Computação Forense
Introdução
O aumento do número de ataques a sistema de computadores vem crescendo diariamente.
Isso acontece por que os sistemas não são desenvolvidos de forma segura, ou seja os sistemas possuem falhas de segurança de fábrica
A computação forense vem de encontro ao que diz respeito ao descobrir o que, onde e como foi feita tal invasão.
Sinais de invasões
- Hackers Habilidosos.
- Hackers Iniciantes.
- Novos Usuários no Sistema.
- Execução de processos estranhos.
- Utilização Inexplicável da CPU.
- O Ambiente parece estranho.
Como identificar os atacantes
Existem dois perfis básicos de atacantes, são eles:
Internos:
- Questões pessoais
- Acesso a recursos privilegiados
- Vantagens Financeiras
Externos:
- Vandalismo
- Auto-Afirmação
- Busca por reconhecimento
Ameaças
- Fácil acesso às ferramentas
- Os Script Kiddies procuram por vulnerabilidade
- Não existe horário definido para ser alvo de um ataque, ou mesmo de um scan
Técnicas para perícia
a) Auditoria de logs dos aplicativos dos sistemas.
b) Análise de arquivos e diretórios incluindo o nome de arquivos deletados.
c) Visualização do conteúdo de arquivos suspeitos.
d) Datas de arquivos acessados, alterados e deletados.
e) Seqüência de eventos.
f) Efetuar análise física e lógica em cima dos dados levantados nas etapas antecessoras sem alterar o conteúdo original.
Análise física
a) São investigados os dados brutos da mídia de armazenamento.
b) Análise é feita em cima da imagem pericial ou na cópia restaurada das provas.
c) Dados comumente investigados:
- Todas as urls encontradas na mídia.
- Todos os endereços de e-mail encontrados na mídia.
- Todas as ocorrências de pesquisa de sequencia com palavras sensíveis a caixa alta e baixa.
Análise lógica
a) Erros comumente cometidos.
b) Como efetuar a análise lógica sem alterar os dados?
Análise de logs
a) Extremamente importante que a cultura de auditoria de logs esteja disseminada entre os administradores da rede.
b) Para rastrear os fatos é importante que o profissional atue com um espião e não veja os dados como um usuário.
c) Para isso, é necessário que ele reconstrua construa os históricos dos:
- Usuários
- Processos
- Situação da Rede
- Acesso a Serviços
Análise de tráfego
O processo de arquivamento do tráfego de rede com auxílio de ferramentas de captura de pacotes gera a primeira camada de informação forense: isto é, a carga de tráfego com o passar do tempo.
Obtenção de evidências
a) Grande aumento no número de fraudes e crimes eletrônicos com o passar do tempo.
b) Identificação
c) Preservação
d) Análise
e) Apresentação
Exemplo prático: Investigando um servidor Web
a) Tipos de ataque:
- Negação de serviço
- Site defacement
- Roubo de produto ou informação
b) Métodos para investigação de um possível ataque.
Principais entidades
- IOCE (International Organization on Computer Evidence);
- HTCIA (High Technology Crime Investigation Association);
- SWGDE (Scientific Working Group on Digital Evidence);
- IACIS(International Associantion of Computer investigatibe specialists);
- SACC (Seção de Apuração de Crimes por Computador);
Principais entidades no Brasil
- NBSO(Network Information Center(NIC) - Brazilian Security Office);
- CAIS(Centro de Atendimento a Incidentes de Segurança);
- GT-S(Grupo de Trabalho em segurança do comitê gestor da internet brasileira)
Carreira
- Perito Criminal
- Consultor Independente
- Funcionário público
Conclusão
A melhor solução para evitar o acesso indevido a informação é implementar sempre uma política clara e concisa de uso e de auditoria (Constante) do sistema.
A análise forense computacional vem a auxiliar na descoberta de falhas de segurança, a fim de que possam ser tomadas de falhas de segurança, a fim de que possam ser tomadas as providências para sanar tais falhas e identificar os culpados.
Abraços,
Ranieri Marinho de Souza
Segurança da Informação
Muito bom esse post, gostei muitooo….