Escolar Documentos
Profissional Documentos
Cultura Documentos
Abstract: The present paper studies the forensic skill applied to the computer
science and its implications for the prevention of accidents. For so much,
relevant case studies are presented, which made possible to analyze events in
that the skill was made necessary, and to look for the practices to elevate the
safety layers of that system, mitigating risks and making possible proactive
actions on the part of its administrators. Finally, they are identified the measures
that make possible the prevention of safety's incidents in a computer network. It
is concluded that, with the studied practices, the professional of information
safety active in groups of prevention and attack to incidents can increase the
safety layers of the computer environment, and, like this, to prevent incidents,
knowing how to collect and to treat an evidence.
1 INTRODUO
1.1 Preliminares
A obra de Tocchetto e Espindula (2005), por sua vez, utilizada por apresentar
informaes a respeito de prticas e procedimentos metodolgicos para um trabalho na
rea de percia forense, sendo complementado pela literatura de Ng (2007), que informa
os fatores motivadores para uma equipe de percia corporativa, bem como desenvolve
conceitos e prticas para compor um modelo de equipe forense computacional. Alm
disso, responsvel tanto pela interveno nas corporaes ligadas a casos de
investigaes forenses quanto pelas polticas e desenvolvimentos de prticas que
objetivam aumentar a segurana de um sistema corporativo.
1.5 Problema
O trabalho de percia tem como dever buscar respostas sobre o que aconteceu em
um incidente. Dessa forma, o perito, com requisitos tcnicos para isso, precisa conhecer
a fundo sua rea de atuao, assim como as ferramentas que tem ao seu dispor. Alm
disso, importante para o perito a organizao de seu trabalho e orientao para
alcanar os objetivos. Por esses motivos, este trabalho no se resume apenas a um
estudo da aplicabilidade e dos mtodos da percia computacional, mas visa a
contextualizar o panorama atual da percia e indicar um mtodo de atuao, a fim de
melhorar a eficcia do trabalho do perito.
Nesse sentido, espera-se que o presente trabalho mostre que em cada incidente
existe uma rica fonte de informao para se analisar e identificar tcnicas ou
ferramentas, com o objetivo de aumentar a segurana de seus sistemas de informao.
2 FUNDAMENTAO TERICA
2.1 Percia
2.2 Forense
Do latim forense, o vocbulo definido por Ferreira (2009) como aquilo que se
refere ao foro judicial, sendo relativo aos tribunais. Dessa forma, a tcnica forense diz
respeito aplicao de recursos cientficos em um processo jurdico, sendo que essas
prticas valem-se da percia para alcanar os objetivos de prova, visto que muitas provas
no so perceptveis a olho nu nem esto disponveis a pessoas desprovidas de
conhecimentos tcnicos necessrios.
Ainda, segundo Bustamante (2006), a percia forense pode ser definida como
coleo e anlise de dados de um computador, sistema, rede ou dispositivos de
armazenamento, de forma que sejam admitidos em juzo, sendo que as evidncias que
um criminalista ou expert (tambm chamado perito) encontra geralmente no podem ser
vistas a olho nu, dependendo de ferramentas e meios para a sua obteno. Nesse
contexto, cabe ao profissional de informtica coletar as evidncias e produzir um laudo
pericial com as evidncias e tcnicas abordadas na coleta.
3 ESTUDOS DE CASO
3.1.1 Descrio
Neste estudo de caso, ser apresentada uma situao simulada, baseada nos
casos referentes a ssh do Projeto Honeypots da Honeynet (HONEYNET, 2010), que
uma organizao de pesquisa lder em segurana internacional, dedicada a investigar os
recentes ataques e a desenvolver ferramentas open source para melhorar a segurana na
internet.
registros adicionais, como fotos, pois a percia foi realizada internamente; porm, em
um caso oficial, esses procedimentos so impreterveis.
Uma vez feita a cpia, foi necessrio calcular o hash para garantir uma forma de
validar a evidncia, comprovando que ela no foi alterada. Para tanto, foi utilizada a
ferramenta sha512sum, com a qual possvel calcular o hash em sha 512 bits. Na
Figura 2, so apresentados o comando e a sada, obtendo como resultado o valor de
hash calculado para o arquivo imagem.dd, localizado na unidade
/media/3268509868505CA3/; tal valor deve ser armazenado para futuras comparaes
entre o disco original e a evidncia para garantir a integridade.
Por fim, aps a captura, foi interrompido o servio ssh, com objetivo de cessar o
alto trfego de rede e a carga de processamento no servidor. Foram coletados, tambm,
logs dos servios de ssh e autenticao, bem como foi identificada uma conexo remota
estabelecida no servio de ssh que no era esperada.
3.1.3 Diagnstico
dados para ser processada pela ferramenta, a qual ir compor a linha de tempo dos
arquivos, conforme demonstrado na Figura 6.
3.1.4 Resultados
#!/bin/bash
ARQSENHAS=senhas.txt
BINSSH=/usr/bin/ssh
BINPASS=/usr/local/bin/sshpass
j=0
#
for i in `cat $ARQSENHAS`;
do
Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X
Uma vez que a tentativa foi bem-sucedida, conclui-se que o servidor vtima
estava de fato vulnervel a esse tipo de ataque, com uma senha fraca, descoberta no
processo de tentativa e erro.
Cumpre informar que, nessa fase, o perito deve compor um laudo expondo o
parecer tcnico e apresent-lo a quem for necessrio, seja para a autoridade judicial ou
os responsveis pela empresa ou setor.
Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X
4.2.1.1 DMZ
Cabe ressaltar, ainda, que uma DMZ previne um incidente mais abrangente,
pois, se um servio for comprometido nela, existem outras barreiras a transpassar antes
de se alcanar os demais servios da rede. No contexto do estudo de caso, o servio ssh,
uma vez violado, ficaria com o acesso isolado somente quela rede DMZ, dando uma
melhor possibilidade de combate e proteo.
Neste item, analisa-se tanto as medidas para uma correta configurao que,
aplicadas ao servidor sshd, oferecem maior segurana e robustez ao servio, quanto
outras alternativas. importante destacar que os conceitos podem ser aplicados a outros
modelos de servio para acesso remoto, como Remote Desktop, Vpn, Logmein,
Teamviewr e afins, bastando saber a forma de configurao destes.
no permitir que o usurio root ou outro que faa parte do grupo root efetue
o login diretamente. conveniente, nesse caso, que se logue como usurio
restrito, utilizando o comando su para elevar o privilgio como root, caso
seja necessrio, pois tarefas simples e testes de funcionalidades podem ser
executados como usurio comum, no afetando e alterando nada. Utilizar os
seguintes parmetros: PermitRootLogin no, AllowUsers usuraiocomum1
usuariocomun2, AllowGroups gruposshdousuariocomun;
5 CONCLUSO
direito vem sofrendo igualmente os reflexos das modificaes profundas no mundo por
conta dos avanos tecnolgicos e da globalizao.
Por fim, o caso apresentado constitue rica fonte de informao para uma anlise
objetivando a preveno de incidentes, uma vez que trazem tona aspectos relevantes,
tais como: os ambientes de rede precisam ser organizados e estruturados, ter
redundncia e dispor de acompanhamento, monitoramento, manuteno e segurana
adequada. Tambm, revelam que os sistemas precisam ser testados, atualizados e
corrigidos, sendo, para tanto, utilizada uma gama de tcnicas, metodologias,
procedimentos e ferramentas, a fim de prevenir incidentes e riscos segurana dos
ambientes computacionais.
Peridico de Divulgao Cientfica da FALS
Ano V - N XII- DEZ / 2011 - ISSN 1982-646X
REFERNCIAS
FREITAS, Andrey Rodrigues. Percia forense aplicada informtica. Rio de Janeiro:
Brasport, 2006.