Escolar Documentos
Profissional Documentos
Cultura Documentos
Perícia Forense Aplicada A Informatica PDF
Perícia Forense Aplicada A Informatica PDF
Introduo .................................................................................................... 1
Concluso.................................................................................................... 41
Bibliografia ................................................................................................. 42
Anexos......................................................................................................... 44
Anexo 1 - Como Saber que Houve uma Invaso.............................. 45
Anexo 2 - Definies dos Cdigos de Status do HTTP ................... 49
Anexo 3 - Ferramentas Utilizadas na Percia Forense...................... 52
Da mesma maneira que com outras cincias forenses, os profissionais da lei esto
reconhecendo que a Percia Forense pode prover evidncia extremamente
importante para solucionar um crime. Como colocada uma maior nfase em
evidncia digital, se tornar crescentemente crtico que a evidncia seja controlada
e examinada corretamente.
Anlise Fsica
Anlise Lgica
Identificao
Preservao
Anlise
Apresentao
Prefixo Significado
s- Aes do servidor
c- Aes do cliente
cs- Aes de cliente para servidor
sc- Aes de servidor para cliente
Valor Significado
Site-Stop Site da Web parado por algum motivo.
Site-Start Site da Web iniciado ou reiniciado.
Site-Pause Pausa no site da Web.
Periodic-Log Entrada de log definida regularmente, cujo intervalo foi
especificado pelo administrador.
Interval-Start Intervalo de redefinio iniciado.
Interval-End Intervalo de redefinio atingido e redefinido.
Interval-Change O administrador do site da Web alterou o valor do Intervalo de
redefinio.
Log-Change-Int/Start/Stop Ocorreu um dos seguintes eventos: intervalo de log modificado;
evento de intervalo; ou site parado, iniciado ou interrompido.
Eventlog-Limit Log de evento criado para o site da Web porque um aplicativo CGI
ou fora de processo atingiu o limite de log de evento definido pelo
administrador.
Priority-Limit O site da Web teve um aplicativo CGI ou fora de processo definido
com baixa prioridade porque atingiu o limite de baixa prioridade
definido pelo administrador.
Process-Stop-Limit O site da Web teve um aplicativo CGI ou fora de processo parado
porque atingiu o limite de paralisao de processos definido pelo
administrador.
Site-Pause-Limit O site da Web foi interrompido porque um aplicativo CGI ou fora
de processo atingiu o limite de interrupo de sites definido pelo
administrador.
Eventlog-Limit-Reset O Intervalo de redefinio foi alcanado ou o Eventlog-Limit foi
redefinido manualmente.
Priority-Limit-Reset O Intervalo de redefinio foi alcanado ou o Priority-Limit foi
redefinido manualmente.
Process-Stop-Limit-Reset O Intervalo de redefinio foi alcanado ou o Process-Stop-Limit
foi redefinido manualmente.
Site-Pause-Limit-Reset O Intervalo de redefinio foi alcanado ou o Site-Pause-Limit foi
redefinido manualmente.
No arquivo de log, todos os campos terminam com uma vrgula (,). Um hfen agir
como um marcador de posio se no houver valor vlido para um determinado
campo.
Uma diferena importante entre o registro do ODBC e as outras opes que com
ele, uma nica transmisso cria vrios registros. Por causa desse grande nmero de
entradas, o registro do ODBC requer mais recursos de servidor que os outros
mtodos de registro, podendo afetar o desempenho do servidor Web, dependendo
do tipo de banco de dados, localizao e quantidade de entradas registradas.
Os nomes de arquivos de log usam vrias das primeiras letras para representar o
formato de log e os nmeros restantes para representar o intervalo de tempo ou a
seqncia do log. As letras em itlico representam dgitos: nn para os dgitos
seqenciais, yy para o ano, mm para o ms, ww para a semana do ms, dd para o
dia, hh para o horrio no formato de 24 horas (ou seja, 17 corresponde a 5:00
P.M.).
Aps ter sido apresentado como so os formatos dos arquivos de logs do servidor
Web IIS da Microsoft e suas caractersticas, inicia-se agora um estudo de caso em
que uma grande empresa teve seu site Web desfigurado (defacement). Ser
demonstrado como o hacker entrou no sistema, de onde vem o ataque e qual foi a
alterao ocorrida no sistema.
O Aviso
Se o hacker tem por finalidade especfica atacar o site de uma empresa (para roubo
de informaes ou produto), normalmente se comea com a coleta de informaes.
Primeiro ir determinar quais as informaes sobre o software e funcionalidade do
servidor Web esto disponveis, podendo utilizar um site espelhado para estudo.
Embora no seja ilegal e no indique um ataque por si s, quando esse tipo de
coleta de informaes combinada com outras atividades, o investigador deve
desconfiar. Para examinar a total funcionalidade do site, o invasor espelha o site,
copiando cada pgina para examin-las em detalhes off-line. Para o IIS, essa
atividade deve aparecer como muitos pedidos do mesmo IP de origem durante um
curto perodo de tempo :
Encontrando a Vulnerabilidade
Unicode Bug
O invasor explora uma vulnerabilidade no IIS advinda de uma falha de
programao, que permite atravs de uma linha de comando no browser ou
atravs de um exploit, visualizar e alterar o contedo de um servidor Windows
NT/2000.
Registro da ocorrncia:
O Ataque
Registro da ocorrncia:
Pasta de c:\winnt\system32
Com o total acesso ao servidor, o invasor procura saber onde se hospeda o site da
empresa, listando a raiz do servidor.
Registro da ocorrncia:
Resposta obtida:
Pasta de c:\
Registro da ocorrncia:
Resposta obtida:
Pasta de c:\inetpub\wwwroot
O Hacker lista mais alguns diretrios (usr, temp) a procura do Web Site ou de
informaes que sejam importantes...
Registros da ocorrncia:
Registro da ocorrncia:
Pasta de C:\Sites
Para facilitar seu trabalho de digitao das linhas de comando, o invasor copia o
programa cmd.exe do diretrio c:\winnt\system32 para dentro do diretrio do site,
c:\sites, (provavelmente ele usou algum exploit para encontrar a vulnerabilidade,
mas para poder continuar a explorar o servidor necessrio digitar manualmente os
comandos).
C:\ ---
|-- Sites/
|-- InetPub/
| |- wwwroot/
| |- scripts/
|-- winnt/
| |- system32/cmd.exe
Figura 1
Cmd
Interpretador de comandos do Windows.
O Web Site da empresa foi todo elaborado usando a tecnologia ASP (Active Server
Pages) da Microsoft, as pginas so processadas no servidor e enviadas aos
usurios no formato html, portanto um cliente (browser) no tem acesso ao cdigo-
fonte da programao ASP.
Sabendo que no seria possvel visualizar o cdigo fonte das pginas em ASP, o
invasor copia as pginas renomeando-as para uma outra extenso e depois
visualiza seu contedo. A extenso escolhida pelo Hacker foi do tipo doc, que pode
ser visualizada em qualquer browser, porm, se tivesse escolhido um outro formato
como html ou txt nada apareceria em sua tela, mas no quer dizer que estaria
errado, somente seria mais trabalhoso para visualizar o contedo da pgina, pois
teria que no browser escolher a opo Exibir cdigo fonte.
Registro da ocorrncia:
Global.asa
Um arquivo Global.asa armazena informaes usadas de maneira global por um
aplicativo da Web e no gera contedo que exibido para o usurio. Os arquivos
Global.asa contm somente o seguinte : eventos de aplicativos, eventos de sesses,
declaraes de objeto e declaraes de biblioteca de tipos. Cada site da Web
deveria usar somente um arquivo Global.asa que deve ser armazenado no ponto
inicial do aplicativo da Web.
Registros da ocorrncia:
Registros da ocorrncia:
Respostas obtida:
Pasta de C:\Sites\Base
Registros da ocorrncia:
O Hacker continua procurando por outros tipos de documentos (doc, pdf, xls, ppt).
Registros da ocorrncia:
Registros da ocorrncia:
Registro da ocorrncia:
Resposta obtida:
Pasta de c:\winnt\repair
Registro da ocorrncia:
Cria outro arquivo texto contendo a listagem de toda a estrutura do servidor e seus
arquivos.
Registro da ocorrncia:
Registros da ocorrncia:
Aps alterar a pgina principal do Web site, o Hacker procura pelos arquivos de
Log para poder exclu-los e apagar por definitivo seus rastros, felizmente os
arquivos no esto em seu diretrio padro c:\winnt\system32\LogFiles\W3SVC1
Registro da ocorrncia:
Resposta obtida:
Pasta de c:\WINNT\ServicePackFiles\i386
Pasta de c:\WINNT\system32\inetsrv
Registro da ocorrncia:
Pasta de c:\WINNT\system32\LogFiles\W3SVC1
Registro da ocorrncia:
Registros da ocorrncia:
Registro da ocorrncia:
Registros da ocorrncia:
Registro da ocorrncia:
Descobrimos na anlise, um outro tipo de ataque que estava ocorrendo no Web Site
da empresa, um ataque de difcil percepo e ocasionada por erros de
desenvolvimento, denominado ataque a nvel de aplicativo. Abaixo
apresentamos uma seqncia do funcionamento normal do sistema.
Registros da ocorrncia:
Registros da ocorrncia:
Quanto mais sofisticado for o hacker, menos probabilidades ter de saber que uma
mquina est comprometida. hackers habilidosos encobriro bem suas trilhas,
tornando difcil perceber se executaram alguma alterao e podem ocultar o fato de
que esto na mquina mesmo quando se estiver examinando. Ocultando os
processos, conexes abertas, acesso a arquivos e o uso de recursos do sistema, os
Hackers podem tornar suas aes quase inteiramente invisveis.
Alterao de pginas Web : Uma diverso comum dos hackers iniciantes (ou
daqueles que querem realmente enviar uma mensagem) substituir o contedo do
Web Site para anunciar sua invaso bem-sucedida. Geralmente ocorre na prpria
pgina principal, onde ela a mais visvel. Se os invasores quiserem manter o
acesso, raramente anunciaro sua presena dessa ou de outras formas.
Informativo (1xx)
Utilizado para enviar informaes para o cliente.
100 : Continuar
101 : Troca de protocolos (Switching Protocols)
Bem-sucedido (2xx)
Indica que a solicitao (request) obteve sucesso. Por exemplo, o cdigo
200 utilizado para indicar que a pgina solicitada foi obtida, entendida e
aceita com sucesso.
200 : OK
201 : Criado (Created)
202 : Aceito (Accepted)
203 : Informao no autorizada (Non-Authoritative Information)
204 : Nenhum contedo (No Content)
205 : Contedo redefinido (Reset Content)
206 : Contedo parcial (Partial Content)
Software : WinHex
Autor : Stefan Fleschmann
Site : http://www.winhex.com