAPAS...................................... 36 FIGURA 19 - LISTA DE ARQUIVOS INSTALADOS PELO APT-GET ................................... 37 FIGURA 20 LIMPEZA APT-GET E REMOO DO WIPE E SECURE-DELETE ............... 37 FIGURA 21 - FALSO REGISTRO INSERIDO PARA CULPAR OUTRO USURIO .............. 37 FIGURA 22 - LOGGER -T PARA ESCONDER O NOME DE USURIO DO INVASOR........ 38 FIGURA 23 - MENSAGEM ADICIONADA AO /ETC/LOGROTATE.CONF ............................ 38 FIGURA 24 - UTILIZAO DO COMANDO CHATTR +A .................................................... 38 FIGURA 25 - DOWNLOAD DO OSSEC HIDS ..................................................................... 39 FIGURA 26 - CONFIGURAO DO ARQUIVO XML DO OSSEC ....................................... 39 FIGURA 27 - ALERTA DO OSSEC HIDS ............................................................................. 40 FIGURA 28 - REGISTRO DO OSSEC.LOG......................................................................... 40 FIGURA 29 - SELINUX EM FUNCIONAMENTO .................................................................. 40 FIGURA 30 - STATUS DO SELINUX ................................................................................... 41 FIGURA 31- ALTERAO DA CONFIGURAO DO SELINUX ......................................... 41 FIGURA 32 - STATUS DESATIVADO SO SELINUX ............................................................ 41
LISTA DE QUADROS
QUADRO 1 - CICLO DE VIDA DOS DADOS ....................................................................... 17 QUADRO 2 - MACTIMES DE UM SISTEMA ....................................................................... 17 QUADRO 3 - PRINCIPAIS REGISTROS E SUA FUNCIONALIDADE .................................. 18 QUADRO 4 - FACILITY SYSLOG ........................................................................................ 19 QUADRO 5 - NVEIS DE LOGGING (DETALHAMENTO) DE SYSLOG .............................. 19 QUADRO 6 - FERRAMENTAS UTILIZADAS PARA RECONHECIMENTO .......................... 21 QUADRO 7 - PROGRAMAS USADOS PARA DESCOBERTA DE TOPOLOGIA DE REDE . 21 QUADRO 8 - PROGRAMAS USADOS PARA VARREDURA DE REDE .............................. 22 QUADRO 9 - TCNICAS DE OBTENO DE SENHAS E CARACTERSTICAS................ 23 QUADRO 10 - ROOTKIT LRK6 E ALGUNS BINRIOS INCLUSOS .................................... 35 QUADRO 11 - ARQUIVOS DE LOG E FUNCIONALIDADES .............................................. 47 QUADRO 12 - ARQUIVOS DE CONTABILIDADE E FUNCIONALIDADE ............................ 48 QUADRO 13 - RECURSOS DO SYSLOG E PROGRAMAS QUE OS UTILIZAM ................ 48 QUADRO 14 - AO DO SYSLOG E SEU SIGNIFICADO .................................................. 49 QUADRO 15 - QUALIFICADORES DO SYSLOG DO UNIX E SEUS SIGNIFICADOS ........ 49
SUMRIO
1. 2. 2.1. 2.1.1. 2.1.2. 2.1.2.1. 2.1.2.2. 2.1.2.3. 2.1.2.4. 2.2. 2.2.1. 2.2.2. 2.2.3. 2.2.4. 2.3. 2.4. 2.4.1. 2.4.2. 2.4.3. 2.4.4. 2.4.5. 2.5. 2.5.1. 2.5.2. 2.5.3. 2.5.4. 2.5.5. 2.5.6. 2.5.7. 2.5.8. 2.5.9. 2.5.10. 2.5.11. 3. 3.1. INTRODUO ............................................................................................................. 12 DESENVOLVIMENTO TERICO ................................................................................. 14 PERCIA FORENSE COMPUTACIONAL ................................................................. 14 Definio .............................................................................................................. 14 Processos da percia ............................................................................................ 14 Coleta dos dados ................................................................................................. 14 Exame dos dados................................................................................................. 15 Anlise de evidncias ........................................................................................... 15 Laudo tcnico ....................................................................................................... 15 Conceito e uso de registros .................................................................................. 16 OOV Ordem da Volatilidade ............................................................................ 16 MACtimes............................................................................................................. 17 Registros no Linux ................................................................................................ 18 ANATOMIA DE UM ATAQUE .................................................................................... 20 TCNICAS ANTIFORENSES ................................................................................... 23 Desabilitao de registros .................................................................................... 24 Adulterao dos registros ..................................................................................... 24 Excluso segura de registros ............................................................................... 24 Insero de entradas falsas de registro ................................................................ 24 Ataque a logrotate para eliminar registros antigos ................................................ 25 MEDIDAS DE SEGURANA ................................................................................... 25 Princpios bsicos de segurana .......................................................................... 25 Protegendo arquivos de relatrio de acesso ao sistema....................................... 25 Cpia de segurana online ................................................................................... 25 Registros externos ao registro .............................................................................. 26 Nomes de arquivos manipulados com espao...................................................... 26 Servidor de registros ............................................................................................ 26 Scanners de segurana do sistema...................................................................... 27 Permisses dos registros ..................................................................................... 27 Criptografia do trfego de syslog .......................................................................... 27 OSSEC Sistema de deteco de intruso de host ............................................. 27 SELinux Security Enhanced Linux ..................................................................... 28 MATERIAIS .............................................................................................................. 29
SISTEMAS DE REGISTROS ................................................................................... 16
MATERIAIS E MTODOS ............................................................................................ 29
10
3.2. 4. 4.1. 4.2. 5. 6. 7. 8.
MTODOS ............................................................................................................... 30 APLICAO E ANLISE DAS TCNICAS ANTIFORENSES ...................................... 32 ESTUDO DE CASO 1: SEGURANA PADRO....................................................... 32 ESTUDO DE CASO 2: MEDIDAS DE SEGURANA ............................................... 39 RESULTADOS E DISCUSSES .................................................................................. 42 CONCLUSO .............................................................................................................. 44 ANEXOS ...................................................................................................................... 46 GLOSSRIO ................................................................................................................ 51
REFERNCIAS ................................................................................................................... 55
11
1. INTRODUO
Na mesma proporo que os sistemas de informaes interagem entre si, as tentativas de fraude tambm ganham campo (CERT.BR, 2013). Devido a essa grande interao, os recursos computacionais so acessados repetidamente. Por essa razo, vestgios de atividades incomuns ao sistema, no apenas se destacam, mas tambm so notveis durante um longo perodo de tempo, uma vez que so armazenados e preservados em registros (FARMER e VENEMA, 2007). Em geral, os sistemas de registro computacionais armazenam arquivos como sequncia de bytes e organizam esses arquivos dentro de uma hierarquia de diretrios. Possuem, no entanto, alm dos nomes e contedo, tambm outros atributos como permisses de acesso, data/hora da ltima modificao, entre outros. No de se admirar que os registros sejam o principal alvo das tentativas de fraude pelos invasores (FARMER e VENEMA, 2007). A anlise forense computacional permite a coletar e analisar evidncias digitais, reconstruindo ataques e recuperando dados, alm de rastrear invasores. Logo, os registros constituem uma fonte valiosa de informaes para a percia forense (FARMER e VENEMA, 2007). Em contrapartida, para evitar ou ao menos dificultar a busca por evidncias deixadas nesses sistemas, um invasor utiliza-se de tcnicas antiforenses computacionais de ocultao ou corrupo de dados (HATCH, 2003). Sites conhecidos como IDG Now e a CERT.BR apresentam constantemente notcias sobre ataques, invases e furtos de informaes sigilosas, que por sua vez, so evidncias da importncia deste trabalho, da conscientizao sobre a necessidade de segurana e contextualizao sobre o tema abordado (IDG NOW, 2013; CERT.BR, 2013). Objetiva-se com este trabalho analisar as tcnicas antiforenses computacionais aplicadas a registros dos sistemas operacionais Linux. Como objetivos especficos tem-se: simular um ambiente invadido e demonstrar a ocultao dos rastros nos registros, analisar a efetividade das tcnicas em um ambiente padro e em um ambiente com medidas de segurana previamente habilitadas. A anlise de como os invasores ocultam suas aes importante para que profissionais e administradores de rede possam aplicar contramedidas para manter segura as informaes de registros ou, no mnimo, identificar rapidamente a ocorrncia de comportamentos suspeitos no sistema. O estudo foi realizado utilizando uma distribuio Debian virtualizada e considerando que a mquina servidora j estava comprometida pelo invasor. Executou-se as tcnicas em dois ambientes distintos, um com segurana padro do sistema e o outro com o uso de softwares auxiliares que garantem a segurana do sistema. Para verificar as tcnicas
12
antiforenses foram considerados os critrios de efetividade, facilidade de execuo e ausncia de rastros. Este trabalho est dividido em 5 captulos principais. O captulo 2 apresenta o desenvolvimento terico sobre a percia forense computacional, sistemas de registros, registros no Linux, tcnicas antiforenses aplicadas aos registros e possveis contramedidas de segurana. O captulo 3 contm os materiais e mtodos utilizados na investigao das tcnicas antiforenses e medidas de segurana. O captulo 4 apresenta a aplicao e anlise das tcnicas de ocultao dos rastros gerados nos registros e tambm sua aplicao com algumas medidas de segurana previamente instaladas. O captulo 5 apresenta os resultados e discusses, considerando cada tcnica e sua eficcia. O captulo 6 apresenta a concluso do trabalho e possveis trabalhos futuros.
13
2. DESENVOLVIMENTO TERICO
Neste captulo so abordadas as caractersticas, definies e processos da percia forense computacional. Conseguinte, so abordados os sistemas de registros, conhecidos como logs. So descritas as principais caractersticas e como se comportam em ambiente Linux. A seguir, so definidas as prticas antiforenses computacionais e as etapas de um ataque computacional. Por ltimo, so apresentadas algumas tcnicas usadas por um invasor para manter seu sigilo e esconder seus delitos. 2.1. PERCIA FORENSE COMPUTACIONAL Esta seo apresenta a definio e os processos da percia forense computacional. 2.1.1. Definio A percia considerada a cincia de coletar e analisar evidncias digitais, reconstruindo ataques e recuperando dados para rastrear invasores (FARMER e VENEMA, 2000). O responsvel por realizar a percia forense denominado perito forense. O perito forense computacional consiste em um analista de sistemas, especialista em metodologias laboratoriais e padronizao da investigao, aquisio, anlise e manuseio de evidncias em inquritos, forense digital, inteligncia e contra inteligncia, como definem vrios autores (ICCyber, 2010; FAERMER e VENEMA, 2007; TOMS, Eliane Maria Cordeiro, 2010). Para que a percia possa realizar seu trabalho, conceitos essenciais devem ser entendidos, sugerido por Farmer e Venema (2007), como a volatilidade dos dados, a diviso em camadas e confiana, a coleta de quantidade mxima de evidncias confiveis de um sistema em execuo e a recuperao de informaes parcialmente destrudas com o intuito de manter a credibilidade das informaes analisadas. Na tentativa de reconstruir a linha temporal do sistema analisado, a percia deve seguir metodologias para o descobrimento de invases e anlise de informaes, denominadas processos da percia. 2.1.2. Processos da percia Ovie Carroll e outros (2008) distribuem a execuo de percia forense computacional em quatro fases: coleta de dados, exame de dados, anlise de evidncias e documentao tcnica. 2.1.2.1. Coleta dos dados A fase de coleta de dados conglomera uma sequncia de passos que visam manter
14
a total integridade das evidncias encontradas e coletadas. Durante a pr-coleta, referente chegada ao local da investigao, alguns cuidados so adotados. O isolamento da rea ou local do crime, que visa impedir alguma alterao ou contaminao das evidncias, ou se necessrio, fotografar ou filmar o ambiente ou equipamento para amparar alguma anlise futura, so fatores fundamentais para se manter a integridade da anlise. Investigam-se, na fase de coleta, possveis fontes de dados. Computadores, dispositivos eletrnicos, portas de comunicao de perifricos, so identificados para procura de evidncias criminais. Alm dos dados internos ao ambiente analisado, dados significativos podem estar em provedores, servidores ou outros domnios externos cena averiguada. 2.1.2.2. Exame dos dados Na fase de exame dos dados, somente as informaes mais importantes investigao so avaliadas, extradas, filtradas e documentadas, como por exemplo, informaes que denunciem a atuao do invasor. Diversos processos, ferramentas e tcnicas disponveis, podem reduzir muito a quantidade de dados que necessitam de um exame minucioso, pois grande quantidade de informao pode no ser til e muito trabalhosa de se analisar. Filtros de palavras-chaves ou de arquivos, por exemplo, pela extenso do mesmo, permisses de acesso, entre outros, so meios importantes para essa seleo. 2.1.2.3. Anlise de evidncias Somente extrair dados relevantes, no o suficiente. O perito forense deve analisar e interpretar essas informaes de forma correta. O passo de anlise de informaes visa identificar caractersticas que indiquem relaes com a rea do crime, como pessoas, e-mails, telefones, locais, vdeos. A anlise das evidncias levanta artefatos que indicam ou no, paralela etapa do exame, se os eventos investigados esto relacionados. Freitas (2003) divide o mtodo de anlise pericial em duas categorias, a anlise fsica e a anlise lgica. O exame sequencial e a obteno de dados de todo o conceito pericial, dos arquivos normais s partes inacessveis da mdia, definem a anlise fsica, em contra partida, a anlise lgica refere-se anlise dos arquivos de parties. 2.1.2.4. Laudo tcnico O laudo tcnico consiste no ltimo processo da percia forense computacional. Consiste no relatrio gerado a partir da anlise, destinado as pessoas leigas, por isso a
15
linguagem tcnica deve ser simples, para que todos possam compreender. O perito deve utilizar anlises grficas, visuais, com o objetivo de facilitar a compreenso. O laudo tem o objetivo de materializar a cena do crime, demonstrar como foi feito e denunciar o autor do crime. (FREITAS, 2003) 2.2. SISTEMAS DE REGISTROS Nesta seo so apresentados o conceito e uso dos registros, alm de algumas de suas caractersticas como volatilidade e MACTimes. Tambm so abordadas as caractersticas desses registros no Linux, tais como a estrutura, a localizao, a funo e quais os principais registros. 2.2.1. Conceito e uso de registros Os sistemas de registros so responsveis por armazenar informaes valiosas que so, praticamente, as mesmas em vrios sistemas. As caractersticas comuns em um registro so: incio de uma sesso, login pid, tty device, tty, usurio, endereo, status de sada, identificao da seo, tempo e IP do acesso e o logout. Esses registros podem ser armazenados em dois tipos de arquivos: os arquivos em formato de texto e os arquivos binrios. Os registros armazenados em arquivos texto so mais comuns e o contedo pode ser facilmente compreendido, pois pode ser visualizado em qualquer editor de texto. Possuem a facilidade de gerao por no dependerem de aplicativos especficos. Os registros armazenados em arquivos binrios, por sua vez, somente podem ser entendidos por softwares especficos. Os binrios so arquivos que contm caracteres incompreensveis para leitores de texto padro. So gerados atravs de um processo de codificao de formato de determinado arquivo que s pode ser completamente visualizado por programas especializados. Esses registros so usados tanto pelo invasor, quanto por profissionais e administradores para adquirem informaes do sistema. Essas informaes so essenciais para o controle do sistema. 2.2.2. OOV Ordem da Volatilidade Todos os dados so volteis, e a Ordem da Volatilidade est intimamente relacionada com a coleta desses dados. A veracidade das informaes, assim como a capacidade de recuperao ou validao dos dados, diminui com o passar do tempo. A Ordem da Volatilidade consiste em dois membros de uma hierarquia, as informaes impossveis de recuperar dentro de um espao de tempo muito curto, definido por Farmer como parte superior, e a parte
16
inferior concernente s formas bastante persistentes e raramente mudam. (FARMER e VENEMA, 2007). Qualquer alterao no sistema pode desencadear alteraes em outras reas, e dessa forma comprometer dados importantes em um registro. O Quadro 1 descreve a relao entre tipos de dados e seu tempo esperado de vida. O ciclo de vida esperado dos dados. Tipos de Dados Tempo de Vida Registradores, memria perifrica, caches, etc. Nanossegundos Memria Principal Dez nanossegundos Estado da rede Milissegundos Processos em execuo Segundos Disco Minutos Disquetes, mdia de backup, etc. Anos CD-ROM, impresses, etc. Dezenas de Anos
Quadro 1 - Ciclo de Vida dos Dados

Fonte: Farmer e Venema (2007), p. 172.
2.2.3. MACtimes Farmer e Venema (2007) criaram o termo mactime para se referir aos trs atributos de tempo mtime, atime e ctime que so anexados a qualquer arquivo ou diretrio no Windows, UNIX e em outros sistemas de arquivos. Essas abreviaes possuem o seguinte significado: Mtime: muda quando um arquivo ou diretrio for modificado. Atime: apresenta a ltima data/hora em que o arquivo ou diretrio for acessado. Ctime: monitora quando o contedo ou as metainformaes sobre o arquivo mudar, tais como o proprietrio, grupo e as permisses de arquivo. O quadro 2 mostra como se apresentam os MACtimes em um sistema computacional. MACTimes de um Sistema
Wed Mai 05 2013 15:17:02 Thu Mai 05 2013 21:01:34 3888 2229 m.c .ac -/-rwxrwxrwx -/-rwxrwxrwx 48 48 0 0 1102686 1102688 /usr/bin/.y /usr/bin/.y/back.tar.gz
Quadro 2 - MACTimes de um Sistema

O quadro 6 apresenta os campos respectivamente: data, tamanho, mactime, permisses, UID, GID, contador, localizao do arquivo. Este quadro apresenta um nome de diretrio incomum que pode ser forte indicao da ao de suspeitos. Os registros so de extrema importncia para qualquer sistema, pois possuem as informaes mais importantes
17
em relao a qualquer atividade realizada no mesmo. 2.2.4. Registros no Linux Os registros no Linux geralmente esto contidos no diretrio /var/log, e so arquivos de texto ou arquivos binrios que armazenam as informaes referentes ao sistema. O sistema de registro proporciona uma anlise completa do funcionamento do hardware, acessos, e-mails, programas, entre outros. Para o Linux o processo mais importante conhecido como syslogd. A funcionalidade do syslogd gerenciar os registros do sistema e capturar as mensagens do ncleo do Linux. O anexo A descreve sucintamente as funcionalidades do syslog. Alguns registros, dos mais diversos existentes, proporcionam ao perito, informaes mais importantes que outros. O Quadro 3 descreve alguns dos principais sistemas de registros do Linux e respectivas funcionalidades e finalidades.
REGISTRO btmp messages smbd httpd maillog syslog.conf auth.log daemon.log FUNCIONALIDADE Informa quando ocorreu a ltima tentativa de login que no teve sucesso no sistema Armazena os acessos ocorridos nos sistema Possui informaes referentes ao servidor de arquivos do Linux que suportam uma rede Windows. Informaes do servidor Web Apache. Informaes referentes ao servidor de E-mails Informa onde esto armazenados os logs do sistema. (Deve-se cuidar com alteraes feitas por um invasor). Informaes de acesso como root, inclusive o sucesso. Informao referente s tentativas de conexo, remotamente ou localmente.
Quadro 3 - Principais Registros e Sua Funcionalidade

Fonte: Guia Foca GNU/Linux. Captulo 17 - Arquivos e daemons de Log
O syslogd consiste em um controlador de servios de detalhamento padro do sistema (System Logging Daemon). O arquivo /etc/syslog.conf lhe permite especificar onde as mensagens syslog so armazenadas, baseadas no programa responsvel e no nvel de detalhamento da mensagem. O Quadro 4 mostra o recurso para o qual so designados os grupos de registros.
18
Recurso auth authpriv cron daemon kern lpr mail news syslog user uucp local0-local7
Descrio Mensagens de segurana/autorizao (desaprovado) Mensagens de segurana/autorizao Tarefas agendadas e rotinas Outros daemons do sistema (sshd, inetd, pppd) Mensagens do kernel. Subsistema da impressora. Subsistema de correio (sendmail, postfix, qmail, etc.) Mensagens de Notcias da Usenet. Mensagens internas de syslog. Mensagens genricas no nvel de usurio. Subsistema UUCP. Nveis reservados para uso local.
Quadro 4 - Facility Syslog

Fonte: Segurana contra Hacker Linux (Hatch, Lee, Kurtz, 2003). Pg. 70.
Quando os programas capturam uma entrada do registro, dependendo de sua configurao, o processo do sistema syslog pode ignor-lo ou inform-lo de acordo com o nvel de detalhamento apresentado no quadro 5.
Nvel de Logging emerg alert crit err warning notice info debug Descrio. Sistema inutilizvel. Ao precisa ser tomada por posthaste. Condies crticas. Condio de erro. Condies de advertncia. Condies normais, mas significativas. Mensagens informativas. Mensagens de depurao.
Quadro 5 - Nveis de Logging (detalhamento) de Syslog

Fonte: Segurana contra Hacker Linux (Hatch, Lee, Kurtz, 2003). Pg. 70.
O syslog-ng consiste em um registro no padro, porm mais eficiente que o syslogd. O arquivo de configurao syslog-ng.conf alm das funcionalidades inerentes ao syslogd, tais como especificar vrios destinos (servidores remotos, arquivos locais, etc.) o usurio pode definir as origens das mensagens e atuar de modo diferente para gerar eventos localmente, em contrapartida s mensagens syslog remotas (HATCH, LEE, KURTZ. 2003. Pg. 73). O Linux possui uma ferramenta denominada logrotate. Segundo o manual do administrador do sistema, o logrotate projetado para facilitar a administrao de sistemas que geram um grande nmero de arquivos de registro. Ele permite a rotao automtica,
19
compresso, remoo, e envio de arquivos de registro. Normalmente, o logrotate executado como uma tarefa diria do agendador de tarefas do Linux: o cron. O que demonstra que o logrotate no executar vrias vezes no mesmo dia, porm pode ocorrer dos registros adquirirem um tamanho muito grande, o que o far rotacionar. 2.3. ANATOMIA DE UM ATAQUE Nesta seo so apresentadas as etapas de um ataque a sistemas computacionais. importante compreender as etapas para entender porque os invasores apagam as evidncias da invaso. Basicamente a realizao de um ataque possui o padro apresentado pela figura 1.
Atacar Outros
Obter Acesso de Super Usurio

Localizao do Sistema para Ataque
Encobrir Rastros
Instalar Backdoors
Roubar ou Adulterar Dados
Obter Acesso de Nvel de Usurio
Executar outras Atividades No Autorizadas
Figura 1 - Anatomia de um Ataque

Fonte: Segurana da Informao Disponvel em: www.cin.ufpe.br
A primeira etapa consiste na localizao do sistema e conhecimento sobre o mesmo que uma tcnica de coleta de informaes sobre os sistemas e as entidades a que pertencem. Isto feito atravs do emprego de tcnicas de segurana de vrios computadores, como: consulta de DNS, enumerao de rede, consulta de rede, por exemplo, porta de acesso ssh, identificao do Sistema Operacional, consulta organizacional, ping, consulta de pontos de acesso e engenharia social (WHOIS). Algumas das ferramentas utilizadas para reconhecimento so: nslookup, traceroute, nmap e neotrace. O quadro 6 apresenta algumas caractersticas das ferramentas utilizadas.
20
Programa nslookup traceroute
nmap
neotrace
Caractersticas uma ferramenta utilizada para se obter informaes sobre registros de DNS de um determinado domnio, host ou IP Traceroute uma ferramenta que permite descobrir o caminho feito pelos pacotes da rede desde a sua origem at o seu destino Nmap um software livre que realiza escaneamento de portas desenvolvido pelo Gordon Lyon. muito utilizado para avaliar a segurana dos computadores, e para descobrir servios ou servidores em uma rede de computadores. NeoTrace uma poderosa ferramenta para checar informaes em locais da Internet.
Quadro 6 - Ferramentas utilizadas para reconhecimento

J durante a fase de varredura, conhecida como scanning. De posse dos dados coletados, o invasor pode determinar quais sistemas esto ativos e alcanveis ou, por exemplo, quais portas esto ativas em cada sistema. Para isso utilizam-se de muitas ferramentas que esto disponveis, tais como: nmap, system banners, informaes via SNMP (do ingls Simple Network Management Protocol - Protocolo Simples de Gerncia de Rede). Para a descoberta da topologia da rede, utiliza-se de ferramentas de descoberta automatizadas, tais como cheops, ntop, entre outras. Para tal fim o ping, traceroute, nslookup, tornam-se comandos de maior utilizao. O quadro 7 apresenta algumas ferramentas e suas respectivas caractersticas. Programa cheops Caracterstica Desenvolvimento Open Source que faz varreduras na rede identificando Hosts, IPS, sistemas operacionais, mostrando conexes entre outras ferramentas administrativas. O ntop uma ferramenta para monitorar e gerenciar redes de computadores, alm de ter muitos recursos grficos e informaes detalhadas.
ntop
Quadro 7 - Programas usados para descoberta de topologia de rede

Outra etapa importante a enumerao, onde o invasor faz consultas intrusivas como consultas diretas ao sistema, no qual pode ser notado, faz a identificao de acessos vlidos, identificao verses de HTTP e FTP. Para a identificao da rede verifica-se: compartilhamentos (Windows) com os comandos net view e nbstat, os arquivos de sistema exportados (Unix) com o comando showmount. Para ento, verificar as vulnerabilidades mais comuns do sistema atravs do nessus, saint, satan ou tara. O quadro 8 demonstra as principais ferramentas e suas caractersticas.
21
Programa Nessus
Caracterstica Nessus um programa de verificao de falhas/vulnerabilidades de segurana. Ele composto por um cliente e servidor, sendo que a varredura propriamente dita feita pelo servidor. SAINT (Ferramenta de Integrao de Rede) um software de computador usado para a varredura de redes de computadores em busca de vulnerabilidades de segurana e explorao de vulnerabilidades encontradas. A ferramenta de administrao de segurana para anlise de redes consiste em um software de testes e relatrios que rene uma variedade de informaes sobre os hosts da rede. Possui uma interface web com formulrios completos. Assistente de pesquisas analticas Tiger. uma atualizao do
Saint
Satan
Tara
programa TAMU tiger, e apresenta relatrios legveis aps uma varredura.
Quadro 8 - Programas usados para varredura de rede

Na etapa da invaso, ou no ganho de acesso, com as informaes coletadas, as estratgias de invaso so definidas. O invasor por possuir uma base de informaes referentes a vulnerabilidades procura bugs no sistema operacional, kernel, servio, aplicativo, por respectivas verses. Assim pode adquirir ao menos os privilgios de usurio comum. Para conseguir senhas e outros privilgios, utiliza-se de tcnicas como: password sniffing, password crackers, password guessing, session hijacking (sequestro de sesso) e ferramentas para bugs conhecidos buffer overflow. O quadro 9 apresenta as tcnicas de aquisio de senhas e suas respectivas caractersticas.
22
Tcnica Password sniffing Password crackers Password guessing
Session hijacking
Buffer overflow
Caracterstica uma tcnica que visa a obteno de senhas, envolvendo o monitoramento do trfego em uma rede para retirar informaes. o processo de recuperao de senhas a partir de dados que tenham sido armazenados ou transmitidos por um sistema de computador. o processo de adivinhao de senha por dois modos possveis, ataques de fora bruta ou ataques de dicionrio. Refere-se explorao de uma sesso vlida de um computador as vezes tambm chamada de Session Key ou ID. Possui o intuito de conseguir acesso no-autorizado a informaes ou servios em um sistema de computador, utilizando de possveis interceptaes de cookies usados para manter sees. Consiste na aplicao de variveis maiores que as definidas
Quadro 9 - Tcnicas de obteno de senhas e caractersticas

Com o acesso comum, procura o acesso completo do sistema (root ou administrador), o que define a escalada de privilgios. Algumas ferramentas so conhecidas para a procura de bugs, tais quais os exploits. A escalada de privilgios utiliza-se das mesmas tcnicas anteriores, com acrscimos de replay attacks e trojans horse. O invasor procura evitar a deteco de sua presena, utilizando-se de ferramentas que desabilitem a auditoria, para isso necessrio, inclusive tomar o cuidado com o tempo excessivo de inatividade, que denunciam um ataque, pois deixam espaos evidentes nos registros. So utilizadas algumas ferramentas para remoo seletiva do event log, os quais podem esconder arquivos instalados no sistema (backdoors). O objetivo a manuteno do acesso, utilizando de ferramentas como rootkits, trojan horse e backdoors. Atravs dos rootkits, que consistem em ferramentas ativas, porm ocultas, se confundem com o sistema, escondendo comandos modificados para no revelar o invasor. Atravs dos trojan horses, o invasor obtm informaes como captura do teclado ou um e-mail com senhas do sistema. E por ltimo com os backdoors, o invasor possui acesso remoto sem autenticao, inclusive no aparecem na lista de processos. Os ataques so realizados pelo invasor com os seguintes objetivos: consumos de banda da rede, colapso de recursos, falhas de programao (Exemplo: Ping da Morte), dano de roteamento ou sabotagem de DNS. 2.4. TCNICAS ANTIFORENSES Nesta seo so apresentadas as tcnicas antiforenses aplicadas a registros. Assume-se que durante a aplicao dessas tcnicas, o invasor obteve acesso administrativo ao servidor e provavelmente a uma parte significativa da rvore de uma rede ou ento ao
23
computador local. 2.4.1. Desabilitao de registros A desabilitao de registros consiste em uma prtica de desativar o sistema de auditoria, modificar as datas de acesso e arquivos de registro. Para realizar esta tcnica o invasor pode-se utilizar das ferramentas do sistema operacional ou algum software auxiliar. (HATCH, LEE, KURTZ, 2003). 2.4.2. Adulterao dos registros A adulterao dos registros consiste no ato de modificar dados ou propriedades dos arquivos, como por exemplo a mudana do ctime de um arquivo. O mtodo menos sofisticado de remover informaes de logging editar, apagar ou excluir arquivos de registro. Existem muitos registros importantes do sistema, tais como messages, xfelog, secure, wtmp, mail.log e bash_history. O invasor poder utilizar programas auxiliares do tipo logcleanner para apagar as informaes que ficam contidas no wtmp, utmp e lastlog, o qual visualizado pelo super administrador para encontrar informaes dos usurios, tais como: incio de uma sesso, login pid, tty device, tty, usurio, endereo, status de sada, identificao da seo, tempo e IP do acesso e o logout (HATCH, LEE, KURTZ, 2003). Os registros do servidor Web Apache so muito visados para adulterao. Esses registros, como access_log, ssl_request_log e ssl_engine_log podem fornecer informaes vitais para um administrador (Oracle, 2013). 2.4.3. Excluso segura de registros A excluso segura de registros uma tcnicas antiforense, ou uma ferramenta, que consiste em excluir uma pasta ou arquivo de forma que no haja maneiras de recuperao de dados, mesmo com programas especializados em recuperao. Para isso o invasor pode utilizar ferramentas que realizam essa tarefa de excluir permanentemente um arquivo, como por exemplo, o wipe ou o secure-delete que no so padres do sistema operacional Linux. 2.4.4. Insero de entradas falsas de registro O intuito do invasor na questo de inserir entradas falsas no sistema consiste em desviar a ateno do perito para outro usurio. Como por exemplo utilizando-se do programa logger para confundir e culpar outro usurio, assim quando j obteve o acesso root, outro pode ser culpado em seu lugar (HATCH, LEE, KURTZ, 2003). Mesmo que o administrador do sistema seja atencioso e veja que o usurio invasor est tentando enganar, para evitar esse tipo de descoberta, facilmente o invasor esconderia
24
seu nome de usurio fornecendo uma opo t para logger: 2.4.5. Ataque a logrotate para eliminar registros antigos Como os arquivos de registros podem ficar grandes, o Linux faz um rodzio dos mesmos, com o programa chamado logrotate, normalmente configurado em /etc/logrotate.conf, podendo, um invasor, utilizar-se disso para obter vantagens, uma vez que o logrotate gira os registros de acordo com o tamanho do arquivo ou o tempo que est no sistema, definido pelo administrador, consiste em utilizar do logger para encher o registro, tornando-o muito grande. Assim, quando atingir determinado nmero, o arquivo logrotate apagar seus rastros (HATCH, LEE, KURTZ, 2003). 2.5. MEDIDAS DE SEGURANA Muitas devem ser as medidas tomadas por um administrador de rede para que evite invases, dificulte o prejuzo causado, restaure o que foi perdido, se recupere de um dano, encontre rastros e procure anomalias no sistema. Este trabalho centrado nos registros, logo no aborda todas as contramedidas para incidentes de segurana, no obstante apresentarse- as mais importantes, priorizando as medidas dos sistemas de registro. 2.5.1. Princpios bsicos de segurana O administrador deve-se certificar de que seus arquivos s possam ser lidos e gravados pelo super usurio, ou um grupo com uma finalidade especial, como logs ou adminlogs. O administrador tambm deve ter uma conta especial sem privilgios de super usurio para acessar aos registros, assim ver que qualquer acesso de super usurio no veio dele. Para dificultar ainda mais, o administrador tambm pode armazenar remotamente qualquer registro gerado pelo sistema, dessa forma obrigando o invasor alm de esconder seus rastros tambm procurar comprometer a mquina remota. 2.5.2. Protegendo arquivos de relatrio de acesso ao sistema A maioria das ferramentas que alteram os arquivos utmp e wtmp substituem as entradas de alvo por bytes NULL, o que pode ser facilmente detectado por ferramentas como logchk ou chrootkit (HATCH, LEE, KURTZ, 2003). 2.5.3. Cpia de segurana online A melhor maneira de se recuperar de arquivos adulterados consiste no backup, alm
25
tanto fsico, como em CDs ou DVDs, como os efetuados online. Pode-se analisar, dessa forma, quais registros so incompatveis, e possivelmente se h alguma adulterao nos processos do sistema, com programas que verificam a integridade dos arquivos. Um administrador sempre mantm uma cpia de ferramentas intactas, como cat, more, prep, netstat, md5sum, iptables, ps, rpm, lsof e outras de relatrio (HATCH, 2003. Pg. 609). 2.5.4. Registros externos ao registro Segundo as prticas de segurana do CERT.BR (2013) os registros so tradicionalmente armazenados em disco, no prprio sistema onde so gerados. Entretanto, essa prtica apresenta riscos inerentes. O primeiro problema ocorre com a destruio dos registros durante uma invaso do sistema. Para contornar a situao aconselha-se a instalao de um loghost centralizado. Os loghosts apresentam duas vantagens importantes que consistem em um repositrio redundante de registros e a indisponibilidade de acesso remoto, nem mesmo para os administradores. Alm de permitirem uma anlise mais facilitada e a correlao entre os eventos ocorridos nos sistemas. Para evitar um ataque de negao de servio recomenda-se o armazenamento dos registros em partio separada, e para evitar a perda dos dados durante a rotao automtica de registros, deve-se garantir que os registros sejam movidos para o armazenamento off-line. 2.5.5. Nomes de arquivos manipulados com espao Quando um administrador utiliza-se da ferramenta ls para verificar as pastas, o invasor pode ter utilizado de espaos para enganar o administrador, forando o mesmo a no compreender o nome real do arquivo e no pensar que h um espao vazio depois do ltimo caractere de um nome, conhecido como o carter no imprimvel mais vulnervel do Linux. A melhor forma de se utilizar o ls consiste em adicionar a propriedade aF depois do comando. Dessa forma o Linux acrescenta um caractere / depois de cada diretrio e um caractere * aps cada executvel (HATCH, LEE, KURTZ, 2003). 2.5.6. Servidor de registros Em investigaes de incidentes eletrnicos a anlise de registros de suma importncia, por isso um servidor de registro facilita grandemente a investigao dos mesmos, j que os eventos ficam armazenados de forma centralizada. A Cert.br publicou um material de Cristine Hoepers e Klaus Steding-Jessen (2013) sobre a importncia da anlise e interpretao dos registros, apresentando vrias ferramentas de interpretao e auxlio para manipulao de registros, o que de extrema importncia para um administrador de redes,
26
inclusive para um servidor de registros. O alvo @loghost do logging de mensagens um modo simples de fazer com que seus registros vo para mais de uma mquina. Segundo Hatch (2003) se quaisquer rastros forem apagados de uma mquina invadida, eles ainda podero estar disponveis no servidor ou mquina de registro secundria. 2.5.7. Scanners de segurana do sistema Os programas de scanner so timos auxiliares para encontrar e identificar problemas no sistema, entre os mais importantes so os de sistema e os de rede. Dessa forma o administrador pode verificar possveis brechas ou inseguranas em potencial. Vrios so os pacotes de verificao de registros, com diferentes funcionalidades entre eles: LogSentry, Logsurfer, Sec e o Lire. 2.5.8. Permisses dos registros Para uma mxima proteo dos registros, o administrador deve ter o cuidado de tornar os registros reconhecidos e gravveis apenas por um super usurio e legveis por um grupo chamado log sem permisses para outros. Utilizando-se de permisses especficas de filesystem o administrador pode impedir at mesmo que o usurio administrador altere os registros, como exemplo o comando chattr, dos filesystems ext2 e ext3 (HATCH, LEE, KURTZ, 2003). 2.5.9. Criptografia do trfego de syslog Com o propsito de evitar que as mensagens syslog sejam facilmente identificadas por um invasor no ato de leitura dos pacotes da rede, o administrador deve criptografar o trfego da rede. Uma maneira fcil de se executar essa medida de segurana consiste em criar um tnel SSL entre o emissor e receptor usando o Stunnel, particularmente utilizando-se do syslog-ng. Para isso a mquina que envia os registros deve acrescentar alguns comandos em /etc/syslog-ng/syslog-ng.conf (HATCH, LEE, KURTZ, 2003). Aps adicionados os comandos necessrios para a criao do destino, o host que deseja enviar a mensagem, executar o comando Stunnel para a criao do tnel com o destino. No host receptor o Stunnel chamado para receber a conexo do registro criptografada mudando-se apenas a posio das portas. Em seguida configura-se o syslogng do receptor para ler da porta TCP local (HATCH, LEE, KURTZ, 2003). 2.5.10. OSSEC Sistema de deteco de intruso de host O software OSSEC consiste em um sistema Open Source para deteco de intruso
27
em mquinas locais que realiza anlise dos registros, verificao de integridade de arquivos, monitoramento de polticas, deteco de rootkits, alertas em tempo real e resposta ativa. O OSSEC um excelente programa pois possui muitas caractersticas que auxiliam um administrador de sistema. multiplataforma com alerta em tempo real. possvel configurar as alteraes do nvel de prioridade e integra-lo com smtp, sms e syslog, enviando e-mails e mensagens para dispositivos mveis (OSSEC, 2013). 2.5.11. SELinux Security Enhanced Linux A estrutura SELinux (Linux Seguro) fornece segurana adicional aos sistemas, limitando as aes dos usurios e programas pela imposio de polticas de segurana para o sistema operacional, que fornecem segurana contra acesso no autorizado. O ncleo do Debian Linux tem suporte ao SELinux, mas desabilitado por padro (DEBIAN, Wiki. 2013).
28
3. MATERIAIS E MTODOS
Este captulo apresenta os materiais e os mtodos utilizados para a realizao do estudo de caso. Nos materiais so apresentadas as ferramentas e o cenrio do estudo de caso. Nos mtodos so apresentados e explicados os passos e critrios utilizados na avaliao das tcnicas antiforenses. 3.1. MATERIAIS Com o intuito de analisar tcnicas antiforenses em registros Linux e verificar a efetividade destas e tambm auxiliar administradores de rede a se prevenirem contra elas selecionou-se os seguintes materiais: Oracle VM Virtual Box 4.2.12, com o intuito de simular as mquinas que estaro no teste, dispostos em uma rede com topologia estrela, utilizando de conexo em modo bridge. Duas mquinas virtuais instaladas com a verso do Sistema Operacional Debian 6.2 para arquitetura i386. Utilizou-se do rootkit LRK verso 6 com o intuito de analisar a efetividade sobre o sistema e o impacto que pode causar apenas com a substituio de binrios ou utilizao de outras ferramentas inclusas no mesmo. Utilizou-se o OSSEC verso 2.7 como detector de intruso baseado em host, com o intuito de realizar as mesmas tcnicas antiforenses em um sistema com uma segurana mais elevada. Reforou-se o kernel do Linux com o SELinux pois consiste numa camada de implementao de segurana para o ncleo do Linux. Na prtica, o kernel consulta o SELinux antes de cada chamada do sistema para saber se o processo est autorizado a fazer a operao dada. Utilizou-se do syslog-ng 3.4, uma vez que ele fornece algumas das mesmas funes do syslog e metalog, com uma pequena diferena: pode filtrar mensagens com base no nvel e contedo (como o metalog), fornece registro remoto como o syslog, lida com registros do syslodg, pode escrever em um TTY, executar programas, e pode agir como um servidor de registros. Utilizou-se do secure-shell (ssh) 5.5p1 para conectar as mquinas, uma vez que fornece conexo criptografada e acesso remoto. A figura 2 apresenta a topologia da rede utilizada para a realizao do estudo.
29
INTERNET
SERVIDOR
SSH
Host Prprio
Modo Conexo Bridge
INVASOR
Oracle VM Virtual Box
Figura 2- Topologia da Rede Utilizada

Verifica-se na figura 2 que o invasor utiliza de uma mquina para acessar remotamente via ssh, com uma conexo bridge, o servidor com a distribuio Linux Debian. 3.2. MTODOS A metodologia utilizada para a execuo das tcnicas antiforenses considera hipoteticamente que o servidor j fora invadido, onde o invasor j possui os privilgios de super usurio ou administrador do sistema. A amostra selecionada para abranger a totalidade do problema investigado so as duas mquinas virtuais, uma simulando o ambiente, inseguro e seguro, do servidor, e a outra representando o invasor do sistema. Os mtodos de coleta dos dados se baseiam na observao dos registros gerados pelo invasor, possvel tcnica para ocultao dos rastros produzidos e qual a possvel contramedida para se evitar a aplicao dessas mesmas tcnicas. Foi separado o ambiente em duas fases distintas. O primeiro ambiente foi constitudo de um ambiente com instalao padro, para isso, foram seguidos os passos descritos a seguir. Configurao do ambiente da arquitetura de rede: nesta etapa, inicialmente, foi instalado o Oracle VM Virtual Box. Foi criado uma nova mquina virtual com o nome de Servidor, com o sistema Operacional Linux verso Debian. Durante a configurao, foi selecionado um disco rgido VDI (VirtualBox Disk Image). Foi escolhido o armazenamento em disco rgido dinamicamente alocado. Em seguida, foi escolhida imagem do disco de instalao do Debian 6. Durante a instalao foram escolhidas as configuraes padres para o Brasil, inclusive o espelho de atualizaes. O mtodo de particionamento escolhido foi Assistido
30
usar disco inteiro. E foi selecionado a instalao separadas das parties /home, /usr, /var e /tmp. Foi nomeada a mquina de servidor. O servidor foi clonado e a mquina clonada foi nomeada para invasor. Atravs do ssh o invasor foi conectado em modo bridge com a mquina virtual que representa o servidor. Analisou-se os principais registros, binrios e textuais, do Debian. Verificou-se quais so gerados no acesso ao sistema. Forma aplicadas tcnicas antiforenses de manipulao de registros, adio de registros, excluso de registros e instalao de programas que possam auxiliar o invasor a esconder seus rastros. Em segunda instncia foi analisado a efetividade das mesmas tcnicas em um sistema seguro, configurado com os passos descritos a seguir. Foi selecionado o servidor, intacto, sem qualquer atividade maliciosa do invasor, para a instalao das ferramentas de segurana. O SELinux, que constitui uma dessas ferramentas, vem desativado nessa verso do Debian. Foi utilizado do comando aptitude install selinux-basics selinux-policy-refpolicy-targeted, para que o Linux resolvesse as dependncias e se encarregasse de instalar mais alguns pacotes que auxiliam na administrao do SELinux. Depois ativou-se o SELinux. Para a instalao do Ossec-Hids 7 utilizou-se o aptitude install build-essential, depois o wget -cv http://www.ossec.net/files/ossec-hids-2.6.tar.gz e descompactou-se o arquivo com tar xvzf e executou-se o instalador. Instalou-se o syslog-ng com o comando aptitude install syslog-ng. Instalou-se o ssh com aptitude install ssh. Conectou-se o servidor com o host do invasor atravs do protocolo de rede ssh, uma vez que possui conexo criptografada e permite-se executar comandos de uma unidade remota. As tcnicas foram organizadas de forma cronolgica e sequencial, procurando apresentar primeiramente as que evitam a gerao de mais registros, as que podem ser adulteradas, as que podem ser removidas, as que devem ser removidas de forma segura, as que podem prejudicar o funcionamento dos processos responsveis por esses registros, utilizando-se principalmente de rootkit, por ltimo, ataques de negao de servio em registros. Para a concluso do trabalho analisou-se as tcnicas utilizando-se de critrios como facilidade em se encontrar as tcnicas aplicadas, a dificuldade de execuo das tcnicas e a efetividade das mesmas, nvel de conhecimento necessrio, a aplicao de contramedidas e sua efetividade em relao s tcnicas. Analisou-se a efetividade das tcnicas em nos dois sistemas distintos: em um sistema seguro e no mesmo sistema com uma segurana padro.
31
4. APLICAO E ANLISE DAS TCNICAS ANTIFORENSES

Este captulo apresenta dois estudos de caso, onde foram aplicadas e analisadas as tcnicas antiforenses. No estudo de caso 1 foram aplicadas a um sistema operacional GNU/Linux Debian com instalao padro as tcnicas de remoo segura dos registros, conhecida como wipe shared, alterao dos registros, acrscimo de informaes falsas, modificao do comportamentos dos processos dos registros, sobrecarga dos registros (ataque de negao de servio - DOS), ataque a logrotate, diminuir ou desabilitar o nvel de detalhamento. No estudo de caso 2 foram aplicadas medidas de segurana ao sistema operacional GNU/Linux Debian. Foram instalados o SELinux, o syslog-ng, o OSSEC HIDS. 4.1. ESTUDO DE CASO 1: SEGURANA PADRO Ao fazer um acesso ao host que deseja invadir, o invasor acabar gerando um registro de acesso remoto em /var/log/auth.log como mostra a figura 3.
Mar 22 Mar 22 Mar 22 root Mar 22 Mar 22 17:37:07 servidor su[1170]: Sucessful su for root by administrador 17:37:07 servidor su[1170]: + /dev/tty1 administrador:root 17:37:07 servidor su[1170]: pam_unix(su:session): session opened for user by administrador(uid=1000) 19:11:30 servidor sshd[1042]: Server listening on 0.0.0.0 port 22. 19:11:30 servidor sshd[1042]: Server listening on :: port 22.
Figura 3 - Log gerado em auth.log por acesso SSH

Devido a isso, o invasor deve se preocupar em apagar seu acesso registrado no arquivo auth.log, entretanto no se deve esquecer que seus comandos ficam registrados em history, como demonstra a figura 4.
124 125 126 127 128
exit ifconfig cat auth.log last history
Figura 4 Uso do comando history

Ento, para evitar que o perito ou administrador do host invadido possa analisar suas estratgias de invaso, o invasor ter o cuidado de impedir que seus comandos sejam gravados com o comando mostrado na figura 5. Caso o invasor j tenha digitado alguns comandos e tenha esquecido de executar o comando mencionado, ele pode apagar os comandos com history c.
32
root@servidor:~# unset HISTFILE
Figura 5 - Primeiro comando executado por um invasor

Depois disso o invasor ter a liberdade de apagar o registro gerado em auth.log. Como demonstra a figura 6.
root@servidor:~# cd /var/log/ root@servidor:/var/log# pico auth.log
Figura 6 - Localizao e Edio do registro auth.log

Aps aberto o arquivo, o invasor pode apagar o registro de acesso ssh gerado. Para no levantar suspeitas, ele procurar apagar somente as linhas que indicam o acesso. Como na figura 7.
Mar 22 15:02:38 servidor sshd[991]: Server listening on 0.0.0.0 port 22. Mar 22 15:02:38 servidor sshd[991]: Server listening on :: port 22.
Figura 7 - Apagando dados do auth.log

Majoritariamente softwares de login como OpenSSH, daemons telnet ou daemons Rlogin, registram os acessos ao sistema bem-sucedidos em um arquivo chamado /var/run/utmp ou /var/log/wtmp, os quais armazenam informaes importantes como horrio de login e logout de cada usurio. Com o comando last pode-se verificar os dados contidos nesses arquivos que possuem um formato legvel apenas para mquina. O comando last demonstrado na figura 8.
root@servidor:/var/log# last root pts/0 192.168.1.4 root pts/0 192.168.1.4 administ tty1 administ tty1 wtmp begins Mon Mar 10:46:35 2013 root@servidor:/var/logs# _
Fri Fri Fri Fri
Apr Apr Apr Apr
12 12 12 12
15:19 15:14 15:05 15:05
still logged in 15:19 (00:05) still logged in 15:22 (00:28)
Figura 8 - Comando last verifica ltimos acessos bem sucedidos

O invasor deve-se preocupar em editar o arquivo para remover seus rastros de acesso, para isso existem muitas ferramentas como: wzap, zap, zap2, unix2, cloak e clear. Na falta de ferramentas o invasor pode usar o prprio pico ou vi, assim pode apagar as partes que so legveis e que cr ser til para apagar as informaes. O comando last apresenta o registro gerado por wtmp, que tambm gera um arquivo binrio. Devido a isso, o invasor deve alterar o arquivo wtmp encontrado em /var/log/wtmp
33
para que o mesmo no lhe apresente as informaes de login. Como demonstra a figura 9.
root@servidor:/var/log# last wtmp begins fri Apr 12 15:37:44 2013 root@servidor:/var/log# _
Figura 9 - Comando last adulterado

O invasor pode deletar as informaes geradas pelo lastlog, como demonstra a figura 10, na qual apresenta o arquivo binrio, legvel somente pela mquina.
GNU nano 2.2.4
Arquivo: lastlog
=PhQpts/0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^192.168.1.4^@^
Figura 10 - Editando arquivo lastlog com nano

A figura 11 demonstra como se apresentaria o comando lastlog, mostrando informaes importantes para o administrador, como o endereo de IP do invasor.
Nome de Usurio root pts/0 daemon bin sys sync games man lp mail news uucp proxy www-data backup list nobody administrador Porta De 192.168.1.4 ltimo Sex Abr **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca **Nunca Sex Abr
12 15:19:41 -0300 2013 logou** logou** logou** logou** logou** logou** logou** logou** logou** logou** logou** logou** logou** logou** logou** 12 15:05:33 -0300 2013
Figura 11 - Execuo do comando lastlog e informaes de IP

Depois de apagado os dados que so perceptveis por serem diferentes de ^@, a figura 12 mostra como se apresentaria o comando lastlog com as alteraes feitas.
Nome de usurio root daemon bin sys Porta De Ultimo **Nunca logou** **Nunca logou** **Nunca logou** **Nunca logou**
Figura 12 - Resultado do comando lastlog adulterado 34
HATCH (2003) afirma que um cracker pode adulterar o prprio processo syslog, uma vez que a maioria dos programas do sistema submetem seus registros ao mesmo processo. Dessa forma o invasor pode recompilar parte do arquivo syslogd.c para ocultar quaisquer entradas que contenha seu endereo IP. A maneira mais fcil que um invasor encontra e que possui grande impacto no sistema, consiste em se utilizar de ferramentas que substituem os arquivos binrios e que so encontrados facilmente na Internet, so os chamados rootkits. Como apresentado no quadro 10. O rootkit mais famoso se encontra no endereo http://packetstormsecurity.com/ e conhecido como LRK6, ou Linux Rootkit verso 6.
Ferramentas syslogd killall Backdoors wted z2
Descrio Esconde registros. No encerra processos escondidos. Editor de wtmp/utmp Apagador de utmp/wtmp/lastlog
Quadro 10 - Rootkit LRK6 e alguns binrios inclusos

A figura 13 demonstra uma simples transferncia de um arquivo, no caso o arquivo z2 foi transferido para o servidor, com o intuito descrito no quadro acima. A transferncia muito fcil e o impacto pode ser grande.
root@servidor:/home/administrador/rootkit# ls bin fileutils-3.13 lrk-4.1.tar.gz rshd bindshell.c findutils Makefile shadow-961025 chfn fix.c MCONFIG sysklog-1-3 Inetd net-tools-1.32-a tcpd_7.4 chsh linsniffer.c pssw wted.c cron3.Op11 Login procps-1.01 z2.c root@servidor:/home/administrador/rootkit# scp z2.c 192.168.1.6:/home/ z2.c 100% 2107 2.1KB/s 00:00
Figura 13 - Arquivos contidos no rootkit e sua transferncia

O arquivo foi movido para a pasta de compilao como demonstra a figura 14. So muitas as ferramentas para um invasor, cada qual com sua funo e a escolha de cada uma delas vai depender da necessidade do invasor e do seu objetivo.
root@servidor:/home# which gcc /usr/bin/gcc root@servidor:/home# mv z2.c /usr/bin/ root@servidor:/home# _
Figura 14 - Movendo o arquivo para o compilador C 35
Quando o invasor remove algum arquivo ainda h algumas formas de recuper-los, no entanto h maneira de se remover arquivos ou diretrios de forma segura, no recupervel. A figura 15 demonstra a instalao do wipe e do secure-delete para a remoo segura de arquivos e diretrios. Vale ressaltar que um registro no cache do apt-get foi armazenado.
root@servidor:/# apt-get install wipe secure-delete -y
Figura 15 - Instalao do Wipe e o Secure-Delete

Primeiramente criou-se algumas pastas para o teste do wipe e secure-delete como a figura 16 demonstra.
root@servidor:/# root@servidor:/# root@servidor:/# root@servidor:/# mkdir touch touch touch pasta_a_ser_removida pasta_a_ser_removida/arquivo_a_remover pasta_a_ser_removida/arquivo_a_remover2 pasta_a_ser_removida/arquivo_a_remover3
Figura 16 - Criao de pastas para Teste

Pode-se utilizar o wipe ou o secure-delete para remoo dos arquivos e diretrios. A figura 17 demonstra a excluso segura utilizando o wipe.
root@servidor:/pasta_a_ser_removida# wipe fi P 1 r arquivo_a_remover File arquivo_a_remover (0 bytes) wiped Operation fineshed. 1 file wiped and 0 special files ignored in 0 directories, 0 symlinks removed but not followed, 0 errors occured. root@servidor:/pasta_a_ser_removida# _
Figura 17 - Remoo de Arquivo com Wipe e Teste

O secure-delete um sute que alm de remover arquivos de forma segura pode limpar o espao livre em disco, memria e swap. A figura 18 apresenta a remoo dos arquivos de trs formas diferentes: sem chances de recuperao, aplicao balanceada entre segurana e rapidez e remoo insegura, respectivamente.
root@servidor:/pasta_a_removida# srm d r- -v z arquivo_a_remover2 Using /dev/urandom for random input. Wipe mode is secure (38 special passes) Wiping arquivo_a_remover2 ************************************ Removed file ar quivo_a_remover2 ... Done root@servidor:/pasta_a_ser_removida# sem d l r v z arquivo_a_remover3 Wipe mod is insecure (two passes [0xff/zero]) Wiping arquivo_a_remover3 ** Removed file arquivo_a_remover3 ... Done root@servidor:/pasta_a_remover# cd .. root@servidor:/# sem d l l r v z pasta_a_ser_removida/ Using /dev/urandom for random input. Wipe mode is insecure (one pass [zero]) Wiping pasta_a_ser_removida/ DIRECTORY (going recursive now) Warning: Couldnt find a free filename for pasta_para_ser_removida/! Removed directory pasta_a_ser_removida/ ... Done
Figura 18 - Remoo com Secure-Delete em 3 Etapas 36
Removido de forma segura, no h mais como se recuperar um arquivo, no entanto, a instalao de programas gera registros do apt-get install como demonstra a figura 19. Os registros dos programas instalados podem ser encontrados em /var/cache/apt/archives. Os pacotes instalados vo sendo armazenados na pasta mencionada, o que pode denunciar a invaso.
root@servidor:/var/cache/apt/arqchives# ls apache2_2.2.16-6+squeeze10_i386.deb apache2.2-bin_2.2.16-6+squeeze10_i386.deb apache2.2-commom_2.2.16-6+squeeze10_i386.deb apache2-mpm-worker_2.2.16-6+squeeze10_i386.deb apache2-utils _2.2.16-6+squeeze10_i386.deb chkconfig_11.0-79.1-2_all.deb lock partial secure-delete_3.1-5_i386.deb shared-mime-info_0.71-4_i386.deb ssh_1%35.5p1-6+squeeze3_all.deb syslog-ng_3.1.3-3_i386.deb wipe_0.21-9_i386.deb root@servidor:/var/cache/apt/archives# _
Figura 19 - Lista de Arquivos Instalados pelo apt-get

Com o simples comando apt-get clean as dependncias no utilizadas podem ser apagadas e assim esconder os programas que foram instalados. Para remov-los utiliza-se o apt-get remove. Como demonstra a figura 20.
root@servidor:/var/cache/apt/archives# apt-get clean root@servidor:/var/cache/apt/archives# ls lock partial root@servidor: /var/cache/apt/archives# apt-get remove wipe secure-delete Lendo listas de pacotes... Pronto Construindo rvore de dependncias Lendo informao de estado... Pronto Os pacotes a seguir sero REMOVIDOS: secure-delete wipe
Figura 20 Limpeza apt-get e remoo do wipe e secure-delete

Outra tcnica utilizada por um invasor no consiste somente na excluso ou adulterao dos registros, uma muito utilizada consiste adulterar os registros com o intuito de culpar outro usurio do sistema como suspeito de invaso, como demonstra a figura 21.
root@servidor:~# logger p kern.alert authentication failure; logname=administr ador uid=510 euid=0 tty= ruser= rhost= user=root root@servidor:~# _
Figura 21 - Falso registro inserido para culpar outro usurio 37
Fornecendo a opo t para logger o invasor pode facilmente esconder seu nome de usurio para evitar que um administrador atencioso veja que o invasor est tentando enganar, como demonstra a figura 22.
root@servidor:~# logger p kern.alert t su(root) authentication failure..
Figura 22 - logger -t para esconder o nome de usurio do invasor Um invasor pode fazer alteraes no logrotate para faz-lo girar, diminuindo o tamanho e o tempo dos registros para que o logrotate gire ou pode usar o logger para enchelos. Como demonstra a figura 23 a ordem para rotacionar diariamente o registro e executar o comando /sbin/killall HuP syslogd para reiniciar o processo indicado, foi adicionado no final do arquivo /etc/logrotate.conf.
/var/log/messages{ rotate 1 size=10k posrotate /sbin/killall HUP syslogd endscript }
Figura 23 - Mensagem adicionada ao /etc/logrotate.conf O invasor pode ainda manipular as datas forjando pacotes NTP (Network Time Protocol) para aparentar vir de um servidor confivel com o intuito de no precisar esperar o tempo de rotacionamento dos registros. Dessa forma, o invasor mudar a data da mquina e far o logrotate executar, acreditando que a data est, por exemplo, a uma semana na frente, fazendo assim, o rotacionamento. Outro comando muito utilizado para retirar as restries de excluso dos arquivos mesmo por super usurios o chattr. A figura 24 mostra a utilizao do comando chattr, cujo intuito do administrador consiste em alterar a permisso dos registros para evitar que sejam alterados.
root@servidor:/var/log# chattr +a /var/log/auth.log root@servidor:/var/log# cat /dev/null > /var/log/auth.log bash: /var/log/auth.log: Operao no permitida root@servidor:/var/log# _
Figura 24 - Utilizao do comando chattr +a Entretanto um usurio com acesso de super usurio pode executar o comando chattr a para retirar o comando que impede a excluso ou remoo do arquivo, no obstante esse comando muito til, principalmente se o invasor no conhecer o comando, nem souber o que est acontecendo.
38
4.2. ESTUDO DE CASO 2: MEDIDAS DE SEGURANA Nesta seo utilizou-se medidas de segurana adicionais com o intuito de verificar a efetividade das mesmas tcnicas nesse sistema e se h mais registros gerados e se h a possibilidade de exclu-los ou adulter-los. O administrador pode-se utilizar dessas ferramentas de verificao de forma muito simples como demonstra a figura 25.
apt-get install build-essential wget http://www.ossec.net/files/ossec-hids-latest.tar.gz wget http://www.ossec.net/files/ossec-hids-latest_sum.txt
Figura 25 - Download do OSSEC HIDS

O OSSEC HIDS pode ser configurado em /ossec/etc/ossec.conf que um arquivo no formato XML. A configurao usada para o estudo demonstrado na figura 26. Criou-se as regras de diretrios ossecAnalise para facilitar a anlise dos registros.
<syscheck>  <frequency>200</frequency>  <directories check_all="yes">/var/log/ossecAnalise</directories> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories>  <ignore>/var/log/ossecAnalise/arquivo.txt</ignore> <ignore>/etc/mtab</ignore> <ignore>/etc/mnttab</ignore> <ignore>/etc/hosts.deny</ignore> <ignore>/etc/mail/statistics</ignore> <ignore>/etc/random-seed</ignore> <ignore>/etc/adjtime</ignore> <ignore>/etc/httpd/logs</ignore> <ignore>/etc/utmpx</ignore> <ignore>/etc/wtmpx</ignore> <ignore>/etc/cups/certs</ignore> <ignore>/etc/dumpdates</ignore> <ignore>/etc/svc/volatile</ignore>  <alert_new_files>yes</alert_new_files>  <ignore>/var/log/ossecAnalise/arquivo.txt</ignore> </syscheck>
Figura 26 - Configurao do arquivo XML do OSSEC A maioria dos registros do ossec se encontram na pasta /ossec/logs/ossec.log e /ossec/logs/alerts/alerts.log. Primeiramente verificou-se os registros gerados quando um usurio acessa remotamente o sistema, no caso o invasor, no entanto o ossec no avisou sobre qual o IP do invasor, apenas que houve alguma mudana. Se um o invasor exclui algo do registro /var/log/auth.log o ossec verifica a integridade do arquivo e emite o alerta da figura 27.
39
** Alert 136655497.3640: mail - ossec.attacks, 2013 Apr 21 11:26:37 servidor ->ossec-logcollector Rule: 592 (level 8) -> Log file size reduced. ossec: File size reduced (inod remained): /var/log/auth.log.
Figura 27 - Alerta do OSSEC HIDS O invasor pode tentar excluir tambm a mensagem de alerta do ossec, caso o mesmo ainda no tenha enviado um e-mail para o administrador, no caso de configurao default, essa informao do registro foi excluda e no gerou nenhum outro registro. O invasor com a conta de super usurio pode parar o funcionamento do ossec hids. Com o comando /ossec/bin/ossec-control stop. Um registro ser gerado em /ossec/logs/ossec.log, como demonstrado na figura 28.
2013/04/21 2013/04/21 2013/04/21 2013/04/21 2013/04/21 2013/04/21 18:26:54 18:26:54 18:26:54 18:26:54 18:26:54 18:26:54 ossec-monitord(1225): INFO: SIGNAL Received. Exit Cleaning ossec-logcollector(1225): INFO: SIGNAL Received. Exit Cleaning ossec-syscheckd(1225): INFO: SIGNAL Received. Exit Cleaning ossec-analysisd(1225: INFO: SIGNAL Received. Exit Cleaning ossec-execd(1314): INFO: Shutdown received. Deleting responses. ossec-execd(1225): INFO: SIGNAL Received. Exit Cleaning
Figura 28 - Registro do ossec.log O invasor pode excluir seus rastros, caso consiga impedir que o ossec envie o e-mail para o administrador, ou ainda se o mesmo no estiver funcionando corretamente, pois com o privilgio de super usurio ele pode simplesmente excluir as informaes que julgar pertinente. O SELinux foi instalado e configurado para reforar a segurana do ncleo do Linux e o controle de acesso obrigatrio. Instalou-se, primeiramente, os pacotes que contm a poltica padro para o funcionamento do SELinux com o comando apt-get install selinuxbasics auditd selinux-policy-default. Para ativa-lo foi utilizado o comando selinux-activate. Ele apresentou um falso positivo, alertando sobre /etc/pam.d/login. necessrio reiniciar a mquina para que o SELinux entre em funcionamento como demonstra a figura 29.
Mounting local filesystems...done. Activating swapfile swap...done. [. . . .] Checking SELinux contexts: selinux-basics . ok
Figura 29 - Selinux em funcionamento

Para verificar se o SELinux est com a instalao de forma correta necessrio utilizar do comando sestatus, como demonstra a figura 30.
40
Figura 30 - Status do SELinux

O SELinux pode ser desativado temporariamente utilizando-se do /usr/sbin/setenforce 0, e depois o invasor pode mudar a configurao em /etc/selinux/conf para desativar o SELinux como demonstra a figura 31, modificando o SELINUX=permissive para SELINUX=disabled.
Figura 31- Alterao da Configurao do SELinux

Vale ressaltar que alguns ncleos exigem que seja adicionado ao boot (grub) o parmetro "selinux=0", como por exemplo, o Kernel UEK (Oracle Unbreakable Enterprise Kernel). Verifica-se o resultado na figura 32.
Figura 32 - Status desativado do SELinux

O invasor deve se preocupar em neutralizar a ao do ossec, para depois excluir ou adulterar os registros. Os experimentos demonstram que com privilgios de super usurio, um invasor possui autonomia para adulterar os registros e esconder seus rastros, e mesmo com uma sistema de verificao de integridade, as tcnicas se mostram efetivas. Porm, um sistema seguro e bem configurado pode amenizar os danos de uma invaso, ou ainda gerar registros que no podem ser excludos pelo invasor, como registros remotos ou e-mails.
41
5. RESULTADOS E DISCUSSES
A tcnica de desabilitar o history com unset apresenta muita eficincia, uma vez que impede do administrador entender quais foram os passos utilizados pelo invasor e quais mtodos utilizou para prejudicar o sistema. Uma possvel contramedida em relao aos comandos para desabilitar o histrico de comandos, pode ser o desenvolvimento de tarefas agendadas atravs do cron para manter o tamanho do HISTSIZE, ou ainda desenvolver scripts que adquiram as informaes digitadas por super usurios, no somente atravs do history e enviem e-mails para o administrador, ou ainda que desconecte temporariamente o usurio que utilize o comando unset HISTFILE. Adulterao dos registros auth.log, wtmp, lastlog so de suma importncia para a ocultao dos rastros de um invasor e a tcnica usada para a excluso de seus rastros muito eficiente e fcil de executar. Uma possvel contramedida consiste em utilizar-se de sistema de deteco de intruso com o intuito de analisar possveis inconsistncias nos registros, alm de servidores remotos com o intuito de manter um backup dos registros. Podese tambm, acrescentar medidas de proteo de arquivos, como o chattr e permisses apenas para grupos especficos. Deve-se tambm instalar os registros em parties diferentes, com o intuito de evitar que o disco seja completamente cheio caso haja um ataque com logger. A utilizao de rootkits so ferramentas de muita eficincia e dificilmente um administrador descobriria, sem qualquer ferramenta, onde esto. Se houve qualquer desconfiana sobre o estranho funcionamento de algum processo ou registro, provavelmente haver a necessidade de reinstalao do sistema. Para se evitar que problemas assim aconteam aconselhvel ao administrador manter uma imagem do sistema em sua forma mais pura, com o intuito de recuperar o sistema rapidamente, alm de instalar um detector de intruso, que compara o sistema integro com qualquer atividade suspeita verificando a integridade dos arquivos e alertando sobre possvel rootkit no mesmo. A tcnica de remoo segura totalmente eficaz, uma vez excludo um arquivo no h mais como recuper-lo, por isso h extrema urgncia em se manter a proteo dos arquivos mais importantes e uma verificao constante se no houve qualquer modificao no sistema. Ataque a logrotate no uma tcnica muito fcil de se aplicar, porm pode atrapalhar o administrador na verificao dos registros. Como contramedida o administrador deve se preocupar em manter uma cpia segura dos registros e manter uma rotina de verificao do tamanho dos registros que esto sendo rotacionados. A insero de registros falsificados pode prejudicar outro usurio, livrando a culpa do
42
invasor, porm a mesma tcnica no to eficiente. Uma contra medida consiste em uma maior ateno do administrador ao verificar os registros e utilizar-se de ferramentas de interpretao de registro No ambiente com segurana reforada foi verificado que o Ossec Hids um programa essencial para auxiliar profissionais e administradores. Foi verificado que um invasor possui autonomia para adulterar as configuraes do ossec hids, quando esse possui o privilgio de super usurio. Entretanto, comprometer o servidor se torna muito mais difcil, uma vez que, o ossec bem configurado, alerta o administrador por e-mail. Com isso, o administrador consegue muito mais controle sobre o sistema, e pode, por sua vez, analisar com mais cuidado os alertas gerados pelo ossec. O SELinux essencial para o administrador que deseja reforar a segurana do sistema operacional Linux. A lgica da poltica de tomada de decises prov segurana sobre todos os processos e objetos do sistema, uma vez que de at mesmo o super usurio tratado pelo SELinux como apenas um usurio comum. Evitando, assim, que os objetos do Linux (arquivos, devices, sockets, portas, processos) sejam expostos, por exemplo, a brechas de segurana utilizando-se incorretamente o comando de direitos de acesso. O syslog-ng se apresenta muito eficiente em infraestruturas de segurana baseado na verificao dos registros, pois permite centralizar os registros em um servidor, permitindo implement-los at mesmo em tabelas de banco de dados, como MySQL, e ser mais confivel que o syslog padro.
43
6. CONCLUSO
Realizando os experimentos com as tcnicas antiforenses computacionais em sistemas de registro Linux com o intuito de ocultao dos rastros deixados por uma invaso, verifica-se que as tcnicas antiforenses so efetivas para eliminar rastros em uma invaso. Verificou-se tambm que os registros so de extrema importncia no somente para a percia forense, mas para qualquer sistema, pois possuem todas as informaes do funcionamento das mquinas. Devido a isso, quando um sistema est comprometido, ou est em processo de comprometimento, um invasor procurar com toda certeza ocultar seus rastros, e seu alvo principal so os registros. Obtido a conta de super usurio de um sistema, o invasor pode realizar qualquer coisa e no h como saber se ele limpou todos os seus rastros, a no ser que o perito ou administrador conhea muito bem o seu sistema e possua um controle rigoroso do seu funcionamento. Com poucos comandos e pouco esforo, um invasor pode esconder seus rastros, pois existem muitas ferramentas prontas e bem desenvolvidas. Devido a isso, pode causar grandes prejuzos a um sistema. Todo o impacto gerado nas invases, a ocultao dos crimes e a importncia da informao para a nossa sociedade, confirma a importncia das precaues que qualquer administrador deve ter ao gerenciar sistemas, principalmente seus registros, reforando a importncia desse trabalho. Um ambiente com uma segurana reforada essencial para os administradores e profissionais de redes, uma vez que o nmero de invasores interessados em dados pessoais ou empresariais cada vez maior. Cuidados com a conta de super usurio devem ser as maiores possveis, pois um invasor com esses privilgios pode ocultar seus rastros e adulterar os sistemas de segurana instalados no sistema, como demonstrado no estudo de caso com os sistema seguro. Sintetizando as observaes: quando um invasor adquire a conta de super usurio no h dificuldade alguma em esconder suas atividades em um sistema, a no ser que se depare com um sistema fortemente seguro. Mesmo que no exista um sistema totalmente seguro, h medidas que podem facilitar a recuperao de um sistema invadido e amenizar os danos que podem ser causados ao mesmo. Para isso, um administrador deve executar medidas de segurana antes e durante o funcionamento do sistema. Este trabalho poderia ter continuidade em muitos pontos, tais como uma anlise mais completa das segurana nos registros, como o uso de servidores remotos para armazenamento dos mesmos, o uso mais profundo do AIDE, Ossec-hids, SELinux, LIDS e syslog-ng. Poder-se-ia estudar sobre tcnicas e vulnerabilidades dos servidores DNS
44
Recursivos e DNS Spoofing com o intuito de roubo de informaes. Analises futuras poderiam verificar mais medidas de segurana proativa e ativa, mais tcnicas antiforenses verificando falhas nos sistemas. Verificar medidas de recuperao de danos. Este trabalho poderia se estender para a parte dos crimes de informtica aplicadas aos registros ou ocultao de informaes. Aprofundar a anlise sobre ataques de negao de servio dos sistemas responsveis pelos registros ou ainda no prprio ncleo do Linux. Poderia ser feito pesquisas com a populao em geral para verificar o uso e conhecimento dos registros. Poderia ser estudado a particularidade dos registros nos principais Sistemas Operacionais Linux, aplicando tcnicas em outros alm do Debian. As tcnicas antiforense so dinmicas e esto inovando com o passar do tempo, assim tambm as medidas de segurana, com isso, o leque para este trabalho tambm tem a tendncia de se ampliar. O fator fundamental que rege esse leque, consiste na necessidade da sociedade e os prejuzos que ela poderia sofrer sem a devida busca por conhecimento e atualizao.
45
7. ANEXOS
ANEXO A - Syslog e Syslogd 1. Syslog
O syslog tem duas funes:

Liberar os programadores de gerar seu arquivos de log. Deixar o administrador do sistema no controle dos logs. O daemon syslogd. Openlog, que so rotinas e bibliotecas chamadas para ter acesso ao syslog. Logger, que um comando shell para o usurio enviar entradas para o syslog. Daemon
O syslog constitudo de 3 partes: 2.
O syslogd, escrito inicialmente por Eric Allman para *UNIX de kernel com poucos Kbytes, trabalhava com poucas mensagens de log. Os *UNIX modernos com kernel que podem variar de 400K a 16MB (Linux) passaram a produzir uma quantidade muito grande de logs, sem contar os programas (ssh, Postfix, SGBDS, etc), que produzem ainda mais log. Ento o daemon do syslog foi divido em dois: 3. syslogd - Linux system logging utilities; klogd - Kernel Log Daemon. Klogd
O klogd o daemon responsvel por capturar as mensagens de lanadas pelo kernel e guarda suas mensagens em dois locais, no /proc ou usando a "sys_syslog interface". O klogd escolhe qual dos dois vai usar da seguinte maneira: verifica se o /proc est montado, se estiver, utilizar o /proc/kmsg para gravar as mensagens de log, caso contrrio utilizar o "system call interface" para mandar as mensagens de erro. Uma vez que a mensagem enviada para o syslogd, o klog pode priorizar as mensagens enviadas pelo kernel. As mensagens enviadas pelo kernel tm a seguinte sintaxe: <[0-7]> mensagem do kernel Os valores <[0-7]> so definidos no kernel.h. O klogd tambm envia as mensagens para o console toda a mensagem com valor menor que 7. J as mensagens com valor 7 so tratadas como mensagem de debug.
46
O problema que a configurao padro gera mensagens em demasia na sada de tela, ento normalmente se utiliza o klog da seguinte maneira: # klogd -c 0 O comando acima mostra na tela apenas os logs de PANIC. Kernel Address Resolution: Uma vez que o kernel detecta um erro interno, uma trigger disparada mostrando todo o contedo que estava no processador no momento do erro. O klogd fornece essa facilidade de especificar que funo foi chamada e quais variveis estavam envolvidas no erro. 4. Syslogd
Captura tanto as mensagens do kernel quanto as mensagens do sistema. O syslogd d suporte para logs remotos, por exemplo, voc pode fazer todas as mquinas mandarem um log para uma mquina especfica que analisa os logs de todas as mquinas de uma empresa. 5. Os arquivos
Um dos problemas do syslog a falta de padronizao dos arquivos de log, ento dependendo da distribuio do seu Linux, pode haver alguma diferena. Geralmente os arquivos de logs esto no diretrio /var/log. Vejamos alguns exemplos dos arquivos de log que podem ser abertos com um editor de texto. O Quadro 11 apresenta os principais arquivos de log e suas respectivas funcionalidade: Nome messages syslog secure maillog cron Descrio Um dos principais arquivos de log do sistema (kernel/sistema) Um dos principais arquivos de log (kernel) Uso do su, sudo, mudana de senhas pelo root, etc Arquivo de log do servidor de e-mail Log do cron
Quadro 11 - Arquivos de Log e Funcionalidades

O syslog tambm gera arquivos de contabilidade, que no podem ser abertos por editores de textos e sim por programas especiais (exemplo: "last" para o wtmp). O Quadro 12 apresenta os principais arquivos de contabilidade e qual sua respectiva funcionalidade:
47
Nome wtmp acct/pacct
Descrio Contabilidade do tempo de conexo Contabilidade de processo BSD/Sysv
Quadro 12 - Arquivos de Contabilidade e Funcionalidade

6. Entendo o syslog.conf.
Toda a configurao do syslogd est no arquivo /etc/syslog.conf. A sintaxe bsica do syslog.conf a seguinte:
recurso.nvel ao
Onde "recurso" o recurso do sistema que envia a mensagem. So 18 os recursos definidos na maioria das verses, mas o syslog j define 21 (para uso futuro). O Quadro 13 apresenta os principais recursos do syslog.conf e quais os respectivos programas que os utilizam:
Recurso kernel user mail daemon auth cron syslog * Programas que utilizam O kernel Processos do usurio mail server Daemons do sistema Autenticao/segurana Cron Mensagens internas do syslog Todos exceto o mark
Quadro 13 - Recursos do Syslog e Programas que os utilizam

O Quadro 14 mostra qual o nvel" e qual sua determinao de grau de severidade do log. Nvel emerg alert crit err warning notice info debug Significado Mensagens Crticas Situaes de emergncias Condies crticas Erros Mensagem de advertncia Algo que merece uma investigao Informativas Depurao
Quadro 14 - Nvel do log e sua relao com o significado 48
Para mostras as aes do syslog utilizou-se do Quadro 15. Ao

nomedoarquivo @nomedohost/ipdohost usurio1,usurio2,
Significado
Grava a mensagem no arquivo (path completo) Encaminha a mensagem para um syslog em outra mquina Imprime as mensagens na tela do usurio se ele estiver logado
Quadro 15 - Ao do syslog e seu significado

O syslog permite entradas com operador lgico (OR) e wildcards (*,!) da seguinte maneira:
recurso.nvel; recurso2.nvel4 recurso1,recurso2.nvel *.nvel recurso.! ao ao ao Ao
Alguns *UNIX aprimoraram seu syslog, os *UNIX derivados do BSD (O Slackware em especial) implementou os qualificadores demonstrados no Quadro 16: Seletor kernel.info kernel.>=info kernel.= info kernel.!= info kernel.<=info kernel.<info kernel.>info Significado Seleciona as mensagens com nvel info ou mais altos O mesmo do kernel.info S as mensagens de info As mensagens diferentes de info As mensagens com o nvel < ou = a info Seleciona as mensagens com prioridade menor que info Seleciona as mensagens com prioridade maior que info
Quadro 16 - Qualificadores do syslog do Unix e seus significados

Alguns syslogs tambm implementam o m4, que consiste em um pr-processador de macro. Vejamos um exemplo:
auth.notice ifdef('LOGSERVER','/var/log/xpto','@LOGSERVER')
Essa linha direciona a mensagem para o /var/log/xpto se o LOGSERVER no estiver definido. 7. Login remoto
Para montar um servidor de log temos que verificar se temos que fazer duas coisas:
49
8.
Iniciar o syslogd com a opo -r, para que o syslog receba mensagens enviadas Fazer o daemon escutar a porta 514 (/etc/services), tanto no servidor quanto no Pronto, basta configurar o syslog.conf do servidor e dos clientes. Questo de segurana
pela rede; cliente.
O uso de um servidor de log pode deixar seu servidor susceptvel ataques D.O.S. Para evitar possveis D.O.S: Definir no firewall quem poder enviar mensagens; Fazer com que os logs no fiquem na partio raiz do sistema (evitando que o Definir uma "quota" para os arquivos de log.
sistema encha apenas com os logs);
50
8. GLOSSRIO
PALAVRA Do ingls Asymmetric DEFINIO Digital Subscriber Line. Software especificamente projetado para apresentar propagandas. Constitui uma forma de retorno financeiro para aqueles que desenvolvem Adware software livre ou prestam servios gratuitos. Pode ser considerado um tipo de spyware, caso monitore os hbitos do usurio, por exemplo, durante a navegao na Internet para direcionar as propagandas que sero apresentadas. De forma geral, artefato consistem em qualquer informao deixada por um invasor em um sistema comprometido. Pode ser Artefato um programa ou script utilizado pelo invasor em atividades maliciosas, um conjunto de ferramentas usadas pelo invasor, log ou arquivos deixados em um sistema comprometido, a sada gerada pelas ferramentas do invasor etc. Cdigo utilizado para verificar a integridade de um texto ou Assinatura Digital mensagem. Tambm pode ser utilizado para verificar se o remetente de uma mensagem mesmo quem diz ser. Atacante Pessoa responsvel pela realizao de um ataque. Veja tambm Ataque. Tentativa, bem ou mal sucedida, de acesso ou uso no autorizado Ataque a um programa ou computador. Tambm so considerados ataques as tentativas de negao de servio. Programa que permite a um invasor retornar a um computador Backdoor comprometido. Normalmente este programa colocado de forma a no ser notado. E-mail que possui contedo alarmante ou falso e que, geralmente, tem como remetente ou aponta como autora da mensagem alguma Boato instituio, empresa importante ou rgo governamental. Por meio de uma leitura minuciosa desse tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido.
51
Programa que, alm de incluir funcionalidades de worms, sendo capaz de se propagar automaticamente atravs da explorao de vulnerabilidades existentes ou Bot falhas na configurao de softwares instalados em um computador, dispe de mecanismos de comunicao com o invasor, permitindo que o programa seja controlado remotamente. O invasor, ao se comunicar com o bot, pode orient-lo a desferir ataques contra outros computadores, furtar dados, enviar spam, etc Botnets Redes formadas por diversos computadores infectados com bots. Podem ser usadas em atividades de negao de servio, esquemas de fraude, envio de spam etc. Programa, normalmente recebido com um presente (por exemplo, carto virtual, Cavalo de Troia lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Cdigo Malicioso
Comprometimento
Termo genrico que se refere a todos os tipos de programas que executam aes maliciosas em um computador. Exemplos de cdigos maliciosos so os vrus, worms, bots, cavalos de troia, rootkits, etc. Veja Invaso Conexo que utiliza um protocolo de criptogrfica para a transmisso de dados, como, por exemplo, HTTPS ou SSH Cincia ou arte de escrever mensagens em forma cifrada ou em cdigo. parte de um campo de estudos que trata das comunicaes secretas Do ingls Distributed Denial of Service. Ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Veja Negao de Servio. Do ingls Denial of Service. Veja Negao de Servio Este endereo um nmero nico para cada computador conectado Internet, composto por uma sequncia de 4 nmeros que variam de 0 at 255, separados por .. Por exemplo, 192.168.2.3. Mtodo de ataque onde uma pessoa faz uso de persuaso, muitas vezes
Conexo segura Criptografia
DDoS DoS Endereo IP
Engenharia Social
abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um software de computador Ato onde o falsificador atribui-se identidade ilegtima, podendo se fazer passar por outra pessoa, com objetivo de obter vantagens indevidas, como, por exemplo, obter crdito, furtar dinheiro de contas bancrias das vtimas, utilizar cartes de crdito de terceiros, entre outras.
Exploit
Falsa Identidade
52
Firewall GnuPG
Dispositivo constitudo pela combinao de software e hardware. Utilizado para dividir e controlar o acesso entre redes de computadores. Conjunto de programas gratuito e de cdigo aberto, que implementa criptografia de chave nica, de chaves pblica e privada e assinatura digital. Tcnica utilizada por spammers, que consiste em varrer pginas Web, arquivos de listas de discusso, entre outros, em busca de endereos de e-mail. Veja Boato. Do ingls HyperText Markup Language. Linguagem universal utilizada para estruturao de pginas da Internet Do ingls HyperText Transfer Protocol. Protocolo usado para transferir pgina Web entre um servidor e um cliente. Do ingls Malicious software (software malicioso). Veja Cdigo Malicioso. Quando utilizado como parte de uma URL, especifica a utilizao de HTTP com algum mecanismo de segurana, normalmente o SSL. Do ingls Intrusion Detection System. Programa, ou um conjunto de programas, cuja funo detectar atividades maliciosas ou anmalas Acrnimo para Insitute of Electrical and Electronics Engineers, uma organizao composta por engenheiros, cientistas e estudantes, que desenvolvem padres para a indstria de computadores e eletroeletrnicos. Ataque bem sucedido que resulte no acesso, manipulao ou destruio de informaes em um computador Pessoa responsvel pela realizao de uma invaso(comprometimento). Veja tambm Invaso Programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Normalmente, a ativao do keylogger
Harvesting
Hoax HTML HTTP Malware HTTPS IDS
IEEE
Invaso Invasor
Keylogger
condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site de comrcio eletrnico ou Internet Banking, para captura de senhas bancrias ou nmero de cartes de crdito Registro de atividades gerado por programas de computador. No caso de logs
Log Malware Negao de Servio
relativos a incidentes de segurana, eles normalmente so gerados por firewalls ou por IDSs. Do ingls Malicious software (software malicioso). Veja Cdigo Malicioso. Atividade maliciosa onde o atacante utiliza um computador para tirar de operao um servio ou computador conectado Internet
53
PGP
Do ingls Pretty Good Privacy. Programa que implementa criptografia de chave nica e assinatura digital. Tambm conhecido como phishing scam. Mensagem no solicitada que se passa por comunicao de uma instituio conhecida, como um banco, empresa ou site popular, e que procura induzir usurios ao
Phishing
fornecimento de dados pessoais e financeiros. Inicialmente, este tipo de mensagem induzia o usurio ao cesso a pginas fraudulentas na Internet. Atualmente, o termo tambm se refere mensagem que induz o usurio instalao de cdigos maliciosos Conjunto de programas que tem como finalidade esconder e assegurar a presena de um invasor em um computador comprometido. importante ressaltar que o nome rootkit no indica que as ferramentas que o compem so usadas para obter acesso privilegiado (root ou Administrador) em um computador, mas sim para manter o acesso privilegiado em um computador previamente comprometido Esquemas ou aes enganosas e/ou fraudulentas. Normalmente, tem como finalidade obter vantagens financeiras Tcnica normalmente implementada por um tipo de programa, projetado para efetuar varreduras em redes de computadores Do ingls Secure Shell. Protocolo que utiliza criptografia para cesso a um computador remoto, permitindo a execuo de comandos, transferncia de arquivos, entre outros. Veja cavalo de Tria. Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco.
Rootkit
Scam Scan
SSH Trojan Horse
Vrus
54
REFERNCIAS
AIDE. Advanced Intrusion Detection Environment. Endereo:
http://aide.sourceforge.net/. Acesso em 10 de abril de 2013. BARRETO, G.L. Utilizao de tcnicas antiforenses para garantir a
confidencialidade. 2009, pp. 10 CARPANEZ, Juliana. Conhea os crimes virtuais mais comuns. Folha de 07/01/2006. Disponvel em: www1.folha.uol.com.br/folha/informatica/ult124u19455.shtml. Acesso em 25 de maro de 2013. CARROLL, Ovie L., BRANNON, Stephen K., SONG, Thomas. Computer Forensics: Digital Forensic Analysis Methodology. United States Attorneys Bulletin. Volume 56, Nmero 1, Janeiro de 2008. CENTRO DE ESTUDO, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANA NO BRASIL (CERT.BR). Estatstica dos Incidentes Reportados ao CERT.br. Endereo: http://www.cert.br/stats/incidentes/2010-jul-sep/tipos-ataque-acumulado.html. Acesso em 11 de abril de 2013. CORRA, Gustavo Testa. Aspectos jurdicos da internet. So Paulo: Saraiva. 2000. DEBIAN, Wiki. SELinux. Endereo http://wiki.debian.org/SELinux. Acesso em 11 de maio de 2013. GULIK, Dirk-Willem van. Ataque de negao de servio devido a vulnerabilidade em faixa do cabealho Apache HTTPD 1.3/2.x. Disponvel em: http://article.gmane.org/gmane.comp.apache.announce/58. Acesso em 20 de abril de 2013. HOEPERS, Cristine. STEDING-JESSEN, Klaus. Anlise e Interpretao de Logs. Endereo: http://www.cert.br/docs/palestras/nbso-gter15-tutorial2003.pdf. Acesso em 22 de maro de 2013.
55
FARMER, Dan, VENEMA, Wietse. Pericia Forense Computacional: Teoria e Prtica Aplicada. Pearson Prentice Hall. 2007. FARMER, Dan; VENEMA, Wietse; Forensic Computer Analysis: An Introduction; Dr. Dobbs Journal. Setembro de 2000. FREITAS, Andrey. R. de. Pericia Forense Aplicada Informtica. Trabalho de Curso de Ps-Graduao Lato Sensu em Internet Security. IBPI. 2003. HATCH, Brian. Brian Hatch, James B. Lee, George Kurtz: Traduo Daniel Vieira. Segurana Contra Hackers Linux. So Paulo: Futura. 2003. ICCyber 2010. Combate aos Crimes Cibernticos. Endereo:
http://www.crimesciberneticos.com/2010/09/combate-aos-crimes-ciberneticos-e.html. Acesso em 02 de abril de 13. IDG NOW! Petrobras perde dados sigilosos em furto de computadores, 14 de fevereiro de 2008. Endereo: http://idgnow.uol.com.br/. Acesso em 11 de abril de 2013. LUEST, Severin. Netlog. Endereo: http://netlog.sourceforge.net/. Aceso em 05 de maio de 2013. MAIN, P. C. Van Oorschot. Software Protection and Application Security: Understanding the Battleground. Procedings of the International Course on State of the Art and Evolution of Computer Security and Industrial Cryptography. 2003. MCCLURE, Stuart, SCAMBRAY, Joel, KURTZ, George. Hackers exposto: segredos e solues para a segurana de redes. Traduo de Daniel Vieira Rio de Janeiro: Elsevier, 2003. 2 Reimpresso. MILAGRE, Jos Antnio. Percia digital e computao forense. Revista Viso Jurdica. Disponvel no endereo: http://revistavisaojuridica.uol.com.br/advogados-leisjurisprudencia/47/imprime170142.asp. Acesso em 02 de abril de 2013. NOBLETT, Michael G.; Report of the Federal Bureau of Investigation on
56
development of forensic tools and examinations for data recovery from computer evidence; Proceedings of the 11th INTERPOL Forensic ScienseS ymposium. 1995. NOBLETT, Michael G., POLLITT, Mark M., PRESLEY, Lawrence A. Recovering and Examining Computer Forensic Evidence. Forensic science communications. Outubro de 2000 volume 2 Nmero 4. ORACLE. Oracle HTTP Server Administrator's Guide. Disponvel em: http://www.di.unipi.it/~ghelli/didattica/bdldoc/B19306_01/server.102/b14190/servlog.htm. Acesso em 12 de abril de 2013. OSSEC, Host-Based Intrusion Detection Systems. abril de 2013. PEREIRA, Evandro, FAGUNDES, Leonardo, NEUKAMP, Paulo, LUDWIG, Glauco, KONRATH, Marlom. Forense Computacional: fundamentos, tecnologias e desafios atuais. VII Simpsio Brasileiro em Segurana da Informao e de Sistemas computacionais. Rio de janeiro. Agosto de 2007. RENAESP. Revista da Rede Nacional de Altos Estudos em Segurana Pblica, Edio 2008. RODRIGUES, R. Brasil lder em vrus que roubam dados bancrios, diz pesquisa. 2010. Disponvel em: http://idgnow.uol.com.br/seguranca/2010/08/24/brasil-e-liderem-virus-que-roubam-dados-bancarios-diz-pesquisa/. Acesso em 15 de abril de 2013. RODRIGUES, Thalita Scharr, FOLTRAN, Dierone Csar. Anlise de Ferramentas Forenses na Investigao Digital. 5 Encontro de Engenharia e Tecnologia dos Campo Gerais. Outubro de 2010. SILVA, Bruno Siqueira da. Anlise de estudos sobre investigao forense computacional em sistema Unix alterado por rootkits. URI Santo ngelo Universidade Regional Integrada do Alto Uruguai e das Misses Departamento de Engenharias e Cincia da Computao. 2011. Open Source Host-based
Intrusion Detection System. Disponvel em: http://www.ossec.net/doc/. Acesso em 15 de
57
SOUZA, Carlos Andr Evangelista de. Tcnicas Antiforense em Desktops. PrReitoria de Ps-Graduao e Pesquisa Lato Sensu em Percia Digital. Trabalho de Concluso de Curso. Braslia. Distrito Federal. 2012. STRAUHS, Faimara do Rocio. Gesto do Conhecimento em Laboratrio Acadmico: Proposio de Metodologia. 2003. 480 f. Tese (Doutorado em Engenharia de Produo) Programa de Ps-Graduao em Engenharia de Produo, Universidade Federal de Santa Catarina, Florianpolis, 2003. THOMPSON, Kerry. Logsurfer. Endereo: http://www.crypt.gen.nz/logsurfer/.
Acesso em 05 de maio de 2013.

TOLEDO, Alex Sander de Oliveira, SOUZA, Robert de. Percia Forense Computacional: Anlise de Malware em Forense computacional utilizando de sistema operacional GNU/Linux. PS EM REVISTA. Pg. 172. TOMS, Eliane Maria Cordeiro. Crimes Informticos: Legislao brasileira e tcnicas de forense computacional aplicadas essa modalidade de crime. Artigo acessvel no endereo: http://www.artigos.etc.br/crimes-informaticos-legislacao-brasileira-etecnicas-de-forense-computacional-aplicadas-a-essa-modalidade-de-crime.html. Acesso em 02 de abril de 2013. VARGAS, R. Percia Forense Computacional e metodologias para obteno de evidncias. 2007 VARGAS, R. Processos e Padres em Percia Forense Aplicado a Informtica. Trabalho de Concluso de Curso, Bacharelado em Sistemas de Informao, Faculdade Metodista Granbery, Juiz de Fora, Minas Gerais, 2006. VIANNA, Tlio Lima. Fundamentos de Direito Penal Informtico. Rio de Janeiro: Forense, 2003.
58
WIKIPEDIA. Crime. Disponvel em: http://pt.wikipedia.org/wiki/Crime. Acesso em: 25 de maro de 2013. WIKIPEDIA. Auditoria. Disponvel em: http://pt.wikipedia.org/wiki/Auditoria. Acesso em: 25 de maro de 2013. ZANELLATO, Marco Antnio. Condutas ilcitas na sociedade digital. In Caderno Jurdico da Escola Superior do Ministrio Pblico de So Paulo, ano II, n. IV, julho de 2002.
59

(TCC II UTFPR) Avaliação de Técnicas Antiforenses Computacionais Aplicadas A Registros Linux

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

(TCC II UTFPR) Avaliação de Técnicas Antiforenses Computacionais Aplicadas A Registros Linux

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS PARA INTERNET

AVALIAO DE TCNICAS ANTIFORENSES COMPUTACIONAIS APLICADAS A REGISTROS DE SISTEMAS LINUX

TRABALHO DE CONCLUSO DE CURSO

CAMPO MOURO 2013

AVALIAO DE TCNICAS ANTIFORENSES COMPUTACIONAIS APLICADAS A REGISTROS DE SISTEMAS LINUX

CAMPO MOURO 2013

ATA DA DEFESA DO TABALHO DE CONCLUSO DE CURSO

Me. Luiz Arthur Feitosa dos Santos Membro

Me. Frank Helbert Borsato Membro

Me. Rodrigo Campiolo Orientador

SISTEMAS DE REGISTROS ................................................................................... 16

MATERIAIS E MTODOS ............................................................................................ 29

3.2. 4. 4.1. 4.2. 5. 6. 7. 8.

Quadro 1 - Ciclo de Vida dos Dados

Quadro 2 - MACTimes de um Sistema

Quadro 3 - Principais Registros e Sua Funcionalidade

Quadro 4 - Facility Syslog

Quadro 5 - Nveis de Logging (detalhamento) de Syslog

Obter Acesso de Super Usurio

Roubar ou Adulterar Dados

Obter Acesso de Nvel de Usurio

Executar outras Atividades No Autorizadas

Figura 1 - Anatomia de um Ataque

Programa nslookup traceroute

Quadro 6 - Ferramentas utilizadas para reconhecimento

Quadro 7 - Programas usados para descoberta de topologia de rede

programa TAMU tiger, e apresenta relatrios legveis aps uma varredura.

Quadro 8 - Programas usados para varredura de rede

Tcnica Password sniffing Password crackers Password guessing

Quadro 9 - Tcnicas de obteno de senhas e caractersticas

Modo Conexo Bridge

Oracle VM Virtual Box

Figura 2- Topologia da Rede Utilizada

4. APLICAO E ANLISE DAS TCNICAS ANTIFORENSES

Figura 3 - Log gerado em auth.log por acesso SSH

124 125 126 127 128

exit ifconfig cat auth.log last history

Figura 4 Uso do comando history

root@servidor:~# unset HISTFILE

Figura 5 - Primeiro comando executado por um invasor

root@servidor:~# cd /var/log/ root@servidor:/var/log# pico auth.log

Figura 6 - Localizao e Edio do registro auth.log

Figura 7 - Apagando dados do auth.log

Fri Fri Fri Fri

Apr Apr Apr Apr

15:19 15:14 15:05 15:05

still logged in 15:19 (00:05) still logged in 15:22 (00:28)

Figura 8 - Comando last verifica ltimos acessos bem sucedidos

Figura 9 - Comando last adulterado

GNU nano 2.2.4

Figura 10 - Editando arquivo lastlog com nano

Figura 11 - Execuo do comando lastlog e informaes de IP

Figura 12 - Resultado do comando lastlog adulterado 34

Ferramentas syslogd killall Backdoors wted z2

Quadro 10 - Rootkit LRK6 e alguns binrios inclusos

Figura 13 - Arquivos contidos no rootkit e sua transferncia

Figura 14 - Movendo o arquivo para o compilador C 35

Figura 15 - Instalao do Wipe e o Secure-Delete

Figura 16 - Criao de pastas para Teste

Figura 17 - Remoo de Arquivo com Wipe e Teste

Figura 18 - Remoo com Secure-Delete em 3 Etapas 36

Figura 19 - Lista de Arquivos Instalados pelo apt-get

Figura 20 Limpeza apt-get e remoo do wipe e secure-delete