Computação Forense - Entendendo uma perícia

andrezc

Neste artigo conheceremos um pouco mais sobre uma perícia forense e um pouco sobre ataques e técnicas de rastreabilidade.

[ Hits: 37.104 ]

Por: André em 23/03/2010 | Blog: http://127.0.0.1

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Dados iniciais:

Tema: Computação Forense Artigo: Computação Forense - Entendendo uma perícia Autor: André S. Rosa Junior Site: www.juniorlinux.com.br E-mail (eletronic mail) : junior@juniorlinux.com.br

Com o crescimento alto de crimes e fraudes virtuais surgiu uma profissão, a profissão do perito, mas não estamos falando de um perito químico forense ou alguma profissão do tipo, estamos falando do perito forense computacional, que estuda fraudes e crimes virtuais a procura do autor.

Podemos citar alguns crimes e fraudes como:

Pedofilia (via internet)
Spam
Phishing
Roubo
Desvio de verba
Entre muitos outros.

Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).

O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:

Versões antigas dos serviços rodando nos servidores:

SQL Injection
XSS - Cross Site Scripting
Entre muitos outros.

Daí você me pergunta:

Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?

R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.

Voltando ao M.O. ...

Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).

E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:

"Owned by def4c3r".

Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.

Inicialmente jazeremos buscas simples, algo como em:

Google
Cadê
Alta vista
e outros, fica a critério esta parte, mas é bom fazer um "pente fino".

Também é importante fazer buscas em redes sociais como:

Orkut
Facebook
Twitter
etc

Próxima página

Páginas do artigo

1. Introdução
2. A busca

Outros artigos deste autor

Expressões Regulares (POSIX) em C

Introdução aos sistemas operacionais

Linux e Windows: Quebrando Estereótipos

O phishing e uma análise forense

Variáveis, if, else e unless em Ruby

Leitura recomendada

ProFTPD + ClamAV - FTP livre de vírus

Elevação de privilégios locais

webCalendar: a agenda e o PAM

Labrador, um detector de intrusos

Instalando o Nagios

Comentários

[1] Comentário enviado por valterrezendeeng em 23/03/2010 - 12:55h

Bom Artigo.

Da uma boa visão geral.

Gostaria de mais informações de como colocar " a mão na massa"

0 0

[2] Comentário enviado por andrezc em 23/03/2010 - 22:40h

Olá Valter,

nos próximos artigos sobre Forense, estarei aprofundando mais nas ferramentas e na prática.

Abraços.

0 0

[3] Comentário enviado por removido em 23/03/2010 - 22:44h

Pra quem quiser brincar:

http://www.fdtk.com.br/wordpress/

Não vou opiniar pois nunca tirei tempo pra testar, mas fica a dica.

0 0

[4] Comentário enviado por hugutux em 24/03/2010 - 11:50h

muito bom isso, da pra ter um conhecimento legal de como as coisas funcionam nesses casos!

0 0

[5] Comentário enviado por VoraZBR em 24/03/2010 - 14:31h

Interessantíssimo seu artigo amigo,

Com certeza vai ser de grande esclarecimento para o pessoal mais leigo em forense.

[]'s

0 0

[6] Comentário enviado por andrezc em 24/03/2010 - 20:43h

Olá Hugo, VoraZBR.

Fico feliz que tenham gostado do artigo e do tema do mesmo. Em breve estarei escrevendo mais sobre o assunto, um abraço.

0 0

[7] Comentário enviado por fnx-15 em 24/03/2010 - 20:47h

eu nao entendo muito mais me ajudou a coonprender mais o forense

0 0

[8] Comentário enviado por andrezc em 24/03/2010 - 21:50h

Olá Maikon;

Fico feliz que tenha gostado do artigo, em breve, como eu havia dito, mais artigos sobre Forense computacional.

0 0

[9] Comentário enviado por removido em 27/03/2010 - 11:31h

Investigadores computacionais sempre devem estar à frente, avançando.
Esses fraudadores profissionais ganham a vida assim, verdadeiros parasitas sociais.

Parabéns Júnior!!!

0 0

[10] Comentário enviado por removido em 27/03/2010 - 13:28h

Infelizmente, nossa constituição não caracteriza todos os tipos de crime virtuais, então nem sempre é possível punir alguém que nos causou danos materiais como perda de dados ou destruição de uma web-page. Por isso, é preciso se defender o máximo possível e esperar nunca ter que usar a computação forense, que normalmente é utilizada após o dano ter sido feito.

0 0

[11] Comentário enviado por removido em 30/03/2010 - 19:02h

Parabéns pelo artigo!

Esses artigos são o que me influenciam cada vez mais a seguir an área de segurança!
Acho uma pena não termos uma lei específica para esse tipo de crime e tantos outros crimes virtuais. Agora que o Brasil está dando seus primeiros passos na Segurança da Informação e com certeza bons profissionais será essencial!

0 0

[12] Comentário enviado por fernandopinheiro em 07/07/2010 - 17:36h

Parabens pelo artigo, Bem simples mas com bom conteudo!!

0 0

[13] Comentário enviado por danilobs em 03/01/2011 - 20:37h

Ótimo artigo, concordo com o fernandopinheiro, embora seja simples é muito explicativo.

Muito bom!

Abraço!

0 0