A identificação do atacante em um sistema Unix perpassa por uma série de possíveis análises, sendo a análise de logs a que permite uma comprovação mais eficiente em se tratando de invasões de sistemas Unix com quaisquer outros objetivos.

Segundo Soalha (1999) sistemas configurados de forma correta podem colaborar na identificação do invasor. Durante a análise de logs são identificados os endereços de origem das tentativas de ataques, bem como conexões usadas durante a invasão propriamente dita. Os sistemas Unix normalmente armazenam seus arquivos de log no diretório "/var/log".

A seguir são apresentados alguns dos arquivos de log encontrados neste diretório, sua descrição e será evidenciado de forma mais profunda os arquivos mais significativos para identificação de um invasor, segundo a autora.

a) utmp e utmpx

Aqui são registradas as informações referentes aos usuários locais que estão conectados atualmente no sistema. Os dados contidos nestes arquivos são armazenados em formato binário, sendo necessário o uso de outros comandos, como: who, whodo, write, finger e ps, os quais exibem as informações contidas neste arquivo.

b) wtmp e wtmpx

Aqui são registrados dados detalhados sobre uma determinada sessão aberta pelo usuário. Da mesma forma que os arquivos mostrados anteriormente, os dados contidos nestes arquivos são armazenados em formato binário e legíveis unicamente através de comandos do tipo: last, acctcom etc.

c) lastlog

Esta ferramenta registra ao horário da última vez em que o usuário tentou acessar o sistema, tenha efetuado o login com sucesso ou não.

d) messages

Neste arquivo serão registradas quaisquer mensagens enviadas ao console, tendo sido gerada pelo kernel do sistema ou por algum mecanismo de log.

Soalha (1999) esclarece que a maior dificuldade de identificação de informações relevantes na análise de logs é o grande volume de dados gerados diariamente por eventos relacionados ao sistema.

A figura 4 mostra diversas tentativas de invasão usando o método de brute force abordado anteriormente, as informações referentes a este ataque foram listadas no arquivo de log messages. No arquivo foi possível identificar a data do ataque (20 de Novembro), o horário (16:40), o usuário utilizado para tentativa de acesso ao sistema (admin) e o endereço IP de onde partiu o ataque (164.41.55.5).

De posse destas informações, pode-se encontrar através da ferramenta whois, disponível no órgão responsável pelo registro de endereços IPs utilizados na América Latina e Caribe, através do site lacnic.net, a quem está concedida a utilização dessa faixa de endereçamento IP.

A consulta do endereço ip 164.41.55.5 através da ferramenta whois irá localizar as informações dos responsáveis pela utilização deste endereço, estes dados podem ser vistos na figura 5. As informações relatadas pela ferramenta whois mostram que a Universidade de Brasília detém a licença de uso para a faixa de endereçamento IP 164.41/16 de onde partiram os ataques, permitindo assim através das informações do responsável, uma ação conjunta para a identificação do atacante.

Um ponto que aqui deve ser considerado é que a comprovação da origem do ataque não quer dizer que a identidade do atacante/invasor foi revelada. Isso dependerá de outro tipo de análise pericial na máquina de onde partiram os ataques ou invasões.