Grupo Lógica de Programação
ESTAMOS EM CONSTRUÇÃO - DESENVOLVIMENTO


Seja Bem Vindo ao Forum Grupo Lógica de Programação é uma satisfação recebê-los aqui.. espero que gostem desse espaço que foi feito para todos nós PROGRAMADORES.. Então venha fazer Parte deste Time tambem.. Saiba que este Forum foi feito com muita dedicação para o bem estar de todos vocês.. Então Registre-se e Decole no Mundo da Programação.....
Ao se Registrar você tem direito a participar do CHAT que só é visivel ao membros registrados. e pode bater papo com algum outro membro que estiver on line.. caso tenha alguma duvida pode olhar no Menu FAQ as perguntas mais recentes.
Bons Estudos é o que deseja todos nós que fazemos o GRUPO LÓGICA DE PROGRAMAÇÃO acontecer...

(EL MENSAJERO [FUNDADOR])

Saiba um Pouco sobre a Computação FORENSE

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Saiba um Pouco sobre a Computação FORENSE

Mensagem por Sergio Lucas em Dom 29 Ago 2010, 14:06

O Que é Computação FORENSE?

Sabemos que a ciência é um sistema de conhecimentos que abarca verdades, especialmente obtidas e testadas através do método científico referindo-se tanto à investigação racional ou estudo da natureza, direcionados à descoberta da verdade.

Sabemos, também, que a ciência da computação estuda os algoritmos e suas aplicações, bem como as estruturas matemáticas indispensáveis à formulação precisa dos conceitos fundamentais da teoria da computação. O objetivo principal da computação forense é buscar extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais do fato.

A computação forense pode ser definida como uma coleção e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento de forma que sejam admitidas em juízo. As evidências que um criminalista encontra geralmente não podem ser vistas a olho nu e são dependentes de ferramentas e meios para obtê-las. Cabe ao profissional de informática coletar as evidências de modo que sejam admitidas em juízo, para isso produzindo um laudo pericial.

Como a prática forense é a aplicação de técnicas científicas dentro de um processo legal e envolvem pesquisadores altamente especializados que localizam vestígios, nasce a figura do perito em informática. Este profissional depende de conhecimentos altamente especializados com uma sólida formação acadêmica e vasta experiência profissional.

Com o advento do uso maciço de computadores, seja no ambiente residencial, empresarial, industrial ou acadêmico, a computação forense ajuda a esclarecer fatos na ocorrência de um crime e outras questões referentes à computação. A computação forense continua ascendendo tendo em vista que, cada vez mais, a sociedade faz uso dos computadores.

Como conseqüência, a demanda por peritos especialistas em informática está aumentando cada vez mais. Segundo analistas de mercado, a demanda por estes profissionais tende a aumentar, pois se tem percebido enorme demanda destes profissionais nos Tribunais de Justiça, onde são envolvidas questões sobre procedimentos ilegais em computadores corporativos.

O perito em informática é chamado pela Justiça para oferecer laudos técnicos em processos judiciais, nos quais podem estar envolvidos pessoas físicas, jurídicas e órgãos públicos. O laudo técnico escrito é assinado pessoalmente pelo perito e passa a ser uma das peças (meio de prova) que compõem um processo judicial.

Desejo, a partir deste, iniciar uma série de artigos que abordarão os temas inerentes a computação forense. O próximo artigo terá um cunho mais técnico onde será demonstrado como coletar evidências, bem como alguns aspectos legais sobre o tema. Espero, com esta série de artigos, expor aos demais profissionais de informática um novo campo de atuação.
Para isso, dediquei esforços para reunir uma gama de materiais, oriunda de uma ampla literatura, cujos temas serão abordados nos próximos artigos, conforme sugestão a seguir:

Coletando evidências
Preparando o ambiente de trabalho
Novo campo de atuação do profissional de informática
Sistemas de arquivos
Recuperação de dados e e-mails
Aspectos Legais
Certificação e Formação
Equipamentos e Softwares
Normas e Auditoria
Ética e Legislação
Crimes na era digital

Não obstante, serão apresentados temas com uma linguagem técnica mais apropriada e os temas poderão ser subdivididos para, com isso, tentar fomentar algumas discussões não só no campo da computação como também em outras áreas de conhecimento, em especial o Direito.

"O dever de um perito é dizer a verdade; no entanto, para isso é necessário: primeiro saber encontrá-la e, depois querer dizê-la. O primeiro é um problema científico, o segundo é um problema moral."
Nerio Rojas


Aprofundando-se na atuação de um perito FORENSE


Com o crescimento alto de crimes e fraudes virtuais surgiu uma profissão, a profissão do perito, mas não estamos falando de um perito químico forense ou alguma profissão do tipo, estamos falando do perito forense computacional, que estuda fraudes e crimes virtuais a procura do autor.

Podemos citar alguns crimes e fraudes como:
Pedofilia (via internet)
Spam
Phishing
Roubo
Desvio de verba
Entre muitos outros.

Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).

O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:

Versões antigas dos serviços rodando nos servidores:
SQL Injection
XSS - Cross Site Scripting

Entre muitos outros.

Daí você me pergunta:

Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?

R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.

Voltando ao M.O. ...

Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).

E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:

"Owned by def4c3r".

Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.

Inicialmente jazeremos buscas simples, algo como em:
Google
Cadê
Alta vista

e outros, fica a critério esta parte, mas é bom fazer um "pente fino".

Também é importante fazer buscas em redes sociais como:
Orkut
Facebook
Twitter
etc


A Busca como é realizada?

Ok, após realizarmos parte da busca entramos alguém que usa como apelido "def4c3r", só que não temos certeza se esta realmente é a pessoa que estamos procurando, agora, vamos filtrar um pouco e fazer uma busca mais detalhada sobre esta pessoa achada, para termos certeza do que estamos fazendo.

Podemos agora, buscar sobre informações sobre esta pessoa, algo como:

Procurar descobrir o histórico da pessoa na WEB (se tem ligação profunda com informática, se gosta deste tipo de coisa...).

Tentar se aproximar e fazer uma amizade para descobrir o máximo de informações possíveis.

Verificar em fóruns para verificar se o usuário tem contato com esse lado da informática (Blackhat, deface, cracking...).

Depois de descobrir bastante coisa sobre a pessoa, vamos agora ter certeza:
Verificar o endereço de IP nos logs
Descobrir a localidade e o provedor que o usuário utiliza
Entrar em contato com o provedor a procura de informações sobre o usuário (tenha uma autorização)

Daí assim que lemos "Verificar o endereço de IP nos logs" surge a pergunta:

"E se o cracker estiver usando proxy?"

R: Existem ferramentas forenses para identificar o IP real do suspeito, independente de proxy público ou não (da mesma forma que existem técnicas anti-forense para ocultar rastros, mas não vem ao caso agora).

Meu site foi invadido, o que devo fazer?

Não mexa em nada, pois esta será a cena do crime e será onde o perito analisará a procura de pistas para chegar até o atacante (ler na página 1 do artigo).

Por segurança, tenha sempre um backup dos seus arquivos no servidor, como: páginas, programas hospedados, banco de dados etc.


Chegamos até a casa do suspeito, e agora?
Realizando todo o trabalho da perícia e todo o processo investigativo, que pode demorar meses e até anos após termos realmente certeza se o rastro que estamos seguindo é mesmo do criminoso que estamos procurando, vamos agora analisar a outra cena, que chamaremos de "arma do crime", que é de onde partiu o ataque (casa do suspeito).

Vamos começar "sacando" as nossas ferramentas forenses para verificar qual tipo de ferramenta foi utilizada, algo como:
Scanners de vulnerabilidade
Scanners de porta
Ferramentas para ataque (brute force, por exemplo)
Dicionários de senhas ou world list
Exploits
Entre outros, a lista é grande!

Procuraremos no registro, caso haja, logs do bash:

/home/usuário/.bash_history

Ou do root, é claro: Wink

/root/.bash_history

No Windows podemos verificar no Regedit, no "C:\arquivos de programas..." aquela coisa toda, para vermos se tem algum diretório de algum programa cracker, que talvez o suspeito tenha desinstalado, mas tenha ficado algo para trás.

Os registros que poderiam incriminar o suspeito foram deletados! E agora?

Existem ferramentas forenses que permitem recuperar dados e arquivos deletados, estas ferramentas fazer uma "varredura pente fino" no HD.

Podemos citar algumas destas ferramentas como:

TheSleuthKit e Autopsy - Fazem uma análise no sistema de arquivos e podem ser utilizadas para determinar se será necessária uma providência e onde.

FileScavenger - Bem útil e prático.

Foremost - Bom, porém um pouco mais limitado que os outros, mas faz o que promete, quando é para recuperar estes arquivos deletados, independente da extensão e tipo. E também faz uma varredura pelo disco e não simplesmente se baseia pela lista de arquivos. Os nomes vêm, então, inventados, pois ele não utiliza a tal lista de arquivos.

ff3hr - Recupera o histórico do Firefox, que é bem útil em uma perícia.

Porque recuperar/analisar o histórico do navegador?

Podemos verificar se o suporto atacante visitou o site invadido, antes, depois ou no dia do ataque ocorrido.

É isso, com essas informações obtidas, poderíamos ter certeza se este era o tal vândalo vulgo "def4c3r", e, poderíamos levá-lo a justiça para que seja tomada as opções cabíveis.

Bom pessoal isso foi uma introdução sobre Computação Forense os peritos são bons mesmo! mais detalhes sobre computação forense é só pesquisar no Google.. em breve postaremos mais assuntos relacionados a FORENSE que é um grande avanço na resolução de Crimes de informática.. Diga não a PEDOFILIA! se souber de algum caso
denuncie não deixe que essas pessoas abusem de nossas Crianças elas que são o Futuro da nossa Geração... Até mais!

FONTE.: VIVAOLINUX
avatar
Sergio Lucas
Admin
Admin

Mensagens : 80
Pontos : 308
Reputação : 20
Data de inscrição : 30/06/2010
Idade : 31
Localização : Pernambuco

http://grupologica.forumslog.com

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum