Ok, após realizarmos parte da busca entramos alguém que usa como apelido "def4c3r", só que não temos certeza se esta realmente é a pessoa que estamos procurando, agora, vamos filtrar um pouco e fazer uma busca mais detalhada sobre esta pessoa achada, para termos certeza do que estamos fazendo.

Podemos agora, buscar sobre informações sobre esta pessoa, algo como:

Procurar descobrir o histórico da pessoa na WEB (se tem ligação profunda com informática, se gosta deste tipo de coisa...).

Tentar se aproximar e fazer uma amizade para descobrir o máximo de informações possíveis.

Verificar em fóruns para verificar se o usuário tem contato com esse lado da informática (Blackhat, deface, cracking...).

Depois de descobrir bastante coisa sobre a pessoa, vamos agora ter certeza:

• Verificar o endereço de IP nos logs
• Descobrir a localidade e o provedor que o usuário utiliza
• Entrar em contato com o provedor a procura de informações sobre o usuário (tenha uma autorização)

Daí assim que lemos "Verificar o endereço de IP nos logs" surge a pergunta:

"E se o cracker estiver usando proxy?"

R: Existem ferramentas forenses para identificar o IP real do suspeito, independente de proxy público ou não (da mesma forma que existem técnicas anti-forense para ocultar rastros, mas não vem ao caso agora).

Meu site foi invadido, o que devo fazer?

Não mexa em nada, pois esta será a cena do crime e será onde o perito analisará a procura de pistas para chegar até o atacante (ler na página 1 do artigo).

Por segurança, tenha sempre um backup dos seus arquivos no servidor, como: páginas, programas hospedados, banco de dados etc.

Chegamos até a casa do suspeito, e agora?

Realizando todo o trabalho da perícia e todo o processo investigativo, que pode demorar meses e até anos após termos realmente certeza se o rastro que estamos seguindo é mesmo do criminoso que estamos procurando, vamos agora analisar a outra cena, que chamaremos de "arma do crime", que é de onde partiu o ataque (casa do suspeito).

Vamos começar "sacando" as nossas ferramentas forenses para verificar qual tipo de ferramenta foi utilizada, algo como:

• Scanners de vulnerabilidade
• Scanners de porta
• Ferramentas para ataque (brute force, por exemplo)
• Dicionários de senhas ou world list
• Exploits
• Entre outros, a lista é grande!

Procuraremos no registro, caso haja, logs do bash:

/home/usuário/.bash_history

Ou do root, é claro: ;)

/root/.bash_history

No Windows podemos verificar no Regedit, no "C:\arquivos de programas..." aquela coisa toda, para vermos se tem algum diretório de algum programa cracker, que talvez o suspeito tenha desinstalado, mas tenha ficado algo para trás.

Os registros que poderiam incriminar o suspeito foram deletados! E agora?

Existem ferramentas forenses que permitem recuperar dados e arquivos deletados, estas ferramentas fazer uma "varredura pente fino" no HD.

Podemos citar algumas destas ferramentas como:

TheSleuthKit e Autopsy - Fazem uma análise no sistema de arquivos e podem ser utilizadas para determinar se será necessária uma providência e onde.

FileScavenger - Bem útil e prático.

Foremost - Bom, porém um pouco mais limitado que os outros, mas faz o que promete, quando é para recuperar estes arquivos deletados, independente da extensão e tipo. E também faz uma varredura pelo disco e não simplesmente se baseia pela lista de arquivos. Os nomes vêm, então, inventados, pois ele não utiliza a tal lista de arquivos.

ff3hr - Recupera o histórico do Firefox, que é bem útil em uma perícia. Eu já até postei uma dica sobre ele:

• Perícia Forense - Recuperar histórico do Firefox com o ff3hr

Porque recuperar/analisar o histórico do navegador?

Podemos verificar se o suporto atacante visitou o site invadido, antes, depois ou no dia do ataque ocorrido.

É isso, com essas informações obtidas, poderíamos ter certeza se este era o tal vândalo vulgo "def4c3r", e, poderíamos levá-lo a justiça para que seja tomada as opções cabíveis.

Obs.: Isto foi só uma breve introdução sobre como funciona e ocorre uma perícia Forense, não há qualquer forma de garantia.

Espero que tenham gostado da leitura, desculpem qualquer erro ou coisa do tipo.