Monografia-Pericia Forense

download Monografia-Pericia Forense

of 58

  • date post

    30-Jun-2015
  • Category

    Documents

  • view

    751
  • download

    0

Embed Size (px)

Transcript of Monografia-Pericia Forense

Andrey Rodrigues de Freitas

Percia Forense Aplicada Informtica

IBPI / Janeiro de 2003

Andrey Rodrigues de Freitas : andreyr@bol.com.br

Andrey Rodrigues de Freitas

Percia Forense Aplicada Informtica

Trabalho para o curso de Ps - Graduao Lato Sensu em Internet Security, sob a orientao do Prof. Duval Costa

IBPI / Janeiro de 2003

Andrey Rodrigues de Freitas : andreyr@bol.com.br

ResumoO assunto tratado neste trabalho possibilita um vasto campo para estudo e pesquisas, desta forma com sua modesta abrangncia, este trabalho pretende servir como motivao ao leitor para busca de novos conhecimentos no campo da percia forense aplicada informtica. No houve aqui a pretenso de esgotar o assunto, mas sim fornecer ao leitor um texto condensado reunindo conceitos fundamentais ao entendimento dos termos relacionados. Constar detalhes sobre o processo de percia forense aplicada informtica e a importncia de seguir procedimentos especficos imediatamente depois de um crime por computador.

Andrey Rodrigues de Freitas : andreyr@bol.com.br

ndice SumrioIntroduo .................................................................................................... 1 Captulo 1 - Percia Forense.......................................................................... 2 Percia Forense Aplicada a Redes....................................................... 2 Anlise Pericial ................................................................................... 3 Anlise Fsica...................................................................................... 3 Fazendo a Pesquisa de Seqncia............................................. 4 O Processo de Busca e Extrao .............................................. 4 Extraindo Espao Subaproveitado e Livre de Arquivos .......... 5 Anlise Lgica .............................................................................................. 6 Entendendo Onde Ficam as Provas .............................................................. 7 Captulo 2 - Percia Forense para Obteno de Evidncias.......................... 9 Identificao........................................................................................ 9 Preservao ......................................................................................... 9 Anlise .............................................................................................. 10 Apresentao..................................................................................... 10 Captulo 3 - Investigando Servidores Web ................................................. 12 Microsoft IIS (Internet Information Server)..................................... 13 W3C Extended Log File Format....................................................... 14

Andrey Rodrigues de Freitas : andreyr@bol.com.br

Definies do Log do W3C Extended Log File Format ........ 15 Definies de Log de Contabilizao de Processos ............... 16 Microsoft IIS Log File Format ......................................................... 18 NCSA Common Log File Format..................................................... 19 Log ODBC ........................................................................................ 21 Nomes de Arquivos de Log .............................................................. 22 Anlise de um Sistema Comprometido ............................................ 23 O Aviso ................................................................................... 23 A Sondagem............................................................................ 24 Encontrando a Vulnerabilidade .............................................. 26 O Ataque ................................................................................. 27 Outros Tipos de Ocorrncias Encontradas nos Arquivos de Log............... 37 Concluso.................................................................................................... 41 Bibliografia ................................................................................................. 42 Anexos......................................................................................................... 44 Anexo 1 - Como Saber que Houve uma Invaso.............................. 45 Anexo 2 - Definies dos Cdigos de Status do HTTP ................... 49 Anexo 3 - Ferramentas Utilizadas na Percia Forense...................... 52

Andrey Rodrigues de Freitas : andreyr@bol.com.br

IntroduoA Tecnologia da Informao avanou rapidamente em pouco tempo. As instituies esto utilizando estes avanos tecnolgicos para melhorar as operaes empresariais e o potencial de mercado. Pode-se pagar contas on-line; ou comprar qualquer coisa desde livros a mantimentos. Uma vasta quantia de importantes e sensveis dados fluem ao redor do Cyber Espao e a qualquer momento poder cair em mos maliciosas. Infelizmente, isto acontece diariamente. Quando algum "rouba" dados do Cyber Espao, chamado de Cyber Crime. Antigamente a chave para resolver crimes eram obtidas atravs de impresses digitais, relatrios de toxicologia, anlise de rastro, documentos em papel e outros meios tradicionais. Enquanto estes ainda provem pedaos muito importantes do quebra-cabea em muitos crimes cometidos hoje, a tecnologia adicionou uma outra dimenso com a evidncia digital. Freqentemente mais informaes podem ser ganhas da anlise de um computador que o de uma impresso digital. A histria inteira de um crime pode ser contada com a recuperao de um arquivo que pensaram ter sido apagado.

Andrey Rodrigues de Freitas : andreyr@bol.com.br

Captulo 1 Percia ForenseDa mesma maneira que com outras cincias forenses, os profissionais da lei esto reconhecendo que a Percia Forense pode prover evidncia extremamente importante para solucionar um crime. Como colocada uma maior nfase em evidncia digital, se tornar crescentemente crtico que a evidncia seja controlada e examinada corretamente. Percia Forense em Sistemas Computacionais o processo de coleta, recuperao , anlise e correlacionamento de dados que visa, dentro do possvel, reconstruir o curso das aes e recriar cenrios completos fidedignos.

Percia Forense Aplicada a RedesNo Manual de Patologia Forense do Colgio de Patologistas Americanos (1990), a cincia forense definida como a aplicao de princpios das cincias fsicas ao direito na busca da verdade em questes cveis, criminais e de comportamento social para que no se cometam injustias contra qualquer membro da sociedade. Portanto, define-se a percia forense aplicada a redes como o estudo do trfego de rede para procurar a verdade em questes cveis, criminais e administrativas para proteger usurios e recursos de explorao, invaso de privacidade e qualquer outro crime promovido pela contnua expanso das conexes em rede.Andrey Rodrigues de Freitas : andreyr@bol.com.br

Anlise PericialA anlise pericial o processo usado pelo investigador para descobrir informaes valiosas, a busca e extrao de dados relevantes para uma investigao. O processo de anlise pericial pode ser dividido em duas camadas : anlise fsica e anlise lgica. A anlise fsica a pesquisa de seqncias e a extrao de dados de toda a imagem pericial, dos arquivos normais s partes inacessveis da mdia. A anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos investigado no formato nativo, percorrendo-se a rvore de diretrios do mesmo modo que se faz em um computador comum.

Anlise FsicaDurante a anlise fsica so investigados os dados brutos da mdia de armazenamento. Ocasionalmente, pode-se comear a investigao por essa etapa, por exemplo quando se est investigando o contedo de um disco rgido desconhecido ou danificado. Depois que o software de criao de imagens tiver fixado as provas do sistema, os dados podem ser analisados por trs processos principais : uma pesquisa de seqncia, um processo de busca e extrao e uma extrao de espao subaproveitado e livre de arquivos. Todas as operaes so realizadas na imagem pericial ou na copia restaurada das provas. Com freqncia , se faz pesquisas de seqncias para produzir listas de dados . essas listas so teis nas fases posteriores da investigao. Entre as listas geradas esto as seguintes :

Andrey Rodrigues de Freitas : andreyr@bol.com.br

Todos os URLs encontrados na mdia. Todos os endereos de e-mail encontrados na mdia. Todas as ocorrncias de pesquisa de seqncia com palavras sensveis a caixa alta e baixa.

Fazendo a Pesquisa de SeqnciaO primeiro processo da anlise fsica a pesquisa de seqncias em todo o sistema. Uma das ferramentas de base DOS mais precisa o StringSearch. Ela retorna o contedo da pesquisa de seqncia e o deslocamento de byte do incio do arquivo. Quando se examinam os resultados da pesquisa de seqncias, tem-se um prtico roteiro para converter o deslocamento em um valor de setor absoluto.

O Processo de Busca e ExtraoAlguns tipos de caso podem beneficiar-se de uma forma especializada de pesquisa de seqncia , o processo de busca e extrao. Este o segundo dos trs que se usa durante a analise fsica. O aplicativo analisa uma imagem pericial em busca de cabealhos dos tipos de arquivos relacionados ao tipo de caso em que se estiver trabalhando. Quando encontra um, extrai um nmero fixo de bytes a partir do ponto da ocorrncia. Por exemplo, se estiver investigando um indivduo suspeito de distribuio de pornografia ilegal, analisa-se a imagem pericial e se extrai blocos de dados que comecem com a seguinte seqncia hexadecimal :

Andrey Rodrigues de Freitas : andreyr@bol.com.br

$4A $46 $49 $46 $00 $01 Esta seqncia identifica o incio de uma imagem JPEG. Alguns formatos de arquivos (entre eles o JPEG) incluem o comprimento do arquivo no cabealho. Isto muito til quando se est extraindo dados brutos de uma imagem pericial. Esta capacidade de extrao forada de arquivos incrivelmente til em sistemas de arquivos danificados ou quando os