Este trabalho dá ênfase apenas às ferramentas necessárias para análise de dados relativos a ataques e a invasão consumada em sistemas Unix, a fim de comprovar a autoria do atacante. Sendo, portanto a análise de log, gerados no sistema por ataques ao serviço de SSH e por ferramentas que visam proteger este sistema o foco desta análise.

A análise dos dados coletados envolve selecionar quais as informações terão relevância para o caso em questão. Para o levantamento de informações sobre tentativas de ataques e invasão a sistemas Unix através do serviço de SSH deverão ser analisados os logs gerados pelo sistema e por outras ferramentas usadas para proteção do serviço no sistema atacado a fim de reconstituir as ações do atacante/invasor.

Para esta atividade o grupo Security Incident Response Team (CSIRT) da Rede Nacional de Pesquisa (RNP) recomenda o uso de analisadores de log que são ferramentas que verificam logs gerados por um sistema e os organiza para facilitar a interpretação. Eles geram sumários com os logs que realmente importam para o investigador. Geralmente a edição de regras ocorre através de expressões regulares, que definem quais mensagens deverão ser retornadas e quais deverão ser descartadas pelo investigador. Dentre as ferramentas utilizadas para analisar atividades desta natureza um dos destaques, segundo o CSIRT é o Logwatch.

Esta ferramenta, segundo o CSIRT é um software escrito em Perl que utiliza scripts e configurações específicas para cada arquivo de log. Sendo capaz de definir quais mensagens são importantes, de acordo com o nível de detalhes (0 a 10) definido pelo investigador. A figura 2 mostra o relatório sobre o serviço de SSH, onde pode ser observado o registro das quantidades de tentativas de login efetuados por cada usuário e os endereços de IP de cada requisição. Farmer; Venema (2007) afirmam que em uma análise forense, o dado bruto não fornece nenhuma informação sobre o fato ocorrido no sistema. Todavia com a esquematização dos dados em uma linha cronológica, poderá revelar alguma informação útil para a investigação. O uso da ferramenta mactime auxilia o investigador neste processo.

MACtime segundo os autores também é um conjunto de abreviações referentes aos atributos que compõe um arquivo em sistemas Unix:

1. mtime, sendo este uma referência ao tempo de modificação e revela o ultimo momento de acesso ao arquivo;
2. atime, referencia o último momento em que ocorreram modificações no conteúdo e no meta-dados do arquivo;
3. ctime, revela o último momento em que ocorreu alguma modificação no conteúdo do arquivo.
   De acordo com Junior; Saúde; Cansian (2005) a ferramenta mactime faz parte de conjunto de ferramentas forense Sleuthkit que visa tornar essa fase pericial mais clara de ser analisada, uma vez que ela constrói automaticamente uma linha de tempo de acordo com uma base de dados gerada pela ferramenta forense mac-robber. Sendo desta forma possível tentar uma reconstituição de fatos ocorridos no sistema co-relacionando eventos isolados de forma a identificar as ações do invasor no sistema.
   
   A figura 3 mostra um relatório gerado pela ferramenta mactime.
   
   Figura 3 - Relatório gerado pelo software mactime / Fonte: Farmer; Venema (2007)
   Pode-se observar que em 19 de julho, às 16:47, um usuário identificado como root criou e descompactou um arquivo de formato de compactação tar. O nome do arquivo sugere que este seja um substituto para o serviço de SSH. Esta operação foi executada em um diretório incomum para operações desta natureza. Logo após foi criado um usuário denominado "sue" e desconectou-se do sistema as 16:57.
   
   Farmer; Venema (2007) afirmam que posse destas informações o investigador será capaz de inferir com precisão alguma das atividades realizadas durante o tempo em que o atacante permaneceu logado no sistema, como por exemplo, a instalação de backdoors, criação de arquivos ou diretórios ocultos, execução de programas, download de outros softwares, alteração nas bibliotecas do sistema etc.