Escolar Documentos
Profissional Documentos
Cultura Documentos
Pericia TCC
Pericia TCC
Palavras-Chave: segurana da informao, percia forense computacional, percia de redes, ataques em redes, intruso.
Keywords: information security, computer forensics, network forensics, network attacks, intrusion.
Alm das solues citadas, os sistemas operacionais tam- dentro de situaes especficas, permitindo que incrementos
bm possuem, em suas instalaes padres, aplicaes em sejam realizados em face s necessidades intrnsecas ao
linha de comando, as quais podem ser utilizadas como ferra- contexto de investigao.
mentas de apoio s NFAT. So exemplos destes utilitrios: O modelo de investigao genrico proposto por Yusoff,
traceroute, netstat, ping, whois, nslookup, wget, arp, iperf, lft, Ismail e Hassan (2011) contm as fases descritas a seguir,
tcpreplay, entre muitos outros (FORENSICWIKI, 2012). conforme ilustra a Figura 2, que ainda mostra o
relacionamento entre as fases. A Figura 3 mostra, de maneira
IV. PROPOSTA DE ROTEIRO DE INVESTIGAO PERICIAL EM sucinta, as fases do roteiro de investigao pericial em redes
REDES (INTRUSO) proposto neste trabalho, as quais so mais bem definidas
Conforme Yusoff, Ismail e Hassan (2011), muitas so as adiante.
propostas de modelos investigativos utilizados em percia
forense de redes, o que pode ocasionar certa confuso a
iniciantes nesta rea, quanto sua utilizao. Assim, estes
autores propem um modelo genrico de investigao, tendo
como referencial de pesquisa as principais propostas
desenvolvidas at o momento, a partir da realizao de
estudos comparativos entre estas.
A proposta que motiva este trabalho, baseando-se na
pesquisa citada no pargrafo anterior, formular um roteiro
de base para a realizao de anlises periciais em redes,
especificamente de atividades de intruso ou invaso. Sendo
assim, um dos objetivos a descrio de procedimentos
necessrios para realizao de uma investigao especfica,
assim formalizando os requisitos mnimos para alcanar
resultados satisfatrios. Em paralelo, focar a utilizao, em
cada passo do roteiro proposto, de ferramentas baseadas em
software livre e ambiente Linux.
Entretanto, importante enfatizar que, por tratar-se de
proposta de construo de um roteiro bsico, este no
extingue a possibilidade de alteraes no fluxo, a critrio do
analista. Visa, sim, oferecer uma linha mestra de atuao Figura 2. Modelo Genrico de Investigao Forense
Adaptado de (YUSOFF; ISMAIL; HASSAN, 2011)
de um laboratrio de pesquisas nucleares, com sede no rtico. indica o nome do arquivo para o qual o trfego capturado ser
No entanto, o intruso no consegue passar despercebido, ao direcionado (PEREIRA, 2012).
realizar o escaneamento da rede em busca de eventuais A captura realizada at que se tenha material suficiente
brechas de segurana, j que a mesma totalmente para anlise e evidenciao. Uma vez gerado o arquivo pela
monitorada. Tal monitoramento emite um alerta, em virtude ferramenta citada (original.pcap), o perito deve fazer a cpia
da queda de desempenho causada pelo aumento no trfego, o do mesmo, para utilizao na etapa seguinte, mantendo o
que supe a necessidade de anlise mais detalhada do arquivo original em local seguro.
problema (LMG SECURITY, 2010). Para tal, utiliza-se a ferramenta dd, em linha de comando,
conforme segue:
Aplicao do Roteiro Proposto
dd if=original. pcap of=copia. pcap
Os itens a seguir demonstram a aplicao de cada etapa do
roteiro proposto ao caso apresentado. Nestas etapas, so O comando acima l o arquivo de entrada, denominado
utilizadas as devidas ferramentas (NFAT), conforme original.pcap, com a opo if e grava seu contedo, bit-a-
necessrio. importante ressaltar que no h a bit, no arquivo de sada copia.pcap, indicado com a opo
obrigatoriedade na utilizao das ferramentas indicadas neste of. Em seguida, o arquivo gerado utilizando-se o comando
estudo de caso, ou seja, podem ser aplicadas outras que anterior validado em relao ao original, com a gerao do
cumpram com os mesmos objetivos, em substituio. resumo ou hash MD5 dos mesmos e efetuando sua
As NFAT utilizadas neste estudo de caso so: tcpdump comparao. A ferramenta md5sum, em linha de comando,
(captura de pacotes), dd (cpia de dados bit-a-bit), md5sum aplicada a cada um dos arquivos e o resultado obtido deve o
(gerao de resumo ou hash dos arquivos gerados, para mesmo para ambos, conforme segue:
verificao de integridade dos dados), Wireshark (anlise de
pacotes, verificao de falhas na rede com base no trfego) md5sum original. pcap
(FORENSICS WIKI, 2012) (TCPDUMP/LIBPCAP, 2012) 804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 original. pcap
(COMBS et al., 2012). A escolha de cada uma delas justifica- md5sum trafego. pcap
se por serem ferramentas open source, disponveis para a 804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 copia. pcap
plataforma Linux, sendo que as trs primeiras so
normalmente encontradas nativamente em distribuies desta Como a percia est sendo realizada localmente, a
plataforma (FERREIRA, 2008). A opo por Wireshark deu- utilizao de VPN ou protocolos de segurana para
se, ainda, por emisso de resultados grficos que facilitam as transferncia segura dos dados dispensada. O
aes e tomada de decises. armazenamento do arquivo original realizado em mdia
Incio dos Trabalhos
destinada exclusivamente para este fim.
Diante do cenrio apresentado, os responsveis pelo Averiguao
laboratrio solicitam a realizao de uma percia, que De posse do trfego capturado durante a ao do intruso,
determine os principais aspectos da situao apresentada, inicia-se a anlise do evento. Tendo em vista a suspeita de que
possibilitando corrigir as eventuais falhas e tomar as devidas o mesmo realizava o escaneamento da rede, o primeiro passo
medidas administrativas e judiciais. da averiguao determinar qual o provvel endereo da rede
O ponto de incio justamente a autorizao formal pelos que estava sendo utilizado pelo escner do invasor.
responsveis. A partir deste momento, o perito inicia suas Utilizando-se a ferramenta Wireshark, possvel filtrar o
atividades, mapeando o cenrio do incidente, com vistas a ndice de ocorrncias de trfego dos endereos lgicos desta
definir o escopo de suas aes e a demanda de infraestrutura rede, conforme ilustrado pela Figura 4.
necessria s atividades.
Entradas
O primeiro passo, nesta etapa, realizado pelo perito a
aquisio de dados nas fontes. Pela avaliao do cenrio,
opta-se pela captura total do trfego da rede periciada, na
interface de entrada, utilizando-se a ferramenta tcpdump, em
linha de comando:
tcpdump -nn -i eth0 -w original. pcap
Por esta avaliao, pode-se afirmar que o escaneamento da endereo fsico (MAC) do invasor, pela observao de um
rede era realizado a partir do endereo IP 10.42.42.253. simples pacote, conforme Figura 6 abaixo:
Prosseguindo com a anlise, possvel determinar que o
Assim como o endereo fsico do host intruso, possvel Em continuidade aos trabalhos, efetua-se a anlise de
determinar o MAC e fabricante da interface dos demais hosts portas abertas na rede, as quais podem ser eventualmente
nesta rede e sua relao com os endereos lgicos. A Tabela exploradas pelo invasor, aps o escaneamento. O intuito deste
2, a seguir, mostra a relao de hosts completa para o trfego passo justamente indicar aos administradores quais as falhas
capturado. de segurana no sistema, para que os mesmos possam corrigi-
las posteriormente.
Tabela 2. Relao de hosts conforme trfego capturado Ainda utilizando-se o Wireshark, verificam-se, nas
evidncias, quais comunicaes foram realizadas com xito
pelo escner. A Figura 7 mostra o resultado da anlise, onde
se visualizam quais conexes TCP foram estabelecidas com
sucesso entre invasor e demais hosts. Interessante notar que a
varredura realizada pelo escner ocorre em outras portas, sem
sucesso.
As portas que permitiram o estabelecimento de conexo Tais resultados so apresentados formalmente na etapa
so 135 (epmap) e 139 (netbios-ssn - NETBIOS session seguinte.
service) (SPEEDGUIDE.NET, 2012). Estas portas so
largamente utilizadas por aplicaes em ambiente Windows, Sadas
especialmente para compartilhamento de arquivos e Finalizada a etapa de anlise, o analista responsvel pela
impressoras, porm so muito exploradas por vrus, cavalos percia tem como principais objetivos documentar e
de troia e outras pragas virtuais (SPEEDGUIDE.NET, 2012). apresentar os resultados obtidos. Nesta etapa, o perito elabora
O trfego capturado no possibilitou ao perito desvendar o laudo pericial, que formaliza a investigao realizada, e
detalhes externos rede, tais como dados de autoria e fonte pode, ainda, apresentar administrao um resumo,
da invaso. No entanto, foi possvel verificar as principais utilizando-se de recursos audiovisuais e ferramentas de
falhas de segurana desta rede, entre as quais as j citadas e a apresentao. O laudo elaborado neste estudo de caso segue
ausncia de firewall, que dificultaria a entrada do invasor. conforme Quadro 7, a seguir:
Quadro 7. Laudo elaborado para estudo de caso