Você está na página 1de 7

FORENSE COMPUTACIONAL: UMA PROPOSTA DE ENSINO

Paulo S. da Motta Pires


Departamento de Engenharia de Computação e Automação
Universidade Federal do Rio Grande do Norte
59078-970 Natal - RN
pmotta@dca.ufrn.br

RESUMO
A caracterı́stica das informações que devem ser disponibilizadas torna o ensino de disciplinas
relacionadas com segurança de redes um desafio bastante interessante. Este trabalho descreve uma
proposta de formalização e de ensino da disciplina Forense Computacional. Essa proposta apresenta
uma disciplina flexı́vel, prática, que amplia a formação dos estudantes de Ciência da Computação
e de Engenharia de Computação e os prepara para atuar em um mercado promissor e carente de
especialistas.

ABSTRACT
Courses dealing with computer or network security present extremely interesting challenges due
to the nature of the information that is handled. This paper presents a proposal for development
and implementation of a course in Computer Forensics. This project introduces a course that is both
flexible and practical while broadening the preparation of students in Computer Science and Computer
Engineering in order to prepare them for work in an area that is very promising but has a shortage
of specialists.

1 INTRODUÇÃO disciplinas deixam de ter caráter meramente con-


templativo e são realizadas experimentações práti-
Ensinar disciplinas da área de segurança de sis- cas em laboratório.
temas computacionais é um desafio muito interes- Neste trabalho, apresenta-se uma proposta de
sante em virtude das caracterı́sticas e peculiarida- formalização e de ensino da disciplina Forense
des das informações a serem repassadas, [1]. Aos Computacional para alunos de graduação em fi-
estudantes devem ser apresentadas, de forma sis- nal de curso ou para alunos de pós-graduação das
tematizada, técnicas e ferramentas utilizadas para áreas de Ciência da Computação e de Engenha-
comprometer sistemas computacionais e, também, ria de Computação. Esta proposição apresenta
técnicas e ferramentas utilizadas para proteger es- uma disciplina flexı́vel, de caráter eminentemen-
ses mesmos sistemas. te prático, que amplia a formação acadêmica des-
A apresentação pública de material de natureza ses estudantes. A disciplina proposta tem como
sensı́vel traz dificuldades relacionadas à definição pré-requisito mı́nimo o conhecimento formal de
da profundidade com que alguns conceitos devem TCP/IP (Transmission Control Protocol/Internet
ser tratados e à certeza da correção da destinação Protocol ) aprendido durante a disciplina de Redes
que será dada aos conhecimentos adquiridos. É de Computadores e, eventualmente, pode ser cur-
comum, em universidades estrangeiras, para dis- sada em paralelo com as disciplinas que possuem
ciplinas com esse tipo de conteúdo, a assinatura a palavra segurança em seus tı́tulos, no contexto
obrigatória de documentos nos quais os alunos as- apresentado no parágrafo precedente.
sumem o compromisso legal de não utilizarem esses Esta proposta segue padrões que estão sendo
conhecimentos para fins inadequados. Por diversas adotados para disciplinas desse tipo em outras ins-
razões, essa prática ainda não é adotada no Brasil. tituições, [2], e, em particular, na Universidade de
Apesar dessas dificuldades, as Instituições de Nebrasca, USA, [3]. Salvo melhor juı́zo, uma dis-
Ensino Superior não podem deixar de preparar ciplina com o perfil aqui proposto ainda não está
profissionais nessa área. Essa preparação está sen- formalizada no Brasil, apesar de excelentes traba-
do realizada através de disciplinas de graduação e lhos já terem sido produzidos, [4]. Assume-se que,
de pós-graduação com denominações que, em ge- ao final dessa disciplina, o aluno apresente profi-
ral, incluem a palavra segurança em seus tı́tulos. ciência adequada para coletar evidências digitais
Nessas disciplinas, são apresentados conceitos rela- em sistemas computacionais, interpretar os dados
cionados à segurança de sistemas computacionais coletados, criar uma seqüência de eventos que ca-
ou de seus serviços. Quando possı́vel, pelas pró- racterizem as ações realizadas pelo ente que causou
prias caracterı́sticas das questões analisadas, essas o problema e, mais importante, seja capaz de atuar
101
com competência, profissionalismo e ética em um ção e ao posterior indiciamento judicial de eventu-
mercado promissor e carente de especialistas. ais culpados, se esse for o objetivo.
Este trabalho está organizado como segue. A Formalmente, a Forense Computacional é uma
seção 2 apresenta o contexto no qual a disciplina sub-área da Forense Digital [11]. A Forense Digital
proposta se enquadra. Nessa seção, é apresentado pode ser definida como uma área de conhecimento
o padrão atual de formação dos alunos dos cur- que se utiliza de métodos elaborados e comprova-
sos de Ciência da Computação e de Engenharia dos cientificamente visando a preservação, coleta,
de Computação na área de segurança de sistemas validação, identificação, análise, interpretação, do-
computacionais ou de seus serviços. É demonstra- cumentação e apresentação de evidências digitais
da a oportunidade da criação da Forense Computa- com o propósito de facilitar ou permitir a recons-
cional, uma sub-área da Forense Digital, como uma tituição de procedimentos de natureza criminosa
disciplina formal. Em seguida, a seção 3 apresen- que ocorram em equipamentos digitais. A Foren-
ta a distribuição da carga horária, os tópicos que se Digital é, portanto, mais abrangente e traba-
integram a ementa da disciplina e uma sugestão lha com informações armazenadas ou transmitidas
para a realização da avaliação do rendimento dos por equipamentos digitais como PDAs (Personal
estudantes. Na seção 4, mostra-se a dinâmica com Digital Assistants), telefones celulares, máquinas
que se pretende apresentar os assuntos. Sistemas de FAX, centrais telefônicas digitais, os próprios
operacionais livres e de código fonte disponı́vel são computadores, entre outros [12].
escolhidos para as máquinas onde devem ser rea- A Forense Digital é uma ciência relativamente
lizadas as práticas de laboratório. A proposição nova, complexa e engloba procedimentos e meto-
das ferramentas e dos ambientes a serem utiliza- dologias de áreas tão distintas como Mineração de
dos nessas práticas é feita na seção 5. O trabalho Dados, Linguı́stica, Lógica, Probabilidade e Esta-
é concluı́do com a proposta de algumas linhas de tı́stica, Processamento Digital de Sinais e de Ima-
pesquisa, ou de desenvolvimento, que podem ser gens, Criptografia e Redes de Computadores.
seguidas como resultado da abordagem mais apro- Pelo exposto, a disciplina proposta amplia a
fundada e estendida dos assuntos apresentados no formação dos estudantes dos cursos de Ciência
decorrer da disciplina. da Computação e de Engenharia de Computação,
A disciplina, na forma como está aqui discu- preparando-os para um mercado promissor e ca-
tida, será implementada na ênfase em Engenharia rente de profissionais capacitados. Esses profissi-
de Computação e Automação do Programa de Pós- onais estarão aptos, também, a realizar pesquisa
graduação em Engenharia Elétrica da Universida- cientı́fica aplicada à criminalı́stica “no sentido de
de Federal do Rio Grande do Norte e apresentada se chegar a resultados satisfatórios na escolha dos
no primeiro semestre letivo de 2004. melhores procedimentos e metodologias”, [13]. Es-
se objetivo está de acordo com a proposta do mo-
delo de padronização de procedimentos em Forense
2 O CONTEXTO Computacional apresentado na referência [13]. Se-
gundo essa referência, “o exame pericial, bem co-
Nas Instituições de Ensino Superior, os alu-
mo o desenvolvimento e avaliação de procedimen-
nos de Ciência da Computação e de Engenharia
tos de análise forense, devem ser executados por
de Computação cursam a disciplina de Redes de
pessoa portadora de nı́vel superior, forensi-
Computadores segundo padrões bem estabeleci-
camente capacitada e com habilitação técnica e
dos, [5, 6, 7]. Os estudantes complementam es-
cientı́fica relacionada à natureza do exame1 .
sa formação cursando disciplinas na área de segu-
Além disso, tal pessoa não deve ter antecedentes
rança de sistemas ou de serviços utilizando textos
que levantem suspeitas acerca do seu caráter e éti-
consagrados, [8, 9, 10]. Este trabalho sugere que
ca”. Ainda, continuam os autores, [13], “o perito
essa formação inclua, também, a disciplina Forense
deve lastrear suas assertivas e conclusões com jus-
Computacional.
tificativas cientı́ficas, de modo que haja, do ponto
A Forense Computacional pode ser definida co- de vista cientı́fico, uma única possibilidade de se
mo um conjunto de técnicas, cientificamente com- chegar a tais afirmações”.
provadas, utilizadas para coletar, reunir, identifi-
car, examinar, correlacionar, analisar e documen-
tar evidências digitais processadas, armazenadas
ou transmitidas por computadores.
3 A ORGANIZAÇÃO DA
Evidência digital é qualquer informação de va- DISCIPLINA
lor probatório que é armazenada ou transmitida de
forma digital. A disciplina está estruturada para ser apresen-
Para a Forense Computacional, o computador, tada em 60 (sessenta) horas/aula, correspondentes
isolado ou em rede, pode ter sido o objeto ou o alvo a 04 (quatro) créditos, com duas sessões semanais
de uma atividade criminosa cabendo ao analista a de 02 (duas) horas/aula cada. Essa carga horá-
coleta de evidências que possam levar à identifica- ria está distribuı́da ao longo de 15 (quinze) sema-
1 Os destaques foram feitos pelo autor deste trabalho.
102
nas. As sessões são utilizadas para a apresentação sequente. Assim sendo, são enfatizados o meca-
formal dos assuntos relacionados com a disciplina, nismo de handshaking, as portas dos serviços, os
para a realização eventual de palestras proferidas campos de flags do protocolo TCP e o conceito
por profissionais convidados e para a apresentação de cliente-servidor. Em relação ao protocolo IP,
de trabalhos desenvolvidos pelos alunos. As expe- apenas o IPv4 (Internet Protocol version 4 ) será
riências realizadas em laboratório não estão conta- considerado e dar-se-á ênfase à revisão de ende-
bilizadas nas 60 (sessenta) horas/aula previstas. reçamento. No estudo dos protocolos deverão ser
Inicialmente, a disciplina será oferecida no pri- utilizadas ferramentas de análise de tráfego. Com
meiro semestre de 2004 para alunos da ênfase em relação a sistemas operacionais, a opção é sempre
Engenharia de Computação e Automação do Pro- pelos sistemas livres e de código aberto. Serão uti-
grama de Pós-Graduação em Engenharia Elétrica lizados o Linux e o OpenBSD como sistemas opera-
da Universidade Federal do Rio Grande do Norte cionais das máquinas do laboratório e das células
que tenham cursado o pré-requisito mı́nimo esta- de análise forense. Desta forma, será dada uma
belecido em seção anterior. visão geral de aspectos relativos a sistemas de ar-
A disciplina Forense Computacional, como está quivos (filesystems), partições, devices, kernel, co-
sendo proposta, possui a seguinte ementa: Intro- mandos e utilitários mais importantes desses siste-
dução; Conceitos de Redes de Computadores e de mas. Dependendo da disponibilidade, poderão ser
Sistemas Operacionais; Sistemas de Detecção de apresentadas caracterı́sticas de sistemas operacio-
Intrusos; Resposta a Incidentes; Análise de Siste- nais fechados.
mas Comprometidos; Aspectos Legais; Aspectos Nas três semanas subsequentes, serão apresen-
Éticos. tados assuntos relativos a sistemas de detecção de
O desempenho individual dos estudantes será intrusos e de procedimentos de resposta a inciden-
medido através da realização de duas avaliações tes, [18, 19, 20]. Ênfase é dada à análise e com-
individuais (com peso relativo de 40%), da apre- preensão de logs e à importância de se estabelecer
sentação de um projeto de análise realizado em mecanismos de sincronização de tempo para os di-
grupo (com peso relativo de 40%) e pela apresen- versos equipamentos de rede. As implementações
tação de um trabalho individual (com peso relativo de máquinas centralizadoras de logs (loghosts) e
de 20%). do protocolo NTP (Network Time Protocol ), [21],
O programa da disciplina deve evoluir como devem ser feitas nesta etapa. Além disso, serão
descrito na próxima seção. discutidas as arquiteturas de honeynets e honey-
pots [22]. Essas arquiteturas serão avaliadas do
ponto de vista de fornecedoras de material para
4 A IMPLEMENTAÇÃO análise. Procedimentos para resposta a incidentes
de segurança serão apresentados.
Conforme apresentado na seção anterior, a dis- As sessões dessas 6 (seis) primeiras semanas de-
ciplina prevê aulas ao longo de 15 (quinze) sema- vem ser enriquecidas com experiências em labora-
nas. Em termos de programação semanal, os as- tório nas quais os alunos realizam, entre outras, as
suntos serão desenvolvidos na seqüência que se se- seguintes tarefas:
gue.
Na primeira semana, apresenta-se uma visão • Utilização de ferramentas para coleta e aná-
geral da área de Forense Digital. O objetivo é lise de tráfego de rede;
mostrar o enquadramento dos assuntos tratados
• Implementação de sistemas de detecção de
na disciplina Forense Computacional em um con-
intrusos e análise dos respectivos logs;
texto mais amplo, como definido na seção 2. Nessa
semana, devem ser estabelecidos os grupos de tra- • Implementação de uma firewall e análise dos
balho para a realização das tarefas práticas. Tam- logs correspondentes;
bém devem ser escolhidos os temas dos assuntos
que deverão ser pesquisados individuamente para • Implementação de um sistema centralizado
apresentação no decorrer da disciplina. de coleta de logs, e
Nas duas semanas seguintes, apresentam-se os
• Implementação de uma hierarquia NTP.
conceitos de redes de computadores e de sistemas
operacionais que são diretamente relacionados à
Em seguida, e durante as próximas 5 (cinco) se-
Forense Computacional. Nessa etapa, faz-se uma
manas, serão realizadas as sessões correspondentes
revisão dos protocolos do modelo TCP/IP. São re-
aos três A da Forense Computacional:
visados conceitos correspondentes aos protocolos
TCP (Transmission Control Protocol ), [14], UDP • Aquisição das evidências sem alterar ou con-
(User Datagram Protocol ), [15], ICMP (Internet taminar os dados originais;
Control Message Protocol ), [16], e IP (Internet
Protocol ), [17]. O objetivo principal da apresen- • Autenticação das evidências coletadas de
tação desses protocolos é preparar os estudantes forma a comprovar que estas são idênticas
para a análise de logs a ser realizada na etapa sub- às originais apreendidas, e
103
• Análise das evidências recolhidas. • Utilizar ferramentas para a análise das evi-
dências coletadas.
O objetivo nessa etapa é apresentar situações
reais para que os estudantes, agora analistas foren-
ses, desenvolvam seus trabalhos. Essas sessões são
É importante salientar que todas as experiênci-
baseadas nas recomendações da RFC-3227, [23].
as em laboratório são realizadas segundo a disponi-
Utiliza-se, também, o material escrito em portu-
bilidade de cada um dos grupos de alunos e podem
guês disponı́vel em [24] e as referências [25, 26, 27].
ter ou não o acompanhamento direto, formal, do
As exposições teóricas dessas sessões também
professor.
serão complementadas com práticas realizadas em
laboratório. Através dessas práticas, o estudante A semana seguinte é reservada para a aborda-
adquire capacitação para: gem de aspectos legais e éticos relacionados à Fo-
rense Computacional. Essas atividades podem ser
• Documentar procedimentos; combinadas com palestras de convidados represen-
• Definir o hardware necessário para a monta- tantes de entidades encarregadas da manutenção
gem da célula de análise de mı́dias; da lei.
Finalmente, as 3 (três) últimas semanas da dis-
• Instalar o sistema operacional, e as ferramen-
ciplina estão reservadas para que os alunos apre-
tas adequadas, no equipamento onde as evi-
sentem os trabalhos teóricos e/ou práticos desen-
dências serão analisadas;
volvidos.
• Utilizar ferramentas para: Todos os procedimentos propostos para a apre-
– coletar evidências em memória; sentação da disciplina estão sumarizados na Tabe-
la 1. Pode-se observar que as 15 (quinze) semanas
– coletar evidências relacionadas ao esta- estão agrupadas em 3 (três) etapas. A primeira
do dos processos, e etapa, constituı́da pelas 6 (seis) primeiras sema-
– coletar evidências relacionadas ao esta- nas de aula, concentra as atividades relativas à co-
do das conexões de rede. leta e análise de tráfego de rede, implementação
de serviços (sistema de detecção de intrusos, fi-
• Utilizar procedimentos para duplicação de
rewall, loghosts, hierarquia NTP) e análise de logs.
mı́dias;
A segunda etapa, com 5 (cinco) semanas de aula,
• Utilizar procedimentos para preservação das corresponde a atividades relacionadas à aquisição,
evidências coletadas, e autenticação e análise de evidências.

Tabela 1: Forense Computacional: resumo dos tópicos a serem abordados

Total de
Etapa Atividades Planejadas
Semanas
Introdução
Contextualização da disciplina
1
Definição dos Grupos de Trabalho para realização de tarefas práticas
Escolha de temas para a realização do Trabalho Final Individual
TCP/IP - Protocolos TCP, UDP, ICMP, IPv4
2 Linux/OpenBSD como base das células de análise forense
1 Outros sistemas operacionais
Sistemas de detecção de intrusos
Sistemas de proteção de redes e de hosts - firewalls
Máquinas centralizadoras de logs, loghosts
3
Mecanismo de sincronização de tempo, protocolo NTP
Utilização de honeynets, honeypots como fornecedoras de material
Procedimentos para resposta a incidentes de segurança
Mı́dias digitais
Procedimentos para coleta e preservação de evidências
2 5
Procedimentos para análise de evidências
Utilização de ferramentas e de ambientes para análise forense
1 Aspectos legais e éticos da Forense Computacional
3
3 Apresentação dos trabalhos realizados

104
Na terceira etapa, com 4 (quatro) semanas de código aberto traz em si, ainda, a vantagem adicio-
aula, são discutidos aspectos éticos e legais perti- nal de possibilitar a realização de auditorias como
nentes e são apresentados os trabalhos desenvolvi- mais uma prática de ensino.
dos pelos estudantes. As experiências de laboratório serão realizadas
A divisão em etapas dos assuntos tratados na em máquinas com sistemas operacionais Linux e
disciplina Forense Computacional auxilia no pro- OpenBSD. Inicialmente, será dado destaque à uti-
cesso de escolha das ferramentas a serem utilizadas lização de comandos ou utilitários geralmente pre-
nos trabalhos desenvolvidos em laboratório. sentes nessas distribuições e que devem ser de co-
nhecimento dos estudantes. Podem-se citar: ls,
cd, cat, dd, mount, file, strings, ps, arp, lsof,
5 FERRAMENTAS E AM- netstat, find, strace, grep, entre outros.
BIENTES Também serão usadas e avaliadas as ferramen-
tas e os ambientes mostrados na Tabela 2. Nessa
Para as atividades desenvolvidas em laborató- Tabela, todos os links apresentados estão ativos
rio, a opção é a utilização de ferramentas e ambien- em junho de 2003. Essas ferramentas e ambientes
tes livres e de código aberto por questões de custos representam apenas uma pequena fração do mate-
e, também, por estarem facilmente disponı́veis. O rial que está disponı́vel na Internet, [28].

Tabela 2: Ferramentas e Ambientes Utilizados

Etapa Ferramentas e Ambientes Disponibilidade


tcpdump, libpcap http://www.tcpdump.org
ethereal http://www.ethereal.org
nmap http://www.insecure.org
netcat http://www.atstake.com
1
snort http://www.snort.org
chkrootkit http://www.chkrootkit.org
iptables http://www.netfilter.org
pf http://www.benzedrine.cx/pf.html
TCT http://www.porcupine.org
The Sleuth Kit http://www.sleuthkit.org/sleuthkit/index.php
The Autopsy Forensic Browser http://www.sleuthkit.org/autopsy/index.php
2
trinux http://trinux.sourceforge.net/
FIRE http://fire.dmzs.com
Knoppix http://www.knoppix.org

Como descrito na seção anterior, a apresen- O software nmap é um port scanner utilizado para
tação da disciplina está dividida em etapas para fazer auditorias e mapeamento de redes e também
facilitar a escolha das ferramentas e dos ambien- serve como gerador de tráfego interessante. Es-
tes a serem utilizados em laboratório. Na Etapa se tráfego é capturado pelo tcpdump e analisado
1, mostrada na Tabela 2, nos procedimentos de através do ethereal. O netcat é um utilitário que
aprendizagem relativos à coleta e análise de tráfego lê ou escreve dados através de conexões de rede via
de rede, serão usadas as ferramentas tcpdump e protocolo TCP ou UDP. Pode ser usado para fa-
ethereal. A ferramenta tcpdump, uma das mais zer transferências de conteúdo de mı́dias de um
destacadas na área de segurança, [19], é uma inter- computador para outro. O snort é um sistema de
face para as funcionalidades de captura e de filtra- detecção de intrusos. Na disciplina, ele será empre-
gem de pacotes que são oferecidas pela biblioteca gado para produzir logs das ameaças geradas no la-
libpcap. A biblioteca libpcap também é adota- boratório. O chkrootkit é utilizado para detectar
da como base para alguns sistemas de detecção de a presença de rootkits. Os rootkits são ferramen-
intrusos. O tráfego capturado via tcpdump pode tas utilizadas por atacantes após comprometerem
ser analisado pelo próprio programa ou por uma máquinas.
ferramenta auxiliar. A ferramenta auxiliar esco- A implementação das firewalls será feita
lhida, ethereal, pode ser usada em nı́vel de linha usando-se o iptables nos sistemas Linux ou o pf
de comando ou através de sua interface gráfica. nos sistemas OpenBSD.
Ainda na primeira etapa, serão usados os pro- As técnicas de aquisição, autenticação e análi-
gramas nmap, netcat, snort e chkrootkit, [29]. se das evidências são estudadas durante 5 (cinco)
105
semanas usando-se as ferramentas e os ambientes 6 CONCLUSÕES
apresentados na Etapa 2 da Tabela 2.
Nessa etapa, a primeira ferramenta apresen- Apresenta-se uma proposta de formalização e
tada aos estudantes é o TCT, The Coroner’s de ensino da disciplina Forense Computacional.
Toolkit, desenvolvida por Dan Farmer e Wietse Essa disciplina pode ser enquadrada como disci-
Venema. TCT é composto por programas para plina complementar para alunos em final de curso
aquisição de dados (grave-robber) e por progra- nos cursos de graduação de Ciência da Computa-
mas para análise de sistemas de arquivos (unrm, ção ou de Engenharia de Computação ou em cursos
ils, icat e lazarus). de pós-graduação dessas mesmas áreas. A discipli-
O software The Sleuth Kit, anteriormente na, de caráter eminentemente prático, será inicial-
conhecido como TASK - The @stake Sleuth mente implementada na ênfase em Engenharia de
Kit, é uma coleção de ferramentas em linha de co- Computação e Automação do Programa de Pós-
mando que permite examinar sistemas de arquivos graduação em Engenharia Elétrica da Universida-
NTFS, FAT, FFS, EXT2FS, e EXT3FS. Foi testa- de Federal do Rio Grande do Norte e apresentada
do em diversas distribuições Linux e *BSD. Apesar no primeiro semestre letivo de 2004.
de adotar o código e a arquitetura de projeto do Com essa disciplina abrem-se perspectivas de
TCT, estende suas funcionalidades. O programa realização de pesquisas de novas técnicas em com-
The Autopsy Forensic Browser é uma interfa- putação forense, de ampliação da cobertura ou de
ce gráfica para o software The Sleuth Kit. realização de auditorias em ferramentas e em ambi-
No decorrer do curso, o aluno utilizará ambien- entes existentes, de desenvolvimento de novas fer-
tes autônomos gravados em disquetes ou em CDs ramentas e na criação de metodologias para a vali-
auto-executáveis. Esses ambientes possuem um dação de técnicas e procedientos atualmente ado-
conjunto de ferramentas que permitem a realiza- tados.
ção ou que podem auxiliar nos procedimentos de
análise forense. Os ambiente são:

• trinux, uma distribuição Linux baseada em Referências


disquete que possui ferramentas que podem
ser utilizadas para análise de tráfego e veri- [1] D. Frinke, Who Watches the Security Edu-
ficação de vulnerabilidades, entre outros; cators?, IEEE Security & Privacy Magazine,
Vol.1, Issue 3, pp. 56-58, May-June, 2003.
• FIRE (Forensic and Incident Response En-
vironment Bootable CD) que, atualmente,
[2] Digital Forensic Education, The Electronic
possui 196 (cento e noventa e seis) ferramen-
Evidence Information Center, disponı́vel em
tas disponı́veis, agrupadas em:
http://www.e-evidence.info/education.
– ferramentas para recuperação e análise html em junho de 2003.
de dados;
– ferramentas para resposta a incidentes; [3] J.P. Craiger, A. Nicoll, B. Burnham, An Ap-
plied Course in Network Forensics, Procee-
– ferramentas para realização de testes de
dings of the Workshop for Dependable and
penetração;
Secure Systems, University of Idaho, Mos-
– ferramentas diversas compiladas estati- cow, Idaho, USA, September, 2002, disponı́vel
camente, e em http://craiger.ist.unomaha.edu/pc/
– ferramentas para a descoberta de vı́rus. craiger.netforensics.FINAL.pdf em ju-
nho de 2003.
• Knoppix, uma distribuição Linux de propó-
sito geral que pode ser adotada na fase de [4] P.L. de Geus, Instituto de Computação da
coleta de evidências em sistemas comprome- UNICAMP, disponı́vel em http://bastion.
tidos. las.ic.unicamp.br/paulo/papers/ em ju-
As ferramentas e os ambientes descritos serão nho de 2003.
utilizados para analisar:
[5] W.R. Stevens, TCP/IP Illustrated, The Pro-
• os logs obtidos de sistemas em produção ou tocols, Vol. 1, Addison-Wesley, 1994.
gerados através de práticas desenvolvidas no
próprio laboratório; [6] J.F. Kurose, K.W. Ross, Computer Networ-
king, A Top-Down Approach Featuring the In-
• as imagens de sistemas comprometidos atra-
ternet, Addison-Wesley, 2001.
vés de experiências práticas realizadas em la-
boratório, e
[7] D.E. Comer, Internetworking with TCP/IP -
• imagens de sistemas comprometidos obtidas Principles, Protocols, and Architecture, Vol.
na Internet. 1, 3rd. Edition, Prentice-Hall, 1995.
106
[8] W. Stallings, Cryptography and Network Se- [20] E.E. Schultz, R. Shumway, Incident Respon-
curity, Principles and Practice, 2nd Edition, se: A Strategic Guide to Handling System and
Prentice-Hall, 1999. Network Security Breaches, New Riders Pu-
blishing, 2002.
[9] S. Garfinkel, G. Spafford, Practical Unix &
Internet Security, 2nd Edition, O’Reilly & As-
[21] D.L. Mills, Network Time Protocol (Versi-
sociates, 1996.
on 3), RFC-1305, March, 1992, disponı́vel
[10] C. Kaufman, R. Perlman, M. Speciner, em http://www.rfc-editor.org em junho
Network Security, Private Communication in de 2003.
a Public World, 2nd Edition, Prentice Hall,
2002. [22] A.B. Filho e outros, Honeynet.BR: Desenvol-
vimento e Implantação de um Sistema pa-
[11] G. Palmer, A Road Map for Digital Forensic ra Avaliação de Atividades Hostis na Inter-
Research, Report for the First Digital Forensic net Brasileira, Anais do IV Simpósio sobre
Research Workshop (DFRWS), DTR-T001-01 Segurança em Informática, SSI2002, São Jo-
FINAL, November 2001, disponı́vel em http: sé dos Campos, SP, pp. 19-25, Novembro de
//www.dfrws.org/dfrws-rm-final.pdf em 2002, disponı́vel em http://www.lac.inpe.
junho de 2003. br/security/honeynet/#papers em junho
[12] W. Harrinson, e outros, A Lessons Learned de 2003.
Repository for Computer Forensics, Interna-
tional Journal of Digital Evidence, Fall 2002, [23] D. Brezinski, T. Kilalea, Guidelines for Evi-
Vol. 1, Issue 3, disponı́vel em http://www. dence Colletion and Archiving, RFC-3227,
ijde.org/docs/02_fall_art1.pdf, em ju- February, 2002, disponı́vel em http://www.
nho de 2003. rfc-editor.org em junho de 2003.

[13] M.A. dos Reis, P. L. de Geus, Forence Compu- [24] M.A. dos Reis, P. L. de Geus, Análise Fo-
tacional: Procedimentos e Padrões, Anais do rense de Intrusões em Sistemas Computaci-
SSI2001, 3o . Simpósio de Segurança em Infor- onais: Técnicas, Procedimentos e Ferramen-
mática, Instituto Tecnológico de Aeronáutica, tas, Anais do I Seminário Nacional de Perı́-
São José dos Campos, SP, Outubro de 2001, cia em Crimes de Informática, Maceió, AL,
disponı́vel em http://www.dcc.unicamp.br/ Novembro de 2002, disponı́vel em http://
~ra000504/ em junho de 2003. www.dcc.unicamp.br/~ra000504/ em junho
[14] J. Postel, Transmission Control Protocol, de 2003.
RFC-793, September, 1981, disponı́vel em
http://www.rfc-editor.org em junho de [25] W.G. Kruse, J.G. Heiser, Computer Foren-
2003. sics, Incident Response Essentials, Addison-
Wesley, 2002.
[15] J. Postel, User Datagram Protocol, RFC-768,
August, 1980, disponı́vel em http://www. [26] D. Schweitzer, Incident Response - Computer
rfc-editor.org em junho de 2003. Forensics Toolkit, Wiley, 2003.
[16] J. Postel, Internet Control Message Proto-
col, RFC-792, September, 1981, disponı́vel [27] K. Mandia, C. Prosise, Incident Response: In-
em http://www.rfc-editor.org em junho vestigating Computing Crime, McGraw-Hill,
de 2003. 2001.

[17] J. Postel, Internet Protocol, RFC-791, Sep- [28] The Ultimate Collection of Forensic Software,
tember, 1981, disponı́vel em http://www. disponı́vel em http://www.tucofs.com em
rfc-editor.org em junho de 2003. junho de 2003.
[18] S. Northcutt, J. Novak, Network Intrusi-
[29] N. Murilo, K. Steding-Jessen, Métodos para a
on Detection, 3rd Edition, New Riders Pu-
Detecção Local de Rootkits e Módulos de Ker-
blishing, 2003.
nel Maliciosos em Sistemas Unix, Anais do
[19] S. Northcutt, M. Cooper, M. Fearnow, K. 3o . Simpósio sobre Segurança em Informáti-
Frederick, Intrusion Signatures and Analysis, ca, SSI2001, São José dos Campos, SP, pp.
New Riders Publishing, 2001. 133-139, Novembro de 2001.

107