Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)
Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.
[ Hits: 65.514 ]
Por: Matuzalém Guimarães em 03/01/2009
Referências
http://www.chkrootkit.org/papers/chkrootkit-ssi2001.pdf
Acessado em 01 de dezembro de 2008 às 00:09.
BORCHARDT, Mauro Augusto; Uma Arquitetura para a Autenticação Dinâmica de Arquivos. Dissertação (Mestrado) - Pontifícia Universidade Católica do Paraná; 2002 disponível em:
http://www.ppgia.pucpr.br/teses/DissertacaoPPGIa-MauroBorchardt-112002.pdf
Acessado em 29 de novembro de 2008 às 21:53
NEMETH, Evi; SNYDER, Garth; SEEBASS, Scaott; HEIN, Trent R.; Manual de Administração do Sistema UNIX; 3ª Edição, Traduzida, Artmed Editora S.A: 2001.
HEISER, Jay G.; KRUSE, Warren G. II; Computer Forensics Incident Response Essentials. Addison-Wesley: New York, 2001.
CAGNANI, Caio; SANTOS, Valdecir de Deus dos; Computação Forense: Fundamentos. Universidade do Vale do Rio dos Sinos; UNISINOS; disponível em:
http://www.exatec.unisinos.br/~glaucol/arquivos/Artigo_-_Forense(Caio_e_Valdecir).pdf
Acessado em 30 de novembro de 2008.
JUNIOR, Arnaldo Candido; SAÚDE, Almir Moreira; CANSIAN, Adriano Mauro; Técnicas e Ferramentas Utilizadas em Análise Forense. Disponível em:
ftp://anonymous@ftp.registro.br/pub/gts/gts0205/05-tech-tools-forensics.pdf
Acessado em 30 de novembro de 2008, as 21:27.
CSIRT, Security Incident Response Team; RNP, Rede Nacional de Pesquisa; Analisadores de Log. Disponível em:
http://homepages.dcc.ufmg.br/~marcsg/Arquivos/apres_logs.pdf
Acessado em 30 de novembro de 2008 às 23:10.
FARMER, Dan; VENEMA, Wietse; Forensic Discovery; Addison-Wesley Professional; 1ª edição, 2005.
SOLHA, Liliana Esther Velásquez Alegre; Os Logs como Ferramenta de Detecção de Intrusão. Boletim bimestral sobre tecnologia de redes produzido e publicado pela Rede Nacional de Ensino e Pesquisa (RNP), 19 de maio de 1999, volume 3, número 3. Disponível em:
http://www.rnp.br/newsgen/9905/logs.html
Acessado em 01 de dezembro de 2008 às 00:19.
2. Ferramentas para coleta de dados
3. Análise dos dados
4. Identificação do invasor
5. Referências
NFS rápido e direto usando Slackware 12
Estudantes de computação e o Linux/Unix
Segurança da Informação na Internet
Instalando Free Pascal Compiler no Ubuntu
Instalação do ClamAV com DazukoFS
Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux
Enviando e recebendo e-mails criptografados através do Thunderbird
Assinatura e criptografia de dados com GPG
Arquivo de configuração do mod_security
Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:
- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.
Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)
[]s
Anderson
Olá Anderson,
Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.
Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.
2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.
3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.
Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!
Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura
Patrocínio
Destaques
Artigos
O que é o THP na configuração de RAM do Linux e quando desabilitá-lo
Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Dicas
Como unir duas coleções de ROMs preservando as versões traduzidas (sem duplicatas)
Como instalar o Telegram Desktop no Ubuntu 24.04
Overclocking Permanente para Drastic no Miyoo Mini Plus
Problemas de chaves (/usr/share/keyrings) no Debian
Converter os repositórios Debian para o novo formato com as chaves
Tópicos
Problema com audio apos upgrade (1)
Programa simples pra cortar vídeos [RESOLVIDO] (7)
Instalação automatizada do Debian 12 em UEFI (1)
Top 10 do mês
-
Xerxes
1° lugar - 67.842 pts -
Fábio Berbert de Paula
2° lugar - 39.594 pts -
Buckminster
3° lugar - 20.361 pts -
Mauricio Ferrari
4° lugar - 14.767 pts -
Sidnei Serra
5° lugar - 13.484 pts -
Alberto Federman Neto.
6° lugar - 13.041 pts -
edps
7° lugar - 12.152 pts -
Daniel Lara Souza
8° lugar - 12.138 pts -
Diego Mendes Rodrigues
9° lugar - 10.422 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.376 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
