Peridico de Divulgao Cientfica da FALS

Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

TCNICAS DE PERCIA FORENSE COMO FERRAMENTAS DE

PREVENO DE INCIDENTES DE SEGURANA

Marcelo Teixeira de Azevedo (ITA-SP)

exemplo@fals.com.br

Ana Lucia Pegetti (ITA-SP/FALS)

exemplo@fals.com.br

Kleyton Maia dos Santos (ITA-SP)

exemplo@fgals.com.br

Resumo: O presente artigo estuda a percia forense aplicada informtica e

suas implicaes para a preveno de acidentes. Para tanto, so apresentados
estudos de caso relevantes, que possibilitaram analisar eventos em que a percia
fez-se necessria e buscar as prticas que elevassem as camadas de segurana
desse sistema, mitigando riscos e possibilitando aes proativas por parte de
seus administradores. Por fim, so identificadas as medidas que possibilitam a
preveno de incidentes de segurana em uma rede computacional. Conclui-se
que, com as prticas estudadas, o profissional de segurana da informao
atuante em grupos de preveno e resposta a incidentes poder aumentar as
camadas de segurana do ambiente computacional e, assim, prevenir incidentes,
sabendo coletar e tratar uma evidncia.

Palavras-chave: Percia forense. Leis e crimes digitais. Ferramentas de

segurana.

Abstract: The present paper studies the forensic skill applied to the computer
science and its implications for the prevention of accidents. For so much,
relevant case studies are presented, which made possible to analyze events in
that the skill was made necessary, and to look for the practices to elevate the
safety layers of that system, mitigating risks and making possible proactive
actions on the part of its administrators. Finally, they are identified the measures
that make possible the prevention of safety's incidents in a computer network. It
is concluded that, with the studied practices, the professional of information
safety active in groups of prevention and attack to incidents can increase the
safety layers of the computer environment, and, like this, to prevent incidents,
knowing how to collect and to treat an evidence.

Keywords: Forensic skill. Digital law and crimes. Safety tools.

 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

1 INTRODUO

1.1 Preliminares

O tema escolhido aborda a percia computacional, que uma das reas de

atuao dos profissionais de segurana da informao, cujo panorama mundial est
diretamente envolvido com o uso da tecnologia e de sistemas informatizados, os quais
precisam ser seguros e garantir disponibilidade, integridade e confidencialidade das
informaes. Entretanto, quando algo de anormal acontece, como se deve proceder?
Como saber, diante do emaranhado de bytes, o que constitui tal anormalidade? E o que
ocorre quando, por trs dessa anormalidade, h uma ao ilcita?

Nesse sentido, os profissionais da rea de segurana precisam, alm de estar

preparados para lidar com essas situaes, ser capazes de ajudar a solucionar um evento,
bem como de instruir as pessoas a seu redor a agir e proteger os dados e as evidncias.
Precisam, alm disso, saber proteger os sistemas de informao, prever as aes de
cibercriminosos e reagir diante de ameaas aos sistemas de informao, para que os
criminosos no se prevaleam de um sistema sob os cuidados de um profissional na
segurana da informao.

1.2 Delimitao do Tema

O tema est delimitado no estudo de tcnicas de percia computacional e suas

formas de atuao. Alm disso, o estudo de caso realizado proporciona visualizar uma
das formas de aplicao das tcnicas e ferramentas da percia, uma vez que tal aplicao
d-se conforme o objetivo do caso, seja ele judicial ou corporativo.

Por fim, apresenta-se uma proposta de mtodos que um profissional na rea de

segurana da informao pode se valer para evitar a efetivao de um crime, no que se
refere a prticas ilcitas nos sistemas computacionais.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

1.3 Justificativa para a Pesquisa

O crescente uso e a grande aplicao de sistemas informatizados e da tecnologia

trazem riscos, como o mau uso da tecnologia por parte de pessoas que criam sistemas
motivadores de prticas ilcitas, como tambm por parte daquelas que, mesmo no os
criando, utilizam-se deles. Cabe ressaltar, ainda, que cada nova tecnologia desenvolvida
proporciona a possibilidade de seu uso para prticas ilcitas. Nesse sentido, neste estudo,
ser apresentado o panorama das prticas de percia, com foco principalmente nas
medidas para coibir e prevenir as aes ilcitas nos sistemas computacionais.

1.4 Referencial Terico

Para o desenvolvimento deste trabalho, algumas obras so centrais para embasar

e conduzir aos objetivos propostos. Dentre essas obras, tem-se a literatura relativa rea
de Percia Forense Aplicada Informtica, de autoria de Freitas (2006), que fornece, a
partir de mtodos e ferramentas estudados pelo autor, um embasamento sobre a
evoluo do assunto ao longo da histria.

A obra de Tocchetto e Espindula (2005), por sua vez, utilizada por apresentar
informaes a respeito de prticas e procedimentos metodolgicos para um trabalho na
rea de percia forense, sendo complementado pela literatura de Ng (2007), que informa
os fatores motivadores para uma equipe de percia corporativa, bem como desenvolve
conceitos e prticas para compor um modelo de equipe forense computacional. Alm
disso, responsvel tanto pela interveno nas corporaes ligadas a casos de
investigaes forenses quanto pelas polticas e desenvolvimentos de prticas que
objetivam aumentar a segurana de um sistema corporativo.

Nesse contexto, Farmer e Venema (2005) mostram no s a forma como

informaes forenses podem ser localizadas, como tambm algumas ferramentas
especficas para prticas no sistema UNIX. Alm disso, apresentam uma base de como
as informaes persistem e como podem sofrer com aes deliberadas, atravs de uma
anlise de procedimentos de percia e soluo de problemas.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Ainda, Alberto Filho (2010) expe aspectos da prova pericial e da atividade do

perito durante o processo judicial, alm de apontar as principais modificaes no
ordenamento jurdico, sendo, assim, fonte de informao ao tema associado percia,
prova pericial e atuao do perito.

1.5 Problema

O trabalho de percia tem como dever buscar respostas sobre o que aconteceu em
um incidente. Dessa forma, o perito, com requisitos tcnicos para isso, precisa conhecer
a fundo sua rea de atuao, assim como as ferramentas que tem ao seu dispor. Alm
disso, importante para o perito a organizao de seu trabalho e orientao para
alcanar os objetivos. Por esses motivos, este trabalho no se resume apenas a um
estudo da aplicabilidade e dos mtodos da percia computacional, mas visa a
contextualizar o panorama atual da percia e indicar um mtodo de atuao, a fim de
melhorar a eficcia do trabalho do perito.

Isso porque, mesmo atuando corretamente na percia, o profissional de

segurana da informao precisa saber como prevenir incidentes; evitando,
minimizando e coibindo, assim, os riscos aos sistemas de informao.

Nesse sentido, espera-se que o presente trabalho mostre que em cada incidente
existe uma rica fonte de informao para se analisar e identificar tcnicas ou
ferramentas, com o objetivo de aumentar a segurana de seus sistemas de informao.

2 FUNDAMENTAO TERICA

2.1 Percia

Do latim peritia, o vocbulo definido por Ferreira (2009) como qualidade de

perito, vistoria especializada, alm de ser citado no glossrio do Instituto Brasileiro de
Avaliaes e Percias de Engenharia de So Paulo (IBAPE/SP, 2011) como atividade
incumbida a profissional especializado, legalmente habilitado a esclarecer um fato, ou
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

seja, descobrir fatores ou estados motivadores, alegaes de direito ou propriedade da

coisa que objeto de litgio ou processo. Alm disso, no direito, a percia produtora de
provas, sendo os peritos qualificados eleitos pelos juzes.

Definida no Cdigo de Processo Civil, Lei n 5.869, de 11 de janeiro de 1973,

art. 420, a prova pericial, por sua vez, consiste em exame, vistoria ou avaliao, sendo
considerada, no decorrer do processo civil, um dos momentos mais cautelosos na
estrutura de composio do texto. Nesse contexto, considerando que o momento de
avaliao classificatrio de valor ao fato ou objeto, a vistoria o momento de anlise
da caracterstica de bem imvel e o exame, referente a bem mvel e pessoas. Para tanto,
o profissional perito na rea em questo utiliza tcnicas e ferramentas desenvolvidas
para tal, fazendo-se necessrio o esclarecimento de detalhes tcnicos.

Cumpre informar que, no presente trabalho, a percia ser abordada no escopo

tecnolgico, uma vez que a crescente e contnua complexidade dos sistemas de
tecnologia exige, cada vez mais, a interveno tcnica para esclarecer a veracidade de
fatos ou circunstncias.

2.2 Forense

Do latim forense, o vocbulo definido por Ferreira (2009) como aquilo que se
refere ao foro judicial, sendo relativo aos tribunais. Dessa forma, a tcnica forense diz
respeito aplicao de recursos cientficos em um processo jurdico, sendo que essas
prticas valem-se da percia para alcanar os objetivos de prova, visto que muitas provas
no so perceptveis a olho nu nem esto disponveis a pessoas desprovidas de
conhecimentos tcnicos necessrios.

Ressalte-se que, com o passar do tempo, a criminologia desenvolve-se cada vez

mais; isso porque, uma vez que os criminosos usam as mais criativas alternativas para
driblar a lei, necessrio utilizar recursos cientficos em busca de uma maior eficincia,
visando a tomar as devidas precaues para o correto julgamento desses casos, mesmo
que, aparentemente, no caso dos meios eletrnicos, no haja pistas nem rastros fsicos.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

2.3 A Percia Forense Computacional

A percia forense computacional definida por Freitas (2006) como a aplicao

de conhecimento de informtica e tcnicas de investigao com a finalidade de obteno
de evidncias, alm de, para o autor, ser uma rea relativamente nova e em grande
ascenso; justamente por isso tornou-se uma prtica importante nas corporaes e
polcias, que utilizam resultados cientficos e matemticos estudados na cincia da
computao.

Nesse sentido, a finalidade motivadora da percia forense computacional , com

base nas suas prticas cientficas, coletar e analisar as informaes disponveis no meio
eletrnico, para que tais informaes (antes intangveis) passem a compor a certeza
manifesta dos fatos que sero utilizados como provas. Essas informaes sero de
grande valia, tambm, para o ambiente corporativo e judicial, pois, mesmo que no
exista um processo judicial formal, as prticas da percia forense demonstraro o que
realmente aconteceu e as intenes de um fato que tenha se desenrolado num ambiente
eletrnico.

Ainda, segundo Bustamante (2006), a percia forense pode ser definida como
coleo e anlise de dados de um computador, sistema, rede ou dispositivos de
armazenamento, de forma que sejam admitidos em juzo, sendo que as evidncias que
um criminalista ou expert (tambm chamado perito) encontra geralmente no podem ser
vistas a olho nu, dependendo de ferramentas e meios para a sua obteno. Nesse
contexto, cabe ao profissional de informtica coletar as evidncias e produzir um laudo
pericial com as evidncias e tcnicas abordadas na coleta.

A computao forense continua em crescimento, tendo em vista que, cada vez

mais, a sociedade faz uso dos computadores, exigindo profissionais nas esferas
corporativas e judiciais, nas quais esto presentes questes sobre procedimentos ilegais
em computadores. Atualmente, a busca por evidncias nos ambientes computacionais
tem se tornado imprescindvel para a fora policial, pois pode esclarecer muitos crimes
efetuados via computador.

A cada dia, os dispositivos de armazenamento e acesso internet esto se

tornando menores, mais baratos, mais rpidos, com maior portabilidade e com uso
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

amplamente difundido. Desse modo, na internet, no h como simplesmente isolar o

local do crime, tampouco identificar de imediato a origem e autoria do crime, ou seja,
possvel identificar a data e hora do evento, bem como alguns rastros de conexes em
logs, mas no o autor do crime, como seria possvel com um exame de DNA. Isso se
justifica devido natureza dinmica da rede, de modo que um local usado na internet
para cometer crimes pode ser diferente ou ausente no dia seguinte. Assim, no se pode
tomar concluses baseadas apenas em dados colhidos atravs de softwares.

3 ESTUDOS DE CASO

3.1 Invaso a Servidor Empresa ACME

3.1.1 Descrio

Neste estudo de caso, ser apresentada uma situao simulada, baseada nos
casos referentes a ssh do Projeto Honeypots da Honeynet (HONEYNET, 2010), que
uma organizao de pesquisa lder em segurana internacional, dedicada a investigar os
recentes ataques e a desenvolver ferramentas open source para melhorar a segurana na
internet.

Assim, considerar-se- que foi detectado, pelos administradores de rede da

empresa fictcia ACME, comportamento instvel do servidor Domain Name Server
(DNS) primrio, alto trfego de rede do servidor na porta do servio Secure Shell (SSH)
e um anormal consumo de processamento do servidor.

3.1.2 Procedimento de anlise

Feita a fase de levantamento e identificadas as tarefas do servidor no contexto da

rede atual, concluiu-se que algo de errado estava ocorrendo, de modo que foram
coletados os materiais necessrios para a percia atravs de um conjunto de discos com
os softwares de coleta e anlise e uma unidade externa devidamente sanitizada para a
coleta da imagem de disco do servidor. Cabe ressaltar que o acesso fsico ao servidor foi
limitado apenas ao tcnico que iria efetuar a percia e que no foram necessrios
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

registros adicionais, como fotos, pois a percia foi realizada internamente; porm, em
um caso oficial, esses procedimentos so impreterveis.

A duplicao da unidade de disco do servidor foi feita com a ferramenta dd,

utilizando o comando dd if=/dev/sdb1 of=/media/3268509868505ca3/imagem.dd, no
qual if= representa a unidade de origem a ser copiada e of=, o arquivo de imagem
que ir conter as informaes do disco bit a bit. Para melhor visualizao, a sada do
comando dd pode ser verificada na Figura 1.

Figura 1 Sada do comando dd.

Uma vez feita a cpia, foi necessrio calcular o hash para garantir uma forma de
validar a evidncia, comprovando que ela no foi alterada. Para tanto, foi utilizada a
ferramenta sha512sum, com a qual possvel calcular o hash em sha 512 bits. Na
Figura 2, so apresentados o comando e a sada, obtendo como resultado o valor de
hash calculado para o arquivo imagem.dd, localizado na unidade
/media/3268509868505CA3/; tal valor deve ser armazenado para futuras comparaes
entre o disco original e a evidncia para garantir a integridade.

Figura 2 Sada do comando sha512sum.

J na fase de coleta, iniciou-se a captura do trfego com a ferramenta Wireshark,

o que no auxilia muito no diagnstico, pois, durante uma seo de conexo via ssh,
todo o contedo trafega de forma criptografada. Contudo, como resultado do uso dessa
ferramenta, na Figura 3, possvel identificar a seo estabelecida e dados como:
origem, destino protocolo e porta de comunicao.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Figura 3 Trfego de rede da seo ssh.

Por fim, aps a captura, foi interrompido o servio ssh, com objetivo de cessar o
alto trfego de rede e a carga de processamento no servidor. Foram coletados, tambm,
logs dos servios de ssh e autenticao, bem como foi identificada uma conexo remota
estabelecida no servio de ssh que no era esperada.

3.1.3 Diagnstico

Na fase de anlise, detectou-se a explorao do servio de ssh para acesso e

troca de informaes e comandos com o servidor vtima; considerando que o acesso foi
consumado com uma conta administrativa de root.

Nesse sentido, a Figura 4 demonstra o resultado do comando tail para listar o

final do arquivo de log, sendo possvel analisar as vrias tentativas de autenticao no
servio ssh com usurio administrativo oriundas do mesmo endereo atacante.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Figura 4 Trecho de contedo arquivo de log /var/log/secure.

J a Figura 5 mostra intervalo do log, atravs do comando tail, no qual a

conexo com o servio foi bem-sucedida, ou seja, momento em que o ataque obteve
sucesso.

Figura 5 Log em destaque com conexo em /var/log/secure.

Identificada a intruso no sistema, foram analisados os arquivos criados ou

alterados pelo atacante. Para tanto, foi feita a anlise dos mactimes com as ferramentas
mac-robber e mactime, sendo necessrio gerar a base de dados para anlise com a
ferramenta mac-robber, atravs do comando mac-robber /root/exploit >
exploit.mactimes, no qual /root/exploit representa o diretrio a ser analisado e
exploit.mactime, o arquivo de destino dos dados de mactimes, formando uma base de
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

dados para ser processada pela ferramenta, a qual ir compor a linha de tempo dos
arquivos, conforme demonstrado na Figura 6.

Figura 6 Sada da linha de tempo do comando mactime.

Analisando todos os arquivos de imagem com a ferramenta autopsy (Figuras 7 e

8), verificou-se que os arquivos da pasta /root/exploit foram os nicos criados e
alterados aps o ataque; essa pasta continha alguns arquivos de scripts maliciosos, que
seriam posteriormente utilizados pelo atacante, porm a invaso foi frustrada antes que
isso ocorresse, o que foi comprovado pelo fato de os atributos de execuo desses
scripts ainda no terem recebido marcao.

Figura 7 Tela inicial da ferramenta autopsy.

 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Figura 8 Pesquisa por arquivos de log em Keyword Search da ferramenta autospy.

3.1.4 Resultados

Com a anlise, foi possvel diagnosticar uma tentativa bem-sucedida de acesso

ao servidor atravs do servio ssh, por uma tcnica chamada fora bruta, definida pelo
Centro de Atendimento a Incidentes de Segurana (CAIS) da Rede Nacional de Ensino
e Pesquisa (RNP, 2010) como sucesses de tentativa e erro utilizando um conjunto de
duplas usurio/senha para tentar obter acesso ao servio.

Para melhor entendimento e anlise dos resultados, simulou-se o ataque

utilizando o seguinte script atravs da distribuio Linux Fedora Security:

#!/bin/bash
ARQSENHAS=senhas.txt
BINSSH=/usr/bin/ssh
BINPASS=/usr/local/bin/sshpass
j=0
#
for i in `cat $ARQSENHAS`;
do
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

$BINPASS -p$i $BINSSH root@0.0.0.0 "echo 'Conexao bem sucedida'"

j=$((j+1));
echo $j;
done
#

Nesse script, foram utilizadas duas ferramentas para conexo: o sshpass e o

cliente de conexo remota ssh. A primeira destinada a prover senha para uma
autenticao no interativa em uma ferramenta que necessite de uma autenticao
interativa, como no exemplo; ou seja, quando se necessita de uma entrada via teclado
para a autenticao, o sshpass simula essa entrada, possibilitando a automao da tarefa
de tentativa de login. Assim, atravs do uso desse script, foi possvel testar vrias
senhas para o mesmo usurio e servidor, sem interveno humana, agilizando a tarefa
de tentativa e erro no login.

Na Figura 9, possvel verificar as vrias tentativas de login, sendo que, na de

nmero 10, a conexo foi bem-sucedida, possibilitando utilizar a senha presente no
arquivo senhas.txt, na linha 10, para o acesso remoto via ssh. interessante ressaltar
que esse arquivo deve conter as possveis senhas e ser gerado atravs de uma ferramenta
de dicionrio de senhas, para melhorar as tentativas do acesso.

Figura 9 Sada do script de fora bruta no ssh.

 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

J na Figura 10, so apresentados os logs do servidor vtima, nos quais as

tentativas so registradas pelo servio de conexo remota sshd. Na ltima linha, tem-se
o momento da conexo bem-sucedida no servio durante o teste.

Figura 10 Log do servidor sshd.

Uma vez que a tentativa foi bem-sucedida, conclui-se que o servidor vtima
estava de fato vulnervel a esse tipo de ataque, com uma senha fraca, descoberta no
processo de tentativa e erro.

Cumpre informar que, nessa fase, o perito deve compor um laudo expondo o
parecer tcnico e apresent-lo a quem for necessrio, seja para a autoridade judicial ou
os responsveis pela empresa ou setor.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

4.2 Prevenindo Incidentes com Base no Estudo de Caso

4.2.1 Prevenes no caso de invaso de servidor

A preveno de incidentes em sistemas que provem acesso remoto requer uma

anlise detalhada da infraestrutura de rede, com o intuito de configur-la corretamente
para atender aos requisitos mnimos de segurana e funcionalidades do servio. Para
tanto, os principais itens a serem considerados na anlise so: as questes de proteo e
configurao correta do servidor que hospeda o servio de acesso remoto; a proteo
dos dados que trafegam na rede, com uso de sistemas de firewalls e IDS/IPS/NIPS; e os
mtodos de autenticao e identificao da identidade dos usurios que logam no acesso
remoto. A seguir, sero apresentadas algumas questes para a preveno desses
incidentes.

4.2.1.1 DMZ

O modelo DMZ, sigla para de DeMilitarized Zone ou zona desmilitarizada,

implementa na rede uma zona separada da rede externa (internet Wan) e da rede
interna (rede local Lan). Esse termo, de origem militar, classifica uma regio sem
atividades militares de defesa ou ataque, por vezes entre dois territrios em conflito;
aplicado a redes, considera que ela contm servios com exposio internet, como de
acesso remoto, correio, sites e protocolo de transferncia de arquivos FTP, os quais
devem ficar separados da rede local. Assim, quando um ataque for bem-sucedido nesse
ambiente, est confinado rede DMZ e no ir impactar em toda a rede da organizao.

Esse conceito tambm aplicado para separar setores e usurios-chave em

diferentes nveis de proteo, alm de ditar que a rede possui um nvel de segurana
intermedirio, o qual, entretanto, no a colocaria como nica para armazenar dados
crticos para a empresa, devendo, dessa forma, ser estudada e bem projetada antes de
sua implementao.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

Normalmente, o conceito de DMZ aplicado utilizando firewalls e suas polticas

para separar os trfegos entre as redes, sendo as seguintes regras e polticas de
segurana aplicadas:

comunicao da rede externa para DMZ aceita;

comunicao da rede externa para a rede interna negada;

comunicao da rede interna para DMZ aceita;

comunicao da rede interna para a rede externa aceita;

comunicao da DMZ para a rede interna negada;

comunicao originada na DMZ para a rede externa negada.

Cabe ressaltar, ainda, que uma DMZ previne um incidente mais abrangente,
pois, se um servio for comprometido nela, existem outras barreiras a transpassar antes
de se alcanar os demais servios da rede. No contexto do estudo de caso, o servio ssh,
uma vez violado, ficaria com o acesso isolado somente quela rede DMZ, dando uma
melhor possibilidade de combate e proteo.

4.2.1.2 Servidor de log

Em redes que crescem em sistemas e equipamentos, o gerenciamento de logs de

forma descentralizada ir demandar cada vez mais tempo e recursos, uma vez que cada
log, com suas particularidades e seu local de alocao, complica ainda mais o processo
de anlise e monitoramento. Para resolver esse problema, utiliza-se a centralizao dos
logs, que so arquivos com registros sobre servios ou mquinas e que auxiliam na
administrao dos recursos, com informaes sobre acessos, problemas, avisos, alertas e
demais informaes para a administrao do ambiente.

O conceito consiste em definir um servidor responsvel por armazenar todos os

logs, configurando as demais mquinas da rede para que seus logs sejam enviados para
esse servidor. Essa funo de centralizao pode ser aplicada para vrios fins, como, por
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

exemplo, auditoria ou proteo de logs de alguma invaso; ainda, no servidor de logs,

possvel obter uma melhor anlise da informao, para estudar o desempenho e o
dimensionamento das mquinas, analisando, por exemplo, o servio que recebe mais
acessos e precisa ser equilibrado. Para tanto, utilizada a ferramenta Linux Rsyslog, que
coleta e centraliza os logs de mquinas Linux e Windows.

Para uma ao de preveno de incidentes, muito importante que as

informaes de logs e os registros estejam preservados e acessveis para anlise e
percia, pois necessrio saber o que est ou estava acontecendo durante uma ao
maliciosa; a tentativa de apagar ou encobrir rastros ir afetar os logs e registros, porm
se esses registros forem tambm armazenadores em outro local, como no servidor de
logs, isso preservar as evidncias, contribuindo para uma coleta de informaes sobre
os eventos de forma eficaz.

4.2.1.3 Restrio e controle de acesso remoto

Neste item, analisa-se tanto as medidas para uma correta configurao que,
aplicadas ao servidor sshd, oferecem maior segurana e robustez ao servio, quanto
outras alternativas. importante destacar que os conceitos podem ser aplicados a outros
modelos de servio para acesso remoto, como Remote Desktop, Vpn, Logmein,
Teamviewr e afins, bastando saber a forma de configurao destes.

No caso do servio sshd, as configuraes devem ser feitas no arquivo

/etc/ssh/sshd_config, no qual se encontram os parmetros de funcionamento do
servio, lembrando que, aps qualquer alterao, deve-se recarregar o servio, para que
as alteraes tenham efeito. Tambm, recomendada a troca da porta-padro de acesso
do servio de acesso remoto, pois ataques automatizados vo explorar justamente essa
porta; no ssh, a porta-padro a 22, que pode ser alterada atravs do parmetro Port
XX, onde xx representa o nmero da porta em que o servio ir aguardar a conexo.
Caso se utilize um firewall, nele tambm haver uma regra permitindo a essa porta
comunicar-se.

Alm disso, devem ser verificadas as seguintes recomendaes:

 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

no permitir autenticao com usurio sem senha, ativando o seguinte

parmetro na configurao do sshd: PermitEmptyPasswords no;

usar senhas fortes, complexas e com comprimento mnimo de 15 caracteres,

ativando a opo de utilizar o pacote Pluggable Authentication Module
(PAM), que auxilia nas regras de autenticao, exigindo requisitos de senhas
e tentativas limitadas, atravs do parmetro UsePAM Yes;

limitar a quantidade de tentativas de senha errada, derrubando a conexo

aps a tentativa, ativando a opo: MaxAuthTries 3. Nesse exemplo, limitar a
trs as tentativas de senhas; caso, na terceira, a senha esteja errada, a conexo
finalizada e ter de ser reiniciada;

no permitir que o usurio root ou outro que faa parte do grupo root efetue
o login diretamente. conveniente, nesse caso, que se logue como usurio
restrito, utilizando o comando su para elevar o privilgio como root, caso
seja necessrio, pois tarefas simples e testes de funcionalidades podem ser
executados como usurio comum, no afetando e alterando nada. Utilizar os
seguintes parmetros: PermitRootLogin no, AllowUsers usuraiocomum1
usuariocomun2, AllowGroups gruposshdousuariocomun;

utilizar apenas a ltima verso do protocolo ssh, que, atualmente, a 2,

ativando o parmetro: Protocol 2;

utilizar regras de firewall para permitir conexo na porta do servio de

acesso remoto apenas por IPs conhecidos e para restringir ainda mais o
servio de acesso remoto.

5 CONCLUSO

Com este trabalho, foi possvel analisar a aplicao da percia forense

informtica, em que cada caso representa um desafio mpar, devido crescente
evoluo dos ambientes computacionais. As dificuldades para os peritos e suas percias
tambm se elevam com o panorama atual da legislao brasileira, que abrange, em
parte, as tecnologias atuais. Sobre isso, Marco Aurlio Greco (2000) conclui que o
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

direito vem sofrendo igualmente os reflexos das modificaes profundas no mundo por
conta dos avanos tecnolgicos e da globalizao.

As novas tecnologias, cada qual com seus padres e dignas de um estudo

individual, aparentam representar um volume de informao muitas vezes maior do que
os recursos e ferramentas da percia forense computacional, porm possvel identificar
que o mtodo proposto, seguindo uma sequncia lgica e organizada, possibilita ao
perito atuar de forma mais eficiente e eficaz.

Alm disso, importante ressaltar que os meios eletrnicos ainda despertam

uma falsa sensao de anonimato e impunidade, sentimento confirmado pelo
crescimento dos crimes eletrnicos nas pesquisas, mesmo margem de grandes
dificuldades em torno de legislaes e tecnologias.

Nesse contexto, este estudo demonstrou que os poderes competentes e as

organizaes tm alternativas para buscar a segurana para seus ambientes
computacionais. Com as prticas aqui estudadas, o profissional de segurana da
informao atuante em grupos de preveno e resposta a incidentes poder aumentar as
camadas de segurana do ambiente computacional e, assim, prevenir incidentes,
sabendo coletar e tratar uma evidncia.

Por fim, o caso apresentado constitue rica fonte de informao para uma anlise
objetivando a preveno de incidentes, uma vez que trazem tona aspectos relevantes,
tais como: os ambientes de rede precisam ser organizados e estruturados, ter
redundncia e dispor de acompanhamento, monitoramento, manuteno e segurana
adequada. Tambm, revelam que os sistemas precisam ser testados, atualizados e
corrigidos, sendo, para tanto, utilizada uma gama de tcnicas, metodologias,
procedimentos e ferramentas, a fim de prevenir incidentes e riscos segurana dos
ambientes computacionais.
 Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X

REFERNCIAS
FREITAS, Andrey Rodrigues. Percia forense aplicada informtica. Rio de Janeiro:
Brasport, 2006.

ALBERTO FILHO, Reinaldo Pinto. Da percia ao perito. Niteri: mpetus, 2010.

BUSTAMANTE, Leonardo. Computao forense: preparando o ambiente de trabalho.

Uol, julho, 2006. Disponvel em:
<http://imasters.uol.com.br/artigo/4335/forense/computacao_forense_-
_preparando_o_ambiente_de_trabalho/>. Acesso em: 04 maio 2009.

FARMER, Dan; VENEMA, Wietse. Percia forense computacional: teoria e prtica

aplicada. So Paulo: Prentice Hall, 2005.

GRECO, Marco Aurlio. Internet e direito. 2. ed. So Paulo: Dialtica, 2000.

HONEYNET. Projeto Honeypots. Disponvel em: <http://www.honeynet.org>. Acesso

em: 20 mar. 2010.

NG, Reginaldo. Forense computacional corporativa. Rio de Janeiro: Brasport, 2007.

REDE NACIONAL DE ENSINO E PESQUISA (RNP). Centro de Atendimento a

Incidentes de Segurana (CAIS). Disponvel em: <http://www.rnp.br/cais/>. Acesso
em: 29 mar. 2010.

TOCCHETTO, Domingos; ESPINDULA, Alberi. Criminalstica procedimentos e

metodologias. Porto Alegre: Cleusa dos Santos Novak, 2005.