Você está na página 1de 13

ISSN 2316-2872

T.I.S. So Carlos, v. 3, n. 1, p. 11-23, jan-abr 2014


Tecnologias, Infraestrutura e Software

Roteiro Investigativo em Percia Forense


Computacional de Redes: Estudo de Caso
Celso Carlos Navarro Modesto Junior, Jander Moreira
Resumo: Percia Forense Computacional a cincia que estuda as caractersticas intrnsecas ao processamento de dados realizado por
computador, a fim de descobrir informaes que evidenciem aes fraudulentas e crimes virtuais. Os resultados, obtidos atravs de tcnicas e
ferramentas de anlise em sistemas de informaes envolvidos, podem ser aplicados em processos legais. A percia forense computacional de
redes uma extenso desta cincia e tem como premissas capturar, gravar e analisar eventos ocorridos em uma rede de computadores,
servindo como fonte de prova em investigaes e auditorias. Este trabalho apresenta a conceituao dos principais termos, tcnicas e tipos de
ferramentas utilizados em percias forenses de redes, bem como prope um roteiro de investigao que permita orientar, de forma modular, a
realizao de percias em redes. Por fim, aplica-se ao roteiro proposto um estudo de caso que exemplifica sua utilizao prtica.

Palavras-Chave: segurana da informao, percia forense computacional, percia de redes, ataques em redes, intruso.

Investigative route in network computer forensics: Case study


Abstract: Computer Forensics is the science that studies the intrinsic characteristics of data processing performed by computer in order to
discover information evidencing fraudulent actions and virtual crimes. The results, obtained through analysis techniques and tools in involved
information systems, can be applied in legal proceedings. The network forensics is an extension of this science and its assumptions capture,
record and analyze events in a computer network, serving as a source ofevidence in investigations and auditing. This paper presents the main
concepts, techniques and types oftools used in network forensics, and it offers a route ofinvestigation that allows guiding, in a modular way,
the fulfillment ofdigital forensics. Finally, a case study illustrating its practical use is applied to the proposed script.

Keywords: information security, computer forensics, network forensics, network attacks, intrusion.

I. INTRODUO car as ameaas de cunho interno ou externo ao permetro da


Dada a importncia das comunicaes em rede para a mesma (ERBACHER; CHRISTIANSEN; SUNDBERG,
sociedade, bem como de toda a infraestrutura que as 2006). O nvel de detalhamento aplicado pode determinar em
suportam, a segurana em redes tornou-se um grande ponto que nvel ocorreu tais danos e quais foram os sistemas
de ateno. Diversas tcnicas tm sido desenvolvidas e atingidos.
melhoradas, visando identificar a ocorrncia de atividades Erbacher, Christiansen e Sundberg (2006) apontam para al-
maliciosas e possveis ataques em uma rede. Geralmente, guns questionamentos que devem ser respondidos pelo perito
aps a ocorrncia de um evento de segurana qualquer, os durante a anlise de um incidente. Pode-se afirmar que estas
analistas buscam determinar o que de fato ocorreu, mediante so perguntas-chave, que permitem estruturar o contexto de
anlise de registros (logs), dados de trfego de rede e atuao da percia. So elas:
estatsticas do sistema, entre outras fontes. O intuito
evidenciar e corrigir as possveis falhas de segurana que O que aconteceu?
proporcionaram s ameaas a efetivao das aes nocivas Por que aconteceu?
rede (ERBACHER; CHRISTIANSEN; SUNDBERG, 2006). Quando aconteceu?
Segundo Erbacher, Christiansen e Sundberg (2006), a per- Como aconteceu?
cia computacional forense aplicada a redes tem como foco
examinar eventuais dados, informaes e vestgios, visando Estas questes so tipicamente relacionadas percia
formar uma trilha de auditoria, capaz de elucidar e averiguar forense computacional, de forma geral, ou seja, aplicam-se
possveis atividades criminosas e/ou fraudulentas ligadas ao aos diversos ramos deste campo de estudo. Ao adapt-las
incidente. Ao utilizar as devidas fontes de dados, o perito tem realidade da comunicao em rede, bem como aos conceitos
a possibilidade de investigar e apontar as falhas e vulnerabili- de segurana envolvidos, temos a derivao de novos
dades que comprometem determinada rede, alm de identifi- questionamentos (ERBACHER; CHRISTIANSEN;

Departamento de Computao - Universidade Federal de So Carlos (UFSCar)


Caixa Postal 676 13.565-905 So Carlos SP Brasil
Autor para correspondncia: celso@celso.net.br, jander@ufscar.br
Celso Carlos Navarro Modesto Junior, Jander Moreira
SUNDBERG, 2006), intrnsecos a este contexto, a saber: tcnicas, mtodos e anlises intrnsecas ao processo e com
nveis de preciso cada vez maiores.
Quem o autor do ataque? Este trabalho trata da conceituao bsica de percia forense
Qual a extenso dos danos? computacional aplicada a redes de computadores, tais como
Qual a lgica de ao do ataque? sua definio, fatores de motivao, principais tipos, processos
Qual o nvel de acesso obtido pelo atacante? e fases periciais. Ainda, so apresentadas as ferramentas e
H plano de gerenciamento de riscos? tcnicas mais utilizadas.
H plano de continuidade do negcio? Aps o desenvolvimento do referencial terico, prope-se
um roteiro de investigao, baseado em modelo genrico
A correta identificao do atacante nem sempre possvel, aplicado percia forense computacional. Com intuito de
uma vez que pode ser limitada por eventuais falsificaes validar este roteiro, realiza-se estudo de caso, baseado em um
(spoofing, por exemplo). Ainda assim, a investigao em desafio elaborado pelo grupo Forensic Contest (LMG SECU-
busca da autoria e fonte do incidente auxilia a identificao de RITY, 2010), apresentando-se os principais resultados.
falhas, as quais podem ser reutilizadas em novos ataques Por fim, so propostas linhas de pesquisa para futuros tra-
(ERBACHER; CHRISTIANSEN; SUNDBERG, 2006). balhos envolvendo o tema abordado neste artigo e eventuais
Assim como importante identificar qual o foco do ataque, melhorias do roteiro investigativo.
o que permite determinar as aes de contingncia a serem
executadas, com intuito de recuperar os sistemas e dar II. REFERENCIAL TERICO
continuidade s atividades do negcio.
So aes vlidas, ainda, a identificao e qualificao dos A) Percia Forense Computacional
dados comprometidos, em nveis de sensibilidade, apurao
de responsabilidades iniciais e verificao de possveis Vacca (2005) define percia forense computacional como a
medidas (administrativas e/ou judiciais) cabveis, que podem coleta, preservao, anlise e apresentao de evidncias
ser tomadas a partir desta anlise inicial. relacionadas a ambientes computacionais. Estas evidncias
Em suma, cabe ao analista determinar as aes e reaes podem ser teis em investigaes de crimes cibernticos ou
envolvidas neste processo, em nvel de detalhamento tal que mesmo no relacionados diretamente ao campo da
seja possvel evitar ocorrncias futuras. Todo o trabalho reali- computao. Podem, ainda, servir como instrumento de
zado deve possibilitar, aps o encerramento da percia, que as anlise de vulnerabilidades em sistemas, bem como verificar o
devidas providncias administrativas e legais sejam tomadas nvel de utilizao dos recursos computacionais pelos
(ERBACHER; CHRISTIANSEN; SUNDBERG, 2006). usurios. Em outras palavras, o processo de anlise metdica
O processo de anlise objetiva, ainda, a mitigao de even- de dados, equipamentos e mdias, em busca de evidncias que
tuais riscos e vulnerabilidades. Sem a devida ateno, eventu- possam melhor detalhar atividades realizadas em determinado
ais falhas remanescentes podem continuar comprometendo o meio computacional.
sistema, bem como os dados e informaes. Caso isto ocorra, Segundo Ferreira (1999), o termo percia significa sabe-
novos incidentes (ataques, escutas de dados, difuso de cdi- doria, prtica, experincia, habilidade em alguma cincia ou
gos maliciosos e negao de servios, entre outros) podem arte; segundo o mesmo autor, o termo forense refere-se ao
acometer toda a rede (ERBACHER; CHRISTIANSEN; que vem do foro judicial; dos tribunais ou a eles relativo.
SUNDBERG, 2006). Sob essa perspectiva, pode-se afirmar que percia forense
Qualquer falha no rastreamento dos mecanismos utilizados refere-se utilizao de conhecimentos e habilidades em
pelo atacante pode resultar em novos ataques, provavelmente determinada cincia aplicados em carter judicial.
melhor executados. Assim, os detalhes que envolvem estas Com base nestas definies, pode-se caracterizar percia
aes precisam ser identificados, a fim de proteger a computacional forense como um ramo que combina elementos
propriedade intelectual das empresas, alm de permitir a jurdicos e da cincia da computao. Esta combinao visa
eventual tomada de medidas cunho jurdico e/ou coletar e analisar dados em sistemas, redes, bancos de dados e
administrativo, corretamente fundamentadas (ERBACHER; dispositivos de armazenamento, e possibilita a apresentao de
CHRISTIANSEN; SUNDBERG, 2006). A rastreabilidade das evidncias em ambientes jurdicos, sindicncias e processos de
ocorrncias permite, ainda, foco em aes de contingncia, elucidao de prticas lesivas ao ambiente computacional, de
execuo de planos de continuidade e retorno normalidade forma geral.
dos sistemas atingidos.
Todas as caractersticas citadas, envolvendo a criticidade do B) Processo Forense
processo de anlise, demonstram a necessidade de melhorias Kent et al. (2006) sugere que o processo pericial seja reali-
dos recursos, mtodos e tcnicas utilizados na investigao zado baseando-se em quatro fases: coleta, extrao, anlise e
dos fatos envolvidos, visto o crescente volume de ataques em documentao. Este processo bsico aplica-se percia
redes e recursos de comunicao, cada vez mais sofisticados. forense computacional de maneira geral, assim cabe sua
A percia forense aplicada a redes busca justamente alinhar as utilizao em percia aplicada a redes.
questes legais e administrativas capacidade do analista de A Figura 1 mostra o ciclo de vida deste processo. A seguir,
segurana em buscar vestgios de incidentes, atravs de uma descrio sucinta das fases citadas.

T.I.S. 2014; 3 (1): 11-23 12


Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
zando-se ferramentas e metodologias apropriadas. O intuito
desta fase , com base na anlise realizada, determinar ade-
quadamente as razes do incidente ou a impossibilidade de
quaisquer concluses face aos dados obtidos (KENT et al.,
2006).
Apresentao
Figura 1. Ciclo de vida do processo forense Adaptado de A tarefa do perito forense, nesta fase, elaborar relatrio
(KENT et al., 2006) tcnico, com a finalidade de documentar e apresentar os
Coleta resultados obtidos na fase anterior. Em particular, a atividade
de documentao e comunicao foca sobre os seguintes
Diz respeito identificao e coleta de dados que podem, aspectos das fases anteriores: mtodo de coleta/aquisio,
potencialmente, conter evidncias digitais, seguindo procedi- anlise dos fatos e o valor tcnico do contedo analisado
mentos que visem preservar a integridade dos dados e disposi- (KENT et al., 2006).
tivos. Este passo deve ocorrer imediatamente aps o conheci-
mento do incidente, visando reduzir eventuais perdas de in- C) Tipos de Percia Forense Computacional
formao. Esta fase subdivide-se em outras duas: identifica-
o de possveis fontes de dados e aquisio ou coleta dos A anlise realizada em percia forense computacional divi-
dados (KENT et al., 2006). de-se em dois tipos ou metodologias, que esto diretamente
Na primeira, o analista deve ser capaz de identificar e reco- ligadas volatilidade dos dados periciais (LILLARD et al.,
lher todas as possveis fontes de dados, tais como 2010). A seguir, temos a definio bsica destas metodologias.
computadores, laptops, servidores, dispositivos de
armazenamento e celulares entre outros. Com os avanos da Anlise Post-Mortem
tecnologia, novas fontes de dados surgem diariamente, o que Anlise realizada sobre dados no volteis, localizados nas
demanda do analista um ndice elevado de atualizao diferentes fontes. Esta anlise prev a cpia dos dados em
tecnolgica (KENT et al., 2006). mdia distinta, preservando-se as evidncias originais, como
importante, tambm, verificar a presena de informa-es forma de manter a integridade das provas, bem como permitir
teis localizadas em outros locais, tais como provedores de a eventual repetio da anlise (LILLARD et al., 2010)
acesso, a fim de detectar, por exemplo, possveis conexes de (MACEDO, 2010).
rede suspeitas.
A aquisio ou coleta de dados, por sua vez, subdivide-se Anlise em Tempo Real (Live)
em trs passos: desenvolvimento de plano para aquisio de Este tipo de anlise consiste na coleta e anlise de dados
dados, aquisio propriamente dita e verificao da integrida- com alto ndice de volatilidade, tais que o eventual desliga-
de dos dados. O desenvolvimento do plano de aquisio visa mento da fonte de dados ocasione a perda destas informaes.
elaborao do mesmo tendo em vista a combinao dos Como exemplos, pode-se citar a captura de estado da
seguintes fatores: valor da fonte, volatilidade e quantidade de memria, lista de processos ativos, usurios conectados e
esforo requerido. conexes de rede, entre outros (LILLARD et al., 2010)
A aquisio de dados pode ser realizada localmente, agindo (MACEDO, 2010).
diretamente sobre os sistemas que esto sendo analisados, ou
remotamente. Entretanto, ter a capacidade de realizar este D) Percia Forense Computacional Aplicada a Redes
trabalho localmente permite maior controle do perito sobre as
operaes. Kim, Kim e Noh (2004, p. 176) definem percia computa-
A verificao de integridade dos dados pode ser realizada cional forense aplicada a redes como sendo a ao de captu-
utilizando-se funes matemticas de comparao de resumos rar, gravar e analisar trilhas de auditoria de redes, visando
(digests) da fonte de evidncia em relao aos dados descobrir a fonte de brechas de segurana e outras
coletados, determinando a correspondncia dos dados. informaes relacionadas a problemas de segurana de redes.
Percia forense de redes assim definida por Palmer (2001,
Extrao p.17): utilizao de tcnicas cientificamente comprovadas
para coletar, unir, identificar, examinar, correlacionar, analisar
A segunda fase envolve a extrao de contedo da e evidenciar provas digitais de mltiplas fontes de processa-
informao de interesse particular, utilizando-se mtodos mento e transmisso, com a finalidade de revelar fatos rela-
forenses, visando preservar a integridade do material. Isto cionados inteno do atacante ou medio do sucesso
significa que a extrao de dados e sua posterior anlise so obtido em atividades no autorizadas, as quais tenham como
realizadas na cpia forense, de modo a manter inalteradas as objetivo interromper, corromper ou comprometer componen-
evidncias digitais presentes na fonte (KENT et al., 2006). tes do sistema, bem como fornecer informaes que contribu-
am para a resposta ou recuperao destas atividades.
Anlise O conceito bsico de percia forense em redes de computa-
A terceira fase refere-se anlise dos dados extrados, utili- dores trabalhar com dados encontrados em uma conexo de

13 TI.S. 2014; 3 (1): 11-23


Celso Carlos Navarro Modesto Junior, Jander Moreira
rede, analisando entradas e sadas de trfego entre hosts e sequncia, em modo de lote. Esta forma de tratamento requer
redes distintas. Mediante utilizao de equipamentos de maior espao de armazenamento. Estes sistemas so baseados
proteo, tais como firewalls e sistemas de deteco de em anlises post-mortem (GARFINKEL, 2012).
intruso (IDS), bem como dispositivos de rede, como Os sistemas Stop-Look-and-Listen so sistemas onde os pa-
roteadores, so gerados registros de dados trafegados (logs), cotes sofrem uma espcie de triagem ou anlise prvia, e
que so utilizados em anlises e procedimentos de percia somente algumas informaes so salvas para anlise futura.
forense em redes. Este mtodo requer maior poder de processamento para
Os objetivos destes procedimentos periciais so encontrar alcanar melhores resultados, vez que sua anlise prvia
fontes de eventuais ataques e indcios de atos ilcitos na rede ocorre em tempo real, conforme prev o tipo de anlise em
de dados, em carter interno ou externo a esta, possibilitando tempo real (live), citado anteriormente (GARFINKEL, 2012).
envidar os devidos esforos necessrios em mbito jurdico
e/ou administrativo. Isto validado atravs da definio B) Ferramentas de Anlise Forense de Redes (NFAT)
disponvel em Searchsecurity (2012), ao afirmar que a percia As ferramentas de anlise forense de redes (Network
forense em redes consiste na captura, gravao e anlise de Forensic Analysis Tools - NFAT) permitem o monitoramento
eventos de rede, com objetivo de descobrir a fonte de ataques de redes, visando reunir informaes sobre trfego, auxiliar na
de segurana. investigao e colaborar para a elaborao de respostas aos
Assim, pode-se afirmar que a percia forense em redes de incidentes de segurana, de forma adequada. Auxiliam, ainda,
computadores envolve o monitoramento de trfego da rede e na anlise de intruses e m utilizao de recursos de rede,
determinao da existncia de qualquer anomalia neste preveno a possveis ataques, avaliao de riscos, avaliao
trfego que indique a ocorrncia de um ataque. Caso as de desempenho da rede e proteo de propriedade intelectual
suspeitas se confirmem, ento deve ser determinada, em (SIRA, 2003).
seguida, a natureza do ataque. Ento, o trfego capturado, Segundo Singh (2009), trs so as funes bsicas que as
preservado, analisado e uma resposta ao incidente deve ser NFAT devem desempenhar: captura de trfego, anlise do
obtida da maneira mais eficiente possvel, dadas as condies. trfego capturado, conforme necessidades do perito, e intera-
O nmero cada vez maior de incidentes de segurana, o apropriada entre o analista e a ferramenta.
assim como o incremento no nvel de sofisticao dos ataques Estas ferramentas, em conjunto com firewalls e IDS, viabi-
e exploits, so as principais motivaes para a melhoria e o lizam a preservao de registros de trfego, o que determi-
estudo continuado de tcnicas de percia forense em redes de nante para o levantamento de evidncias, bem como para
computadores. Somado a isso, o maior nmero de transaes caracterizar eventuais repeties e similaridades em movi-
comerciais realizadas em rede requer condies de segurana mentos de ataque (COREY et al., 2002). Facilitam, assim, a
favorveis por parte de organizaes e clientes, bem como o organizao das informaes capturadas e a descoberta de
atendimento a rgos reguladores, em determinados ramos de padres de trfego na rede.
atuao, no que tange o cumprimento de normas que Algumas destas solues so agrupadas e disponibilizadas
garantam um nvel mnimo de segurana. Assim, a percia em distribuies Linux, especialmente construdas para fins
forense em redes visa atender as necessidades de todos os de percia forense. So exemplos desse tipo de distribuio
envolvidos. Caine, INSERT e Protech (LJUBUNCIC, 2012) (MALWARE
HELP.ORG, 2012).
III. TCNICAS E F ERRAMENTAS Existem, atualmente, vrias ferramentas com estes
Dando continuidade conceituao de percia forense em propsitos, sejam elas solues livres ou comerciais. As
redes, nesta seo so acentuadas algumas caractersticas ferramentas Kismet (KERSHAW, 2012), tcpdump (TCP-
tcnicas, que indicam como so classificados os sistemas DUMP/LIBPCAP, 2012) e Xplico (COSTA; FRANCESCHI,
periciais e como estas tcnicas influenciam na realizao da 2012) esto disponveis para plataformas Unix-like, enquanto
percia. O conhecimento destes sistemas fundamental para a ferramenta NetworkMiner (NETRESEC, 2012) est
decidir sobre quais ferramentas e mtodos de anlise sero disponvel somente para a plataforma Windows. Algumas
utilizados durante a percia. Em seguida, conceituam-se as delas, como Netflow (FORENSICS WIKI, 2012),
ferramentas de anlise forense de redes (NFAT), que so utili- desenvolvida para o ambiente Cisco, so especficas de
zadas na aplicao das tcnicas indicadas nesta seo e plataformas proprietrias e com propsitos estritamente
constituem fundamentais instrumentos de auxlio ao perito e definidos. Outras, tais como NetDetector (NIKSUN, 2012),
sua equipe. nmap (LYON, 2012), Snort (SNORT BRASIL, 2012) e
Wireshark (COMBS et al., 2012), possuem verses para
A) Sistemas de Percia Forense de Redes diversas plataformas, embora sejam desenvolvidas por
Garfinkel (2012) classifica os sistemas de percia de redes comunidades ligadas filosofia open-source, exceo da
em dois tipos: catch-it-as-you-can e stop-look-and-listen. primeira, que tem foco e desenvolvimento comerciais.
Os sistemas Catch-It-As-You-Can so aqueles onde todos A Tabela 1 apresenta, de maneira sucinta, as solues cita-
os pacotes passam por um ponto de trfego comum, sendo das, com destaque para suas principais suas principais funcio-
capturados e armazenados. Sua anlise realizada em nalidades, alm das plataformas e tipos de licena disponveis
para cada uma delas.

T.I.S. 2014; 3 (1): 11-23 14


Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso

Tabela 1. Exemplos de ferramentas utilizadas em percia forense de redes.

Alm das solues citadas, os sistemas operacionais tam- dentro de situaes especficas, permitindo que incrementos
bm possuem, em suas instalaes padres, aplicaes em sejam realizados em face s necessidades intrnsecas ao
linha de comando, as quais podem ser utilizadas como ferra- contexto de investigao.
mentas de apoio s NFAT. So exemplos destes utilitrios: O modelo de investigao genrico proposto por Yusoff,
traceroute, netstat, ping, whois, nslookup, wget, arp, iperf, lft, Ismail e Hassan (2011) contm as fases descritas a seguir,
tcpreplay, entre muitos outros (FORENSICWIKI, 2012). conforme ilustra a Figura 2, que ainda mostra o
relacionamento entre as fases. A Figura 3 mostra, de maneira
IV. PROPOSTA DE ROTEIRO DE INVESTIGAO PERICIAL EM sucinta, as fases do roteiro de investigao pericial em redes
REDES (INTRUSO) proposto neste trabalho, as quais so mais bem definidas
Conforme Yusoff, Ismail e Hassan (2011), muitas so as adiante.
propostas de modelos investigativos utilizados em percia
forense de redes, o que pode ocasionar certa confuso a
iniciantes nesta rea, quanto sua utilizao. Assim, estes
autores propem um modelo genrico de investigao, tendo
como referencial de pesquisa as principais propostas
desenvolvidas at o momento, a partir da realizao de
estudos comparativos entre estas.
A proposta que motiva este trabalho, baseando-se na
pesquisa citada no pargrafo anterior, formular um roteiro
de base para a realizao de anlises periciais em redes,
especificamente de atividades de intruso ou invaso. Sendo
assim, um dos objetivos a descrio de procedimentos
necessrios para realizao de uma investigao especfica,
assim formalizando os requisitos mnimos para alcanar
resultados satisfatrios. Em paralelo, focar a utilizao, em
cada passo do roteiro proposto, de ferramentas baseadas em
software livre e ambiente Linux.
Entretanto, importante enfatizar que, por tratar-se de
proposta de construo de um roteiro bsico, este no
extingue a possibilidade de alteraes no fluxo, a critrio do
analista. Visa, sim, oferecer uma linha mestra de atuao Figura 2. Modelo Genrico de Investigao Forense
Adaptado de (YUSOFF; ISMAIL; HASSAN, 2011)

15 TI.S. 2014; 3 (1): 11-23


Celso Carlos Navarro Modesto Junior, Jander Moreira

Figura 3. Proposta de Roteiro de Investigao Pericial em Redes - Etapas


Pr-processamento Apresentao
Visa apreciar as demandas e necessidades da investigao a Nesta fase, todos os resultados obtidos pela anlise de
ser iniciada. Neste ponto, so obtidas as aprovaes dados so devidamente documentados e apresentados s
administrativas necessrias para o incio dos trabalhos, bem autoridades competentes. A principal preocupao, neste
como so realizados os primeiros passos na preparao da momento, o de apresentar adequadamente os dados obtidos,
infraestrutura e do ambiente de investigao. Pode ser de modo a tornar estes resultados os mais claros possveis; por
entendida, em aspectos gerenciais, como o ponto de abertura consequncia deste trabalho, tem-se a possibilidade de provar
do processo. a ocorrncia ou no dos atos cujos fatos foram inicialmente
levantados.
Aquisio e preservao
Nesta fase, as atividades de manipulao dos dados brutos, Ps-Processamento
especificamente sua identificao, aquisio, coleta, A ltima fase compreende a finalizao dos trabalhos,
transporte, armazenamento e preservao, so efetivamente mediante reviso de processos empregados, visando avaliar e
realizados. Neste ponto, ocorre o que se pode denominar corrigir eventuais falhas, evitando que tais ocorram em
triagem do material coletado, envidando esforos para que investigaes futuras. Ainda, importante que todo material
os dados estritamente relevantes sejam capturados, de anlise, principalmente aquele de maior relevncia do
armazenados e disponibilizados etapa de anlise do processo, seja devolvido aos responsveis, zelando por seu
processo. armazenamento em local seguro.
Em primeira anlise, verifica-se que o modelo apresentado
Anlise pelos pesquisadores guarda similaridades com o processo
Embora todo o processo investigativo seja relevante, esta forense genrico proposto por Kent et al. (2006). Como
fase pode ser considerada como o corao do modelo pericial principais diferenciais em relao quele, tm-se a existncia
proposto. Neste ponto, os dados coletados so apreciados de fases de pr e ps-processamento e a condensao das
mediante utilizao de mtodos de anlise os mais diversos, etapas de Coleta e Extrao em apenas um passo (Aquisio e
tendo em vista identificar e averiguar os principais pontos de Preservao).
interesse na investigao, tais como o alvo e a fonte do
ataque, quais mtodos foram utilizados, autoria da fraude, Roteiro de Investigao de Intruso em Redes
entre outros aspectos fundamentais. O roteiro definido nesta seo aplica os conceitos de
Yusoff, Ismail e Hassan (2011), adaptando-os para o contexto

T.I.S. 2014; 3 (1): 11-23 16


Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
de investigao de intruso de redes. Na descrio de cada nesta atividade, tcnicas tais como cpia da imagem dos
etapa do roteiro, h a indicao das principais ferramentas discos, alm de clculo, comparao e validao da
utilizadas. Faz-se importante ressaltar que possvel utilizar a integridade mediante algoritmos de hash (MD5, SHA). As
mesmo recurso em mais de uma etapa, com finalidades principais ferramentas utilizadas para estas atividades so
distintas. Tambm essencial esclarecer que a relao de indicadas no Quadro 2 (FORENSICS WIKI, 2012).
aplicaes indicada no possui carter definitivo, sendo que
quaisquer itens podem ser alterados, desde que por ferramenta Quadro 2. Ferramentas sugeridas para cpia de dados
correlata. Assim, a proposta de roteiro deve ser observada sob
o ponto de vista de um guia, estritamente como forma de
orientao. As etapas do roteiro so descritas a seguir.
Deteco de Intruso Incio dos Trabalhos
Assim como descrito no modelo apresentado por Yusoff, Transferncia segura dos dados, caso a anlise seja
Ismail e Hassan (2011), na etapa de pr-processamento, a realizada em equipamento distinto. A preocupao com a
primeira etapa deste roteiro visa iniciar os trabalhos de segurana nesta etapa abrange aspectos de manuteno da
investigao. A solicitao de investigao pode ocorrer a privacidade, confiabilidade e integridade do material.
partir, por exemplo, da demanda de usurio ou rea de uma Tcnicas como a utilizao de redes virtuais privadas (VPN),
empresa, ou da suspeita, por parte do administrador de rede de protocolos de segurana e criptografia so teis nesse aspecto.
que a mesma est sendo invadida. Pode, ainda, ocorrer fatos No Quadro 3 so indicadas as principais ferramentas
que determinem uma eventual invaso, tal como a alterao utilizadas, com intuito de garantir as principais caractersticas
indevida da pgina institucional da empresa. de segurana da informao, necessrias para a transferncia
Uma vez que a investigao tenha sido solicitada, segura dos dados obtidos (FORENSICS WIKI).
importante que esta, antes de se iniciar, seja avalizada pelos
nveis hierrquicos mais elevados, para que tenha validade e Quadro 3. Ferramentas para transferncia de dados
reconhecimento administrativos.
Nesta fase, o perito deve realizar tambm a preparao do
ambiente a ser analisado. Para tanto, essencial mapear as
informaes iniciais obtidas junto aos responsveis e planejar
os objetivos da percia e a infraestrutura necessria para a
mesma, entre outras questes. Preservao e armazenamento dos dados brutos, em
lo-cal e mdia seguros, tendo como objetivo a manuteno da
Evidenciao - Entradas disponibilidade das evidncias originais. Eventuais medidas
Seguindo com o andamento dos trabalhos, esta etapa visa judiciais e administrativas, que sejam necess-rias em
obteno e manipulao de evidncias junto s principais consequncia aos resultados da investigao, podem exigir a
fontes de dados. So atividades intrnsecas a esta etapa: utilizao deste material. Ainda, durante a etapa de anlise,
novas cpias podem ser necessrias. Uma soluo livre que
Aquisio de dados juntos s principais fontes, tais atende s demandas citadas o aplicativo Amanda Network
co-mo: trfego de pacotes na rede, arquivos de registros (logs) Backup (AMANDA, 2012)
de equipamentos e servios de rede, firewalls e sistemas de Embora a etapa descrita a seguir (Averiguao) seja
deteco de intruso (IDS), registros de a-cesso de usurios, considerada como ponto principal deste roteiro de
registros de auditoria das aplicaes e computadores investigao, a execuo eficaz da fase de Evidenciao
eventualmente afetados, entre outros. O Quadro 1 apresenta as imprescindvel para o sucesso da mesma. Qualquer falha na
principais ferramentas utilizadas na aquisio de dados, de execuo dos passos citados pode ser determinante para o
acordo com sua principal fun-cionalidade dentro desta fracasso de toda a percia.
modalidade (FORENSICS WI-KI, 2012). Averiguao Processamento de Dados
Quadro 1. Ferramentas para aquisio de dados A investigao, propriamente dita, das causas e demais
caractersticas da intruso realizada nesta etapa. Uma vez
dispondo o analista de um conjunto satisfatrio de evidncias,
parte-se para o processamento destas, desenvolvendo-se as
seguintes atividades:
Anlise dos dados obtidos, utilizando-se de mtodos
e tcnicas tais como anlise de pacotes, minerao, recu-
perao de dados, descriptografia, engenharia reversa, anlise
de protocolos e descoberta de dados ocultos, en-tre outros. O
Cpia bit-a-bit dos dados obtidos, de modo a garantir Quadro 4 concatena as principais ferramen-tas utilizadas em
a integridade e segurana dos dados brutos. So utilizadas, anlise de dados, de acordo com sua principal funcionalidade

17 TI.S. 2014; 3 (1): 11-23


Celso Carlos Navarro Modesto Junior, Jander Moreira
(FORENSICS WIKI, 2012). faam necessrias (PIMENTA, 2007).
O nvel de detalhamento deve ser o suficiente para que o
Quadro 4. Ferramentas para anlise de dados laudo seja claro, conciso e de leitura facilitada por pblico
no ligado rea-fim (PIMENTA, 2007). No Quadro 6,
prope-se um modelo bsico de laudo pericial, a ser aplicado
proposta de roteiro investigativo abordada neste trabalho.
Quadro 6. Modelo de Laudo Pericial

Investigao de autoria e fonte dos ataques, podendo


utilizar tcnicas como descoberta de localizao atravs do
endereo lgico (IP) do atacante, pesquisa em rede, percia
forense computacional remota, entre outras. O Quadro 5 traz
um resumo das principais ferramentas disponveis para
investigao de autoria e fonte, de acordo com suas principais
funcionalidades e aplicaes (FORENSICS WIKI, 2012).
Quadro 5. Utilitrios para investigao de autoria e fonte
Avaliao da Percia Finalizao dos Trabalhos
A etapa de Avaliao da Percia permite revisar todo
processo de investigao, tendo como objetivo viabilizar a
melhoria contnua das atividades periciais. Para alcanar os
resultados almejados, o perito pode lanar mo de tcnicas
que permitam uma avaliao completa de suas atividades.
Ferramentas como formulrios de auto avaliao,
questionrios preenchidos pelos solicitantes e demais
envolvidos na percia, benchmarking, entre outras.
Todo material coletado durante a realizao da percia deve
As atividades incorridas nesta fase permitem que os ser devolvido aos responsveis, garantindo a privacidade e
principais aspectos que envolvem a intruso sejam sigilo das informaes de terceiros.
amplamente detalhados. Dessa maneira, deve possibilitar a Como ltimo passo, ainda, importante encerrar todos os
reconstruo do ataque e sua anlise temporal, assim como processos e demais documentos que porventura estejam
determinar a fonte e, se possvel, a autoria do mesmo. pendentes, com aval dos responsveis, finalizando
oficialmente os trabalhos.
Apresentao de Resultados - Sada
Efetuada a averiguao dos dados, cabe ao perito relatar e V. ESTUDO DE CASO
apresentar suas concluses aos responsveis. Este processo
envolve a elaborao de laudo pericial e documentao das Estudo de Caso O Invasor Curioso
atividades realizadas, bem como dos resultados obtidos, tais O caso utilizado neste trabalho baseado no desafio
como: cenrio do ataque, autoria, cronograma das aes, formulado pelo grupo de estudos forenses Forensic Contest,
impactos nos sistemas envolvidos, entre outros. denominado The Curious Mr. X (LMG SECURITY, 2010).
Neste momento, o analista pode se utilizar de ferramentas Diversos grupos de pesquisa, tais como o citado, divulgam
de apresentao e documentao, as quais permitam a correta informaes relacionadas rea de percia forense, alm de
visualizao dos eventos apurados pelos envolvidos. desafios e situaes-problema para resoluo. Esse tipo de
O laudo pericial deve apresentar informaes como: autor prtica estimula a busca pelo conhecimento, por parte dos
do laudo, dados dos participantes, descrio das ocorrncias analistas de segurana e demais interessados, preparando-os
com avaliao do impacto de cada uma, descrio do para eventuais situaes reais.
processo de obteno e anlise das evidncias, tcnicas e
ferramentas utilizadas, resultados obtidos, concluso do Cenrio
perito acerca das investigaes, documentao comprobatria
das informaes apresentadas e demais informaes que se A situao proposta trata de uma invaso ocorrida na rede

T.I.S. 2014; 3 (1): 11-23 18


Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso

de um laboratrio de pesquisas nucleares, com sede no rtico. indica o nome do arquivo para o qual o trfego capturado ser
No entanto, o intruso no consegue passar despercebido, ao direcionado (PEREIRA, 2012).
realizar o escaneamento da rede em busca de eventuais A captura realizada at que se tenha material suficiente
brechas de segurana, j que a mesma totalmente para anlise e evidenciao. Uma vez gerado o arquivo pela
monitorada. Tal monitoramento emite um alerta, em virtude ferramenta citada (original.pcap), o perito deve fazer a cpia
da queda de desempenho causada pelo aumento no trfego, o do mesmo, para utilizao na etapa seguinte, mantendo o
que supe a necessidade de anlise mais detalhada do arquivo original em local seguro.
problema (LMG SECURITY, 2010). Para tal, utiliza-se a ferramenta dd, em linha de comando,
conforme segue:
Aplicao do Roteiro Proposto
dd if=original. pcap of=copia. pcap
Os itens a seguir demonstram a aplicao de cada etapa do
roteiro proposto ao caso apresentado. Nestas etapas, so O comando acima l o arquivo de entrada, denominado
utilizadas as devidas ferramentas (NFAT), conforme original.pcap, com a opo if e grava seu contedo, bit-a-
necessrio. importante ressaltar que no h a bit, no arquivo de sada copia.pcap, indicado com a opo
obrigatoriedade na utilizao das ferramentas indicadas neste of. Em seguida, o arquivo gerado utilizando-se o comando
estudo de caso, ou seja, podem ser aplicadas outras que anterior validado em relao ao original, com a gerao do
cumpram com os mesmos objetivos, em substituio. resumo ou hash MD5 dos mesmos e efetuando sua
As NFAT utilizadas neste estudo de caso so: tcpdump comparao. A ferramenta md5sum, em linha de comando,
(captura de pacotes), dd (cpia de dados bit-a-bit), md5sum aplicada a cada um dos arquivos e o resultado obtido deve o
(gerao de resumo ou hash dos arquivos gerados, para mesmo para ambos, conforme segue:
verificao de integridade dos dados), Wireshark (anlise de
pacotes, verificao de falhas na rede com base no trfego) md5sum original. pcap
(FORENSICS WIKI, 2012) (TCPDUMP/LIBPCAP, 2012) 804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 original. pcap
(COMBS et al., 2012). A escolha de cada uma delas justifica- md5sum trafego. pcap
se por serem ferramentas open source, disponveis para a 804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 copia. pcap
plataforma Linux, sendo que as trs primeiras so
normalmente encontradas nativamente em distribuies desta Como a percia est sendo realizada localmente, a
plataforma (FERREIRA, 2008). A opo por Wireshark deu- utilizao de VPN ou protocolos de segurana para
se, ainda, por emisso de resultados grficos que facilitam as transferncia segura dos dados dispensada. O
aes e tomada de decises. armazenamento do arquivo original realizado em mdia
Incio dos Trabalhos
destinada exclusivamente para este fim.
Diante do cenrio apresentado, os responsveis pelo Averiguao
laboratrio solicitam a realizao de uma percia, que De posse do trfego capturado durante a ao do intruso,
determine os principais aspectos da situao apresentada, inicia-se a anlise do evento. Tendo em vista a suspeita de que
possibilitando corrigir as eventuais falhas e tomar as devidas o mesmo realizava o escaneamento da rede, o primeiro passo
medidas administrativas e judiciais. da averiguao determinar qual o provvel endereo da rede
O ponto de incio justamente a autorizao formal pelos que estava sendo utilizado pelo escner do invasor.
responsveis. A partir deste momento, o perito inicia suas Utilizando-se a ferramenta Wireshark, possvel filtrar o
atividades, mapeando o cenrio do incidente, com vistas a ndice de ocorrncias de trfego dos endereos lgicos desta
definir o escopo de suas aes e a demanda de infraestrutura rede, conforme ilustrado pela Figura 4.
necessria s atividades.
Entradas
O primeiro passo, nesta etapa, realizado pelo perito a
aquisio de dados nas fontes. Pela avaliao do cenrio,
opta-se pela captura total do trfego da rede periciada, na
interface de entrada, utilizando-se a ferramenta tcpdump, em
linha de comando:
tcpdump -nn -i eth0 -w original. pcap

O comando acima especifica a interface onde ser realizada


a captura de pacotes, pela opo i eth0. A opo nn
indica ao aplicativo para no realizar a resoluo de nomes de
protocolos ou portas. Por fim, a opo -w original.pcap Figura 4. ndices de ocorrncias de trfego por IP

19 TI.S. 2014; 3 (1): 11-23


Celso Carlos Navarro Modesto Junior, Jander Moreira
Verifica-se na Figura 4 que, no intervalo de captura, o trfego entre os endereos. Interessante notar que o ndice de
endereo 10.42.42.253 participa de 99,15% das comunicao entre o IP citado e os demais superior aos
comunicaes. Na Figura 5, a seguir, tem-se a distribuio do demais e segue uma escala aproximada de trfego.

Figura 5. Distribuio do trfego entre hosts

Por esta avaliao, pode-se afirmar que o escaneamento da endereo fsico (MAC) do invasor, pela observao de um
rede era realizado a partir do endereo IP 10.42.42.253. simples pacote, conforme Figura 6 abaixo:
Prosseguindo com a anlise, possvel determinar que o

Figura 6. Determinao do endereo fsico (MAC) do invasor

Assim como o endereo fsico do host intruso, possvel Em continuidade aos trabalhos, efetua-se a anlise de
determinar o MAC e fabricante da interface dos demais hosts portas abertas na rede, as quais podem ser eventualmente
nesta rede e sua relao com os endereos lgicos. A Tabela exploradas pelo invasor, aps o escaneamento. O intuito deste
2, a seguir, mostra a relao de hosts completa para o trfego passo justamente indicar aos administradores quais as falhas
capturado. de segurana no sistema, para que os mesmos possam corrigi-
las posteriormente.
Tabela 2. Relao de hosts conforme trfego capturado Ainda utilizando-se o Wireshark, verificam-se, nas
evidncias, quais comunicaes foram realizadas com xito
pelo escner. A Figura 7 mostra o resultado da anlise, onde
se visualizam quais conexes TCP foram estabelecidas com
sucesso entre invasor e demais hosts. Interessante notar que a
varredura realizada pelo escner ocorre em outras portas, sem
sucesso.

T.I.S. 2014; 3 (1): 11-23 20


Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso

Figura 7. Conexes estabelecidas pelo invasor (portas abertas)

As portas que permitiram o estabelecimento de conexo Tais resultados so apresentados formalmente na etapa
so 135 (epmap) e 139 (netbios-ssn - NETBIOS session seguinte.
service) (SPEEDGUIDE.NET, 2012). Estas portas so
largamente utilizadas por aplicaes em ambiente Windows, Sadas
especialmente para compartilhamento de arquivos e Finalizada a etapa de anlise, o analista responsvel pela
impressoras, porm so muito exploradas por vrus, cavalos percia tem como principais objetivos documentar e
de troia e outras pragas virtuais (SPEEDGUIDE.NET, 2012). apresentar os resultados obtidos. Nesta etapa, o perito elabora
O trfego capturado no possibilitou ao perito desvendar o laudo pericial, que formaliza a investigao realizada, e
detalhes externos rede, tais como dados de autoria e fonte pode, ainda, apresentar administrao um resumo,
da invaso. No entanto, foi possvel verificar as principais utilizando-se de recursos audiovisuais e ferramentas de
falhas de segurana desta rede, entre as quais as j citadas e a apresentao. O laudo elaborado neste estudo de caso segue
ausncia de firewall, que dificultaria a entrada do invasor. conforme Quadro 7, a seguir:
Quadro 7. Laudo elaborado para estudo de caso

21 TI.S. 2014; 3 (1): 11-23


Celso Carlos Navarro Modesto Junior, Jander Moreira
Finalizao dos Trabalhos REFERNCIAS
Aps a elaborao e entrega do laudo, bem como ALMULHEM, A.; TRAORE, I.. Experience with Engineering
apresentados os resultados alta administrao e demais a Network Forensics System. In: THE INTERNATIONAL
interessados, nesta etapa o perito finaliza os trabalhos da CONFERENCE ON INFORMATION NETWORKING.,
percia. Para tanto, gera as mdias, conforme observaes 2005, Jeju. Lecture Notes in Computer Science. Berlim:
indicadas no laudo, com intuito de devolver aos responsveis Springer-Verlag, 2005. Disponvel em:
do processo todo material utilizado. Tendo em vista manter a <http://www.ccse.kfupm.edu.sa/~ahmadsm/papers/almulh
integridade das evidncias, entre outras caractersticas, alguns em05a.pdf>. Acesso em: 11 ago. 2012.
detalhes so observados: arquivo de registro de trfego AMANDA. Amanda Network Backup: Open Source Backup
original armazenado em mdia distinta da cpia; for Linux, Windows, UNIX and OS X. Disponvel em: <
armazenamento em mdias de tipos diferentes; gerao de http://www.amanda.org/>. Acesso em: 22 ago. 2012.
cpia da documentao elaborada pelo perito durante a COMBS, G. et al. Wireshark: Go deep. Disponvel em:
investigao. <http://www.wireshark.org/>. Acesso em: 22 ago. 2012.
O perito responsvel solicita, a seu critrio, que os COREY, V. et al. Network Forensics Analysis. IEEE Internet
solicitantes avaliem o trabalho realizado, alm de poder Computing Magazine, Piscataway, v. 6, n. 6, p.60-66, 01
sugerir a realizao de auto avaliao da equipe, conforme nov. 2002.
sugerido no roteiro deste trabalho. Depois de realizadas as COSTA, G.; FRANCESCHI, A. Xplico: Network Forensic
devidas avaliaes, a alta administrao efetiva o Analysis Tool (NFAT). Disponvel em:
encerramento oficial da percia. <http://www.xplico .org/>. Acesso em: 22 ago. 2012.
ERBACHER, R. F.; CHRISTIANSEN, K.; SUNDBERG, A.
VI. CONCLUSES E TRABALHOS F UTUROS Visual Network Forensic Techniques and Processes. In:
Este trabalho no tem a pretenso de esgotar as possveis ANNUAL SYMPOSIUM ON INFORMATION
situaes de investigao forense em redes, mas sim colaborar ASSURANCE, 1., 2006, Albany. Proceedings of the 1st.
com a proposta de um modelo genrico de roteiro pericial. Annual Symposium on Information Assurance. Albany:
Com esse propsito, em que pese o cenrio de estudo aplicado University at Albany, 2006. p. 72 - 80.
nesta pesquisa, sugere-se ainda a realizao de novos casos de FERREIRA, A. B. H. Novo Aurlio Sculo XXI: o dicionrio
estudo, que possibilitem maior gama de situaes-problema. da lngua portuguesa. 3 ed. Rio de Janeiro: Nova
Com isso, pode-se validar o roteiro proposto com maior Fronteira, 1999.
propriedade e confiabilidade. FERREIRA, R. E. Linux: Guia do Administrador do Sistema.
Estudos adicionais e futuros podem contemplar situaes 2 ed. So Paulo: Novatec, 2008.
envolvendo ambientes virtualizados, redes complexas, redes FORENSICS WIKI (Comp.). Tools: Network Forensics.
de automao, redes de telefonia celular (3G e 4G), redes Disponvel em: <http://www.forensicswiki.org/wiki/Tools:
formadas por dispositivos mveis, em plataformas Android Network_Forensics>. Acesso em: 22 ago. 2012.
(Google), iOS (Apple) e Windows Phone. Outro aspecto GARFINKEL, S. Network Forensics: Tapping the Internet.
importante, que demanda aprofundamento, relaciona-se s O'Reilly Media, 2002. Disponvel em: <http://
questes legais, sobretudo abordagem das leis brasileiras www.oreillynet.com/pub/a/network/2002/04/26/nettap.htm
sobre o objeto de estudo deste trabalho. l>. Acesso em: 13 ago. 2012.
O roteiro prtico do processo apresentado neste trabalho KENT, K. et al. Guide to Integrating Forensic Techniques into
estabelece, primeiramente, um ponto de apoio a percias em Incident Response: Recommendations of the National
redes, sem, no entanto, torn-las algo esttico. Ao contrrio, a Institute of Standards and Technology. Gaithersburg:
linha de investigao proposta visa guiar o perito em uma NIST, 2006. Special Publication.
linha-mestra, porm concedendo a este a liberdade na tomada KERSHAW, M. Kismet. Disponvel em: <http://www.kismet
de decises, seja utilizando-se ferramentas diferentes das wireless.net/documentation.shtml>. Acesso em: 22 ago.
sugeridas, ou at mesmo por solues que envolvam 2012.
caminhos distintos aos apresentados. KIM, J.; KIM, M.; NOH, B. A Fuzzy Expert System for
O desenvolvimento deste trabalho possibilita, ainda, a Network Forensics. In: ICCSA (Comp.). Computational
criao de uma base de conhecimento comum, mesmo que de Science and Its Applications ICCSA 2004: Lecture
maneira simplista. Sabe-se que o estudo de caso aplicado ao Notes in Computer Science. 3043. ed. Berlim: Springer-
roteiro no determina sua validao, visto no haver Verlag, 2004. p. 175-182.
suficiente material estatstico que sustente tal possibilidade, LILLARD, T. et al. Digital Forensics for Network, Internet,
alm de no contemplar todos os passos propostos. and Cloud Computing: A Forensic Evidence Guide for
Entretanto, seu estudo atinge o resultado previsto Moving Targets and Data. Burlington: Syngress, 2010.
inicialmente, atravs da elaborao de laudo pericial vlido e LJUBUNCIC, I. Protech: A Linux forensics distro you want.
consistente, demonstrando que perfeitamente factvel sua Disponvel em: <http://www.dedoimedo.com/computers
utilizao em ambiente de produo. /protech.html>. Acesso em: 22 ago. 2012.
LMG SECURITY. Puzzle #4: The Curious Mr. X. Network
Forensics Puzzle Contest. Disponvel em: <http://forensics

T.I.S. 2014; 3 (1): 11-23 22


Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
contest.com/2010/02/03/puzzle-4-the-curious-mr-x>. 2007. Disponvel em: <http://www.datasecurity.
Acesso em: 22 ago. 2012. com.br/index.php/biblioteca/file/12-pericia-forense-
LYON, G.. Guia de Referncia do Nmap: Pgina do Manual. computaci onal-baseada-em-sistema-operacional-
Disponvel em: <http://nmap.org/man/pt_BR/>. Acesso windows-xpprofessiona l>. Acesso em: 23 ago. 2012.
em: 22 ago. 2012. QUEIROZ, C.; VARGAS, R. Investigao e Percia Forense
MACEDO, G. M. Investigao Forense Digital de Rootkits Computacional: Certificaes, Leis Processuais e Estudos
em Sistemas Unix. 2010. 72 f. Monografia (Bacharelado) de Caso. Rio de Janeiro: Brasport, 2010.
- Curso de Cincia da Computao, Instituto de SEARCHSECURITY. What is network forensics? Disponvel
Informtica, Universidade Federal do Rio Grande do Sul, em: <http://searchsecurity.techtarget.com/defini tion
Porto Alegre, 2010. Disponvel em: /network-forensics>. Acesso em: 11 ago. 2012.
<http://www.lume.ufrgs.br/bitstream/ SINGH, O. Network Forensics. ISEA Workshop on Network
handle/10183/26345/000757798.pdf?sequence=1>. Traffic Capturing & Analysis, 2009. Disponvel em:
Acesso em: 12 ago. 2012. <http://www.iitg.ernet.in/cse/ISEA/isea_PPT/ISEA_02_09
MALWARE HELP.ORG. Free Forensic Software Tools. /NForensics-IIT%20Guwahati-21Feb2009OVS.pdf>.
Disponvel em: Acesso em: 15 ago. 2012.
<http://www.malwarehelp.org/forensic_tools .html>. SIRA, R. Network Forensics Analysis Tools: An Overview of
Acesso em: 22 ago. 2012. an Emerging Technology. Maryland: Sans Institute, 2003.
NETRESEC. NETRESEC NetworkMiner: The Network 12 p. Global Information Assurance Certification (GIAC)
Forensics Analysis Tool. Disponvel em: <http://www.net Paper. Disponvel em:
resec.com/?page=NetworkMiner>. Acesso em: 22 ago. <http://www.giac.org/paper/gsec/2478/ network-forensics-
2012. analysis-tools-overview-emerging-technolo gy /104303>.
NIKSUN. NIKSUN: NetDetector Alpine. Disponvel em: Acesso em: 14 ago. 2012.
<http://www.niksun.com/product.php?id=4>. Acesso em: SNORT BRASIL. SNORT Brasil: O Snort. Disponvel em:
22 ago. 2012. <http://www.snort.com.br/>. Acesso em: 22 ago. 2012.
OPENMANIAK. Wireshark - The Easy Tutorial: Statistics. SPEEDGUIDE.NET. SpeedGuide.net: Broadband Tweaks,
Disponvel em: Tools and Info. Disponvel em:
<http://openmaniak.com/wireshark_stat.php>. Acesso em: <http://www.speedguide.net/>. Acesso em: 30 ago. 2012.
30 ago. 2012. TCPDUMP/LIBPCAP. TCPDUMP/LIBPCAP: public
PALMER, G.. A Road Map for Digital Forensic Research. repository. Disponvel em: <http://www.tcpdump.org/>.
Utica: DFRWS, 2001. 48 p. DFRWS Technical Report. Acesso em: 22 ago. 2012.
Disponvel em: <http://www.dfrws.org/2001/dfrws-rm- VACCA, J. R. Computer Forensics: Computer Crime Scene
final.pdf>. Acesso em: 13 ago. 2012. Investigation. 2. ed. Hingham: Charles River Media, 2005.
PEREIRA, Pedro. Tutorial de TCPDump. Disponvel em: YUSOFF, Y.; ISMAIL, R.; HASSAN, Z. Common Phases
<http://www.pedropereira.net/como-usar-o-tcpdump/>. of Computer Forensics Investigation Models. International
Acesso em: 22 ago. 2012. Journal Of Computer Science & Information Technology,
PIMENTA, F. A. Percia forense computacional baseada em ndia, p. 17-31. 01 jun. 2011.
sistema operacional Windows XP Professional. Sorocaba,

23 TI.S. 2014; 3 (1): 11-23

Você também pode gostar