Computação Forense - Entendendo uma perícia
Neste artigo conheceremos um pouco mais sobre uma perícia forense e um pouco sobre ataques e técnicas de rastreabilidade.
[ Hits: 36.563 ]
Por: André em 23/03/2010 | Blog: http://127.0.0.1
Introdução
Dados iniciais:
Tema: Computação Forense Artigo: Computação Forense - Entendendo uma perícia Autor: André S. Rosa Junior Site: www.juniorlinux.com.br E-mail (eletronic mail) : junior@juniorlinux.com.br
Com o crescimento alto de crimes e fraudes virtuais surgiu uma profissão, a profissão do perito, mas não estamos falando de um perito químico forense ou alguma profissão do tipo, estamos falando do perito forense computacional, que estuda fraudes e crimes virtuais a procura do autor.
Podemos citar alguns crimes e fraudes como:
Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).
O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:
Versões antigas dos serviços rodando nos servidores:
Daí você me pergunta:
Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?
R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.
Voltando ao M.O. ...
Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).
E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:
"Owned by def4c3r".
Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.
Inicialmente jazeremos buscas simples, algo como em:
Também é importante fazer buscas em redes sociais como:
Tema: Computação Forense Artigo: Computação Forense - Entendendo uma perícia Autor: André S. Rosa Junior Site: www.juniorlinux.com.br E-mail (eletronic mail) : junior@juniorlinux.com.br
Podemos citar alguns crimes e fraudes como:
- Pedofilia (via internet)
- Spam
- Phishing
- Roubo
- Desvio de verba
- Entre muitos outros.
Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).
O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:
Versões antigas dos serviços rodando nos servidores:
- SQL Injection
- XSS - Cross Site Scripting
- Entre muitos outros.
Daí você me pergunta:
Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?
R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.
Voltando ao M.O. ...
Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).
E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:
"Owned by def4c3r".
Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.
Inicialmente jazeremos buscas simples, algo como em:
- Cadê
- Alta vista
- e outros, fica a critério esta parte, mas é bom fazer um "pente fino".
Também é importante fazer buscas em redes sociais como:
- Orkut
- etc
Páginas do artigo
1. Introdução2. A busca
Outros artigos deste autor
SDL e C - Uma dupla sensacional
Acessando o Linux via SSH através do Android
Linux e Windows: Quebrando Estereótipos
Deixando o Debian redondo após instalação
Leitura recomendada
Introdução ao Conceito de Hardening
Servidor SSH (Secure Shell Hosting)
Instalação do certificado digital token utilizado pela OAB-SP no Fedora 39
Verificação de integridade de arquivos - Ferramenta OSSEC
Ataque de Rougue AP com AIRBASE-NG
Comentários
[1] Comentário enviado por valterrezendeeng em 23/03/2010 - 12:55h
Bom Artigo.
Da uma boa visão geral.
Gostaria de mais informações de como colocar " a mão na massa"
Bom Artigo.
Da uma boa visão geral.
Gostaria de mais informações de como colocar " a mão na massa"
[2] Comentário enviado por andrezc em 23/03/2010 - 22:40h
Olá Valter,
nos próximos artigos sobre Forense, estarei aprofundando mais nas ferramentas e na prática.
Abraços.
Olá Valter,
nos próximos artigos sobre Forense, estarei aprofundando mais nas ferramentas e na prática.
Abraços.
[3] Comentário enviado por removido em 23/03/2010 - 22:44h
Pra quem quiser brincar:
http://www.fdtk.com.br/wordpress/
Não vou opiniar pois nunca tirei tempo pra testar, mas fica a dica.
Pra quem quiser brincar:
http://www.fdtk.com.br/wordpress/
Não vou opiniar pois nunca tirei tempo pra testar, mas fica a dica.
[4] Comentário enviado por hugutux em 24/03/2010 - 11:50h
muito bom isso, da pra ter um conhecimento legal de como as coisas funcionam nesses casos!
muito bom isso, da pra ter um conhecimento legal de como as coisas funcionam nesses casos!
[5] Comentário enviado por VoraZBR em 24/03/2010 - 14:31h
Interessantíssimo seu artigo amigo,
Com certeza vai ser de grande esclarecimento para o pessoal mais leigo em forense.
[]'s
Interessantíssimo seu artigo amigo,
Com certeza vai ser de grande esclarecimento para o pessoal mais leigo em forense.
[]'s
[6] Comentário enviado por andrezc em 24/03/2010 - 20:43h
Olá Hugo, VoraZBR.
Fico feliz que tenham gostado do artigo e do tema do mesmo. Em breve estarei escrevendo mais sobre o assunto, um abraço.
Olá Hugo, VoraZBR.
Fico feliz que tenham gostado do artigo e do tema do mesmo. Em breve estarei escrevendo mais sobre o assunto, um abraço.
[7] Comentário enviado por fnx-15 em 24/03/2010 - 20:47h
eu nao entendo muito mais me ajudou a coonprender mais o forense
eu nao entendo muito mais me ajudou a coonprender mais o forense
[8] Comentário enviado por andrezc em 24/03/2010 - 21:50h
Olá Maikon;
Fico feliz que tenha gostado do artigo, em breve, como eu havia dito, mais artigos sobre Forense computacional.
Olá Maikon;
Fico feliz que tenha gostado do artigo, em breve, como eu havia dito, mais artigos sobre Forense computacional.
[9] Comentário enviado por removido em 27/03/2010 - 11:31h
Investigadores computacionais sempre devem estar à frente, avançando.
Esses fraudadores profissionais ganham a vida assim, verdadeiros parasitas sociais.
Parabéns Júnior!!!
Investigadores computacionais sempre devem estar à frente, avançando.
Esses fraudadores profissionais ganham a vida assim, verdadeiros parasitas sociais.
Parabéns Júnior!!!
[10] Comentário enviado por removido em 27/03/2010 - 13:28h
Infelizmente, nossa constituição não caracteriza todos os tipos de crime virtuais, então nem sempre é possível punir alguém que nos causou danos materiais como perda de dados ou destruição de uma web-page. Por isso, é preciso se defender o máximo possível e esperar nunca ter que usar a computação forense, que normalmente é utilizada após o dano ter sido feito.
Infelizmente, nossa constituição não caracteriza todos os tipos de crime virtuais, então nem sempre é possível punir alguém que nos causou danos materiais como perda de dados ou destruição de uma web-page. Por isso, é preciso se defender o máximo possível e esperar nunca ter que usar a computação forense, que normalmente é utilizada após o dano ter sido feito.
[11] Comentário enviado por removido em 30/03/2010 - 19:02h
Parabéns pelo artigo!
Esses artigos são o que me influenciam cada vez mais a seguir an área de segurança!
Acho uma pena não termos uma lei específica para esse tipo de crime e tantos outros crimes virtuais. Agora que o Brasil está dando seus primeiros passos na Segurança da Informação e com certeza bons profissionais será essencial!
Parabéns pelo artigo!
Esses artigos são o que me influenciam cada vez mais a seguir an área de segurança!
Acho uma pena não termos uma lei específica para esse tipo de crime e tantos outros crimes virtuais. Agora que o Brasil está dando seus primeiros passos na Segurança da Informação e com certeza bons profissionais será essencial!
[12] Comentário enviado por fernandopinheiro em 07/07/2010 - 17:36h
Parabens pelo artigo, Bem simples mas com bom conteudo!!
Parabens pelo artigo, Bem simples mas com bom conteudo!!
[13] Comentário enviado por danilobs em 03/01/2011 - 20:37h
Ótimo artigo, concordo com o fernandopinheiro, embora seja simples é muito explicativo.
Muito bom!
Abraço!
Ótimo artigo, concordo com o fernandopinheiro, embora seja simples é muito explicativo.
Muito bom!
Abraço!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Dicas
Encontre seus arquivos facilmente com o Drill
Mouse Logitech MX Ergo Advanced Wireless Trackball no Linux
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Tópicos
Não consigo instalar o WineHQ no meu notebook vaio FE15 (Debian) (7)
Top 10 do mês
-
Xerxes
1° lugar - 66.379 pts -
Fábio Berbert de Paula
2° lugar - 51.066 pts -
Mauricio Ferrari
3° lugar - 14.864 pts -
Alberto Federman Neto.
4° lugar - 13.558 pts -
Daniel Lara Souza
5° lugar - 13.384 pts -
Diego Mendes Rodrigues
6° lugar - 12.398 pts -
Buckminster
7° lugar - 12.109 pts -
edps
8° lugar - 11.448 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.505 pts -
Andre (pinduvoz)
10° lugar - 10.091 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
