Computação Forense

Introdução

O aumento do número de ataques a sistema de computadores vem crescendo diariamente.

Isso acontece por que os sistemas não são desenvolvidos de forma segura, ou seja os sistemas possuem falhas de segurança de fábrica

A computação forense vem de encontro ao que diz respeito ao descobrir o que, onde e como foi feita tal invasão.

Sinais de invasões

- Hackers Habilidosos.

- Hackers Iniciantes.

- Novos Usuários no Sistema.

- Execução de processos estranhos.

- Utilização Inexplicável da CPU.

- O Ambiente parece estranho.

Como identificar os atacantes

Existem dois perfis básicos de atacantes, são eles:

Internos

- Questões pessoais

- Acesso a recursos privilegiados

- Vantagens Financeiras

Externos

- Vandalismo

- Auto-Afirmação

- Busca por reconhecimento

Ameaças

- Fácil acesso às ferramentas

- Os Script Kiddies procuram por vulnerabilidade

- Não existe horário definido para ser alvo de um ataque, ou mesmo de um scan

Técnicas para perícia

Auditoria de logs dos aplicativos dos sistemas.

Análise de arquivos e diretórios incluindo o nome de arquivos deletados.

Visualização do conteúdo de arquivos suspeitos.

Datas de arquivos acessados, alterados e deletados.

Seqüência de eventos.

Efetuar análise física e lógica em cima dos dados levantados nas etapas antecessoras sem alterar o conteúdo original.

Análise física

São investigados os dados brutos da mídia de armazenamento.

Análise é feita em cima da imagem pericial ou na cópia restaurada das provas.

Dados comumente investigados:

- Todas as urls encontradas na mídia.

- Todos os endereços de e-mail encontrados na mídia.

- Todas as ocorrências de pesquisa de sequencia com palavras sensíveis a caixa alta e baixa.

Análise lógica

Erros comumente cometidos.

Como efetuar a análise lógica sem alterar os dados?

Análise de logs

Extremamente importante que a cultura de auditoria de logs esteja disseminada entre os administradores da rede.

Para rastrear os fatos é importante que o profissional atue com um espião e não veja os dados como um usuário.

Para isso, é necessário que ele reconstrua construa os históricos dos:

- Usuários

- Processos

- Situação da Rede

- Acesso a Serviços

Análise de tráfego

O processo de arquivamento do tráfego de rede com auxílio de ferramentas de captura de pacotes gera a primeira camada de informação forense: isto é, a carga de tráfego com o passar do tempo.

Obtenção de evidências

Grande aumento no número de fraudes e crimes eletrônicos com o passar do tempo.

Identificação

Preservação

Análise

Apresentação

Exemplo prático

Investigando um servidor Web

Tipos de ataque

- Negação de serviço

- Site defacement

- Roubo de produto ou informação

Métodos para investigação de um possível ataque.

Principais entidades

- IOCE (International Organization on Computer Evidence);

- HTCIA (High Technology Crime Investigation Association);

- SWGDE (Scientific Working Group on Digital Evidence);

- IACIS(International Associantion of Computer investigatibe specialists);

- SACC (Seção de Apuração de Crimes por Computador);

Principais entidades no Brasil

- NBSO(Network Information Center(NIC) - Brazilian Security Office);

- CAIS(Centro de Atendimento a Incidentes de Segurança);

- GT-S(Grupo de Trabalho em segurança do comitê gestor da internet brasileira)

Carreira

- Perito Criminal

- Consultor Independente

- Funcionário público

Conclusão

A melhor solução para evitar o acesso indevido a informação é implementar sempre uma política clara e concisa de uso e de auditoria (Constante) do sistema.

A análise forense computacional vem a auxiliar na descoberta de falhas de segurança, a fim de que possam ser tomadas de falhas de segurança, a fim de que possam ser tomadas as providências para sanar tais falhas e identificar os culpados.