Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Exercicio Network Forense

    Enviado por

    Sandro Melo
    3 visualizações3 páginas

    Título original

    EXERCICIO_NETWORK_FORENSE

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    3 visualizações3 páginas

    Exercicio Network Forense

    Enviado por

    Sandro Melo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    EXERCÍCIOS

    Estudo de Caso GatoMolhado Corp.

    Nas corporações GatoMolhado Corp, ocorreu um incidente de segurança em um


    servidor. O administrador responsável ao perceber o problema na segunda-feira pela
    manhã tomou a iniciativa de realizar uma Resposta ao incidente seguindo as
    orientações que aprendeu em um curso de Pós Graduação na disciplina de
    Computação Forense.

    Um ponto relevante é que o administrador responsável também mantinha um Firewall


    Bridge, onde ficava ativo um Sniffer colhendo dados da comunicação dos servidores
    para realizar análises posteriores em busca de potenciais atividades que poderiam
    caracterizar um Incidente de Segurança.

    Este exercício consiste na realização de uma análise do arquivo PCAP denominado


    gatomolhado.pcap, gerado por um sniffer ativo no Firewall Bridge.

    O arquivo está disponível em:


    http://www.ginux.ufla.br/~sandro/pdf_forensic/gatomolhado.pcap

    Figura 1 – Cenário onde ocorreu o Incidente de Segurança


    Questão I - Analisando o contexto, realize uma investigação Forense buscando
    cruzar dados das informacões coletadas no Firewall Brigde, utilizando as ferramentas
    FOSS para “Network Forensic”, com o objetivo de reconstruir todos os passos
    executados pelo invasor. À partir da análise deverá ser gerado um “Relatório
    Técnico” explicando de forma detalhada o que ocorreu, respondendo as seguintes
    questões:
    a) O invasor utilizou alguma técnica de levantamento de dados como footprint,
    fingerprint e port scanner? Se sim qual foi? É possível identificar qual as ferramentas
    e técnicas utilizadas?

    b) Ocorreu uma invasão? Caso sim por qual serviço? Qual vulnerabilidade foi
    explorada? Comente a respeito de como a Vulnerabilidade se concretizou em
    ameaça?

    c) Caso a invasão tenha ocorrido após ganhar acesso o invasor instalou alguma
    backdoor ou mesmo um rootkit?

    d) É possível recuperar os códigos fonte ou mesmo os binários que o invasor possa


    ter instalado?

    e) É possível identificar alguma ação de tentativa de eliminação de rastros ou mesmo


    o uso de alguma técnica antiforense? De que forma?

    f) Cada arquivo recuperado deverá ser tratado como um artefato e caberá uma
    análise dinâmica do mesmo.
    Estudo de Caso Tambaqui Corp.

    Contexto: Nas corporações TambaquiCorp ocorreu um incidente de segurança em


    um servidor. O administrador responsável ao perceber o problema na segunda-feira
    pela manhã tomou a iniciativa tomou a iniciativa de realizar uma Resposta a Incidente
    seguindo as orientações que aprendeu em um curso de Pós Graduação na disciplina
    de Computação Forense.

    Devido ao fato de ter aprendido as boas práticas do uso da Perícia Forense em uma
    Resposta a Incidente, ele realizou o procedimento da Live Forense colendo todas as
    informações voláteis do sistema operacional do respectivo servidor.

    Em seu projeto de rede como é ilustrado na figura 1, vale destacar, o fato de


    configurar no seu switch gerenciável um espelhamento de porta, espelhando tudo
    que iria para o servidor para um IDS Snort, onde também recolheu dados, para uma
    posterior Network Forensic, do /var/log/snort, ou seja os arquivos PCAP gerados e
    arquivos de Alerta.

    Fez o desligamento da máquiva direto na fonte elétrica e gerou uma copia da


    imagem do disco utilizando o utiliário DD.

    É importante também salientar que este servidor era um sistema Linux que tinha os
    respectivos serviços: SMTP, POP3 e TELNET.

    1 - Analisando o contexto e de posse de todas as informações coletadadas realize


    um uma investigação Forense buscando cruzar dados utilizando as informacões
    coletadas na Live Forensic com os dados levantados na “Network Forensic” e Post
    Mortem Forensic/ com o objetivo de reconstruir todos os passos executados pelo
    invasor. A partir da análise deverá ser gerado um “Relatório Técnico” explicando de
    forma detalhada o que ocorreu respondendo questões simples como:

    a) O invasor utilizou alguma técnica de levantamento de dados como footprint,


    fingerprint e port scanner? Se sim qual foi? É possível identificar qual a técnica
    utilizada?

    b) Ocorreu uma invasão? Se sim por qual serviço? Qual vulnerabilidade foi
    explorada? Comente a respeito de como a Vulnerabilidade se concretizou em
    ameaça se o administrador instalou versões atualizadas do Servidor Web?

    c) Caso a invasão tenha ocorrido após ganhar acesso o invasor instalou alguma
    backdoor ou mesmo um rootkit?

    d) É possível recuperar os códigos fonte ou mesmo os binários que o invasor possa


    ter instalado?

    e) É possivel identificar alguma ação de tentativa de eliminação de rastros ou mesmo


    o uso de alguma técnica anti-forense?

    Você também pode gostar