Você está na página 1de 87

UNIVERSIDADE FEDERAL DE PELOTAS INSTITUTO DE FSICA E MATEMTICA CURSO DE CINCIA DA COMPUTAO

Uma Metodologia de Forense Computacional Apoiada por Profiling Psicolgico

LUCAS MEDEIROS DONATO

Pelotas, 2004

LUCAS MEDEIROS DONATO

Uma Metodologia de Forense Computacional Apoiada por Profiling Psicolgico

Monografia apresentada ao Curso de Cincia da Computao do Instituto de Fsica e Matemtica da UNIVERSIDADE FEDERAL DE PELOTAS, como requisito parcial para a obteno do grau de Bacharel em Cincia da Computao. Orientador: Prof. Raul Fernando Weber, Dr. / UFRGS Co-Orientadores: Prof. Paulo Lus R. Sousa, Dr. / UCPel Prof. Gil Carlos R. Medeiros, MSc. / UFPel

Pelotas, 2004

CIP CATALOGAO NA PUBLICAO

Donato, Lucas Medeiros Uma Metodologia de Forense Computacional Apoiada por Profiling Psicolgico / Lucas Medeiros Donato. Pelotas: Curso de Cincia da Computao, 2004. 86p. Trabalho de Concluso de Curso Universidade Federal de Pelotas. Curso de Cincia da Computao, 2004. Orientador: Raul Fernando Weber, Dr. / UFRGS. Co-orientador: Paulo Lus R. Sousa, Dr. / UCPel. Co-orientador: Gil Carlos Rodrigues Medeiros, MSc. / UFPel. 1. Segurana Computacional 2. Investigao 3. Metodologia 4. Forense Computacional 5. Evidncias Digitais 6. Psicologia do Crime 7. Perfil.

UMA METODOLOGIA DE FORENSE COMPUTACIONAL APOIADA POR PROFILING PSICOLGICO

LUCAS MEDEIROS DONATO

Monografia defendida e aprovada em 14 de outubro de 2004 pela Banca Examinadora, composta pelos professores:

____________________________________________________ Prof. Gil Carlos Rodrigues Medeiros, MSc. (UFPel) - Presidente

____________________________________________________ Prof. Luciano Volcan Agostini, MSc. (UFPel)

____________________________________________________ Prof. Luiz Fernando Meirelles, MSc. (UCPel)

Para meus pais, Antonio e Tnia

AGRADECIMENTOS
Ao Prof. Dr. Raul Fernando Weber, meu orientador, por ter aceitado meu convite, pelas ocasies em que sempre me recebeu muito bem e pelos conselhos dados durante o desenvolvimento do trabalho. Ao Prof. Dr. Paulo Lus Sousa, pelas tardes onde timas conversas se desenvolveram, muitas descobertas foram feitas e muitos temas foram explorados. Foram nestas conversas que vi que o que eu propus era realmente possvel. Ao Prof. MSc. Gil Medeiros, por toda dedicao, crticas, conselhos e pacincia dedicados para que eu pudesse concluir esta etapa importante da minha formao. Aos meus pais, pela criao e ateno que recebi ao longo desses vinte e dois anos. minha namorada Caroline, pelo carinho e compreenso que teve comigo durante todo este tempo. Aos meus professores que sempre me apoiaram no decorrer da minha graduao, ajudando a superar dificuldades e a vencer obstculos. Agradecimentos especiais ao Luciano por toda colaborao e ateno que dedicou ao trabalho que desenvolvi e a Flvia principalmente pela amizade. Ao Mestre Carlos Jorge, pelo apoio fundamental e indispensvel que me deu nos ltimos anos e por ajudar a tornar realidade muitas das idias que este rapaz sonhador teve e sempre vai ter. Jamais teria chegado onde cheguei sem seu auxlio. Ao meu grande amigo Jos Irigon, pela amizade e pelo auxlio inestimvel que me deu durante o desenvolvimento deste trabalho. Monique, por todo o companheirismo e apoio que sempre me deu e que ajudaram a me tornar a pessoa que sou hoje. Ao meu amigo Rildo, por ter sido em muitas ocasies um verdadeiro guru, me orientando ao longo dessa caminhada em busca do conhecimento. A todos os meus colegas que estiveram comigo nessa longa jornada e que sempre me apoiaram. E por fim, a todos os meus amigos que do sentido minha vida.

SUMRIO
LISTA DE ABREVIATURAS E SIGLAS ......................................................... LISTA DE TABELAS ....................................................................................... RESUMO .......................................................................................................... ABSTRACT ...................................................................................................... 1 INTRODUO .............................................................................................. 2 FORENSE COMPUTACIONAL .................................................................... 2.1 A Anlise Forense .................................................................................... 2.2 Evidncias Digitais ................................................................................... 2.2.1 Dispositivos de Armazenagem da CPU ................................................... 2.2.2 Memria de Perifricos ............................................................................ 2.2.3 Memria Principal do Sistema .................................................................. 2.2.4 Trfego de Rede ....................................................................................... 2.2.5 Estado do Sistema Operacional ............................................................... 2.2.6 Mdulos do Kernel do Sistema ................................................................. 2.2.7 Dispositivos de Armazenagem Secundria .............................................. 2.2.8 Sistema de Arquivos ................................................................................ 2.2.9 Anlise de Cdigo Malicioso .................................................................... 3 A PSICOLOGIA DO CRIME .......................................................................... 3.1 A Natureza do Crime ................................................................................. 3.2 Teorias do Crime ....................................................................................... 3.2.1 Teoria Antropolgica ................................................................................ 3.2.2 Teoria Biolgica ........................................................................................ 3.2.3 Teoria Sociolgica ................................................................................. 3.2.4 Teoria Psicolgica .................................................................................... 3.2.5 Teorias Mistas .......................................................................................... 3.3 Cyber Crime ............................................................................................... 3.3.1 Cyber Punks e Crackers ........................................................................... 3.3.2 Internos ..................................................................................................... 4 INVESTIGAO PSICOLGICA .................................................................... 4.1 Profiling ...................................................................................................... 4.2 Os Indcios ................................................................................................. 4.3 Indcios Psicolgicos ................................................................................ 4.4 Staging ...................................................................................................... 08 10 11 12 13 15 15 16 17 17 18 18 23 26 27 27 30 31 31 31 32 32 32 32 33 33 35 35 39 39 43 45 45

4.5 Nenhum Crime Perfeito .......................................................................... 45 5 MODUS OPERANDI ...................................................................................... 5.1 A Seqncia de um Ataque ...................................................................... 5.2 O Rastro ..................................................................................................... 5.3 A Ferramenta ............................................................................................. 5.3.1 Tipos de Ferramentas .............................................................................. 5.4 A Tcnica .................................................................................................... 5.4.1 Tipos de Tcnicas ..................................................................................... 5.5 Mascaramento de um Ataque ................................................................... 6 METODOLOGIA PROPOSTA DE INVESTIGAO ...................................... 6.1 Primeiros Passos ....................................................................................... 6.2 O Planejamento .......................................................................................... 6.3 Autenticao, Coleta, Documentao e Preservao das Evidncias .. 6.3.1 Coletando as Informaes Volteis ........................................................... 6.3.2 O Desligamento do Sistema ...................................................................... 6.3.3 Itens de Interesse: Explorando a Cena do Crime ...................................... 6.4 A Entrevista ................................................................................................ 6.5 Produzindo a Imagem do Disco ................................................................ 6.6 A Anlise ..................................................................................................... 7 NO LABORATRIO ....................................................................................... 7.1 Debugfs ....................................................................................................... 7.2 TCT The Coroner's Toolkit ..................................................................... 7.2.1 Grave-robber ............................................................................................. 7.2.2 Mactime ..................................................................................................... 7.2.3 Unrm e Lazarus ......................................................................................... 48 48 49 50 51 53 54 56 57 57 58 59 59 60 62 62 63 65 66 66 67 67 69 69

8 CONCLUSO ................................................................................................ 71 REFERNCIAS BIBLIOGRFICAS .................................................................. 72 APNDICE ......................................................................................................... 75

LISTA DE ABREVIATURAS E SIGLAS


BIND BOOTP CPU DNA DNS DoS ELF FAT32 FBI FTP GB GDB GID GNU ICMP IDS IMAP IP IRC HTTP LILO LKM MAC MIT MO NFS NOP NTFS OS PID POP POP2 POP3 RAM RLOGIN RPC SGBD SMTP SO SQL SSH SSL Berkeley Internet Name Domain Bootstrap Protocol Central Processing Unit Deoxyribose Nucleic Acid Domain Name System Denial of Service Executable and Linking Format FileAllocationTable32 Federal Bureau of Investigation File Transfer Protocol GigaByte Gnu Debugger Group ID Gnu is Not Unix Internet Control Message Protocol Intrusion Detection System Internet Message Access Protocol Internet Protocol Internet Relay Chat HyperText Transfer Protocol Linux Loader Loadable Kernel Module Media Access Control Massachusettss Institute of Technology Modus Operandi Network File System No Operation New Technology File System Operating System Process ID Post Office Protocol Post Office Protocol 2 Post Office Protocol 3 Random Access Memory Remote Login Remote Procedure Call Sistema Gerenciador de Banco de Dados Simple Mail Transfer Protocol Sistema Operacional Structured Query Language Secure Shell Secure Sockets Layer

SUID TB TCP TCT TFTP TI UDP UID URL

Saved User ID TeraByte Transmission Control Protocol The Coroner's Toolkit Trivial File Transfer Protocol Tecnologia da Informao User Datagram Protocol User ID Uniform Resource Locator

10

LISTA DE TABELAS
Tabela 2.1 Descrio das Portas ..................................................................................... Tabela 2.2 Arquivos e Diretrios de /proc ..................................................................... Tabela 2.3 Contedo de um Inode ................................................................................. Tabela 5.1 Dedues de Habilidades ............................................................................. Tabela 5.2 Escore de Habilidades .................................................................................. Tabela 6.1 Mtodo de coleta X Nvel de esforo ........................................................... 20 25 28 50 56 58

11

RESUMO
Os computadores esto cada vez mais presentes na vida das pessoas, em atividades de lazer, nos estudos e tambm nos negcios. Infelizmente as vantagens oferecidas por tal tecnologia tambm virou interesse por parte do mundo do crime, apresentando-se como uma nova maneira de perpetuar sua manifestao em nossa sociedade. As Cincias Forenses visam auxiliar no combate a este tipo de atividade. O ramo das Cincias Forenses que aborda o problema do crime ciberntico chamado Forense Computacional, uma disciplina relativamente nova e que ainda foco de muitas pesquisas. Opresentetrabalhopropeumametodologiadeinvestigao baseadanaforense computacional, contando para esta tarefa com o apoio da psicologia, visando oferecer recursos adicionais na tentativa de superar algumas limitaes presentes na forense computacionalatual.Destaforma,buscaseobterumsignificadomaisamplodasevidncias digitais que so analisadas durante o processo de investigao, contribuindo para o aperfeioamentodastcnicasinvestigativasdeumcrimeciberntico.

Palavras-Chave: Segurana Computacional, Investigao, Computacional, Evidncias Digitais, Psicologia do Crime, Perfil.

Metodologia,

Forense

12

A Computer Forensics Methodology Supported by Psychological Profiling

ABSTRACT
Computersareeachtimemorepresentsinthelifeofthepeople,inactivitiesof leisure,inthestudiesandalsointhebusinesses.Unhappylytheadvantagesofferedforsuch technologyalsoturnedinterestfortheworldofthecrime,presentingthemselvesasanew waytoperpetuateitsmanifestationinoursociety. Forensics Sciences aim to assist in the combat to this type of activity. The branch of Forensics Sciences that approaches the problem of the cybercrime is called Computer Forensics, a discipline relatively new and still focus of many research. The present work considers a methodology of investigation based on the computer forensics, counting for this task with the support of psychology, aiming to offer additional resources in the attempt to surpass some limitations presents in the atual computer forensics. Therefore, that searchs to get a meaning ampler of the digital evidences that are analyzed during the investigation process, contributing for the perfectioning of the investigation techniques of a cybercrime.

Keywords: Computer Security, Investigation, Methodology, Computer Forensics, Digital Evidence, Criminal Psychology, Profile.

13

1 INTRODUO
Vivemos numa poca em que a informao uma arma indispensvel no campo dos negcios e do conhecimento. Na nossa sociedade, aproveitar ao mximo as vantagens oferecidas pela tecnologia existente, a fim de se ter acesso informao, uma forma de garantir a nossa prpria sobrevivncia. Esta tecnologia, representada em boa parte pelos computadores, est cada vez mais integrada ao cotidiano das pessoas. Seja nas comunicaes, seja no setor financeiro e at no entretenimento. Constituindo um dinamismo nunca visto na troca de dados pelo globo, a informao hoje armazenada e transmitida na forma digital, trafegando pela Internet em velocidades cada vez maiores. So as facilidades da grande rede, como o e-mail e a world wide web, alguns dos principais responsveis por este sucesso. Porm, todas estas facilidades e potencialidades oferecidas acabaram sendo objeto de interesse, tambm, por parte do mundo do crime. Isso torna-se possvel, visto que para o acesso, transmisso e armazenamento da informao, so utilizadas tecnologias cada vez mais complexas, e de quebra, potencialmente inseguras quando no dominadas ou desenvolvidas corretamente. A insegurana da tecnologia e o anonimato oferecido pela grande rede acabam servindo como aliados ao criminoso, fazendo com que os delitos virtuais cresam proporcionalmente ao avano desta tecnologia. O crime sempre acompanhou a humanidade no decorrer de sua histria. As tecnologias avanam e o criminoso se utiliza dos novos mtodos e ferramentas para cometer seus delitos. O fato de existir a atividade criminosa no depende da tecnologia: est enraizada na natureza humana. J dizia Goethe No h crime que eu no seja capaz de cometer. A cincia, hoje, auxilia a Justia na investigao criminal, atravs do seu ramo forense. Conforme o Manual de Patologia Forense do Colgio de Patologistas Americanos (1990), chamamos de Cincia Forense a aplicao de princpios das cincias fsicas ao direito na busca da verdade nas questes cveis, criminais e de comportamento social, para que no se cometam injustias contra qualquer membro da sociedade (FREITAS, 2003). Uma das reas das Cincias Forenses mais utilizadas a Psicologia Forense, uma vez que, para um crime ser cometido, sempre existir um ser humano por trs do mesmo. fundamental compreender as motivaes e o mtodo de operao (modus operandi) do agente que comete o delito para reconstruir os eventos que conduzam a elucidao do crime, de qualquer que seja sua natureza. A situao que tem-se hoje em dia um nmero cada vez maior de atividades criminosas que se utilizam dos avanos da tecnologia da informao e da mquina como instrumento, seja para obter informaes de forma ilegal, como tambm para atacar redes corporativas, realizar fraudes, transmitir vrus ou pornografia infantil. Esta modalidade de crime chamada de crime ciberntico (cyber crime). Alm disso, computadores podem conter evidncias de outros crimes alm daqueles cometidos no espao ciberntico (ELETRONIC CRIME SCENE INVESTIGATION, 2001). Tudo isso, levando em conta o aumento considervel da ocorrncia de crimes cibernticos, acaba exigindo, conseqentemente, uma maior compreenso de como o computador pode, ento, servir como objeto de investigao, ou seja, de que forma as evidncias de um crime podem ser obtidas atravs de tal mquina. A forma de obteno destas

14

evidncias e sua utilizao na investigao fazem parte dos estudos compreendidos pela Forense Computacional. A Forense Computacional, hoje considerada tambm um ramo da criminalstica, segundo Noblett (2000), compreende os mtodos investigativos, incluindo seu planejamento, identificao, coleta, preservao, anlise, documentao e apresentao das evidncias computacionais, tanto componentes fsicos, como dados que foram processados eletronicamente e armazenados em mdias computacionais. Compreendendo o problema enfrentado na atualidade e toda a influncia da mente humana no processo do crime, este trabalho pretende propor uma metodologia de Forense Computacional baseada no ambiente Linux, embora grande parte dos conceitos aqui apresentados servir para aplicao em outras plataformas. Esta metodologia ter como apoio a Psicologia Forense atravs de Profiling Psicolgico, com o intuito de adicionar novos elementos que auxiliem na investigao de crimes cibernticos. A monografia apresenta, inicialmente, uma fundamentao terica baseada em dois assuntos principais. O primeiro assunto, desenvolvido no captulo 2, trata de conceitos importantes da forense computacional. O segundo assunto, correspondente psicologia, desenvolvido no captulo 3 atravs de teorias do crime e uma discusso sobre o cyber crime e no captulo 4, neste dando ateno especial a elementos de carter psicolgico presente na cena do delito. importante salientar que medida que tpicos da psicologia so desenvolvidos no presente trabalho, as relaes existentes com o cyber crime e a investigao forense so apresentadas ao leitor. Aps esta etapa, o tpico Modus Operandi, um dos focos principais da pesquisa, visto no captulo 5 de uma forma detalhada, buscando reunir muitos dos conceitos apresentados anteriormente. Por fim, o captulo 6 ir apresentar a metodologia e exibir os aspectos da investigao da cena do crime de forma detalhada, terminando com um breve estudo sobre ferramentas indispensveis ao processo de anlise forense no captulo 7.

15

2 FORENSE COMPUTACIONAL
A Forense Computacional a cincia que compreende a aquisio, preservao, identificao, extrao, restaurao, anlise e documentao de evidncias computacionais, quer sejam componentes fsicos ou dados que foram processados eletronicamente e armazenados em mdias computacionais (NOBLETT, KRUSE II 2002 apud REIS 2002). Segundo Schweitzer (2003) esta cincia relativamente uma nova disciplina que afeta de forma substancial certos tipos de investigaes. Com o crescimento dos delitos cibernticos, tornou-se indispensvel pesquisar de modo profundo como a forense computacional pode fornecer meios de investigar e resolver crimes desta natureza.

2.1 A Anlise Forense


Um nmero cada vez maior de pessoas utiliza computadores, hoje, para variados fins, armazenando os mais diversos tipos de informaes que, muitas vezes. podem ser utilizadas como evidncia de casos criminais como fraude, assdio sexual, roubo, pornografia infantil, entre outros. A anlise forense difere das outras disciplinas, visto que suas ferramentas e tcnicas, por estarem disponveis na Web, so muito mais acessveis ao grande pblico, podendo ser aplicadas/utilizadas em ambientes que no sejam, necessariamente, controlados. Seguem abaixo importantes definies do FBI (Federal Bureau of Investigation) para delinear certos aspectos da cincia Forense Computacional: Objetos de Dados: objeto ou informao de potencial valor probatrio que associado com itens fsicos. Objetos de dados podem ocorrer em diferentes formatos de arquivos (por exemplo, NTFS ou FAT32) sem alterao da informao original. Evidncia Digital: informao de valor probatrio que armazenada ou transmitida na forma digital. Itens Fsicos: itens nos quais objetos de dados ou informao podem ser armazenados ou atravs dos quais objetos de dados so transferidos. Evidncia Digital Original: itens fsicos e os objetos de dados associados com tais itens na hora da aquisio ou acesso. Evidncia Digital Duplicada: Uma acurada reproduo digital de todos os objetos de dados contidos num item fsico original. Dentro destas evidncias, as informaes e dados de valor investigativo que esto armazenados ou so transmitidos por um dispositivo eletrnico so consideradas, tambm, evidncias eletrnicas e podem apresentar as seguintes caractersticas (ELETRONIC CRIME SCENE INVESTIGATION, 2001): - freqentemente so latentes como impresses digitais ou DNA. - so frgeis e podem ser alteradas, danificadas ou destrudas com facilidade. - s vezes, so sensveis ao tempo.

16

Na anlise forense so procuradas e extradas as evidncias digitais com o objetivo de auxiliar na investigao sobre o crime cometido. Estas evidncias podem servir para dois propsitos. Na primeira situao, tais provas so utilizadas em processo criminal e, na segunda situao, a investigao se restringe ao ambiente da corporao, a fim de determinar a causa de um incidente e prevenir novas ocorrncias do mesmo (REIS). Os detalhes adicionais especficos das evidncias digitais sero discutidos na seo 2.2. Existem alguns aspectos que devem ser seguidos durante o processo de anlise forense (CASEY, 2000): - coleta de informaes; - reconhecimento das evidncias; - coleta, restaurao, documentao e preservao das evidncias encontradas; - correlao das evidncias; - reconstruo dos eventos. Um investigador que siga estes passos na investigao de uma intruso a um sistema computacional dever identificar quais os sistemas esto comprometidos (se apenas um ou so vrios) e compreender os mtodos, motivos e as atividades do intruso dentro do sistema atacado. Na investigao necessrio determinar quais as prioridades da corporao. A mesma pode preferir manter o sistema em funcionamento, o que comprometer a investigao, ou ento desligar o sistema para permitir uma anlise forense bem mais completa. Esta segunda opo acarretar em um maior tempo de permanncia em offline do sistema, dependendo, basicamente, da existncia de planos de contingncia por parte da corporao (DITTRICH).

2.2 Evidncias Digitais


Evidncia Digital toda e qualquer informao digital capaz de determinar que uma intruso ocorreu ou que prov alguma ligao entre a intruso e as vtimas ou entre a intruso e o atacante (CASEY, 2000; REIS). Ela no deixa de ser um tipo de evidncia fsica, sendo composta de campos magnticos e pulsos eletrnicos, que podem ser coletados e analisados atravs de tcnicas e ferramentas apropriadas, possuindo, porm, algumas caractersticas prprias: - ela pode ser duplicada com exatido, permitindo a preservao da evidncia original durante a anlise; - com os mtodos adequados, possvel determinar se uma evidncia digital foi modificada; - a evidncia digital muito frgil, podendo ser facilmente alterada durante o processo de anlise.

17

A busca de evidncias em um sistema computacional constitui-se de uma varredura minuciosa nas informaes que nele residam, sejam dados em arquivos ou memria, deletados ou no, cifrados ou possivelmente danificados. O Princpio da Troca de Locard vlido na forense computacional. Segundo este princpio, qualquer um ou qualquer coisa que entra na cena do crime leva consigo algo do local e deixa alguma coisa para trs quando parte. No mundo virtual, onde quer que o intruso v ele deixa rastros, que podem ser extremamente difceis ou praticamente impossveis de serem identificados, mas que existem. Nesses casos, o processo de anlise forense pode tornar-se extremamente complexo e demorado, necessitando do desenvolvimento de novas tecnologias para a procura de evidncias (CASEY, 2000; STEPHENSON, 2000 apud REIS). Dan Farmer e Wietse Venema introduziram um conceito denominado de ordem de volatilidade (FARMER, 1999 apud ATILIO). Tal conceito determina que o tempo de vida de uma evidncia digital varia de acordo com o local onde ela est armazenada. As principais fontes de informao de um sistema computacional so apresentadas, na ordem decrescente de volatilidade, como segue ((FARMER; CANSIAN, 2000) apud ATILIO): - dispositivos de armazenagem da CPU (registradores e caches); - memria de perifricos (memria de vdeo, por exemplo); - memria principal do sistema; - trfego da rede (pacotes em trnsito na rede); - estado do sistema operacional (como, por exemplo, estado das conexes de rede e dos processos em execuo, usurios logados e configuraes do sistema); - dispositivos de armazenagem secundria (disco rgido, por exemplo). Quanto maior a volatilidade de uma informao, mais difcil se torna sua extrao e menos tempo h para procur-la. O simples ato de observar informaes altamente volteis pode alter-las, de modo que pouco provvel que algum possa utilizar o contedo dos registradores da CPU, por exemplo (KRUSE II apud REIS). Entretanto, informaes volteis como o contedo da memria principal do sistema, o trfego de rede e o estado do sistema operacional podem ser capturadas com relativa facilidade e podem conter pistas valiosas a respeitode intruses em andamento. As fontes de informaes so descritas a seguir: 2.2.1 Dispositivos de Armazenagem da CPU As informaes contidas nos registradores da CPU so de mnima utilidade e sua captura impraticvel. As caches podem conter informaes que ainda no foram atualizadas na memria principal do sistema (KRUSE II apud REIS), entretanto sua captura tambm impraticvel. 2.2.2 Memria de Perifricos Muitos dispositivos como modems, pagers, aparelhos de fax e impressoras, contm memrias que podem ser acessadas e salvas (HOSMER, 2000 apud ATILIO). Nelas podem estar armazenadas informaes que no mais residem no sistema analisado, como documentos e mensagens de texto ou nmeros de fax e telefone.

18

2.2.3 Memria Principal do Sistema A memria principal contm todo tipo de informao voltil como, por exemplo, informaes dos processos que esto em execuo, dados que esto sendo manipulados e que, muitas vezes, ainda no foram salvos no disco, e informaes do sistema operacional (SILBERSCHATZ, 2000; STALLINGS, 2002). Tais informaes podem ser facilmente capturadas por meio de dumps da memria, pela gerao de core files ou pela interface provida pelo diretrio /proc . Ao fazer a captura das informaes da memria processo chamado de dump da memria uma poro da mesma ser alterada ((KRUSE II; MANDIA, 2001) apud REIS). Quando o utilitrio usado para fazer o dump executado, o sistema operacional aloca uma rea da memria para o processo em execuo. Portanto, para algumas reas da memria, no possvel verificar se as informaes capturadas so exatamente iguais s originais (KRUSE II). Uma vez que nos sistemas UNIX tudo tratado em forma de arquivo, a memria principal do sistema ser acessvel atravs de um arquivo de dispositivo (device file), chamado de /dev/mem. Sendo assim, o dump da memria pode ser feito atravs do comando dd, como segue:
[root@server]-[~]$ dd if=dev=/dev/mem of=memory.dump

um trabalho complexo a reconstruo completa das informaes capturadas da memria. Porm, atravs do comando strings possvel visualizar cadeias de caracteres ou realizar uma busca por palavras chaves especficas, como visto nas duas situaes a seguir:
[root@server]-[~]$ strings memory.dump | less

O comando less acima utilizado para visualizar de forma pausada as informaes disponveis.
[root@server]-[~]$ strings memory.dump | grep palavra

No comando acima, o comando grep procura a palavra palavra dentro do conjunto de cadeias de caracteres retornadas atravs do comando strings. Os crash dumps constituem outra fonte importante de informao. Eles contm uma imagem da memria do sistema operacional no momento que uma falha inesperada crash acontece, funcionando como uma caixa preta do sistema, j que toda informao que estava na memria no momento da falha ser salva nele. Este arquivo, gerado pela funo panic(), contm informaes sobre o programa que causou a falha, alm de outros dados que estavam na memria (senhas, por exemplo) (STEPHENSON; MCKUSICK, 1996). 2.2.4 Trfego de Rede A partir dos datagramas capturados, possvel reconstruir a comunicao entre o atacante e a mquina alvo, de modo que uma seqncia de eventos pode ser estabelecida e

19

comparada com as outras evidncias encontradas na mquina invadida (CASEY, 2002). Para a captura dos dados que trafegam na rede, so utilizados programas conhecidos como sniffers. Quando colocados em pontos da rede onde possam ter acesso ao trfego desejado, estas ferramentas, alm de capturar os datagramas que esto trafegando (no importando seu endereo de destino), ainda podem decodificar estes datagramas e exib-los num formato mais legvel, alm de poderem executar operaes complexas como reconstruo de sesso e arquivos transferidos pela rede. O programa mais comum desta categoria o tcpdump. Este software pode tanto exibir os pacotes medida que vo trafegando pela rede como armazen-los em um arquivo para posterior anlise. No comando abaixo o tcpdump acionado com vrias opes, as quais garantem que os datagramas sejam exibidos a medida que vo sendo capturados (opo -l), os endereos no sejam convertidos em nomes (opo -n), os datagramas sejam exibidos em formato hexadecimal (opo -x) e a opo -vv garante a exibio de informaes extras na execuo de tcpdump.
[root@server]-[~]$ tcpdump -l -n -x -vv

No segundo exemplo, todo o trfego capturado atravs de tcpdump armazenado (graas opo -w) no arquivo binrio trafego.dump para posterior anlise.
[root@server]-[~]$ tcpdump -w trafego.dump

Neste exemplo o trfego capturado no arquivo binrio trafego.dump lido (atravs do parmetro -r) com as opes de exibio -n -x -vv mencionadas anteriormente.
[root@server]-[~]$ tcpdump -n -x -vv -r trafego.dump

O tcpdump ainda capaz de capturar somente o trfego desejado, para isso so aplicados diversos filtros como host e portas desejadas.
[root@server]-[~]$ tcpdump -l -n -x -vv host 10.5.1.1

No comando acima, determinada a captura de trfego originado do (ou destinado ao) host de IP 10.5.1.1.
[root@server]-[~]$ tcpdump -l -n -x -vv dst port 80

Neste exemplo apenas o trfego com destino a porta 80 capturado. Segundo o IANA, Internet Assigned Numbers Authority, as portas so divididas em trs conjuntos: - Portas Bem Conhecidas (Well Known Ports): de 0 a 1023. Utilizadas pelos services (servios), geralmente associados a seus protocolos especificos. A porta 80, por exemplo, utilizada para o trfego HTTP. - Portas Registradas (Registered Ports): vo de 1024 a 49151. So pouco associadas aos services, sendo, geralmente, utilizadas para outros propsitos.

20

- Portas Dinmicas ou Privadas (Dynamic and/or Private Ports): Compreendem o grupo de 49152 at 65535. Teoricamente, nenhum servio deve ser associado a este conjunto de portas. Na tabela 2.1, a seguir, so listadas as principais portas existentes, uma breve descrio de suas funcionalidades e a forma como so utilizadas por criminosos cybernticos (GRAHAM).

Tabela 2.1: Descries das Portas

Porta

DescrioeFormasdeExplorao
Geralmente usada para ajudar a determinar o tipo de sistema operacional. Isto funciona porque em alguns sistemas a porta 0 invlida e ir gerar uma resposta diferente do que uma porta normal fechada geraria. Esta porta costuma ser visada na procura por servidores FTP aberto para usurios anonymous. Existem servidores que permitem leitura e escrita em certos diretrios acessveis pelo servio FTP, sendo utilizados para armazenar warez, alm de uma gama de vulnerabilidades de seus daemons. SSH atualmente a maneira mais utilizada de se conectar a servidores UNIX para administrao remota. A conexo entre o cliente e o servidor criptografada. Em 2002 vrias vulnerabilidades no servio foram descobertas, exploradas e rotineiramente este servio era scanneado com tal propsito. No segundo semestre de 2004, tal servio tem novamente sido muito explorado atravs de ataques brute force. TELNET, um antigo servio de sistemas UNIX, foi por muito tempo utilizado para administrao remota. Ultimamente perdeu espao ao SSH, devido sua insegurana no trfego de dados da conexo. Servidores mais antigos e inseguros ainda utilizam esse servio. SMTP (Simple Mail Transfer Protocol), utilizado para envio de mensagens (e-mails) para uma rede local ou para a internet, por exemplo. alvo dirio de spammers que buscam servidores que permitem open relay, ou seja, aceitam e-mail de qualquer localidade e podem enviar para qualquer outra localidade. DNS um dos principais protocolos da Internet, utilizado na converso entre nomes e endereos IP's. Os crackers costumam explorar falhas do BIND, o daemon mais popular de DNS, assim como se utilizam de servidores mal configurados para obter o mximo de informaes sobre suas vtimas, como por exemplo, atravs de transferncia de zona. Por ser um protocolo extremamente necessrio, muitas vezes a segurana na utilizao do mesmo em firewalls diminuda, possibilitando inclusive a utilizao da porta UDP 53 para outro trfego diferente de DNS. TFTP. Muitos servidores suportam este protocolo juntamente com BOOTP para fazer o download do cdigo de boot para o sistema. Porm, mal-configurado ele pode fornecer qualquer arquivo do sistema, como arquivo de senhas, alm de poder permitir escrita em arquivos do sistema. HTTP (Hyper Text Transfer Protocol), utilizado em servidores que disponibilizam pginas para navegao. Frequentemente a porta alvo de ataques que visam explorar falhas no daemon do http, alm de tambm ser utilizada por vrios worms. POP3 Servio utilizado para leitura de e-mails, possui muitas vulnerabilidades de buffer overflow.

21

22

23

25

53

69

80 110

21

Porta

DescrioeFormasdeExplorao
RPC (SunRPC, Portmap, RPCBind) Portmapper da SUN. o primeiro passo para scannear um sistema procura de quais servios RPC (Remote Procedure Call) esto rodando, para tentativa posterior de utilizar um exploit especfico para o mesmo (ex: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd). SOCKS Este protocolo tunela trfego atrves de firewalls, permitindo pessoas atrs do mesmo poderem acessar a internet identificadas por um nico endereo IP. Mal configurado, ele pode permitir que crackers utilizem o tnel para seus ataques na rede interna ou disfararem seus IP utilizando o IP do servidor mal configurado SOCKS para ataques na internet. SQUID Um popular proxy HTTP. Crackers varrem mquinas atrs deste servio habilitado com o intuito de navegaram de forma annima pela Web.

111

1080 3128

A ferramenta Ethereal (http://www.ethereal.com) permite a visualizao do trfego recuperado (tanto dinamicamente, como atravs de arquivo binrio) em um ambiente grfico de forma bem mais amigvel, facilitando a tarefa do investigador. Por sua vez, a ferramenta Review possibilita tambm a reconstruo de arquivos que foram transferidos na sesso capturada, podendo ser til, por exemplo, para detectar ferramentas utilizadas pelo atacante ou dados que foram roubados (CASEY, 2002). Entre as evidncias mais comuns que podem ser encontradas na anlise do trfego da rede esto (REIS):

endereo IP invlido ou suspeito (endereos reservados ou conhecidos de outros ataques, por exemplo); portas suspeitas (como, por exemplo, programa servidor utilizando porta desconhecida acima de 1024); porta destino que no deveria aceitar datagramas (no caso de um servidor que deveria estar desabilitado, como telnet e rlogin, por exemplo); trfego TCP sem estabelecimento de conexo, sem flags ou com nmeros de sequncia invlidos (estticos, aleatrios ou sobrepostos); trfego intenso de datagramas incomuns rede ou que deveriam estar desabilitados (ICMP echo request e echo reply, por exemplo); datagrama ICMP echo reply sem correspondente echo request anterior; datagramas ICMP echo request e echo reply com nmero de sequncia esttico ou no incremental; rea de dados dos datagramas contendo comandos UNIX, prompts de shell, sadas de comandos e cdigos de NOP; flood de datagramas para um determinado servio ou mquina (datagramas chegando com intervalo de tempo muito pequeno); requisies HTTP suspeitas (mesma URL em vrias requisies ou URL's contendo referncias a comandos UNIX ou a scripts suspeitos); trfego telnet e ftp em portas incomuns;

22

O volume de trfego de rede pode ser muito grande, de modo que a anlise pode concentrar-se nos tipos de trfego mais comumente utilizados pelos intrusos: sesses de telnet e ftp e trfego ICMP, HTTP, SMTP, POP, IRC e RPC, por exemplo. Algumas ferramentas auxiliam no processo de obteno de informao de determinado IP suspeito, onde algumas seguem abaixo: Ferramenta host Permite a traduo de endereos IP para NOMES e vice-versa. Exemplo:
[root@server]-[~]$ host 200.17.161.33 Name: ftp.ufpel.tche.br Address: 200.17.161.180

Noexemploacima,oIP200.17.161.33foiresolvidoparaftp.ufpel.tche.br. Ferramenta traceroute Permite traar a rota entre a origem e um destino especificado: Exemplo:
[root@server]-[~]$ traceroute 200.17.161.180 traceroute to 200.17.161.180 (200.17.161.180), 30 hops max, 38 byte packets 1 200-221-239-254.internetturboadsl.speeduol.com.br (200.221.239.254) 46.857 ms 45.789 ms 44.705 ms 2 internetturboadsl-2-gw.speeduol.uol.com.br (200.221.31.89) 51.256 ms 52.478 ms 52.811 ms 3 assinantes-1-gw.ix.uol.com.br (200.221.25.253) 51.545 ms 53.517 ms 52.805 ms 4 fr3-border2.ix.uol.com.br (200.221.30.21) 53.049 ms 52.001 ms 55.537 ms 5 * * * 6 rnp.ptt.ansp.br (200.136.34.2) 54.862 ms 52.546 ms 54.053 ms 7 sp-fastethernet3-0.bb3.rnp.br (200.143.253.98) 52.799 ms 53.565 ms 52.846 ms 8 rs-pos4-1-0.bb3.rnp.br (200.143.253.109) 81.146 ms 78.745 ms 79.427 ms 9 tche-gw.pop-rs.rnp.br (200.132.0.3) 86.045 ms 79.125 ms 79.183 ms 10 F1-castor.tche.br (200.19.246.2) 81.869 ms 81.863 ms 80.655 ms 11 ufpel-A1-40-externo.castor.tche.br (200.19.240.222) 112.201 ms ufpel-A1-38externo.castor.tche.br (200.19.240.218) 106.726 ms 105.496 ms 12 ftp.ufpel.tche.br (200.17.161.180) 96.412 ms 95.184 ms 92.733 ms

Ferramenta whois Permite obter informaes sobre o responsvel por um domnio especfico ou por um bloco de IP: Exemplo:
[root@server]-[~]$ whois 200.17.161.180 (...) inetnum: aut-num: abuse-c: owner: ownerid: responsible: address: address: phone: owner-c: tech-c: 200.17.128/18 AS1916 SIC128 Associao Rede Nacional de Ensino e Pesquisa 003.508.097/0001-36 Nelson Simes Silva Estrada Dona Castorina, 110, 353 22460-320 - Rio de Janeiro - RJ (021) 274-7445 [] ALG149 ALG149

23

inetrev: nserver: nsstat: (...)

200.17.132/24 CIRANDA.NA-RC.RNP.BR 20040903 UH

O resultado de whois exibe muitas informaes, sendo parte delas omitidas neste exemplo. 2.2.5 Estado do Sistema Operacional As informaes do estado do sistema operacional podem fornecer importantes pistas quanto a algum ataque que esteja em andamento no momento da verificao. So processos em execuo, conexes de rede, usurios logados e caches do sistema algumas das informaes que podem ser obtidas instantaneamente e que, geralmente, so perdidas aps o desligamento do sistema (KRUSE II apud REIS). 2.2.5.1 Estado da Rede Informa as conexes estabelecidas com outras mquinas, assim como servios esperando por conexes. Auxilia no processo de deteco de backdoors, servios noautorizados e conexes suspeitas. O comando netstat utilizado nos exemplos abaixo. O comando netstat com os parmetros -antupe informam, respectivamente, todas as conexes (independente do estado: -a), sem resolver IP's para nomes (-n), de protocolos TCP (-t), UDP (-u), usurio (UID), nmero de identificao (PID) do processo (-p) e informaes extras (como o dono do processo, opo -e). Exemplo:
[root@server]-[~]$ netstat -antupe Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 0 956 213/amavisd (master tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 0 1244 421/master tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 0 1050 306/mysqld tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 1004 258/inetd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 1390 459/apache tcp 0 0 10.0.0.11:53 0.0.0.0:* LISTEN 0 15080 2438/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 0 15078 2438/named tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 102 1345 449/proftpd: (accep tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 1329 440/sshd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 1176 421/master tcp 0 104 10.0.0.11:22 10.0.0.17:33992 ESTABLISHED 0 121024 20494/sshd:usuario [ udp 0 0 0.0.0.0:32778 0.0.0.0:* 0 15081 2438/named udp 0 0 10.0.0.11:53 0.0.0.0:* 0 15079 2438/named udp 0 0 127.0.0.1:53 0.0.0.0:*

Para maiores informaes, o comando man netstat pode ser utilizado.

24

2.2.5.2. Interfaces de Rede Atravs do comando ifconfig, o estado das interfaces de rede pode ser visualizado, auxiliando, assim, na deteco de um possvel sniffer de rede. Exemplo:
[root@server]-[~]$ ifconfig -a eth0 Link encap:Ethernet HWaddr 00:08:54:0F:AE:F4 inet addr:10.0.0.11 Bcast:10.0.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:343501 errors:0 dropped:0 overruns:0 frame:0 TX packets:320465 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:88754745 (84.6 MiB) TX bytes:182013841 (173.5 MiB) Interrupt:16 Base address:0xaf00 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:92315 errors:0 dropped:0 overruns:0 frame:0 TX packets:92315 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59539515 (56.7 MiB) TX bytes:59539515 (56.7 MiB)

A presena de estado PROMISC na interface eth0 a indicao que a mesma est rodando em modo promscuo, comportamento caracterstico de um sniffer. 2.2.5.3 Usurios Online Atravsdocomandow,possvelvisualizarquaissoosusurioslogadosnosistema, qualterminalestousando,origemdaconexo(localouremota)eoqueestofazendono sistemanaqueleexatomomento. Exemplo:
[root@server]-[~]$ 05:41:05 USER usuario fulano w load average: IDLE 55.00s 0.00s 0.00, JCPU 0.00s 0.02s 0.00, 0.00 PCPU WHAT 0.00s -bash 0.00s -bash

up 10 days, 10:36, 2 users, TTY FROM LOGIN@ pts/22 10.0.0.17 05:40 pts/23 10.0.0.20 05:25

Tal comando auxilia na identificao de usurios suspeitos no sistema. 2.2.5.4 Processos em Execuo OsprocessosemexecuonumambienteUNIXpodemservisualizadosatravsdo comandops.Ocomandotambmexibeinformaesextras,comousuriodonodoprocesso, recursosdosistemaalocados,entreoutros. Exemplo:psauxew

25

Atravs do diretrio /proc tambm possvel acessar estas informaes. O diretrio / proc o sistema de arquivos do Kernel do GNU/Linux, o qual oferece um mtodo de ler, gravar e modificar, dinamicamente, os parmetros do kernel. Seguem abaixo alguns arquivos e diretrios pertencentes ao sistema /proc (SILVA, 2004):
Tabela 2.2: Arquivos e Diretrios de /proc

Arquivo/Diretrio
Diretrios com nmeros diretrio/cmdline diretrio/environ diretrio/exe diretrio/fd diretrio/status

Descrio
Identificam os parmetros de um processo em execuo. O que foi executado para iniciar um processo. Valores das variveis de ambiente existentes no momento da execuo do processo. Link simblico para o binrio que foi executado. Possui links simblicos para cada arquivo aberto pelo processo. Dados sobre a execuo do Processo (PID, status da execuo do programa, memria consumida, memria executvel, UID, GID, etc). Linha de comando usada para inicializar o Kernel. Os parmetros so passados atravs do programa de inicializao (ex: LILO). Detalhes sobre a CPU do sistema. Dispositivos usados no sistema Este arquivo corresponde a toda a memria RAM do sistema, com seu tamanho correspondente a memria RAM da mquina. Permite visualizar mensagens do Kernel. Utilizao da memria do sistema. Mdulos atualmente carregados no Kernel. Dados sobre a rede do sistema. Dados sobre outras reas do sistema.

cmdline

cpuinfo devices kcore

kmsg meminfo modules Diretrio net Diretrio sys

Segundo Mandia (2000) apud Reis, um atacante pode facilmente alterar a linha de comando atravs do cdigo do programa, com o intuito de camuflar o processo na sada do comando ps. O atacante tambm pode iniciar a execuo de um programa e deletar o binrio correspondente, para esconder seus rastros no sistema. Porm, o programa no ser deletado enquanto o sistema no for desligado. O que ocorre que o sistema UNIX mantm um contador chamado link count para cada arquivo, que indica o nmero de processos que esto se utilizando deste arquivo. Quando o valor de link count iguala-se a 0, significa que nenhum processo est usando o arquivo e o mesmo ser deletado. Quando um atacante executa e deleta um arquivo, ele removido da cadeia de diretrios, tornando-se invisvel a partir de um comando ls por exemplo, o link count decrementado em uma unidade e o tempo de deleo recebe o horrio atual. Todos os arquivos com link count igual a zero so denominados

26

unlinked files e, conforme dito, sero deletados no desligamento do sistema. Abaixo apresentada uma situao onde o programa crack est marcado para deleo, e a forma de recuperao do mesmo, atravs do comando de cpia cp:
[root@server]-[~]$ ./crack & [1] 1233 [root@server]-[~]$ rm -f crack [root@server]-[~]$ ls -la /proc/1233 total 0 dr-xr-xr-x 3 root root 0 2004-09-05 dr-xr-xr-x 69 root root 0 2004-09-05 -rr--r-1 root root 0 2004-09-05 lrwxrwxrwx 1 root root 0 2004-09-05 -r-------1 root root 0 2004-09-05 lrwxrwxrwx 1 root root 0 2004-09-05 (deleted) dr-x-----2 root root 0 2004-09-05 -rr--r-1 root root 0 2004-09-05 -rw------1 root root 0 2004-09-05 lrwxrwxrwx 1 root root 0 2004-09-05 -rr--r-1 root root 0 2004-09-05 -rr--r-1 root root 0 2004-09-05 -rr--r-1 root root 0 2004-09-05 [root@server]-[~]$ cp /proc/1233/exe /root/crack

21:58 . 17:16 .. 21:58 cmdline 21:58 cwd -> /root 21:58 environ 21:58 exe -> /root/crack 21:58 21:58 21:58 21:58 21:58 21:58 21:58 fd maps mem root -> / stat statm status

Com relao aos recursos alocados, o comando top neste ambiente prov uma lista com os processos que mais se utilizam de tais recursos. Por sua vez, a ferramenta lsof lista todos os arquivos que esto abertos e processos relacionados. Estasinformaessobreoestadodosprocessospodemrevelarevidnciasdeintruso, comoexistnciadeprocessosdenomessuspeitos,consumoirregularderecursos,incoerncias entreinformaesobtidasviapseviadiretrio/proc,portassuspeitasabertas(lsofi uma alternativamaisconfivelaonetstat)eausnciadeprocessosimportantesquedeveriamestar sendoexecutados,comoosyslogd. 2.2.6 Mdulos do Kernel do Sistema Infelizmente,nemsemprepodemosconfiarnaquiloqueosistemanosdiz.OsLKM, loadablekernelmodules,podemalterarafuncionalidadedosistemaoperacionaldeforma bastantediscreta.Porcontadisto,sofreqentementeutilizadosporatacantesparainstalar cdigos maliciosos no sistema, de forma que possam ocultar informaes que revelem a intrusoecomportamentoirregular,atravsdamanipulaoderesultadosdecomandoscomo ps,netstat,ls,ifconfig,normalmenteutilizadosporrootkits. Para a investigao destes mdulos do kernel, so comparadas a sada de cat / proc/modules com os resultados fornecidos por ferramentas como lsmod e kstat, esta ltima obtida em <http://ww.s0ftpj.org/en/site.html>. Qualquer discrepncia digna de mxima ateno, pois a suspeita de rootkit presente no sistema passa a ser alta.

27

2.2.7 Dispositivos de Armazenagem Secundria O disco a maior fonte de informao para o exame forense (SAMMES, 2000 apud ATILIO). Do ponto de vista da anlise forense computacional, o disco muito mais que um conjunto de parties e sistemas de arquivos. Cada poro do disco, por menor que seja, onde se possa ler e/ou escrever um conjunto de bits, representa uma possvel fonte de informao para a anlise forense. Determinadas reas do disco no so acessveis atravs do sistema de arquivos e podem conter informaes que o atacante mantm escondidas ou vestgios que o mesmo tentou apagar. Sendo assim, pode-se classificar as informaes armazenadas em disco em duas classes: aquelas acessveis pelo sistema de arquivos (ou arquivos propriamente ditos e seus atributos) e as informaes armazenadas em reas no acessveis atravs do sistema de arquivos (por exemplo, espaos no alocados). Alm disso, reas do dispositivo de armazenagem podem conter informaes apagadas. Quando um arquivo apagado, sua referncia removida das estruturas do sistema de arquivos, ento, os dados contidos no arquivo no so apagados do disco (CASEY, 2000; FELDMAN, 2001), permanecendo indefinidamente at que sejam sobreescritos por outros arquivos. Desta forma, arquivos completos ou seus fragmentos podem ser recuperados aps terem sido apagados (CASEY, 2000; WARREN, 2002). A melhor maneira de copiar as informaes presentes em um disco realizando uma imagem bit a bit do mesmo, j que desta forma, at os espaos no utilizados sero includos. A ferramenta dd ser utilizada com este propsito no captulo 6. 2.2.8 Sistemas de Arquivos O sistema de arquivos a parte do sistema operacional encarregada de montar uma estrutura organizacional de todas as informaes do disco na forma de arquivos. Num sistema UNIX, que multiusurio, questes como segurana mereceram grande ateno. O sistema deve fornecer meios para que seus usurios possam agrupar seus arquivos de maneira lgica, a fim de facilitar seu acesso a qualquer momento desejado. Para tanto, usa o conceito de diretrios (popularmente conhecidos como pastas). Estes diretrios so organizados em forma hierrquica, facilitando a distribuio e armazenamento dos arquivos. Arquivos diferentes costumam ser organizados em diretrios diferentes. Cita-se como exemplo de estudo no presente trabalho o sistema de arquivos ext2 (ext2fs). Uma vez que o sistema UNIX projetado possibilitando que mais de um usurio tenha acesso ao mesmo, se fez necessria a implementao de um sistema de restrio de acesso aos arquivos e diretrios, garantindo, assim, a segurana dos arquivos que esto guardados. O sistema UNIX representa seus arquivos como estruturas de dados de 128 bytes, chamadas de inodes. neste inode que informaes como permisses de acesso, localizao no disco e timestamps (marcas de tempo) esto presentes (ATILIO; BERTELLA). O comando ls utilizado para listar o contedo dos diretrios, podendo utilizar-se de filtros para uma busca mais precisa. O contedo de um inode por sua vez, pode ser visualizado pelo comando stat do Linux.

28

Exemplo:
[root@server]-[~]$ ls -lah .bash_history -rw------1 root root 3,9K 2004-09-07 04:15 .bash_history

No exemplo, o comando ls aplicado dentro do diretrio /root obtendo informaes do arquivo .bash_history. Pode-se observar o modo de permisses (-rw-------) - apenas leitura e escrita para o dono o nmero de referncias (1), o dono (root) e o grupo (root), o tamanho (3,9 Kb) a data de criao/ltima modificao e o nome do arquivo.
[root@server]-[~]$ stat ~/.bash_history File: `/root/.bash_history' Size: 3891 Blocks: 8 IO Block: 4096 arquivo comum Device: 302h/770d Inode: 65164 Links: 1 Access: (0600/-rw-------) Uid: (0/root) Gid: (0/root) Access: 2004-09-07 04:03:06.000000000 -0300 Modify: 2004-09-06 23:42:03.000000000 -0300 Change: 2004-09-06 23:42:03.000000000 -0300

No exemplo acima, so disponibilizadas informaes do inode 65164, tais como tamanho,blocos,tipodearquivodispositivos,linksepermissesdeacesso.Almdestas,o dono,ogrupoeosmactimestambmsofornecidos.NocasodelidarmoscomoGNU/Linux etratarmosdeuminodedeletado,teremosapresenadeumquartomactime,odtime(tempo dedeleo). O nome do arquivo no fica contido no inode, e sim na entrada de diretrio que aponta para o inode (constituindo-se um link). Sendo assim, um inode pode ter referncias em vrias entradas de diretrios diferentes, fazendo com que um mesmo arquivo possa ter nomes diferentes e aparecer em diretrios diferentes (WARREN). Segue abaixo a tabela com o contedo de um inode.
Tabela 2.3: Contedo de um inode

Elemento
Ids (proprietrio e grupo) Tipo

Descrio
Identificao do propritrio do arquivo e do grupo proprietrio. Tipo do inode: regular (arquivo comum), diretrio, dispositivo de caracter e dispositivo de bloco. Permisses para escrita, leitura e gravao disponveis ao dono do arquivo, ao grupo dono do arquivo e ao restante dos usurios do sistema.

Permisses de acesso

Tempos (MACTIME): mtime, atime, Tempos de ltima modificao, ltimo ctime acesso e ltima mudana no arquivo, respectivamente. Contador de Links Ponteiros para bloco de dados Nmero de entradas apontando para o inode. de diretrio

Localizao dos blocos de dados no disco.

29

Elemento
Tamanho

Descrio
Tamanho do arquivo.

Hoje em dia o sistema de arquivos ext2 capaz de trabalhar em parties realmente grandes. De um cdigo inicial do kernel que permitia apenas 2GB de tamanho da partio, hoje j se conta com um limite de 4TB (Quatro TeraBytes). O sistema prov capacidade de lidar com grandes nomes de arquivos (255 caracteres com expanso a 1012 se necessrio). No Ext2fs, algums blocos so reservados para o super usurio (root), normalmente 5%, para situaes extremas onde os processos lotarem o contedo do sistema de arquivos. Seguem abaixo algumas fontes importantes de informao contidas no sistema de arquivos do disco analisado (REIS): Arquivos e diretrios de configurao: O sistema UNIX mantm alguns arquivos de configurao freqentemente acessados por atacantes, como scripts de inicializao, arquivos de contas de usurios e senhas, configurao de servios de rede, tarefas agendadas, relaes de confiana (ex: hosts confiveis) e sistema de logs. Filas: Informaes sobre processos sendo executados e atividades incompletas, sendo possvel, por exemplo, obter mensagens de correio eletrnico. Caches: Os arquivos de swap contm fragmentos de dados ou arquivos completos que no foram salvos, sendo utilizados quando a memria do sistema excedida. Diretrios temporrios: Diretrios temporrios so locais apropriados para armazenar dados de rascunho e que no sero usados no futuro, j que limpo periodicamente pelo sistema. Normalmente utilizado como diretrio de trabalho pelo atacante. Arquivos ou Diretrios Escondidos ou no usuais: So utilizados pelos atacantes para esconderem informaes. Executveis e bibliotecas: Frequentemente os atacantes instalam no sistema invadido cavalos de tria (trojans horses), rootkits e exploits, os quais podem modificar algum executvel do sistema ou biblioteca carregada dinamicamente. Estes arquivos ainda podem ser utilizados para buscar maiores detalhes sobre a intruso. Arquivos e Diretrios do usurio: Catlogos de endereos, bookmarks de Internet, arquivos ou documentos de texto, registros de conversas em bate-papo, e-mails, arquivos de imagens, entre outros tipos de dados, podem conter informaes teis relacionadas ao atacante. Arquivos de Log: O registro em log qualquer procedimento pelo qual um sistema operacional ou aplicativos registra eventos medida que eles acontecem e preserva esses registros para posterior anlise. So de fundamental importncia na anlise forense pois, atravs deles, possvel fazer a reconstruo dos eventos que ocorreram no sistema como, por exemplo, no caso de uma intruso. Os eventos logados so os mais diversos, desde conexes do sistema, logins de usurios, mensagens de erro em aplicativos e servios e atividades dos usurios logados. Em sistema UNIX, grande parte dos logs se encontram no diretrio /var/log, sendo alguns destes citados abaixo (ANONYMOUS):

30

wtmp registra os logins, logouts, reboots e shutdowns do sistema, estando em formato binrio e acessvel atravs do comando last. btmp registra tentativas mal sucedidas de logins, sendo acessvel pelo comando lastb. lastlog monitora os logins dos usurios, sendo acessvel por lastlog. messages/syslog o principal arquivo de log do sistema UNIX, com diversas informaes disponveis sobre eventos que ocorrem durante a execuo do sistema. Recebe a sada de mensagens dos processos syslogd e klogd. sulog registra o uso do comando su. access.log registra os acessos ao servidor HTTP. cron registra a execuo das tarefas agendadas no sistema. maillog registra atividades relacionadas ao servio de correio eletrnico. history files registra os ltimos comandos executados pelo usurio. Ex: . bash_history. logs de firewall registram conexes permitidas/rejeitadas pelo firewall. 2.2.9 Anlise de Programas Maliciosos Todas aquelas evidncias encontradas, responsveis pela alterao do comportamento normal do sistema, deixadas pelo invasor, so consideradas cdigo malfico e podem (e devem) ser estudadas com o objetivo de se conhecer melhor o que o invasor pretendia no seu ataque. Um dos mtodos utilizados para o estudo de tais objetos a anlise dinmica do artefato, ou seja, analisar seu comportamento quando executado. Para isso, ferramentas como debuggers (ex: gdb), emuladores de mquinas, monitores de trfego da rede entre outras, so utilizadas. um exame minucioso, onde o nico resultado disponvel a sada obtida, dificilmente cobrindo-se todos caminhos e alternativas possveis.

31

3 A PSICOLOGIA DO CRIME
Como foi dito na introduo deste trabalho, estamos lidando com um novo fenmeno no mundo criminal. Esta modalidade de crime, ainda que tenha a tecnologia e a sua explorao como foco principal, nos revela, mesmo assim, muitos aspectos da natureza e das motivaes humanas para cometer o delito. Este captulo tem como objetivo expor conceitos bsicos e estudos relacionados, dentro do campo da Psicologia, voltados ao entendimento do ato criminal e tambm no tipo de personalidade atuante num delito, dando nfase ao delito ciberntico. Tais fundamentos sero associados posteriormente com mtodos investigativos, estes utilizados dentro de um procedimento de anlise forense computacional.

3.1 Natureza do Crime


Segundo Wencelblat (REIK, 1965), a conduta humana determinada por numerosos fatores psquicos que em sua maior parte so inconscientes e desconhecidos para o nosso eu. O estudo psicanaltico de criminosos e no-criminosos tem demonstrado que todos os indivduos trazem consigo ao nascer, como sua herana gentica, tendncias e impulsos considerados criminosos e anti-sociais e que, se no sobrevivem desta forma, porque estas mesmas tendncias e impulsos so reprimidos ou orientados para outros fins com o objetivo de se conseguir uma adaptao social. Tal processo se realiza nos primeiros anos da vida devido influncia de fatores externos pais ou figuras substitutas quando a criana sacrifica parte de suas satisfaes instintivas com a esperana de receber carinho ou pelo temor do castigo. Tambm ocorre posteriormente, como consequncia de mecanismos inibidores internos que vo sendo construdos e incorporados ao seu eu. Contudo, os impulsos instintivos seguem vivendo, ainda que adormecidos no inconsciente do indivduo, e tendem a se manifestar aproveitando qualquer debilidade da instncia inibidora. Assim, vemos que na pessoa considerada normal tais impulsos aparecem s vezes disfarados em seus sonhos ou em fantasias, enquanto que em indivduos neurticos aparecem em seus sintomas funcionais e nos criminosos diretamente expressados em suas aes.

3.2 Teorias do Crime


Atualmente existem vrias escolas criminolgicas, com nfase nos aspectos antropolgicos, biolgicos, sociolgicos e psicolgicos. Sero apresentadas a seguir, de forma sucinta, as principais teorias.

32

3.2.1 Teoria Antropolgica Conforme Lombroso (1907 apud Lemos 1974), o criminoso-nato perfeitamente reconhecvel em virtude de caractersticas fsicas de seu corpo. Este tipo peculiar de indivduo faz de seu portador, por necessidade natural indeclinvel, um delinquente, ainda que no manifesto. A natureza cria o delinquente, mas s a sociedade lhe permite as condies necessrias para a ao. Hoje em dia uma teoria muito contestada, com limitada aplicao prtica. 3.2.2 Teoria Biolgica A teoria biolgica d nfase a fatores originados do corpo como a causa de um crime. O indivduo pode j ter uma pr-disposio gentica para cometer o crime e vive sob circunstncias que o conduzem a realiz-lo. Estudos sobre o estupro, por exemplo, indicam causas baseadas na ancestralidade, onde era visto como um ato funcional nas primitivas expanses populacionais. Existem, tambm, teorias que citam anormalidades em cromossomos, fatores bioqumicos assim como certas caracterticas presentes no tipo corpreo do indivduo. Segundo Black apud Ramsland 2002, a conduta anti-social oito vezes mais comum em homens do que mulheres, um fato que fortemente sugere fatores biolgicos. Para concluir, alguns estudos neurolgicos indicam que muitos serial killers tiveram alguma forma de dano cerebral, o que indica a existncia de algo errado com o seu circuito neural. 3.2.3 Teoria Sociolgica De acordo com Ramsland, nesta teoria o individuo membro de um grupo que afetado pela fora ou circunstncia de uma maneira que favorece a cometer um crime. Pode-se citar como exemplos a pobreza, a falta de oportunidade de crescer na vida, o sentimento de impotncia por fazer parte de uma classe social desfavorecida, entre outros. 3.2.4 Teoria Psicolgica Ramsland afirma que as teorias psicolgicas procuram por fatores psicolgicos para tentar determinar se certos tipos de personalidade ou traos so mais propensos ao crime. Elas incluem teorias psicanalticas, de comportamento e de traos. Por exemplo, segundo Meloy (apud Ramsland), os psicopatas possuiriam baixos ndices de empatia. O crime e a explorao dos outros os atrai e eles no criam vnculos. Isto significa que eles so motivados a fazerem coisas que excitam seu sistema nervoso e no possuem real conscincia que esto ferindo algum. De acordo com Samenow (apud Ramsland), os criminosos escolhem o crime rejeitando a sociedade e preferindo o papel de vtima. Esto em controle de suas prprias aes mas jogam a culpa de seus comportamentos nos outros. Desvalorizam e exploram as outras pessoas e a excitao pelo crime, segundo eles, afasta o sentimento de vazio. Por fim, as teorias socio-psicolgicas estudam o indivduo no seu ambiente. A

33

criminalidade seria aprendida nas interaes sociais e exposio a certos modelos. Algumas pessoas acreditam que alguns se tornam criminosos por verem o crime como uma atividade que traria retorno (recompensa) num espao de tempo menor, ou simplesmente por encarar como o nico meio de agir em determinadas situaes da vida. Este tema ser novamente abordado por Rogers no seu estudo sobre a Social Learning Theory, apresentado posteriormente nesta monografia. 3.2.5 Teorias Mistas Para concluir o tema, necessrio citar as teorias mistas, onde tanto fatores biolgicos como sociolgicos, por exemplo, poderiam ser as causas de um ato criminoso. Citam-se as cinco categorias do espectro de motivao para ofensas: 1. Social (o ambiente ou um certo grupo de pessoas tem a maior influncia sobre o crime) 2. Situacional (um conjunto de circunstncias estressantes seria a causa mais bvia) 3. Impulsiva (geralmente sexual, algumas vezes psictica) 4. Catatmica (ato de exploso sbita por acmulo de tenso) 5. Compulsiva (parte de um desvio de conduta ou obsesso fantasiosa)

3.3 O Cyber Crime


Com a dependncia crescente das pessoas com relao tecnologia, acabamos nos tornando mais vulnerveis aos indivduos que podem explorar com fins mal-intencionados estes recursos. Tal dependncia, tanto social como tecnolgica, acabou tambm tendo seu espao no elemento criminal da nossa sociedade (ROGERS, 2003). Hoje em dia os computadores so utilizados diariamente tanto como armas como tambm como alvos. O crime ciberntico um novo fenmeno criminal que faz parte da nossa realidade (ROGERS, 2001). Por conta disto, tornaram-se necessrios esforos para tentar compreender esta modalidade de crime, suas motivaes e o que se diferencia dos crimes tradicionais. O indivduo que comete tal atividade criminal popularmente conhecido como Hacker. Originalmente, o termo hacker quer dizer fuador, ou seja, aquele que possui conhecimentos profundos em determinado assunto e capacidade e motivao de aprender e explorar com seus prprios esforos na busca de mais conhecimento, no se intimidando com as barreiras e dificuldades que por ventura surjam em seu caminho. O desafio a sua verdadeira motivao. Este termo foi designado inicialmente aos talentosos acadmicos da rea da cincia da computao do MIT (Massachussets Institute of Technology). Porm, como hackers tambm so seres humanos, uma parcela dos mesmos acaba utilizando este conhecimento para fins ilcitos, apoiados pelo annimato no uso do computador e da Internet, que acaba diminuindo a influncia de fatores que poderiam inibir tal conduta delituosa. Ao longo dos anos, o termo foi sendo distorcido pela mdia sendo hoje associado aos criminosos que se utilizam dos computadores para cometer delitos cibernticos. Segundo Rogers (2000b),

34

o termo hacking constitui-se ento da tentativa - com ou sem sucesso - de acesso e uso noautorizado de um sistema computadorizado. importante compreender que Hackers no so um nico grupo homogneo. Este termo deve ser dividido em grupos menores para compreender melhor suas motivaes e as causas responsveis pelo tipo de comportamento apresentado por estes indivduos. E por muitos anos essa diviso feita pela literatura, utilizando nomes e abordagens variadas. No objetivo deste trabalho repetir ou discutir sobre nomenclaturas existentes, mas apresentar principalmente as motivaes de tais indivduos e o que as pesquisas atuais conseguem obter como um perfil base destes grupos. Na presente investigao, alguns destes grupos distintos sero citados com base principalmente na taxonomia de Rogers (2000), a qual melhor se apresentou para contribuir com este trabalho. Os grupos aqui mencionados no so necessariamente mutuamente exclusivos, e tal lista no tem como pretenso esgotar tal assunto. A taxonomia estudada aqui baseada em diversas pesquisas prvias distintas que buscavam a caracterizao dos indivduos engajados na atividade de hacking. Seguem abaixo alguns grupos distintos: Novatos e Script-Kiddies Possuem habilidade tcnica limitada, porm movidos pelo anseio de conquistarem prestgio e serem aceitos em determinado grupo do underground. Tais indivduos so relativamente novos no hacking, e se baseiam em ferramentas de ataque desenvolvidas por terceiros, disponveis na Internet. Muitos deles se engajam em ataques conhecidos como Mass-Defacements (desfigurao de pginas de um grupo de vrias mquinas, utilizando ferramentas que automatizam o processo) como tambm em Denial of Service (DoS ou a popularmente conhecido como pacotada), onde indisponibilizam certos servios atravs de tcnicas como flooding entre outras. Justamente por possuirem pouca habilidade e experincia, seus ataques so facilmente notados e freqentemente geram considerveis informaes em arquivos de log. Hackers da Velha Guarda So detentores de grande conhecimento, capazes de construir suas prprias ferramentas. Alguns so denominados gurus. Aparentemente no possuem inteno criminal mas, muitas vezes, acabam desrespeitando certos direitos e propriedades, baseados na filosofia de que toda a informao deve ser livre e irrestrita. Criminosos Profissionais e Cyber Terroristas So muitas vezes ex-funcionrios de servios de inteligncia, muito bem treinados e possuidores do estado da arte em termos de equipamentos. So contratados para atacar grandes corporaes ou a infra-estrutura tecnolgica de naes inimigas. Nos prximos pargrafos os perfis psicolgicos de duas classes de adversrios sero estudados em um nvel mais profundo e sero a principal representao de adversrio neste trabalho. necessrio deixar claro que estas classes so distintas em muitos aspectos, conforme ser observado nas sees que seguem.

35

3.3.1 Crackers Possuem grande habilidade, utilizam ferramentas prprias, tm conhecimentos profundos sobre sistemas e redes e geralmente seus ataques so caracterizados pela destruio de informao, alterao ou qualquer forma de prejuzo. Tambm se envolvem em fraudes envolvendo carto de crditos (carding) e pirataria de software. Os dados disponveis hoje revelam que estes indivduos so, em sua grande maioria, homens, caucasianos, entre 12 e 30 anos de idade, vivendo em famlias de classe-mdia. So, muitas vezes, solitrios e com limitadas habilidades sociais. Geralmente no possuem bom desempenho na escola, embora suas habilidades com computadores e outros equipamentos eletrnicos sejam notveis. O computador, para estes indivduos, acaba sendo um meio para ganhar controle sobre certa parte de suas vidas. O hacking uma atividade solitria onde o indivduo o mestre em sua mquina. Esta mquina e a internet acabam servindo como um manto e permitindo que ajam de forma annima, dando-lhes a oportunidade de serem algum com poder e prestgio. Geralmente no so felizes com o que eles so atualmente e utilizam o computador como vlvula de escape. interessante notar, que apesar destas caractersticas, tais indivduos sentem uma forte necessidade de pertencerem a um grande grupo social e a comunidade hacker possui muitos deles. So diversas formas de interao entre os membros, que vo desde convenes espordicas at conversas em chats como o IRC. Estes indivduos possuem uma tendncia de se gabarem de suas ferramentas (exploits), manifestando uma necessidade de reconhecimento e admirao por parte de seus colegas. Muitos de seus ataques manifestam certo dio ou malcia, frutos de um sentimento de raiva mal resolvido e a necessidade de atacar algum ou alguma coisa. Tais indivduos, muitas vezes, no se sentem confortveis lidando com pessoas, logo, eles atacam computadores e redes, racionalizando que aquelas corporaes so imorais e precisam aprender uma lio. A maioria se diz motivada pela sede de conhecimento, pelo desafio e a vontade de obter sucesso. Alguns ainda so motivados por fatores como vingana, fraude e sabotagem. Segundo Albert Bandura apud Rogers (2001), na Teoria do Aprendizado Social (Social Learning Theory)ocomportamento(incluindoseaocriminoso)podeseraprendido observandoseasaesdeoutraspessoas,deformaqueoindivduosepenolugardoagente observado e tentase imaginar na mesma situao. Uma vez que tal comportamento aprendido,elereforadooupunidodeacordocomasconsequnciasporelegeradas.Alguns exemplosclarosderecompensaseriamaaceitaodoindivduoporpartedogrupohackerou aelevaodeseustatusnomesmo.importantecitarqueoprocessodeaprendizado parte dodesenvolvimentodocomportamentocriminal,conformereforadoporSutherland(1947 apudRogers,2001). 3.3.2 Internos (Insiders) Aqui se encaixam aqueles empregados ou ex-empregados da empresa que sofre o ataque ciberntico. Este tipo de indivduo deve ser considerado muito perigoso, uma vez que ele possui vantagem com relao ao inimigo externo, j que conhece a estrutura da empresa alvo, as tecnologias utilizadas e, na maioria das vezes, possui algum acesso e privilgios no

36

sistema. A grande maioria destes empregados trabalha na rea de tecnologia. Shaw (2001) cita alguns casos em que uma situao com um insider pode-se tornar dramtica para a segurana da corporao:

Uma empregada sabe que vai ser demitida da corporao naquela semana. Ela ento, encripta dados vitais do banco de dados da empresa e contacta o administrador de sistemas. Exige, ento, uma elevada quantia em dinheiro para decodific-los e no criar maiores alardes. Um sujeito que trabalha para o exrcito e ao mesmo tempo mantm, clandestinamente, contato com seu grupo hacker, podendo repassar informaes e penetrar quando quiser no sistema militar. Um engenheiro que trabalha em determinada usina e possui problemas pessoais e familiares, acaba se desentendendo com o seu supervisor. Aps vrios episdios incmodos na empresa, a equipe decide mand-lo para casa e, posteriormente, acaba descobrindo que ele retm a senha do sistema, colocando, assim, em risco toda a segurana e a produtividade da usina.

Tais exemplos deixam claro que a ameaa existe e hoje no temos como garantir, com total convico, que estas situaes no podem ocorrer na nossa prpria corporao. A falta de procedimentos como anlise das experincias anteriores e referncias de antigos empregadores acabam favorecendo a um elemento desta natureza fazer parte do dia-a-dia da empresa de forma totalmente discreta ate que seja muito tarde para reverter uma situao desagradvel e de risco potencial. Enquanto as empresas esto engatinhando para tentar prevenir ataques vindo do mundo exterior, o inimigo mais perigoso ainda est solta e pode estar mais prximo do que se imagina. Por razes elementares, o foco desta anlise est centrado na classe de profissionais que possuem acesso aos computadores da corporao e so encarregados de tarefas como desenvolvimento, gerenciamento ou administrao de sistemas com informaes crticas. So exemplos os programadores de sistema, os administradores de sistema e de redes. Sobre suas relaes com a corporao, eles podem ser empregados permanentes, contratados de forma temporria ou, ainda, ex-funcionrios que mantm algum acesso ao sistema. Segundo Shaw, so vrias as razes que impulsionam um insider a cometer um delito contra a corporao. Podem ser citadas: cobia, vingana por ter recebido alguma queixa, satisfao do prprio ego, resoluo de problemas pessoais ou profissionais, expressar raiva, entre outros. A literatura atual revela que existem algumas caractersticas que, quando encontradas de forma associada, aumentam as chances de um ataque ser desferido por parte do insider em questo. Estas caractersticas so: Introverso So predominantemente introvertidos, assim como o grupo geral de profissionais da rea de TI. O problema maior com relao a isto que torna-se mais dificil detectar neles algum sentimento de descontentamento ou raiva dentro do ambiente do trabalho. Quando estes sentimentos so detectados, geralmente j tarde demais.

37

Frustraes pessoais e sociais Este subgrupo reporta um histrico de conflitos e decepes com famlia, parceiros e colegas de trabalho. Isto acaba, tambm, influenciando seu trabalho que lida com computadores ao invs de com apenas outros seres humanos. As experincias passadas deixam nestes indivduos certa propenso a ataques de raiva, especialmente a figuras de autoridade, possuindo uma espcie de antagonismos com estas ltimas. Geralmente tm poucas habilidades sociais e so mais isolados que seus parceiros. Dependncia por computadores So dois subgrupos aqui encontrados. Aqueles que so viciados por computador e sistemas e aqueles que gastam boa parte do seu tempo em atividades online. Tais subgrupos gastam mais tempo do que deveriam graas esta dependncia, interferindo em suas vidas pessoais. Segundo a pesquisadora Margaret Shotten (apud Shaw) o subgrupo composto pelos viciados em computadores e sistemas possui um interesse primrio em explorar redes, quebrar cdigos e outras atividades de hacking, numa forma de ganhar estmulo emocional. No consideramapiratariadesoftwarecomofaltadetica. Estes dependentes possuem problemas com fracassos em relacionamentos sociais e o computador acaba, segundo eles, servindo como substituto para as relaes interpessoais. Suas famlias, muitas vezes, possuem pais autoritrios ou desinteressados. Adoram resolver problemas e desafios intelectuais, costumam ser independentes, motivados, e muitas vezes, demasiadamente solitrios. Tm a tendncia de exibir uma necessidade no usual de demostrar iniciativa, como forma de compensar seus sentimentos mais intmos de insuficincia. O subgrupo constituido pelos dependentes em Internet so completamente ligados a relacionamentos via computador. Tambm so introvertidos, em sua maioria, e com poucas habilidades sociais. Muitas vezes consideram sua vida online mais interessante que a prpria vida real. Por conta disso, podem ocorrer substituies das relaes de lealdade e afetivas do mundo real para este mundo virtual, o que pode ser considerado um caminho para a influncia, recrutamento ou manipulao por certas amizades virtuais que terminariam em um risco na segurana da corporao em que trabalham. Noes flexveis de tica Certos atos como cracking, espionagem e sabotagem contra fontes de informaes so apoiados por certos grupos do underground da Internet, onde a justificativa para tais atos residiria no fato de que se um sistema no suficientemente seguro como deveria, ele deve (e merece) ser atacado. Um aspecto preocupante desta falta de valores ticos que est cada vez mais associada com a juventude, indicando possveis empregados perigosos em potencial. A falta de esclarecimento de questes de tica com o uso de computadores e a falta de regulamentao entre as organizaes implicam neste tipo de problema.Aausnciadecontatocaraacaranocyberespaoacabaisolandoosindivduosdo impactodeseusatos.Aidiaqueexplorarecopiararquivoseinformaesdeterceirosno resultaemdanorealtambm usadacomodesculpacontraofatorinibidorqueseriaa violaodeprivacidade.

38

Lealdade reduzida A lealdade entre programadores e outros profissionais desafiada de forma crescente pela grande demanda por seus servios e altas frequncia de mudanas nas suas profisses. As presses resultantes para contratar e manter profissionais da rea acabam influenciando no processo de segurana da corporao. Orgulho e Narcisismo - Muitos insiders possuem sentimentos narcisistas e se acham merecedores de reconhecimento especial alm das expectativas normais, por parte da sua organizao e colegas. Tambm acreditam possuirem talentos e especialidades que os outros no reconhecem e, pelo fato de obviamente seguirem no reconhecidas, acabam despertando um sentimento de vingana, uma vez que acreditam estarem sendo tratados de forma injusta. Tal sentimento tambm associado raiva pr-existente com relao a figuras autoritrias. Falta de empatia Muitos admitem nunca considerarem o impacto de seus atos em outros seres humanos, sendo incapazes de se colocar no lugar das vtimas, geralmente caracterstica de indivduos narcisistas e de personalidades anti-sociais. Tambm relacionado com a falta de lealdade e flexibilidade na tica. Em resumo, a literatura hoje identifica tais caractersticas como fatores de risco presentes nestes indivduos. As experincias negativas (pessoais e sociais) tendem a faz-los mais vulnerveis a experimentar frustraes pessoais e profissionais que acabam conduzindo a atividades como espionagem ou sabotagem. Seu isolamento e falta de habilidades sociais reduzem a capacidade de lidar com tais sentimentos de forma construtiva. Caractersticas como raiva de autoridades, falta de empatia e reduzido sentimento de lealdade acabam reduzindo os inibidores contra atos potencialmente danosos contra suas corporaes, enquanto que sua solido e a necessidade de impressionar os outros fazem dos insiders indivduos mais vulnerveis explorao e manipulao por terceiros (ex: hackers de fora da corporao interessados em causarem danos). A presena de alguma ou de todas estas vulnerabilidades psicolgicas, no entanto, no define, obrigatoriamente, um agente que ser culpado por um delito de tal natureza. importante ressaltar que a interao da psicologia pessoal deste indivduo vulnervel com o ambiente organizacional e pessoal, alm de possveis fatores de ordem gentica, que iro levlo a cometer o crime.

39

4 INVESTIGAO PSICOLGICA
O presente captulo pretende esclarecer de que forma os conceitos da psicologia da atualidade so utilizados numa investigao criminal, dando especial ateno aos aspectos presentes numa cena de crime. medida que tais conceitos forem apresentados, este trabalho levantar um mapeamento baseado em hipteses com o objetivo de correlacionar os itens aqui descritos com sua correspondncia no ambiente do crime digital, para fins de aplicao na metodologia proposta de forense computacional.

4.1 Profiling
A frmula de John Douglas, profiler do FBI (Ramsland) pode iniciar a srie de raciocnios que se desenvolver no decorrer desta seo. COMO + PORQU = QUEM Se ns podermos responder os comos e os porqus em um crime, geralmente ns poderemos chegar soluo. Nas ltimas duas dcadas o uso do Profiling foi incrementado nas investigaes criminais. Nem todos ainda aceitam como uma forma comprovada de contribuio, porm alguns perfis tm sido precisos de forma incrivelmente surpreendente. Para tal, o pensamento intuitivo essencial, casado com a lgica. O Profiling uma arte e baseada no estudo de padres de casos passados. Sua utilizao deve ser considerada como uma ferramenta adicional nos recursos de uma investigao, assim como ser neste trabalho. Tomando inicialmente como exemplo a investigao de um crime por assassinato, para a construo de um perfil os seguintes elementos devem ser esclarecidos: - a arma utilizada; - o local do assassinato (e local onde o corpo foi deixado, se no coincidirem); - a posio do corpo e se o mesmo foi movido; - o tipo de feridas inflingidas; - detalhes minuciosos sobre a vtima; - fatores de risco do ofensor; - o mtodo de controle sobre a vtima; - evidncia de staging (encenao de cena do crime) ou assinatura (comportamento expresso para satisfao emocional do criminoso). A idia bsica por trs desta busca de elementos coletar informaes de forma a tentar encaix-las num padro comum a fim de se obter uma descrio geral do UNSUB (unknown suspect suspeito desconhecido) em termos de hbito, possvel atividade, status de relacionamento e traos da personalidade. A assinatura a chave, segundo John Douglas, sendo um guia mais confivel para obter o comportamento do atacante do que o seu prprio

40

Modus Operandi (mtodo de operao). O mtodo usado para cometer um crime prtico realizando o que deve ser feito para se atingir o objetivo enquanto que a assinatura satisfaz uma necessidade que pode ser nica ao atacante. Realizando uma comparao com a cena de um crime digital, os elementos relevantes a serem analisados para a constituio de um profile so: - as ferramentas utilizadas para atacar o sistema; - o alvo escolhido, bem como sua localizao e papel no ambiente em que se situa (rede local e/ou internet); - o estado do sistema comprometido no momento da investigao; - os rastros deixados pelo atacante; - informaes sobre o sistema atacado, que possam revelar o motivo de sua escolha como alvo do ataque desferido; - fatores de risco do ofensor (mais detalhados no prximo captulo); - evidncia de staging o atacante tenta adicionar elementos para dificultar a investigao por parte do administrador ou por terceiros, muitas vezes mascarando suas aes reais atravs de outras mais facilmente detectveis. - assinatura muitos ataques, principalmente em protestos realizados na forma de defacements em pginas revelam a assinatura do culpado. Tambm um comportamento expresso para satisfao emocional do criminoso, visto que a esmagadora maioria dos protestos vm acompanhada de uma assinatura, quando muitas vezes apenas a mensagem do protesto poderia ser, teoricamente, suficiente. A frmula de John Douglas indispensvel nesta metodologia. Muitas vezes, os procedimentos de anlise forense acabam centrando apenas nas evidncias coletadas, deixando para trs questes cruciais como o PORQU daquele ataque ter sido cometido. Evidncias digitais coletadas desta forma, no so aproveitadas por completo e assim podem ter pouco a dizer sobre um ataque. Por sua vez, o COMO acaba se revelando principalmente atravs do modus operandi do atacante, suas ferramentas utilizadas e sua atividade dentro do sistema comprometido. Como pode ser observado, inicia-se, desta forma, um raciocnio onde ser possvel aplicar tanto a equao de John Douglas como a busca por elementos da cena do crime para a Forense Computacional. Segundo Ramsland, um bom profile (perfil) uma tentativa educada de prover parmetros sobre o tipo de pessoa que cometeu um certo crime, baseada na idia que as pessoas tendem a ser escravas de sua psicologia e iro, inevitavelmente, deixar pistas (o que tambm afirmado por Freud). As informaes que so utilizadas na composio de um perfil so:

- sexo do ofensor; - modus operandi (MO); - evidncia de personalidade organizada/desorganizada; - estabilidade geogrfica vs. transitoriedade; - evidncia de ser impulsivo ou compulsivo;

41

- o tipo de personificao ou assinatura da cena; - o tipo de fantasia que parece estar envolvida; - evidncia de ritual; - se um trofu ou lembrana do crime foi levada. Um perfil desenvolvido com maior facilidade se o ofensor apresentar algumas evidncias de psicopatologia. Alguns assassinos deixam uma assinatura, o que ajuda a relacionar (linkar) cenas de crimes e alertar sobre a presena de um ofensor serial (assassino, estuprador). Se um padro detectado, ele talvez possa ajudar a predizer futuros ataques, alvos e tipos de vtimas. No nosso caso, pode-se aproveitar vrios elementos da enumerao acima citada. muito complicado obter o sexo do indivduo com base na anlise das evidncias digitais, necessitando de uma anlise muito mais profunda do restante dos indcios psicolgicos encontrados. Por outro lado, tem-se ilustrado anteriormente, neste trabalho, alguns dos perfis mais conhecidos de atacantes, onde tem-se, predominantemente, a participao de indivduos do sexo masculino. Portanto, a busca por elementos na caracterizao do perfil deve se basear principalmente nos outros aspectos. O modus operandi, conforme j mencionado, fundamental para o processo e ser discutido com detalhes no captulo seguinte. Algumas evidncias da personalidade podem ser obtidas se for possvel o acesso ao registro de atividades do indivduo no sistema comprometido, assim como o estrago feito e possvel mensagem deixada para os responsveis. Como lida-se com um ambiente virtual, investigaes com relao mobilidade do atacante devem aqui receber uma outra conotao. O ambiente virtual, hoje, permite que um atacante de qualquer local do mundo possa acessar um sistema de qualquer outro local sem que, para isso, ele precise se locomover fisicamente. Deve-se, portanto, analisar sobre o ponto de vista do acesso inicial do atacante sobre o sistema. O atacante partiu seu ataque da internet ou de dentro da prpria corporao? Ele j tinha um acesso prvio ao sistema atacado? Caso seja um atacante de fora da corporao, ele obteve este primeiro acesso de que forma, atravs de explorao de alguma vulnerabilidade ou atravs de algum contato ou chantagem com algum empregado interno? Estas questes acabam divulgando qual a relao que o atacante possuia com a corporao atacada, assim como o nvel de conhecimento da estrutura desta corporao que o indivduo poderia possuir. Assinaturas, por sua vez, alm de manifestarem a necessidade psicolgica j comentada, tambm servem de indcio para possveis casos onde o alvo apenas uma das muitas vtimas do atacante. Este tipo de situao ocorre com grande frequncia em ataques de mass-defacements, onde sempre acabamos encontrando uma assinatura de um responsvel clamando pela autoria do ataque, muitas vezes o divulgando em sites especializados como <http://www.zone-h.org>. Os melhores profilers obtiveram seus conhecimentos atravs de experincias com criminosos e desenvolveram um senso intuitivo sobre certos tipos de crime. Suas bases de informaes derivam tanto de evidncias fsicas como no-fsicas. Geralmente, profilers empregam teorias psicolgicas que provm maneiras de analisar deficincias mentais como iluses, caractersticas de personalidade como criminalidade, padres de raciocnios criminais e defeitos de carter. A idade aproximada tambm uma informao de valor considervel.

42

Profiling Geogrfico - Atualmente o profiling geogrfico vem ganhando seu espao no processo investigativo. Questes como o local onde a vtima selecionada, onde o crime cometido, a rota percorrida para deixar o corpo, onde e de que forma o corpo depositado e o relativo isolamento do local de depsito, acabam fornecendo pistas a respeito da mobilidade do suspeito, assim como o seu mtodo de se locomover, rea provvel que possa residir e habilidade para atravessar barreiras (fronteiras, pontes). Profiling e a Vtima - Sobre a vtima, muito importante obter seu background. Relaes com o agressor, onde a vtima foi atacada, assim como sua idade e ocupao. Profilers tentam construir uma linha de tempo com os movimentos da vtima at o momento do crime, utilizando-se, para isso, testemunhas, dirios, mensagens, etc. Tambm importante tentar determinar o motivo pelo qual aquela pessoa foi escolhida como alvo do ataque, na tentativa de identificar uma possvel pr-seleo. Logo aps, busca-se o meio que a vtima foi abordada, se houve resistncia e o horrio do fato. Quando trata-se de mltiplas vtimas, muito mais pistas podem ser obtidas, possibilitando a definies de padres que so utilizados pelo atacante. Estas questes, dentro do ambiente ciberntico, remetem investigao sobre a relao do atacante sobre o sistema/corporao atacado, assim como a localizao fsica das mquinas envolvidas no ato criminoso. O primeiro caso diz respeito ao comentrio realizado anteriormente, sobre seu papel na corporao ou a forma de interao com a mesma (se existir). Principalmente se o sistema comprometido era um alvo pr-definido do atacante ou se o mesmo apenas se encontrava numa faixa de IP escolhida (talvez) aleatoriamente pelo mesmo. Questes assim podem revelar, principalmente, a motivao do indivduo que comete este tipo de abordagem. Por sua vez, a localizao fsica das mquinas envolvidas tambm de fundamental importncia. A identificao destes recursos se faz por meio de anlise de logs e verificao das origens dos endereos IP detectados como participantes da ao, sendo, para isto, utilizadas ferramentas como o traceroute, o whois e o host. importante, se for o caso, contactar o responsvel pelo bloco de IP que possui o endereo assinalado, a fim de se obter dados como logins e responsveis pela utilizao dos endereos nas datas fornecidas. Para esta espcie de procedimento, necessrio ao judicial, uma vez que os provedores internet asseguram sigilo dos dados de seus usurios. Profiling e o Profiler caractersticas: Sobre o profiler, o mesmo deve possuir as seguintes

Habilidade de raciocnio criativo; Persistncia; Habilidade de raciocinar sob presso; Capacidade de se auto-corrigir; Um olhar em busca de padres; Habilidade de sintetizar diferentes informaes.

43

Segundo o agente especial do FBI Roy Hazelwood (apud Ramsland), profilers precisam ter inteligncia prtica e uma mente aberta, apto a aceitar opinies de outras pessoas. Alm do mais, a experincia de vida, a habilidade de isolar sentimentos pessoais sobre o crime e a habilidade de pensar como o criminoso tambm so caractersticas vitais. A presente seo teve como objetivo enumerar caractersticas fundamentais para o processo de Profiling. A prxima seo estudar certos elementos psicolgicos presentes na cena do crime e o prosseguimento na tentativa de mapeamento para a anlise forense computacional.

4.2 Os Indcios
Trabalharemos, nesta seo, com os indcios presentes na cena do crime. Antes de mais nada, o termo indcio ser discutido. Segundo Julius Glaser (Handbuch des Strafpozesses, 1883), um indcio tudo o que serve como prova, mas que no constitui uma prova por si mesmo. Por sua vez, Erich Anuschat (Spuren in der Kriminalistischen Praxis) define o indcio como tudo o que um criminalista pode observar e utilizar. So fatos que levam a uma determinada concluso, uma vez que atravs dos indcios que formamos nossa concepo de como o delito foi cometido. Num delito ciberntico, eles so de fundamental importncia, visto que as chances de se capturar o atacante real num flagrante so realmente mnimas. A criminologia moderna faz uma distino entre a verificao de fatos que podem servir como prova, a investigao de seu significado e a determinao de seu valor como prova (REIK, 1965). Existem duas direes com relao interpretao e ao uso dos indcios. A primeira direo referente aos fatos objetivos (mais facilmente obtidos), ou seja, o que ocorreu e como ocorreu. A segunda direo aponta para os fatos subjetivos. Em suma, o fundamental nessa direo saber quem o culpado. A identificao deste segundo grupo no trivial. O presente trabalho ir seguir as duas direes, utilizando a primeira direo atravs da anlise lgica de um grupo de indcios - as evidncias digitais - para tentar reconstruir o ato do ataque, e a segunda direo para oferecer recursos adicionais atravs da anlise dos mesmos indcios, numa abordagem psicolgica - para se chegar a um culpado real. Portanto, uma parcela significativa dos fatos subjetivos neste trabalho sero deduzidos a partir da anlise dos fatos objetivos.

Os criminalistas criaram um catecismo para aplicao em casos mais complexos, chamado de Os sete pontos de Ouro, uma espcie de detalhamento da frmula de John Douglas e que consiste de sete perguntas bsicas que podem levar elucidao de qualquer crime. So elas: 1. O qu? 2. Quem? 3. Quando?

44

4. Onde? 5. Como? 6. Com o qu? 7. Por qu? Na Forense Computacional, os Sete Pontos de Ouro podem ser traduzidos da seguinte forma: 1. O que ocorreu? Procure determinar que tipo de ataque foi realizado, assim como qual dano foi ocasionado e o nvel de comprometimento do sistema. 2. Quem foi atacado? Determine aqui qual o sistema que foi comprometido, assim como a qual corporao o mesmo pertence. Procure, tambm, determinar se foi apenas uma mquina o alvo do ataque. 3. Quando o ataque ocorreu? Essa questo de fundamental importncia e pode ser respondida com base na anlise dos logs do sistema atacado. 4. Onde? A questo da localizao do crime pode ser analisada por vrios ngulos. Primeiro, analisando qual ambiente em que esta mquina se encontrava, tanto por seu papel na corporao como qual corporao propriamente dita. Em muitos casos, tambm relevante saber como tal mquina foi acessada pela internet, ou seja, se foi um ataque premetidado ou se a mesma se encontrava num mesmo bloco de IP (endereos virtuais) de mquinas na Internet que foram alvo do ataque. 5. Como? Uma das perguntas mais importantes. Para tal, deve-se realizar uma minuciosa investigao das atividades do criminoso no sistema comprometido, assim como os mtodos (modus operandi) que o mesmo apresenta na construo do delito. O prximo captulo explorar este item. 6. Com quais ferramentas e recursos? Aqui devem ser respondidas quais as ferramentas que o atacante utilizou para explorar o alvo assim como quais mquinas ele, por ventura, pode ter se utilizado como catapultas ou pontes para o ataque. Este item tambm ser melhor explorado no prximo captulo 7. Por qu? Por que o sistema foi comprometido? Existe uma razo bvia para o crime? O sistema oferecia algo que era de interesse para algum? Que tipo de pessoa ou grupo poderia se beneficiar com este tipo de ao? Os indcios so fatos cujo valor na descoberta do que realmente ocorreu depende de sua coordenao ou relao com os outros. Em termos distintos, o valor de um indcio deriva de um certo processo psicolgico do investigador. de natureza lgica, entretanto, o processo de relacionar fatos, vincul-los de forma a fazerem visvel sua importncia funcional e separar o principal do secundrio, chegando a concluses partindo de certas premissas (REIK).

45

4.3 Indcios Psicolgicos


Um dos meios mais eficazes de descobrir a identidade do culpado por um crime, tentar precisar os motivos do crime, tarefa que faz parte do processo psicolgico da investigao. A natureza do crime ou a forma de sua realizao acabam, muitas vezes, revelando os motivos por trs da ao. Porm existem duas objees a isto: - s vezes, os delitos convenientemente preparados ocultam seu verdadeiro motivo; - tentar deduzir do resultado a inteno do delinquente, ignorando, assim, a possibilidade de estarmos tratando com um indivduo portador de um transtorno de personalidade (uma psicose, por exemplo). Neste caso, o delinquente pode enxergar motivos que ns seres normais no enxergamos em determinada situao.

4.4 Staging
O staging, ou encenao, o ato cometido pelo criminoso de criar uma cena do crime com indcios falsos, na tentativa de desviar o rumo da investigao. Por exemplo, uma esposa que assassina seu marido e revira a casa na tentativa de parecer que um ladro foi responsvel pelo crime. Segundo Innes (2003), a evidncia de staging em alguns casos indica tambm que o atacante familiarizado com os mtodos utilizados pelo investigador. Segundo Reik, a descoberta de tais indcios falsos no feita de forma trivial; de qualquer forma, ela constitui uma valiosa ajuda para reconstruir o crime, numa forma muito distinta ao que o autor havia planejado e desejado. Muitas vezes, num delito ciberntico, um ataque pode estar mascarando um outro ataque, com o intuito de conduzir a investigao para outros rumos. O atacante, algumas vezes, tambm pode tentar simular sua atividade no sistema de maneiras que dificulte a identificao de sua real inteno. Estes casos devem ser detectados ainda na fase de anlise das evidncias.

4.5 Nenhum Crime Perfeito


O ttulo desta seo um jargo conhecido e que possui fundamentos apoiados na Psicologia. No incio deste trabalho foi citado o Princpio da Troca de Locard, onde quem participa da cena do crime leva algo consigo e sempre deixa tambm alguma coisa na cena. Agora, somando a isso, estudar-se-o os processos psicolgicos que fazem o culpado pecar na execuo perfeita do crime e que poder, se compreendido na melhor forma, adicionar elementos a serem encontrados na cena do crime durante o processo de investigao. Reik afirma que, freqentemente, quando um criminoso procura ser completamente precavido e tenta prever todas as possibilidades, ele acaba tornando-se excessivamente

46

prudente e traindo-se por este amor aos detalhes. Todo culpado, invariavelmente, deixar algum rastro. No mundo ciberntico, estes rastros so representados por registros de logs, assim como por quaisquer alteraes nas estruturas de dados presentes no disco rgido do sistema invadido consequentes do acesso do indivduo mquina. De uma forma geral, o culpado pode deixar seus rastro at mesmo na elaborao de pistas falsas (staging) de forma incompleta ou atravs de libis mal justificados. Este tipo de ao caracterizada como negligncia, indiferena ou frequentemente estupidez criminal, encontrada mesmo em crimes cuidadosamente planejados e realizados. Os criminalistas alemes constumam chamar as caracterizaes acima citadas de Verbrecherpech, que significa m sorte do criminoso, sendo, segundo eles, um padro. Os profissionais da rea acreditam que isso resultado de uma inferioridade intelectual devido causas fisiolgicas. Isto pode ocorrer em certos casos, porm, no no grande nmero de crimes em que, embora tenham sido planejados com premeditao e cuidado descoberta, contudo, a raiz de algum equvoco. Para estes casos necessrio buscar outras explicaes, atingindo a o campo da Psicologia. Segundo Freud, os mortais no podem ocultar um segredo e a auto-traio acaba surgindo por todos os poros. Os erros insignificantes indicam a existncia de processos mentais ocultos, desconhecidos ao eu, que encontram assim sua forma de expresso. O descuido do criminoso uma parte inconsciente de previso, cuja finalidade justamente sua auto-traio e ditada por intenes ocultas desconhecidas ao seu consciente. uma vontade contrria e mais poderosa que suas intenes conscientes que destri sua cautela. Da prxima vez que um disquete for esquecido junto uma mquina utilizada para cometer um delito, poderemos tirar mais concluses do que se imagina. O homem que comete um crime sem vestgios o nico que o conhece e acaba se sentindo aparentemente obrigado a compartilhar deste conhecimento para os outros, como se fosse incapaz de guard-lo para si s, pois o aumento da tenso mental o pressiona para tra-lo a qualquer preo. O que impulsiona o criminoso a revelar seus feitos, utilizando-se, para tal, qualquer linguagem para poder se comunicar, acaba remetendo uma luta na mente do indivduo. Quando, por exemplo, um indivduo est num bate papo no IRC gabando-se de suas faanhas e divulgando links de sites ownados, ele faz isso porque realmente precisa. So duas foras mentais contrrias, uma com o objetivo de procurar apagar qualquer rastro da sua ao, enquanto que uma contrria deseja proclamar o feito e o seu autor para o mundo inteiro. uma necessidade inconsciente de castigo, manifestada atravs de atos falhos desta espcie. notvel o fato do atacante deixar sempre um rastro na cena do crime. Alguns criminosos possuem, por mais incrvel que possa parecer, o hbito bizarro de deixar suas fezes no local do crime, caracterizando o chamado carto de visitas do atacante (grumus merdae), assim nomeado pelo criminalista francs Reiss, de Lyon. So diversas as explicaes para este estranho fato. Hellwig (apud REIK) em Una extraa supersticin entre los ladrones de Europa (1908) diz que se o criminoso foge, ele deve deixar para trs algo de si, numa convico de que todo crime deve expiar-se. Freud diz que as crianas consideram suas fezes como um presente, uma produo sua, podendo representar um sinal de afeto ou at mesmo de desafio. No caso dos criminosos seria um sacrifcio voluntrio, uma espcie de indenizao. Analisando de forma clara, isso revela uma expresso de impulsos inconscientes de confessar. Se analisarmos alguns aspectos de uma cena de crime digital, at esta ocorrncia pode ser possvel, logicamente atravs de uma forma anloga. Cita-se o exemplo do disquete

47

esquecido ou de pginas html alteradas com mensagens escondidas em seu cdigo fonte, assim como recados desafiadores para o administrador do sistema que foi atacado. Ou a alterao de um arquivo por brincadeira. E por que no at um e-mail educado, relatando o ocorrido e dando informaes para o seu reparo? As situaes, neste caso, podem ser as mais diversas assim como suas interpretaes. Existe muito a ser estudado neste sentido ainda. Um outro aspecto interessante e que deve ser abordado o retorno do culpado cena do crime. As explicaes para esse fenmeno so diversas, algumas lgicas outras psicolgicas. uma explicao lgica o culpado voltar cena do crime para apagar algum rastro que por ventura tenha deixado e que poderia lhe incriminar. Uma outra explicao comum a mudana de algum aspecto da cena (staging) para dificultar a investigao do delito. A psicologia tambm explica algumas causas mais profundas para o fenmeno, quando as razes parecem ser mais obscuras. Segundo Wuffen (apud Reik), o local do crime d segurana e sensao de poder ao criminoso; alm disso ele, de certo modo, re-experimenta o prazer do ato. Outras causas que podem ser citadas incluem a necessidade inconsciente de castigo e tambm, talvez, uma espcie de continuao do reflexo de fuga. normal vermos casos onde o atacante cyberntico, aps cometer o delito, instala backdoors para garantir seu retorno com segurana ao sistema atacado. Em algumas ocasies ele pode, tambm, utilizar este acesso para seu prprio benefcio, como armazenamento de material indevido ou como catapulta para outros ataques, porm no raro ele simplesmente manter seu acesso sem utilizar a mquina para tais fins. O retorno do atacante tambm pode ser realizado para apagar supostos rastros que ele entenda que tenha deixado num ataque descuidado realizado anteriormente. O ataque descuidado como o leitor pode agora perceber, foi um dos assuntos abordados neste captulo.

48

5 MODUS OPERANDI
Diariamente, novas vulnerabilidades so descobertas e muitas delas so publicadas em listas pblicas conhecidas como full-disclosure pela Internet. comum, tambm, o lanamento de ferramentas e cdigos especializados em explorar estas falhas especficas, chamados de exploits. Isso tudo constri o ambiente que temos hoje na grande rede: uma imensa disponibilidade de informaes e ferramentas voltadas explorao de falhas nos mais diversos tipos de softwares e o livre acesso a estes itens para qualquer pessoa que realize buscas relativamente simples pela Web. Esta situao acaba fornecendo subsdios para que ataques a sistemas de todas as partes do globo possam ocorrer, com as mais diversas finalidades e pelos mais diversos indivduos, conforme discutido em captulos anteriores. De acordo com tais finalidades, assim como a habilidade do atacante, o modus operandi apresentado na ao pode variar. Modus Operandi (MO) um termo em latim que significa Mtodo de Operao. Desde a metade do sculo 19, investigadores de polcia perceberam que a obra de muitos criminosos persistentes poderia ser reconhecida atravs do seu MO. Incluem-se a a maneira de penetrar numa construo, de quebrar as protees, as ferramentas utilizadas e, no caso de assassinato, como a vtima foi capturada, morta e, talvez, mutilada. comum, em casos de ataques seriais, a presena de uma assinatura, que embora auxilie (e muito) na identificao do criminoso, no deve, no entanto, ser confundida com MO. Modus Operandi o comportamento desenvolvido com o tempo e melhorado medida que o ofensor torna-se mais experiente. A assinatura, conforme discutido anteriormente, diz respeito uma necessidade emocional e psicolgica do atacante (INNES). No mundo ciberntico, o MO de um criminoso pode ser estudado com base na escolha dos seus alvos, na maneira como os mesmos so explorados, as ferramentas utilizadas assim como o tipo de ataque desferido. O entendimento desta questo, que representa o COMO na equao de John Douglas, somado com a finalidade do ataque (o PORQU) fundamental para a elucidao do caso, sendo, atualmente, alvo de muitos estudos. Aqui, o comportamento do intruso, somado com suas motivaes, um ponto chave para orientar na investigao, auxiliando na busca sobre onde e o que procurar numa anlise forense computacional (REIS).

5.1 A Seqncia de um Ataque


O Modus Operandi ir apresentar variaes de acordo com a finalidade e a habilidade do criminoso. Para ilustrar, um esquema generalizado consiste em (DONATO et. al 2003):

identificao do alvo; obteno de informaes sobre o mesmo (footprint), como por exemplo scanning de portas (servios); escolha da forma de ataque e acesso; instalao de mecanismos para garantir acesso continuado, usualmente chamados de backdoors;

49

remoo de rastros deixados durante o ataque.

Quanto escolha da forma de ataque, necessrio fazer uma observao. O atacante ter duas opes: a) Obter um login e senha vlidos no sistema atravs de tcnicas como password cracking (tentativas de quebra de senhas), sniffing (captura de dados trafegando na rede) ou por engenharia social (interagindo e manipulando pessoas da corporao), permitindo assim sua conexo na mquina; b) Partir em busca da explorao de vulnerabilidades que tambm lhe daro acesso ao sistema. Os dois itens a seguir refletem o prosseguimento desta segunda opo.

busca por vulnerabilidades nos servios ativos encontrados; explorao da vulnerabilidade e acesso ao sistema;

Dependendo do tipo de explorao, o atacante pode j ter obtido o acesso de superusurio (root) no sistema, com todos os privilgios necessrios para suas aes de comprometimento. No entanto, se a explorao da vulnerabilidade oferece somente privilgios de um outro usurio mais limitado, sua prxima etapa explorar novas falhas a fim de escalar privilgios (privilege scalation) para a obteno de acesso de root na mquina. Isso tambm vlido nas situaes em que ele se conecta na mquina utilizando um login/senha obtido previamente. Tendo em vista que agora ele j possui acesso ao sistema, um novo conjunto de exploits podem ser aqui utilizados, caracterizados como exploits locais. Quando o atacante obtm acesso mximo (root) no sistema, ele ownou (termo popular) a mquina. A partir deste momento, ele est livre para cometer a ao que quiser contra o sistema, tal como obter dados, destru-los, modificar uma possvel pgina, tentar expandir o ataque para mquinas vizinhas, entre outros.

5.2 O Rastro
Naturalmente, adversrios menos capacitados iro deixar um rastro mais visvel na anlise forense. Indivduos iniciantes e script-kiddies costumam deixar muitos rastros, como por exemplo, entradas nos logs principais do sistema. Isto demonstra falta de conhecimento, de experincia e a indicao de que eles no tm a noo exata da possibilidade de serem identificados. Um nmero reduzido costuma usar ferramentas prontas como log cleaners ou rootkits na tentativa de apagar rastros de sua passagem, mas com sucesso limitado. Adversrios mais experientes costumam apagar os logs que registram suas atividades, alm de utilizarem trojans e backdoors como forma de garantir o comprometimento da mquina da forma mais imperceptvel possvel, tornando sua deteco mais trabalhosa. Este

50

tipo de adversrio possui maior conhecimento sobre o sistema invadido, assim como seu funcionamento interno.

5.3 A Ferramenta
Existe, atualmente, uma gama de ferramentas de ataque, muitas delas disponveis ao pblico, outras restritas a pequenos grupos. Segundo Parker et. al (2004), existem algumas maneiras de diferenciar os tipos de ferramentas, de forma que seja possvel, assim, investigar adversrios atravs de tais diferenas. Ainda que uma ferramenta de ataque possa empregar uma determinada tcnica de ataque, muitas mtricas para a anlise da tcnica no levam em conta fatores como sua disponibilidade ou facilidade de uso, nem os diferenciais de capacidade entre diferentes ferramentas que empregam uma tcnica similar de ataque. Parker cita como exemplo duas ferramentas que exploram um falha remota de stack overflow, as quais usam a mesma tcnica de ataque, porm podendo exigir nveis diferentes de adversrios uma vez que a implementao das tcnicas podem ser completamente distintas. Devido facilidade com que um script-kiddie sem grandes habilidades pode fazer download de ferramentas poderosas em sites especializados de segurana, algumas mtricas adicionais devem ser consideradas na hora de uma investigao do perfil do atacante, das quais so citadas: a) A facilidade com que a ferramenta utilizada esta mtrica relacionada com a habilidade tcnica necessria para utilizar a ferramenta de forma que o ataque seja concludo com sucesso. Muitos exploits disponveis atualmente exigem um considervel conhecimento tcnico sobre a vulnerabilidade a ser explorada. Da facilidade de uso, podem ser medidos os tipos de habilidades tcnicas exigidos e os nveis dessas habilidades. Tipicamente, tipos de habilidade tcnicas diferentes so exigidas para tipos de ataques distintos. A tabela 5.1 ilustra algumas dedues com relao ao tipo de habilidade exigida atravs da examinao do tipo de ferramenta com o conjunto de habilidades dos indivduos capazes de manej-las (PARKER):

Ferramenta Exploitremotodo kernel Ferramentade ataqueparaSSL maninthemiddle

Tabela 5.1: Dedues de Habilidades Semntica Programa o Redes Exigeinformaodo layoutdamemria doalvo Exigeendereo MACdoalvo sim no

SistemaOperacional sim

no

sim

no

Massrooter:exploit ExigerangedeIPda remotodestack redealvo overflow

no

no

no

51

Habilidade em Programao indica que o indivduo pode criar e modificar o cdigo na linguagem em que a ferramenta foi escrita e tambm entender os detalhes da falha explorada. Habilidade em Redes indica conhecimentos na topologia da rede que o sistema alvo reside, assim como conceitos bsicos como as camadas OSI. Por sua vez, habilidade sobre Sistema Operacional indica conhecimento em detalhes especficos do sistema operacional do alvo, arquivos de configuraes, noes sobre o kernel, etc. Portanto, o tipo de ferramenta pode indicar que o adversrio possuidor de certo nvel de conhecimento sobre o tipo de habilidade especfica requerida. b) A disponibilidade da ferramenta Aqui existe o interesse na disponibilidade da ferramenta, uma vez que com ela que certos parmetros sobre o adversrios so calculados. Os valores assumidos aqui so disponvel ou no-disponvel. c) Pr-requisitos no tcnicos Aqui so citadas outras habilidades presentes no adversrio, tais como acesso a conta local no sistema ou tambm acesso fsico corporao. 5.3.1 Tipos de Ferramentas Seguem, nas prximas sees, algumas ferramentas mais utilizadas para consolidar ataques cibernticos e o que pode-se concluir com base no adversrio que as utiliza, segundo Parker. 5.3.1.1 Mass Rooters Um Mass Rooter um tipo de ferramenta que pesquisa um grande nmero de hosts em busca de uma vulnerabilidade especfica (ou mais de uma), tentando explorar a falha de forma automtica naqueles hosts que forem considerados vulnerveis durante o scanning. exibido abaixo um tpico mass rooter para o software Apache. Exemplo:
[devel@server]-[/home/devel/apache]$ ./start [+] -----------Apache Mass Scanner/Rooter --------- [+] Greetz to GOBBLES Security and to all elite coders by nebunu <nebunu@home.ro> [+] Enter class A(<255):

Este tipo de ferramenta gera um ataque muito barulhento, ou seja, facilmente perceptveis nos arquivos de logs dos sistemas almejados. A imensa maioria deste tipo de ferramenta, amplamente disponvel pela Internet, utilizada por indivduos que no possuem maiores habilidades, nem noo das reais chances de serem detectados, ou seja, so imprudentes e irresponsveis. Motivados apenas pela vontade de realizar algum estrago, no possuem um alvo especfico definido: qualquer mquina que se situar na faixa de IP fornecida suficiente. Este tipo de ataque no costuma envolver planejamento ou ser premeditado. uma ao tpica de script-kiddies.

52

5.3.1.2 Port Scanners Os Port Scanners so ferramentas utilizadas para enumerar quais servios uma mquina alvo est rodando, a fim de determinar um ponto de entrada no sistema. Esto disponveis por toda a Internet, sendo o Nmap (www.insecure.org/nmap) o port scanner mais conhecido. O uso deste tipo de ferramenta caracteriza um dos primeiros passos no processo de footprint, ou seja, no processo de coleta de informaes sobre um sistema para possibilitar desferir um ataque sobre o mesmo. Ele manda requisitaes a um conjunto de portas e aguarda a resposta do sistema com relao ao estado das mesmas (se est ativa ou no). No exemplo abaixo apresentado o nmap, o mais popular port scanner da atualidade. Exemplo:
[root@server]-[~]$ nmap -sS -P0 -T paranoid -p 1-1024 www.ufpel.edu.br Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-09-30 20:49 BRT

Scanner de Portas podem ser tanto utilizados por pessoas sem grandes habilidades como por adversrios mais qualificados, uma vez que as prprias tcnicas de scanning costumam ser bastante diferenciadas. Um indivduo que utiliza um scanner de portas j tem seu alvo determinado e, no processo, ele testa o sistema antes de tentar explorar sem qualquer verificao, caracterizando, assim, um adversrio um pouco mais consciente. Embora seja uma ferramenta muito difundida na atualidade, a maneira que um port scanner utilizado pode revelar alguns dados interessantes sobre o indivduo. Tentativas de conexo num grande nmero de portas do alvo e num espao de tempo muito curto, caracteriza um mtodo imprudente, visto que este procedimento facilmente detectvel por mecanismos como firewalls e IDS (Intrusion Detection System) do alvo. Por sua vez, a escolha de um nmero discreto de portas e o envio discreto de pacotes com flags especficas setadas, num espao de intervalo mais amplo, pode revelar um adversrio com conhecimentos maiores sobre funcionamento de redes e mecanismos de deteco, alm de demonstrar possuir uma cautela especial. 5.3.1.3 Ferramentas de Enumerao de Sistema Operacional Tambm fazem parte do kit bsico de ferramentas para um ataque, as ferramentas de enumerao as quais objetivam a determinao de qual sistema operacional a mquina alvo roda, consultando um conjunto de definies pr-estabelecidas. Boa parte de tais ferramentas pode ser utilizada por qualquer adversrio, porm, existem tcnicas manuais que visam o mesmo objetivo e, neste caso, exigem conhecimentos mais profundos, assim como tambm para a utilizao em ferramentas mais complexas. So ferramentas largamente disponveis pela Internet e sua utilizao indica que o indivduo est interessado, primeiramente, em detectar qual o Sistema Operacional do seu alvo. Segundo Parker, uma base para este conceito que adversrios que compreendem a necessidade de conhecer detalhes especficos do alvo

53

(como seu SO) tendem a ser um tanto quanto superiores queles que tentam comprometer de forma cega um sistema alvo, independente de qual verso de SO que esteja sendo executada. 5.3.1.4 Exploits de Software Os exploits constituem o maior grupo de ferramentas de ataque presente na Internet, sendo responsveis por aproximadamente 85% dos comprometimentos a sistemas conectados na Internet entre 2000 e 2003 (PARKER). So exploits os cdigos destinados a explorarem uma vulnerabilidade especfica do sistema alvo, a fim de se obter acesso mquina, travar um servio, etc. Segue abaixo um exemplo de um exploir remoto para o servidor http Apache:
[root@server]-[/home/devel/code]$ ./apache -h Apache + mod_mylo remote exploit By Carl Livitt (carllivitt at hush dot com) Arguments: -t target -T platform -h

Attack 'target' host Use parameters for target 'platform' This help.

Available platforms: 0. SuSE 8.1, Apache 1.3.27 (installed from source) (default) 1. RedHat 7.2, Apache 1.3.20 (installed from RPM) 2. RedHat 7.3, Apache 1.3.23 (installed from RPM) 3. FreeBSD 4.8, Apache 1.3.27 (from Ports)

Para analisar o nvel de habilidade de um atacante que se utiliza dessas ferramentas, duas perguntas devem ser feitas:

O exploit exige conhecimento detalhado da vulnerabilidade especfica? A verso pblica do exploit exige alguma alterao no seu cdigo para funcionar?

No possvel fazer um perfil mais apurado de um atacante por ele apenas ter-se utilizado deste tipo de ferramenta, devido vasta natureza dos exploits.

5.4 A Tcnica
Nesta seo, so considerados fatores como tecnologias especficas e a metodologia empregada para o ataque. A avaliao da tcnica de ataque no especfica para o tipo de instrumento utilizado no ataque. As mtricas utilizadas por Parker so: a) Recursos no-tecnolgicos exigidos Aqui so includos os acessos iniciais ao sistema, sejam por conta local como tambm acesso fsico. b) Nvel de distribuio da tcnica O quanto a tcnica conhecida, o que ajuda a revelar se o adversrio apenas fez uma pesquisa na internet ou se ele tem ligaes a grupos do

54

underground que possuem tcnicas de ataques mais restritas. c) Facilidade de Implementao da tcnica Aqui no considerado o quanto uma ferramenta usada com facilidade e sim o quanto fcil para um atacante implementar uma tcnica, seja atravs de uma ferramenta de sua prpria criao, seja utilizando uma ferramenta de terceiros mas de uma maneira criativa. 5.4.1 Tipos de Tcnicas A seguir so descritas algumas das tcnicas de ataque mais difundidas na atualidade.

5.5.1.1 Enumerao de Servios de Rede e Vulnerabilidades Uma das tcnicas utilizadas nas primeiras fases de um ataque, durante um processo de footprint. Uma enumerao de servios (port scanning), da maneira como for realizada, poder gerar muito barulho, coisa que um adversrio mais astuto evitar a todo preo. Alm do mais, dependendo da maneira com que for realizada, poder gerar diversos falsos positivos se o adversrio no estiver devidamente ciente do que est fazendo. Seguem abaixo algumas tcnicas de enumerao (PARKER): Ping Request Muitas tcnicas de enumerao utilizam-se inicialmente do envio de um pacote icmp echo request (ping) para determinar se o alvo est up ou no. Um adversrio menos esperto pode acreditar que uma resposta negativa significa que o sistema no est up, quando muitas vezes um firewall ou um IDS impediram o mesmo de receber uma resposta afirmativa. Segue o exemplo com a enumerao atravs de nmap:
[root@server]-[~/scripts]$ nmap -sS -p 22 www.empresa-alvo.com Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-01 00:58 BRT Note: Host seems down. If it is really up, but blocking our ping probes, try -P0 Nmap run completed -- 1 IP address (0 hosts up) scanned in 2.045 seconds

Um outro adversrio, com maiores conhecimentos e ciente de que um ping probe pode gerar algum barulho no sistema alvo, faz uma diferente enumerao, porm sem considerar este ping probe inicial, conforme exemplo:
[root@server]-[~/scripts]$ nmap -sS -p 22 www.empresa-alvo.com -P0 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-01 00:58 BRT Interesting ports on server (200.200.200.200): PORT STATE SERVICE 22/tcp open ssh Nmap run completed -- 1 IP address (1 host up) scanned in 1.195 seconds

Conforme visto, esta simples diferena entre os adversrios implicou em resultados

55

diferentes para a tcnica de enumerao de servios. relevante dizer, tambm, que o tempo entre o probing em cada servio desejado influenciar nas chances de deteco por parte de algum mecanismo de defesa do sistema alvo, ou seja, quanto mais curto for o intervalo entre os probings, maior a chance de deteco. Tambm fundamental uma boa escolha do conjunto de portas a ser testado. 5.4.1.2 Enumerao de Sistema Operacional Diferentes tcnicas, no que diz respeito ao grau de apurao e a discrio, podem ser utilizadas para enumerar o tipo de sistema operacional utilizado por um alvo. Enumerao Passiva Este tipo de enumerao baseia-se numa abordagem nointrusiva e extremamente discreta, evitando ao mximo gerar qualquer alarde no lado do sistema visado. O que ela faz esperar que o sistema alvo responda uma requisio com uma quantidade mnima de dados que seja suficiente para detectar o tipo de sistema operacional que roda sobre o alvo. Como exemplo, uma simples requisitao HTTP ao website da mquina alvo pode revelar as seguintes informaes:
[root@server]-[~]$ lynx -dump -head http://www.ufpel.edu.br HTTP/1.1 200 OK Date: Fri, 01 Oct 2004 04:09:48 GMT Server: Apache/2.0.40 (Red Hat Linux) Accept-Ranges: bytes X-Powered-By: PHP/4.2.2 Connection: close Content-Type: text/html; charset=ISO-8859-1

Enumerao No-Passiva Aqui podem-se citar casos de conexo no autorizadas em servios como FTP ou SSH que, embora possa retornar as informaes desejadas ao indivduo, possuem chances muito maiores de serem detectadas.

Com base nas alternativas citadas, podemos deduzir que numa tentativa barulhenta, como por exemplo quando o atacante tenta conexes em vrias portas do sistema alvo, estamos lidando com um indivduo negligente com relao s tcnicas implementadas para identificao de SO, o que indica um adversrio pouco capacitado, na maioria das vezes. 5.4.1.3 Explorao em Massa e Automatizada Aqui so levados em conta fatores como o nvel de barulho que a operao causa no sistema, uma vez que ataques em massa atingem um grande nmero de hosts num reduzido intervalo de tempo, quando os objetivos so atingir o maior nmero de sistemas possveis sem se preocupar com as chances de deteco. Alm do mais, uma tcnica que reduz muitas etapas de um ataque clssico, de forma que seu autor est preocupado com questes como praticidade e facilidade, muitas vezes por no possuir um conhecimento mais aprofundado exigido para um ataque mais elaborado e discreto.

56

5.4.1.4 Explorao de Aplicaes Web Hoje em dia empregado um grande nmero de tecnologias para o desenvolvimento de aplicaes Web, cada uma com seus potenciais pontos de explorao. Ataques a uma aplicao web pode permitir, por exemplo, o crash do sistema-alvo, o acesso no autorizado ao mesmo ou a manipulao de dados que estejam armazenados no alvo (ex: um banco de dados da corporao). Uma tcnica conhecida de ataque a aplicaes Web a SQL Injection, a qual permite executar comandos SQL arbitrrios no banco de dados do sistema, graas a um controle precrio no tratamento de entrada dos dados pela aplicao. O tipo de atacante que utiliza-se desta tcnica deve ter conhecimentos em SQL, assim como de conhecimentos especficos do SGBD utilizado pelo servidor (MySQL, PostgreSQL, Oracle..). A tabela abaixo ilustra um escore baseado no nvel de habilidade requerido para diferentes aplicaes, segundo Parker:
Tabela 5.2: Escore de Habilidade Falha na Aplicao Web Pblica Penetrao em Aplicao Proprietria (SQL Injection) 3 Penetrao Injection) em Aplicao Open Source (SQL 3 2 2 5 4 4 5 5 6 8 8

Restrita 5

P.A.P. (Injeo de cdigo arbitrrio) P.A.O.S. (Injeo de cdigo arbitrrio)

P.A.P. Execuo de comandos do OS usando SQL Injection (MS SQL) 3 P.A.O.S. Execuo de comandos do OS usando SQL Injection (Sybase) 3 P.A.P. Somente SQL Injection (MS SQL) P.A.P. Somente SQL Injection (IBM DB2) P.A.P. Somente SQL Injection (Oracle) 4 6 6

5.5 Mascaramento de um Ataque


Alguns adversrios mais experientes podem, propositalmente, comportarem-se como adversrios pouco habilidosos. Seu intuito de iludir o administrador de sistemas para este pensar que os adversrios que tentam penetrar no sistema no so capazes de oferecer perigos maiores . Alguns tambm costumam mascarar um ataque bem elaborado com outros ataques barulhentos, de forma a desviar a ateno do administrador e de uma investigao menos cuidadosa. Porm, dependendo da configurao dos dispositivos de registro de atividades (leia-se logs, IDS's e firewalls), o ataque real tambm poder ser detectado pelos devidos responsveis pelo sistema. Conforme visto no decorrer deste trabalho, trata-se do processo de staging, que ir exigir ateno especial por parte do investigador.

57

6 METODOLOGIA PROPOSTA DE INVESTIGAO


Este captulo apresenta uma metodologia para o processo de investigao de um crime ciberntico, explicando mtodos de extrao das informaes e evidncias digitais encontradas nas fontes de dados que foram definidas no Captulo 2. Uma metodologia apropriada deve permitir que dois investigadores distintos que se utilizam dela possam chegar s mesmas concluses sobre o caso (CASEY, 2002). Para o incio do processo investigativo propriamente dito, o objetivo deve estar bem definido. A investigao ter finalidade jurdica ou servir apenas para fins internos da corporao? Isso acabar influindo na forma como os resultados da investigao devero ser apresentados no final do processo. A fim de que as evidncias coletadas tenham sua integridade e autenticidade garantidas, certos procedimentos devem ser obedecidos de acordo com um conjunto de normas e padres utilizados por profissionais do ramo. Estas boas prticas, sugeridas pela Associao de Oficiais Chefes de Polcia do Reino (ACPO apud REIS) e pelo Grupo de Trabalho Cientfico em Evidncias Digitais (SWGDE, 2003) estaro presentes durante o desenvolvimento das sees seguintes do presente trabalho.

6.1 Primeiros Passos


fundamental o contato inicial com o responsvel pelo sistema, geralmente o administrador. Ele dever ter toda liberdade para expor tudo aquilo que achar conveniente para a investigao. Nesta etapa, deve ficar bem definido o O QU, correspondente ao fato que ocorreu, assim como qual (ou quais) sistema foi comprometido, procurando obter o mximo de informaes sobre o que consiste e qual funo exerce no ambiente da corporao. Esse conjunto de informaes corresponde ao QUEM do catecismo Sete Pontos de Ouro. importante tambm saber quando foram notadas as primeiras alteraes no sistema por parte do administrador ou outro funcionrio da corporao, para comear a elaborar os eventos em uma ordem cronolgica que possibilitar, aps anlise das evidncias, chegar ao QUANDO. O responsvel pelo sistema dever informar todas as medidas que foram tomadas desde a deteco do problema, o que influenciar de modo significativo no desenvolvimento da investigao. A mquina foi acessada por algum depois disso? Ela permanece ligada e online? fortemente aconselhvel que ningum deva tocar, desligar ou fechar quaisquer programas que estejam em execuo na mquina suspeita, assim como retirar quaisquer itens do ambiente onde a mquina est situada. Uma nica exceo a este caso a situao onde exista algum programa de destruio de dados e rastros que esteja em execuo. O investigador dever ter bem claras todas e quaisquer restries e limitaes que ele encontrar para sua investigao, como, por exemplo, se ele estar violando alguma lei ou direito de algum funcionrio, de modo que, dependendo do caso, um mandato judicial pode se fazer necessrio. Aps esclarecimento das questes fundamentais, aconselhvel questionar ao administrador (ou outro responsvel) sobre quais poderiam ser os possveis motivos para o

58

ataque em questo, se isto j no ficar inicialmente bem evidente, num primeiro esboo, para comear a compreender o ponto do catecismo POR QU?. Juntamente com as razes e impresses tomadas, o responsvel livre para enumerar quaisquer suspeitas que ele tenha sobre a responsabilidade pelo delito, explicando quem poderia se beneficiar do ataque assim como o que o sistema poderia oferecer de interessante para seu atacante. Quando lidamos com um ambiente de rede dentro da empresa, importante tomar conhecimento sobre a estrutura da corporao, obtendo informaes sobre setores existentes, e se possvel, nomes de funcionrios e suas funes na corporao, na eventual ocasio de ser um ataque partido de dentro da rede da organizao.

6.2 O Planejamento
A partir das primeiras informaes coletadas no contato com os responsveis, parte-se para o ponto de planejamento das aes, onde ser definida a melhor abordagem para a corrente investigao. Devem ser aqui identificadas com antecedncia as atividades que devero ser executadas assim como quais ferramentas se faro necessrias no processo investigativo. Uma situao bem possvel de ocorrer de nos depararmos com o sistema ainda em execuo. Neste caso algumas informaes vitais para a investigao ainda podem estar presentes, como conexes deixadas pelo atacante ou at encontrar o mesmo logado e em plena atividade no sistema. Neste ponto, as primeiras decises devem ser tomadas de modo que permitam a preservao das evidncias teis para a investigao, assim como a escolha do mtodo mais apropriado para a coleta de informaes, o mtodo de desligamento do sistema, a necessidade ou no de coleta de trfego da rede e at o rastreamento de um possvel atacante (REIS). O investigador no deve utilizar, durante sua operao, os programas residentes no sistema operacional comprometido, uma vez que os mesmos podem estar alterados e/ou disparar qualquer ao imprevista. Reis relaciona atravs da tabela abaixo o mtodo de coleta e anlise com o nvel de esforo empregado para proteger as evidncias e evitar execuo de cdigo hostil.

Mtodo

Tabela 6.1: Mtodo de coleta X Nvel de esforo Vantagens Desvantagens

Usar uma estao forense dedicada No requer preocupao quanto Pode depender do desligamento do para examinar o disco suspeito validade do software ou hardware sistema suspeito, podendo resultar (protegido contra escrita) ou uma da mquina suspeita. na perda de informaes volteis. imagem do mesmo. Inicializar a mquina comprometida usando um kernel e ferramentas verificados e protegidos contra escrita, contidos em uma mdia removvel. Conveniente e rpido. Os discos da mquina suspeita devero ser montados em modo somente leitura. Assume que o hardware da mquina no foi comprometido, resultando na interrupo dos servios disponibilizados pelo sistema suspeito, podendo causar a perda de informaes volteis.

59

Mtodo

Vantagens

Desvantagens Requer disponibilidade de hardware idntico ao do sistema suspeito. Pode resultar na perda de informaes volteis.

Reconstruir o sistema suspeito a Recria completamente o ambiente partir da sua imagem e, ento, operacional do sistema suspeito, examin-lo. sem o risco de alterar as informaes originais.

Examinar o sistema suspeito atravs Conveniente e rpido. Permite Se o kernel estiver comprometido, o de mdias removveis contendo acessar informaes volteis. resultado podem ser inconcistentes. ferramentas verificadas. Verificar o software contido no Requer uma preparao mnima. sistema suspeito e, ento, utiliz-lo Permite acessar informaes para conduo no exame. volteis e pode ser realizado remotamente. Pode tomar muito tempo e o programa usado para verificao de integridade pode estar comprometido. A falta de proteo contra escrita nos discos do sistema suspeito pode resultar na alterao ou destruio de informaes.

Examinar o sistema suspeito usando Requer nenhuma preparao, Mtodo menos confivel e o software nele contido, sem permitindo o acesso a informaes representa exatamente aquilo que os qualquer verificao. volteis e a realizao remota. atacantes esperam que seja feit. Na maioria das vezes uma completa perda de tempo.

6.3 Autenticao, Coleta, Documentao e Preservao das Evidncias


Nesta importante etapa da investigao, todo cuidado pouco. fundamental que se tenha o mximo de cautela com a manipulao das evidncias a fim de se evitar qualquer perda ou alterao. A autenticao das evidncias coletadas indispensvel neste processo, possuindo a finalidade de validar as provas e verificar se as mesmas no foram alteradas. Ser utilizada no exemplo a seguir a assinatura criptogrfica md5, obtida atravs do comando md5sum. Uma cpia fiel de uma evidncia obrigatoriamente dever possuir o mesmo hash criptogrfico da sua origem. Durante a investigao, o maior nmero possvel de itens, que possam ter alguma validade no processo, deve ser coletado. Para esta coleta, indispensvel respeitar a ordem de volatilidade das evidncias. 6.3.1 Coletando as Informaes Volteis Uma boa escolha iniciar por aquelas informaes de maior volatilidade presentes no sistema suspeito de comprometimento. Utilizando-se de um kit de ferramentas confiveis disponveis em mdia removvel (j que o sistema pode estar com comandos tambm comprometidos), os dados podem ser obtidos, atravs de comandos como aqueles citados na seo 2.2.5. A utilizao da ferramenta script, que registra a sada (output) das informaes num arquivo texto, tambm vlida, observando-se que deve ser evitada qualquer forma de

60

escrita no disco suspeito. Tal ferramenta utiliza a seguinte sintaxe:


[root@server]-[~]$ /mnt/cdrom/script -a /floppy/saida.txt Script started, file is /floppy/saida.txt [root@server]-[~]$ /mnt/cdrom/comando1 ** resultados ** [root@server]-[~]$ /mnt/cdrom/comando2 **resultados ** [root@server]-[~]$ exit exit Script done, file is /floppy/saida.txt

Uma outra forma de coletar informaes volteis redirecionando sua sada atravs de uma conexo em rede. Para tanto, uma ferramenta como o nc til, conforme descrito por REIS. A estao forense configurada de modo que possa receber os dados do sistema comprometido, para tanto ela deve abrir uma porta espera do fluxo de dados, armazenandoos sob a forma de um arquivo. Por exemplo:
[root@server]-[~]$ nc netstat.out > netstat.md5 -l -p 5555 | tee netstat.out | md5sum -b

O comando acima abre uma porta (5555) na estao forense para o recebimento dos dados, direcionando seu contedo para o arquivo netstat.out e autenticando a prova atravs do uso de md5sum. A assinatura armazenada no arquivo netstat.md5. No lado do sistema comprometido, utilizando-se de ferramentas da mdia removvel (ex: um cdrom contendo um kit forense), o investigador executa o comando e direciona a sada para a mquina da estao forense (configurada com o IP 192.168.1.10) na porta combinada, atravs do comando seguinte:
[root@server]-[~]$ 192.168.1.10 5555 /mnt/cdrom/netstat -ant | /mnt/cdrom/nc

A assinatura criptogrfica gerada ter como nica utilidade a prova da integridade dos dados armazenados na estao forense. Para comprovar a autenticidade destes dados, o hash gerado na mquina forense deve ser comparado com o hash gerado atravs do md5sum executado na mquina comprometida. Para tal, utilize md5sum redirecionando seu output para a prpria tela do usurio ao invs de armazenar em um arquivo. Se as assinaturas forem iguais, isto significa que os dados transmitidos na rede no sofreram qualquer tipo de modificao e esto com sua integridade comprovada. 6.3.2 O Desligamento do Sistema Conforme Dittrich, um investigador forense deseja preservar da forma mais ntegra possvel as evidncias presentes no sistema e, na grande maioria das vezes, isso significa colocar o mesmo fora de servio, num momento onde muitos podem estar pressionando para

61

coloc-lo novamente online. Se o sistema for forado a continuar funcionando, eliminando-se as falhas e vias de acesso de novos intrusos, o rumo correto da investigao poder se perder, uma vez que a cena do crime estaria sendo modificada, com alteraes e destruies de informaes fundamentais investigao. Alm do mais, existir a possibilidade do intruso ter garantido meios de permanecer com acesso ao sistema (ex: backdoors). Em ambientes UNIX, costuma-se utilizar o comando shutdown para finalizar o sistema, j que com sua utilizao os servios so encerrados numa forma limpa, com todos os buffers do sistema descarregados (flushed). Trata-se de um procedimento perfeito para sistemas intactos, porm em ambientes comprometidos este tipo de operao pode apagar informaes teis investigao. Inclui-se a casos em que o atacante instala programas de eliminao de rastros ativados com o procedimento de shutdown. A fim de evitar estes tipos de modificaes no sistema de arquivos, a melhor alternativa puxar diretamente o cabo da tomada. necessrio dizer que, caso o investigador no tenha procedido em coletar as informaes mais volteis, conforme procedimento na seo anterior, neste passo muitas destas informaes sero agora perdidas. Porm enfatiza-se aqui que o desligamento direto interrompendo o fornecimento de energia a opo mais indicada. Muitos investigadores defendem este segundo procedimento, afirmando que o desligamento imediato pelo cabo de energia a melhor opo para congelar o sistema em seu estado corrente, sendo aceitvel que algumas evidncias sejam perdidas em face preservao da integridade daquelas presentes nos dispositivos de armazenagem secundria (REIS). Manter o sistema em funcionamento e/ou o seu desligamento normal (ex: via comando shutdown) podem expor o investigador a situaes potencialmente catastrficas, tais como (REIS):

o atacante pode ter instalado armadilhas que apagam seus rastros (ou at o prprio sistema) quando o mesmo desligado (existem arquivos no ambiente UNIX que so facilmente alterados durante o processo de desligamento); o processo de desligamento em si pode alterar ou remover arquivos como parte do seu procedimento normal; um atacante presente no sistema pode desconfiar da investigao e inicia uma danificao no sistema ou limpeza de seus rastros.

indispensvel, portanto, estabelecer uma alternativa prioritria entre as duas disponveis: a) Funcionamento imediato, com a conscincia de que os rastros deixados pelo intruso podero ser perdidos e o sistema pode continuar comprometido. Neste caso o sistema volta a operao em pouco tempo. b) Permanncia de tempo offline do sistema enquanto for necessria uma investigao forense detalhada, at que o investigador esteja 100% seguro que pde extrair todas as evidncias suficientes para a anlise detalhada. O tempo de permanncia do servio em offline ser influenciado pela possibilidade de existncia de um Plano de Contingncia por parte da corporao para a recuperao do servio.

62

Com relao ao desligamento do sistema, qualquer que seja a escolha do investigador, ela apresentar suas vantagens e desvantagens, devendo ser ponderadas de acordo com a situao. 6.3.3 Itens de Interesse: Explorando a Cena do Crime No s de evidncias digitais que se faz a investigao de um crime ciberntico. O ambiente da prpria corporao tambm pode fornecer muitas pistas teis ao caso. A cena do crime tem muita coisa a oferecer. Itens como notas escritas mo, documentos, rabiscos em papis perto de algum computador, tudo pode ser de valor. No exite em dar uma olhada na lixeira. No s os hackers clssicos dos filmes e da literatura podem achar algo de til l. Disquetes, fitas, cd-roms tambm so objetos de interesse. Todo e qualquer item que for coletado, obrigatoriamente, deve ser catalogado, possuindo uma identificao nica, assim como tambm deve-se documentar a descrio de seu estado original, localizao original, data e hora que foi recolhido e o responsvel pelo mesmo. Costuma-se utilizar etiquetas adesivas no procedimento. O transporte de toda e qualquer evidncia deve ser feito com o mximo de cuidado, procurando preservar a integridade das mesmas. Baseado no First Responder's Manual, alguns pontos devero ser determinados:

o tipo e a classificao do nvel de segurana do trabalho (operaes) normalmente realizado pelo sistema comprometido; a identidade de todos os indivduos com acesso fsico e/ou acesso com senha ao computador envolvido. se o computador faz parte de um ambiente de rede e o tipo de sistema de rede envolvido; se o sistema requer que o usurio faa logon para utiliz-lo se sim, obtenha informaes sobre a senha; os tipos de programas presentes no sistema comprometido, podendo solicitar cpias de quaisquer que no sejam padres.

A cena do crime dever preferencialmente ser fotografada, assim como as evidncias coletadas e a tela do monitor do sistema. As fotografias obtidas devero ser registradas num documento com a identificao de cada uma e a data e hora correspondente.

6.4 A Entrevista
A identificao do pessoal na cena do crime e uma entrevista inicial muito importante. Estamos tratando com um crime e crimes envolvem pessoas. normal que mais de um indivduo tenha acesso a um mesmo sistema. A identificao de todas as partes que possuem este acesso, assim como seus respectivos turnos de servio podem desempenhar um papel importante na determinao de quem cometeu o ataque, caso seja comprovado que o

63

mesmo partiu de dentro da corporao. Neste caso, estariamos tratando com um insider. As entrevistas logo no incio da investigao so extremamente vlidas, visto que o suspeito em potencial ainda no teve tempo suficiente para formular seus libis. Novas entrevistas podero ser realizadas medida que se julgar necessrias.

6.5 Produzindo a Imagem do Disco


Uma das etapas que demandam maior esforo por parte do investigador a busca por evidncias nos dispositivos de armazenagem secundria do sistema comprometido. O procedimento neste caso, aps o desligamento do sistema, a remoo de seus discos a fim de realizar cpias fieis do(s) mesmo(s), chamadas de imagens. Na produo da imagem do disco, a cpia deve ser realizada bit a bit, sem alterao da ordem ou do contedo. O motivo para este procedimento a possibilidade de existncia de informaes ocultas ao sistema de arquivos, de tal forma que sua ausncia pode prejudicar de forma substancial uma investigao. A ferramenta utilizada para este processo ser o dd, nativo do sistema operacional. Exemplo (parte 1):
[root@server]-[~]$ dd if=/dev/hdc of=disco01.img 578277+0 registros de entrada 578277+0 registros de sada 296077824 bytes transferred in 120,291732 seconds (2461331 bytes/sec)

Neste primeiro procedimento, o disco suspeito identificado na estao forense como /dev/hdc, e o comando dd gera um fluxo de bits correspondente ao contedo do disco e o direciona para o arquivo disco01.img. Exemplo (parte 2):
[root@server]-[~]$ dd if=/dev/hdc | md5sum -b 578277+0 registros de entrada 578277+0 registros de sada 296077824 bytes transferred in 109,455812 seconds (2704998 bytes/sec) 509d452da38cd18cb0c6757b9c6b3522 *-

Neste segundo momento verificada a soma criptogrfica do contedo do disco. Exemplo (parte 3):
[root@server]-[~]$ dd if=disco01.img | md5sum -b 578277+0 registros de entrada 578277+0 registros de sada 296077824 bytes transferred in 104,867114 seconds (2823362 bytes/sec) 509d452da38cd18cb0c6757b9c6b3522 *-

E por fim, a soma comparada com a correspondente do arquivo de sada, verificando se tratar de uma cpia perfeita.

64

A partir deste ponto aconselhvel fazer uma nova imagem a partir da primeira obtida e trabalhar nesta ltima. A razo disso evitar ter novos contatos no disco original. Caso algum erro durante a investigao altere alguma evidncia na imagem trabalhada, uma nova pode ser obtida a partir da primeira cpia. As imagens tambm podem ser geradas independentemente para cada partio do disco. Para tanto, a maneira mais confivel visualizar o layout do disco e realizar as operaes novamente utilizando o dd, desta vez fornecendo alguns parmetros adicionais (REIS). Exemplo:
[root@server]-[~]$ fdisk -lu /dev/hda Disk /dev/hda: 255 heads, 63 sectors, 2438 cylinders Units = sectors of 1 * 512 bytes Device Boot Start /dev/hda1 * 63 /dev/hda2 498015 /dev/hda3 18073125 /dev/hda4 27840645 /dev/hda5 27840708 /dev/hda6 35648298 End 498014 18073124 27840644 39166469 35648234 39166469 Blocks 248976 8787555 4883760 5662912+ 3903763+ 1759086 Id 82 83 83 5 83 83 System Linux swap Linux Linux Extended Linux Linux

[root@server]-[~]$ dd if=/dev/hda of=particao02.img bs=512 skip=498015 count=17575110 (...) [root@server]-[~]$ dd if=/dev/hda of=particao03.img bs=512 skip=18073125 count=9767520 (...)

E assim sucessivamente. Caso o investigador deseje fazer um espelhamento do disco suspeito, ele pode usar o mesmo comando dd, partindo da imagem. Exemplo:
[root@server]-[~]$ dd if=/dev/zero of=/dev/hdb [root@server]-[~]$ dd if=disco01.img of=/dev/hdb

O primeiro comando ir zerar o disco que ir receber os bits (/dev/hdb). Aps isso, feita a cpia, bit a bit, da imagem gerada para o novo disco. Como o investigador deve estar ciente, a autenticao via soma criptogrfica deve ser realizada. Para trabalhar com este disco espelhado, um bom mtodo de montagem segundo Dittrich :
[root@server]-[~]$ mount -o ro,noexec,nodev /dev/hdb /mnt/forense

O disco montado em modo somente leitura, sem possibilidade de execuo das aplicaes do disco e ignorando os arquivos do diretrio /dev. Claro que, existindo o interesse em fazer uma anlise dinmica de algum artefato ou o desejo de explorar os arquivos do

65

subdiretrio /dev (muito utilizado para esconder backdoors), as opes de montagens podero mudar. Para maiores informaes, o comando man mount pode ser utilizado.

6.6 A Anlise
Em captulos anteriores foram discutidas algumas formas de obteno de informaes com base em evidncias de diferentes graus de volatilidade. Na etapa de coleta das evidncias, reunida a maior quantidade de material possvel para utilizao na investigao, sejam dumps da memria, trfego de rede e imagens do disco. A posse deste material possibilita a execuo do processo principal da investigao, que a anlise das evidncias digitais. No prximo captulo, sero utilizadas ferramentas nativas do sistema operacional Linux, assim como a ferramenta TCT (The Coroner's Toolkit) para anlise forense das evidncias digitais coletadas, dedicando total ateno ao dispositivo de armazenagem secundria, meio que sempre revelar mais informaes teis investigao. E no apndice que acompanha este trabalho, um caso ilustrativo ser analisado de forma prtica.

66

7 NO LABORATRIO
De posse de um espelho do disco suspeito e montado na estao forense, devemos realizar vrias verificaes no seu contedo a fim de determinar os eventos que consistiram no ataque em questo. Uma listagem cuidadosa dever ser feita nos diretrios responsveis por armazenar logs do sistema, conforme explicado no captulo 2. Ateno especial ao /var/log/, assim como logs de histrico de comandos de usurio (ex: .bash_history). fundamental tambm observar o contedo do arquivo /etc/passwd do sistema comprometido, na tentativa de localizar contas suspeitas de usurios que podem ter sido criadas pelo atacante. Exemplo:
[root@forense]-[~]$ less /mnt/forense/etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:100:sync:/bin:/bin/sync games:x:5:100:games:/usr/games:/bin/sh man:x:6:100:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh r00t:x:0:0:r00t:/root:/bin/bash (...)

No exemplo acima, pode-se notar uma conta de usurio suspeita, de nome r00t e com mesmo uid e gid do root (0), ou seja, possuindo os mesmos acessos. Em caso de ausncia de arquivos importantes durante a verificao (ex: logs do sistema), algumas ferramentas de recuperao podero ser utilizadas, conforme ser visto nas prximas sees.

7.1 debugfs
Debugfs uma ferramenta de debug para o sistema de arquivos ext2 do Linux. A mesma pode ser obtida em <http://e2fsprogs.sourceforge.net> e possibilita, entre vrias opes, a visualizao e recuperao de inodes deletados.
[root@forense]-[~]$ debugfs -R lsdel /dev/hdb5 > deletados.txt debugfs 1.26 (3-Feb-2002)

A opo lsdel do debugfs lista todos os inodes pertencentes partio /dev/hdb5 que esto marcados como deletados, redirecionando a sada desta lista para o arquivo deletados.txt.

67

[root@forense]-[~]$ cat deletados.txt Inode Owner Mode Size Blocks Time deleted 533443 0 120640 2 1/ 1 Sun Oct 3 18:03:37 2004 533541 0 120640 2 1/ 1 Sun Oct 3 18:03:37 2004 2 deleted inodes found.

A listagem fornece o nmero do inode, seu dono, o modo de permisso setado, tamanho, blocos ocupados e a data que foi deletado. Esta uma informao importante para organizar a cronologia dos fatos. O contedo de um inode deletado pode ser recuperado atravs da sintaxe:
[root@forense]-[~]$ inode533541.txt debugfs /dev/hdb5 -R dump -p <533541>

Com isto, a visualizao do contedo do arquivo deletado torna-se agora possvel.

7.2 TCT The Coroner's Toolkit


O TCT, The Coroner's Toolkit, foi desenvolvido por Dan Farmer e Wietse Venema e hoje uma referncia para a anlise forense computacional. Constitudo de um conjunto de ferramentas de cdigo aberto, ele pode ser obtido gratuitamente em <http://www.porcupine.org/forensics/tct.html>. Atualmente o TCT ele apresenta quatro partes principais, que sero apresentadas nas sees seguintes: Grave-robber, Mactime, Unrm e Lazarus. 7.2.1 Grave-robber Considerada a parte central do TCT, grave-robber uma ferramenta que coleta dados atravs da execuo de uma srie de comandos com o intuito de salvar alguns arquivos para anlise. Grave-Robber realiza uma verificao prvia em vrios utilitrios do sistema a fim de garantir que a utilizao destes pode ser feita com segurana. Para tanto, arquivos dos diretrios /etc , /bin e /usr/bin so verificados. recomendado executar o programa sobre o sistema como um todo, embora seja uma operao um tanto quanto demorada. Como sada, grave-robber produz os seguintes arquivos e diretrios (REIS):

body: banco de dados para o programa mactime, contm os atributos dos arquivos analisados; body.S: contm os atributos de todos os arquivos SUID encontrados; command_out: diretrio que contm a sada dos comandos executados pelo graverobber; removed_but_running: diretrio que contm arquivos marcados como deletados mas ainda em execuo no sistema; icat: diretrio com arquivos em execuo no deletados;

68

proc: diretrio que contm cpia dos arquivos do /proc; conf_vault: diretrio que contm os arquivos e diretrios crticos salvos pelo grave-robber; user_vault: diretrio que contm os arquivos e diretrios de usurios salvos pelo grave-robber (ex: arquivos history); trust: diretrio que contm arquivos de relaes de confiana do sistema (ex: . rhosts) MD5_all: assinaturas md5 das sadas geradas pelo grave-robber;

A ferramenta grave-robber gera uma sada que ocupa um espao considervel em disco, portanto o investigador deve ter cautela nesse aspecto e reservar uma rea disponvel. Exemplo:
[root@forense]-[~]$ grave-robber -d grave/ -v -c /mnt/forense/ -o LINUX2 Determining OS (in determine_os()) OS is: LINUX2 Preparing the vault... ... in prepare_config_vault() running the lsof tool... this might take a bit of time (in suck_lsof ()) pipe_command: LSOF /usr/bin/lsof -F0 -| log_item: PIPEFROM_CMD /usr/bin/lsof -F0 Stamping file grave///command_out/lsof0 with date (in &date_stamp()) redirect_command: /bin/date >grave///command_out/lsof0 log_item: REDIRECT_CMD >grave///command_out/lsof0 /bin/date Making MD5 of file grave///command_out/lsof0 (in &sign_it()) (...)

A sada de grave-robber poder ser visualizada no diretrio exemplo grave/, conforme exemplo abaixo:
[root@forense]-[~]$ ls -la grave/ total 32 drwxr-xr-x drwxr-x---rw-rr--rw-rr-drwx-----drwx-----drwx-----drwx------

6 1 1 1 2 2 2 2

root root root root root root root root

root root root root root root root root

4096 4096 1855 169 4096 4096 4096 4096

2004-10-04 2004-10-04 2004-10-04 2004-10-04 2004-10-04 2004-10-04 2004-10-04 2004-10-04

04:37 04:37 04:38 04:37 04:38 04:37 04:38 04:37

. .. body body.S command_out conf_vault proc trust

Oprogramapermiterealizartantoacoletadedadosdeumsistemavivocomodeuma imagemdeumoutrosistema.

69

7.2.2 Mactime Esta ferramenta utiliza-se do arquivo body gerado pelo grave-robber ou de um diretrio-alvo especfico. Seu objetivo gerar uma lista com todos os arquivos que tiveram seu mactime alterado a partir de uma data especfica, passada como parmetro. muito til para isolar aqueles arquivos que foram manipulados durante o perodo que o atacante esteve agindo no sistema, auxiliando na reconstruo da ordem dos eventos que constituiram o ataque. Exemplo:
[root@forense]-[~]$ mactime -d /mnt/forense/bin/ 10/03/200410/04/2004 > alterados.txt

No exemplo acima, a ferramenta mactime armazena no arquivo alterados.txt todos os arquivos que tiveram seu mactime alterado entre 03 e 04 de outubro de 2004. Esta ferramenta extremamente importante para a anlise forense. Exemplo:
[root@forense]-[~]$ Oct 03 04 18:41:26 Oct 03 04 18:50:59 Oct 03 04 23:17:04 Oct 03 04 23:42:34 Oct 03 04 23:42:50 Oct 03 04 23:43:37 Oct 03 04 23:43:38 (...) cat alterados.txt 9752 .a. -rwxr-xr-x 98156 .a. -rwxr-xr-x 26840 .a. -rwxr-xr-x 11884 .a. -rwxr-xr-x 39960 .a. -rwsr-xr-x 76888 .a. -rwsr-xr-x 10936 .a. -rwxr-xr-x root root root root root root root root root root root root root root /bin/sync /bin/netstat /bin/more /bin/kill /bin/umount /bin/mount /bin/echo

7.2.3 Unrm e Lazarus Unrm e Lazarus so duas poderosas ferramentas do TCT utilizadas na recuperao de informao que foi apagada acidentalmente ou propositalmente do sistema, assim como de dados que no podem ser acessados com facilidade. Unrm extrai os blocos de dados no alocados no sistema de arquivos, gerando um fluxo de bits que deve ser direcionado a um local distinto origem e com espao razoavelmente suficiente, visto que sua sada pode ocupar at o mesmo tamanho dos blocos no alocados recuperados. Lazarus por sua vez tenta reconstruir arquivos a partir de um fluxo de bits, geralmente provido por unrm. Segundo Atilio, sua sada pode chegar a ocupar at 120% do espao do fluxo original. Conforme Reis, esta ferramenta l um bloco de dados da entrada, determinando se o formato dos dados texto ou binrio (verificando-se os 10% iniciais dos dados do bloco). Caso seja um arquivo no formato texto, atravs de um teste contra um conjunto de expresses regulares, Lazarus tenta determinar do que se trata. Caso seja binrio, atravs de uma chamada ao comando file, a ferramenta tenta determinar seu tipo. Se no tiver sucesso, ele tenta verificar se os dados esto no formato ELF, representando um binrio executvel. Se o bloco processado reconhecido nos passos anteriores como de determinado tipo, ele marcado como tal. Se ele for de um tipo diferente do bloco processado anteriormente, ele

70

salvo como um novo arquivo, caso contrrio, ele concatenado ao bloco anterior. Se o bloco no for reconhecido nos passos anteriores mas posterior a um bloco reconhecido, ele concatenado a tal bloco, obedecendo ao Princpio da Localidade. Lazarus produz como sada os blocos de dados, um mapa dos blocos com seus tipos e possibilita a gerao de uma sada HTML, facilitando a navegao atravs dos resultados obtidos. Alm da disponibilidade de armazenamento, importante uma boa configurao do SO e processador, visto que a operao destas ferramentas costuma utilizar muito tempo.

71

8 CONCLUSO
A metodologia proposta auxilia de forma significativa na conduo de uma investigao de um crime ciberntico, cobrindo desde as etapas mais bsicas de investigao do local at os detalhamentos dos procedimentos de coleta de evidncias digitais e a utilizao de ferramentas apropriadas para o processo. Estes recursos, aliados a uma srie de procedimentos executados de forma organizada, acabam constituindo um padro para a investigao forense. O presente trabalho tambm buscou demonstrar que fatores psicolgicos do ser humano esto presentes e influenciam na forma como o delito cometido. O entendimento destes fatores e a sua forma de expresso nas evidncias digitais acabam oferecendo recursos adicionais para a investigao, numa forma de buscar caracterizar o indviduo, desde sua motivao, nveis de cautela at caractersticas psicolgicas do mesmo. Estes elementos adicionais contribuem com a forense computacional, constituda at ento de uma anlise puramente lgica, que nem sempre suficiente na elucidao de um crime de natureza digital. No basta descobrir a mquina de onde partiu um determinado ataque ou um login utilizado, e sim identificar o ser humano que cometeu o crime. Na maioria das vezes isso no to fcil. Uma vez que um conjunto de caractersticas do adversrio, incluindo-se a traos psicolgicos do mesmo, vo sendo enumeradas, este trabalho hoje mais eficaz quando o elemento criminoso pertence ao grupo dos insiders. Espera-se com este trabalho contribuir para a pesquisa na rea da forense computacional e da segurana da informao, de forma a abrir novos horizontes e lanar novos estudos no que diz respeito a como aproveitar, da melhor forma possvel, tudo o que um sistema pode revelar sobre um crime ao investigador da era ciberntica. Como trabalhos futuros pretende-se buscar expandir esta metodologia para aplicao direta no caso de indivduos alm do grupo dos insiders, assim como buscar aprofundar as relaes entre o aspecto psicolgico e sua manifestao nas evidncias digitais deixadas por um atacante, adicionando assim novos elementos para a elucidao de um crime ciberntico.

72

REFERNCIAS BIBLIOGRFICAS
ANONYMOUS. Segurana Mxima para Linux. 1a Edio. Rio de Janeiro: Campus, 2000. ATILIO, C. E. Padro ACME! para anlise forense de intruses em sistemas computacionais. 64 fls. Projeto Final de Curso (Bacharelado em Cincia da Computao). IBILCE UNESP So Jos do Rio Preto. 2003. Disponvel online em <http://www.acmesecurity.org/hp_ng/files/testes_monografias/acme-monografia-FORENSE2003cesar.pdf>. Acesso em: maro 2004. BERTELLA, L. M.; Tonin, N. A. A Implementao de uma Rede de Computadores com os Sistemas Operacionais Unix e WindowsNT Utilizando o Protocolo TCP/IP e o Gerenciador de Arquivos Distribudos NFS. Disponvel online em: <http://www.inf.uri.com.br/implementacao.htm>. Acesso em: setembro 2004. CASEY, E. Digital Evidence and Computer Crime. Academic Press, San Diego, California, 2000. CASEY, E. Handbook of Computer Crime Investigation. Academic Press, San Diego, California, 2002. DEPARTMENT OF ENERGY COMPUTER FORENSIC LABORATORY. First Responder's Manual. Disponvel online em <http://downloads.securityfocus.com/library/firstres.pdf>. Acesso em: agosto 2004. DITTRICH, D. Anlisis Forense de Sistemas GNU/Linux, Unix. Disponvel online em <http://br.groups.yahoo.com/PericiaForense/files/Analisis_Forense_GNU_Linux_Unix.zip>. Acesso em: maro 2004. DONATO, L. D.; FAGUNDES, M. S.; COSTA, G. R. Uma Anlise da Tcnica de Footprint no Processo de Levantamento de Informaes. In: XII Congresso de Iniciao Cientfica UFPel, 2003, Pelotas. Anais.. Pelotas. Ext2fs Home Page. Disponvel online em <http://e2fsprogs.sourceforge.net/ext2.html>. Acesso em: setembro 2004. FREITAS, A. R. de. Percia Forense Aplicada Informtica. Trabalho para o curso de Ps Graduao em Internet Security IBPI. 2003. Disponvel online em <http://www.underlinux.com.br/doc/pdf/forense.pdf>. Acesso: maro 2004. GRAHAM, R. FAQ: Firewall Forensics (What I am seeing?). Disponvel online em: <http://www.robertgraham.com/pubs/firewall-seen.html>Acessoem:setembro2004. INNES, B. Profile of a Criminal Mind: How Psychological Profiling Helps Solve True Crimes. 1a Edio. Pleasantville: Reader's Digest, 2003.

73

INTERNET ASSIGNED NUMBERS AUTHORITY IANA. Port Numbers. Disponvel online em <http://www.iana.org/assignments/port-numbers>. Acesso em: setembro 2004. KOLB, L.C. Psiquiatria Clnica Moderna. 5a Edio. Mxico: La Prensa Mdica Mexicana, 1976. LEMOS, R. P. Percia Psiquiatrica Criminal Tentativa de Sistematizao. 1974. 79 fls. Faculdade de Medicina, UFPel, Pelotas. MITNICK, K. D. A Arte de Enganar. 1a Edio. So Paulo: Pearson Education do Brasil Ltda, 2003. NOBLETT, M. G.; Pollitt, M. M.; Presley, L. A. Recovering and Examining Computer Forensic Evidence. Forensic Science Communications, Volume 2, Nmero 4, Outubro de 2000. U.S. Department of Justice, Federal Bureau of Investigation. Disponvel online em <http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm>. Acesso em: setembro 2004. PARKER, T. et al. Cyber Adversary Characterization Auditing the Hacker Mind. 1a Edio. Rockland: Syngress Publishing, 2004. RAMSLAND, K. The Criminal Mind A Writer's Guide to Forensic Psychology. 1a Edio. Cincinnati: Writer's Digest Books, 2002. REIK, T. Psicoanalisis Del Crimen. 1a Edio. Buenos Aires: Editorial Paids, 1965. REIS, M. A. dos; GEUS, P. L. de: Anlise Forense de Intruses em Sistemas Computacionais: Tcnicas, Procedimentos e Ferramentas. In: I SEMINRIO NACIONAL DE PERCIA EM CRIMES DE INFORMTICA, 2002, Macei. Anais... Macei. Disponvel online em <http://www.dcc.unicamp.br/~ra000504/papers/Forense_SemCrim2002.pdf>. Acesso em: maro 2004. ROGERS, M. A New Hacker Taxonomy. 2000. Disponvel online em <http://www.cerias.purdue.edu/homes/mkr/hacker.doc>. Acesso em: julho 2004. ROGERS, M. A Social Learning Theory and Moral Disengagment Analisys of Criminal Computer Behavior: An Exploratory Study. 233fls. Tese (Doutorado em Filosofia) Department of Psychology, University of Manitopa, Winnipeg, Manitoba. 2001. Disponvel online em <http://www.cerias.purdue.edu/homes/mkr/cybercrime-thesis.pdf>. Acesso em: julho 2004. ROGERS, M. Preliminary findings: Understanding Criminal Computer Behavior: A Personality Trait and Moral Choice Analisys. 2003. Disponvel online em <http://www.cerias.purdue.edu/homes/mkr/CPA.doc>. Acesso em: maio 2004. ROGERS, M. Psychologies Theories of Crime and 'Hacking'. 2000. Disponvel online em

74

<http://www.cerias.purdue.edu/homes/mkr/crime.doc>. Acesso em: maio 2004. SCHWEITZER, D. Incident Response: Computer Forensics Toolkit. John Wiley & Sons, 2003. p. 1-26. Disponvel online em : <http://www.net-security.org/dl/reviews/0764526367.pdf>. Acesso em: abril 2004. SWGDE - SCIENTIFIC WORKING GROUP FOR DIGITAL EVIDENCE Best Practices For Digital Evidence Laboratory Programs. Disponvel online em: <http://ncfs.org/swgde/documents/swgde2003/BestPractices.pdf>. Acesso em: outubro 2004. SHAW, E. D.; Ruby, K. G.; Post, J. M. The Insider Threat to Information Systems. Political Psychology Associates, Ltd. 2001. Disponvel online em <http://www.wasc.noaa.gov/wrso/security_guide/infosys.htm>. Acesso em: setembro 2004. SILBERSCHATZ, A; Galvin, P. Sistemas Operacionais: Conceitos. 5a Edio. Makron Books, 2000. SILVA, A. C. P. e. Psiquiatria Clnica e Forense. 2a Edio. So Paulo: Editora Renascena, 1951. SILVA, G. M. da. Guia Foca GNU/Linux. 2004. Disponvel online em: <http://focalinux.cipsga.org.br>. Acesso em: fevereiro 2004. STALLINGS, W. Arquitetura e Organizao de Computadores. 5a Edio. Makron Books., 2002. STEVENS, W. R. TCP/IP Illustrated, Volume 1 - The Protocols. Addison Wesley, 1994. TANENBAUM, A. S. Distributed Operating Systems. Prentice Hall, 1995. TANENBAUM, A. S. Modern Operating Systems. Prentice Hall, 1992. TANENBAUM, A. S. Redes de Computadores. Traduo da 3a Edio. Rio de Janeiro: Campus, 1997. U.S. DEPARTMENT OF JUSTICE OFFICE OF JUSTICE PROGRAMS NATIONAL INSTITUTE OF JUSTICE. Eletronic Crime Scene Investigation A Guide for First Responders. Disponvel online em <http://www.ncjrs.org/pdffiles1/nij/187736.pdf>. Acesso em: agosto 2004. VERTON, D. Confisses de Hackers Adolescentes. 1a Edio. So Paulo: Editora Berkeley, 2002. WARREN, G. ; Kruse II; Heiser J. G. Computer Forensics: Incident Response Essentials. Addison-Wesley, Massachusetts, 2002.

75

APNDICE
Este apndice tem como objetivo ilustrar os principais aspectos de um caso fictcio de forma prtica, numa maneira de apresentar ao leitor a aplicao dos conceitos explicados no presente trabalho e a relao existente entre os mesmos. Imagine uma empresa do setor de tecnologia, chamada New Technologies. A New Technologies uma empresa iniciante no ramo, no muito conhecida, mas que possui certa clientela e um faturamento anual que est em crescimento. A corporao dividida em diversos setores, dentre os quais se destacam: a Contabilidade, a Logstica, o Desenvolvimento e a Administrao. A empresa tambm conta com o seu CPD, onde se localizam servidores de desenvolvimento assim como um servidor internet. Na noite de 15 de julho, uma quinta-feira, o servidor internet da empresa teve sua pgina principal desfigurada. A mesma foi substituda pelo atacante por outra que exibida abaixo:

Figura A.1: Pgina desfigurada da New Technologies

A reproduo do contedo da pgina alterada segue abaixo: owned by dragon owned? Sim, eh isso mesmo que voce esta vendo.. NEW TECHNOLOGIES is OWNED! Que isso sirva de licao para esta empresa dirigida por PORCOS CAPITALISTAS! Hey admin, nada contra vc, mas vc merece um emprego num lugar melhor! >=) Os administradores da corporao contatam uma empresa especializada em segurana no perodo da manh de sexta. A equipe de investigadores forenses chega ao local em menos de uma hora. A cena do crime encontrava-se isolada pelo administrador de rede e dois scios da firma. Esse administrador, ao saber do ataque, verificou se o atacante ainda estava logado e,

76

como no detectou ningum, resolveu puxar diretamente o cabo da tomada, interrompendo, desta forma, o fornecimento de energia ao servidor. A pgina encontra-se indisponvel desde ento. No primeiro contato com o pessoal responsvel, algumas informaes ganharam maior importncia. Os nicos funcionrios que tinham acesso ao servidor internet eram o seu administrador (login root e joao), o webmaster (login webmaster) e o pessoal do setor de desenvolvimento (logins devel1 a devel5). As suspeitas, segundo o administrador e os scios, recaem inicialmente na concorrncia, em algum empregado insatisfeito (embora no existissem atritos aparentemente, alguns seriam demitidos no final daquela semana) ou, ainda, em algum hacker annimo da internet. Porm, j dizia o clebre personagem Sherlock Holmes na obra A Aventura da Segunda Mancha, de Sir Arthur Conan Doyle: um erro fundamental teorizar antes de se conhecerem os fatos. Vamos ento a eles. O esquema da rede da corporao, de modo resumido, apresenta-se abaixo. Todas as mquinas possuem o sistema operacional GNU/Linux. Setor Internet (CPD) -> 2 funcionrios. Logins root e webmaster 5 mquina de IP 10.1.1.1 a 10.1.1.5 - Servidor Web: 10.1.1.1 Setor Administrativo -> 5 funcionrios. Cada um com acesso (root) sua mquina. 5 mquinas de IP 10.1.2.1 a 10.1.2.5 (admin1.localnet a admin5.localnet) Setor Logstica -> 2 funcionrios. Login (root) e senha compartilhados. 1 mquina de IP 10.1.3.1 (logistica.localnet) Setor Contabilidade -> 3 funcionrios. Login (root) e senha compartilhados. 1 mquina de IP 10.1.4.1 (contab.localnet) Setor Desenvolvimento -> 5 funcionrios. Cada um com acesso (root) sua mquina. 5 mquinas de IP 10.1.5.1 a 10.1.5.5 (devel1.localnet a devel5.localnet) O servidor internet da empresa mantinha ativos os servios ftp (porta 21) para transferncia de arquivos, ssh (porta 22) para acesso remoto, postfix para emails (porta 25) e www (porta 80) para disponibilizar a pgina da empresa. Tambm utilizava um firewall no prprio sistema (iptables). O equipamento recolhido e o espelhamento do disco do sistema comprometido realizado, sendo montado na estao forense da equipe:
[root@forense]-[~]$ mount -o ro /dev/hdb /mnt/forense

importante salientar a utilizao dos arquivos /etc/passwd e /etc/group da mquina comprometida a fim de que no exista problemas com relao a UID's equivalentes em ambos os sistemas mas usurios distintos. Uma busca inicial no diretrio /var/www , responsvel pelo armazenamento da pgina, disponibiliza o seguinte resultado:

77

[root@forense]-[~]$ ls -la /mnt/forense/var/www/ total 52 drwxr-xr-x 11 root root 4096 Jul 15 drwxr-xr-x 15 root root 4096 Jun 28 drwxrwsr-x 2 root webmaster 4096 Jul 11 -rw-rwsr-1 root webmaster 5170 Jul 15 drwxr-xr-x 2 root root 4096 May 25 drwxr-xr-x 2 root root 4096 Jun 20

21:14 01:51 16:01 20:21 14:22 21:07

. .. data index.html mail pictures

Aqui tem-se como primeiro indcio a ltima alterao da pgina principal index.html, na noite de 15 de julho s 20h21. Analisando-se o contedo da pgina, pode-se desenvolver vrios raciocnios. Existe uma idia de desafio, de confronto. A repetio do termo owned? (algo como dominado) deixa isso bem evidente. O atacante confronta algum exclamando que conseguiu invadir o sistema. Fica mais do que claro que existe tal agresso direta aos dirigentes da empresa (chamados de porcos capitalistas no exemplo). Porm, a empresa ainda nova e um tanto desconhecida no ramo, o que nos leva a crer que as chances de ser um hacker annimo da internet no so muito grandes. As chances so maiores se considerarmos um cliente insatisfeito ou um empregado da prpria empresa. No podemos esquecer que o alvo humano do ataque foram figuras que representam autoridade. Isso poder ser til, um primeiro passo para a determinao do POR QU? e do tipo de adversrio. O termo owned tpico do ambiente underground, muito presente em salas de bate papo relacionadas. Existe uma considervel chance do indivduo pertencer a tal meio, assim como pertencer a uma faixa etria entre adolescente ou adulto jovem. A forma de escrever tambm leva a crer nisto. O atacante termina sua frase com um emoticon ( >=) ), o que acaba sendo um ltimo reforo para tal hiptese. O recado ao administrador do sistema bem interessante. Ele no o alvo do ataque. O atacante inclusive deixa isto bem claro. A afirmao merece um emprego num lugar melhor leva a acreditar que existe um problema com relao empresa e aos seus dirigentes. Em nenhum momento a qualidade do trabalho do administrador foi questionada, pelo contrrio. Isso pode conduzir a duas hipteses. Ou o atacante conhece o administrador, ou o atacante acabou se deparando com um sistema bem trabalhado e concluiu que o administrador algum qualificado. Isto poder ser melhor determinado no decorrer da investigao. Como a imensa maioria das pichaes de pginas, uma assinatura se faz presente. O nickname dragon assinalado como o responsvel pelo ataque. Naturalmente, algum que pode ser encontrado com tal nickname em chats ou tambm em outros ataques cibernticos, caso contrrio, a assinatura no teria utilidade alguma. Um atacante no assinaria outro nome, ele no consegue passar a responsabilidade e o sucesso do ato para outra pessoa. Sua assinatura a sua confisso. Questionando o administrador, ningum conhecido foi relacionado com o nickname. Analisando-se o cdigo html da pgina, no foram encontradas qualquer tipo de mensagem oculta ou algo do gnero. Trata-se de um cdigo html feito mo e bastante simples. Revela poucas informaes:

78

- conhecimentos bsicos em html; - cdigo simples, podendo ser editado durante a conexo no sistema (depender do tempo de permanncia do atacante logado); - uma discreta organizao na estrutura do cdigo personalidade possivelmente organizada na vida real.
<html> <head><title>owned by dragon</title></head> <body bgcolor=black text=white> <center> &nbsp<p> <font face=arial size=8>owned?</font> &nbsp<p>&nbsp<p> <font face=arial size=4> Sim, eh isso mesmo que voce esta vendo.. <p> NEW TECHNOLOGIES is OWNED!<p> &nbsp<p>&nbsp<p> Que isso sirva de licao para esta empresa dirigida por PORCOS CAPITALISTAS!<p> &nbsp<p>&nbsp<p>&nbsp<p> </font> <font face=arial size=2> Hey admin, nada contra vc, mas vc merece um emprego num lugar melhor! >=)<p> </font> </center> </body> </html>

Aps esta srie de raciocnios de carter psicolgico, voltamos nossa anlise lgica do sistema. Fazendo uma listagem nos arquivos de log do sistema (diretrio /var/log), tem-se como resposta:

[root@forense]-[~]$ ls -la /mnt/forense/var/log/ total 1765 drwxr-xr-x 10 root root 4096 Jul 15 22:12 drwxr-xr-x 15 root root 4096 Jun 28 01:51 -rw-r--r-1 root root 3498 Jul 12 06:10 -rw-r--r-1 root root 5648 Jul 14 22:11 -rw-r----1 root adm 0 Jun 14 06:47 -rw-r----1 root adm 386964 Jul 14 22:20 -rw-r----1 root adm 386964 Jul 14 22:20 -rw-r----1 root adm 32957 Jul 14 22:21 -rw-r----1 root adm 1308 Jul 15 06:26 -rw-r----1 root adm 468847 Jul 15 06:26 -rw-r----1 root adm 468847 Jul 14 06:26 -rw-r----1 root adm 0 Jul 15 06:47 -rw-r--r-1 root root 0 Jul 14 14:14 -rw-rw-r-1 root utmp 3844 Jul 16 08:05

. .. debug dmesg mail.err mail.info mail.log mail.warn setuid.changes setuid.today setuid.yesterday user.log uucp.log wtmp

79

Parece que estamos lidando com um indivduo que, alm de ter alguma organizao, tem um pouco de cautela. Fica evidente que alguns arquivos importantes como auth.log, daemon.log, syslog e messages foram propositalmente apagados pelo atacante, a fim de dificultar sua deteco. A ferramenta debugfs utilizada aqui para tentar a recuperao destas informaes.
[root@forense]-[~]$ debugfs -R lsdel /dev/hdb2 > deletados.txt

Consultando a lista dos inodes marcados como deletados, os seguintes foram selecionados com base na data de deleo:
Inode (...) 533539 533541 533543 533544 533784 (...) Owner 0 0 0 0 1003 Mode 100644 100644 100644 100644 100755 Size 6502 4132 3112 3112 205 Blocks 1/ 1/ 1/ 1/ 1/ 2 1 1 1 1 Thu Thu Thu Thu Thu Time deleted Jul Jul Jul Jul Jul 15 15 15 15 15 20:24:26 20:24:30 20:24:34 20:24:34 20:25:17 2004 2004 2004 2004 2004

Realizando a recuperao do contedo atravs de debugfs:


[root@forense]-[~]$ arquivo533539 debugfs /dev/hdb2 -R dump -p <533539>

Tentando determinar que tipo de arquivo foi recuperado:


[root@forense]-[~]$ file arquivo533539 arquivo533539: ASCII English Text

Bom sinal, isto significa que podemos visualizar seu contedo simplesmente atravs de um comando como less por exemplo:
[root@forense]-[~]$ less arquivo533539 Jul 12 00:15:53 server init: Switching to runlevel: 0 Jul 12 02:00:00 internet proftpd[4452]: internet - ProFTPD 1.2.9 (stable) (built do mrt 22 18:28:32 CET 2001) standalone mode STARTUP Jul 12 08:38:28 internet proftpd[4773]: devel1 (devel1.localnet [10.1.5.1]) - FTP session opened. Jul 12 08:40:14 internet proftpd[4773]: devel1 (devel1.localnet [10.1.5.1]) - FTP session closed. Jul 12 10:15:20 internet proftpd[5221]: devel5 (devel5.localnet [10.1.5.5]) - FTP session opened. Jul 12 10:15:44 internet proftpd[5221]: devel5 (devel5.localnet [10.1.5.5]) - FTP session closed. Jul 12 14:11:00 internet proftpd[6016]: devel4 (devel4.localnet [10.1.5.4]) - FTP session opened. Jul 12 14:12:14 internet proftpd[6016]: devel4 (devel4.localnet [10.1.5.4]) - FTP session closed. (...) Jul 14 13:14:22 internet proftpd[19862]: home (200-200-101-

80

102.provedor.com.br[200.200.101.102]) - FTP session opened. Jul 14 13:14:58 internet proftpd[19862]: home (200-200-101102.provedor.com.br[200.200.101.102]) - FTP session closed. (...) Jul 15 19:50:01 internet proftpd[26112]: devel2 (devel2.localnet [10.1.5.2]) - FTP session opened. Jul 15 19:53:26 internet proftpd[26112]: devel2 (devel2.localnet [10.1.5.2]) - FTP session closed. Jul 15 19:59:00 internet proftpd[26186]: devel3 (devel3.localnet [10.1.5.3]) - FTP session opened. Jul 15 19:59:17 internet proftpd[26186]: devel3 (devel3.localnet [10.1.5.3]) - FTP session closed.

Como pode ser observado, trata-se de um log do sistema, mais especficamente o daemon.log, responsvel por registrar atividades de alguns daemons do Linux como neste caso, atividades do servidor FTP proftpd. Aqui, sua sada apresentada de forma resumida. Algumas informaes podem ser extradas com base na anlise desta evidncia. O servio FTP predominantemente acessado pelo pessoal do setor de desenvolvimento (devel) dentro da rede interna, e um mnimo de conexes parte da internet. Estas ltimas, aps questionamento aos responsveis, foram identificados como sendo o prprio administrador. Na sada apresentada, mostrado o primeiro login de cada usurio que se utilizou do servio durante o perodo de 12 a 15 de julho. Abaixo utilizamos o arquivo wtmp para verificar os ltimos logons no sistema:
[root@forense]-[~]$ last -f /mnt/forense/var/log/wtmp devel3 ttyp0 10.1.5.3 Thu Jul 15 20:19 - 20:25 devel3 ftpd26186 10.1.5.3 Thu Jul 15 19:59 - 19:59 devel2 ftpd26112 10.1.5.2 Thu Jul 15 19:50 - 19:53 webmaster ttyp0 10.1.1.2 Thu Jul 15 16:36 - 16:51 devel4 ftpd25566 10.1.5.4 Thu Jul 15 15:48 - 16:11 devel1 ttyp0 10.1.5.1 Thu Jul 15 14:05 - 14:32

(00:06) (00:00) (00:03) (00:15) (00:23) (00:28)

Um dado muito importante pode ser obtido nesta anlise. O ltimo login que se conectou ao sistema foi devel3, partindo do IP 10.1.5.3 (mquina interna da rede, setor de desenvolvimento) atravs do servio SSH (porta 22). Antes deste, o mesmo login e mquina foi utilizado para conectar-se ao servio FTP (porta 21) do servidor. A partir desde exato momento, as chances de que o autor do crime tratar-se de um insider aumentaram consideravelmente. Observa-se abaixo trecho do contedo recuperado de auth.log:
Jul 15 19:50:01 internet devel2 by (uid=0) Jul 15 19:50:01 internet USER devel2: Login successful. Jul 15 19:53:26 internet devel2 Jul 15 19:59:00 internet devel3 by (uid=0) Jul 15 19:59:00 internet USER devel3: Login successful. Jul 15 19:59:17 internet devel3 proftpd: (pam_unix) session opened for user proftpd[26112]: devel2 (devel2[10.1.5.2]) proftpd: (pam_unix) session closed for user proftpd: (pam_unix) session opened for user proftpd[26186]: devel3 (devel3[10.1.5.3]) proftpd: (pam_unix) session closed for user

81

Jul 15 20:19:26 internet sshd[26218]: Accepted keyboardinteractive/pam for devel3 from 10.1.5.3 port 33319 ssh2 Jul 15 20:19:26 internet sshd[26222]: (pam_unix) session opened for user devel3 by (uid=0) Jul 15 20:25:33 internet sshd[26222]: (pam_unix) session closed for user devel3

Assim como wtmp, auth.log uma tambm uma importante fonte de informao, neste caso confirmando os dados obtidos anteriormente. Reconstruindo os eventos, aps um login ao servio FTP por devel2, ocorreu o login por parte de devel3 neste mesmo servio e logo em seguida o mesmo login foi utilizado para uma conexo ao servio SSH. A informao do administrador e os logs indicam que no havia mais ningum na cena no momento do delito, logo, a investigao dirige-se ao responsvel pelo login devel3 como principal suspeito do crime. Uma anlise no diretrio /home/devel3 revela que o arquivo de registro de comando executados na shell bash, o .bash_history , no foi deletado e est disponvel para visualizao. Este fato no costuma ocorrer com grande frequncia, mas ser assim exposto para fins didticos e para facilitar a explicao. Segue trecho de seu contedo:
(...) ls -al vim cliente.c vim logon.php cp *.php ~/backup/php/ cp *.c ~/backup/c/ date exit uname -a <- incio da ltima conexo ls -la cd / ls -la cd var/ ls -la cd www ls -la cd /home/devel3/ wget http://www.paraiso-dos-h4x0rs.net/t00ls/ptrace.c gcc -o ptrace ptrace.c vi ptrace.c gcc -o ptrace ptrace.c ./ptrace rm ptrace* cd /var/log ls -la rm auth.log daemon.log messages syslog exit <- final da ltima conexo

Fica evidente que na ltima conexo SSH o usurio devel3 baixa um exploit local de um site pblico e compila na sua prpria home, executando-o, aps algum tempo, com sucesso. Depois isso, ele apaga a ferramenta e desconecta do sistema. A suspeita maior que esta ferramenta tenha lhe concedido poderes de root, uma vez que somente este usurio e o grupo webmaster tm acesso a escrita em index.html. Para tanto, a anlise da ferramenta, recuperada junto com outros arquivos deletados, torna-se fundamental nesta etapa da investigao.

82

/* * Linux kernel do_brk vma overflow exploit. * * The bug was found by Paul (IhaQueR) Starzetz <paul@isec.pl> * (...)

O arquivo realmente um exploit, programado em linguagem C, que explora uma conhecida vulnerabilidade de kernel na funo do_brk() que permite ao atacante obter acesso mximo (root) ao sistema. Analisando a execuo da ferramenta em ambiente controlado, temos como resultado:
[usuario@cobaia]-[~]$ gcc -o ptrace ptrace.c [usuario@cobaia]-[~]$ ./ptrace [+] Attached to 2780 [+] Signal caught [+] Shellcode placed at 0x4000e9b4 [+] Now wait for suid shell... sh-2.03# id uid=0(root) gid=0(root) groups=0(root) sh-2.03#

Realmente obtemos root no sistema. Foi desta forma que o usurio devel3 elevou seus privilgios, obtendo acesso para poder fazer a alterao na pgina index.html da New Technologies. A ferramenta em questo facilmente obtida na internet. Em virtude do atacante necessitar modificar parte do seu cdigo para conseguir compil-la com sucesso, isso leva a crer que o mesmo possui alguma habilidade em programao mas provavelmente no dispe de um arsenal de ferramentas mais poderoso. Verses mais atuais do kernel no so vulnerveis, o que indica que o administrador no tinha cuidados suficientes com a segurana. Esta ltima afirmativa aumentam as chances de que o comentrio do atacante destinado ao administrador tenha levado em considerao o fato de se conhecerem, ao invs de ser devido competncia do seu bom trabalho. Por sua vez, a utilizao do comando uname -a logo na entrada pode indicar que o atacante no tinha conhecimento anterior sobre qual era a verso do sistema alvo, tpico de quem est utilizando o sistema pela primeira vez. Alm do mais, ele vai explorando os diretrios passo a passo, o que pode reforar tal hiptese. Claro que existe a possibilidade (menor) de que o mesmo poderia estar executando um staging, de qualquer forma esta informao ser bastante valiosa na concluso da investigao. Nunca podemos esquecer que este tipo de profiling baseado em hipteses provveis. Analisando o registro dos logs gerados pelo firewall iptables em syslog (arquivo recuperado), os seguintes dados relevantes foram registrados:
FIREWALL: FIREWALL: FIREWALL: FIREWALL: FIREWALL: Jul Jul Jul Jul Jul 12 12 12 12 12 8:10:10 8:10:15 8:10:20 8:10:25 8:10:30 SRC=10.1.4.1 SRC=10.1.4.1 SRC=10.1.4.1 SRC=10.1.4.1 SRC=10.1.4.1 DST=10.1.1.1 DST=10.1.1.1 DST=10.1.1.1 DST=10.1.1.1 DST=10.1.1.1 PROTO=TCP PROTO=TCP PROTO=TCP PROTO=TCP PROTO=TCP SPT=31226 SPT=31227 SPT=31228 SPT=31229 SPT=31230 DPT=0 DPT=1 DPT=2 DPT=3 DPT=4

83

FIREWALL: Jul 12 8:10:35 SRC=10.1.4.1 DST=10.1.1.1 PROTO=TCP SPT=31231 DPT=5 (...) FIREWALL: Jul 12 8:21:50 SRC=10.1.4.1 DST=10.1.1.1 PROTO=TCP SPT=32249 DPT=139 FIREWALL: Jul 12 8:21:55 SRC=10.1.4.1 DST=10.1.1.1 PROTO=TCP SPT=32250 DPT=140

Foi registrada uma varredura de portas, desde a porta 0 at a porta 140 do servidor 10.1.1.1 partindo do IP 10.1.4.1, atravs de um scanning que verificava o estado de 1 porta a cada 5 segundos. Um scanning com um mnimo de cautela, porm ainda assim com certa pressa, j que intervalos maiores so mais difceis de serem detectados mas resultam num processo mais lento. Esta varredura ocorreu no dia 12 de julho, uma segunda-feira. Outras verificaes foram realizadas no sistema comprometido mas nenhum resultado adicional foi incorporado investigao. A ferramenta chkrootkit (disponvel em <http://www.chkrootkit.org>) tambm foi utilizada na procura por rootkits instalados, sem retornar nenhum. O prximo passo da investigao foi analisar a mquina devel3.localnet, de IP 10.1.5.3. Questionado sobre as chances do responsvel pelo login devel3 ser o atacante, o administrador mostrou-se surpreso, dizendo que no faria sentido j que aparentemente no existiria motivos para tal ao. O responsvel (devel3) foi interrogado novamente e confirmou a verso do administrador. Diz que no utilizou o acesso remoto via SSH naquela data, porm confirmou uma transferncia FTP e forneceu um horrio que coincidiu com o registro dos logs. Por fim, disse que no acredita que mais algum tivesse sua senha mas que no v outra explicao plausvel. um homem de 35 anos, com bons relacionamentos costrudos em dois anos de trabalho na empresa. Trabalha com programao em scripts PHP e com Banco de Dados MySQL apenas. A partir deste momento o setor de desenvolvimento foi isolado para investigao. Na mquina de onde os ataques partiram, devel3.localnet, no foi encontrado nenhum tipo de arquivo malicioso ou outra forma de comprometimento. Apenas o servio SSH roda na mesma. Analisando os logs, foram encontradas as seguintes entradas interessantes: Em wtmp:
root root root root (...) ttyp0 tty1 tty1 tty1 10.1.4.1 Thu Thu Thu Thu Jul Jul Jul Jul 15 15 15 15 20:19 16:06 14:25 10:15 20:25 20:01 15:16 11:40 (00:06) (03:55) (00:51) (01:25)

Em auth.log:
Jul 15 20:19:08 devel3 sshd[2132]: Accepted keyboard-interactive/pam for root from 10.1.4.1 port 32751 ssh2 Jul 15 20:19:08 devel3 sshd[2132]: (pam_unix) session opened for user root by (uid=0) Jul 15 20:25:37 devel3 sshd[2132]: (pam_unix) session closed for user root

84

Em .bash_history:
(...) exit ls -la ssh devel3@10.1.1.1 exit

Claramente observvel que a mquina da contabilidade (de IP 10.1.4.1) estava acessando a mquina devel3.localnet no momento que o crime ocorreu. Nenhum dos trs funcionrios da contabilidade teria acesso normal senha da mquina utilizada para o delito. Tambm no havia outro usurio logado no sistema naquele horrio. Aparentemente tem-se a situao em que a mquina devel3 foi utilizada como ponte para o ataque. Nenhum outro rastro importante foi encontrado. Um padro foi identificado aps analisar as mquinas restantes do setor de desenvolvimento. Em todas elas, foram registradas tentativas de login ao servio SSH por parte de 10.1.4.1 porm sem sucesso. Essas tentativas ocorriam aps as respectivas mquinas terem efetuado login ao servio FTP do servidor internet da empresa. Questionando os responsveis pelas mquinas, foi constatado que apenas o usurio de devel3 utilizava a mesma senha em ambas as mquinas. Isso indica que o atacante poderia estar obtendo as senhas das conexes FTP e tentava utiliz-las no SSH das mquinas em questo. No caso de devel3, ele conseguiu e pde utiliz-la como ponte para mascarar sua origem. Segue o exemplo do caso de devel2: No servidor:
Jul 15 19:50:01 internet [10.1.5.2]) - FTP session opened. proftpd[26112]: devel2 (devel2.localnet

Na mquina devel2:
Jul 15 19:56:13 devel2 sshd[1415]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.4.1 user=root Jul 15 19:56:15 devel2 sshd[1415]: error: PAM: Authentication failure for root from 10.1.4.1

A mquina da contabilidade por sua vez foi isolada. A mesma no continha nenhum servio rodando. Os logs acusam de atividade na mesma nos perodos abaixo:
root root root root (...) tty1 tty1 tty1 tty1 Thu Thu Thu Thu Jul Jul Jul Jul 15 15 15 15 19:31 17:44 16:49 16:10 20:27 18:30 17:22 16:41 (00:56) (00:46) (00:33) (00:31)

Os trs empregados da contabilidade chamam-se Andr (28 anos), Bertoldo (19 anos) e Cssio (22 anos). Cada empregado utilizou naquela data a mquina nos perodos de 16:10, 16:49 e 17:44 respectivamente. Os mesmos forneceram tais horrios com pouca margem de erro. Nenhum deles admitiu o uso local da mquina aps as 19:30, ningum soube informar quem esteve na sala naquele perodo e nenhuma outra pessoa na empresa tinha acesso fsico

85

sala ou ao computador. Foi encontrado um artefato que aps analise dinmica comprovou se tratar de um sniffer simples de rede. Este sniffer monitorava o trfego da pequena rede da empresa e gravava os logins para a mquina do servidor em um arquivo sniff.log:
Date Jul Jul Jul Jul Jul 15 15 12 12 12 19:58:55 19:49:56 14:10:55 10:15:15 08:38:23 Origin 10.1.5.3 10.1.5.2 10.1.5.4 10.1.5.5 10.1.5.1 Dest 10.1.1.1 10.1.1.1 10.1.1.1 10.1.1.1 10.1.1.1 Port 21 21 21 21 21 Login devel3 devel2 devel4 devel5 devel1 Pass xd3v3lx fubica 05064819 abc321 blah!@#

Nenhuma forma de acesso externo foi utilizada para 10.1.4.1, o ataque teve como incio esta mquina e a forense computacional esbarra no seu limite. Podemos atravs de uma metodologia obtermos a origem de um ataque, assim como reconstruir os passos, at chegarmos a um responsvel. Em termos digitais, este responsvel identificado com um login. Porm nem sempre suficiente. A mquina da contabilidade, de IP 10.1.4.1 possui trs pessoas com acesso a ela, utilizando o mesmo login (root) e a mesma senha. No teramos como avanar muito alm disso, a no ser que se busque recursos adicionais. Justifica-se a tcnicas como o profiling utilizado, que busca adicionar tais recursos que uma anlise meramente lgica e fria no fornece. Observamos que a motivao do atacante para cometer o delito teve incio no princpio da semana, inicialmente atravs de um scanning de portas na mquina alvo e depois com a ativao do sniffer, utilizado para farejar as primeiras tentativas de conexo FTP de cada mquina devel que tinha acesso ao servidor. O protocolo FTP foi escolhido por no criptografar a autenticao com o servidor, ao contrrio do SSH. O atacante sabe como organizar a sequncia de um ataque. Possui determinao, visto que levou alguns dias para concluir seu objetivo sem desistir. Tinha alguma noo dos riscos de ser detectado e tomou algumas precaues para isso, mas sua impulsividade acabou atrapalhando em alguns poucos aspectos. Fez uma enumerao razovel nos servios do sistema alvo, demonstrando algum conhecimento em redes de computadores e soube escolher bem uma ttica para obter um ponto de entrada. Possivelmente j realizou outros ataques anteriormente. Nota-se que o atacante algum com uma certa cautela, mas ainda assim com considervel impulsividade: assim que obteve o login em uma mquina intermediria para cometer o crime, ele no esperou nem mais um momento, desferindo o seu ataque nos minutos seguintes. Alm da impulsividade, o sentimento de vingana ficou evidente. Possui contato com o underground mas com influncia limitada, visto que no demonstrou possuir um arsenal mais qualificado de ferramentas. Sabe o funcionamento bsico de um exploit e possui alguma capacidade para corrigir o cdigo obtido. Informando-se com os responsveis pela empresa, na sexta-feira anterior houve um comunicado de que alguns funcionrios seriam demitidos no final da prxima semana, o que poderia servir de motivo para um possvel ato de vingana. Entre tais empregados, dois eram pertencentes contabilidade, Andr e Bertoldo. O conjunto de todas as caractersticas citadas do indivduo durante o decorrer desta investigao foram fornecidas aos responsveis, que acabaram indicando que Bertoldo, aquele rapaz habilidoso e de poucos amigos se encaixava no perfil com muito mais preciso que seu colega de departamento. Aps um interrogatrio, o rapaz acabou confessando a autoria do delito.