tcc (utfpr) - estudo e avaliação de técnicas antiforenses computacionais aplicadas a logs de...
DESCRIPTION
Pre-Projeto de TCC sobre Estudo e Aplicação de Técnicas Antiforenses Computacional em Sistemas de Registro (Log) em Sistemas Operacionais Windows e Linux.TRANSCRIPT
UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANÁ
COORDENAÇÃO DE INFORMÁTICA
CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS PARA INTERNET
GUILHERME ZANINI DE SÁ
ESTUDO E AVALIAÇÃO DE TÉCNICAS ANTIFORENSES COMPUTA CIONAIS
APLICADAS A LOGS DE SISTEMAS LINUX E WINDOWS
PROJETO DE TRABALHO DE CONCLUSÃO DE CURSO
CAMPO MOURÃO
2010
GUILHERME ZANINI DE SÁ
ESTUDO E AVALIAÇÃO DE TÉCNICAS ANTIFORENSES COMPUTA CIONAIS
APLICADAS A LOGS DE SISTEMAS LINUX E WINDOWS
Projeto do Trabalho de Conclusão de Curso de
graduação, apresentado à disciplina de Trabalho de
Conclusão de Curso, do Curso Superior de Tecnologia
em Sistemas para Internet da Coordenação de
Informática da Universidade Tecnológica Federal do
Paraná – UTFPR, como requisito para aprovação na
disciplina.
Orientador: Prof. Me. Rodrigo Campiolo
CAMPO MOURÃO
2010
À Deus, que me concedeu a Sua Graça,
favor imerecido e benevolente para com os
homens.
À memória de Élcio de Sá, cujos sábios
conselhos me serviram a vida toda e por
sua dedicação com a família que
expressaram o que é amar.
À Djanira Zanini de Sá, não somente mãe,
mas guerreira e refúgio nos momentos de
dor, um presente de Deus para nós.
À Francisco Mineiro Junior e Deise
Mineiro, que conduziram e incentivaram
minha educação formal, que me amaram e
me ampararam em momentos difíceis.
À Tais, Cintia e Ronaldo, meu irmãos os
quais amo.
À todos meus amigos, que me ajudaram,
me incentivaram e foram pacientes
comigo.
AGRADECIMENTOS
Certamente estes parágrafos não irão atender a todas as pessoas que fizeram
parte dessa importante fase de minha vida. Portanto, desde já peço desculpas àquelas que
não estão presentes entre essas palavras, mas elas podem estar certas que fazem parte do
meu pensamento e de minha gratidão.
Reverencio o Professor Me. Rodrigo Campiolo pela sua dedicação e pela
orientação deste trabalho e, por meio dele, eu me reporto a toda a comunidade da
Universidade Tecnológica Federal do Paraná (UTFPR) pelo apoio incondicional.
A todos os colegas da Universidade gostaria de externar minha satisfação de poder
conviver com eles durante a realização deste curso, pelos momentos de estresse, pelas
muitas conversas nas salas de aula, pois são como alavancas para o convívio sadio perante
a sociedade e pela grande paciência comigo.
Agradeço aos pesquisadores e professores da banca examinadora pela atenção e
contribuição dedicadas a este estudo.
Reconheço também o carinho da minha família, pois acredito que sem o apoio
deles seria muito difícil vencer esse desafio. E por último, e nem por isso menos importante,
agradeço a minha namorada pelo carinho, amor e compreensão.
RESUMO
SÁ,Guilherme Zanini de. Técnicas Antiforense em Arquivos de Log. 2010. 49 f.
Trabalho de Conclusão de Curso (Tecnologia em Sistemas para a Internet) – Programa de
Graduação em Tecnologia em Sistemas para Internet, Universidade Tecnológica Federal de
do Paraná. Campo Mourão, 2010.
Esta pesquisa apresenta uma abordagem teórico-conceitual de técnicas antiforense
computacional, com foco nos em arquivos de registro, conhecido como logs. Discute os
conceitos do especialista forense, bem como suas técnicas de procura de evidências
criminais em computadores. Apresenta conceitos de logs, ambiente propício e obstáculos à
gestão do conhecimento nos mesmos registros. Discute o principio de volatilidade da
informação no computador, com base na literatura pertinente ao tema. Complementado por
uma aplicação prática na demonstração das principais técnicas antiforenses, o estudo
verificou a dificuldade tanto para o invasor em esconder seus rastros, como para o perito em
descobrir evidências. Traz como resultado do estudo uma demonstração dos conceitos
forenses e técnicas antiforense para ocultação dos rastros nos arquivos de registro.
Palavras-chave : Antiforense Computacional. Logs. Forense Computacional.
Técnicas. Informação. Tecnologia.
ABSTRACT
SÁ, Guilherme Zanini de.Técnicas Antiforensics in Log Files in 2010. 49 f.
Completetion of Course Work (Technology Systems for the Internet) - Graduate Program in
Technology Systems for the Internet, Universidade Tecnológica Federal do Paraná. Campo
Mourão, 2010.
This research presents theoretical and conceptual approach antiforensics
computational techniques, focusing on the log files. Discusses the concepts of forensic
specialist, as well as their search techniques criminal evidence on computers. Introduces
concepts of logs, environment and barriers to knowledge management in the same records.
Discusses the principle of volatility information into the computer, based on the literature
concerning the matter. Complemented by a practical application in illustrating the main
techniques antiforenses, the study found, the difficulty for both the attacker to hide his tracks,
as for the expert in discovering evidence. Brings as a result of this study demonstrate the
concepts and forensic techniques antiforensics to conceal the traces in the log files.
Keywords: Computational Antiforensics. Logs. Computer Forensics. Technical
AntiForensics. Information. Technology
SUMARIO 1. INTRODUÇÃO ................................................................................................................. 7
2. MOTIVAÇÃO .................................................................................................................... 8
3. JUSTIFICATIVA ................................................................................................................ 9
4. OBJETIVOS .................................................................................................................... 12
4.1. OBJETIVO GERAL .................................................................................................... 12
4.2. OBJETIVOS ESPECÍFICOS .................................................................................... 12
5. METODOLOGIA ............................................................................................................ 13
6. REFERÊNCIAL TEÓRICO ........................................................................................... 14
6.1. PERÍCIA FORENSE COMPUTACIONAL .............................................................. 14
6.1.1. DEFINIÇÃO DA PERICIA FORENSE COMPUTACIONAL ............................. 14
6.1.2. PERITO ................................................................................................................... 15
6.1.3. PROCESSOS DA PERICIA ................................................................................. 16
6.1.3.1. Coleta dos dados ........................................................................................... 16
6.1.3.2. Exame dos dados........................................................................................... 16
6.1.3.3. Análise de informações ................................................................................. 17
6.2. CRIME INFORMÁTICO ............................................................................................ 17
6.2.1. NO BRASIL ............................................................................................................. 18
6.3. SISTEMAS DE REGISTRO (Log) ........................................................................... 19
6.3.1. OOV – “Ordem da Volatilidade” ........................................................................... 19
6.3.2. MACtimes ................................................................................................................ 20
6.3.3. Log no Windows ..................................................................................................... 20
6.3.4. Log no Linux ........................................................................................................... 22
6.4. ANTIFORENSE COMPUTACIONAL ...................................................................... 24
6.4.1. CLASSIFICAÇÃO .................................................................................................. 24
6.4.2. ETAPAS DE UM ATAQUE .................................................................................... 25
6.5. AUDITORIA ................................................................................................................ 26
6.6. TÉCNICAS ANTIFORENSES .................................................................................. 27
6.6.1. ADULTERAÇÃO DE REGISTROS ..................................................................... 27
6.6.1.1. Desabilitação da Auditoria ............................................................................ 27
6.6.1.2. Alteração do histórico dos Arquivos ............................................................ 28
6.6.1.3. Logs de Console............................................................................................. 28
6.7. ESTEGANOGRAFIA E CRIPTOGRAFIA .............................................................. 29
6.7.1.1. CRIPTOGRAFIA ............................................................................................. 29
6.7.1.1.1. Criptografia Simétrica .................................................................................... 30
6.7.1.1.2. Criptografia Assimétrica ou de Chave Pública .......................................... 31
6.7.1.2. ESTEGANOGRAFIA ..................................................................................... 31
6.8. CONSIDERAÇÕES FINAIS ..................................................................................... 33
7. CRONOGRAMA ............................................................................................................. 34
7.1. DESCRIÇÃO DAS ATIVIDADES ............................................................................. 34
8. ANEXOS ......................................................................................................................... 35
9. GLOSSÁRIO ................................................................................................................... 44
10. REFERÊNCIAS .......................................................................................................... 48
1. INTRODUÇÃO À medida que a interação e interligação dos sistemas de informação se
tornam mais globalizados, as tentativas de fraude também ganham campo.
Os sistemas computacionais armazenam grandes quantidades de
informações referentes ao próprio sistema e os computadores, em si, mesmo que em
intensa atividade, praticamente acessam os mesmos dados, programas e outros
recursos repetidamente. Por essa razão os vestígios de atividades incomuns não
apenas se destacam, mas também são notáveis durante um longo período de tempo,
pois a maioria das informações são raramente tocadas.
A análise forense de um sistema computacional envolve um ciclo de coleta de
dados e processamento das informações, quanto mais precisos e completos os dados,
melhor e mais abrangente a avaliação pode ser, podendo assim, descobrir evidências
de crimes que possam ter sido realizados através de determinado sistema.
Em geral, os sistemas de log computacional armazenam arquivos como
sequência de bytes e organizam esses arquivos dentro de uma hierarquia de
diretórios. Possuem, no entanto, além dos nomes, conteúdo, arquivos e diretórios,
também outros atributos como posse, permissões de acesso, data/hora da última
modificação, entre outros.
A análise dos referidos arquivos tende a ser mais confiável quanto maior for a
quantidade de fontes de informações disponíveis e a independência das mesmas
entre si.
Para evitar ou ao menos dificultar essa busca, um invasor se utiliza de
técnicas antiforenses computacionais de ocultação ou corrupção de dados,
principalmente em logs de sistema, o que pode ser surpreendentemente difícil de
fazer, por exemplo, chips de memória podem ser lidos mesmo depois de uma máquina
ser desligada. Devido a essas “digitais” deixadas na invasão de um sistema,
constantemente são desenvolvidas técnicas para a limpeza dos rastros ou alterações
da confiabilidade das informações dos registros.
Para a compreensão dessas técnicas é necessário um conhecimento prévio
do que se trata a perícia forense computacional, a qual examina, cuidadosamente,
possíveis inconsistências de cada fragmento de informação, bem como dos arquivos
de log, responsáveis por registrar alterações ocorridas em um sistema, para, então,
desenvolver uma análise das técnicas usadas por invasores para a ocultação dos
rastros deixados durante a invasão do sistema.
2. MOTIVAÇÃO Com o passar das décadas, um legado tem se formado com integração dos
computadores no modo de vida da humanidade. Nessa era informacional, a
informação se tornou o bem mais precioso e de extremo valor para a humanidade.
Infraestruturas essenciais da sociedade, como sistemas de comunicação, redes
financeiras, estações de energia e sistemas de saúde, dependem de sistemas
computacionais para um funcionamento eficiente e confiável. Além disso, cresce o
número de indivíduos que utilizam computadores pessoais por conveniência,
educação ou entretenimento.
Uma série de novas facilidades foi introduzida no cotidiano das pessoas
devido à internet, permitindo o acesso a quase todo tipo de informação ou sistema. É
fato que o mundo criminal, na mesma proporção, tem atingido essa evolução
computacional, tornando-se uma ferramenta para a consumação de crimes como
pornografia infantil, fraude e extorsão.
O aumento exorbitante dos crimes no mundo cibernético exige um
discernimento mais elevado de como se obter e utilizar as evidências encontradas, o
qual pode ser alcançado através dos conceitos e metodologias da forense
computacional. Isso, porém, não é o suficiente, sendo também necessário conhecer as
técnicas usadas para ocultar a prática dos antiforenses.
3. JUSTIFICATIVA O despreparo em relação a segurança computacional, principalmente dos
usuários comuns, torna-se evidente em virtude do grande número de crimes
computacionais na atualidade, devido a facilidade com que os criminosos obtêm
acesso ilícito aos sistemas de informação.
A Figura 1 comprova o despreparo dos usuários no uso da internet, sendo
uma brecha para a segurança, tanto pessoal quanto do ambiente de trabalho, gerada
pelo pouco conhecimento das instruções preventivas necessárias.
Figura 1 . – Quantidade de Spam e Computadores Infectados em um mês.
Fonte: http://info.abril.com.br/noticias/trend-micro/trend-mapa.html
No Brasil e no mundo, os crimes cibernéticos incluem desde sites
governamentais até rede sociais, causando prejuízo a toda a coletividade, conforme
alguns exemplos recentes de empresas e órgãos governamentais de diferentes países
que comprometeram informações sensíveis de milhões de pessoas em casos de falha
de segurança, a saber:
“O vazamento de dados sigilosos da Petrobras que veio à tona nesta quarta-feira
(14/02) é um dos primeiros casos nacionais deste tipo a ganhar destaque na
mídia. No entanto, a perda e o furto de informações sensíveis armazenadas em
computadores é um problema cada vez mais comum e preocupante no cenário
global.(...)
Nos Estados Unidos, mais de 120 milhões de norte-americanos tiveram
informações pessoais expostas em 2007, em incidentes de perda de dados.(...)
EUA perde dados de 3 milhões de condutores britânic os . Alunos do Reino
Unido foram vítimas da perda de arquivos em um disco rígido, que continham
nome, endereço, telefone e e-mail. (...)
Reino Unido perde dados de 7 milhões de famílias. Órgão que controla o
pagamento de impostos e benefícios reconheceu a perda de dados de 25 milhões
de registros de crianças beneficiárias. (...)
Dados de 100 mil trabalhadores são perdidos nos EUA . Órgão responsável
pela segurança em aeroportos informa a perda de um disco com informações de
atuais e antigos trabalhadores.” 1
Sites conhecidos como IDG Now, hospedado na UOL, apresentam
constantemente notícias sobre ataques, invasões e furtos de informações sigilosas, e
estatísticas como: “Brasil é líder em vírus que roubam dados bancários”, diz pesquisa
por Renato Rodrigues, do IDG Now! Publicada em 24 de agosto de 2010 às 17h52,
são evidências da importância desse trabalho, a conscientização da necessidade de
segurança e contextualização sobre o assunto.
É fato, como mostrado na Figura 2, mesmo com o pequeno crescimento do
conhecimento técnico de informática, a sofisticação dos ataques tem aumentado em
medidas inversamente proporcionais:
Figura 2 – Sofisticação dos ataques com o passar dos anos.
Fonte: Revista da Rede Nacional de Altos Estudos em Segurança Pública, 2008.
O comentário abaixo, dado pela empresa de antivírus Avast em 14 de Maio
de 2010, comprova que é grande o “mercado” para os antiforenses:
“Globalmente, os dados dos primeiros quatro meses de 2010 identificaram
252.000 domínios infectados, que foram visitados e identificados por meio de 11.9
milhões de visitas feitas por membros do 'CommunityIQ'”. (...)
Até portais de notícias, bastante utilizados e de grande abrangência, estão na
lista", diz Alexandre Almeida, diretor-geral da HTI Consultoria e Tecnologia,
distribuidor avast! no Brasil. "O mais importante é que esta afirmação não é 1 Disponível em: http://idgnow.uol.com.br/seguranca/2008/02/14/confira-outros-casos-recentes-de-perda-e-roubo-de-dados-sigilosos/. Acesso em 27 de novembro de 2010.
resultado de especulação. Estes websites foram identificados em mais de 340.000
visitas de nossos membros brasileiros do avast! CommunityIQ", completa.”. 2
Em 14 de setembro de 2004, a BBC Brasil, já publicara que o Brasil se
tornara a “capital mundial dos hackers e da fraude na internet, segundo especialistas
reunidos em Brasília. De acordo com dados apresentados pela Polícia Federal no
evento, o Brasil é a casa de oito a cada dez hackers no mundo. No Brasil, a
quantidade de dinheiro perdida com a fraude financeira eletrônica ultrapassa o
prejuízo com o roubo de bancos. Cerca de 75% da pornografia infantil na internet
também teria origem no país.”3
A Cert.Br, Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança do Brasil, reporta os seguintes tipos de ataque:
Figura 3 – Incidentes Reportados no período de 2007 à 2010
Fonte: http://www.cert.br/stats/incidentes/2010-jul-sep/tipos-ataque-acumulado.html
Fica visível que o total de incidentes referentes a algum tipo de ataque tem
aumentado com o passar dos tempos, no entanto, quase não é visível a quantidade de
invasões ocorridas. Isso se deve em virtude da dificuldade na realização e detecção
da invasão.
A Figura 4 mostra o percentual de apenas 0,09% de invasões em relação a
outros tipos de ataques, revelando o nível de dificuldade para a realização da mesma.
Isto comprova que os criminosos que praticam a invasão possuem mais conhecimento
técnico que os demais que praticam outros tipos de ataques ao sistema e,
consequentemente, imputa à perícia forense a responsabilidade de maior capacitação,
2 Disponível em: http://www.avast.com/pt-pt/pr-avast!-releases-internet-security-forensics-data.
Acesso em 27 de novembro de 2010. 3 Disponível em: http://www.almeidacamargo.com.br/AlmeidaCamargo/paginas/Informacao.asp?CodNoticia=223&Categoria=6. Acesso em 29 de Novembro de 2010.
tendo em vista a dificuldade em detectar a invasão que pode gerar danos de
proporções catastróficas.
Figura 4 – Tipo de Ataque
Fonte: http://www.cert.br/stats/incidentes/2010-jul-sep/tipos-ataque.html
O pequeno percentual de invasores deve-se, principalmente, pela dificuldade
de alteração, defraudação e modificação dos registros em computadores sem que se
deixe um resquício da invasão, exigindo do invasor uma capacitação técnica maior
que para a prática de outros tipos de ataques a sistemas computacionais.
Desta forma, demonstra-se a importância do tema, no que se refere aos
cuidados com a segurança dos arquivos de log, tendo em vista que, para dificultar o
trabalho da perícia forense, o invasor adultera os registros do sistema, impossibilitando
o levantamento de rastros por ele deixado.
4. OBJETIVOS
4.1. OBJETIVO GERAL Objetiva-se com esse trabalho a realização do estudo e aplicação das
técnicas antiforenses computacionais em sistemas de registros (logs) com a finalidade
de demonstrar como os invasores ocultam suas ações em uma invasão, para que
assim, profissionais forenses e administradores de redes possam bloquear ou estar
atento ao uso dessas técnicas.
4.2. OBJETIVOS ESPECÍFICOS Pretende-se abordar de forma focada o tema da perícia forense
computacional, apontando os campos de conhecimento necessários para coleta,
análise e manipulação das informações.
Apresentar os mecanismos legais referentes aos crimes informáticos;
desenvolver uma abordagem dos sistemas de log encontrados durante a análise
forense e uma visão geral de como funcionam nos Sistemas Operacionais Linux e
Windows.
Classificar os antiforenses computacionais quanto as suas metodologias e
softwares auxiliares usados para a invasão e ocultação dos rastros em arquivos de
log.
Executar e simular um ambiente invadido por um invasor antiforense e a
ocultação de seus rastros no sistema de log, usados para impossibilitar ou dificultar a
procura de dados que comprometam o invasor ou denunciem as fraudes ao sistema.
Apresentar as considerações finais quanto ao grau de dificuldade para a
ocultação dos vestígios deixados durante o ataque a um sistema e possível proposta
de prevenção aos crimes de invasão de arquivos de log.
5. METODOLOGIA A metodologia usada por este trabalho de conclusão de curso possui os
seguintes passos:
• Coletar informações referentes à perícia forense computacional, logs
de sistemas operacionais, antiforense e suas técnicas, através de artigos,
TCC, Monografias e Livros.
• Selecionar assuntos referentes à filosofia hacker, hackerismo, forense
computacional, antiforense computacional, sistemas operacionais, logs
ou registros e sistemas de arquivos.
• Descrever sobre a perícia forense computacional e sobre o perito
forense, abordando campos de atuação e como agem no âmbito da lei.
• Descrever sobre Sistemas de Registro (Logs), em Linux e Windows,
abordando sobre características, quais os principais e sua relação com o
perito forense e o antiforense.
• Descrever sobre o antiforense computacional, suas características e
etapas de um ataque à um sistemas computacional.
• Descrever sobre técnicas antiforenses computacionais, adulteração de
registros, desabilitação de auditoria computacional, alteração do histórico
dos registros.
• Descrever sobre técnicas como esteganografia e criptografia e como o
antiforense se utiliza dessas técnicas para manter o sigilo de suas
informações.
• Instalar o Sistemas Operacional BackTrack, que consiste em um
arsenal de testes baseados em Linux que auxiliam profissionais de
segurança a realizar análises e coleta de informações. Auxilia também os
antiforenses, devido à ferramentas disponíveis, na realização de
invasões.
• Simular técnicas antiforenses computacionais no Sistema Operacional
BackTrack, para extrair considerações quanto à dificuldade da ocultação
de uma invasão nos sistemas de log.
• Desenvolver as considerações finais.
6. REFERÊNCIAL TEÓRICO No referencial teórico abordam-se as características da perícia forense
computacional, sua definição, atuação, legislação e processos. Conseguinte,
abordam-se os sistemas de registro, conhecidos como log. Descreve características
principais, tais como MACTimes e a volatilidade dos dados. Como se comportam tanto
em ambiente Windows como Linux. A seguir definem-se os antiforenses
computacional, etapas de um ataque computacional e o que seria auditoria em
sistemas computacionais e sua relação com o invasor. Por último, algumas técnicas
usadas por um invasor para manter seu sigilo e esconder seus delitos, técnicas como
criptografia de dados e esteganografia, desabilitação de auditoria, adulteração dos
sistemas dos registros, histórico de arquivos e logs.
6.1. PERÍCIA FORENSE COMPUTACIONAL Este tópico aborda sobre a perícia forense computacional. Também define as
características do perito forense e quais os campos de atuação. Aborda também,
sobre crimes informáticos, sua legislação geral e específica para o Brasil. E quais os
processos da perícia forense computacional.
6.1.1. DEFINIÇÃO DA PERICIA FORENSE COMPUTACIONAL A forense computacional é considerada a arte e ciência de arrebatar e
considerar evidências digitais, reconstruindo ataques e recuperando dados, e rastrear
invasores. E mesmo sendo uma área de pesquisa relativamente recente, é crescente
a indigência de incremento nesse campo, uma vez que a utilização de computadores
em prestezas criminosas tem se tornado uma prática ordinária.
Para tanto, conceitos essenciais devem ser entendidos, como diz Farmer e
Venema (2007), a volatilidade e a divisão em camadas e confiança, a coleta de
quantidade máxima de evidências confiáveis de um sistema em execução, a
recuperação de informações parcialmente destruídas.
Para que essas informações sejam uteis, deve-se reconstruir a linha temporal
do sistema. Para que descobrir alterações minuciosas em cada parte escondida,
desde o kernel ä utilitários, assim, poder descobrir evidências ocultas.
Há a necessidade de a perícia coligar rastros digitais adjuntas a atividades
implicadas, entendendo a lógica dos sistemas de arquivos na perspectiva forense,
distinguindo e considerando malwares, e impedindo-os de se alojarem em seus
sistemas.
Além de capturar e examinar o conteúdo da memória em sistemas em
operação deve, por último, seguir metodologias de descobrimento de uma invasão.
As características já citas devem estar incrustadas no caráter e personalidade
do perito.
6.1.2. PERITO O perito forense computacional, majoritariamente, consiste em um analista de
sistemas, especialista em metodologias laboratoriais e padronização da investigação,
aquisição, análise e manuseio de evidências em inquéritos, forense digital, inteligência
e contrainteligência, como definem vários autores.
Labuta em investigações e produção de projetos para a inteligência e contra
inteligência do governo, domínios de segurança metropolitanos, tanto quanto em
empresas nacionais e internacionais do ramo financeiro, telefônico, bancos e
instituições de ensino.
Utilizam-se do perito para inquéritos criminais, como o uso excessivo da
Internet funcionários de uma empresa, chantagem, agravos a ativos, “phishing”,
estelionato, casos de pedofilia, dentre outros, com o intuito de obter provas em relação
à realização de tais delitos.
Para manipular uma evidência computacional, é necessário estabelecer
algumas políticas e procedimentos, com o intuito de prover resultados válidos e
reproduzíveis para toda a comunidade científica.
Explana Freitas (2006) que a definição do perito computacional consiste em
uma parte da criminalística que abrange a aquisição, prevenção, restauração e análise
de evidências computacionais, sendo os componentes físicos ou dados que foram
processados digitalmente e armazenados em mídias computacionais.
Alan Turing (1950) criou um teste para inteligência de máquinas, no qual
deveria ser feito como uma entrevista via teleimpressoras, as em uma das telas de
computadores atuais. Perguntas eram feitas por um entrevistador que aguarda
respostas sem saber se eram de humanos ou computadores. Segundo Farmer e
Venema (2007), a análise forense aplicada à informática tem fortes paralelos com o
teste de Turing.
Examinam-se as informações a partir de um sistema de computador e
retiram-se as conclusões a partir dessas. Não obstante, sem uma análise mais
profunda e detalhada, não há como saber se a informação vista são vestígios do que
realmente aconteceu em uma máquina ou se consiste no que o invasor quer que o
perito acredite.
Averígua-se então, que o forense computacional é especialista em analise,
obtenção, preservação e recuperação de dados em mídias eletrônicas, computadores,
redes, ou componentes eletrônicos que possam ter sido usados para ações criminais.
Podem atuar por duas vertentes diferentes, a Forense Proativa, a qual trata
da acepção do intento da segurança de um instituto, ordenada por analistas de
segurança, responsáveis pela análise diária dos dados da organização e implementa
políticas de segurança. E a Forense Reativa, que entra em atividade após um
incidente, e que tenta recriar o espaço criminal, içando proeminências com o fim de
gerar provas.
6.1.3. PROCESSOS DA PERICIA Alguns autores distribuem a execução de perícia forense computacional em
quatro fases, com o intuito de levantar, examinar e analisar as informações, para
então, gerar a documentação técnica.
Aspectos legais e técnicos, as políticas e técnicas, e ainda a utilização de
ferramentas, são passos atribuídos pelo perito forense computacional para a aquisição
de evidencias.
Todas as etapas da perícia devem ser baseadas nos processos citados.
Mesmo que em momentos diferentes, sendo um durante a coleta dos dados, outro na
análise e no exame das informações, ou durante a documentação, os processos
devem ser seguidos.
Devido à necessidade de superficialização concernente a esse trabalho em
relação ao assunto, a documentação técnica será deixada de lado, devido às muitas
diferenças entre cada perito forense.
6.1.3.1. Coleta dos dados A fase de coleta de dados conglomera uma sequência de passos que visam
manter a total integridade das evidências encontradas e coletadas.
Durante a pré-coleta, concernentes à chegada ao local da investigação,
alguns cuidados são adotados. O isolamento da área ou local do crime, que visa
impedir alguma alteração ou contaminação das evidências, ou se necessário,
fotografar ou filmar o ambiente ou equipamento para amparar alguma análise futura,
são fatores fundamentais para se manter a integridade da análise.
Investigam-se, na fase de coleta, possíveis fontes de dados. Computadores,
dispositivos eletrônicos, portas de comunicação de periféricos, são identificados para
procura de evidências criminais. Além dos dados internos ao ambiente analisado,
dados significativos podem estar em provedores, servidores ou outros domínios
externos à cena averiguada.
6.1.3.2. Exame dos dados Na fase de exame dos dados, somente as informações mais importantes à
investigação são avaliadas, extraídas, filtradas e documentadas.
Diversos processos, ferramentas e técnicas disponíveis, podem reduzir muito
a quantidade de dados que necessitam de um exame minucioso, pois grande
quantidade de informação pode não ser útil e muito trabalhosa de se analisar. Filtros
de palavras-chaves ou de arquivos, por exemplo, pela extensão do mesmo,
permissões de acesso, entre outros, são meios importantes para se fazer essa
seleção.
6.1.3.3. Análise de informações Somente extrair dados relevantes, não é o suficiente. O perito forense deve
analisar e interpretar essas informações de forma correta.
O passo de análise de informações visa identificar características que
indiquem relações com a área do crime, como pessoas, e-mails, telefones, locais,
vídeos.
A análise das evidências levanta artefatos que indicam ou não, paralela à
etapa do exame, se os eventos investigados estão relacionados.
Freitas (2003) divide o método de análise pericial em duas categorias, a
análise física e a análise lógica. O exame sequencial e a obtenção de dados de todo o
conceito pericial, dos arquivos normais às partes inacessíveis da mídia, definem a
análise física, em contra partida, a análise lógica refere-se à análise dos arquivos de
partições.
6.2. CRIME INFORMÁTICO Existem algumas definições que tangem o assunto sobre “crime informático”,
porém vários autores apresentam pontos de vista diferentes. Por exemplo, Ferreira
(2000) define crime informático como uma “ação típica, antijurídica e culpável
cometida contra ou pela utilização de processamento automático de dados ou sua
transmissão”.
Corrêa (2000) afirma que “crimes informáticos seriam todos aqueles
relacionados às informações arquivadas ou em trânsito por computadores, sendo
esses dados, acessados ilicitamente, usados para ameaçar ou fraudar”. Já Corrêa
focaliza na ocorrência do crime contra o computador, suas informações arquivadas ou
interceptação indevida destes dados.
Crimes tradicionais podem ser potencializados com o advento da informática,
tais como extorsão, ameaças, furto, estelionato, no entanto, constantemente podem
surgir novos crimes, como exemplo, o “bullying” (termo em inglês que define ato de
violência física ou psicológica).
Pinheiro (2001) classifica crimes informáticos em três categorias distintas: o
crime virtual puro que deriva quando o computador é atacado física ou tecnicamente,
sendo alvo único, sendo tanto o hardware, quanto o software. E em segundo, o crime
virtual misto que consiste no uso da internet é atributo “sine qua non” para o ato do
crime, mesmo sendo o receptor de outrem ao informático. E por último o crime virtual
comum cuja informática é apenas um instrumento para a realização de um crime já
tipificado pela lei penal. Por exemplo, pedofilia infantil, através da distribuição de
vídeos pornográficos, ou ofensas das mais variadas, tais como email que difamem a
imagem de um indivíduo.
Vianna (2003) divide os crimes em quatro categorias, primeiramente como
crimes informáticos impróprios os quais consistem no computador como instrumento
para a execução do crime, sem ofensa ao bem e a não transgressão dos dados. Os
crimes informáticos impróprios podem ser, por exemplo, calúnia (art. 138 do CP
Brasileiro), difamação (art. 139 do CP Brasileiro) e injúria (art. 140 do CP Brasileiro).
Define também, os crimes informáticos próprios que são determinados quando o bem
jurídico protegido pela norma penal não viola os dados.
Em terceiro define os crimes informáticos mediatos ou indiretos que seria o
delito-fim não informático que herdou esta característica do delito-meio informático
realizado para possibilitar a sua consumação.
E por último, os crimes cibernéticos seriam crimes complicados em que, além
do amparo da inviolabilidade dos dados, a norma visa tutelar o bem jurídico de
natureza distinta. (VIANNA, Túlio Lima. Fundamentos de Direito Penal Informático .
Rio de Janeiro: Forense, 2003).
Diariamente, há uma grande quantidade de crimes informáticos, os quais se
intensificam mais a cada dia. Isso se deve ao fato do aumento exacerbado do uso de
computadores e internet. Assim, o aumento de condutas ilícitas se torna evidente,
essas quais, descritas por Zanellato (2003) em ANEXO A - Condutas Ilícitas .
Em 1990, em Havana, Cuba, a ONU, divulgou uma lista com os tipos de
crimes informáticos. Ocorreu no Oitavo Congresso sobre Prevenção de Delito e
Justiça Penal e foi dividido em três categorias descritas no ANEXO B – Fraudes.
No ano 2000, no X Congresso sobre Prevenção de Delito e Tratamento do
Delinquente, em Viena, Áustria, divulgou-se uma lista com mais alguns tipos de crimes
informáticos, executados por intermédio do computador descritos no ANEXO C –
Décimo Congresso sobre Prevenção de Delito e Tratam ento do Delinquente.
O roubo de identidade, segundo Carpanez (2006), é o crime informático de
maior execução na atualidade. O indivíduo mal intencionado coleta informações
particulares da vítima atuando de forma criminosa em várias áreas, tais como cessões
financeiras impróprias ou mesmo a aquisição de contas de e-mails de outrem.
Como se pode averiguar, a pedofilia, calúnia e difamação, ameaças,
discriminação, espionagem industrial, entre outros assumem posição de destaque,
junto ao crime informático de maior execução, o roubo de identidade.
6.2.1. NO BRASIL Grandes são as referencias que discutem sobre projetos de leis que tramitam
no Congresso Nacional. Devido à falta de interesse desses, e também devido à
colossal burocracia, nenhum projeto importante está incluso na legislação brasileira e
muito menos alguma emenda que contribua para a atualização da mesma.
Este assunto é tratado por alguns autores como uma necessidade que nasça
um novo Direito da Informática, para outros, apenas um ramo do Direito Penal e
Processual Penal.
Alguns crimes são identificados pela Convenção Contra Cibercrime, tais
como pedofilia e direitos autorais, e alguns outros abordados pelo Código Penal.4
Conforme a Convenção, a legislação penal em cada Estado signatário deve
tratar e a sua correspondência na legislação brasileira, como se define as
recomendações da Convenção das leis ou códigos, em ANEXO D - Leis Contra
Cibercrime .
Tanto em seus capítulos como em seu preâmbulo, a convenção estabelece
aos países-membros a obrigação de preservar os direitos humanos fundamentais e as
liberdades civis. Acesso público ao conhecimento e a Internet, assim como liberdade
de expressão, são exemplos dessas obrigações
6.3. SISTEMAS DE REGISTRO (Log) Os arquivos de Log consistem em um sistema crítico com centenas de
milhares de acesso por dia. Proporciona uma análise completa do funcionamento do
hardware, acessos, e-mails, programas, entre outros. Neste tópico apresentam-se as
definições dos registros de log, algumas de suas características, como volatilidade e
mactimes, para que servem e qual a sua importância. Para, então, abordar
características desses logs no Linux, descrevendo como são, sua localização, quais os
principais e qual a sua função. Com a mesma lógica de desenvolvimento, como se
comportam esses logs no Sistema Operacional Windows.
6.3.1. OOV – “Ordem da Volatilidade” Todos os dados são voláteis (FARMER e VENEMA, 2007), e a Ordem da
Volatilidade está intimamente relacionada com a coleta desses dados. A veracidade
das informações, assim como a capacidade de recuperação ou validação dos dados,
diminui com o passar do tempo. A Ordem da Volatilidade consiste em dois membros
de uma hierarquia, as informações impossíveis de recuperar dentro de um espaço de
tempo muito curto, definido por Farmer como parte superior, e a parte inferior
concernente às formas bastante persistentes e raramente mudam.
Qualquer alteração no sistema pode desencadear alterações em outras
áreas, e dessa forma comprometer dados importantes em um registro.
4 Artigo sobre Crimes Informáticos. Disponível em: http://www.artigos.etc.br/crimes-informaticos-legislacao-brasileira-e-tecnicas-de-forense-computacional-aplicadas-a-essa-modalidade-de-crime.html. Acesso em: 30 de novembro de 2010.
O Quadro 1 descreve a relação entre tipos de dados e seu tempo esperado
de vida.
O ciclo de vida esperado dos dados.
Tipos de Dados Tempo de Vida
Registradores, memória periférica, caches, etc. Nanossegundos Memória Principal Dez nanossegundos Estado da rede Milissegundos Processos em execução Segundos Disco Minutos Disquetes, mídia de backup, etc. Anos CD-ROM, impressões, etc. Dezenas de Anos
Quadro 1 – Ciclo de Vida dos Dados
Fonte: Farmer e Venema (2007), p. 172.
6.3.2. MACtimes Farmer e Venema (2007) definem o mactime como numa maneira de se
referir aos três atributos de tempo – mtime, atime e ctime. – que são anexados a
qualquer arquivo ou diretório no Windows, UNIX e em outros sistemas de arquivos.
Essas abreviações possuem o seguinte significado:
• Atime: última data/hora em que o arquivo ou diretório foi
acessado.
• Mtime: muda quando um arquivo ou diretório é
modificado.
• Ctime: monitora quando o conteúdo ou as meta-
informações sobre o arquivo mudaram, tais como o proprietário, grupo, as
permissões de arquivo e assim por diante.
O Quadro 2 mostra como se apresentam os MACtimes em um sistema
computacional.
MACtime de um Sistema
Mon Jun 10 2010 19:33:10 3888 m.. -/-rwxrwxrwx 48 0 112-128-4 C://system32/dri
vers/NTHANDLE
Thu Jun 13 2010 21:01:34 2229 .ac -/-rwxrwxrwx 48 0 263-128-4 C://system32/oe
mnadem.inf
Quadro 2 – MACtime de um sistema.
6.3.3. Log no Windows Os sistemas operacionais Windows a partir do NT possuem três tipos de logs:
Aplicativo, Segurança e Sistema.
Podem-se localizar esses registros em C:\Windows\System32\Config, com os
quais se obtêm informações tais quais usuários têm acesso a determinado arquivo,
quais usuários logaram no sistema, falhas no logon, uso de aplicações e mudanças de
permissões.
O arquivo de registro de Sistema é denominado sysevent.evr o qual realiza o
registro de ações referentes a drivers de dispositivos e a processos gerados pelo
sistema.
O arquivo de registro de Aplicativo consiste no appevent.evt que registra
eventos relacionados a aplicativos comerciais, que são erros e informações que o
programa deseja registrar.
O log de Segurança cuja denominação de arquivo é “secevent.evt” registra
eventos parametrizados na política de auditoria, que podem ser visualizados somente
pelo administrador, o que não ocorre com os logs de Sistema e Aplicativo que podem
ser vistos por qualquer usuário , como declara Oliveira (2002). Abrange alterações nos
privilégios de usuários, na diretiva de auditoria, acesso a arquivos e diretórios,
segundo Freitas (2006).
A Figura 4 demonstra como é a interface gráfica da Diretiva de Segurança
Local no Windows XP.
Figura 4 – Configurações Locais de Segurança do Windows XP.
É indispensável além da análise dos logs de eventos, a verificação de logs de
programas de terceiros, como antivírus e os gerados por utilitários do sistema
operacional. Estes criam arquivos de log específicos que podem ser úteis durante o
processo de análise.
A extensão evt é o padrão utilizado para arquivos de log do Windows. Pode
ser aberto em outro computador, através de Visualizar Eventos com Windows
compatível instalado. Arquivos com extensão Comma Separated Values (csv) podem
ser abertos em planilhas como o Excel e Open Office. Estes logs podem ser salvos no
formato evt, csv e txt para serem analisados posteriormente.
Os logs mencionados podem ser visualizados no Visualizar Eventos do
Windows XP, representado pela Figura 5.
Figura 5 – Visualizar Eventos do Windows XP.
A coluna Evento de Visualizar de Evento é a de maior interesse para o
investigador, pois possui o identificador do evento, através do qual é possível realizar
filtragens. Freitas (2006) descreve quais os identificadores de eventos de segurança
na página 161, os quais podem ser vistos no ANEXO G – Identificadores de eventos
de segurança .
6.3.4. Log no Linux Os arquivos de log no Linux estão contidos no diretório /var/log, e são
arquivos de textos que armazenam as informações referentes ao sistema. Para o
Linux o log mais importante é conhecido como syslogd.
A funcionalidade do syslogd é gerenciar os logs do sistema e em capturar as
mensagens do kernel. Esse log suporta tanto login local como remoto. No Anexo G
há um trecho originalmente escrito por Eric Allman, que descreve sucintamente as
funcionalidades do syslog.
Para visualizar os logs do sistema operacional Linux, basta acessar a área
administrativa do sistema, encontrar o visualizador de logs e executá-lo. Porém pode
ser feito pelo terminal gnome, basta executar o seguinte comando: cd /var/log. Com o
comando “ls” é possível visualizar quase todos os logs do sistema.
A Figura 06 apresenta, na forma de Interface gráfica como é disponibilizado
os logs do sistema.
Figura 6 – Sistema de Registro do Linux
Alguns logs, dos mais diversos existentes, proporcionam ao perito,
informações mais importantes que outros. A maior parte dos registros do sistema se
encontra dentro do diretório /var/log.
O Quadro 3 descreve alguns dos principais arquivos de log do Linux e
respectivas funcionalidades e finalidades.
LOG FUNCIONALIDADE
btmp Informa quando ocorreu a última tentativa de login que não teve sucesso no
sistema
messages Armazena os acessos ocorridos nos sistema
smbd Possui informações referentes ao servidor de arquivos do Linux que suportam
uma rede Windows.
httpd Informações do servidor Web Apache.
maillog Informações referentes ao servidor de Emails
syslog. conf Informa onde estão armazenados os logs do sistema. (Deve-se cuidar com
alterações feitas por um invasor).
auth.log Informações de acesso como root, inclusive o sucesso.
daemon.log Informação referente às tentativas de conexão, remotamente ou localmente.
QUADRO 3 – Principais Logs e Sua Funcionalidade.
6.4. ANTIFORENSE COMPUTACIONAL Neste tópico, abordam-se no que consiste o antiforense computacional, quem
prática tal ato e porque o faz. Também será discorrido, sobre as técnicas antiforenses,
como ocorre a desativação de sistemas de auditoria, adulteração dos registros,
esteganografia e criptografia e para então, ocultação da invasão.
6.4.1. CLASSIFICAÇÃO Em meados dos anos 60 o termo hacker originou-se da palavra phone hacker,
hackers que entendiam de sistemas telefônicos e utilizam seus conhecimentos para
telefonarem sem custo algum.
O termo que caracteriza as pessoas que burlam sistemas de segurança por
algum motivo pessoal, deriva do inglês, hack, que significa corte, pois “cortam” a
segurança.
Para tal efeito, do conhecimento adquirido por essas pessoas, e suas
respectivas intenções perante a sociedade, classificam-nos como: White Hats (hackers
éticos), Black Hats(hackers mal-intencionados), Script-Kiddies ou Crackers.
Os White Hats (hackers éticos) consistem nas ideologias mais próximas do
hacking, uma vez que buscam o conhecimento, sejam eles públicos ou privativos. O
objetivo principal desses é aprender. Passam parte de seu tempo estudando como
funcionam os sistemas informativos que regem o mundo.
Em relação à sua contribuição para a comunidade, desenvolvem softwares
livres, tais como o Sistema Operacional GNU/Linux, fóruns de ajuda técnica, e
informações referentes à segurança de software, defendendo o conhecimento livre e à
disposição de todos.
A linha entre o White Hat e o Black Hat é tênue. O Black Hat busca poder na
informação e em suas habilidades de realização. Quando descobrem uma
vulnerabilidade em um produto comercial ou livre retêm o conhecimento até adquirirem
vantagens.
Dessa linhagem de hackers surgem os scripts kiddies, que se utilizam das
ferramentas ou técnicas produzidas por um nicho de Hackers. As invasões em massa,
adulteração de sites importantes com mensagens de protesto, entre outras formas de
infâmia, são atribuídas aos Scripts Kiddies.
Atribuem-se esse nome por não terem a consciência das conseqüências de
suas atitudes, e na maioria das vezes não saber o que fazem.
Por último os crackers, são os responsáveis pela criação dos cracks, visando
à quebra de ativações de softwares comerciais, conhecido como softwares piratas.
Milhões de dólares de prejuízo de empresas de software e também por códigos
maliciosos são derivados dessa classe de hacker.
6.4.2. ETAPAS DE UM ATAQUE Basicamente a realização de um ataque possui a seguinte anatomia:
Figura 7– Anatomia de um Ataque
Fonte: Segurança da Informação – Disponível em: www.cin.ufpe.br
Mesmo não sendo o foco deste trabalho, torna-se necessário contextualizar
sobre etapas de qualquer ataque em um sistema.
O Footprinting, ou reconhecimento, é a técnica de coleta de informações
sobre os sistemas e as entidades a que pertencem. Isto é feito através do emprego de
técnicas de segurança de vários computadores, como: consulta de DNS, enumeração
de rede, consulta de rede, por exemplo, porta IP do SSH, identificação do Sistema
Operacional, consulta organizacional, ping, consulta pontos de acesso e engenharia
social (WHOIS).
Quando usada no léxico segurança do computador, "pegadas" geralmente se
refere a uma das fases de pré-ataque, as tarefas realizadas antes de fazer o ataque
real. Algumas das ferramentas utilizadas para footprinting são Sam Spade , nslookup ,
traceroute, Nmap e NeoTrace.
Já durante a fase de varredura, ou scanning, de posse dos dados coletados o
invasor pode determinar quais sistemas estão ativos e alcançáveis ou, por exemplo,
quais portas estão ativas em cada sistema. Para isso utilizam-se de muitas
ferramentas que estão disponíveis, tais como: nmap, system banners, informações via
SNMP (do inglês Simple Network Management Protocol - Protocolo Simples de
Gerência de Rede).
Para a descoberta da tipologia da rede, utiliza-se de ferramentas de
descoberta automatizadas, tais como cheops, ntop, entre outras. Para tal fim o ping,
traceroute, nslookup, tornam-se comandos de maior utilização.
Outra etapa importante é a enumeração, onde o invasor faz consultas
intrusivas como consultas diretas ao sistema, no qual pode ser notado, faz a
identificação de logins válidos, identificação versões de HTTP e FTP.
Para a identificação da rede verifica-se: compartilhamentos (Windows) com os
comandos “net view” e “nbstat”, os arquivos de sistema exportados (Unix) com o
comando showmount. Para então, verificar as vulnerabilidades mais comuns do
sistema através do “nessus”, “Saint”, “satan”, “sara” e “tara”.
Na etapa da invasão, ou no ganho de acesso, com as informações coletadas,
as estratégias de invasão são definidas. O invasor por possuir uma base de
informações referentes a vulnerabilidades procura bugs no SO, kernel, serviço,
aplicativo, por respectivas versões. Assim pode adquirir ao menos os privilégios de
usuário comum. Para conseguir senhas e outros privilégios, utiliza-se de técnicas
como: “password sniffing”, “password crackers”, “password guessing”, “session
hijacking” (seqüestro de sessão) e ferramentas para bugs conhecidos “buffer overflow”.
Com o acesso comum, procura o acesso completo do sistema (root ou
administrador), o que define a escalada de privilégios. Algumas ferramentas são
conhecidas para a procura de bugs, tais quais os “exploits”. A escalada de privilégios
utiliza-se das mesmas técnicas anteriores, com acréscimos de “replay attacks” e
“trojans horse”.
O invasor procura evitar a detecção de sua presença, utilizando-se de
ferramentas que desabilitem a auditoria, para isso é necessário, inclusive tomar o
cuidado com o tempo excessivo de inatividade, que denunciam um ataque, pois
deixam espaços evidentes nos logs. São conhecidas algumas ferramentas para
abscisão seletiva do “event log”, os quais podem esconder arquivos instalados no
sistema (“backdoors”).
O objetivo é a manutenção do acesso, utilizando de ferramentas como
“rootkits”, “trojan horse” e “backdoors”. Através dos “rootkits”, que consistem em
ferramentas ativas, porém ocultas, se confundem com o sistema, escondendo
comandos modificados para não revelar o invasor. Através dos “trojan horses”, o
invasor obtém informações como captura do teclado ou um email com senhas do
sistema. E por ultimo com os backdoors, o invasor possui acesso remoto sem
autenticação, inclusive não aparecem na lista de processos.
Os ataques são realizados pelo invasor com os seguintes objetivos:
dispêndios de banda da rede, colapso de recursos, usarem de falhas de programação
(Ex: Ping da Morte), dano de roteamento ou sabotagem de DNS.
6.5. AUDITORIA A auditoria consiste na fiscalização e gerenciamento das conexões realizadas
ou serviços do sistema, juntamente à segurança preventiva e corretiva. É necessário
um exame cuidadoso, sistemático e independente das atividades desenvolvidas em
determinada empresa ou setor, pois visa verificar se está de acordo com o
planejamento, estabelecido previamente, e se foram aderidas com eficácia e se estão
adequadas, ou seja, em conformidade à consecução dos objetivos.
Classificam-se as auditorias em externa e interna havendo várias
ramificações: auditoria de sistemas, de recursos humanos, de qualidade, de
demonstrações financeiras, jurídica, contábil, entre outras. (Wikipédia, 2010)
Para facilitar o gerenciamento das informações desenvolveram-se várias
ferramentas que auxiliam a auditoria. Stephen Hansen e Todd Atkins desenvolveram o
SWATCH (The System Watcher - O vigia do sistema), o qual monitora em tempo real o
sistema, além do login. Possui um utilitário chamado "backfinger" que tenta tomar
informações do host usado para o ataque. Para reportagens de atividade, possível até
de minuto em minuto, o “instant paging” possui essa finalidade. Possui também,
execução condicional de comandos, que realiza algum comando caso encontre
alguma das condições previstas nos arquivos de log.
Para análise de arquivos de log o LOGSURFER e o NETLOG são exemplos
desses programas. O primeiro, LOGSURFER, analisa arquivos de registro de eventos
(logs) do tipo texto e, com base no que achar realiza várias ações. O NETLOG,
desenvolvido pela Universidade A&M do Texas, verifica o tráfego UDP, TCP e ICMP.
Um invasor, com certeza, se experiente, procurará desabilitar a auditoria do
sistema ou de uma rede, ou ao menos, conseguir acesso sem que seja rastreado.
6.6. TÉCNICAS ANTIFORENSES Neste ponto, a parte mais difícil para o atacante já passou. Ele conseguiu
acesso administrativo a um servidor e provavelmente a uma parte significativa da
árvore de uma rede.
Em um Sistema Operacional de Redes Novell NetWare, utilizado pela Justiça
Federal do Paraná, por exemplo, os seus próximos passos são obter acesso rconsole
e capturar os arquivos NDS, que consiste em um banco de dados global, onde são
fornecidos acessos centralizado e são realizados a gerencia das informações, dos
recursos e dos serviços da rede.
Alcançado os privilégios necessários, o invasor de um sistema procurará
ocultar sua invasão, por isso esse tópico abordará a adulteração dos registros,
técnicas de esteganografia e criptografia.
6.6.1. ADULTERAÇÃO DE REGISTROS O Invasor fará o máximo para ocultar seus rastros, ou seja, desativação da
auditoria, modificação de datas de acesso, modificação dos arquivos e adulteração
dos registros de log.
6.6.1.1. Desabilitação da Auditoria A fim de realizar seu trabalho, atacantes experientes verificarão a auditoria e
desativarão certos eventos.
Para desativar, por exemplo, na rede Novell, a auditoria para o diretório de
serviços e servidores, o invasor inicia o SYS:PUBLIC\auditcon, seleciona Audit
Directory Services, seleciona o contêiner que deseja trabalhar, pressiona F10,
seleciona Auditing Configuration, e desabilita a auditoria de determinado contêiner.
Dessa forma o invasor pode adicionar contêiner e usuários aos contêineres sem que o
administrador saiba.
Um dos servidores web mais utilizados na web é conhecido como Apache. No
Linux, as informações sobre ocorrências e alterações que ocorrem, as quais são
gravadas no arquivo de log do apache, encontra-se em /usr/local/apache/logs. O
acess_log é considerado o um dos mais úteis, uma vez que registra todas as
solicitações processadas pelo servidor.5
O invasor preocupa-se em apagar ou adulterar esses logs, pois fornecem
muitas informações para o administrador do sistema. O auditd é o daemon de
auditoria do kernel do sistema Linux, e consiste em um mecanismo responsável por
gravar os registros de auditoria em disco, o que apresenta grande risco para o invasor.
6.6.1.2. Alteração do histórico dos Arquivos Os arquivos do sistema possuem um histórico, inclusive com datas de
acesso, modificações, entre outros. O invasor deve adulterar a data dos mesmos para
que não seja descoberto tão facilmente nos dias em que houve invasão.
Especificamente para uma rede Novell, para não serem descobertos, o
invasor altera os arquivos autoexec.ncf ou netinfo.cfg. Para tal utiliza-se do
SYS:PUBLIC\filer para retroceder a data de alterações. Semelhantemente ao uso do
comando touch no UNIX e no NT, “filer” é um utilitário de menus baseado no DOS,
usado para localizar arquivos e alterar seus atributos (MCCLURE, SCAMBRAY,
KURTZ, 2003.).
Para alteração desses arquivos inicia-se o “filer” em SYS:PUBLIC, seleciona-
se “Manage Files and Directories”, localiza-se onde está o arquivo desejado, o
seleciona o campo “View/Set File Information” e por último altera-se o “Last Accessed
Date” e o “Last Modified Date”.
Em qualquer sistema, o invasor preocupa-se em alterar o histórico dos
arquivos, pois dessa forma, dificulta o trabalho do perito forense, já que adultera a
confiabilidade das informações.
6.6.1.3. Logs de Console A Novell monitora as mensagens e erros do console, para detectação e
5 Informações do site Apache disponível em: http://httpd.apache.org/docs/2.0/logs.html. Acesso em 29 de novembro de 2010.
bloqueio de intrusos, através do Conlog.nlm. Pressupondo-se que o atacante já possui
o acesso ao rconsole, ele usará o comando unload conlog para interromper o registro
em um arquivo de log. Para reiniciar o registro em um arquivo console.log totalmente
novo o invasor utiliza-se do comando load conlog. Esses erros são armazenados no
arquivo SYS:SYSTEM\sys$err.log. Para adulteração desses arquivos e ocultação de
sua invasão, o invasor deverá ter os privilégios de administrador do sistema.
6.7. ESTEGANOGRAFIA E CRIPTOGRAFIA O antiforense pode utilizar-se de técnicas conhecidas, porém muito eficazes,
para ocultar informações importantes antes, durante ou após a realização de um
ataque. Essas técnicas são conhecidas como esteganografia, arte de esconder
informações em imagens, e criptografia, a arte de tornar dados escritos ilegíveis,
através de algoritmos e chaves de segurança.
6.7.1.1. CRIPTOGRAFIA Criptografia é um processo cujo principal objetivo é embaralhar as
informações originais por meio de algoritmos (OORSCHOT, 2003). Os dados, ao ser
aplicado um tipo de criptografia, devem ser ilegíveis para todos, com exceção dos que
possuem a chave para transformar os dados para a forma original.
A criptografia é capaz de proteger a confidencialidade das informações, mas
outras técnicas são necessárias para manter a integridade e a autenticidade de uma
mensagem, como a verificação do código de autenticação de mensagem (MAC) ou
uma assinatura digital.
Uma das bases da criptografia é o uso de chaves, as quais ao serem
combinados com a mensagem que será transmitida geram uma informação
embaralhada. Portanto, se a origem precisa utilizar a chave para encriptar a
mensagem, o receptor precisa ter conhecimento dessa chave para poder decriptar a
mensagem.
São muito disponíveis as normas, softwares e hardwares usados para
criptografia. Como o algoritmo é de domínio publico, a segurança da mensagem é em
cima da chave, que quanto maior a combinação de possibilidades, maior a segurança.
Uma chave é um conjunto de bits, para as quais existem chaves de 8 bits, 16
bits, 64 bits, 512bits, e muitas outras. A segurança não está relacionada com a força
de uma chave, mas quantas possibilidades combinatórias possuem, por exemplo, uma
chave de 8 bits, possui 256 combinações.
Como estudo de caso este trabalho optou utilizar um software livre, distribuído
para Sistemas Operacionais Linux, mais especificamente o Ubuntu 10, conhecido
como Gcipher, que possui os seguintes algoritmos de criptografia: Gie's Code,
Ceasar's Code, Rot e Vigenere.
A Figura 8 apresenta a interface gráfica do GCipher.
Figura 8 – Gciphere – Simples Software Livre para Criptografia de Mensagem
Existem inúmeros softwares para tal finalidade, desde público à comerciais,
com algoritmos de criptografia simples à mais de 2048 bits.
6.7.1.1.1. Criptografia Simétrica Utiliza-se essa forma com uma única chave para encriptar e decriptar. Suas
características e seu algoritmo são interessantes para grandes quantidades de
informações, como por exemplo, HDs, porém é bastante suscetível à falhas de
segurança, como roubo de chave ou identidade dos remetentes. Os principais
algoritmos que implementam a criptografia simétrica são:
DES – o Data Encryption Standard é uma especificação de criptografia
desenvolvido pela IBM e adotado pelo governo dos EUA como padrão. Esse tipo utiliza
chaves de 56 bits. Hoje, é considerado inseguro devido ao tamanho da chave que
pode ser quebrado facilmente em menos de um dia.
Funcionamento – Um algoritmo que recebe uma string de texto simples e
realiza uma transformação, em um texto cifrado de mesmo tamanho, por uma série de
complicadas operações. No caso do DES, o tamanho do bloco é de 64bits. A chave
consiste em 64 bits, mas apenas 56 deles são realmente utilizados pelo algoritmo,
para que a decriptografia possa ser feita. Os oito bits restantes são usados
exclusivamente para verificação de paridade, e depois são descartados.
3DES – Triple Data Encryption Standard utiliza um algoritmo que criptografa
três vezes cada bloco de dados. É uma variante do DES que utiliza uma chave 3
vezes maior, de 168 bits.
AES – Advanced Encryption Standard é um algoritmo de criptografia
especificado pela NIST (National Institute of Standarts and Technology) que utiliza
chaves de 128, 192 e 256 bits.
6.7.1.1.2. Criptografia Assimétrica ou de Chave Púb lica A criptografia assimétrica utiliza-se de duas chaves, uma para criptografas e
outra para decriptografar os dados, possui um processo mais lento que o simétrico,
pois necessita de mais cálculos dos processadores. Esse tipo de criptografia é
praticamente impossível de quebrar com a tecnologia atual.
As duas chaves são chamadas de publica, que é compartilhada e usada para
encriptar e privada que é única e exclusiva para decriptar.
Chave Pública ou Chave Compartilhada é usada para encriptar os dados,
distribuída livremente, depois dos dados serem embaralhados, não é possível
descobrir a forma original utilizando esta chave.
Já a Chave Privada ou Chave Secreta é a chave para decriptação dos dados.
Apenas com ela é possível retornar os dados embaralhados para a forma original.
Essa chave deve ser guardada de forma segura pelo dono. A criação das chaves é
baseada em cálculos de números primos na ordem de 300 dígitos.
RSA – É um algoritmo de criptografia assimétrica, com chaves de 256, 512,
1024 e 2048 bits, muito utilizado no comercio eletrônico.
6.7.1.2. ESTEGANOGRAFIA Rocha (2003, p.2-3) explana que a esteganografia não vem para suprimir a
criptografia, mas para complementá-la, uma vez que se torna quase impossível se
quebrar a um código sem ao menos saber de sua existência.
A Esteganografia, palavra derivada do grego, “estegano” - esconder e
“graphos” - escrita, consistem na arte de ocultar mensagens e informações por meio
de métodos, visando à comunicação em segredo. A Figura 9 mostra um caso comum
de esteganografia, uma nota de 100 Reais.
Muitas são as ferramentas usadas para identificar uma nota de 100 reais
original, tais como: fibras coloridas, linhas multidirecionais, microimpressões, registro
coincidente, marca d'água, marca tátil, imagem latente, fio de segurança e numeração.
A Figura 09 está representada abaixo, como exemplo de esteganografia em
um papel moeda.
Figura 9 – Esteganografia em uma nota de 100. Fonte: http://tecnologialivreacesso.blogspot.com Como estudo de caso, este trabalho adotou o software livre Steghide, cujo
algoritmo padrão de criptografia é o AES de 128 bits. Após a instalação do Steghide,
há a possibilidade de utilizá-lo por linha de comando como na Figura 10.
Figura 10 – Esteganografia de um arquivo texto e uma imagem com o software Steghide.
Como visto na Figura 10, o comando: “steghide embed -ef
nomeDoArquivoTexto -cf nomeDoArquivoImagem ”, possibilita a esteganografia.
Logo abaixo se pede uma senha para proteção das informações dos arquivos. O
comando “embed” oculta o nome do arquivo. Para modificação do mesmo usa-se:
“steghide embed -ef mensagem.txt -cf imagem.jpg -sf novaImagem.jpg ”
O resultado cria uma nova imagem que são aparentemente idênticas, como
mostra a Figura 11.
Figura 11 – Imagem com Esteganografia e Imagem sem Esteganografia.
Para adquirir a informação que está dentro da Imagem na qual se aplicou
uma técnica de esteganografia. Utilizando-se do mesmo software, usa-se o comando
da Figura 12. O seguinte comando: “steghide extract -sf natural.jpg -xf mensagem.txt”.
Figura 12 – Comando para extrair a mensagem de uma imagem e respectivos arquivos. A Figura 12 consiste no gnome terminal do Ubuntu e a direita os arquivos usados por este trabalho para teste.
6.8. CONSIDERAÇÕES FINAIS Apesar de a informática e a internet não serem tecnologias tão recentes, e
por conseqüência também os crimes cometidos através daquelas, o nosso
ordenamento jurídico ainda não possui prerrogativas punitivas para esses tipos de
delitos.
Muitos projetos de leis estão em andamento no congresso, porém a
burocracia e a falta de vontade política os tem impedido de chegar à votação e
promulgação.
A forense computacional também surge a partir do cometimento destes
ilícitos, e da necessidade de elucidação destes crimes e engatinha no que diz respeito
a teorias e metodologias a serem usadas nas perícias forenses computacionais.
Algumas organizações unem esforços para padronizar o andamento de uma
perícia, porém ainda não se têm normas específicas e padronizadas a serem
seguidas. Cada órgão de perícia acaba por adotar seus próprios padrões e diretrizes a
serem utilizadas. Em contrapartida, existem hoje várias ferramentas de apoio aos
processos de perícia, contudo a perícia necessita ainda severamente dos
conhecimentos do perito no que diz respeito à análise dos dados coletados.
A perícia forense deve possuir conhecimentos profundos sobre sistemas, não
se esquecendo dos conceitos básicos dos logs, como MACtimes ou o princípio da
volatilidade.
7. CRONOGRAMA Este capítulo apresenta um cronograma para o projeto, destacando quais
serão os principais marcos do projeto, o que conterão e quando eles ocorrerão.
Fases do projeto Data de início prevista Data de término prevista
Revisão bibliográfica 13/08/2010 Final 1º Semestre de 2011
Preparação do Ambiente 06/01/2011 06/02/2011
Testes 06/02/2011 06/03/2011
Implementação 06/02/2011 Final 1º Semestre de 2011
Conclusões Finais Final 1º Semestre de 2011 Final 1º Semestre de 2011
Quadro 4 – Cronograma das atividades do projeto.
7.1. DESCRIÇÃO DAS ATIVIDADES Revisão Bibliográfica: A revisão bibliográfica se concluirá no final do TCC II, e
consistirá nas atualizações essenciais da parte teórica do TCC I. Acrescentando técnicas de
intrusão e retirando tópicos que não forem necessários. Consistirá em uma elaboração mais
complexa e profunda referentes aos capítulos da Monografia.
Preparação do Ambiente: A preparação do ambiente está ligada à instalação dos
sistemas operacionais necessários para a execução dos testes de invasão e ocultação dos
rastros nos arquivos de log. O Sistema Operacional escolhido será o Backtrack, pois já possui
ferramentas que auxiliam para tal objetivo.
Testes: A fase de testes requer verificar a funcionalidade dos sistemas operacionais
usados, inclusive a verificação de bibliotecas, firewall, e outras funcionalidades necessárias
para manter um ambiente útil para aplicar as técnicas antiforenses computacionais.
Implementação: Na implementação será executado os passos de invasão e
ocultação dos rastros deixados durante a invasão do sistema. Com registro dos passos, e
avaliação dos níveis de dificuldade.
Considerações Finais: Nessa fase, desenvolver-se-á às considerações finais em
relação à dificuldade de ocultação de rastros em arquivos de log, e qual a necessidade de
prevenção de segurança. E outras conclusões pertinentes à segurança e importância da
destinada Monografia.
8. ANEXOS
ANEXO A - Condutas Ilícitas
a) spamming, como forma de envio não-consentido de mensagens
publicitárias por correio eletrônico a uma massa finita de usuários da rede, conduta
esta não oficialmente criminal, mas antiética;
b) cookies, a quem chama “biscoitinhos da web”, pequenos arquivos de
textos que são gravados no computador do usuário pelo browser quando ele visita
determinados sites de comércio eletrônico, de forma a identificar o computador com
um número único, e obter informações para reconhecer quem está acessando o site,
de onde vem, com que periodicidade costuma voltar e outros dados de interesse do
portal;
c) spywares, como programas espiões que enviam informações do
computador do usuário da rede para desconhecidos, de maneira que até o que é
teclado é monitorado como informação, sendo que alguns spywares têm mecanismos
que acessam o servidor assim que usuário fica on-line e outros enviam informações
por e-mail;
d) hoaxes, como sendo e-mails que possuem conteúdos alarmantes e falsos,
geralmente apontando como remetentes empresas importantes ou órgãos
governamentais, como as correntes ou pirâmides, hoaxes típicos que caracterizam
crime contra a economia popular16, podendo, ainda, estarem acompanhadas de vírus;
e) sniffers, programas espiões, assemelhados aos spywares, que,
introduzidos no disco rígido, visam a rastrear e reconhecer e-mails que circundam na
rede, de forma a permitir o seu controle e leitura;
f) trojan horses ou cavalos de tróia, que, uma vez instalados nos
computadores, abrem suas portas, tornando possível a subtração de informações,
como senhas, arquivos etc.
ANEXO B - Fraudes
1. Fraudes cometidas mediante manipulação de comput adores.
a) manipulação de dados de entrada, também conhecida como subtração de
dados;
b) manipulação de programas, modificando programas existentes em
sistemas de computadores ou enxertando novos programas ou novas rotinas;
c) manipulação de dados de saída, forjando um objetivo ao funcionamento do
sistema informático, como, por exemplo, a utilização de equipamentos e programas de
computadores especializados em decodificar informações de tarjas magnéticas de
cartões bancários ou de crédito;
d) manipulação informática, técnica especializada que aproveita as repetições
automáticas dos processos do computador, apenas perceptível em transações
financeiras, em que se saca numerário rapidamente de uma conta e transfere a outra.
2. Falsificações Informáticas
a) como objeto, quando se alteram dados de documentos armazenados em
formato computadorizado;
b) como instrumento, quando o computador é utilizado para efetuar
falsificações de documentos de uso comercial, criando ou modificando-os, com o
auxílio de impressoras coloridas a base de raio laser, cuja reprodução de alta
qualidade, em regra, somente pode ser diferenciada da autêntica por perito;
3. Danos ou modificações de programas ou dados comp utadorizados.
Também conhecidos como sabotagem informática, ato de copiar, suprimir ou modificar,
sem autorização, funções ou dados informáticos, com a intenção de obstaculizar o
funcionamento normal do sistema, cujas técnicas são:
a) vírus, série de chaves programadas que podem aderir a programas
legítimos e propagar-se a outros programas informáticos;
b) gusanos, análogo ao vírus, mas com objetivo de infiltrar em programas
legítimos de programas de dados para modificá-lo ou destruí-lo, sem regenerar-se;
c) bomba lógica ou cronológica, requisitando conhecimentos especializados
já que requer a programação para destruição ou modificação de dados em um certo
momento do futuro;
d) acesso não autorizado a sistemas de serviços, desde uma simples
curiosidade, como nos casos de hackers, piratas informáticos, até a sabotagem ou
espionagem informática;
e) piratas informáticos ou hackers, que aproveitam as falhas nos sistemas de
seguranças para obter acesso a programas e órgãos de informações; e reprodução
não autorizada de programas informáticos de proteção legal, causando uma perda
econômica substancial aos legítimos proprietários intelectuais.
ANEXO C - Décimo Congresso sobre Prevenção de Delit o e Tratamento do
Delinqüente
a) Espionagem industrial: espionagem avançada realizada por piratas para as
empresas ou para o seu próprio proveito, copiando segredos comerciais que abordam
desde informação sobre técnicas ou produtos até informação sobre estratégias de
comercialização;
b) Sabotagem de sistemas: ataques, como o bombardeiro eletrônico, que
consistem no envio de mensagens repetidas a um site, impedindo assim que os
usuários legítimos tenham acesso a eles. O fluxo de correspondência pode
transbordar a quota da conta pessoal do titular do e-mail que as recebe e paralisar
sistemas inteiros. Todavia, apesar de ser uma prática extremamente destruidora, não é
necessariamente ilegal;
c) Sabotagem e vandalismo de dados: intrusos acessam sites eletrônicos ou
base de dados, apagando-os ou alterando-os, de forma a corromper os dados. Podem
causar prejuízos ainda maiores se os dados incorretos forem usados posteriormente
para outros fins;
d) Pesca ou averiguação de senhas secretas: delinqüentes enganam novos e
incautos usuários da internet para que revelem suas senhas pessoais, fazendo-se
passar por agentes da lei ou empregados de provedores de serviço. Utilizam
programas para identificar senhas de usuários, para que, mais tarde, possam usá-las
para esconder verdadeiras identidades e cometer outras maldades, como o uso não
autorizado de sistemas de computadores, delitos financeiros, vandalismo e até atos de
terrorismo;
e) Estratagemas: astuciosos utilizam diversas técnicas para ocultar
computadores que se parecem eletronicamente com outros para lograr acessar algum
sistema geralmente restrito a cometer delitos. O famoso pirata Kevin Mitnick se valeu
de estratagemas em 1996, para invadir o computador da casa de Tsotomo Shimamura,
especialista em segurança, e destruir pela internet valiosos segredos de segurança;
f) Pornografia infantil: a distribuição de pornografia infantil por todo o mundo
por meio da internet está aumentando. O problema se agrava ao aparecer novas
tecnologias como a criptografia, que serve para esconder pornografia e demais
materiais ofensivos em arquivos ou durante a transmissão;
g) Jogos de azar: o jogo eletrônico de azar foi incrementado à medida que o
comércio brindou com facilidades de crédito e transferência de fundos pela rede. Os
problemas ocorrem em países onde esse jogo é um delito e as autoridades nacionais
exigem licenças. Ademais, não se pode garantir um jogo limpo, dado as
inconveniências técnicas e jurisdicionais para sua supervisão;
h) Fraude: já foram feitas ofertas fraudulentas ao consumidor tais como a
cotização de ações, bônus e valores, ou a venda de equipamentos de computadores
em regiões onde existe o comércio eletrônico;
i) Lavagem de dinheiro: espera-se que o comércio eletrônico seja um
novo lugar de transferência eletrônica de mercadorias e dinheiro para lavar as
ganâncias do crime, sobretudo, mediante a ocultação de transações.
ANEXO D – Leis Contra Cibercrime
a) – do acesso ilegal ou não autorizado a sistemas informatizados 154-A e
155 4º,V do CP339-A e 240 6º,V do COM.
b) Da interceptação ou interrupção de comunicações, art. 16 do
Substitutivo.
c) Da interferência não autorizada sobre os dados armazenados 154-D,
163-A e 171-A do CP339-D, 262-A e 281-A do COM.
d) Da falsificação em sistemas informatizados 163-A, 171-A, 298 e 298-A
do CP262-A e 281-A do COM.
e) Da quebra da integridade das informações 154-B do CP339-B do CPM.
f) Das fraudes em sistemas informatizados com ou sem ganho econômico
163-A e 171-A do CP262-A e 281-A do COM.
g) Da pornografia infantil ou pedofilia 241 da Lei 8.069, de 1990, Estatuto
da Criança e do Adolescente (ECA), alterado pela Lei 10.764, de 2003.
h) Da quebra dos direitos de autor Lei 9.609, de 1998, (a Lei do Software),
da Lei 9.610 de 1998, (a Lei do Direito Autoral) e da Lei 10.695 de 2003, (a Lei Contra
a Pirataria).
i) Das tentativas ou ajudas a condutas criminosas 154-A 1º do CP339-A
do COM.
j) Da responsabilidade de uma pessoa natural ou de uma organização art.
21 do Substitutivo.
Das penas de privação de liberdade e de sanções econômicas penas de
detenção, ou reclusão, e multa, com os respectivos agravantes e majorantes, das Leis
citadas e dos artigos do Substitutivo.
ANEXO E. – Syslog e Syslogd
1. Syslog
O syslog tem duas funções:
• Liberar os programadores de gerar seu arquivos de log .
• Deixar o administrador do sistema no controle dos logs.
O syslog é constituído de 3 partes:
• O daemon syslogd.
• Openlog, que são rotinas e bibliotecas chamadas para ter acesso ao
syslog.
• Logger, que é um comando shell para o usuário enviar entradas para o
syslog.
2. Daemon
O syslogd, escrito inicialmente por Eric Allman para *UNIX de kernel com
poucos Kbytes, trabalhava com poucas mensagens de log. Os *UNIX modernos com
kernels que podem variar de 400K a 16MB (Linux) passaram a produzir uma
quantidade muito grande de logs, sem contar os programas (ssh, Postfix, SGBDS,
etc), que produzem ainda mais log. Então o daemon do syslog foi divido em dois:
• syslogd - Linux system logging utilities;
• klogd - Kernel Log Daemon.
3. Klogd
O klogd é o daemon responsável por capturar as mensagens de lançadas
pelo kernel.
O klogd guarda suas mensagens em dois locais, no /proc ou usando a
"sys_syslog interface". O klogd escolhe qual dos dois vai usar da seguinte maneira:
verifica se o /proc está montado, se estiver, utilizará o /proc/kmsg para gravar as
mensagens de log, caso contrário utilizará o "system call interface" para mandar as
mensagens de erro.
Uma vez que a mensagem é enviada para o syslogd, o klog pode priorizar as
mensagens enviadas pelo kernel.
As mensagens enviadas pelo kernel têm a seguinte sintaxe:
<[0-7]> mensagem do kernel
Os valores <[0-7]> são definidos no kernel.h.
O klogd também envia as mensagens para o console toda a mensagem com
valor menor que 7. Já as mensagens com valor 7 são tratadas como mensagem de
debug.
O problema é que a configuração padrão gera mensagens em demasia na
saída de tela, então normalmente se utiliza o klog da seguinte maneira:
# klogd -c 0
O comando acima mostra na tela apenas os logs de PANIC.
Kernel Address Resolution : Uma vez que o kernel detecta um erro interno,
uma trigger é disparada mostrando todo o conteúdo que estava no processador no
momento do erro. O klogd fornece essa facilidade de especificar que função foi
chamada e quais variáveis estavam envolvidas no erro.
4. Syslogd
Captura tanto as mensagens do kernel quanto as mensagens do sistema. O
syslogd dá suporte para logs remotos, por exemplo, você pode fazer todas as
máquinas mandarem um log para uma máquina específica que analisa os logs de
todas as máquinas de uma empresa.
5. Os arquivos
Um dos problemas do syslog é a falta de padronização dos arquivos de log,
então dependendo da distribuição do seu Linux, pode haver alguma diferença.
Geralmente os arquivos de logs estão no diretório /var/log. Vejamos alguns
exemplos dos arquivos de log que podem ser abertos com um editor de texto.
O Quadro 5 apresenta os principais arquivos de log e suas respectivas
funcionalidade:
Nome Descri ção
Messages Um dos principais arquivos de log do sistema (kernel/sistema)
Syslog Um dos principais arquivos de log (kernel)
secure Uso do su, sudo, mudança de senhas pelo root, etc
maillog Arquivo de log do servidor de email
cron Log do cron
Quadro 5 – Arquivos de Log e Funcionalidades
O syslog também gera arquivos de contabilidade, que não podem ser abertos
por editores de textos e sim por programas especiais (ex: "last" para o wtmp).
O Quadro 6 apresenta os principais arquivos de contabilidade e qual sua
respectiva funcionalidade:
Nome Descrição
wtmp Contabilidade do tempo de conexão
acct/pacct Contabilidade de processo BSD/Sysv
Quadro 6 – Arquivos de Contabilidade e Funcionalidade
6. Entendo o syslog.conf.
Toda a configuração do syslogd está no arquivo /etc/syslog.conf. A sintaxe
básica do syslog.conf é a seguinte:
recurso.nível ação
Onde "recurso" é o recurso do sistema que envia a mensagem. São 18 os
recursos definidos na maioria das versões, mas o syslog já define 21 (para uso futuro).
O Quadro 7 apresenta os principais recursos do syslog.conf e quais os respectivos
programas que os utilizam:
Recurso Programas que utilizam
Kernel O kernel
user Processos do usuário
mail mail server
Daemon Daemons do sistema
auth Autenticação/segurança
cron Cron
syslog Mensagens internas do syslog
* Todos exceto o mark
Quadro 7 – Recursos do Syslog e Programas que os Utilizam
O Quadro 8 mostra qual o “nível" e qual sua determinação de grau de
severidade do log:
Nível Significado
emerg É aquela famosa "Eita p...."
alert Situações de emergências
crit Condições críticas
err Erros
warning Mensagem de advertência
notice Algo que merece uma investigação
info Informativas
debug Depuração
Quadro 8 – Nível e Relação com o Significado
Para mostras as ações do syslog utilizou-se do Quadro 9.
Ação Significado
nomedoarquivo Grava a mensagem no arquivo (path completo)
@nomedohost/ipdohost Encaminha a mensagem para um syslog em outra máquina
usuário1,usuário2, Imprime as mensagens na tela do usuário se ele estiver
logado
Quadro 9 – Ação do Syslog e Seu Significado
O syslog permite entradas com operador lógico (OR) e wildcards (*,!) da
seguinte maneira:
recurso.nível;
recurso2.nível4 ação
recurso1,recurso2.nível ação
*.nível ação
recurso.! ação
Alguns *UNIX aprimoraram seu syslog, os *UNIX derivados do BSD (O
Slackware em especial) implementou os qualificadores demonstrados no Quadro 10:
Seletor Significado
kernel.info Seleciona as mensagens com nível info ou mais altos
kernel.>=info O mesmo do kernel.inf o
kernel.= info Só as mensagens de info
kernel.!= info As mensagens diferentes de info
kernel.<=info As mensagens com o nível < ou = a info
kernel.<info Seleciona as mensagens com prioridade menor que inf o
kernel.>info Seleciona as mensagens com prior idade maior que info
Quadro 10: Qualificadores e do Syslog do Unix e Seus Significados
Alguns syslogs também implementam o m4, que é um preprocessador de
macro. Vejamos um exemplo:
auth.notice ifdef('LOGSERVER', '/var/log/xpto' , ' @LOGSERVER' )
Essa linha direciona a mensagem para o /var/log/xpto se o LOGSERVER não
estiver definido.
7. Login remoto
Para montar um servidor de log temos que verificar se temos que fazer duas
coisas:
• Iniciar o syslogd com a opção -r, para que o syslog receba mensagens
enviadas pela rede;
• Fazer o daemon escutar a porta 514 (/etc/services), tanto no servidor
quanto no cliente.
• Pronto, basta configurar o syslog.conf do servidor e dos clientes.
8. Questão de segurança
O uso de um servidor de log pode deixar seu servidor susceptível à ataques
D.O.S. Para evitar possíveis D.O.S:
• Definir no firewall quem poderá enviar mensagens;
• Fazer com que os logs não fiquem na partição raiz do sistema (evitando
que o sistema encha apenas com os logs);
• Definir uma "quota" para os arquivos de log.
ANEXO F – Identificadores de eventos de segurança.
Evento Descrição
528 O usuário fez logon com sucesso
533 Usuário não tem permissão para fazer logon neste co mputador
624 Conta de usuário criada
625 Tipo de conta de usuário alterado.
630 Conta de usuário excluída
631 Grupo global que permite segurança foi criado
641 Grupo global que permite segurança foi alterado.
642 A conta do usuário foi alterada.
643 A política de domínio foi alterada.
Quadro XI: Identificadores de Eventos de Segurança
9. GLOSSÁRIO
PALAVRA DEFINIÇÃO
Adware Do inglês Asymmetric Digital Subscriber Line. Software
especificamente projetado para apresentar propagandas.
Constitui uma forma de retorno financeiro para aqueles que
desenvolvem software livre ou prestam serviços gratuitos. Pode
ser considerado um tipo de spyware, caso monitore os hábitos do
usuário, por exemplo, durante a navegação na Internet para
direcionar as propagandas que serão apresentadas.
Artefato De forma geral, artefato consistem em qualquer informação
deixada por um invasor em um sistema comprometido. Pode ser
um programa ou script utilizado pelo invasor em atividades
maliciosas, um conjunto de ferramentas usadas pelo invasor, log
ou arquivos deixados em um sistema comprometido, a saída
gerada pelas ferramentas do invasor etc.
Assinatura Digital Código utilizado para verificar a integridade de um texto ou
mensagem. Também pode ser utilizado para verificar se o
remetente de uma mensagem é mesmo quem diz ser.
Atacante Pessoa responsável pela realização de um ataque. Veja também
Ataque.
Ataque Tentativa, bem ou mal sucedida, de acesso ou uso não autorizado
a um programa ou computador. Também são considerados
ataques as tentativas de negação de serviço.
Backdoor Programa que permite a um invasor retornar a um computador
comprometido. Normalmente este programa é colocado de forma
a não ser notado
Boato E-mail que possui conteúdo alarmante ou falso e que,
geralmente, tem como remetente ou aponta como autora da
mensagem alguma instituição, empresa importante ou órgão
governamental. Por meio de uma leitura minuciosa desse tipo de
e-mail, normalmente, é possível identificar em seu conteúdo
mensagens absurdas e muitas vezes sem sentido
PALAVRA DEFINIÇÂO
Bot
Programa que, além de incluir funcionalidades de worms, sendo capaz de se
propagar automaticamente através da exploração de vulnerabilidades existentes ou
falhas na configuração de softwares instalados em um computador, dispõe de
mecanismos de comunicação com o invasor, permitindo que o programa seja
controlado remotamente. O invasor, ao se comunicar com o bot, pode orientá-lo a
desferir ataques contra outros computadores, furtar dados, enviar spam, etc
Botnets
Redes formadas por diversos computadores infectados com bots. Podem ser
usadas em atividades de negação de serviço, esquemas de fraude, envio de spam
etc.
Cavalo de
Troia
Programa, normalmente recebido com um “presente” (por exemplo, cartão virtual,
álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as
quais foi aparentemente projetado, também executa outras funções normalmente
maliciosas e sem o conhecimento do usuário.
Código
Malicioso
Termo genérico que se refere a todos os tipos de programas que executam ações
maliciosas em um computador. Exemplos de códigos maliciosos são os vírus,
worms, bots, cavalos de troia, rootkits, etc.
Comprometimento Veja Invasão
Conexão
segura
Conexão que utiliza um protocolo de criptográfica para a transmissão de dados,
como, por exemplo, HTTPS ou SSH
Criptografia Ciência ou arte de escrever mensagens em forma cifrada ou em código. É parte de
um campo de estudos que trata das comunicações secretas
DDoS
Do inglês Distributed Denial of Service. Ataque de negação de serviço distribuído,
ou seja, um conjunto de computadores é utilizado para tirar de operação um ou
mais serviços ou computadores conectados à Internet. Veja Negação de Serviço.
DoS Do inglês Denial of Service. Veja Negação de Serviço
Endereço IP
Este endereço é um número único para cada computador conectado à Internet,
composto por uma seqüência de 4 números que variam de 0 até 255, separados por
“.”. Por exemplo, 192.168.2.3.
Engenharia
Social
Método de ataque onde uma pessoa faz uso de persuasão, muitas vezes abusando
da ingenuidade ou confiança do usuário, para obter informações que podem ser
utilizadas para ter acesso não autorizado a computadores ou informações.
Exploit Programa ou parte de um programa malicioso projetado para explorar uma
vulnerabilidade existente em um software de computador
Falsa
Identidade
Ato onde o falsificador atribui-se identidade ilegítima, podendo se fazer passar por
outra pessoa, com objetivo de obter vantagens indevidas, como, por exemplo, obter
crédito, furtar dinheiro de contas bancárias das vítimas, utilizar cartões de crédito de
terceiros, entre outras.
PALAVRA DEFINIÇÃO
Firewall Dispositivo constituído pela combinação de software e hardware. Utilizado
para dividir e controlar o acesso entre redes de computadores.
GnuPG Conjunto de programas gratuito e de código aberto, que implementa
criptografia de chave única, de chaves pública e privada e assinatura digital.
Harvesting
Técnica utilizada por spammers, que consiste em varrer páginas Web,
arquivos de listas de discussão, entre outros, em busca de endereços de e-
mail.
Hoax Veja Boato.
HTML Do inglês HyperText Markup Language. Linguagem universal utilizada para
estruturação de páginas da Internet
HTTP Do inglês HyperText Transfer Protocol. Protocolo usado para transferir página
Web entre um servidor e um cliente.
Malware Do inglês Malicious software (software malicioso). Veja Código Malicioso.
HTTPS Quando utilizado como parte de uma URL, especifica a utilização de HTTP
com algum mecanismo de segurança, normalmente o SSL.
IDS Do inglês Intrusion Detection System. Programa, ou um conjunto de
programas, cuja função é detectar atividades maliciosas ou anômalas
IEEE
Acrônimo para Insitute of Electrical and Electronics Engineers, uma
organização composta por engenheiros, cientistas e estudantes, que
desenvolvem padrões para a indústria de computadores e eletroeletrônicos.
Invasão Ataque bem sucedido que resulte no acesso, manipulação ou destruição de
informações em um computador
Invasor Pessoa responsável pela realização de uma invasão(comprometimento). Veja
também Invasão
Keylogger
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no
teclado de um computador. Normalmente, a ativação do keylogger é
condicionada a uma ação prévia do usuário, como por exemplo, após o
acesso a um site de comércio eletrônico ou Internet Banking, para captura de
senhas bancárias ou número de cartões de crédito
Log
Registro de atividades gerado por programas de computador. No caso de logs
relativos a incidentes de segurança, eles normalmente são gerados por
firewalls ou por IDSs.
Malware Do inglês Malicious software (software malicioso). Veja Código Malicioso.
Negação
de Serviço
Atividade maliciosa onde o atacante utiliza um computador para tirar de
operação um serviço ou computador conectado à Internet
P2P Acrônimo para peer-to-peer. Arquitetura de rede onde cada computador tem
funcionalidades e responsabilidades equivalentes. Difere da arquitetura
cliente-servidor, onde alguns dispositivos normalmente implementada via
softwares P2P, que permitem conectar o computador de um usuário ao de
outro para compartilhar ou transferir dados, como MP3, jogos, vídeos,
imagens etc.
PALAVRA DEFINIÇÃO
PGP Do inglês Pretty Good Privacy. Programa que implementa criptografia
de chave única e assinatura digital.
Phishing Também conhecido como phishing scam. Mensagem não solicitada que
se passa por comunicação de uma instituição conhecida, como um
banco, empresa ou site popular, e que procura induzir usuários ao
fornecimento de dados pessoais e financeiros. Inicialmente, este tipo de
mensagem induzia o usuário ao cesso a paginas fraudulentas na
Internet. Atualmente, o termo também se refere à mensagem que induz
o usuário à instalação de códigos maliciosos
Rootkit Conjunto de programas que tem como finalidade esconder e assegurar
a presença de um invasor em um computador comprometido. È
importante ressaltar que o nome rootkit não indica que as ferramentas
que o compõem são usadas para obter acesso privilegiado (root ou
Administrador) em um computador, mas sim para manter o acesso
privilegiado em um computador previamente comprometido
Scam Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, tem
como finalidade obter vantagens financeiras
Scan Técnica normalmente implementada por um tipo de programa,
projetado para efetuar varreduras em redes de computadores
SSH Do inglês Secure Shell. Protocolo que utiliza criptografia para cesso a
um computador remoto, permitindo a execução de comandos,
transferência de arquivos, entre outros.
Trojan Horse Veja cavalo de tróia
Vírus Programa ou parte de um programa de computador, normalmente
malicioso, que se propaga infectando, isto é, inserindo cópias de si
mesmo e se tornando parte de outros programas e arquivos de um
computador. O vírus depende da execução do programa ou arquivo
hospedeiro para que possa se tornar ativo e dar continuidade ao
processo de infecção.
10. REFERÊNCIAS
BARRETO, G.L. Utilização de técnicas anti-forenses para garantir a
confidencialidade . 2009, pp. 10
CARPANEZ, Juliana. Conheça os crimes virtuais mais comuns. Folha
07/01/2006. Disponível em:
www1.folha.uol.com.br/folha/informatica/ult124u19455.shtml. Acesso em 26 de junho
de 2008.
CORRÊA, Gustavo Testa. Aspectos jurídicos da internet . São Paulo:
Saraiva, 2000.
Esteganografia . Lavras – Minas Gerais, 2003. Monografia (Ciência da
Computação) Departamento de Ciências da Computação, Universidade Federal de
Lavras.
FARMER, Dan, VENEMA, Vietse . Perícia Forense Computacional: Teoria
e Prática Aplicada . Pearson Prentice Hall. 2007.
FREITAS, Andrey. R. de. Perícia Forense Aplicada à Informática . Trabalho
de Curso de Pós-Graduação “Lato Sensu”em Internet Security. IBPI. 2003.
MAIN, P. C. Van Oorschot. Software Protection and Application Security:
Understanding the Battleground . Procedings of the International Course on State of
the Art and Evolution of Computer Security and Industrial Cryptography ,2003.
MCCLURE, Stuart, SCAMBRAY, Joel, KURTZ, George. Hackers exposto:
segredos e soluções para a segurança de redes. Tradução de Daniel Vieira – Rio
de Janeiro: Elsevier, 2003. 2ª Reimpressão.
NOBLETT, Michael G.; Report of the Federal Bureau of Investigation on
development of forensic tools and examinations for data recovery from computer
evidence ; Proceedings of the 11th INTERPOL Forensic ScienseS ymposium. 1995.
NOBLETT, Michael G., POLLITT, Mark M., PRESLEY, Lawrence A.
Recovering and Examining Computer Forensic Evidence . Forensic science
communications. Outubro de 2000 volume 2 Número 4.
NOW!. Petrobras perde dados sigilosos em furto de comput adores , 14
de fevereiro de 2008.
PEREIRA, Evandro, FAGUNDES, Leonardo. Forense Computacional:
fundamentos, tecnologias e desafios atuais. Simpósio Brasileiro em Segurança da
Informação e de Sistemas computacionail. Rio de janeiro. Agosto de 2007.
RODRIGUES, R. Brasil é líder em vírus que roubam dados bancários, diz
pesquisa . 2010
STRAUHS, Faimara do Rocio. Gestão do Conhecimento em Laboratório
Acadêmico: Proposição de Metodologia . 2003. 480 f. Tese (Doutorado em
Engenharia de Produção) – Programa de Pós-Graduação em Engenharia de
Produção, Universidade Federal de Santa Catarina, Florianópolis, 2003.
UNIVERSIDADE FEDERAL DO PARANÁ. Normas para apresentação de
documentos científicos . Curitiba: Editora da UFPR, 2001.
VARGAS, R. Perícia Forense Computacional e metodologias para
obtenção de evidênvias . 2007
VARGAS, R. Processos e Padrões em Perícia Forense Aplicado a
Informática . Trabalho de Conclusão de Curso, Bacharelado em Sistemas de
Informação,Faculdade Metodista Granbery, Juiz de Fora, Minas Gerais, 2006.
VIANNA, Túlio Lima. Fundamentos de Direito Penal Informático. Rio de
Janeiro: Forense, 2003.
WIKIPEDIA. Crime. Disponível em: http://pt.wikipedia.org/wiki/Crime. Acesso
em: 18 de outubro de 2010.
WIKIPEDIA. Auditoria . Disponível em: http://pt.wikipedia.org/wiki/Auditoria.
Acesso em: 30 de novembro de 2010.
ZANELLATO, Marco Antonio. Condutas ilícitas na sociedade digital . in
Caderno Jurídico da Escola Superior do Ministério Público de São Paulo, ano II, nº. IV,
– julho de 2002.