UNIVERSIDADE DO SUL DE SANTA CATARINA
RODRIGO DE ABREU AUGUSTO
ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA
ATAQUES DIRECIONADOS
Florianopolis
2015
RODRIGO DE ABREU AUGUSTO
ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA
ATAQUES DIRECIONADOS
Trabalho de Conclusão de Curso apresentado ao Curso
de Graduação em Sistemas de Informação da
Universidade do Sul de Santa Catarina, como requisito
parcial à obtenção do título de Bacharel em Ciência da
Computação.
Orientador: Prof. Luiz Otavio Botelho.
Florianopolis
2015
RODRIGO DE ABREU AUGUSTO
ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA
ATAQUES DIRECIONADOS
Trabalho de Conclusão de Curso apresentado ao Curso
de Graduação em Sistemas de Informação da
Universidade do Sul de Santa Catarina, como requisito
parcial à obtenção do título de Bacharel em Ciência da
Computação.
Florianópolis, 16 de novembro de 2015.
______________________________________________________
Professor e orientador Luiz Otávio Botelho Lento, Me.
Universidade do Sul de Santa Catarina
______________________________________________________
Prof. Saulo Popov Zambiasi, Dr.
Universidade do Sul de Santa Catarina
______________________________________________________
Prof.ª Maria Inés Castiñeira, Dra.
Universidade do Sul de Santa Catarina
A minha família, que sempre esteve presente
em todos os momentos da minha vida, me
dando total apoio e a possibilidade de tornar
isso possível, e a Deus.
AGRADECIMENTOS
A Neli Maria de Abreu Augusto, Celoni Augusto, Alessandro de Abreu Augusto, Leandro de
Abreu Augusto, Gabriela de Abreu Augusto, Lara de Seixas Kuzniecow, João Arthur Ferreira,
Gabriel Eller Wilpert, Lucas Testoni Schmitt, Gustavo Alves, Matheus Costa Antunes,
Eduardo Fernandes, Carlos Roberto Augusto Junior, Matheus Cardoso Serafim, Bruno Jorge
Augusto, Donald Cardoso Serafim, Thiago Costa Antunes, Renato Silva, Tatiane Mendes, e
por fim, agradeço a Luiz Otavio Botelho Lento, por todo apoio e contribuição para a
realização deste trabalho.
“Na vida não importa o que você esteja fazendo, faça sempre o seu melhor.” (Ayrton Senna).
RESUMO
A forense computacional é a ciência que compreende a aquisição, prevenção, recuperação e
análise de evidências computacionais, que foram processados eletronicamente e armazenados
em mídias computacionais. Este trabalho visa elaborar um conjunto de diretrizes para analise
de ataques direcionados em sistemas computacionais, baseado no modelo forense. Para
adquirir o conhecimento necessário para elaboração do projeto, foram estudados os assuntos
sobre forense computacional, suas implicações legais, como adquirir, preservar, analisar e
apresentar os dados de uma investigação. Sobre segurança da informação, seus conceitos,
suas características, mecanismos, suas politicas de segurança e formas de proteção. Sobre
ataques direcionados, seus métodos, suas características e seu funcionamento. Com isso,
baseado no modelo forense foram estabelecidas diretrizes para analise de ataques
direcionados, visando melhorar os aspectos que envolvem a segurança de informação. Cada
etapa foi descrita detalhadamente e apresentada através de fluxogramas para melhor
entendimento. Para a validação do modelo foi realizado um estudo de caso, no qual foram
obtidos os resultados esperados com a utilização das diretrizes propostas neste projeto.
Palavras-chave: Forense computacional. Segurança. Ataques direcionados. Análise de
Ataques direcionados.
ABSTRACT
The computational forensic is the science that understands the acquisition, prevention,
recovery and analysis of computational evidences, that were processed electronically and
stored in computational media. This work aims at to elaborate a set of lines of direction for
analysis of attacks directed in computational systems based in the forensic model. To acquire
the knowledge necessary for elaboration of this project, were studied the subjects on
computational forensic, as its legal implications, to acquire, to preserve, to analyse and to
present the data of the investigation. On security of information, its concepts, its
characteristics, mechanisms, its security politics and forms of protection. On directed attacks,
its methods, its characteristics and it’s functioning. With this, based in the forensic model,
guidelines of direction for analysis of directed attacks were established, aiming at to improve
the aspects that involve the information security. Each step was described in detail and
presented through flowcharts for a better understanding. For the validation of the model, a
case study was accomplished, where the expected results were obtained with the use of the
guidelines proposed in this project.
Keywords: Computational forensics. Security. Targeted attacks. Targeted attacks analysis.
LISTA DE SIGLAS
BIND - Berkeley Internet Name Domain
DoS - Denial Of Service
DDoS - Distributed Denial of Service
DNS - Domain Name System
FTP - File Transfer Protocol
ICMP - Internet Control Message Protocol
IMAP - Internet Message Access Protocol
IDS - Intrusion Detection System
UDP - User Datagram Protocol
POP - Post Office Protocol
TCP - Transfer Control Protocol
TCP SYN - Transfer Control Protocol Synchronize
URL - Uniform Resource Locator
APT - Advanced Persistent Threat
LISTA DE FIGURAS
Figura 01 - Distributed denial-of-service
Figura 02 - Atacante envia pacote com endereço alterado
Figura 03 – Atacante inserido no caminho entre vítima e maquina com endereço alterado.
Figura 04 - Buffer Overflow
Figura 05 - Pesquisa sobre Phishing
Figura 06 - Investigação computacional
Figura 07 - Estrutura Hierárquica
Figura 08 - Etapas do Desenvolvimento
Figura 9: Etapas do modelo forense
Figura 10: Modelo de análise de ataques direcionados
Figura 11: Processo de Ataque
Figura 12: Identificar indícios de um possível ataque
Figura 13: Coletar dados
Figura 14: Coleta de dados voláteis
Figura 15: Coleta de dados não voláteis
Figura 16: Exame de dados
Figura 17: Analise dos dados
Figura 18: Log de acesso ao servidor.
Figura 19: Lista de e-mails enviados aos alunos com domínio suspeito.
Figura 20: E-mail recebido pelos alunos.
Figura 21: E-mail com indício de Spear Phishing.
Figura 22: Intranet da Universidade
Figura 23: Forma de interagir com alunos através da intranet da Universidade.
Figura 24: Ubuntu – FDTK utilizado para facilitar o exame dos dados.
Figura 25: Cabeçalho de arquivo.
Figura 26: Recuperação de arquivos.
Figura 27: Exemplo de metadados.
Figura 28: Lista de e-mails maliciosos.
Figura 29: MAC TIMES do e-mail recebido.
SUMÁRIO
1 I NTRODUÇÃO ............................................................................................................................. 1
1.1 PROBLEMÁTICA .........................................................................................................................2 1.2 OBJETIVOS ...................................................................................................................................3 1.2.1 Objetivo geral .....................................................................................................................3
1.2.2 Objetivos Específicos.........................................................................................................3 1.3 JUSTIFICATIVA ...........................................................................................................................4 1.4 ESTRUTURA DA MONOGRAFIA ..............................................................................................4
2 ATAQUES CONVENCIONAIS .................................................................................................... 6
2.1 NEGAÇÃO DE SERVIÇO.............................................................................................................6 2.1.1 Ataques por Inundação .............................................................................................................6 2.1.2 Ataques por Amplificação .........................................................................................................7 2.1.3 Ataques por Exploração de Protocolos ....................................................................................7 2.1.4 Ataques Distribuídos .................................................................................................................8 2.2 IP SPOOFING ................................................................................................................................9 2.2.1 Ataque em uma Única Direção ...............................................................................................10 2.2.2 Mudança Básica de Endereço IP ............................................................................................11 2.2.3 Uso de Roteamento de Origem para Interceptar Pacotes ....................................................11 2.2.4 Explorar Relação de Confiança entre Maquinas Unix .........................................................13 2.3 BUFFER OVERFLOW ................................................................................................................13 2.4 ENGENHARIA SOCIAL .............................................................................................................14 2.4.1 Phishing .....................................................................................................................................16 2.5 BACKDOORS ..............................................................................................................................19 2.6 SNIFFING ....................................................................................................................................19 2.7 ATAQUES DIRECIONADOS ...................................................................................................20 2.7.1 Exploit .......................................................................................................................................21 2.7.2 Zero-day .....................................................................................................................................24 2.7.3 Advanced Persistent Threat ....................................................................................................25 2.8 FORENSE COMPUTACIONAL .................................................................................................27 2.8.1 INTRODUZINDO A FORENSE ............................................................................................28 2.8.2 Implicações Legais ...................................................................................................................30 2.8.3 Metodologia Forense para Obtenção de Evidencias .............................................................31 2.8.4 Equipe Forense .........................................................................................................................38 2.8.5 Considerações Finais ...............................................................................................................40
3 MÉTODO....................................................................................................................................... 41
3.1 CARACTERIZAÇÃO DO TIPO DE PESQUISA .......................................................................41 3.1.1 Pesquisa Aplicada ....................................................................................................................41 3.1.2 Pesquisa Bibliográfica .............................................................................................................41 3.1.3 Estudo de Caso .........................................................................................................................42 3.2 ETAPAS .......................................................................................................................................42 3.3 DELIMITAÇÕES .........................................................................................................................43
4 DESENVOLVIMENTO ............................................................................................................... 44
4.1 PROPOSTA DA SOLUÇÃO .......................................................................................................44 4.2 TERMINOLOGIA ........................................................................................................................46 4.3 DESCRIÇÃO DO DIAGRAMA PROPOSTO .............................................................................47 4.4 CONSIDERAÇÕES DO CAPÍTULO ..........................................................................................59
5 TESTE E VERIFICAÇÃO ........................................................................................................... 60
5.1 APRESENTAÇÃO DO CASO.....................................................................................................60 5.2 APLICAÇÃO DO MODELO .......................................................................................................61
5.3 LAUDO PERICIAL .....................................................................................................................72 5.4 CONSIDERAÇÕES FINAIS .......................................................................................................74
6 CONCLUSÃO ............................................................................................................................... 75
6.1 TRABALHOS FUTUROS ...........................................................................................................76 REFERÊNCIAS......................................................................................................................78
APÊNDICE – CRONOGRAMA...........................................................................................84
1
1 INTRODUÇÃO
Nas últimas décadas, o uso da tecnologia tem sido de grande utilidade em todas as áreas
do comércio, também, no dia-a-dia das pessoas.
Com o surgimento da internet houveram vários benefícios para a sociedade, mas,
também surgiram práticas ilícitas como malwares1 (tipos de softwares maliciosos) e phishing
2
(captação de dados de forma fraudulenta) que afetam computadores pessoais e corporativos.
Segundo Macedo (2012) “o computador e as tecnologias atuais têm causado uma
mudança radical de como a sociedade funciona. Tanto no âmbito profissional como no
pessoal, nossa vida depende de vários serviços que se apoiam em computadores e redes de
comunicação”.
Através de ataques aos usuários e sistemas, o cyber crime (crime praticado na internet)
está cada vez mais difícil de ser investigado devido à possibilidade de anonimato, tornando-se
mais comum nos ambientes computacionais ao longo do tempo.
Segundo Henry Shawn citado em (SILVA, 2014), “diretor adjunto da divisão
informática do Federal Bureau of Investigation (FBI), os ataques cibernéticos estão entre as
maiores ameaças na atualidade”.
Entre as ocorrências mais comuns em relação aos ataques praticados estão, a perda ou
alteração de dados importantes para uma organização, roubo de informações confidenciais e
outros crimes como pedofilia e fraudes.
Macedo (2012) também cita que, existem várias medidas de segurança que podem ser
tomadas para preservar o ambiente computacional ao acesso indevido. No entanto, é difícil
que em algum momento uma brecha não seja explorada.
Conforme Silva (2014):
É lugar comum hoje em dia dizer que segurança das informações virou prioridade para
empresas de todos os segmentos e portes. Dados não faltam para justificar essa crescente
preocupação: 60 mil novos malwares (softwares maliciosos) por dia; 8 mil novos sites
infectados por dia; mais de 100 bilhões de spam’s disparados diariamente pelo mundo todo;
além dos incontáveis danos causados às informações corporativas por imperícia ou
negligências dos próprios funcionários, sabotagem, defeitos em equipamentos e outros.
1 O malware é qualquer tipo de software indesejado, instalado sem o devindo consentimento do usuário e que
explora vulnerabilidades ainda não detectadas. (MADEIRA, 2012, p. 28). 2 O phishing é um tipo de ataque baseado em engenharia social na qual os criminosos usam e-mails para levar
pessoas a revelar informações pessoais ou instalar software malicioso em seu computador. (MADEIRA, 2012, p.
22).
2
“A Forense Computacional é a ciência que estuda a aquisição, preservação,
documentação, recuperação e análise de dados que estão em formato eletrônico e que estão
em formato eletrônico e armazenados em algum tipo de mídia computacional.” (QUEIROZ,
2007, p. 03).
Desse modo, segurança da informação vem para auxiliar na tentativa de resolução do
problema, em que se tem perda ou alteração de dados importantes para a organização, e que
nem sempre os causadores são as pessoas, mas, também, brechas encontradas no sistema.
Por conseguinte, este trabalho tem por objetivo utilização de um modelo forense
computacional para apoiar a implementação de diretrizes forense a ataques direcionados,
visando melhorar a segurança da informação.
1.1 PROBLEMÁTICA
Segundo da Silva (2014):
Atualmente, não existe espaço para novas gerações que não tenham contato,
desde cedo, com telefones celulares, tablets, smarphones, laptops e outros meios.
Após o término da II Guerra Mundial, as telecomunicações foram associadas à
computação e, com isso, iniciava-se um novo setor do conhecimento humano
chamado de tecnologia da informação.
Conforme Madeira (2012), Com a proliferação da internet, as empresas nunca
estiveram tão expostas, justamente quando a informação é o bem de maior valor em uma
organização.
Para da Silva (2014), os ataques cibernéticos se apresentam em uma escala mundial
crescente, silenciosa e se caracterizam como um dos grandes desafios do século XXI. Todas
as pessoas, empresas, governos e entidades que utilizam o espaço cibernético estão expostos
a riscos.
Ainda Ng (2007), apesar de ser uma boa iniciativa, as práticas forenses
computacionais ainda não são realizadas da melhor forma nas organizações, mesmo porque,
não possuem conhecimento especializado, naturalmente, o processo de análise não tem a
qualidade necessária.
3
Neste caso, é importante a criação de uma cultura dentro da empresa que adote as
práticas forenses, de modo que, diminuam as fraudes e perdas da organização.
1.2 OBJETIVOS
São apresentados a seguir os objetivos desse trabalho.
1.2.1 Objetivo geral
Este trabalho tem como objetivo utilizar um modelo forense para estabelecer um
conjunto diretrizes para análise de ataques direcionados.
1.2.2 Objetivos específicos
Os objetivos específicos deste trabalho são:
estudar forense computacional e seus tipos;
estudar ataques direcionados e seus tipos;
estudar mecanismos de defesa;
estudar ataques convencionais;
desenvolver um conjunto de diretrizes, com base em um modelo forense, focado
em ataques direcionados;
validar as diretrizes com um estudo de caso.
4
1.3 JUSTIFICATIVA
Conforme Bustamante (2006), as evidências que um criminalista encontra geralmente
não podem ser vistas a olho nu e são dependentes de ferramentas e meios para obtê-las. Cabe
ao profissional de informática coletar as evidências de modo que sejam admitidas em juízo,
para isso produzindo um laudo pericial.
Para Azevedo et al. (2011):
O crescente uso e a grande aplicação de sistemas informatizados e da tecnologia
trazem riscos, como o mau uso da tecnologia por parte de pessoas que criam
sistemas motivadores de práticas ilícitas, como também por parte daquelas que,
mesmo não os criando, utilizam-se deles.
Escolheu-se o tema por ser a segurança da informação uma necessidade estratégica
para o negócio das organizações e o dia-a-dia das pessoas no uso da tecnologia e de sistemas
informatizados. A afirmativa deve-se ao fato de que, em ambos os casos existe a
necessidade trabalhar em ambientes seguros, garantindo a disponibilidade, integridade e
confiabilidade das informações.
Com isso, garantir que a prática forense faça parte do processo organizacional e
contribua na segurança contra os vazamentos de informações.
1.4 ESTRUTURA DA MONOGRAFIA
Este trabalho está dividido em seis capítulos. A seguir, será apresentada a estrutura
do trabalho:
Capítulo 1 – Introdução: Este capítulo apresenta a introdução, problema, os objetivos
e a justificativa do trabalho.
Capítulo 2 – Revisão bibliográfica: Nesse capítulo é referenciado o conteúdo que se
faz necessário para a fundamentação teórica que embasará o projeto.
5
Capítulo 3 – Metodologia: Apresentação da metodologia de pesquisa, a proposta da
solução e as delimitações do projeto.
Capítulo 4 – Desenvolvimento: Nesse capítulo será desenvolvido um conjunto de
diretrizes com base em um modelo forense, focado em ataques direcionados;
Capítulo 5 – Proposta da Solução: Validação das diretrizes em um estudo de caso;
Capítulo 6 – Conclusões e trabalhos futuros: Este capítulo apresenta as conclusões
deste trabalho e sugestões para trabalhos futuros.
6
2 ATAQUES CONVENCIONAIS
Os ataques são cada vez mais projetados para roubar informações de forma silenciosa,
explorar vulnerabilidades, sem deixar para trás qualquer dano que poderia ser observado por
um usuário, por isso, é necessário definir regras para impedi-los.
2.1 NEGAÇÃO DE SERVIÇO
Os ataques de negação de serviço (DoS – Denial of Service) “utilizam um computador
para tirar de operação um serviço ou um computador conectado à Internet”. Seguindo os
exemplos abaixo (CERT.br - Parte I, 2006; p. 9/14):
“Gerar uma grande sobrecarga no processamento de dados de um
computador, de modo que o usuário não consiga utilizá-lo”;
“Gerar um grande tráfego de dados para uma rede, ocupando toda a banda
disponível, de modo que qualquer computador desta rede fique indisponível”;
“Tirar serviços importantes de um provedor do ar, impossibilitando o acesso
dos usuários a suas caixas de correio no servidor de e-mail ou ao servidor
Web”.
Com isso, recursos são explorados, impossibilitando usuários de utiliza-los, por estarem
indisponíveis ou extremamente lentos (ROMERO et.al, 2003).
2.1.1 Ataques por Inundação
Segundo Neves (2014; p. 6), “Ataques por inundação se caracterizam por enviarem um
grande volume de tráfego ao sistema da vítima primária de modo a congestionar sua banda”.
7
Ainda afirma que o impacto deste ataque pode causar lentidão ao sistema, derrubá-lo ou
sobrecarregar a rede da vítima, utilizando pacotes UDP (User Datagram Protocol) ou ICMP
(Internet Control Message Protocol).
Sendo assim, o alvo do ataque fica praticamente impossibilitado de realizar qualquer
operação.
2.1.2 Ataques por Amplificação
Ataques por amplificação enviam requisições forjadas para diversos computadores ou
para um endereço IP broadcast, que posteriormente responderão as requisições, alterando o
endereço IP de origem das requisições para o IP da vítima, direcionando todas as respostas ao
alvo do ataque. (NEVES, 2014).
Conforme Sab et al. (2013; p. 1):
Um endereço de IP de broadcast é um recurso encontrado em roteadores que,
quando escolhido como endereço de destino, faz com que o roteador efetue um
broadcast, replicando o pacote e enviando para todos os endereços de IP
pertencentes a um intervalo determinado.
Desta forma, os endereços de broadcast ampliam e refletem o tráfego do ataque,
reduzindo a banda da vítima. (NEVES, 2014).
2.1.3 Ataques por Exploração de Protocolos
Segundo Neves (2014; p. 8):
Se caracterizam por consumir excessivamente os recursos da vítima explorando
alguma característica específica ou falha de implementação de algum protocolo
8
instalado no seu sistema, fazendo uso indevido de pacotes TCP SYN3 (Transfer
Control Protocol Synchronize) ou de pacotes TCP PUSH+ACK4.
2.1.4 Ataques Distribuídos
Segundo Douligeris et al. (2004, apud Rocha; p. 10):
Ataque distribuído de negação de serviço (DDoS, distributed denial-of-service) é
um ataque onde múltiplos sistemas comprometidos são usados para executar um
ataque DoS coordenado contra um ou mais alvos, adicionando a dimensão de muitos
para um ao ataque DoS. Por meio de uma tecnologia de cliente/servidor, o intruso é
capaz de multiplicar a eficácia do ataque DoS significativamente aproveitando o
recurso de múltiplos computadores recrutados involuntariamente.
Figura 01: Ataque de Negação de Serviço
Reproduzida de: Gangte (2013).
3 SYN é o primeiro pacote enviado através de uma conexão TCP e indica a intenção de conexão. (SAB. et. al,
2013) 4 PSH é um flag que indica que os dados devem ser transmitidos imediatamente, mesmo que o buffer não
esteja totalmente preenchido, e o ACK é um flag que indica que o endereço de destino recebeu corretamente
os dados (SAB. et. al, 2013).
9
Como demonstrado na figura acima, múltiplos sistemas em todo o mundo estão
iniciando um ataque contra uma única vítima. Se os ataques DoS são difíceis de evitar
vindos de uma única fonte, muito mais difícil é a proteção contra o DDoS que está vindo de
múltiplas máquinas em múltiplas localidades.
2.2 IP SPOOFING
É uma técnica que mascara o endereço real do atacante no intuito de escondê-lo, sendo
muito utilizado em tentativas de acesso a sistemas onde a autenticação é baseada em
endereços IP, utilizado nas relações de confiança de uma rede interna. (ROMERO et.al,
2003).
Segundo Martins (2009; p. 1):
O ataque ocorre quando o invasor fabrica um pacote contendo um falso endereço de
origem, fazendo com que o host atacado acredite que a conexão está vindo de outro
local, geralmente se passando por um host que tem permissão para se conectar a
outra máquina.
Esse método funciona porque as relações de confiança das redes se baseiam apenas na
autenticação de endereços IP, que são facilmente mascarados, o que facilita a aplicação dessa
técnica (MARTINS, 2009).
Conforme Romero et al. (2003; p. 9) “o IP Spoofing não é exatamente uma forma de
ataque, mas sim uma técnica que é utilizada na grande maioria dos ataques, pois ele ajuda a
esconder a identidade do atacante”. E cita que através da técnica de IP Spoofing, o hacker
consegue atingir os seguintes objetivos:
“Obter acesso às máquinas que confiam no IP que foi falsificado”;
“Capturar conexões já existentes (para isto é necessário utilizar-se também de
outras técnicas como predizer o número de sequência) e burlar os filtros de
pacotes dos firewalls que bloqueiam o tráfego baseado nos endereços de origem e
destino”.
10
2.2.1 Ataque em uma Única Direção
Segundo Romero et al. (2003; p 8):
No Flying blind attack (ataque em uma única direção), o atacante envia um pacote
com o endereço IP alterado para a vítima, que recebe o pacote e encaminha para o
endereço IP listado como receptor e não para o atacante, fazendo com que o mesmo
envie pacotes para á maquina com o endereço IP alterado, mas não recebendo
nenhum de volta.
Figura 02: Atacante envia um pacote com endereço alterado.
Reproduzida de: Romero et al. (2003).
Como mostra a figura, o atacante envia o pacote com o endereço alterado para a vitima,
forjando seu endereço e não recebe nenhum pacote de volta, apenas envia.
Segundo Romero et al.(2003) “o atacante não enxerga nenhuma resposta da vítima, no
entanto ele pode se inserir no caminho entre a máquina vítima e a máquina cujo endereço está
sendo alterado, sendo capaz de interceptar as respostas”, como mostrado na Figura 03.
11
Figura 03: Atacante inserido no caminho entre vítima e maquina com endereço alterado.
Reproduzida de: Romero et al. (2003).
O atacante se insere entre as maquinas, escondendo sua identidade para interceptar os
pacotes e analisar o que está sendo enviando.
2.2.2 Mudança Básica de Endereço IP
Segundo Romero et al. (2003; p. 10).
O spoofing de um endereço IP consiste em mudar o endereço IP de uma máquina, de
forma a ficar igual de outra máquina. A forma mais simples de efetuar essa alteração
é ir até as configurações da rede e mudar o endereço IP da máquina. Fazendo isto,
todos os pacotes que são enviados possuem um endereço IP igual ao endereço que o
atacante quer falsificar. Dessa forma, todas as respostas são encaminhadas de volta
para o endereço forjado ao invés da máquina do atacante. Este tipo de alteração
possui diversas limitações, mas em termos de ataques de DoS, às vezes é necessário
somente um único pacote é capaz de indisponibilizar a máquina.
2.2.3 Uso de Roteamento de Origem para Interceptar Pacotes
Segundo Romero et al. (2003; p. 10):
Um dos grandes problemas do spoofing é que o tráfego retorna de volta para o
endereço que sofreu spoofing o atacante nunca visualiza os pacotes devolvidos. O
12
Flying blind é efetivo somente em pequenos ataques. Porém em ataques avançados,
o atacante quer enxergar os dois lados da conversação. Um modo de alcançar esse
objetivo é o atacante se inserir no meio do caminho no qual o pacote normalmente
irá trafegar. A Internet é muito dinâmica em termos de como o roteamento é feito.
Ele pode ser alterado a cada dia, hora ou até mesmo a cada minuto. Entretanto, há
um modo de garantir que um pacote adotou um determinado caminho por meio da
Internet, e no caso do spoofing, que este caminho passa através da máquina do
atacante. É possível fazer isso com o roteamento de origem o qual é construído
dentro do protocolo TCP/IP. O roteamento de origem especifica o caminho que o
pacote vai passar.
Há dois tipos de roteamento de origem, conforme segue (ROMERO et al., 2003; p. 10):
Louse Source Routing (LSR): “O remetente especifica uma lista de endereços IP pelos
quais o tráfego ou o pacote irá passar, mas ele também poderá ir através e qualquer
endereço que ele necessita, não se preocupando com o seu percurso na rede”.
Strict Source Routing (SRS): “O remetente especifica o caminho exato que o pacote
deve seguir. Se o caminho exato não pode ser seguido, o pacote é descartado e uma
mensagem ICMP é encaminhada para o remetente”.
O roteamento de origem possui enormes benefícios para o spoofing. Um atacante
envia um pacote para um destino com um endereço que sofreu spoofing, mas
especifica um loose source roouting e coloca seu endereço IP na lista. Então,
quando o receptor responde, o pacote é enviado de volta para o endereço que sofreu
spoofing, porém antes ele passa pela máquina do atacante. Este ataque não é um
flying blind, porque o atacante pode ver ambos os lados da conversa (ROMERO et
al., 2003; p. 10).
O atacante pode querer especificar vários endereços além do seu, desse modo se
alguém interceptá-lo, ele pode não atingir com precisão o alvo (a máquina do atacante).
Segundo, o strict sourcer outing poderia também ser usado, porém é mais difícil porque o
atacante precisa saber o caminho exato que o pacote deve percorrer. Dessa forma, como
ambos os modos funcionam, é mais interessante utilizar o loose source routing, visto que ele
é mais simples e tem grandes chances de sucesso (ROMERO et al., 2003; p. 10).
13
2.2.4 Explorar Relação de Confiança entre Maquinas Unix
Nos ambientes Unix, para facilitar a movimentação das maquinas, relações de
confiança são estabelecidas entre si (ROMERO et. al, 2003).
Que do ponto de vista do spoofing, as relações de confiança são fáceis de serem
exploradas. Por exemplo, se um atacante sabe que um servidor A confia em alguém
vindo da máquina Y, o qual possui endereço IP 10.10.10.5, o atacante falsifica seu
endereço para 10.10.10.5, assim ele terá o acesso permitido nos demais servidores
sem que seja solicitada uma senha de acesso, por que o endereço IP é confiável. O
problema principal é ainda visualizar as respostas encaminhadas, porque todas as
respostas são enviadas de volta para o IP que está sofrendo spoofing, e não para o
endereço do atacante.
2.3 BUFFER OVERFLOW
Um buffer overflow é resultado do armazenamento em um buffer de uma quantidade
maior de dados do que sua capacidade, inserindo muitos dados dentro da pilha de memória,
sobrescrevendo outras informações que estão na pilha.
Para Aranha (2003):
Uma falha de segurança comumente encontrada em software é a vulnerabilidade a
buffer overflow. Apesar de ser uma falha bem-conhecida e bastante séria, que se
origina exclusivamente na incompetência do programador durante a implementação
do programa, o erro repete-se sistematicamente a cada nova versão ou produtos
liberados. Alguns programas já são famosos por frequentemente apresentarem a
falha, como o Sendmail, módulos do Apache, e boa parte dos produtos da Microsoft.
Segundo Romero et al. (2003; p. 13):
Grande parte das vulnerabilidades encontradas nos sistemas é referente à buffer
overflow, sendo o ataque mais empregado desde 1997 segundo os boletins da CERT,
geralmente usadas para executar códigos arbitrários nos sistemas, sendo
considerados de alto risco. Além da possibilidade de execução de comandos
arbitrários, que é a situação mais grave do problema, o buffer overflow pode resultar
em perda ou modificação dos dados, em perda do controle do fluxo de execução do
sistema (“segmentation violation", no Unix, ou "gerenal protection fault", no
Windows) ou em paralisação do sistema.
14
O objetivo é estourar o buffer e sobrescrever parte da pilha para alterar as variáveis
locais, parâmetros ou endereços de retorno. O endereço de retorno é alterado com o intuito
de apontar para o local de armazenamento do código que será executado, aproveitando-se
dos privilégios do usuário que irá executar o programa vulnerável. (ARANHA, 2003).
Figura 04: Buffer Overflow
Reproduzida de: Romero et al. (2003).
O buffer sem controle do tamanho é explorado. No Passo 01, o ataque é feito com a
inserção de uma string grande em uma rotina que não checa os limites do buffer.
Com isso, a string ultrapassa o tamanho do buffer, sobrescrevendo as demais áreas
da memória. No Passo 02, o endereço de retorno é sobrescrito por outro endereço,
que está incluído na string e aponta para o código do ataque. No Passo 03, o código
do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. No
Passo 04, a função pula para o código do ataque injetado, baseado no endereço do
retorno que também foi inserido. Com isso, o código injetado pode ser executado”
(ROMERO et al., 2003; p. 15).
2.4 ENGENHARIA SOCIAL
O método de ataque conhecido como “engenharia social” tem por objetivo enganar e
ludibriar pessoas, a fim de obter informações que possam comprometer a segurança da
organização (NAKAMURA & GEUS, 2002; p. 55).
15
Mitnick e Simon (2003, p. 3) sustentam a tese de que o fator humano é o elo mais
fraco da segurança e definem da seguinte forma a técnica que explora a vulnerabilidade
humana:
A Engenharia social usa a influência e a persuasão para enganar as pessoas e
convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela
manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas
para obter as informações com ou sem o uso da tecnologia.
Tendo isso em vista, os seguintes exemplos para ilustram os tipos de ataque que
utilizam esse método (CERT, 2006, p. 7):
Um desconhecido liga para a casa de alguém e diz ser do suporte técnico do provedor
dele. Nesta ligação, ele diz que a conexão com a Internet está apresentando algum
problema e, então, pede a senha para corrigi-lo;
Você recebe uma mensagem de e-mail, supostamente do fornecedor do seu antivírus,
dizendo que seu computador está infectado por um vírus. A mensagem sugere que a
pessoa instale um a ferramenta disponível em um site da Internet, para eliminar o
vírus de seu computador;
Alguém recebe uma mensagem de e-mail, onde o remetente é o gerente ou alguém
do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de
Internet Banking está apresentando algum problema e que tal problema pode ser
corrigido se for executado o aplicativo que está anexado à mensagem. A execução
deste aplicativo apresenta uma tela análoga àquela utilizada para se ter acesso à conta
bancária, aguardando que se digite a senha.
Mitnick e Simon (2003) explicam que a maioria das pessoas supõe que não será
enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o
atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável
que não levanta suspeita enquanto explora a confiança da vítima.
16
2.4.1 Phishing
Para Markus Jakobsson (2007, tradução nossa) o Phishing pode ser descrito a partir de
um casamento celebrado entre a tecnologia e a engenharia social. Embora este fenômeno
possa ser bem sucedido num panorama em que um destes fatores prevalece sobre o outro, as
hipóteses de sucesso serão muito maiores se o prevaricador conseguir conciliar ambos de
forma estratégica.
Segundo Cert.br (2012; p. 1), O phishing ocorre por meio do envio de mensagens
eletrônicas que:
“Tentam se passar pela comunicação oficial de uma instituição conhecida, como
um banco, uma empresa ou um site popular”;
“Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela
possibilidade de obter alguma vantagem financeira”;
“Informam que a não execução dos procedimentos descritos pode acarretar sérias
consequências, como a inscrição em serviços de proteção de crédito e o
cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito”;
“Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do
acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da
instalação de códigos maliciosos, projetados para coletar informações sensíveis, e do
preenchimento de formulários contidos na mensagem ou em páginas Web”.
Ainda afirma (2012; p. 1) “para atrair à atenção do usuário as mensagens apresentam
diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços, a
imagem de pessoas e assuntos em destaque no momento”. Como as situações abaixo:
“Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail,
em nome de um site de comércio eletrônico ou de uma instituição financeira, que
tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma
página Web falsa, semelhante ao site que você realmente deseja acessar, onde são
solicitados os seus dados pessoais e financeiros”;
“Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma
mensagem contendo um link para o site da rede social ou da companhia aérea que
você utiliza. Ao clicar, você é direcionado para uma página Web falsa onde é
17
solicitado o seu nome de usuário e a sua senha que, ao serem fornecidos, serão
enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em
seu nome, como enviar mensagens ou emitir passagens aéreas”;
“Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo
um formulário com campos para a digitação de dados pessoais e financeiros. A
mensagem solicita que você preencha o formulário e apresenta um botão para
confirmar o envio das informações. Ao preencher os campos e confirmar o envio,
seus dados são transmitidos para os golpistas”;
“Mensagens contendo links para códigos maliciosos: você recebe um e-mail que
tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao
clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o
arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código
malicioso em seu computador”; e
“Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada
pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que
trabalha, informando que o serviço de e-mail está passando por manutenção e que é
necessário o recadastramento. Para isto, é preciso que você forneça seus dados
pessoais, como nome de usuário e senha”.
Outra das características funcionais deste vírus é a sua função de Key Logger, que
permite a gravação de tudo o que o utilizador digita no seu teclado, transpondo essa
informação para um ficheiro de texto, no qual se incluirá o username e o password de acesso
bancário digitado pelo utilizador.
Um relatório trimestral divulgado pela McAfee (Security Scan) revelou que o phishing
continua como uma das principais táticas de golpes em organizações.
Figura 05: Pesquisa sobre Phishing
Reproduzida de: McAfee (2014).
18
A pesquisa mostra que 80% não conseguiram identificar um a cada sete e-mails de
phishing no questionário elaborado. O departamento de finanças e RH são os que
apresentaram pior desempenho na detecção dos golpes, o que preocupa dada as informações
corporativas sigilosas presentes nestes setores (McAfee, 2014).
2.4.1.1 Pharming
Basicamente modifica a relação que existe entre o nome de um site e seu respectivo
servidor web. Em vez de dependerem totalmente dos usuários para clicar em links atraentes
contidos em mensagens de e-mail falsas, os ataques de pharming redirecionam suas vítimas
para websites falsos, mesmo se elas digitarem o endereço da Web correto para o seu banco
ou outros serviços on-line no navegador da Web.
Para a Cert.br, pharming é um tipo específico de phishing que envolve a redireção da
navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain
Name System). Como das formas citadas abaixo:
Por meio do comprometimento do servidor de DNS do provedor que você utiliza;
Pela ação de códigos maliciosos projetados para alterar o comportamento do
serviço de DNS do seu computador; e
Pela ação direta de um invasor, que venha a ter acesso às configurações do serviço
de DNS do seu computador ou modem de banda larga.
Segundo Peixoto (2010) o pharming, portanto, é a nova geração do ataque de
phishing, apenas sem o uso da “isca” (o e-mail com a mensagem enganosa). O vírus
reescreve arquivos do PC que são utilizados para converter os endereços de internet (URLs)
em números que formam os endereços IP (números decifráveis pelo computador).
19
2.5 BACKDOORS
“A forma usual de inclusão de um backdoor consiste na disponibilização de um novo
serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente
possuindo recursos que permitem o acesso remoto” (CERT.br, 2006).
Segundo Chaves et al. (2012; p. 2):
Os atacantes, após terem comprometido um sistema, normalmente utilizam um
mecanismo para conseguir acesso a esse sem que uma vulnerabilidade em um
software tenha que ser explorada. Esse é frequentemente instalado com a intenção
de facilitar o retorno do atacante, bem como dificultar a sua detecção.
Desta forma, consistem em explorar vulnerabilidades existentes nos programas
instalados nos computadores para invadi-los e garantir que tenham acesso futuramente ao
mesmo, sem que sejam notados (CERT.br, 2006).
2.6 SNIFFING
Segundo a Agencia Estadual de Tecnologia da Informação de Pernambuco (ATI),
Sniffing consiste na captura de informações diretamente do fluxo de pacotes no mesmo
segmento de rede onde o atacante instalou o software. Seus alvos preferidos são senhas que
trafegam sem criptografia, e-mails e qualquer outro tipo de informação que passe em texto
plano.
Conforme a Cert.br, Interceptação de tráfego, ou sniffing, é uma técnica que consiste
em inspecionar os dados trafegados em redes de computadores, por meio do uso de
programas específicos chamados de sniffers. Esta técnica pode ser utilizada de forma:
Legítima: por administradores de redes, para detectar problemas, analisar
desempenho e monitorar atividades maliciosas relativas aos computadores ou redes
por eles administrados;
20
Maliciosa: por atacantes, para capturar informações sensíveis, como senhas,
números de cartão de crédito e o conteúdo de arquivos confidenciais que estejam
trafegando por meio de conexões inseguras, ou seja, sem criptografia;
Para Meneghel (1998), o sniffing provoca uma perda de segurança a diversos níveis:
Passwords, talvez o objetivo mais comum, que conduz a falhas de segurança
significativas e de difícil detecção;
Números de contas bancárias, cartões de crédito, etc.;
Informação privada, de correio eletrônico, ou comunicação em trânsito entre um
cliente e um servidor, por exemplo; e
Protocolos de baixo nível, esta é uma exploração do sniffing que o torna
particularmente útil para futuros ataques, nomeadamente através do conhecimento
que é possível obter sobre os endereços de hardware das interfaces existentes na
rede, endereços IP das interfaces remotas, informação de roteamento IP, ports de
uma ligação TCP/IP, números de sequência dos pacotes, etc.
2.7 ATAQUES DIRECIONADOS
Tem como objetivo buscar informações específicas. Não são ataques conhecidos ou
previstos pelos sistemas de defesas. Logo, não existem regras para impedir estes tipos de
ataques.
Segundo Miller (2012; p. 6), Devido à sua natureza direcionada, os executores de
ameaças persistentes avançadas muitas vezes têm objetivos diferentes dos hackers comuns,
incluindo um maior foco nos seguintes objetivos, em vez de roubos simples:
Manipulação política: Maneira requerida para mobilizar multidões;
Espionagem militar: Obter informações sigilosas relativas a organizações
governamentais;
Espionagem econômica: Observar ações e movimentações econômicas de países e
estados.
21
Espionagem técnica: Obter informações através de dispositivos manipulados.
Extorsão financeira: Obter vantagens financeiras através de informações obtidas
ilegalmente.
2.7.1 Exploit
Conforme Pedrosa (2007), o termo exploit, vem do inglês, que em português significa,
literalmente, explorar.
“São pequenos utilitários ou exemplos de código que podem ser usados para explorar
vulnerabilidades específicas, podendo ser usados diretamente, ou ser incorporados em vírus,
cavalos de tróia, ferramentas de detecção de vulnerabilidades e outros tipos de softwares”
(MORIMOTO, 2008).
Existem exploits para diversas finalidades e eles podem ser encontrados como arquivos
executáveis, ou até mesmo dentro de um comando de protocolo de rede. Eles são códigos
escritos com o intuito de explorar vulnerabilidades em algum sistema que geralmente são
ocasionados por erros de programação. Conforme afirma Almeida (2008; p. 1):
Na linguagem da Internet é usado comumente para se referir a pequenos códigos de
programas desenvolvidos especialmente para explorar falhas introduzidas em
aplicativos por erros involuntários de programação. Esses exploits, que podem ser
preparados para atacar um sistema local ou remotamente, variam muito quanto à sua
forma e poder de ataque. Pelo fato de serem peças de código especialmente
preparadas para explorar falhas muito específicas, geralmente há um diferente
exploit para cada tipo de aplicativo, para cada tipo de falha ou para cada tipo de
sistema operacional. Os exploits podem existir como programas executáveis ou,
quando usados remotamente, podem estar ocultos, por exemplo, dentro de uma
mensagem de correio eletrônico ou dentro de determinado comando de um
protocolo de rede.
22
2.7.1.1 Tipos de Exploit
Existe uma diversidade muito grande de exploits no mundo, cada um tem uma
característica e atuam de uma determinada maneira.
2.7.1.1.1 Exploits Locais
Exploram a vulnerabilidade de sistemas e programas para conseguir acesso ao root
(administrador) da máquina. Alguns contêm pequenos trojans para permitir acesso
ao invasor e eles executam seus scripts no servidor a partir da Shell adquirida.
Embora exista uma infinidade de exploits locais com finalidades diferentes, essa
técnica basicamente consiste em conseguir acesso a Shell, copiar e compilar o
código” (NUNES, 2011; p. 5).
2.7.1.1.2 Exploits Remotos
“Diferentemente dos exploits locais, basta apenas uma base (host) para rodá-lo.
Esses exploits exploram bugs remotamente para conceder o acesso ao sistema e geralmente
às vulnerabilidades mais comuns usadas são as de BIND, FTP, IMAP e POP” (NUNES,
2011; p. 6):
BIND é o servidor do protocolo DNS (Domain Name System), muito utilizado na
internet, principalmente em sistemas Unix. O protocolo FTP é um dos mais usados
para a transferência de arquivos na internet e também é usado em servidores que
utilizam esse tipo de serviço. IMAP por sua vez refere-se a um protocolo
gerenciador de correio eletrônico, onde as mensagens ficam armazenadas em um
servidor e é possível acessá-las de qualquer computador. Esses recursos são
melhores que os oferecidos pelo POP3, onde a função é mesma, porém o POP
quando conectado com o servidor online, transfere os arquivos para apenas uma
máquina na qual pode gerenciar os arquivos sem qualquer conexão com internet”
(NUNES, 2011; p. 6).
23
2.7.1.1.3 Exploits de Aplicação Web
Exploram falhas relacionadas a aplicações web, por exemplo, apache, SQL entre
outros (NUNES, 2011).
2.7.1.1.4 Buffer Overflow
Segundo Pedrosa (2007; p. 1):
O buffer overflow acontece quando um programa grava dados numa determinada
variável passando, porém, uma quantidade maior de dados do que estava previsto
pelo programa. Essa situação pode possibilitar a execução de um código arbitrário,
necessitando apenas que este seja devidamente posicionado na área de memória do
processo.
O princípio é estourar o buffer e sobrescrever parte da pilha, alterar o valor das
variáveis locais, valores dos parâmetros e/ou endereço de retorno da pilha. Alterando o
endereço de retorno para que ele aponte para a área em que o código a ser executado
encontra-se armazenado (código malicioso dentro do próprio buffer estourado ou até algum
trecho de código presente no programa vulnerável) (ARANHA, 2003).
Conforme Pedrosa (2007; p. 1), “os exploits quase sempre fazem proveito de uma
falha conhecida como buffer overflow (sobrecarga da memória buffer)”.
2.7.1.1.5 Sql Injection
Ocorre na camada de banco de dados de uma aplicação em virtude de uma filtragem
inadequada dos dados para gerar queries SQL. Consiste em utilizar os comandos SQL
previstos na aplicação para executar ações de interesse do atacante, expondo ou alterando
dados de forma não prevista (MALERBA, 2010).
24
Ainda afirma que, sua potencialidade é enorme. Como implica a possibilidade do
atacante injetar queries no banco de dados do sistema alvo, significa dizer que ele terá todos
os privilégios de acesso que a aplicação possuir. Pode ser possível expor informações
sigilosas, alterá-las ou mesmo destruir toda a base de dados.
2.7.2 Zero-day
Segundo Singel (2007; p. 1), “Á tática de se aproveitar de vulnerabilidades em
softwares antes que suas desenvolvedoras corrijam as brechas é chamada de ataque de Dia
Zero”.
Ainda afirma, “O termo originalmente descreve vulnerabilidades exploradas no
mesmo dia em que a correção foi desenvolvida, ou seja, as equipes de TI trabalharam tendo
em mente “zero” dias para remediar o problema”.
2.7.2.1 Funcionamento de um Ataque Zero-day
Segundo Singel (2007), até mesmo um usuário cuidadoso, que mantém antivírus
atualizado e preocupa-se com o acesso a páginas suspeitas, pode tornar-se vítima de um
ataque como esse. Esse mesmo indivíduo, quando acessou em setembro de 2006, um blog
hospedado pelo HostGator (Provedor na Califórnia), foi direcionado para um site que
explorava um bug no antigo formato de imagem da Microsoft e teve um malware instalado
em sua maquina.
25
2.7.3 Advanced Persistent Threat
Conforme Romero (2012) são técnicas de explorações personalizadas que visam
ganhar acesso ao um alvo específico, coletar e extrair informações durante um longo
período.
Ameaças cibernéticas tradicionais, muitas vezes, mudam rapidamente de alvo se não
conseguem penetrar sua meta inicial, mas uma APT tentará continuamente até que
cumpra o objetivo. E, uma vez que consiga, pode se disfarçar e se transformar
quando necessário, o que torna difícil identificá-lo ou pará-lo”
(COMPUTERWOLRD, 2013; p. 1).
Segundo Gusmão (2014), á primeira vista, não é tão diferente de um malware, tanto
que a infecção se dá por phishing tradicional, até aproveitando brechas em programas
conhecidos, como Word e leitores de PDF, porém, o foco é apenas em um só alvo.
Ainda afirma, são todos ataques que foram bolados e pensados para buscar
informações apenas de um lugar. Os golpes exigem planejamento e investimento alto por
parte dos atacantes, e, por isso mesmo, miram em alvo que podem render um bom retorno.
O National Institute of Standards and Technology (NIST), define os ataques
persistentes e avançados da seguinte maneira (MILLER, 2012; p. 4):
A ameaça persistente avançada é um adversário com níveis sofisticados de
conhecimento e recursos significativos, que lhe permitem, através do uso de vários
vetores de ataque (por exemplo, ataques online, físicos e ludibriação), gerar
oportunidades para atingir seus objetivos, que são geralmente estabelecer e ampliar
sua presença dentro da infraestrutura de tecnologia da informação das organizações,
com a finalidade de vazar informações continuamente e/ou sabotar ou impedir
aspectos críticos de uma missão, programa ou organização, ou ainda se colocar em
uma posição para fazê-lo no futuro. Além disso, a ameaça persistente avançada
persegue seus objetivos repetidamente por um período prolongado, adaptando-se aos
esforços do defensor de resistir a ela, com o propósito de manter o nível de interação
necessário para executar seus objetivos.
Desta forma, a ameaça persistente avançada, é definida em três palavras (MILLER,
2012):
Avançada: o invasor tem recursos técnicos significativos para explorar
vulnerabilidades no alvo. Isso pode incluir acesso a grandes bancos de dados de
26
vulnerabilidades, explorações e habilidades de codificação, mas também a
capacidade de descobrir e tirar proveito de vulnerabilidades até então desconhecidas;
Persistente: as ameaças persistentes avançadas frequentemente ocorrem por um
período prolongado. Diferentemente dos ataques de curta duração que tiram proveito
de oportunidades temporárias, as ameaças persistentes avançadas podem durar anos.
Vários vetores de ataque podem ser usados, desde ataques pela Internet até
engenharia social. Pequenas violações de segurança podem ser combinadas com o
tempo para obtenção de acesso a dados mais significativos;
Ameaça: para haver uma ameaça, deve haver um invasor com motivação e
capacidade para realizar um ataque bem-sucedido.
Não existe uma proteção única para ataques desse tipo. A união de várias tecnologias
bem como a conscientização dos colaboradores podem reduzir em muito o risco de ataques
do tipo APT serem bem sucedidos (ROMERO, 2012).
O segredo para se defender contra ameaças persistentes avançadas é uma defesa total.
Se tiver tempo suficiente, um invasor determinado conseguirá violar a maioria dos
perímetros de rede. Uma defesa bem-sucedida irá (MILLER, 2012):
Dificultar a penetração inicial;
Reduzir o potencial para escalonamento de privilégios, caso uma conta seja
comprometida;
Limitar o dano que pode ser infligido por uma conta comprometida, mesmo que seja
privilegiada;
Detectar contas comprometidas e atividades suspeitas logo no início; e
Reunir informações úteis para uma investigação pericial, a fim de que se possa
determinar que danos ocorreram, quando e por quem.
Estes métodos de exploração utilizam uma grande variedade de técnicas e são
diariamente renovados e personalizados para alvos específicos, que tornam o APT um ataque
de difícil identificação e de grande preocupação para as organizações.
27
2.8 FORENSE COMPUTACIONAL
Esta seção aborda o tema da forense computacional, englobando sua parte jurídica e
suas metodologias.
É a preservação, identificação, extração, documentação e interpretação dos meios
relacionados ao computador para a análise da causa raiz e/ou das evidências. Como mostra a
figura abaixo, as fases de um processo de investigação:
Figura 06: Etapas de Investigação
Reproduzida de: QUEIROZ (2007).
Este tema vem ganhando destaque, pois há um grande aumento no roubo de
informações digitais, que são auxiliados por métodos e ferramentas que tornam possíveis
eliminar evidências que possam servir de prova.
28
2.8.1 INTRODUZINDO A FORENSE
É a aplicação de técnicas cientificas que dão auxílio nas investigações, usadas para
localizar provas e incriminar possíveis suspeitos.
Para Bustamante (2006) “a computação forense pode ser definida como uma coleção
e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento de
forma que sejam admitidas em juízo”.
Segundo Queiroz (2007; p. 3/4):
A Forense Computacional foi criada com o objetivo de suprir as necessidades das
instituições legais no que se refere à manipulação das novas formas de evidências
eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e
análise de dados que estão em formato eletrônico e armazenados em algum tipo de
mídia computacional..
Conforme Madeira (2012, p. 25):
Existem várias medidas de segurança que uma empresa pode empregar para
preservar seu ambiente computacional ao acesso indevido. No entanto, mesmo
quando bem empregadas, é difícil que em algum momento uma brecha não seja
explorada. Quando isso acontece, o incidente tem de ser analisado para que
contramedidas sejam empregadas, ou seja, a partir da análise do incidente, criar uma
ambiente mais seguro.
A forense computacional tem como objetivo suprir as necessidades das instituições
legais no que se refere à manipulação das novas formas de evidências eletrônicas, através da
utilização de métodos científicos e sistemáticos, para que essas informações passem a serem
caracterizadas como evidências e, posteriormente, como provas legais de fato.
É apresentado na figura a seguir, uma estrutura hierárquica que é separada em dois
níveis de classes, aspectos legais e aspectos técnicos (Ubrich e Valle, 2005, apud Vargas,
2007):
29
Figura 07: Estrutura Hierárquica
Reproduzida de: Vargas (2007).
Na classe dos Aspectos Legais encontram-se as exigências legais, baseadas na área de
Direito, às quais devem estar sujeitos os procedimentos periciais. Já a classe dos Aspectos
Técnicos corresponde às questões práticas da área computacional (Vargas, 2007).
Para que não se infrinja a lei, existe a necessidade de trabalhar com os dois níveis em
conjunto.
O fato de a informação ser um bem de maior valor em uma organização faz com que
seja de grande importância para as empresas ter uma visão estratégica para identificar os
fatores que influenciam diretamente o processo de análise, alcançando os objetivos
esperados.
Há diversos fatores que estimulam uma visão estratégica da forense para as empresas.
Alguns deles são (NG, 2007):
motivadores: são os principais responsáveis quando uma organização pensa em
definir ou iniciar um processo de análise forense;
planejamento: é o processo que visa a determinar a direção a ser seguida para
alcançar o resultado esperado;
30
custos de análise: muitos fatores podem influenciar os custos, como o tempo
de análise e/ou a qualidade resultados.
2.8.2 Implicações Legais
É fundamental existir um embasamento jurídico para garantir que a realização de
qualquer processo de análise forense dentro de uma organização, seja documentado e validado
legalmente.
Ng (2007, p. 59) afirma que:
Toda atividade e procedimentos devem ser documentados, e esta documentação
deve ser feita com cuidado e de forma detalhada, pois é a forma de garantir que
todas as atividades foram realizadas de uma forma válida, para não gerar dúvidas
quanto aos mesmos e, consequentemente, invalidar evidências no caso de um
julgamento.
Não são somente as grandes empresas que estão em risco. Qualquer organização,
mesmo as pequenas, de qualquer tipo de ramo, é um potencial alvo. Por isso, é necessário
que as empresas contratem especialistas forenses, pois, os mesmos possuem conhecimento a
respeito da legislação e os procedimentos a serem seguidos.
Segundo Guimarães et al. (2001; p. 3/4):
No Brasil não existem normas específicas que regem a forense computacional,
contudo existem normas gerais que abrangem todos os tipos de perícia (ditadas no
Código de Processo Penal), podendo ser adotadas no âmbito computacional, salvo
algumas peculiaridades.
Com isso, o perito deve seguir à risca as normas contidas no Código de Processo
Penal, dentre elas pode-se destacar duas para exemplificar a sua possível abordagem
computacional (GUIMARÃES, 2001; p. 3/4):
Art. 170: “Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados
com provas fotográficas, ou microfotográficas, desenhos ou esquemas.”;
31
Art. 171: “Nos crimes cometidos com destruição ou rompimento de obstáculo a
subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios,
indicarão com que instrumentos, por que meios e em que época presumem ter sido o
fato praticado.”
Para a primeira norma, sempre é possível fazer cópias digitais das mídias que estão
sendo investigadas para que possam ser usadas futuramente caso necessário. Já para a
segunda, é sempre necessário documentar tudo o que é feito na análise como as ferramentas
de software utilizadas e identificar uma linha de tempo da época dos fatos.
“Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova
eletrônica enquanto não se tem uma padronização das metodologias de análise forense.”
(GUIMARÃES et al., 2001).
Desta forma é importante sempre seguir a politica de segurança. Ao invadir um
sistema e/ou analisar dados de um suspeito, deve-se tomar muito cuidado, pois sem uma
ordem judicial, o perito pode ser indiciado criminalmente por invasão de privacidade.
2.8.3 Metodologia Forense para Obtenção de Evidencias
Atualmente, o aumento na capacidade de armazenamento de dados e dos crimes
cibernéticos, é muito grande em relação ao número de peritos, dificultando a obtenção de
evidências.
“As evidências são peças utilizadas por advogados nos tribunais e cortes do mundo
inteiro, mas para que sejam consideradas provas válidas é muito importante que o perito
realize o processo de investigação de maneira cuidadosa e sistemática” (PEREIRA et al.,
2007, p. 17). Desta forma, as mesmas devem ser preservadas e documentadas.
O propósito do exame forense é a extração de informações de qualquer vestígio
relacionado ao caso investigado, que permitam a formulação de conclusões acerca da infração
(PINHEIRO, 2007).
Para a aquisição de dados, é importante também, estabelecer padrões. Os padrões
metodológicos seguem o princípio de que todas as organizações que lidam com a
32
investigação forense devem manter um alto nível de qualidade a fim de assegurar a
confiabilidade e a precisão das evidencias (PINHEIRO, 2009).
De acordo com Adams (2000, apud Vargas, 2007), atualmente já existem padrões
metodológicos bem definidos e desenvolvidos pelo SWGDE (Scientific Working Group on
Digital Evidence), que é o representante norte-americano na International Organization on
Computer Evidence (IOCE). Tais padrões foram apresentados durante a International Hi-
Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro
de 1999.
Conforme Vargas (2007), esses padrões seguem o princípio de que todas as
organizações que lidam com a investigação forense devem manter um alto nível de
qualidade a fim de assegurar a confiabilidade e a precisão das evidências.
Ainda afirma que, esse nível de qualidade pode ser atingido através da elaboração de
SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo
de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica
internacional.
Para Vacca (2005, tradução nossa), existem cinco propriedades que a evidência deve
ter para ser útil:
aceitável: é a regra básica. A evidência deve ser capaz de ser usada no tribunal ou de
outra forma;
autêntica: a evidência deve estar relacionada ao crime;
completa: a evidência não deve mostrar só uma perspectiva do incidente;
confiável: os procedimentos de coleta e da análise não devem deixar dúvida da
autenticidade e da veracidade da evidência;
acreditável: a evidência, que vai ser apresentada deve ser claramente compreensível e
acreditável para o júri.
É importante registrar a localização da cena, as condições dos aparelhos eletrônicos
que o perito esta analisando e realizar a documentação detalhada do processo, utilizando
vídeo, fotografia e anotações para que possam ser transmitidos os detalhes da cena.
Ainda, Vacca (2005, tradução nossa) diz que, quando se coleta e analisa uma
evidência, há quatro procedimentos gerais que se deve seguir: identificação, preservação,
análise e apresentação da evidência.
33
2.8.3.1 Obtenção e Coleta de Dados
É onde se inicia a investigação, sendo definidas estratégias para chegar ao resultado
esperado, encontrar evidências.
Segundo Vargas (2007), os procedimentos adotados na coleta devem ser formais,
seguindo metodologias e padrões de como se obter provas para apresentação judicial, como
um checklist, de acordo com as normas internacionais de padronização.
Ainda afirma que (2007; p. 1) na hora da identificação dos dados:
É extremamente necessário saber separar os fatos dos fatores, que possam vir a
influenciar ou não um crime, para estabelecer uma correlação na qual se faz um
levantamento das ligações relevantes como datas, nomes de pessoas, autarquias, etc,
dentre as quais foi estabelecida a comunicação eletrônica.
Deve-se ter conhecimento do sistema que será manipulado, utilizar as ferramentas
certas para coletar as evidências, de modo que não sejam tomadas ações precipitadas,
garantindo a integridade dos dados.
Buscar por vestígios de um crime em um sistema computacional consiste em uma
varredura minuciosa nas informações que estão armazenadas nele. A análise dessas
informações passa pelos dispositivos de armazenamento de massa até a memória volátil
(REIS & GEUS, 2001, apud CLEMENTE, 2009).
Para Cansian (2000; p. 141/156), “é importante sempre fazer a coleta de dados de
acordo com a ordem de maior volatilidade para a de menor, dos elementos mais utilizados”:
registros de memória periférica, cache;
memória principal;
estado da rede, rotas, interfaces;
processos em execução;
discos e partições;
fitas, disquetes e outros meios magnéticos;
em mídias como CD-ROMs e cópias impressas.
34
Outra forma de obter evidências é remotamente, utilizando outro computador para
acessar o equipamento que está sendo analisado.
Há, também, casos em que os dados adquiridos estão fora do local físico da
investigação, como por exemplo, provedores de internet ou servidores cooperativos. Nessa
situação, um mandato judicial é necessário para a realização da obtenção das informações
(PEREIRA et al., 2007).
2.8.3.2 Preservação
Será necessária a utilização de ferramentas apropriadas e de confiança do perito para
que as evidências coletadas sejam preservadas o mais próximo possível do seu estado
original. Qualquer tipo de alteração ou manipulação de uma evidência, esta perde o seu valor,
sendo descartada pelo perito.
Um perito Forense Computacional experiente, de acordo com Kerr (2001, apud Vargas,
2007; p. 1):
Terá de ter certeza de que uma evidência extraída deverá ser adequadamente
manuseada e protegida para se assegurar de que nenhuma evidência seja danificada,
destruída ou mesmo comprometida pelos maus procedimentos usados na
investigação e que nenhum vírus ou código malicioso seja introduzido em um
computador durante a análise forense.
Com isso, Freitas (2006; p. 8/10), lista alguns exemplos de procedimentos para a
preservação dos dados:
“Inicialmente, devem-se criar imagens do sistema investigado, para que as potenciais
provas possam ser posteriormente analisadas”;
“Se o caso necessitar de uma análise ao vivo, salvar as evidências em dispositivos e
bloqueá-los contra regravação”;
“Todas as evidências deverão ser lacradas em sacos e etiquetadas”;
“A etiqueta deverá conter um número para a identificação das evidências, o número do
caso, a data e o horário em que a evidência foi coletada e o nome da pessoa que a está
levando para a custódia, além do nome de quem coletou essas evidências”;
35
“Etiquetar todos os cabos e componentes do computador, para que, depois, possam ser
montados corretamente quando chegar ao laboratório”;
“Os HDs deverão ser armazenados em sacos antiestática, para evitar danos e, também,
para que os dados não sejam corrompidos”;
“Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto,
sujeira, calor excessivo, eletricidade e estática”;
“Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e
trancadas para evitar a adulteração até o momento em que poderão ser examinadas e
analisadas”;
“Todas as mudanças feitas durante essa fase deverão ser documentadas e justificadas
(cadeia de custódia)”.
Na cadeia de custódia, é informado onde as evidências estavam em certo momento e
quem era o responsável por elas durante a perícia (Freitas, 2006).
As provas digitais devem ser manuseadas com cuidado para preservar a integridade do
dispositivo físico, bem como os dados que ele contém. “Algumas evidências requerem coleta
especial, embalagem, transporte e técnicas. Os dados podem ser danificados ou alterados por
campos eletromagnéticos como os gerados pela eletricidade estática, ímãs, transmissores de
rádio e outros dispositivos.” (U.S. Departament of Justice, 2001, p. 21, tradução nossa).
Seguindo estas precauções citadas, os incidentes tendem a diminuir, e a preservação dos
dados executada de forma correta.
2.8.3.3 Análise
A análise forense computacional necessita de diversas ferramentas que ajudarão o
investigador a coletar, documentar, preservar e processar as informações coletadas no
sistema investigativo (HOLPERIN et al. 2007).
Na concepção de Kerr (2001, apud Vargas, 2007), a análise será a pesquisa
propriamente dita, onde o investigador se detém especificamente nos elementos relevantes
ao caso em questão, pois todos os filtros de camadas de informação anteriores já foram
transpostos.
36
Deve-se sempre ser um profissional atento e cuidadoso em termos da obtenção da
chamada “prova legítima”, a qual consiste numa demonstração implacável e inquestionável
dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas
e trilhas dos segmentos de disco utilizados (KERR 2001, apud Vargas, 2007).
“Essa etapa de análise das informações, muitas vezes, ocorre paralelo à etapa de
exame, pois, conforme as evidências vão sendo identificadas e extraídas dos dados, o perito
tem condições de efetuar um cruzamento e correlacionamento entre as mesmas” (PEREIRA
et al., 2007, p. 28).
Para Reis (2003), após a coleta dos dados e informações relevantes, são examinadas,
cuidadosamente, cada uma das evidências para que sejam definidos resultados e conclusões
sobre a investigação.
Resumindo, em um processo de análise, deve-se procurar por parâmetros que
identifiquem os dados como evidências, para que as mesmas venham se tornar uma prova
criminal.
Analisar as evidências permite que seja descoberta uma série de informações e exige
certo cuidado, pois o perito se utiliza de técnicas e informações relevantes de mídias ou da
rede, e nem sempre os dados analisados têm nomes ou formatos explícitos de que é uma
prova contra o suspeito.
Contudo, uma forma de atrelar uma pessoa a um dado seria através dos eventos que
ficam registrados nos arquivos de log ou IP de onde foi originada a requisição um acesso
não autorizado pelo servidor, tornando-se provas contra o invasor.
“Essa é uma fase que além de consumir muito tempo, esta muito suscetível a equívocos,
pois depende muito da experiência e do conhecimento dos peritos, já que são poucas as
ferramentas que realizam esse tipo de análise com precisão” (CASEY, 2006, tradução
nossa).
2.8.3.4 Apresentação
“Após a realização da coleta e da análise das evidências encontradas, são apresentados
os fatos, procedimentos e os resultados obtidos. Isso é feito através de um laudo pericial, que
é um relatório específico sobre a investigação” (FREITAS 2006; p. 34).
37
De acordo com Freitas (2006, apud Vargas, 2007) esta fase é tecnicamente chamada de
“substanciação da evidência”, pois nela consiste o enquadramento das evidências dentro do
formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal
ou mesmo em ambas.
O investigador precisa estar perfeitamente sintonizado com os objetivos de cada etapa
metodológica apresentadas acima para poder minimizar o tempo e a quantidade de dados
que deve desde obter até apresentar, maximizando sua eficiência e eficácia (FREITAS,
2006, apud Vargas, 2007).
É importante que a conclusão apresentada no relatório seja imparcial e final, de forma a
não favorecer alguma decisão. Por esta razão, a etapa de apresentação é a fase conclusiva da
investigação. (PEREIRA et al., 2007).
“Devemos ter em mente também que cada procedimento realizado (ou conclusão
aferida) pode ser questionado, e a documentação será a fonte de informação para responder
tais questões” (NG, 2007).
2.8.3.4.1 Conteúdo do Laudo
Um laudo pericial é um parecer técnico que se destina a estabelecer sempre que
possível, uma certeza a respeito de determinados fatos e de seus efeitos, que exige
conhecimentos técnicos e científicos.
Para Kent et al. (2006, tradução nossa), o conteúdo do laudo pericial torna-se um
documento de fácil interpretação e, para isso, deve ser organizado em seções:
finalidade da investigação: explicar claramente os objetivos do laudo;
autor(es) do relatório: listar todos os autores e coautores do relatório, incluindo suas
especialidades e responsabilidades, durante a investigação;
resumo do incidente: síntese explicando o incidente investigado e suas consequências;
relação de evidências: relacionar e descrever todos objetos, onde se encontram, estado,
como, quando e por quem elas foram adquiridas no decorrer das investigações;
38
detalhes: fornecer uma descrição detalhada de quais evidências foram analisadas,
quais os métodos utilizados e quais as conclusões alcançadas, descrevendo os
procedimentos e as técnicas adotados, durante a investigação;
conclusão: os resultados da investigação devem ser somente descritos, citando
especificamente as evidências que comprovem as conclusões. A conclusão deve
ser clara e não oferecer dupla interpretação;
anexos: todas as documentações devem ser anexadas, ao final do laudo, tais
como: diagramas da rede, formulários descritivos dos procedimentos utilizados,
formulário de cadeia de custódia e informações gerais sobre as tecnologias
envolvidas na investigação;
glossário: adicionar um glossário dos termos utilizados no laudo, que poderá
esclarecer muitas dúvidas que possam surgir durante a leitura do juiz e/ou dos jurados.
Segundo Vargas (2006):
Trabalhando em conjunto com a justiça, o relatório adapta as evidências para um
formato jurídico na abordagem do caso investigado. Depois da elaboração de um
laudo que contenha detalhadamente todo o processo realizado na análise forense,
incluindo cada uma das etapas, e que seja bem estruturado e com as afirmações
provadas, o material pode ser apresentado ao juiz e aos advogados.
Portanto, o laudo pericial é parte do processo, que deverá ser interpretada e avaliada
pelo Juiz ou Tribunal.
2.8.4 Equipe Forense
Para realizar uma análise eficiente e com qualidade, é necessário ter profissionais
capacitados tecnicamente, pois serão responsáveis por toda a atividade relacionada ao
processo de investigação, desde a fase inicial até sua conclusão.
“Conhecer com quem se trabalha é peça fundamental neste jogo. Caráter, integridade,
honestidade e consciência de seu papel na organização e na própria sociedade é um item
obrigatório para pertencer a este time” (NG, 2007, p. 49).
39
E também, é indicado que os profissionais tenham qualidade nos seguintes aspectos
(NG, 2007):
técnico: conhecer tecnologias e ter um perfil técnico é de extrema importância, pois
cada tecnologia possui particularidades, e o profissional deve buscar conhecimento;
comportamental: deve ser uma pessoa idônea, honesta, íntegra, pois ele trata
com informações sigilosas e de grande importância que, se mal utilizadas,
podem gerar prejuízos;
multidisciplinar: deve possuir um bom perfil para se deslocar dentro da organização e
entender as diversas áreas;
investigativo: possuir perfil investigativo com conhecimentos técnicos de buscar
informações em um ambiente altamente complexo;
aceitar desafios: deve estar preparado para aceitar os desafios diversos e de
grande complexidade.
A equipe deve possuir conhecimento a respeito das tecnologias utilizadas na
organização, além de conhecer os processos e modelos de negócios da empresa. Com isso,
deverá seguir uma metodologia definida e documentada para que não haja dúvidas a respeito
das atividades, direitos e deveres.
Segundo Ng (2007) a equipe forense deve ter algumas funções como:
identificar atividades suspeitas e realizar o processo de investigação;
tratar as atividades suspeitas que não foram identificas pela equipe;
definir níveis de criticidade e um tempo de report para cada um dos eventos;
realizar reports periódicos a respeito dos processos de investigação;
coletar e documentar as evidências encontradas;
definir, manter e gerenciar um local para armazenar as evidências;
envolver todos os profissionais que podem auxiliar no processo de investigação;
realizar atividades de acordo com as políticas da organização e das leis vigentes;
seguir a metodologia de análise forense computacional definida e implementada.
Esses profissionais deverão ser treinados e especializados, recebendo treinamentos
periódicos e específicos sobre tecnologias, metodologia e técnicas de investigação.
40
2.8.5 Considerações Finais
Este capítulo abordou os assuntos de forense computacional, que em conjunto, visam
melhorar a investigação forense e garantir integridade na obtenção de evidências e
investigação dos fatos relacionados aos crimes digitais.
41
3 MÉTODO
Este capítulo descreve o tipo de pesquisa utilizada, a proposta da solução e as
delimitações do trabalho.
3.1 CARACTERIZAÇÃO DO TIPO DE PESQUISA
Essa pesquisa caracteriza-se principalmente por ser dos tipos: Aplicada, bibliográfica e
por conter um estudo de caso.
3.1.1 Pesquisa Aplicada
Segundo Rodrigues (2012), em uma pesquisa aplicada, os conhecimentos adquiridos
são utilizados para uma aplicação prática, voltados para a solução de problemas concretos da
vida moderna e têm como objetivo investigar, comprovar ou rejeitar hipóteses sugeridas
pelos modelos teóricos.
O presente trabalho é uma pesquisa aplicada, pois pretende resolver a problemática da
organização realizando um estudo de caso com respeito aos ataques direcionados.
3.1.2 Pesquisa Bibliográfica
“A pesquisa bibliográfica consiste na “varredura” do que existe sobre um assunto e o
conhecimento dos autores que tratam desse assunto, a fim de que o estudioso não reinvente a
roda”! (MACEDO, 1995, p. 13).
42
É elaborada a partir de material já publicado, constituído principalmente de: livros,
revistas, publicações em periódicos e artigos científicos, jornais, boletins, monografias,
dissertações, teses, material cartográfico, internet, com o objetivo de colocar o pesquisador
em contato direto com todo material já escrito sobre o assunto da pesquisa. Em relação aos
dados coletados na internet, devemos atentar à confiabilidade e fidelidade das fontes
consultadas eletronicamente. Na pesquisa bibliográfica, é importante que o pesquisador
verifique a veracidade dos dados obtidos, observando as possíveis incoerências ou
contradições que as obras possam apresentar (PRODANOV e FREITAS, 2013). Uma das
etapas deste trabalho consiste na pesquisa bibliográfica sobre as teorias que sustentam o
estudo de caso.
3.1.3 Estudo de Caso
O trabalho realizou um estudo de caso de uma organização fictícia para aplicar o
modelo proposto e validar sua eficiência.
3.2 ETAPAS
A metodologia de pesquisa apresenta as etapas de desenvolvimento do projeto,
demonstrado pela figura 8.
Figura 8: Etapas do Desenvolvimento
43
Fonte: Elaborado pelo autor (2014).
As etapas de desenvolvimento iniciam-se em uma pesquisa sobre segurança da
informação, forense computacional e tipos de ataques. Após esses estudos, será avaliado se há
informações suficientes e será utilizado um modelo forense para análise de ataques
direcionados. Em seguida, será realizado um estudo de caso para validar as diretrizes para
uma avaliação e apresentação dos resultados.
3.3 DELIMITAÇÕES
Esse trabalho tem como objetivo a utilização de um modelo forense que estabeleça um
conjunto diretrizes para análise de ataques direcionados, utilizando como embasamento a
pesquisa sobre assuntos de segurança, forense computacional e tipos de ataques, para dar
validação do mesmo será realizado um estudo de caso.
Está delimitado a ataques não convencionais, isto é, direcionados.
44
4 DESENVOLVIMENTO
Este capítulo tem por objetivo apresentar diretrizes para análise de ataques
direcionados, visando melhorar a busca por evidências, baseado no modelo de forense
computacional.
As diretrizes se dão através da análise forense estática, que Para Toledo et al. (2006), é
o tipo de forense que trata de dados estáticos, ou seja, armazenados em discos rígidos, dados
que não são perdidos ao se desligar o sistema.
Também se dá através da forense dinâmica, que segundo Toledo et al. (2006), são
analisados os dados voláteis, que são perdidos ao desligar o sistema, geralmente
armazenados na memória RAM.
4.1 PROPOSTA DA SOLUÇÃO
Organizações, que atuam em diversos ramos, são diariamente vitimas de ataques
direcionados, onde são coletadas informações, dados que são de grande importância para as
empresas.
Segundo a ComputerWorld (2013; p: 1), “uma em cada cinco empresas, sofrem ameaça
avançada de segurança”, constatada por um estudo global realizado pela Isaca (Associação
que reúne profissionais de segurança da informação).
Ainda afirma que a perda de propriedade intelectual foi citada como um dos maiores
riscos de um ataque (por mais de um quarto dos entrevistados), seguido de perto pela perda de
informações de identificação pessoal (PII) de clientes ou funcionários.
Muitas empresas são alvos de ataques e nem sabem, ou ao menos estão preparadas para
se defender dos mesmos, e conseguir identificar que foram alvos ou perderam informações
sigilosas.
Para Armbruster (2013):
Existem várias razões pelas quais ataques direcionados podem acontecer com
quase qualquer empresa. Uma das maiores é o roubo de informações
45
confidenciais. A propriedade intelectual é muitas vezes a primeira coisa que vem
à mente, mas outros itens, menos óbvios em termos de valor, podem ser obtidos,
como informações financeiras, dados de vendas, ofertas financeiras. No entanto,
as empresas também podem ser alvejadas por razões que nada têm a ver com os
seus produtos ou informações.
Baseado nisso, são desenvolvidas diretrizes para análises de ataques direcionados,
utilizando forense computacional, visando melhorar os aspectos que envolvem a segurança de
informação.
Um modelo genérico utilizado é composto de cinco fases, basicamente: identificação,
coleta, exame, análise das informações e resultados obtidos. Essas foram apresentadas
teoricamente ao longo do trabalho. Para um melhor entendimento, seguem abaixo suas
respectivas definições:
Identificação: Nesta fase, o perito identifica a possível realização de um ataque à
organização.
Coleta: Nesta etapa, o perito deve isolar a área, identificar equipamentos e coletar,
embalar, etiquetar e garantir a integridade das evidências, garantindo assim a cadeia de
custódia.
Exame: Nesta fase, deve-se, identificar, extrair, filtrar e documentar os dados relevantes
à apuração.
Análise: Nesta etapa os dados transformam-se em informações, ou seja, o perito
computacional deve identificar e correlacionar pessoas, locais e eventos, reconstruir as cenas
e documentar os fatos;
Resultados obtidos: Neste momento deve-se redigir o laudo e anexar às evidências e
demais documentos.
O modelo utilizado para estabelecer diretrizes para análise de ataques direcionados será
baseado no embasamento adquirido na pesquisa bibliográfica realizada sobre segurança,
forense computacional e ataques direcionados. Após a proposta baseada no modelo forense,
foi realizado um estudo de caso para validação e demonstração de suas funcionalidades.
46
Abaixo, na figura 9, seguem as etapas do modelo forense:
Figura 9: Etapas do modelo forense
Reproduzido de: Queiroz (2007).
4.2 TERMINOLOGIA
É necessário entender alguns termos, programas e técnicas que são utilizados, ou
pelos peritos ou pelos invasores, antes de começar a descrição do modelo proposto.
Com base na definição da Cartilha de Segurança para Internet (CERT.br, 2006; p.
1), são estas as definições para os termos, programas e técnicas:
“código malicioso: termo genérico que se refere a todos os tipos de programa
que executam ações maliciosas em um computador”;
“endereço IP: endereço único para cada computador conectado à Internet”;
“exploit: programa ou parte de um programa malicioso projetado para explorar
uma vulnerabilidade existente em um software de computador”;
“firewall: dispositivo constituído pela combinação de software e hardware,
utilizado para dividir e controlar o acesso entre redes de computadores”;
“rookit: conjunto de programas que têm como finalidade esconder e assegurar a
presença de um invasor em um computador comprometido”;
47
“backdoor: programa que permite a um invasor retornar a um computador
comprometido. Normalmente, esse programa é colocado de forma a não ser
notado”;
“keylogger: programa capaz de capturar e armazenar as teclas digitadas pelo
usuário no teclado de um computador”;
“Intrusion Detection System (IDS): programa, ou um conjunto de programas,
cuja função é detectar atividades maliciosas ou anômalas”;
“log: registro de atividades, gerado por programas de computador (Gerados por
firewalls ou por IDSs)”;
“sniffer: dispositivo ou programa de computador, utilizado para capturar e
armazenar dados, trafegando em uma rede de computadores”;
“MAC address: número único que identifica a interface de rede”;
“TCP e UDP: são portas utilizadas por softwares e serviços do sistema
operacional para a comunicação em rede e, consequentemente, na internet”;
“spyware: termo utilizado para se referir a uma grande categoria de software
que tem o objetivo de monitorar atividades de um sistema e enviar as
informações coletadas para terceiros”.
Através de algumas técnicas descritas acima, é possível analisar ataques e buscar o
suspeito do incidente, por meio de e-mails e anexos, IP, arquivos de logs do sistema, pacotes
que trafegam na rede, arquivos ocultos e apagados.
4.3 DESCRIÇÃO DO DIAGRAMA PROPOSTO
Nesta seção é apresentado e explicado o funcionamento da modelagem do fluxograma
apresentado para análise de ataques direcionados. Conforme a figura a seguir, segue os
procedimentos abaixo:
Procedimento 1: Identificação de possíveis fontes de dados: Em uma investigação, é
necessário identificar as fontes envolvidas, como por exemplo, maquinas invadidas e
utilizadas pelo suspeito de um ataque.
48
Procedimento 2: Coletar dados: Baseia-se na coleta de toda informação acessível na
mídia investigada, sendo úteis ou não.
Procedimento 3: Examinar dados: Reduzir a quantidade de informações desnecessárias
para a investigação, através da filtragem dos dados.
Procedimento 4: Analisar as evidências para determinar se houve invasão à
organização, e identificar as pessoas envolvidas em determinada suspeita. Os detalhes dos
procedimentos serão apresentados a seguir, que servem de padrão para qualquer perícia
forense, conforme a figura 10.
Figura 10: Modelo de análise de ataques direcionados
Reproduzido de: QUEIROZ (2007).
A identificação dos possíveis ataques é a parte mais difícil de todo o processo, pois
depende de métodos sofisticados, que consigam encontrar rastros deixados pelos mesmos, a
fim de buscar uma solução rápida para diminuir suas consequências e suavizar seus danos à
organização, tendo em vista que não existe uma maneira de bloqueá-lo completamente, e sim
reduzir seu impacto. Não existem soluções próprias para esses ataques, pois eles são feitos
sob medida, dessa forma, é preciso criar uma solução genérica, que possa atender e ser
adaptada para todos os tipos de ataques direcionados à organização.
A seguir, é mostrado três vetores de ataques comuns usados em ataques direcionados:
•Email: Spear Phishing é um e-mail que parece ter sido enviado por um indivíduo ou
empresa que você conhece. Ele é derivado dos mesmos hackers criminosos que
querem os números dos seus cartões de crédito e contas bancárias, senhas e
informações financeiras contidas no seu PC (NORTON, 2011; p. 1).
•Web: Através de acessos a páginas Web maliciosas, utilizando navegadores
vulneráveis, códigos maliciosos são instalados e passam a ter acesso aos dados
armazenados no computador e podem executar ações em nome dos usuários, de
acordo com suas permissões (CERT.br, 2006; p. 1).
•Arquivos: Ao executar arquivos previamente infectados, obtidos em anexos de
mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de
outros computadores (através do compartilhamento de recursos), a maquina do
49
usuário é infectada e fica vulnerável a ataques maliciosos, que buscam todos os tipos
de informações (CERT.br, 2006; p. 1).
Antes de iniciar o procedimento, é necessário entender como funciona o processo de
ataque direcionado, que é mostrado na figura abaixo.
Figura 11: Processo de Ataque
Fonte: Autor (2015).
O “atacante” identifica seu alvo, através de um método, como o “Spear Phishing5”,
obtém informações do mesmo coletando os dados necessários para criar um ataque específico
para o alvo desejado.
Após coletar as informações necessárias, o “atacante”, através das informações que
foram obtidas, define qual ataque será utilizado.
O ataque “0day” ou “Dia Zero”, segundo Moura (2013), são falhas ou vulnerabilidades
de segurança, não identificadas pelas empresas de softwares, utilizadas pelos “atacantes” em
ataques. Neste caso, as empresas não tiveram tempo de se proteger, ou proteger seus produtos
destas falhas, por isso a definição “0day”.
Desta forma, é possível dizer que para este tipo de ataque, não existe vacina, ou seja,
não há como se proteger.
O outro ataque que pode ser utilizado é um ataque convencional, descrito no decorrer
do trabalho, modificado especificamente para o alvo desejado, ou seja, tem vacina, porém,
não há como saber quais parâmetros serão utilizados no ataque.
Sendo assim, das duas formas, o alvo só saberá que foi alvo de ataque, após o mesmo já
ter ocorrido, e as chances de erro para sua identificação ou prevenção, são mínimas.
5 Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos
dados sigilosos (Norton, 2011).
50
O principal objetivo é obter dados e informações dos principais ramos de atuação da
organização, direcionando seu ataque a uma área específica do alvo, na qual lhe interessa.
Para saber que está sendo alvo de um possível ataque, ou que um incidente ocorreu, é
necessário achar indícios que possam identificar que o ataque, de fato, ocorreu.
Então, antes de iniciar qualquer procedimento, é necessário identificar indícios do
ataque, para assim, determinar que o alvo foi vitima de um ataque direcionado.
Na fase de identificação de um possível ataque, serão analisados os registros de logs,
no qual constam informações como atividades de e-mail, e tentativas de acessos à rede interna
da organização.
Uma vez capazes de estabelecer sua presença em uma rede, os responsáveis pelo
ataque passam a tentar se movimentar dentro dela, acessando por meio de explorações,
servidores de arquivos, e-mails e diretórios ativos, usando vulnerabilidades do servidor.
“O registro de acessos, é a melhor referência para qualquer tentativa deste tipo, por
isso, será verificado as tentativas falhas de acesso à rede interna, assim como as bem-
sucedidas, feitas em períodos de tempo fora do normal” (TrendMicro, 2014). Assim, podem
ser reveladas as tentativas dos responsáveis pelo ataque, de se moverem dentro da rede.
Após essa verificação, os registros de logs de e-mail serão analisados, para ver se
existem picos anormais de atividades de e-mail, o que pode indicar que algum usuário
específico, esteja sofrendo um ataque de Spear Phishing³. Ataque esse, que é muito comum,
sendo utilizados pelos atacantes para obter informações, e através delas obter acesso à rede do
alvo desejado.
Desta forma, é possível obter indícios de um possível ataque ou incidente, e a partir
disso, dar inicio aos demais procedimentos. Abaixo, segue o fluxograma proposto:
Figura 12: Identificar indícios de um possível ataque
Fonte: Autor (2015).
51
Após a identificação das possíveis fontes de dados, é iniciada a coleta de dados, que
tem a finalidade de recuperar e organizar todas as informações contidas na cópia dos dados,
que serão executadas em uma cópia idêntica dos dados contidos na maquina.
Antes de iniciar a coleta, é essencial conhecer o sistema operacional onde estão os dados
e os sistemas de arquivos utilizados, que é o conjunto de estruturas lógicas e de rotinas
manipulados pelo sistema operacional.
É uma etapa de grande importância para o processo investigatório, onde serão coletados
todos os tipos de dados, como arquivos convencionas, ocultos, criptografados, temporários e
apagados.
Caso tenha ocorrido invasão a outras máquinas, será realizado um acesso às mesmas
para coleta de dados, buscando obter evidências de um possível ataque.
A partir disso, para que não haja perda de dados, será realizada a coleta dos “dados
voláteis”, como o estado das conexões de rede e o conteúdo da memória, que serão perdidos
caso a maquina seja desligada. Descrição da coleta é feita logo após a figura 13.
Após, será feita a coleta dos “dados não voláteis”, onde contém informações sobre o
sistema de arquivos, onde os mesmos são armazenados. Descrição da coleta é feita logo após
a figura 14.
Caso não haja invasão à outra maquina, é realizado um acesso remoto a maquina
principal (de onde o ataque foi originado) do ataque, com o objetivo de coletar os “dados
voláteis”, após a coleta a maquina será retirada para que possam ser coletados os “dados não
voláteis”.
Conforme descrito acima, segue o fluxograma proposto para o modelo:
Figura 13: Coletar dados
Fonte: Autor (2015).
52
A coleta dos dados voláteis, apresentada na figura 14, tem como objetivo identificar um
ataque em tempo real, coletando informações que são apagadas caso o computador seja
desligado.
Para a coleta dos dados voláteis, pode-se utilizar o “FDTK – UbuntuBr”, que, segundo
Tacio (2001), é uma distribuição Linux baseada em Ubuntu, voltada para a pericia forense
computacional.
Primeiramente, são coletadas as “sessões de log”, que possuem o registro de atividades,
informando os usuários que estão conectados, com data e hora da conexão, e o endereço de
onde partiram as conexões a máquina invadida.
Logo após, as “conexões de rede” serão coletadas, onde serão encontradas informações
sobre endereços IP (destino e origem), e o estado das conexões.
Em seguida, serão coletados o estado das portas “TCP e UDP”, onde é possível analisar
as vulnerabilidades da maquina.
Depois, os “dados da memória” serão coletados, a fim de analisar os acessos recentes,
comandos executados, e também, senhas e logins utilizados, que são armazenados na
memória.
Após, serão coletadas as “configurações de rede”, identificando o endereço IP e o MAC
Address de cada interface de rede, buscando alterações realizadas para a invasão, autenticadas
pelo MAC Address.
Posteriormente, as informações sobre os “processos em execução” serão coletadas, com
intuito de verificar códigos indevidos que são executados pelo invasor.
Para tentar identificar quais foram os passos realizados pelo invasor, serão coletados os
“comandos executados”.
Logo depois, serão coletados os “arquivos abertos”, pois se houver algum arquivo
suspeito, é possível realizar uma varredura por palavras-chave na busca de mais informações.
E por último, serão coletadas as “datas e horas do sistema operacional”, que podem ser
úteis para reconstruir um evento para comprovar a invasão.
53
Figura 14: Coleta de dados voláteis
Fonte: Autor (2015).
A coleta dos dados não voláteis, apresentada na figura 15, pode ser feita pelo, “FDTK –
UbuntuBr”.
Antes de iniciar a coleta, haverá a verificação se a maquina invadida, é a principal
(maquina que originou o ataque).
Caso não seja, será realizada a coleta dos “arquivos de log do sistema”, que possuem
registros de acesso a maquina, comandos executados, e a identificação dos usuários.
Se houver, é criada a imagem do disco, que é uma cópia idêntica do mesmo, a fim de
recriar um cenário real, restaurada em ambiente previamente configurado para que não haja
perca de dados, sendo documentado cada passo, seguindo a metodologia forense e seus
requisitos, descritos no capítulo 2.
Figura 15: Coleta de dados não voláteis
Fonte: Autores (2015).
54
Após o término do processo de coleta, é iniciado o exame dos dados, mostrado na figura
16, no qual é realizada a filtragem dos dados, extraindo somente o necessário para à
investigação.
Para que essa filtragem seja realizada, é necessária a utilização de ferramentas
específicas, que forneçam o suporte adequado para a extração dos dados, como por exemplo,
o Ubuntu – FDTK, distribuição Linux baseada em Ubuntu, voltada para a pericia forense
computacional.
De início, ferramentas e fontes de dados que determinam padrões para cada tipo de
arquivo como texto e imagem, são usadas para identificar e filtrar, por exemplo, arquivos que
tenham sido manipulados.
Formatos dos arquivos são examinados, pois os mesmos podem ter suas extensões
alteradas, além de armazenar outros dados, como algum arquivo malicioso, que pode causar
danos ao sistema operacional, ou executar funções determinadas pelos invasores. A utilização
de ferramentas para análise de cabeçalhos pode identificar qual tipo de dado que o arquivo
contém.
As extensões de arquivos são sufixos que nomeiam o seu formato e também a função
que desempenham em um computador. Assim, cada extensão de arquivo tem um
funcionamento próprio e também suas características individuais, que necessitam de
softwares específicos para serem abertos.
Com a finalidade de ocultar informações, armazenar conteúdo que não faz parte da
extensão nomeada, atacantes podem alterar extensões e enganar os usuários, pois o mesmo
pode abrir o arquivo com a finalidade de realizar algum procedimento específico, quando na
verdade o arquivo irá realizar outro procedimento, especificado pelo atacante, que não é de
seu conhecimento.
Assim, processos maliciosos serão executados sem o conhecimento do usuário,
desempenhando atividades a favor de um ataque direcionado, e expondo ainda mais o alvo a
respectivos ataques.
Portanto, através dos padrões de textos definidos para cada arquivo, com a finalidade de
mostrar sua integridade, e que não houve alteração na sua extensão, os mesmos serão
examinados. Para isso, existem ferramentas que contribuem para sua identificação.
Após a realização de um ataque, provas podem ser excluídas ou ocultadas, dificultando
todo o processo de investigação, portanto, qualquer informação recuperada é de grande
utilidade.
55
Sendo assim, os arquivos excluídos ou fragmentos que ainda não tenham sido
sobrescritos, serão examinados, pois contribuem para tentar encontrar rastros deixados pelo
atacante, com a finalidade de encontrar parâmetros utilizados no ataque.
Na recuperação dos dados, utilizam-se softwares específicos que buscam no disco todos
os dados ou fragmentos que tenham sido excluídos, permanecendo no disco até que outro
dado ocupe seu espaço em disco.
Após a recuperação, os arquivos e fragmentos serão examinados com o intuito de
encontrar rastros deixados pelo atacante, como arquivos utilizados durante o ataque, ou dados
e informações que foram transferidas para um ambiente externo, e depois foram apagadas
para ocultar esses procedimentos.
Desta forma, serão procuradas anormalidades e motivos para que os dados e fragmentos
recuperados fossem excluídos, e assim obter informações que contribuam para a filtragem dos
dados e melhor entendimento do possível ataque, na busca por indícios de uma invasão ou
incidente.
Examinar os metadados pode contribuir para uma visão cronológica dos
acontecimentos, pois é possível obter os procedimentos executados por determinados
arquivos, com suas respectivas datas, que devem ser mantidas com cuidado para que não haja
conflito de dados de tempo, fazendo com que a investigação seja invalidada.
Atributos de tempo como, período em que um arquivo foi criado, modificado e
acessado, são de grande importância para uma investigação, pois como o nome já diz,
identificam os períodos de acontecimentos, como criação, modificação e ultimo acesso ao
respectivo arquivo, portanto, deve-se manter esses três atributos de tempo relacionados aos
arquivos, íntegros.
A respeito de metadados, pode-se dizer que são resumos de informações sobre a forma
ou conteúdo de uma fonte, ou seja, são basicamente dados que descrevem os dados, possuem
informações úteis para identificar, localizar, compreender e gerenciar os dados.
Através dos mesmos será possível buscar anormalidades, ter um histórico do que foi
executado por um arquivo específico, e dessa forma remontar os acontecimentos em busca de
outras informações.
Sendo assim, serão examinados os metadados do que foi coletado, buscando examinar o
resumo das informações sobre a forma ou conteúdo da fonte, de forma que contribua para a
filtragem dos dados, buscando possíveis indícios de um ataque. Para isso, ferramentas serão
utilizadas.
56
Por último, outra estratégia será utilizar a busca por palavras-chave, que examina o
conteúdo dos arquivos em busca de um determinado texto, a fim ampliar e generalizar o
domínio de busca.
Para isso, será elaborada uma lista de palavras-chave com base no conteúdo analisado
nas etapas anteriores, como por exemplo, algum texto incomum encontrado no exame dos
dados, ou palavras elaboradas após um estudo do que já existe de histórico do ataque, visto
que não há parâmetros de busca para ataques direcionados.
Tem como finalidade, encontrar evidências relacionadas às palavras utilizadas,
examinando através de ferramentas, arquivos e dados atrás de um texto, elaborado para a
investigação, e utilizado como palavras-chave na busca de informações e indícios de um
possível ataque.
Desta forma, haverá parâmetros para informar se arquivos ou dados específicos,
possuem de alguma forma, indícios para comprovar que um incidente ocorreu.
Assim, arquivos excluídos, trechos de texto em parte do disco não alocados pelo
sistema de arquivos e em unidades de alocação onde os arquivos não utilizem todo o espaço
destinado a ele, também podem ser encontrados. Abaixo, segue o fluxograma proposto:
Figura 16: Exame de dados
Fonte: Autor (2015).
Após o exame de dados, é iniciada a analise deles. Apresentado na figura 17, o
fluxograma proposto para este processo.
A análise será feita sobre uma cópia das mídias originais, para que não haja problemas
de integridade, buscando proteção e segurança das mesmas.
57
Um ambiente de teste será criado e preparado especificamente para auxiliar na análise,
utilizando o mesmo hardware ou similar ao original, para garantir a qualidade do trabalho
realizado.
Nesta etapa, são “identificadas as pessoas”, envolvidos em determinada suspeita, assim
como os “locais”, que são os caminhos que o suspeito percorreu, como servidores e maquinas,
e “identificar os eventos”, passos dados pelo suspeito. Todos os processos e etapas de análises
devem ser devidamente documentados.
Figura 17: Analise dos dados:
Fonte: Autor (2015)
Para que seja feita a análise dos dados, a reconstrução dos eventos deve ser realizada,
assim, os procedimentos para essa etapa são mostrados abaixo:
Correlacionamento de logs
Análise do tráfego de rede (logs de roteadores, firewalls, etc).
MAC Times.
Um exemplo de correlação de logs seria quando um indivíduo tenta realizar um
acesso não autorizado a um determinado servidor. A partir disso, é possível identificar por
meio da análise dos eventos registrados nos arquivos de logs, o endereço IP de onde foi
originada a requisição de acesso.
58
Com o endereço IP de onde foi gerada a requisição, é possível identificar quem está
por trás do acesso não autorizado, utilizando um método de reversão, onde é feito o
processo reverso, para obter informações do destino de origem do IP. Procedimento esse,
feito por meio de ferramentas específicas para uso da reversão.
Através desse procedimento, é possível identificar pessoas que fizeram a requisição
de acesso, como o local de onde foi gerada essa requisição, sendo possível correlacionar o
ataque a algum individuo.
Desta forma, os registros de logs serão analisados, com o intuito de achar o culpado
pelo possível ataque ou incidente a um determinado alvo.
A partir do tráfego de rede é possível analisar toda a comunicação entre o atacante e
a máquina invadida, estabelecendo uma sequência de eventos e comparando com as outras
evidências encontradas.
Com essa análise, pode-se encontrar evidências como endereço de IP do suspeito,
tráfego em portas desconhecidas, ou em serviços e portas que não deveriam estar
ocorrendo, até mesmo anormalidades na rede.
Assim, após a análise do tráfego de rede, é possível identificar possíveis suspeitos, e
tomar as devidas providencias como utilizar a reversão explicada anteriormente, caso seja
identificado o endereço IP do sujeito, para obter suas informações, ou verificar toda a
comunicação feita pelo atacante com o seu respectivo alvo.
Portanto, serão analisados os tráfegos de rede com o intuito de correlacionar o
possível ataque, ao suspeito. Para isso, existem ferramentas específicas, que serão
utilizadas para validar as diretrizes propostas nessa etapa.
E por último, será analisado os MAC TIMES, que são campos de metadados do
sistema de arquivos onde estão registrados o último instante em que ocorreram certos
eventos em relação a um arquivo ou dado, como criação, modificação, e ultimo acesso.
Com isso, é possível correlacionar o evento ocorrido com seus respectivos horários,
fazendo com que seja possível determinar quando as ações do suspeito aconteceram.
Sendo assim, com os procedimentos utilizados, é possível identificar os suspeitos, os
caminhos percorridos pelo mesmo e quais passos foram utilizados para a realização do
possível ataque.
Após obter as informações, as evidências vão ser correlacionadas, de forma que possam
identificar o suspeito, quando e como ocorreu a invasão e posterior roubo de informações.
59
Obtendo essas respostas, pode-se chegar a uma evidência, determinando quem é o
suspeito, quando ocorreu o ataque, e como o mesmo foi realizado.
Desta forma, após a análise, será verificado os resultados para concluir se o que foi
investigado é suficiente para comprovar o suspeito do ataque, e gerar os relatórios para
concluir a investigação.
4.4 CONSIDERAÇÕES DO CAPÍTULO
Este capítulo teve por objetivo apresentar as diretrizes propostas baseadas no modelo de
forense computacional focado em ataques direcionados.
O modelo dinâmico e estático apresentado neste projeto tem por objetivo apresentar
uma forma genérica para analisar possíveis ataques direcionados a uma organização,
coletando evidências voláteis e não voláteis, acessando as maquinas envolvidas e
apresentando os respectivos resultados.
Os procedimentos utilizados foram separados a fim de facilitar o entendimento do
modelo apresentado.
Desta forma, buscou-se torna-lo utilizável, genérico para que possa se adaptar a
diversas formas de ataques direcionados, dependo da necessidade, pois os ataques
direcionados são feitos especificamente para uma organização, e dificilmente são usados da
mesma forma, por isso as chances de erro para sua identificação ou prevenção, são mínimas.
60
5 TESTE E VERIFICAÇÃO
Os testes, apresentado a seguir, foram realizados em uma empresa fictícia. O incidente
também foi criado para que fosse possível aplicar as diretrizes propostas no projeto.
Todos os dados apresentados foram previamente simulados para dar veracidade ao caso
apresentado e demonstrar as diretrizes propostas com a utilização de ferramentas existentes,
que contribuem para a análise dos ataques direcionados.
Um cenário foi montado com a intenção de ilustrar como se aplicam as diretrizes
propostas em uma investigação, buscando evidências para transformar em provas que
comprovem um possível ataque à organização.
5.1 APRESENTAÇÃO DO CASO
A Universidade ABC atua em todos os níveis e áreas de conhecimento, nas
modalidades presencial e a distância, inserida nas regiões Sul e da Grande Florianópolis,
ampliando perspectivas culturais e educacionais.
Para a realização de matriculas em cursos e disciplinas, cada aluno recebe um
usuário/senha para que possa realizar os procedimentos necessários dentro da intranet da
Universidade, assim como analisar suas finanças, pagamentos, ter acesso à biblioteca ou até
mesmo solicitar uma bolsa de estudos.
Cada aluno deve cuidar de seus dados e mantê-los devidamente seguros, pois é através
deles que o mesmo administra sua vida universitária.
Notou-se que alunos estavam matriculados em disciplinas e cursos não condizentes
com suas grades curriculares ou cursos nos quais cursavam atualmente, e isso gerou uma
reclamação à coordenação da Universidade, que se viu obrigada a analisar este caso.
Ao analisar as reclamações, a coordenação verificou que as matriculas foram geradas
com as contas dos próprios alunos, gerando uma desconfiança do que realmente poderia ter
acontecido.
61
Foi questionada a coordenação o motivo de tal suspeita. Essa informou que qualquer
pessoa que possuir usuário e senha do aluno, pode acessar a intranet e realizar diversas
operações, como a que foi informada à coordenação.
A partir disso, a Tecnologia da Informação da Universidade analisou o caso e viu a
necessidade de contratar um serviço de segurança em forense computacional para que seja
analisado mais a fundo esta situação, de modo que haja a atuação de profissionais com
conhecimentos avançados, para que se tenha uma resposta do que de fato aconteceu.
Sabendo que todo o processo de matriculas é realizado pela internet, via intranet da
Universidade, o que torna vulnerável as operações realizadas pelos alunos, o problema será
analisado.
Na Universidade, todos os dados e informações dos alunos ficam armazenados em um
banco de dados, alocados em um Data Center, o qual é gerenciado pela TI da instituição.
5.2 APLICAÇÃO DO MODELO
Após apresentação do caso, é necessário frisar que este é um ataque direcionado à
Universidade, no qual o atacante tem como objetivo captar informações dos universitários, e
através delas realizar operações dentro da Universidade para expor suas vulnerabilidades e
falhas de segurança em seu ambiente universitário.
Através das informações repassadas pela coordenação e TI da Universidade ABC, foi
dado início à investigação do possível ataque ocorrido na Universidade, seguindo os passos
proposto pelo fluxograma apresentado, no capitulo 4, conforme segue:
1 – Identificação: Tendo em vista as matrículas irregulares apresentadas pelos
universitários, que não foram geradas pelos mesmos, presumiu-se que foi no servidor que o
possível atacante buscou as informações das contas dos alunos.
Sem a confirmação da maquina utilizada pelo suspeito para realizar o acesso ao Data
Center onde fica armazenado o banco de dados da Instituição, serão analisados os registros de
logs para verificar os acessos e também as atividades de e-mail para tentar identificar de onde
surgiu o possível ataque.
62
Coletar sessões de log: O comando abaixo foi utilizado para verificar os acessos ao
servidor:
# cat /var/log/auth.log
Analisando os logs foi possível verificar que não houve nenhum acesso indevido ao
servidor, somente dos usuários da TI da Universidade. Desta forma, observou-se que o
possível ataque não foi realizado através do servidor da Instituição.
Figura 18: Log de acesso ao servidor.
Fonte: Autor (2015).
Todos os registros de logs de sessão, assim como os logs de e-mail foram coletados
através de ferramentas do Linux para executar os procedimentos.
Após não encontrar nenhum acesso indevido ao servidor, foram analisados os logs de
e-mail, como mostra a figura a seguir, onde foi encontrada uma irregularidade no domínio de
alguns e-mails que foram enviados aos alunos.
63
Figura 19: Lista de e-mails enviados aos alunos com domínio suspeito.
Fonte: Autor (2015).
Ao analisar os logs de e-mails, foi verificado que alguns alunos receberam e-mails de
um domínio muito parecido com o da Universidade, porém com um detalhe que muda
totalmente o seu domínio, o ponto entre “@universidadeabc”.
Alunos receberam um e-mail de informação da Universidade no qual se solicita o
acesso ao site da Universidade para confirmar seus dados pessoais, conforme mostra a figura
abaixo, e ao entrar no link informado, antes da confirmação dos dados é necessário informar
seu usuário/senha de acesso à intranet, para depois realizar a confirmação dos dados.
Figura 20: E-mail recebido pelos alunos.
Fonte: Autor (2015).
Ao analisar o e-mail, foi identificada uma suspeita a qual pode levar ao indício de um
ataque de “Spear Phishing”, pois como mostra a figura abaixo, ao deixar o cursor do mouse
em cima do link de acesso ao “Portal MinhaABC”, é possível verificar que o site apresentado
na parte inferior do navegador não é o site da Universidade ABC.
64
Figura 21: E-mail com indício de Spear Phishing.
Fonte: Autor (2015).
Com isso, os e-mails foram analisados e identificou-se que o suspeito enviou um e-
mail direcionado a alguns universitários, se passando pela Universidade, solicitando que os
alunos atualizassem seus dados.
Após receberem o e-mail, todos no mesmo período e sem notar a mudança no domínio
do e-mail, alguns alunos seguiram a orientação achando ser da Universidade e realizaram a
atualização dos seus dados, informando também seu usuário e senha de acesso a intranet da
instituição.
O que os alunos não previam era que estavam passando seus dados pessoais e
credenciais para o atacante, o qual passou a utiliza-los para realizar operações dentro da
instituição. Conforme figura a seguir, após possuir os dados do aluno, o atacante pode realizar
diversas operações pela intranet da Universidade.
65
Figura 22: Intranet da Universidade
Fonte: Unisul (2015).
Com os dados de acesso, o atacante passa a ter total liberdade para executar
procedimentos dentro da intranet da Universidade com as credenciais do aluno, mostrado na
figura a cima, o que pode ter gerado as matriculas indevidas reportada pelos alunos.
Também através dos dados de acesso, é possível interagir com outros alunos e a partir
disso, obter mais dados e informações para a realização do ataque, como por exemplo, enviar
mensagens através da ferramenta da Universidade, conforme mostra a figura abaixo.
Figura 23: Forma de interagir com alunos através da intranet da Universidade.
Fonte: Unisul (2015).
66
Desta forma, após identificar indícios de um possível ataque realizado à Universidade,
serão realizadas as etapas propostas pelo fluxograma apresentado, com a finalidade de
encontrar dados ou informações que possam comprovar o ataque sofrido pela Universidade.
2 – Coletar dados: Como não foi identificada uma invasão ao servidor por algum
usuário indevido, e sabendo que os dados podem ter sido capturados por meio de um ataque
de “Spear Phishing”, buscou-se apenas coletar os dados do servidor onde estavam às
armazenadas as informações no banco de dados.
2.1 - Acessar a máquina invadida: Como não houve invasão a nenhuma maquina,
não há necessidade de realizar este procedimento, pois por talvez se tratar de um ataque
“Spear Phishing” e dos objetivos do atacante, o mesmo pode ter realizado todos os
procedimentos via web, sem precisar acessar a máquina física da instituição.
2.2 - Coletar dados voláteis: Início da coleta de dados voláteis.
2.3 – Coletar comandos executados: Em seguida foi feita a verificação dos comandos
executados no servidor, através do comando:
#cat /home/userTI/.bash_history
Foram verificados os comandos executados e não foi encontrado nada fora da
normalidade, apenas comandos de rotinas realizados diariamente pelo pessoal da TI da
Universidade.
Após isso, todas as conexões de rede, o estado das portas TCP e UDP, os processos em
execução, os dados da memória e os arquivos abertos foram coletados para posterior exame.
2.4 – Coletar dados não-voláteis: Após a coleta dos dados voláteis, os dados não
voláteis foram coletados.
2.4.1 – Coletar arquivos de log do sistema: Foram coletados os registros de logs para
serem examinados.
2.5 – Acessar a máquina do suspeito: Como não foi identificado nenhum acesso ao
servidor através de outra maquina, não há como realizar este procedimento, nem os
subsequentes propostos para caso houvesse a invasão, desta forma será dada continuidade aos
procedimentos seguintes.
3 – Exame dos dados: Na realização da coleta dos dados feita anteriormente, há uma
grande massa de dados, por isso foi necessário filtra-los para posterior análise, seguindo os
passos a seguir:
67
Para facilitar o exame dos dados foi utilizado o “Ubuntu – FDTK”, que é uma
distribuição Linux baseada em Ubuntu, voltada para pericia forense computacional, conforme
mostra a figura a seguir:
Figura 24: Ubuntu – FDTK utilizado para facilitar o exame dos dados.
Fonte: Autor (2015).
Essa distribuição possui diversas ferramentas que auxiliam na coleta dos dados, nos
exames e análise das evidências, o que facilita o trabalho de investigação.
3.1 – Examinar padrões dos arquivos coletados: Como mostra a figura a seguir, com
a finalidade de encontrar arquivos manipulados, foram examinados os padrões dos arquivos,
porém nada foi encontrado, todos os arquivos coletados estavam com seus padrões íntegros.
68
Figura 25: Cabeçalho de arquivo.
Fonte: Autor (2015).
Como na figura a cima, o cabeçalho do arquivo mostra seus dados e informações, o
que pode auxiliar na identificação de anormalidades, definindo a integridade ou não de um
arquivo.
3.2 – Examinar formato dos arquivos coletados: Os formatos foram examinados,
porém nenhuma anormalidade foi encontrada.
3.3 – Examinar arquivos e fragmentos excluídos: Foi realizada uma pesquisa para
verificar a existência de algum arquivo que contribua para a investigação do ataque que possa
ter sido excluída. Para isso foi utilizado o programa “Recuva” que recupera os arquivos
apagados da maquina, como mostra a figura abaixo:
Figura 26: Recuperação de arquivos.
Fonte: Autor (2015).
69
Na filtragem não foi encontrado nenhum arquivo relevante que seja útil para posterior
análise.
3.4 – Examinar metadados: Posteriormente, foram examinados os metadados dos
arquivos coletados, porém nada foi encontrado.
Figura 27: Exemplo de metadados.
Fonte: Autor (2015).
Os metadados contribuem para uma visão cronológica dos acontecimentos, obtendo os
procedimentos executados por determinados arquivos, com suas respectivas datas, sendo
possível visualizar o resumo das informações sobre a forma ou conteúdo da fonte,
descrevendo seus dados e auxiliando na identificação, localização, compreensão e
gerenciamento dos mesmos.
3.5 – Busca por palavra-chave: Por fim, foi realizada uma busca por palavras-chave,
elaborada durante as etapas de exame com o e-mail no qual foi modificado o domínio para se
passar pela Universidade como principal texto para busca. Desta forma, foram encontrados
70
todos os e-mails enviados aos alunos pelo suposto atacante, apresentados na figura abaixo,
podendo assim, analisar posteriormente quais alunos receberam o ataque.
Figura 28: Lista de e-mails maliciosos.
Fonte: Autor (2015).
Além dos e-mails nada mais foi encontrado para ser adicionado ao relatório final e
compor a prova do crime.
Após o exame dos dados, foi possível reduzir a quantidade informações obtidas na
coleta, deixando apenas o necessário para que fosse analisado, focando nas possíveis
evidências que possam comprovar o crime. Com isso foi iniciada a análise dos dados,
mostrada a seguir:
Nesta etapa acontece à identificação das pessoas envolvidas em determinada suspeita,
assim como os caminhos percorridos pelo suposto atacante e quais foram os passos dados
para realizar o possível ataque.
A análise das evidências foi realizada sobre uma cópia idêntica dos dados, para que
não houvesse problemas com a integridade dos mesmos, prezando pela proteção e segurança
das possíveis provas de um ataque.
4 – Análise dos dados: Analisando as evidências encontradas na etapa anterior, foi
possível identificar alguns pontos do ataque:
O Ataque foi realizado diretamente à UniversidadeABC, com o intuito de enganar os
alunos e através deles atingir a Universidade;
Foi utilizado um e-mail falso parecido ao da Universidade para dar início ao ataque;
Os e-mails foram enviados no mesmo dia aos alunos;
O atacante se passou por um funcionário da instituição sem que fosse percebido;
Utilizou do método de “Spear Phishing” para enganar os alunos;
Com isso, foi possível obter dados pessoais, credenciais de acesso e todas as
informações necessárias para realizar os procedimentos dentro do ambiente universitário,
confirmando a suspeita de que a Universidade recebeu um ataque direcionado.
71
4.1 – Correlacionamento dos Logs: O correlacionamento ocorre com o intuito de
achar o culpado pelo possível ataque ou incidente a um determinado alvo através da análise
dos logs obtidos na coleta de dados.
Através dos logs é possível obter informações como de acessos não autorizados a um
determinado servidor, identificar endereços IP desses acessos, horários e datas em que
procedimentos foram executados, e com isso relacionar provas que incriminem possíveis
realizadores de um ataque.
Tendo isso em vista, os logs do sistema foram verificados, e foi possível constatar que
os e-mails enviados foram no mesmo dia e horário para os alunos da Universidade, pelo
mesmo domínio forjado, o qual se passava por um funcionário da instituição. Portanto, foi
possível identificar o responsável pelo ataque, e o momento em que ele iniciou seus
procedimentos.
4.2 – Análise do tráfego de rede: Com a análise do tráfego de rede, é possível analisar
se houve comunicação entre o atacante e a máquina invadida, e caso haja, estabelecer uma
sequência de eventos e comparar a outras evidências encontradas.
Com essa análise, é possível encontrar endereços IP do suspeito, se houve tráfego em
portas desconhecidas, ou anormalidades na rede da instituição, obtendo informações de toda
comunicação feita pelo atacante com o seu respectivo alvo.
Ao analisar o tráfego de rede não foi possível identificar nenhuma anormalidade, pois
não há registros nem evidências de que o atacante realizou acesso ao servidor da instituição,
desta forma foi possível confirmar que não houve acesso aos servidores durante o incidente.
4.3 – MAC TIMES: Através dos MAC TIMES é possível identificar datas de criação,
modificação e último acesso relacionados a arquivos ou dados coletados, sendo possível
determinar quando ocorreram as ações do suspeito.
Ao analisar o MAC TIMES do e-mail enviado, mostrado na figura abaixo, foi possível
identificar o horário em que os e-mails foram enviados, que indica quando o atacante realizou
os envios para coletar informações dos alunos.
72
Figura 29: MAC TIMES do e-mail recebido.
Fonte: Autor (2015).
Assim, após o período de análise, foi possível identificar pessoas, porém não foi
encontrada a real identidade do atacante, identificar locais, sabendo que os procedimentos
foram todos realizados via web, e identificar os eventos, mostrando os passos dados pelo
atacante para a realização do crime, que começou com o método de Spear Phishing localizado
nos e-mails.
E por último, o correlacionamento das evidências que ocorreu durante todo o processo,
tanto de coleta, quanto de exame ou análise, deram parâmetros que direcionaram a suspeita
para uma pessoa.
Com isso, foi possível notar os objetivos do atacante, que eram obter os dados pessoais
dos alunos, suas credenciais de acesso à universidade e através delas realizar operações dentro
do ambiente universitário, atingindo a instituição, demonstrando como acontece um ataque
direcionado e evidenciando como as pessoas e instituições, com uso da internet, ficam
vulneráveis a ataques.
5.3 LAUDO PERICIAL
Foi contratado o serviço de forense computacional com a finalidade de identificar
como os alunos da Universidade ABC foram matriculados em disciplinas e cursos fora da sua
grade curricular sem que os mesmos soubessem, a partir dai foi dado inicio à investigação.
A investigação ocorreu em quatro etapas, identificação, coleta de dados, exame de
dados e análise de dados, que são descritas abaixo:
Identificação: Identificar a possível realização de um ataque;
73
Coleta: Coletar dados e informações referentes ao possível ataque que será
examinado posteriormente;
Exame: Busca diminuir a quantidade de informações coletadas filtrando apenas
o necessário para posterior análise;
Análise: Identificar e correlacionar pessoas, locais e eventos que estão
relacionados ao ataque direcionado.
Todas as etapas foram seguidas conforme os critérios estabelecidos de modo que
garantisse a disponibilidade, integridade e confiabilidade das informações, dando veracidade
ao caso.
O suposto ataque foi identificado através dos logs de e-mail, e assim foi possível
identificar que foi utilizada a prática de Spear Phishing pelo atacante para enganar os alunos e
obter seus dados e informações pessoais.
Foram coletadas sessões de logs, conexões de rede, estado das portas TCP/UDP, dados
de memória, processos em execução, comandos executados, arquivos abertos e data/hora do
sistema operacional para posterior exame.
Ao examinar os dados coletados, a quantidade dos dados foi diminuída
consideravelmente, filtrando apenas as possíveis evidências que se mostravam necessárias
para análise.
E por fim, ao analisar os dados e informações coletadas e examinadas nas etapas
anteriores, foi possível definir e identificar os acontecimentos referentes ao ataque realizado à
Universidade, identificando pessoas, locais e eventos, sendo possível correlacionar às
evidências, descritas abaixo:
O Ataque foi realizado diretamente à UniversidadeABC, com o intuito de enganar os
alunos e através deles atingir a Universidade;
Foi utilizado um e-mail falso parecido ao da Universidade para dar início ao ataque;
Os e-mails foram enviados no mesmo dia aos alunos;
O atacante se passou por um funcionário da instituição sem que fosse percebido;
Utilizou do método de “Spear Phishing” para enganar os alunos;
Não foi possível identificar a real identidade do atacante.
Com isso, foi dado como concluída a investigação, relatando aos interessados os
resultados obtidos sobre o caso para que as possíveis providências fossem tomadas.
74
5.4 CONSIDERAÇÕES FINAIS
Conforme apresentado, as diretrizes foram aplicadas em cima do estudo de caso
realizado, tornando viável a utilização das mesmas, tendo a constatação e comprovação de um
ataque realizado à Universidade ABC.
Lembrando que as chances para identificação ou prevenção são mínimas, pois os
ataques não seguem um parâmetro e são feitos especificamente para pessoas ou instituições às
quais irá realizar o ataque.
Sendo assim, todos os passos foram seguidos conforme proposto no modelo e
determinaram o suspeito, quando ocorreu o ataque, e como o mesmo foi realizado.
Com esses parâmetros, os indícios de que a Universidade sofreu um possível ataque
direcionado ficou evidente, mostrando seus passos e momentos em que foram realizados,
porém não foi evidente a real identidade do atacante, por isso, não é garantido que o ataque
direcionado seja provado ou que seu realizador seja encontrado, devido à dificuldade em
encontrar provas reais do crime.
Após a análise, as provas são devidamente documentas, demonstrando os resultados
obtidos.
Conclui-se com isso, que as diretrizes propostas foram de grande ajuda para
investigação de ataques direcionados, obtendo os resultados esperados.
75
6 CONCLUSÃO
A segurança da informação tornou-se indispensável para qualquer organização e
usuários que utilizem tecnologias, que nos dias de hoje, são essenciais. O estudo de caso foi
planejado para validar as diretrizes propostas por este trabalho com o modelo forense para
investigação de ataques direcionados em organizações. Visto que o tempo disponível para tal
realização era escasso, o estudo foi controlado de modo a se produzir resultados rapidamente,
comprovando a viabilidade das diretrizes propostas.
Sabendo que ninguém está totalmente protegido devido ao alto índice de roubo de
informações digitais, bem como seus métodos ágeis e imperceptíveis a diversas organizações,
que vem ganhando destaque, a forense computacional existe para dar auxílio às investigações,
buscando indícios que comprovem possíveis ataques à organização.
Assim, para dar suporte as diretrizes propostas, foram estudados e definidos conceitos
sobre forense computacional, como quais procedimentos legais devem ser seguidos pelo
perito em uma análise, e suas metodologias para obtenção de evidências.
Também foram apresentados conceitos básicos de segurança, suas características e
mecanismos, bem como suas políticas de segurança, e por fim foram apresentados tipos de
ataques direcionados, seus métodos, suas características e seu funcionamento.
Com isso, foi possível obter toda fundamentação teórica, propondo diretrizes de
forense computacional para ser empregado durante a investigação de ataques direcionados,
podendo assim, direcionar os investigadores, lembrando que as chances para sua identificação
ou prevenção, são mínimas.
Desta forma, constatou-se que as diretrizes propostas baseadas no modelo forense são
de grande valia para o processo de investigação, e seguindo os procedimentos de maneira
correta, o processo se torna mais seguro e confiável, sendo possível encontrar indícios que
comprovem um crime digital.
76
6.1 TRABALHOS FUTUROS
A partir desse projeto, visto que foram alcançados seus objetivos, ficam como trabalhos
futuros:
A evolução das diretrizes propostas, aumentando sua viabilidade.
Amadurecer o modelo apresentado.
Aplica-lo em um ambiente corporativo.
77
REFERÊNCIAS
ALMEIDA, Aléxis Rodrigues. Como Funcionam os Exploits. 2008. Disponível em:
<http://www.invasao.com.br/2008/12/12/como-funcionam-os-exploits/>. Acesso em: 06 out.
2014.
ARANHA, Diego de Freitas. Tomando o Controle de Programas Vulneráveis a buffer
overflow. Universidade de Brasília, 2003. Disponível em:
<http://www.cic.unb.br/~rezende/trabs/buffer_overflow.htm>. Acesso em 22set. 2014
ARMBRUSTER, Hernán. Empresas podem lutar contra ataques direcionados?. 2013.
Disponível em: <http://www.b2bmagazine.com.br/index.php/opiniao/item/3297-empresas-
podem-lutar-contra-ataques-direcionados>. Acesso em 15 mai. 2015.
ATI, Agencia Estadual de Tecnologia da Informação. Formas de Ataque e Códigos
Maliciosos. Disponível em: < http://200.238.107.80/web/site-ati/formas-de-ataque-e-codigos-
maliciosos>. Acesso em: 23 set. 2014.
AZEVEDO, Marcelo Teireixa; Pegetti, Ana Luiza; DOS SANTOS, Kleyton Maia. Técnicas
de Perícia Forense como Ferramentas de Prevenção de Incidentes de Segurança.
Disponível em: <http://www.fals.com.br /revela16/artigo2_12.pdf>. Acesso em 28 ago.2014
BUSTAMANTE, Leonardo. Introdução a Computação Forense. Disponível em:
<http://imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense/>. Acesso em
28 ago.2014
CANSIAN, A. M. Conceitos para perícia forense computacional. VI ESCOLA
REGIONAL DE INFORMÁTICA DA SBC, 2001, São Carlos, SP. SP: ICMC/USP, 2001. p.
141-156.
CASEY, E. Investigating Sophisticated Security Breaches. New York: ACM, 2006. 49 v.
CERT.br. Cartilha de Segurança para Internet - Parte I: Conceitos de Segurança. Versão
3.1, 2006. Disponível em: <http://cartilha.cert.br>. Acesso em: 22 set. 2014.
CERT.br. Cartilha de Segurança para Internet - Códigos maliciosos (Malware).
Disponível em: <http://cartilha.cert.br/malware/>. Acesso em: 21 mar. 2015.
78
CERT.br. Cartilha de Segurança para Internet. Disponível em:
<http://cartilha.cert.br/glossario/>. Acesso em: 21 mar. 2015.
CHAVES, Carlos Henrique P. C.; MONTES, Antonio. Sistema de Detecção de Backdoors e
Canais Dissimulados. V Simposio Brasileiro em Segurança da Informação e de Sistemas
Computacionais, 2012. Disponível em: <http://gray-world.net/papers/sistema_deteccao.pdf>.
Acesso em: 22 set. 2014.
CLEMENTE, R. B. Técnicas da Forense Computacional para Coleta, Identificação e
Preservação de Evidência Digital na Análise Lógica em Ambiente Windows (NTFS).
Cuiabá–MT, 2009. Disponível em:
<http://www.ic.ufmt.br:8080/c/document_library/get_file?p_l_id=58070&folderId=59707&n
ame=DLFE-2303.pdf>. Acesso em: 20 out. 2014.
COMPUTERWOLRD. Uma em cada cinco empresas sofre ameaça avançada de
segurança. 2013. Disponível em: <http://computerworld.com.br/seguranca/2013/03/28/uma-
em-cada-cinco-empresas-sofre-ameaca-avancada-de-seguranca>. Acesso em: 15 mai. 2014.
DA SILVA, Aureo Ribeiro Vieira. A Segurança Cibernética no mundo corporativo:
proposta de um Planejamento Estratégico de Segurança Cibernética Corporativa.
Disponível em <http://www.abseg.com.br/downloads/premio-abseg2014-seguranca-
cibernetica-mundo-corporativo.pdf>. Acesso em: 27 ago. 2014.
DOULIGERIS, C.; MITROKOTSA, A. DDoS attacks and defense mechanisms:
classification and state-of-the-art. Comput. Netw. Elsevier North-Holland, Inc., New York,
NY, USA, v. 44, p. 643–666, April 2004. ISSN 1389-1286. Disponível
em:<http://dl.acm.org/citation.cfm?id=987153.987158>. Acesso em: 22 set. 2014.
SILVA, Antonio Mendes da Silva. Entendendo e Evitando a Engenharia Social:
Protegendo Sistemas e Informações. Revista Espaço Acadêmico – Nº 43 – Dezembro 2004
- Mensal – ISSN 1519-6186, 2004.
FREITAS, A. R. Perícia Forense Aplicada à Informática. Ed. Brasport, Brasil, 2006.
Disponível em: <http://pt.scribd.com/doc/58765369/Pericia-Forense-Aplicada-a-
Informatica#scribd >. Acesso em: 10 out. 2014.
GANGTE, Thanglalson. My Experiements with Hacking. 2013. Disponível em: <
http://www.gangte.net/2013/10/what-are-denial-of-service-dos-attacks.html>. Acesso em: 23
set. 2014.
79
GUIMARÃES, C. C.; Oliveira, F. S.; DOS REIS, M. A,; DE GEUS, P. L. Forense
Computacional: Aspectos Legais e Padronização. Disponível em:
<http://www.redes.unb.br/ceseg/anais/2001/14.pdf>. Acesso em: 20 out. 2014.
GUSMÃO, Gustavo. APTs: Conheça as ameaças que mudaram as empresas de
segurança. Disponível em: < http://exame.abril.com.br/tecnologia/noticias/apts-conheca-as-
ameacas-que-mudaram-as-empresas-de-seguranca>. Acesso em: 25 mai. 2015.
HOLPERIN, Marco; LEOBONS, Rodrigo. Análise Forense. 2007. Disponível em: <
http://www.gta.ufrj.br/grad/07_1/forense/index.html>. Acesso em: 28 out. 2014.
JAKOBSSON, Markus. Social Phishing. School of Informatics. Indiana University de
Bloomington. Estados Unidos, 2007. Disponível em: <http://www.markus-
jakobsson.com/publications/phishing>. Acesso em: 23 set. 2014.
KENT, K., CHEVALIER, S., GRANCE, T., DANG, H.; Guide to Integrating Forensic
Techniques into Incident Response: Recommendations of the national institute of standards
and technology. 2006. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-
86/SP800-86.pdf>. Acesso em: 28 out. 2014.
KUMARASAMY, S.; GOWRISHANKAR, A. An Active Defense Mechanism for TCP
SYN flooding attacks. CoRR, abs/1201.2103, 2012.
LAUFER, R. P. et al. Negação de Serviço: Ataques e Contramedidas. In: Livro Texto dos
Mini-cursos do V Simposio Brasileiro de Segurança da Informação e de Sistemas
Computacionais. Florianopolis, Brasil: (SBSeg’2005), 2005.
MACEDO, Diego. O que é a Computação Forense e sua Importância no Âmbito
Empresarial. Disponível em: <http://www.diegomacedo.com.br/o-que-e-a-computacao-
forense-e-sua-importancia-no-ambito-empresarial/?print=pdf>. Acesso em: 27 ago.2014
MACEDO, Neusa Dias de. Iniciação à pesquisa bibliográfica: Guia do estudante para a
fundamentação do trabalho de pesquisa. 2. ed. rev. São Paulo: Edições Loyola, 1996.
MADEIRA, Mauro Notarnicola. Forense Computacional. Palhoça: Unisul, 2012.
MALEBRA, César. Vulnerabilidades e Exploits: Técnicas, Detecção e Prevenção. UFRGS
2010. Disponível em:
<http://www.lume.ufrgs.br/bitstream/handle/10183/26337/00757768.pdf?sequence=1>.
Acesso em: 07 out. 2014.
80
MARTINS, Ricardo. Sniffer Spoofing: Ataques Monitorados. Disponível em:
<http://www.ricardomartins.com.br/sniffer-spoofing-ataques-monitorados/>. Acesso em: 23
set. 2014.
MENEGHEL, Luciana. IA368F – Tópicos em Engenharia de Computação V. Unicamp,
1998. Disponível em:
<http://www.dca.fee.unicamp.br/courses/IA368F/1s1998/Monografias/luciana.html>. Acesso
em: 23 set. 2014.
MITNICK, Kevin D. SIMON, William L. Mitnick: A Arte de Enganar. Makron Books.
2003.
MILLER, Russell. Ameaças Persistentes Avançadas: Como se Defender de Dentro para
Fora. Gerenciamento de segurança da CA Technologies. White Pape 2012. Disponível em: <
http://www.ca.com/~/media/Files/whitepapers/latam/CS2548_advanced_persistent_threats_w
p_0712_ptb.pdf>. Acesso em: 06 out. 2014.
MOURA, Lucas. Entenda o que é um exploit zero-day. 2013. Disponível em:
<http://www.baboo.com.br/software/entenda-o-que-e-um-exploit-zero-day/>. Acesso em: 08
mar. 2015.
MORIMOTO, Carlos E. Redes. 2008. Disponível em:
<http://www.hardware.com.br/livros/redes/exploits.html> Acesso em: 06 out. 2014.
McAfee, Part of Intel Security. Relatório do McAfee Labs sobre Ameaças. Agosto, 2014.
Disponível em: <http://www.mcafee.com/br/resources/reports/rp-quarterly-threat-q2-
2014.pdf?cid=BHP030>. Acesso em: 23 set. 2014.
NAKAMURA, E. T.; GEUS, P. L. Segurança de Redes em Ambientes Cooperativos. São
Paulo, S.P.: Berkiley, 2002.
NEVES. Gustavo. DDoS (Distributed Denial of Service). 2014. Disponível em:
<http://pt.slideshare.net/gustavonevesgn/ddos-ataque-de-negao-de-servio>. Acesso em: 14
out. 2015
NG, Reginaldo. Forense computacional corporativa. Rio de Janeiro: Brasport, 2007.
NORTON. Symantec. Spear Phishing: Um golpe, não um esporte. Disponível em:
<http://br.norton.com/spear-phishing-scam-not-sport/article>. Acesso em: 21 mar. 2015.
81
NUNES, C. H. F. Exploits e Ferramentas para sua Utilização. Faculdade de Tecnologia de
Ourinhos. 2011. Disponível em: <http://www.profissionaisti.com.br/wp-
content/uploads/2011/12/Exploit-e-ferramentas-para-sua-utiliza%C3%A7%C3%A3o.pdf>.
Acesso em: 07 out. 2014.
PEDROSA, Fábio. Introdução aos Exploits. Revista Programar. Disponível em:
<http://www.revista-programar.info/artigos/introducao-aos-exploits/>. Acesso em: 07 out.
2014.
PEIXOTO, Mario. Além do Phishing, Cuidado com o Pharming. Disponível em: <
http://webinsider.com.br/2010/07/07/alem-do-phishing-cuidado-com-o-pharming/>. Acesso
em: 23 set. 2014.
PEREIRA, E. D. V. et al. Forense Computacional: Fundamentos, Tecnologias e Desafios
Atuais. VII SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE
SISTEMAS COMPUTACIONAIS, 2007, Rio de Janeiro, 2007.
PINHEIRO, P. P. Direito Digital. 2ª. Ed. São Paulo: Editora Saraiva.
PRODANOV, Cleber Cristiano; FREITAS, Ernani Cesar. Metodologia do Trabalho
Cientifico: Métodos e Técnicas de Pesquisa e do Trabalho Acadêmico, 2 .ed. Rio Grande
do Sul: Editora Feevale, 2013.
QUEIROZ, Ruy J. Guerra B. de Queiroz. Forense Digital / Computacional. Centro de
Informática – UFPE. 2007. Disponível em:
<http://www.cin.ufpe.br/~ruy/crypto/seguranca/Forense_Computacional(UFPE).pdf>. Acesso
em: 27 ago. 2014
REIS, M. A. dos. Forense computacional e sua aplicação em segurança imunológica.
Campinas, SP: 2003. 241 p. Dissertação (Mestrado em Ciência da Computação) – Instituto de
Computação, Universidade Estadual de Campinas, 2003.
ROCHA. Rodrigo Caetano de Oliveira. Detecção em Tempo-Real de Ataques de Negação
de Serviço na Rede de Origem Usando um Classificador Bayesiano Simples. 2012.
Disponível em: <https://sites.google.com/site/rcorcs/technical-reports>. Acesso em 14 set.
2015.
RODRIGUES, William Costa. Metodologia Cientifica. FAETEC/IST, Paracambi, 2007.
Disponível em:
<http://professor.ucg.br/siteDocente/admin/arquivosUpload/3922/material/Willian%20Costa
%20Rodrigues_metodologia_cientifica.pdf>. Acesso em: 23 out. 2014.
82
ROMERO, Luiz Carlos; KACUTA, Luiz Yukishigue; DE OLIVEIRA, Viviane Luciana.
MP202 – Segurança da Informação. Tipos de Ataques. Campinas: Unicamp, 2003.
Disponível em:
<http://www.ic.unicamp.br/~rdahab/cursos/mp202/Welcome_files/trabalhos/Ataques/texto/Ti
pos_Ataque.pdf>. Acesso em: 16set. 2014
ROMERO, Fernando. APT – A Proteção é Difícil mas não Impossível. Disponível em:
<http://www.tiespecialistas.com.br/2012/11/apt-a-protecao-e-dificil-mas-nao-impossivel/>.
Acesso em: 14 out. 2014.
SAB, Gabriel. A. A; Rafael C. F; Rafael G. R. Negação de Serviço, Negação de Serviço
Distribuída e Botnets. UFRJ, 2013. Disponível em: <
http://www.gta.ufrj.br/grad/13_1/dos/ataques.html>. Acesso em: 16 abr. 2014.
SINGEL, Ryan. Saiba Como Funciona um Ataque Dia Zero. Disponível em:
<http://pcworld.com.br/reportagens/2007/04/02/idgnoticia.2007-04-02.7197682969/>. Acesso
em: 07 out. 2014.
SPECHT, S. M. Distributed denial of service: taxonomies of attacks, tools and
countermeasures. In: Proceedings of the International Workshop on Security in Parallel and
Distributed Systems, 2004. [S.l.: s.n.], 2004. p. 543–550.
SUN, C.: FAN, J.; LIU, B. A Robust Scheme to Detect SYN Flooding Attacks. In:
Communications and Networking in China, 2007. CHINACOM ’07. Second Internation
Conference on. Shanghai: IEEE, 2007. p. 397- 401.
TACIO, Paulo. Linux Forense em Português – Brasil. 2011. Disponível em:
<http://www.mundodoshackers.com.br/linux-forense-em-portugues-brasil>. Acesso em: 11
abr. 2015.
TOLEDO, Alex Sander de Oliveira; SOUZA, Robert. Perícia Forense Computacional:
Análise de Malware em Forense Computacional utilizando de Sistema Operacional
GNU/Linux. 2012. Disponível em: <http://blog.newtonpaiva.br/pos/wp-
content/uploads/2012/06/pdf-e5-ss28.pdf>. Acesso em: 21 nov. 2014.
TRENDMICRO. Como Identificar Sinais de um Ataque Direcionado. 2014. Disponível
em: <http://idgnow.com.br/ti-corporativa/2014/08/21/como-identificar-sinais-de-um-ataque-
direcionado/>. Acesso em: 10 out. 2014
U.S. Department of Justice. Electronic Crime Scene Investigation: A Guide for First
Responders, Second Edition. 2001. Disponivel em:
<http://www.ncjrs.gov/pdffiles1/nij/219941.pdf>. Acesso em: 28 out. 2014.
83
VACCA, J. R. Computer Forensics: Computer crime scene investigation, Second Edition.
Ed. Charles River Media, Hingham, 2005.
VARGAS, Raffael. Perícia Forense Computacional e Metodologias para Obtenção de
Evidências. 2007. Disponível em: <http://imasters.com.br/artigo/6225/gerencia-de-ti/pericia-
forense-computacional-e-metodologias-para-obtencao-de-evidenvias/>. Acesso em: 23 set.
2014.
YIN, Robert K. Case Study Research: design and methods. Traduzido por: Ricardo L. P.
Adaptado por: Gilberto de A. M. Disponível em
<http://www.eac.fea.usp.br/eac/observatorio/metodologia-estudo-caso.asp>. Acesso em: 27
out. 2014.
84
APÊNDICE – CRONOGRAMA
Etapas
Agosto Setembro Outubro Novembro
Correções
Solicitadas
Desenvolvimento
do modelo
forense “para
análise de
ataques
direcionados”.
Estudo de Caso
Avaliação dos
Resultados
aplicados no
estudo de caso
Conclusões
Finais
Elaboração da
Apresentação
Defesa do
Trabalho
Top Related