leni varela - forense computacional

Universidade Jean Piaget de Cabo Verde

Campus Universitrio da Cidade da Praia Caixa Postal 775, Palmarejo Grande

Cidade da Praia, Santiago Cabo Verde

3.1.12

Leni freire Joaquim Varela

Forense Computacional em servidor IIS 5.0


Campus Universitrio da Cidade da Praia Caixa Postal 775, Palmarejo Grande

Cidade da Praia, Santiago Cabo Verde

3.1.12

Leni Freire Joaquim Varela

Forense Computacional em servidor IIS 5.0

Leni Freire Joaquim Varela, autor da

monografia intitulada Forense Computacional

em servidor IIS 5.0:, declaro que, salvo fontes

devidamente citadas e referidas, o presente

documento fruto do meu trabalho pessoal,

individual e original.

Cidade da Praia aos 30 de Setembro de 2010

Leni Freire Joaquim Varela

Memria Monogrfica apresentada


como parte dos requisitos para a obteno do

grau de Licenciatura em Engenharia de

Sistemas e Informtica.

Lista de Acrnimos

DoS Daniel of Services (Negao de Servios).

DDoS Distributed Denial of Services (Negao de Servio Distribuido).

IDS - Sistema de Deteco de Intruso.

CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana.

IIS - Internet Information Services.

NCSA - National Center for Supercomputing applications.

IIS - Internet Information server.

W3C - World Wide Web Consortium.

UTC - Universal Coordinated Time (Tempo Coordenado Universal).

ASP - Active Server Pages (Pginas de Servidor Ativas).

Sumrio

Nas ltimas dcadas a utilizao de computadores tornou-se parte integrante da vida das

pessoas, permitindo o aparecimento de vrios tipos de crimes electrnicos. Neste contexto,

importante que as organizaes se preparem para investigar casos que envolvem a informtica

e adoptem procedimentos vlidos e confiveis que permitem recuperar os dados dos

computadores envolvidos em actividades ilcitas. A Forense Computacional, so tcnicas que

permitem-nos recolher, identificar, analisar e apresentar evidncias de crimes digitais.

Pretende-se com este trabalho, apresentar as principais tcnicas de Forense Computacional em

servidor IIS 5.0 da Microsoft.

Palavras-chave: segurana, Forense computacional, evidncias, Servidor IIS.

Agradecimentos

A Deus que esteve sempre comigo durante esta empreitada.

A minha me pela confiana, amor e carinho transmitidos a mim durante toda a minha vida.

Ao meu orientador Isaas Barreto Rosa pela oportunidade, ateno e aprendizado.

Em especial aminha esposa Samirapelo amor, companhia, amizade, incentivo, discusses

enriquecedoras e sobretudo por ter me apoiado muito tanto no mundo virtual com no mundo

real.

E a todos que contriburam para a minha formao, especialmente a minha filha Alysa e aos

meus familiares.

Forense Computacional em Servidor IIS 5.0

7/92

Contedo CAPTULO 1: INTRODUO ...................................................................................... 11

1 Contextualizao ......................................................................................................... 11 2 Objectivo ..................................................................................................................... 12 3 Motivaes ................................................................................................................... 12

4 Estrutura do trabalho ................................................................................................ 12

CAPTULO 2: SEGURANA COMPUTACIONAL ................................................... 14 1 Contextualizao ......................................................................................................... 14 1.1 Proteco da informao .............................................................................................. 14

2 A evoluo da criminalidade e evoluotecnolgica ................................................ 15

3 Ataques e vulnerabilidades ........................................................................................ 18 3.1 Formas de ataques e invases ....................................................................................... 19 3.2 A necessidade de novas leis.......................................................................................... 21

CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0 ................ 23 1 Contextualizao ......................................................................................................... 23 1.1 Introduo cincia forense ......................................................................................... 23 1.2 Forense Computacional ................................................................................................ 23

1.2.1 Forense na web ................................................................................................. 24 1.3 Evidncia Digital .......................................................................................................... 27

1.3.1 O Professional .................................................................................................. 28 1.3.2 Metodologia Forense para obteno de evidncias .......................................... 29

1.3.3 Fonte das evidncias ......................................................................................... 32 1.3.4 Perfil e mtodos de operao do atacante ......................................................... 35

1.4 Tcnicas anti-forense .................................................................................................... 38

1.4.1 Identificao da autoria .................................................................................... 38 1.4.2 Criptografia ....................................................................................................... 39

1.4.3 Esteganografia .................................................................................................. 39

2 Servidor Web Microsoft IIS ................................................................................... 39 2.1 Microsoft IIS ................................................................................................................ 40

2.1.1 Histria e evoluo ........................................................................................... 41

2.2 Arquitectura .................................................................................................................. 49 2.3 Arquivos de Log ........................................................................................................... 50

2.3.1 W3C Extended Log File Format ...................................................................... 50

2.3.2 Microsoft IIS Log File Format ......................................................................... 54 2.3.3 NCSA Common Log File Format .................................................................... 55 2.3.4 Log ODBC ........................................................................................................ 55 2.3.5 Log Binrio Centralizado ................................................................................. 56

2.3.6 Nomes de Arquivos de Log .............................................................................. 56

3 Ferramentas Forense .................................................................................................. 58 3.1 Forense na Web ............................................................................................................ 58 3.2 Uso geral ....................................................................................................................... 59

4 Enquadramento legal ................................................................................................. 64 4.1 A lei e a criminalidade informtica .............................................................................. 65 4.2 Legislao vigente ........................................................................................................ 66

CAPTULO 4: ESTUDO DE CASO INVESTIGAO FORENSE NA MQUINA SUSPEITA 68

1 Apresentao ............................................................................................................... 68


8/92

1.1 Diagrama de rede .......................................................................................................... 69 1.2 Instalao e configurao do Servidor IIS 5. ................................................................ 70 1.3 Configuraes a nvel do Sistema Operativo ............................................................... 73 1.4 Configuraes a nvel do Router .................................................................................. 74

1.4.1 Realizao de testes .......................................................................................... 75 1.5 Testes de intruso ......................................................................................................... 76 1.6 Consideraes Finais .................................................................................................... 79

2 Investigao ................................................................................................................. 79 2.1 Sondagem ...................................................................... Erro! Marcador no definido.

2.2 Apresentao ................................................................................................................ 80 2.2.1 Registos de Ocorrncias ................................................................................... 80

2.3 Consideraes Finais .................................................................................................... 86

CAPTULO 5: CONCLUSO ......................................................................................... 87


9/92

Tabelas Tabela 1: Localizao de artifactos do Internet Explorer (Bueno, 2007). ................................ 25 Tabela 2: Relao entre a habilidade do invasor e a quantidade de evidncia deixadas .......... 38 Tabela 3: Extenses do IIS 7 .................................................................................................... 47 Tabela 4: Definies do Log do W3C Extended Log File Format (Freitas, 2006) ............... 52 Tabela 5: Definies de Log de Contabilizao de Processos (Freiras, 2006) ......................... 53

Tabela 6: Nome de arquivos de Log (Freitas, 2006) ................................................................ 58


10/92

Figuras Figura 1 - Evoluo dos Incidentes de segurana Brasil ....................................................... 16 Figura 2 - Factores princiapais de crimes e perdas ................................................................... 19 Figura 3 - Arquitectura extensvel para um sistema automatizado de analise forense ............. 31 Figura 4 - Exemplo de um W3C Extended Log File Format ................................................... 51 Figura 5 Tela principal da ferramenta CallerIp ..................................................................... 61 Figura 6 Interface grfica da FDTK-UbuntuBr ..................................................................... 63 Figura 7 Low Orbit Cannon (LOIC) ..................................................................................... 64 Figura 8 - Diagrama de rede: .................................................................................................... 69 Figura 9 - Instalao do Servidor IIS 5.0 ................................................................................. 70

Figura 10 - Teste do Servio IIS ............................................................................................... 71 Figura 11 - GUI de configuraes do Servidor Web ................................................................ 71 Figura 12 - Janela principal de configurao do Servidor IIS 5. ............................................. 72

Figura 13 - GUI de configurao da Auditoria de Segurana .................................................. 74 Figura 14 - Configurao do Dynamic DNS ............................................................................ 75 Figura 15 - Teste de resoluo de nome ................................................................................... 76 Figura 16 - Teste servidor pgina web .................................................................................. 76 Figura 17 Varredura de portas ............................................................................................... 77 Figura 18 Ataque de Brute Force .......................................................................................... 78 Figura 19 Ataque do tipo DoS- iniciado ................................................................................ 79 Figura 20 - Arquivo de log W3C .............................................................................................. 80 Figura 21 Espelhamento de site ............................................................................................. 81 Figura 22 - Varredura vulnerabilidades .................................................................................... 82 Figura 23 Ataque de Negao Servio .................................................................................. 83 Figura 24 Injeo SQL 1 ....................................................................................................... 83 Figura 25 Injeco SQL 2 ...................................................................................................... 84 Figura 26 - Verificao de arquivos alterados .......................................................................... 85 Figura 27 - Log IDS ................................................................................................................. 86


11/92

CAPTULO 1: INTRODUO

1 Contextualizao

O presente trabalho, intitulado "Forense Computacional em Servidor IIS 5.0" propicia o

estudo de um conjunto de tcnicas que possibilitam a investigao de crimes praticados nos

mesmos.

Com o desenvolvimento das tecnologias de informao e do acesso cada vez maior da

populao s suas facilidades e servios, alguns aspectos na vida sofreram profundas

transformaes, tais como a difuso de dados, as transaces comerciais e bancrias, a

segurana de dados cadastrais, entre outras.

Por consequente, os prejuzos causados sociedade e empresas so enormes, havendo a

necessidade de combater essa nova modalidade criminosa.

Nesta ptica, surge a necessidade do uso de tcnicas de Forense Computacional que nos

permite conduzir uma investigao estruturada com uma metodologia que possa determinar o

que acorreu, como ocorreu e quem foi o responsvel.


12/92

2 Objectivo

Este trabalho tem por objectivo apresentar um Estudo da Forense Computacional em Servidor

IIS 5.0.

Os objectivos especficos so:

Descrio detalhada sobre onde, como e o que procurar em um servidor web sistema

comprometido;

Instalao, configurao e disponibilizao de um servidor web para eventuais

ataques;

Recolha, anlise e apresentao de evidncias;

Apresentao de ferramentas de investigao de crimes digitais;

Enquadramento legal das evidncias

3 Motivaes

Porque os servidores webs so as principais vitimas de ataques realizados por meios

da internet;

E por ser a Forense Computacionaluma cincia que permite estudar e obter provas de

crimes digitais.

4 Estrutura do trabalho

O trabalho est dividido em 5 Captulos:

No captulo 2, Segurana Computacional, sero apresentados alguns aspectos fundamentais

de segurana como as ameaas, vulnerabilidades e as formas de ataques aos sistemas

informticos. Tambm sero apresentados alguns aspectos legais.


13/92

No captulo 3, tema principal deste trabalho Forense Computacional em Servidor IIS

5.0, sero apresentados um conjunto de tcnicas forense utilizadas durante uma investigao

aps intruso. Tambm ser explicado detalhadamente toda a parte terica sobre o

funcionamento de servidor web, desde arquitectura, instalao, configurao, segurana,

arquivos de log e a auditoria no IIS. Este captulo servir de base para desenvolvimento do

estudo de caso.

No captulo 4, Estudo de caso, ser apresentado um estudo de caso prtico, dividido em duas

partes: uma em que ser montada um servidor web (correndo o servio IIS 5.0) e

disponibilizado na internet para ataque; e a parte de investigao forense no servidor

comprometido.

No captulo 5, Concluso, procura-se de uma forma bem resumida, mostrar a importncia da

forense computacional no tratamento dos incidentes de segurana e uma anliseda lei no

domnio dos crimes informtica em Cabo Verde.

Na Recomendaes, ser feito algumas recomendaes no domnio da segurana, dos espetos

legais e sobre as boas prticas de investigao forense.


14/92

CAPTULO 2: SEGURANA COMPUTACIONAL

O presente capitulo aborda a relao entre a evoluo da tecnologia no mundo e

consequentemente o surgimento de novas formas de crimes realizados por meios de

computador. Ainda abordaalguns aspectos relacionados com segurana da informao,

ataques e vulnerabilidades de sistemas e a necessidade de novas leis. Esses itens so a

motivao principal para o surgimento da forense computacional, o temo deste trabalho.

1 Contextualizao

medida que a tecnologia progride, novas vulnerabilidades vo surgindo. Por isso, torna-se

necessrio ter conhecimento geral destas vulnerabilidades ou pontos fracos de forma a se

prevenir melhor das ameaas e assim reduzir os impactos que possam causar.

Neste contexto, necessrio a utilizao de um conjunto de mecanismo de segurana que

permite a sua proteco contra os potenciais agressores.

1.1 Proteco da informao


15/92

A informao tornou-se uma necessidade crescente para qualquer sector da actividade

humana. Tambm, por assumir, hoje em dia, uma importncia crescente e fundamental

sobretudo a nvel da empresa, necessrio estabelecer politicas de segurana como forma de

garantir a sua proteco contra a sua utilizao mal intencionada ou agressores.

Segundo Bueno (2007), a proteco da informao o objectivo principal das reas

relacionadas segurana da informao. Para o mesmo autor, proteger dados computacionais

significa assegur-los de destruio e comprometimento.

Para proteger tal contedo, usado vrios mecanismos de segurana, como a autenticao,

confidencialidade, integridade, controlo de acesso, entre outros. Uma outra forma de proteger

a informao aplicar a manuteno da segurana, pois, esta impede a informao de ser

perdida.

2 A evoluo da criminalidade e evoluotecnolgica

A evoluo da tecnologia e sua popularizao, tem sido, de uma forma geral, a uma

velocidade muito maior que a legislao preventiva, situao esta que causa grande

preocupao. Com isso quer-se dizer que a sua evoluo est proporcionando uma dimenso

da criminalidade, pois a criminalidade tecnolgica aumenta em proporo da tecnologia.

Como podemos observar, a tecnologia dos computadores est envolvida em um nmero

crescente de actividades ilcitas comoa invaso de sistemas, os delitos e fraudes informticos,

a disseminao da pornografia infantil e entre outros.

O caso do Brasil

Brasil, um exemplo de Pas considerado como a referncia mundial em crimes cometidos

via internet. As estatsticas revelam que o Brasil o pas com o maior nmero de hackers

especialista no mundo.

Segundo dados divulgados pelo Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurana no Brasil (CERT.br), a evoluo dos crimes virtuais causados por ataques


16/92

(invases, scan, fraude, ataques a servidores web e Denial of Service) aumentaram

progressivamente de 3107 no ano 1999 para 358343 no ano 2009 e, com uma diminuio

brusca para 61147 no ano 2010 como mostra a figura a seguir:

Figura 1 - Evoluo dos Incidentes de segurana Brasil

Fonte: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br). Disponvel em: http://www.cert.br/stats/incidentes/

Como podemos verificar, no ano 1999 houve um nmero total de 3107 incidentes, e segundo

a CERT.br, dos 3107 incidentes, 4 correspondem a fraudes, 21 correspondem ao DOS (Denial

of Service), 128 corresponde a invases, 183 corresponde ao aw (ataques a servidores web),

658 correspondem a af (Ataque ao usurio final), 845 correspondem a axfr (tentativa de

obter/actualizar mapas de DNS) e 1268 correspondem a scan.

O ano 2009 foi o ano com maior nmero de incidentes at a presente data, pois atingiu um

total de 358343 incidentes. As fraudes aumentaram para 250362, DOS para 896, invases

para 111, scan para 52114, web para 5592, worm para 45099 e 4169 correspondentes a outros

tipos de ataques.


17/92

J no ano 2010, tais incidentes tiveram uma diminuio brusca de 358343 em 2009 para

61147 em 2010, com um nmero total de worm correspondente a 4761, DOS a 5, invaso a

12, scan a 17023, web a 1881, fraude a 8060 e um valor total de 1080 correspondente a outros

tipos de notificaes de incidentes que no enquadram na categoria anteriores.

O caso dosE.U.A

De acordo com a pesquisa 2004 E-Crime Watch, conduzida pela revista CSO com o apoio

do servio secreto dos Estados Unidos e do CERT, em 2003, invases, ataques, disseminao

de vrus, spams entre outras actividades considerados crimes digital custaram s empresas

Norte-Americana um valor total de 666 milhes de escudos US.

Um novo estudo realizado pela verizon com dados do Servio Secreto dos EUA, o chamado

2010 Verizon Data Breach Investigations Reporter, oferece um quadro bastante amplo da

natureza e das causa do cibercrimes em vrios pases do mundo. O estudo destaca a

participao de funcionrios das empresas, na chamada engenharia social e participao

cada vez maior do crime organizado neste tipo de delito. Porm, em termos gerais, o nmero

de crimes com dados electrnico caiu em 2009, em comparao com anos anteriores.(fonte:

http://tecnovarejo.blogspot.com/2010/08/varejo-e-alvo-prioritario-de-crimes.html)

Segundo a mesma fonte, o Varejo est entre os trs sectores mais afectados pelo furto e

vazamento de dados sigilosos (informaes privadas de consumidores, como documentos e

nmeros de cartes de crdito), representando 15% do total de crimes. O sector financeiro

lidera com 33% dos casos, seguido pela rea de hospitalidade e hotelaria com (23%). Ainda, a

incluso de dados do Servio Secreto do governo americano, que investiga crimes financeiros,

permitiu que o estudo inclusse e comparasse dados sobre crimes electrnico ocorridos nos

ltimos seis anos. O estudo inclui mais de 900 ocorrncias, que causaram quase 1 milho de

dados sigilosos roubados.

Entre as principais concluses do estudo esto:

A grande maioria dos vazamentos de dados (69%), foi comandada por fontes externos,

enquanto apenas 11% incluem a participao de parceiros comerciais;


18/92

Quase metade dos crimes (49%) foram causados por agentes internos, um crescimento

significativo que o estudo atribui incluso de dados do Servio Secreto;

48% dos vazamentos foram atribudos a utilizadores que abusaram do seu acesso

privilegiado dos dados empresariais, com intenes criminosas. Quase 40% dos casos

tiveram a participao dos hackers, enquanto 28% foram causados pela manipulao

de contactos sociais e 14% resultou de ataques fsicos a computadores de empresas;

Assim como nos anos anteriores, quase todos os casos de 2009 indicam o furto atravs

de servidores de aplicativos online, e 85% dos casos foram considerados de baixa

dificuldade pela pesquisa;

Um dado importante que 79% das vtimas no adaptavam o padro de encriptao

PCI-PSS, considerado o mais importante para a proteco de dados privados.

E para finalizar, a queda do nmero total de casos em 2009 em comparao a 2008 atribuda

a uma srie de factores, incluindo uma maior eficincia das polticas de segurana, tanto

pblicas como privadas. O estudo no detectou nenhuma correlao entre o tamanho de uma

empresa e o seu risco de sofrer um ataque ciberntico. Segundo os pesquisadores da Verizon,

os criminosos geralmente escolhem seus alvos em funo do possvel valor do furto e do

custo do delito, sem dar grande importncia ao tamanho e localizao da vtima.

3 Ataques e vulnerabilidades

Segundo (Bueno, 2007), organizaes pblicas e privadas so, constantemente, alvo de

ataques de todo o tipo. Um levantamento realizado por (Icove et al, 1995) indica, segundo

Bueno, que informalmente contabiliza-se que as perdas financeiras atingem a bilhes de

dlares. Por outro lado, neste mesmo estudo, foi mostrado que esses ataques so praticados

no apenas por pessoas de fora da organizao, mas tambm pelos prprios funcionrios da

empresa, como mostra a figura abaixo. Muitas vezes os funcionrios demitidos promovem

ataques a sistemas como forma de vingana.

Tambm as vulnerabilidades de hardware e software podem incluir actos ilcitos como roubo

e destruio de activos de rede e at mesmo softwares proprietrios. Geralmente, esses crimes


19/92

no so enquadrados, juridicamente, em uma legislao especifica sobre crimes de

computadores. Normalmente esses crimes so enquadrados na violao da integridade do

patrimnio, pois o autor do crime no fez o uso direito da tecnologia de informao, nem da

comunicao computacional para cometer o acto ilcito segundo (Da Silva Rodrigues &

Caricatti, 2004) citado por (Bueno, 2007).

Figura 2 - Factores princiapais de crimes e perdas

(adaptado por Icove et al, 2005)

3.1 Formas de ataques e invases

Backdoors

Para (Lim-Apo, 2004), um backdoor um mecanismo sorrateiramente introduzido nos

sistemas de um computador para facilitar o acesso no autorizado a este sistema. Portanto,

eles podem ser instalados para acessar vrios recursos e so mais frequentemente instalados

pelos atacantes que tenham comprometido um sistema para tornar mais fcil o seu retorno ao

sistema, preferencialmente de forma menos visvel.

Segundo o mesmo autor, alguns dos tipos mais comuns de backdoors tem propsito de

disponibilizar servios tais como: SSH, Rlogin, Telnet, FTP, Root prompt, Nasper, Gnutella.

Cavalos de tria


20/92

Cavalo de Tria, segundo (Lim-Apo, 2004) um programa destrutivo que se apresenta

aparentemente como uma aplicao benigna. Diferentemente dos vrus, este no se replica por

se s, mas pode ser to destrutivo quanto um vrus.

Ainda, segundo o mesmo autor, alguns cavalos de Tria podem vir em forma de proteco de

tela, por exemplo, um protector de tela que captura as teclas pressionadas em seu teclado

(keylogger) ou que captura a rea da tela de cada clique dado por seu mouse (mouselogger).

Criptanlise

O objectivo da criptanlise , descobrir textos ocultados usando cifras ou descobrir segredos

usados em sistemas de cifras para ocultar um ou mais textos. Pode ser usado para: (Zquete,

2010).

Obteno do texto original relativo a um dado criptograma;

Obteno da chave de cifra (ou de uma outra equivalente) usada para produzir um ou

mais criptograma;

Obteno do algoritmo de cifra (ou de um outro equivalente) usado para produzir um

ou mais criptogramas.

Ainda, segundo o mesmo autor, as tcnicas de criptanlise so inmeras e seria fatisdioso

enumer-las todas. Importa, no entanto, referir as formas de ataques criptanalticos mais

significativas:

Ataques usando apenas o criptograma (ciphertextt-only attackes): Nestes ataques

procura-se descobrir um texto original ou uma cifra (algoritmo ou chave) que

originaram um dado criptograma, partindo apenas do conhecimento deste ltimo;

Ataques com conhecimento do texto original (known-plaintext attacks): Neste

ataque procura-se descobrir parte do texto original ou uma cifra (algoritmo ou chave)

que originaram um dado criptograma, partindo do conhecimento deste ltimo e de

parcelas do texto original;

Ataques com texto original escolhido (chosen-plaintext attacks): Nestes ataques

procura-se descobrir uma cifra (algoritmo ou chave) usados num sistema

criptogrfico, introduzindo no mesmo texto escolhido, analisando o criptograma

resultante;


21/92

Ataques com texto original escolhido de forma adaptativa (adaptative chosen-

plaintext attacks): Estes ataques souma variante dos que usam texto escolhido; a

diferena est no facto de parte do texto introduzido ser escolhido em funo dos

criptogramas obtidos anteriormente;

Ataques com criptogramas escolhidos (chosen-ciphertxt attacks): Estes ataques so

uma variante dos que usam texto escolhido; adiferena est no facto de se introduzir

criptogramas no sistema criptogrfico e analisar o mesmo a partir dos textos originais

produzidos (ou a partir das reaces causadas pela recepo desses textos originais);

Ataques do aniversrio (birthday attacks): Estes ataques so uma variante dos que

usam pesquisa exaustiva. Tm este nome porque, segundo o paradoxo do aniversrio,

conseguem chegar a uma soluo num nmero de tentativas inferior, prximo da raiz

quadrada do que partida seria expectvel.

3.2 A necessidade de novas leis

A popularizao do computador e da internet passou a ser vista por indivduos mal

intencionados como mais um meio de realizar crimes.

Normalmente, nos Pases mais desenvolvidos onde existe uma legislao forte contra os

crimes electrnicos, os criminosos da internet tendem a fugir, pois j sabem que num pas

onde existe uma legislao forte sero facilmente sancionados no caso de cometerem delitos.

Portanto, esses criminosos ao fugirem tem tendncia em refugiar-se para os pases onde no

existe uma legislao especfica para esses crimes, ou se existe, ento muito fraco.

Em Cabo Verde, ainda no existir uma legislao especfica que trata de crimes desta

natureza, o que pode constituir uma grande ameaa.

Uma das formas de preveno contra esse tipo de situao investindo na legislao. Com

isso, est-se a querer dizer que se o pas tiver uma legislao forte, os criminosos mantm em

distncia e at mesmo os provedores, um dos principais causadores desses problemas

passaro a se preocupar principalmente quando ficarem a saber de que podem ser chamados


22/92

em juzos ou notificados para prestarem informaes sobre eventos ocorridos dentro de seus

sistemas.


23/92

CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0

1 Contextualizao

1.1 Introduo cincia forense

Cincia Forense, segundo Smola (2007) uma rea interdisciplinar que aplica um amplo

espectro de cincias com o objectivo de dar suporte, respondendo perguntas s investigaes

relativas ao sistema legal, mais precisamente ligadas justia civil e criminal. Entre seus

desafios est a identificao do crime, o rastreamento das etapas que o precederam, a

localizao e preservao de evidncias e a gerao de documento de suporte legal.

1.2 Forense Computacional

Segundo Lim-Apo (2004), O termo forense origina-se do meio policial, onde peritos

investigadores procuram analisar de forma minuciosa tudo que encontram na cena do

crime

Dentro do contexto electrnico, a Forense, segundo (Menegotto, 2004) compreende a

aquisio, preservao, identificao, extraco, restaurao, anlise e a documentao de

evidncias computacionais. Este processo permite o rastreamento, identificao e


24/92

comprovao da autoria de aces no autorizadas como violaes de normas internas e at

mesmo crimes electrnicos.

1.2.1 Forense na web

Histrico e cache

Ao contrrio dos cookies, fornece pouca informao conclusiva, os tens de histrico e cache

possibilitam tirar concluses slidas a respeito da navegao na internet realizada na mquina

investigada. Esses dois itens foram criados, como um meio de permitir a navegao e facilitar

consultas a itensrecm-conquistados. Desta forma eles podem ser usados na forense para

reconstruir a navegao de utilizadores. Portanto, o histrico de um navegador de internet

regista a lista de URLs acessados recentemente pelos utilizadores do sistema. O cache diz

respeito a acumulao de contedos acessados, como pginas e imagem, na mquina do

cliente (Bueno, 2007).

Segundo (Bunting & Wei, 2006) citado por (Bueno, 2007), de forma geral, cada navegador

adopta uma forma diferente para guardar os registos de histrico de um utilizador. Por

exemplo, no Internet Explorer definido um arquivo de ndice denominado index.dat, um

para cada dia de navegao.

No Mozilla Firefox definido um nico arquivo history.dat, o qual armazena todas as

entradas dohistrico. Particularmente, no Windows os arquivos de ndice no registam apenas

pginas e arquivos da Web associados via Internet Explorer; quaisquer arquivos abertos

dentro da prpria mquina sero registado no seu respectivo ndice. Por exemplo, arquivos de

texto, imagens, MP3, etc acessados no dia XX sero inseridos no index.dat desse dia, porm

usando o termo inicial file:/// para indicar que um arquivo local (Bueno, 2007).

Localizao em disco

Segundo (Bueno, 2007), no Mozilla Firefox, o histrico armazenado na pasta abaixo (pode

sofrer alguma alterao de acordo com a verso do navegador usado):

X:\Documents and Settings\\Dados de aplicativos


25/92

\Mozilla\Firefox\Profiles\\history.dat

Diferentemente do Mozila, no internet explorer, a localizao dos itens de histrico, cache e

cookies encontra-se nas pastas de acorde com a tabela abaixo:

Item Localizao

Cache (Temporary Internet File) X:\Documents and Settings\

\ Configuraes locais\Temporary Internet

Files

\Content.IE5

Histrico (History)

X:\Documents and Settings\

\Configuraes locais\Histrico

\History.IE5

Cookies

X:\Documents and

Settings\\Cookies

Tabela 1: Localizao de artefactos do Internet Explorer (Bueno, 2007).

Internet Explorer

No internet explorer (IE), de acordo com (Bueno, 2007), temos disposio, sem fazer uso de

nenhuma ferramenta, dois itens:

Histrico: Compreende diversos arquivos de ndice. Cada arquivo de ndice guardado no seu

respectivo diretrio e nomeado de acordo com a data que representa, por exemplo

MSHist122010032220070323. Este um arquivo binrio e proprietrio da Microsoft, mas

pode ser visualizado facilmente os seus registos, pois essa informao guardada

textualmente. Outras informaes no textual que esto guardados so, por exemplo, uma

tabela de hash para que o navegador seja capaz de montar e exibir o arquivo de ndice.

Cache: Compreende um arquivo de ndice e alguns directrios (geralmente 4) para guardar o

contedo da cache. Este tem estrutura similar do arquivo de ndice do histrico, ou seja

possui uma tabela de hash e os prprios registos de cada item de cache, estes ltimos

guardados em forma textual. Nos directrios do cache esto presentes os arquivos acessados


26/92

no IE, como pginas, figuras e folhas de estilo. Desta forma, possvel fazer uma averiguao

do cache apenas verificando o contedo desses directrios no sendo necessrio fazer uso do

arquivo de ndice.

Cookies

Segundo (Kurose and Ross, 2006) citado por (Bueno, 2007), cookies so mecanismos

utilizados pelos navegadores de internet com a finalidade de manter sesses HTTP de

utilizadores durante a conexo cliente-servidor.

O contedo de um cookie o seu prprio cabealho que pode apresentar diversos campos

como: (Jones, 2005) citado por (Bueno, 2007).

Set-Cookie: =; expires=; path=;

domain=

Um exemplo de cookie gerado pelo addthis :

Browser: Internet Explorer

Site(s): adecn.com/

Name(s): AEID

Value(s):

YjBiOGJhMmQ2MGFhNGZjYzg5MjE0Nzg4M2RhYWMyNzY=|NqOKL/1VcWXKQ

YVeiasWY5TqIMcgtHszf+nC8DdRsLg=

Expires on: 07-02-2011 10:32:48

Created on: 11-08-2010 10:32:13

Secure: no

Cookie file:

C:\Users\Leni\AppData\Roaming\Microsoft\Windows\Cookies\leni@adecn[1].txt

No cabealho acima, verifica-se que se trata de um cookie de nome AEID, cujo o contedo

:


27/92

YjBiOGJhMmQ2MGFhNGZjYzg5MjE0Nzg4M2RhYWMyNzY=|NqOKL/1VcWXKQYVei

asWY5TqIMcgtHszf+nC8DdRsLg=, criado em 11-08-2010 10:32:13, e ser mantido pelo

navegador at 07-02-2011 10:32:48. Na ltima linha apresentado o localizao do cookie no

disco: :\Users\Leni\AppData\Roaming\Microsoft\Windows\Cookies\leni@adecn[1].txt.

Existem vrias formas de visualizar o contedo de um cookie, como:

Extenses do Mozilla Firefox;

Cookie monster.

1.3 Evidncia Digital

Segundo Marcelo & Paulo (2002), o termo evidncia digital refere-se a toda e qualquer

informao digital capaz de determinar que uma intruso ocorreu ou que prove alguma

ligao entre a intruso e a vitimas ou entre a intruso e o atacante.

Conforme os mesmos autores, a evidencia digital no deixa de ser um tipo de evidncia fsica,

embora seja menos tangvel. Ela composta de campos magnticos e pulsos electrnicos que

podem ser colectados atravs de tcnicas e ferramentas apropriadas.

Nas palavras de (Chaves, 2004), A maior dificuldade no combate s condutas no meio

electrnico quando estas so praticadas por grandes profissionais. Estes costumam no

deixar vestgios, utilizando-se de artimanhas de enganar a policia e dificultar a actuao dos

peritos na sua identificao.1

A evidncia digital apresenta caractersticas prprias e complexas, exigindo conhecimento

especializado na sua recolha e utilizao.

Normalmente, uma das grandes preocupaes para os especialistas em novas tecnologias a

identificao da autoria efectuadas no meio electrnico.

1 Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592.

Consultado em 16/09/2006


28/92

1.3.1 O Professional

Os profissionais que actua na rea de forense computacional so indivduos geralmente

chamados de perito por terem um grande nvel de conhecimento nesta rea e por investigarem

os crimes de natureza tecnolgicos.

Nesse contexto, Lim-Apo (2004) defende que esses profissionais devem reunir um conjunto

de caractersticas:

Conhecimento e entendimento profundo das caractersticas de funcionamento de

sistemas de arquivos, programas de computador e padres de comunicao em redes

de computadores;

Familiaridade com as ferramentas, tcnicas, estratgias e metodologia de ataques

conhecidos, inclusive as que no se tem registo de ter ocorrido, mas que j so vistas

como uma explorao em potencial de uma determinada vulnerabilidade de um

sistema;

Faro investigativo para perceber rastros sutis de aces maliciosas - Esmero pela

perfeio e detalhes. Sempre deve haver rastros, mesmo que muito sutis;

Entendimento sobre o encadeamento de causas e consequncias em tudo o que ocorre

num sistema para construir a histria lgica formada por aces maliciosas ou normais

que j tenham ocorrido, que estejam em curso e que possam vir a acontecer;

Conhecimento da legislao envolvida;

Conhecimento das directivas internas das empresas e instituies envolvidas no

processo investigativo, com especial ateno s limitaes como directivas de

privacidade, sigilo e escopo ou jurisdio de actuao;

Cuidado com a manipulao e preservao de provas legais em potencial, inclusive

com uma metodologia de cadeia de custdia. O que no visto como prova hoje pode

vir a ser uma prova e ento bom ter sido preservada o suficiente para ser aceita em

um tribunal.


29/92

Noes sobre a psicologia dos atacantes em potencial a respeito de perfis de

comportamento e motivaes.

Experincia ao examinar os rastros em um incidente perceber o nvel de sofisticao e

conhecimento de um atacante, especialmente interessante se o atacante usa

subterfgios para parecer menos capaz, como deixar rastros bvios e parecer um

ataque simples para ocultar aces maliciosas muito mais perigosas e muito mais

escondidas.

Ouarantiello (1997) num dos seus artigos relatado por Rodrigues & Caricatti (2004)2, refora

ainda a ideia de que o especialista deve conhecer o entendimento do judicirio, sobre

questes tais como as condies em que valido o exame pericial, falsa percia e posio

funcional do Perito no processo, entre outras que afectam, directamente, sua actuao, pois

sem evidencias no h crime.

1.3.2 Metodologia Forense para obteno de evidncias

De acordo com Adams (2000) apud Vargas (2007)3, actualmente j existem padres

metodolgicos bem definidos e desenvolvidas pelo SWGDE4 que seguem um nico princpio:

o de que todas as organizaes que lidam com a investigao forense devem manter um alto

nvel de qualidade a fim de assegurar a confiabilidade e a preciso das evidncias. Esse nvel

de qualidade pode ser atingido atravs da elaborao de SOPs (Standard Operating

Procedures), que devem conter os procedimentos para todo tipo de anlise conhecida e prever

a utilizao de tcnicas aceitas na comunidade cientfica internacional.

Obteno e Colecta de Dados

2Disponvel em:http://www.linorg.cirp.usp.br/SSI/SSI2004/Artigos/Art010_ssi04.pdf. Acessado em 01/05/2010.

3http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_e_metodologias_para_obtencao_

de_evidenvias/ 4Scientific Working Group on Digital Evidence (SWGDE) - representante norte-americano na International

Organization on Computer Evidence (IOCE).


30/92

Os procedimentos adoptados na colecta de dados devem ser formais, seguindo toda uma

metodologia e padres de como se obter provas para apresentao judicial, como um

checkList, de acordo com as normas internacionais de padronizao, citadas acima (Vargas,

2007).

Ainda, segundo (Lim-Apo, 2004), mesmo que no haja a inteno de usar em um tribunal as

provas obtidas, os procedimentos devem ser formais e seguindo uma metodologia como se as

provas obtidas fossem para serem usadas em um tribunal. Durante o andamento do caso

outros acontecimentos podem provocar a mudana na inteno e levar o caso a um tribunal.

Identificao

Durante a identificao das evidncias, necessrio saber separar os factos dos factores, que

possam vir a influenciar ou no um crime, para estabelecer uma correlao na qual se faz um

levantamento das ligaes relevantes como datas, nomes de pessoas, autarquias, etc, dentre as

quais foi estabelecida a comunicao electrnica Vargas (2007).

Preservao

Um Perito Forense Computacional experiente, de acordo com Kerr (2001) apud Vargas

(2007), ter de ter certeza de que uma evidncia extrada dever ser adequadamente

manuseada e protegida para se assegurar de que nenhuma evidncia seja danificada, destruda

ou mesmo comprometida pelos maus procedimentos usados na investigao e que nenhum

vrus ou cdigo malicioso seja introduzido em um computador durante a anlise forense.

Anlise

Na concepo de Kerr (2001), a anlise ser a pesquisa propriamente dita, onde o investigador

se detm especificamente nos elementos relevantes ao caso em questo, pois todos os filtros

de camadas de informao anteriores j foram transpostos Vargas (2007).

Ainda, de acordo Kerr (2001) citado por (Vargas, 2007), deve-se sempre ser um profissional

atento e cuidadoso em termos da obteno da chamada "prova legtima", a qual consiste numa


31/92

demonstrao inquestionvel dos rastros e elementos da comunicao entre as partes

envolvida.

Geralmente, para a anlise das evidncias utilizado sistemas automatizados que pode gerar

relatrio detalhado, contendo a descrio das evidncias encontradas, apresentao de eventos

relacionados com intruso e a determinao de outras caractersticas particulares do ataque,

como por exemplo, a origem e alteraes deixadas no sistema comprometido. Portanto, a

automatizao do processo de anlise forense possui efeitos mais amplas, pois, medida que

a quantidade de informaes armazenadas nos sistemas computacionais aumenta, essa

automatizao torna-se uma necessidade. Outra vantagem desse sistema, a possibilidade de

implementao de procedimentos e protocolos devidamente testados e avaliados impedindo

que o investigador cometa erros que comprometam a investigao.

Figura 3 - Arquitectura extensvel para um sistema automatizado de analise forense

(Reis, 2003).

A figura 2, apresenta uma arquitectura extensvel, para o desenvolvimento de um sistema

automatizado de anlise forense. A arquitectura composta por um servidor designado que


32/92

representa um sistema de anlise, e um cliente equipado de ferramentas para recolha de

informaes executado na mquina suspeita. O servidor neste caso o componente principal,

pois encarrega de receber as informaes provenientes da mquina suspeita, organiz-las

devidamente no sistema de anlise (servidor), buscar as evidencias e analis-las. O cliente

responsvel pela recolha de informao na mquina invadida enviando-as para o servidor

atravs da rede. Os plugins so responsveis para a busca e extraco de evidncias, por isso,

cada um deles deve ser configurado com um conjunto de possveis evidncias que devero

ser procuradas. Em relao ao hashes criptografados, estes so gerados no momento da

recolha de informao na mquina analisada, sendo enviados para o sistema de anlise,

juntamente com os dados recolhidos. O analisador o responsvel pela anlise das evidncias

encontradas pelo plugins.

Para terminar, importante ressaltar que durante as fases de anlise deve-se documentar os

procedimentos, isto , a elaborao e documentao dos procedimentos a serem executados

durante um incidente, inclusive referentes investigao das mquinas afectadas, essencial

para a credibilidade e rapidez da resposta.

Apresentao

De acordo com Freitas (2006) apud Vargas (2007), esta fase tecnicamente chamada de

"substanciao da evidncia", pois nela consiste o enquadramento das evidncias dentro do

formato jurdico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou

mesmo em ambas.

Desta forma, segundo Vargas, quando se tem a certeza material das evidncias, actua-se em

conjunto com uma das partes acima descritas para a apresentao das mesmas.

Ainda, segundo o mesmo autor, o investigador precisa estar perfeitamente sintonizado com os

objectivos de cada etapa metodolgica apresentada na seco 6.1, para poder minimizar o

tempo e a quantidade de dados que deve obter at apresentar, maximizando sua eficincia e

eficcia.

1.3.3 Fonte das evidncias


33/92

Na concepo de Vargas (2007), a busca de indcios em um sistema computacional inicia-se

com uma varredura minuciosa das informaes nele contidas, seja em arquivos ou em

memria, dados "deletados" ou no, cifrados ou possivelmente danificados.

Nas palavras de (Chaves, 2004), A maior dificuldade no combate s condutas no meio

electrnico quando estas so praticadas por grandes profissionais. Estes costumam no

deixar vestgios, utilizando-se de artimanhas de enganar a policia e dificultar a actuao dos

peritos na sua identificao.5

Dispositivos de armazenamento da CPU

De acordo com Castro Jr et all (S/D), as informaes contidas nos registradores de uma CPU

embora so de mnima utilidade e sua captura impraticvel, podem conter informaes que

ainda no foram actualizadas na memria principal do sistema. Estes dados no possuem

nenhum valor de prova pericial por conter apenas clculos em linguagem de mquina

impossveis de serem traduzidos em informaes com garantias.

Memria de perifricos

Geralmente, quase todos os dispositivos, conectados ou no, em um computador, podem

conter memria, sendo esta de carcter temporrio ou no. Como por exemplo,no caso das

caixas automticas, existem um conjunto de perifricos como (Dispensador de notas,

impressora de recibos, leitor de cartes, etc) todos conectados a um computador podem conter

em sua memria informaes importantes a serem investigadas.

Memria principal do sistema

Embora, a percia forense em sistemas computacionais mais comummente realizada em

discos rgidos e outros dispositivos de armazenamento no voltil as evidncias podem

tambm ser encontradas em memria principal.

5 Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592.

Acessado em 16/09/2010.


34/92

Arquivos temporrios (temp)

De acordo com Freitas (2006) apud Vargas (2007), alguns programas de processamento,

desde o de texto at os que manipulam base de dados, criam arquivos temporrios nos

directrios durante sua execuo. Esses arquivos so apagados automaticamente ao final da

sesso de trabalho e como podem conter indcios de actos ilcitos devero ser investigados.

Sector de swap

Segundo Freitas (2006)apud Vargas (2007), o gestor de memria do sistema operacional

utiliza o sector de swap como uma grande rea de armazenamento temporrio de arquivos,

que pode ser descarregados momentaneamente na memria principal, podendo ser tanto um

arquivo quanto uma partio inteira do disco. Logo, este sector poder conter alguma prova

de algum acto ilcito, pelo que deve ser tambm investigada.

Sector de boot

Este sector trabalha na inicializao do sistema operacional, sendo possvel, se modificado,

carregar qualquer outro tipo de programa durante a inicializao do computador, de acordo

com Freitas (2006) apud Vargas (2007). Exemplo: insero de uma instruo no boot que ir

inicializar algum tipo de ocorrncia maliciosa no sistema operacional. Logo importante

tambm para o investigador a anlise do sector de boot do computador periciado.

Sistemas de arquivos

Os arquivos de dados e executveis representam a maior fonte de informao para o exame

forense e so analisados para se determinar seu contedo e funcionalidade no sistema

computacional. Estes podem ser procuradospor palavras-chave, imagens, dados especficos ou

programas utilizados para prticas ilcitas Vargas (2007).

Segundo o mesmo autor, alm de alteraes, excluso ou at mesmo incluso de modificaes

inesperadas em directrios, arquivos (especialmente aqueles cujo acesso restrito) podem


35/92

caracterizar-se como indcios para uma infraco. Exemplo: arquivos do tipo doc, txt,

imagens, programas executveis, aplicaes instaladas (exe), dentre outras.

Arquivos de Logs

De acordo com Vargas (2007), os arquivos de logs tambm representam um papel importante

na anlise do sistema de arquivos, pois permitem a reconstituio de factos que ocorreram no

sistema computacional, podendo registar entre outras informaes as actividades dos

utilizadores, dos processos e do sistema, as conexes e actividades de rede, podendo variar de

acordo com o sistema operacional e servios utilizados.

Ainda segundo Vargas, este serve para a indicao de aces em um determinado sistema

operacional ou de alguma aplicao.

1.3.4 Perfil e mtodos de operao do atacante

Segundo dados estatsticos sobre a criminalidade informtica em Portugal, divulgados por

representantes da Polcia Judiciria durante um evento, demonstra que o criminoso

informtico portugus tem entre 15 e 40 anos, geralmente muito introvertido, cerca de

metade filho de pais separados/divorciados, frequenta o ensino superior numa vertente

tecnolgica, tira notas medianas e no tem antecedentes criminais.(fonte:

http://www.miudossegurosna.net/artigos/2005-03-18-acapital.html)

Por outro lado, entender a motivao e o comportamento de um atacante segundo Reis &

Geus (2002), um ponto-chave para orientar a investigao, pois, essa compreenso fornece

pistas sobre onde, como e o qu procurar durante a analise forense. Quanto maior a

conscincia acerca dos objectivos e mtodos de operao de um atacante, maior o preparo do

investigador para analisar e responder a um incidente.

Para Reis e Geus, a invaso de sistemas computacionais, ocorre com finalidades diversas,

podendo ser destacada as seguintes:


36/92

Obteno de informaes (roubo de segredos, nmeros de cartes de credito, senhas e

outros dados relevantes ao intruso);

Promover algum estrago (destruio de informaes e paralisao do sistema, por

exemplo);

Utilizao dos recursos do sistema (repositrio de dados, disseminao de ataques

distribudos, provimento de servios, por exemplo);

Dependendo da finalidade e da habilidade, o mtodo de operao de um invasor pode sofrer

algumas variaes. Entretanto, os passos tomados pelo atacante para comprometer um sistema

computacional podem ser generalizados como se segue:

Identificao do alvo;

Busca de vulnerabilidades no alvo;

Comprometimento inicial;

Aumento de privilgio;

Tornar-se invisvel;

Reconhecimento do sistema;

Instalao de backdoors;

Limpeza de rastos e por fim;

Fazer retorno atravs de backdoor.

Para os mesmos autores, a primeira atitude do atacante a escolha de um alvo potencial. Uma

vez localizado, o atacante comea a reunir informaes sobre o sistema a fim de identificar

vulnerabilidades no sistema operacional ou servios de rede disponveis. Se um invasor ainda

no possui uma combinao de senha valida para o sistema, ele utiliza mtodos como snifing

e adivinhao de senhas, engenharia social ou scanning para encontrar um ponto de entrada.

Uma vez encontrado, o invasor realiza o comprometimento inicial do sistema.

A primeira intruso geralmente provoca muito barulho, principalmente se o sistema alvo

estiver devidamente equipado, por isso a intruso costuma ocorrer quando ningum est

presente para ouvir.


37/92

Depois que o atacante ganha acesso ao sistema, busca privilgio irrestritos (conta de

administrador ou root) e para o efeito, transfere programas maliciosos (conhecidos por

exploits). Quando o invasor obtm acesso de root e garantir a sua invisibilidade, procura

saber o quanto a sua presena perturba o sistema invadido e, por conseguinte, se pode ser

descoberta (analisando a configurao de log). Em seguida, ele investiga as medidas de

segurana implementadas no sistema invadido. Em alguns casos, at corrige vulnerabilidades

existentes para impedir que outro invasor faa uso do sistema.

Aps compreender as configuraes do sistema, o atacante instala backdoors para facilitar seu

retorno e paga os rastos deixados por sua presena no sistema. Utilizando uma backdoor,

oinvasor retorna de forma mais discreta que o comprometimento inicial e faz um inventrio

acerca das informaes existentes na mquina invadida e dos potenciais alvos de vizinhana.

Ainda, segundo (Reis & Geus, 2002), a habilidade do invasor em executar o mtodo de

operao descrito anteriormente pode ser fundamental para o processo de anlise forense, pois

a quantidade de evidncias deixadas depende directamente do nvel de conhecimento do

atacante.

Para ilustrar essa relao, possvel classificar a habilidade de invasor em quatro classe, de

acordo com: Clueless, script Kiddie, Guru e Wizard. A tabela 1 apresenta a relao entre a

habilidade do invasor e a quantidade de evidncias deixadas.

Nvel de habilidade Habilidades Evidncias

Clueless Nenhuma habilidade Todas as evidncias so bastantes

aparentes

Script Kiddie Capaz de encontrar exploits

prontos na Internet e execut-los

seguindo intruses detalhadas.

No escrevem programas

Pode tentar cobrir rastos com o uso de

rootkits prontos, mas com sucesso

limitado. Pode ser detectado com

esforo mnimo

Guru Equivalente a um administrador Cuidadosamente apaga evidncias em


38/92

experiente. Hbil em

programao. Checa a existncia

de programas de segurana e

esquemas de log seguros,

evitando alvos protegidos

arquivos de log. No deixa traos

bvios de sua presena. Pode instalar

trojan horses e backdoors para um

acesso futuro

Wizard Possui um grande conhecimento

do funcionamento interno de um

sistema. Capaz de manipular

hardware e software

Praticamente no deixa evidncias teis.

Pode comprometer totalmente o sistema

Tabela 2:Relao entre a habilidade do invasor e a quantidade de evidncia deixadas

Fonte: (Reis & Geus, 2002)

1.4 Tcnicas anti-forense

Se por um lado a forense computacional procura por vestgios de aces criminosa ocorrida,

as tcnicas anti-forense faz o oposto, ou seja, ela diz respeito a qualquer estratgia de

eliminao de informao que possa ser usada em um processo de anlise forense.(Bueno,

2007)

1.4.1 Identificao da autoria

A identificao da autoria, quando efectuada nos meios electrnicos, torna-se motivo de

grande preocupao sobretudo para os especialistas em novas tecnologias.

A maior dificuldade no combate aos crimes conduzidos em meios electrnicos quando os

mesmos so praticados por profissionais de grande conhecimento. Tais profissionais

costumam no deixar vestgios, utilizando tcnicas com objectivo de enganar a policia e deste

modo dificultar a actuao dos peritos na sua identificao Tambm, por outro lado porque os

criminosos na internet, os chamados crackers esto cada vez mais actualizados em matria de

novas tecnologia, o que dificulta as empresas na preveno das suas politicas de segurana e

dos sistemas informticos. (Chaves, 2004)


39/92

Ainda, de acordo com (Chaves, 2004), um outro motivo que dificulta o combate s condutas

no meio electrnico quando estes profissionais utilizam computadores de terceiros para

praticarem crimes. Logo ser difcil aos especialistas, implementarem politica de combates.

Atravs do endereo IP utilizados, registo de log de acesso, conta de e-mail, cadastros nos

provedores e sites j possvel a identificao da autoria.

Entretanto, a identificao da autoria apresenta um grande problema: Em primeiro lugar

porque encontrar a mquina evolvida no crime no quer dizer que encontrado o autor do

crime.

1.4.2 Criptografia

Segundo Bueno (2007), se por um lado a criptografia fornece um nvel de segurana s

informaes, por meios de cifragem de dados, ela pode tambm ser usada para cifrar dados

comprometedores para evitar o cesso ao seu contedo. Isso pode representar ser uma grande

dificuldade para a forense na sua decifragem.

1.4.3 Esteganografia

Diferentemente da criptografia, que busca cifrar o contedo de uma informao mascarando o

real contedo, a esteganografia busca ocultar a existncia de uma informao. Para fazer tal

efeito, usado um objecto para conter essa informao que se pretende esconder. A ocultao

feita de tal modo que apenas o destinatrio e o remetente devem ser capaz de verificar sua

existncia. (Bueno, 2007)

2 Servidor Web Microsoft IIS

Segundo (Freitas, 2006), os ataques com base em Web geralmente se encaixam em trs

categorias: ataques contra o prprio servidor (DoS e DDoS), ataques contra o contedo do site

(desfigurao de site, tambm conhecido como defacement) e ataques contra a empresa

(roubo de produto ou informao).


40/92

Para Freitas (2003), os ataques via web so frequentes devido vulnerabilidade de software e

autenticao do sistema operacional e os mais comuns so os de desfigurao de site.

Para este mesmo autor, num incidente de segurana, diversos arquivos de logs podem ser

usados para confirmar ou no se um incidente ocorreu e ento determinar o tipo, extenso,

causa e origem do incidente. Somente uma entrada no arquivo de log possa no ser suficiente

para termos uma imagem do incidente. Ser necessrio um conjunto de entrada para dar o

investigador um controle de tempo e o contexto necessrio para compreender o referido

incidente.

2.1 Microsoft IIS

O Microsoft IIS (Internet Information Service) o servidor web da Microsoft, considerado o

segundo servidor web mais usado do mundo, a seguir ao Apache.

Segundo (Freitas, 2006), trata-se de um servidor de Internet/Intranet dos sistemas

operacionais Windows. A primeira verso do IIS foi disponibilizada em 1996 e hoje, na

verso 6, o IIS se encontra mais estvel, seguro e integrado ao sistema operacional.

Existem vrias verses disponvel no mercado no qual se destaca:

Microsoft IIS 1.0, Windows NT 3.51;

Microsoft IIS 2.0, Windows NT 4.0;

Microsoft IIS 3.0, Windows NT 4.0 Service Pack 3;

Microsoft IIS 4.0, Windows NT 4.0 Option Pack;

Microsoft IIS 5.0, Windows 2000;

Microsoft IIS 5.1, Windows XP Professional, Windows XP Media Center Edition;

Microsoft IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition;

Microsoft IIS 7.0, Windows Server 2008 e Windows Vista (Home Premium, Business,

Enterprise, Ultimate Editions);


41/92

Microsoft IIS 7.5, Windows Server 2008 R2 e Windows 7;

Normalmente, os campos mais importantes para investigar os incidentes suspeitos so o

registo data/hora, endereo IP de origem, cdigo do status do HTTP e recursos requisitados.

2.1.1 Histria e evoluo

IIS 1 Internet Information Server 1

Segundo (Freitas, 2006) esta a primeira verso o Microsoft IIS, liberada em Fevereiro de

1996 como um add-on do Windows NT 3.51. Este suportava os trs principais protocolos da

Internet: HTTP, TFP e Gopher.

O Microsoft IIS 1 apresenta algumas caractersticas como: (Freitas, 2006)

Internet Service Manager (ferramenta para gerenciamento do IIS);

Integrao com o sistema operacional Windows NT 3.51;

Servidores Virtuais;

Directrios Virtuais;

ISAPI (Internet Server API);

Autenticaes Basic e NTLM (Windows NT LAN Manager);

SSL (Secure Sockets Layer);

IDC (Internet Database Connector);

Arquivos de Log nos formatos texto e ODBC.


Uma das mudanas desta verso em relao a verso anterior foi o facto do IIS 2 se tornar

parte da instalao do Windows NT 4, e os principais itens includo no IIS2 foram os

seguintes, segundo (Freitas, 2006):

IDQ (Internet Data Query);

HTX (Hipertext Extension);


42/92

Possibilidade de administrar o IIS atravs de um browser;

Key Manager;

Index Server;

Nova verso do Internet Service Manager.

Na instalao do IIS 2, o Windows NT 4 cria uma conta de usurio especfico para acesso

annimo ao servidor web chamada de IUSR_nomecomputador. Relativamente a estrutura dos

directrios, so criados e utilizados pelo IIS 2 os seguintes directrios: (Freitas, 2006)

[Driver]:\Winnt\System32\InetSrv Neste directrio ficam as DLLs, executveis,

arquivos e scripts necessrios para administrar o IIS via browser, documentao do IIS

etc.;

[Driver]:\ Winnt\System32\LogFiles Local onde esto armazenados os arquivos de

logs;

[Driver]:\InetPub Por padro, onde ficam armazenadas as aplicaes web.

Para este mesmo autor, o formato de arquivos de logssuportados pelo IIS 2 so:

NCSA Common Log File Format;

Formato padro;

E Log ODBC.


Quando o Service Pack 3 do Windows NT 4 era instalado, o IIS 2 recebia uma actualizao

para a verso 3. Esta actualizao foi disponibilizada em Dezembro de 1996 (a terceira verso

do IIS em menos de um ano). Com esta verso o IIS comeou a ser reconhecido no apenas

como um servidor web, mas tambm como uma plataforma de desenvolvimento. Algumas das

novas caractersticas implementadas no IIS 3 so, de acordo com (Freitas, 2006):

Desenvolvimento Web com ASP, VBScript, Jscript, ADO, ActiveX e ODBC;

Suporte ao MTS (Microsoft Transaction Server);

Suporte ao Microsoft Frontpage 97 Server Extension;

Suporte ao Microsoft NetShow (streaming de dio e vdeo);


43/92

Suporte ao Visual interDev (Desenvolvimento de aplicaes Web).

Segundo o mesmo autor, na instalao do IIS 3, criada no Sistema Operacional Windows

NT 4 uma conta de utilizador especfica para o acesso annimo ao servidor web chamada de

IUSR_nomedocomputador e os logs suportados pelo IIS 3 so:

Microsoft IIS Log File Format;


W3C Extended Log File Format;

Log ODBC.


O IIS 4 foi disponibilizado em Maro de 1998 como um componente do Option Pack do

Windows NT 4. Com o Option Pack, a Microsoft tentava fazer do windows NT 4 uma

plataforma mais segura e confivel, pois a cada dia o Windows NT avanava mais nas

estatsticas do mercado e o IIS 4 foi o mais significativo upgrade de verso at ento. Alguma

das caractersticas includas no IIS 4, segundo (Freitas, 2006) so:

O Internet Service Manager deu lugar ao Microsoft Management Console (MMC);

HTTP verso 1.1;

SSL (Secure Sockets Layer) verso 3;

Metabase;

SMTP (Simple Mail Transport Protocol);

NNTP (Network News Transport Protocol).

De acordo com este mesmo autor, na instalao do IIS 4 so criadas duas novas contas de

utilizadores no sistema operacional Windows NT 4: IUSR_nomedocomputador (conta interna

para acesso annimo ao IIS) e o IWAM_nomedocomputador (conta interna para o IIS iniciar

a partir de aplicativos de processo). Esta verso do IIS, suporta os seguintes arquivos de log:





44/92

Log ODBC.

IIS 5 Internet Information Services 5

Segundo (Freitas, 2006), o IIS5 foi liberado como parte do Sistema Operacional Windows

2000 Server dois anos mais tarde. Uma das diferenas entre as verses 4 e 5 foi a mudana do

nome de Internet Information Server para Internet Information Serveces. As novas

caracteristicas includas no IIS 5 foram:

Utilizao de processos em Pool;

Controle do tempo da CPU;

Integrao com o Active Directory;

Novos Wizards;

Suporte ao WebDAV (Web Distributed Authoring and Versioning).

Na instalao do IIS 5, segundo Freitas, so criadas duas novas contas de utilizadores no

Sistema Operacional Windows 2000 e os arquivos de logs suportados so os mesmos que IIS

4.


O Microsoft IIS 6 disponibilizado como um add-on do Sistema Operacional Windows

Server 2003 e representa uma mudana fundamental nos produtos Web oferecidos pela

Microsoft. As novas caractersticas includas no IIS 6 so:

Nova arquitectura;

Vrias recursos e tecnologias de segurana;

Vrias ferramentas de gerenciamento e administrao;

Maior integrao com o .NET.

Na instalao do IIS 6 so criados duas novas contas de utilizadores e um novo grupo no

Sistema Operacional Windows que segundo Freitas so:


45/92

Utilizador: IUSR_nomedocomputador (conta interna para acesso annimo ao IIS) e

IWAM_nomedocomputador (conta interna para o IIS iniciar a partir de aplicativos de

processos. Membro do grupo IIS_WPG).

Grupo: IIS_WPG (O grupo IIS_WPG criado para simplificar o processo de configurao

de autorizaes).

Relativamente aos arquivos de logs, o IIS suporta (Freitas, 2006):




Log ODBC;

Log Binrio Centralizado.


Os Servios de Informao Internet (IIS) 7 desempenham a funo Web Server (IIS) no

Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista.

O IIS 7.0 divide o servidor Web em um servidor principal leve e em mais de 40 mdulos de

recursos que podem ser conectados neste servidor principal. Esses mdulos como o

staticFileModule, que permite o download de contedo esttico da web, ou o

WindowsAuthModule, que aceita autenticao NTLM integrada podem ser instaladas

independentemente no servidor para oferecer a funcionalidade exacta precisada.

(fonte:http://msdn.microsoft.com/pt-br/magazine/cc163453.aspx)

De acordo com a mesma fonte, no servidor IIS 7 pode ser adicionado as seguintes extenses:


46/92

Extenses IIS Descrio

Servio de

Publicao

FTP

O Servio de Publicao de FTP para IIS 7 permite que os criadores de contedo da

Web publiquem contedo mais seguramente para servidores da web do IIS 7 com

novos recursos como autenticao com base em SSL e transferncia de dados. Para

obter mais informaes, consulte Administering FTP 7.5.

Pacote de

Administrao

O Pacote de Administrao do IIS 7 adiciona aos recursos de gerenciamento no IIS 7

para incluir o suporte de UI de administrao para autorizao de ASP.NET, erros de

personalizao, configurao de FastCGI, Filtragem de Solicitao e mais. Para obter

mais informaes, consulte a Ajuda da Interface de Usurio do Administration Pack.

Roteamento

de Solicitao

do Aplicativo

Roteamento da Solicitao do Aplicativo (ARR) da Microsoft para IIS 7 um

mdulo de roteamento com base em proxy que encaminha as solicitaes de HTTP

para servidores de contedo com base em leitores de HTTP, variveis de servidor e

algoritmos de balano de carga. Para obter mais informaes, consulte a Application

Request Routing User Interface (UI) Help.

Gerenciador

de Banco de

Dados

O Gerenciador do Banco de Dados do IIS permite o fcil gerenciamento de bancos

de dados remotos e locais de dentro do Gerenciador do IIS. O Gerenciador de Banco

de Dados do IIS tambm descobre automaticamente bancos de dados com base no

servidor da web ou configuraes do aplicativo e fornece a habilidade de se conectar

com qualquer banco de dados na rede. Para obter mais informaes, consulte a IIS

Database Manager User Interface (UI) Help.

Mdulo de

Regravao

de URL

O mdulo de regravao de URL fornece um mecanismo de regravao com base em

regra para alterar os URLs de solicitao antes que eles sejam processados pelo

servidor da web. O mdulo pode ser usado para expressar a lgica de regravao de

URL que pode usar expresses normais ou curingas e para tomar decises de

regravao com base em cabealhos de HTTP e variveis de servidor. Para obter

mais informaes, consulte a IIS URL Rewrite Module.


47/92

WebDAV A Extenso WebDAV para IIS 7 permite que autores da web publiquem contedo

com mais segurana para servidores da web do IIS 7 e permite que administradores

da web e hosters gerenciem configuraes WebDAV usando as ferramentas de

gerenciamento e configurao de IIS 7. Para obter mais informaes, consulte

WebDAV.

Ferramenta de

Implantao

da Web

A Ferramenta de Implantao da Web simplifica a migrao, o gerenciamento e a

implantao de servidores da web, aplicativos e locais IIS. Ela permite que

administradores e usurios delegados sincronizem o IIS 6.0 e servidores do IIS 7,

migrem um servidor IIS 6.0 para IIS 7 e implantem aplicativos da web em um

servidor IIS 7. Para obter mais informaes, consulte Web Deployment Tool.

Tabela 3: Extenses do IIS 7 (Microsoft, 2007)

IIS 7.5 Internet Information Services 7.5

Segundo a Microsoft6, os Servios de Informao Internet (IIS) 7.5 desempenham a funo

Web Server (IIS) no Windows Server 2008 R2 e o servidor Web no Windows 7. O

servidor Web foi reestruturado no IIS 7 para permitir a personalizao de um servidor, atravs

da adio ou remoo de mdulos, com vista a satisfazer as suas necessidades especficas. Os

mdulos so funcionalidades individuais que o servidor utiliza para processar pedidos. Por

exemplo, o IIS utiliza mdulos de autenticao para autenticar credenciais de cliente e

mdulos de cache para gerir a actividade da cache.O IIS 7.5 possui as seguintes

funcionalidades:

ASP.NET

O ASP.NET fornece um ambiente de programao orientada para objectos do lado do

servidor para a criao de Web sites e aplicaes Web que utilizam cdigo gerido. O

6 Disponvel em: http://technet.microsoft.com/pt-pt/library/cc753473%28WS.10%29.aspx. Acessado em

20/09/2010.


48/92

ASP.NET no apenas uma nova verso do ASP. O ASP.NET fornece uma infra-estrutura

robusta para a criao de aplicaes Web e foi completamente remodelado para proporcionar

uma experincia de programao altamente produtiva baseada no .NET Framework.

Extensibilidade .NET

A Extensibilidade .NET permite aos programadores de cdigo gerido alterar, adicionar e

expandir a funcionalidade do servidor Web no pipeline de pedidos, na configurao e na IU.

Os programadores podem utilizar o modelo de extensibilidade do ASP.NET conhecido e as

APIs avanadas do .NET para criar funcionalidades do servidor Web to eficazes quanto as

escritas atravs das APIs de C++ nativas.

ASP

O Active Server Pages (ASP) fornece um ambiente de scripts do lado do servidor para a

criao de Web sites e aplicaes Web. O ASP oferece um desempenho melhorado em

relao aos scripts CGI ao dotar o IIS de suporte nativo tanto para VBScript como para

JScript. Utilize o ASP se tiver aplicaes existentes que necessitem de suporte ASP. Para

novos desenvolvimentos, considere utilizar o ASP.NET.

CGI

A Common Gateway Interface (CGI) define o modo como um servidor Web transmite

informaes a um programa externo. As utilizaes habituais podem incluir a utilizao de

um formulrio Web para recolher informaes e, em seguida, transmitir essas informaes a

um script CGI para ser enviado por correio electrnico para outro local. O facto de a CGI ser

um padro faz com que os scripts CGI possam ser escritos utilizando vrias linguagens de

programao. A desvantagem de utilizar a CGI est na sobrecarga de desempenho.

Extenses ISAPI

As extenses ISAPI (Internet Server Application Programming Interface) fornecem suporte

ao desenvolvimento de contedo Web dinmico utilizando extenses ISAPI. Uma extenso

ISAPI executada mediante pedido, tal como qualquer outro ficheiro HTML esttico ou

ficheiro ASP dinmico. Como as aplicaes ISAPI so cdigo compilado, so processadas


49/92

muito mais rapidamente do que os ficheiros ASP ou ficheiros que chamam componentes

COM+.

Filtros de ISAPI

Os Filtros Internet Server Application Programming Interface (ISAPI) fornecem suporte s

aplicaes Web que utilizam filtros ISAPI. Os filtros ISAPI so ficheiros que podem expandir

ou alterar a funcionalidade fornecida pelo IIS. Um filtro ISAPI analisa cada um dos pedidos

efectuados ao servidor Web at encontrar um que necessite de ser processado.

Server-Side Includes

O SSI (Server Side Includes) uma linguagem de scripts utilizada para gerar pginas HTML

de forma dinmica. O script executado no servidor antes de a pgina ser entregue ao cliente

e envolve, habitualmente, a insero de um ficheiro noutro. Por exemplo, pode criar um menu

de navegao HTML e utilizar o SSI para adicion-lo dinamicamente a todas as pginas de

um Web site.

2.2 Arquitectura

O IIS implementa 5 servios bsico para a publicao na internet que segundo (Jnior, 2007)

so:

WWW, que oferece a publicao aos utilizadores finais do IIS, atravs do HTTP

cliente;

FTP, que oferece a transferncia e o gerenciamento de pacotes;

SMTP, protocolo que utilizado para enviar e-mails, podendo programar os

servidores para envio de e-mails relacionados a eventos bem ou mal sucedidos;

NNTP, que o protocolo de notcias, podendo assim qualquer utilizador utilizando

qualquer leitor de notcias cliente, verificar as noticias daquele grupo;


50/92

E o servio de administrao, que mantm o registo do Windows actualizado para os

servios citados acima e gerncia a metabase do IIS. A metabase um armazenamento

de dados onde ficam guardados todos as configuraes do IIS.

2.3 Arquivos de Log

A forma mais simples de segurana de um web site manter um log dos computadores que

contactam o site. O log um registo de quem visitou, quando visitou e o que procurou no site.

Nestes mesmos logs, pode-se descobrir quantas pessoas esto a usar o site e se algum est

fazendo mau uso deste.Os arquivos de logs padro encontra-se localizado no directrio

C:\Winnt\System32\Logfiles\W3SVC1 e o nome do log baseado na data actual, no formato

exaammdd.log, por exemplo: 010910.log . O formato padro W3C (World Wide Web

Consortium) Extended Log File Format (Formato de Arquivo de Log Extendiso), um formato

padro que muitos utilitrios de terceiros interprestam e analisam. Outros formatos

disponveis so: Microsoft IIS Log File Format (Formato de Log do Microsoft IIS), NCSA

Common Log File Format (Formato de arquivo de Log comum do NCSA) e Log do ODBC

(Open Database connectivity), em sistemas Windows 2000, que envia um formato fixo uma

base de dados especfico. (Freitas, 2006)

Nesta perspectiva, os arquivos de logs podem ser usados para confirmar ou no se uma

invaso ocorreu em um sistema e desta forma determinar o tipo, extenso causa e origem do

incidente.

2.3.1 W3C Extended Log File Format

O formato estendido do W3C, como mostra a figura abaixo, um formato ASCII

personalizvel com vrios campos diferentes. Desta forma, pode ser includo campos

importantes, limitando o tamanho do log e omitindo campos indesejveis. Os campos so

separados por espaos e o horrio registado como UTC (horrio de Greenwich). (Freitas,

2006)


51/92

Figura 4 - Exemplo de um W3C Extended Log File Format

Definies do Log do W3C Extended Log Fife Format

CAMPO APARECE COMO DESCRIO

Data date Data de ocorrncia da actividade.

Hora time Hora de ocorrncia da actividade.

Endereo IP do cliente c-ip Endereo IP do cliente que acessou o servidor.

Nome do utitlizador cs-username Nome do utilizador autenticado que acessou o

servidor. Isst no inclui utilizadores annimos,

representado por um hifen.

Nome do servio e nmero da

instncia

s-sitename O servivo de internet e o nmero da instncia

executados no PC cliente.

Nome do servidor s-computername Nome do Servidor em que a entrada de log foi

gerada.

IP do servidor s-ip Endereo IP do servidor em que a entrada de log

foi gerada.

Mtodo cs-method Aco que o cliente estava tentando executar (por

exemplo, um mtodo GET).

Tronco URI cs-uri-stem Recurso acessado (por exemplo, o Default.html).

Consula URI cs-uri-query A consulta (se houver), que o cliente estava

tentando fazer.

Status do http sc-status Status da aco, nos termos empregados pelo http.

Status do Win32 sc-win32-status Status da aco, nos termos empregados pelo

windows 2000.

Bytes enviados sc-bytes Nmero de bytes enviado pelo servidor.


52/92

Bytes recebidos cs-bytes Nmero de bytes recebido pelo servidor.

Porta do servidor s-port Nmero da porta a qual o cliente est conectado.

Tempo gasto time-taken Tempo gasto durante a aco.

Verso do protocolo cs-version Verso do protocolo (HTTP, FTP) utilizada pelo

cliente. No caso do HTTP, ser HTTP 1.0 ou

HTTP 1.1.

Agente do utilizador cs(user-agent) Navegador utilizado no cliente.

Cookie sc(cookie) Contedo do cookie enviado ou recebido, se

houver.

Referenciador sc(referer) Site anterior visitado pelo utilizador. Este site

fornece um link para o site actual.

Tabela 4: Definies do Log do W3C Extended Log File Format (Freitas, 2006)

Segundo (Freitas, 2006), os prefixos usados na tabela acima, apresentam os seguintes

significados:

s-: Aces do servidor;

c-:Aces do cliente;

cs-:Aces de cliente para servidor;

sc-:Aces de servidor para cliente.

Definies do Log de Contabilizao de Processo

CAMPO APARECE COMO DESCRIO

Tipo de processo s-process-type Tipo de processo disparado pelo evento, um aplicativo

CGI ou fora de processo. O tipo pode ser CGI,

Aplicativo ou Todos.

Evento de processo s-event O evento disparado: Site-stop, site-start, site-pause,

periodic-log, interval-start, interval-change, log-

change-int/start/stop, eventlog-limit, priority-limit,

process-stop-limit, site-pause-limite, eventlog-limit-

reset, priority-limite-reset, process-stop-limit-reset ou

site-pause-limit-reset.


53/92

Tempo total do utilizador c-user-time Tempo total acumulado do processador de modo do

utilizador, em segundos, utilizado pelo site durante o

intervalo actual.

Tempo total do ncleo s-kernel-time Tempo total acumulado do processador de modo do

ncleo, em segundos utilizado pelo site durante o

intervalo actual.

Tempo de falhas da pgina s-page-faults Ncleo total de referncia de memria que resultou em

falhas de pgina de memria.

Total de processos s-total-procs Ncleo total de aplicativos CGI e fora de processo,

criados durante o intervalo actual.

Processos activos s-active-procs Ncleo total de aplicativos CGI e fora de processo em

execuo quando o log foi gravado.

Total de procssos

encerrados

s-topped-procs Ncleo total de aplicativos CGI e fora de processo

parado devido ao estreitamento do processo, durante o

intervalo actual.

Tabela 5: Definies de Log de Contabilizao de Processos (Freiras, 2006)

Freitas, apresenta para cada valor referido acima, o seguinte significado:

Site-stop: Site da web parado por algum motivo;

Site-start: Site da web iniciado ou reiniciado;

Site-pause: Pausa no site da web;

Periodic-Log: Entrada de log definida regularmente, cujo intervalo foi especificado pelo

administrador;

Interval-start: Intervalo de redefinio iniciado;

Interval-End: Intervalo de redefinio atingido e redefinido;

Interval-change: O administrador do site da web alterou o valor do intervalo de redefinio;

Log.change-int/start/stop: Ocorreu um dos seguintes eventos: intervalo de log modificado;

evento de intervalo; ou site parado, iniciado ou interrompido;

Eventlog-limit: Log de evento criado para site da web porque um aplicativo CGI ou fora de

processo atingiu o limite de log de evento definido pelo administrador;


54/92

Priority-limit: O site da web teve um aplicativo CGI ou fora de processo definido com baixa

prioridade porque atingiu o limite de baixa prioridade definido pelo administrador;

Process-stop-limit: O site da web teve um aplicativo CGI ou fora de processo parado porque

atingiu o limite de paralisao de processos definido pelo administrador;

Site-pause-limite: O site da web foi interrupo de sites definido pelo administrador;

Eventlog-limit-reset: O intervalo de redefinio foi alcanado ou o Eventlog-limit foi

redefinido manualmente;

Priority-Limit-reset: O intervalo de redefinio foi alcanado ou o Priority-limit fo