Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.

[ Hits: 64.837 ]

Por: Matuzalém Guimarães em 03/01/2009


Identificação do invasor



A identificação do atacante em um sistema Unix perpassa por uma série de possíveis análises, sendo a análise de logs a que permite uma comprovação mais eficiente em se tratando de invasões de sistemas Unix com quaisquer outros objetivos.

Segundo Soalha (1999) sistemas configurados de forma correta podem colaborar na identificação do invasor. Durante a análise de logs são identificados os endereços de origem das tentativas de ataques, bem como conexões usadas durante a invasão propriamente dita. Os sistemas Unix normalmente armazenam seus arquivos de log no diretório "/var/log".

A seguir são apresentados alguns dos arquivos de log encontrados neste diretório, sua descrição e será evidenciado de forma mais profunda os arquivos mais significativos para identificação de um invasor, segundo a autora.

a) utmp e utmpx

Aqui são registradas as informações referentes aos usuários locais que estão conectados atualmente no sistema. Os dados contidos nestes arquivos são armazenados em formato binário, sendo necessário o uso de outros comandos, como: who, whodo, write, finger e ps, os quais exibem as informações contidas neste arquivo.

b) wtmp e wtmpx

Aqui são registrados dados detalhados sobre uma determinada sessão aberta pelo usuário. Da mesma forma que os arquivos mostrados anteriormente, os dados contidos nestes arquivos são armazenados em formato binário e legíveis unicamente através de comandos do tipo: last, acctcom etc.

c) lastlog

Esta ferramenta registra ao horário da última vez em que o usuário tentou acessar o sistema, tenha efetuado o login com sucesso ou não.

d) messages

Neste arquivo serão registradas quaisquer mensagens enviadas ao console, tendo sido gerada pelo kernel do sistema ou por algum mecanismo de log.

Soalha (1999) esclarece que a maior dificuldade de identificação de informações relevantes na análise de logs é o grande volume de dados gerados diariamente por eventos relacionados ao sistema.

A figura 4 mostra diversas tentativas de invasão usando o método de brute force abordado anteriormente, as informações referentes a este ataque foram listadas no arquivo de log messages.

Figura 4 - Registro de tentativas no arquivo de log messages
No arquivo foi possível identificar a data do ataque (20 de Novembro), o horário (16:40), o usuário utilizado para tentativa de acesso ao sistema (admin) e o endereço IP de onde partiu o ataque (164.41.55.5).

De posse destas informações, pode-se encontrar através da ferramenta whois, disponível no órgão responsável pelo registro de endereços IPs utilizados na América Latina e Caribe, através do site lacnic.net, a quem está concedida a utilização dessa faixa de endereçamento IP.

A consulta do endereço ip 164.41.55.5 através da ferramenta whois irá localizar as informações dos responsáveis pela utilização deste endereço, estes dados podem ser vistos na figura 5.

Figura 5 - A ferramenta Whois exibe informações sobre o responsável pelo endereço IP
As informações relatadas pela ferramenta whois mostram que a Universidade de Brasília detém a licença de uso para a faixa de endereçamento IP 164.41/16 de onde partiram os ataques, permitindo assim através das informações do responsável, uma ação conjunta para a identificação do atacante.

Um ponto que aqui deve ser considerado é que a comprovação da origem do ataque não quer dizer que a identidade do atacante/invasor foi revelada. Isso dependerá de outro tipo de análise pericial na máquina de onde partiram os ataques ou invasões.

Página anterior     Próxima página

Páginas do artigo
   1. Indícios da invasão
   2. Ferramentas para coleta de dados
   3. Análise dos dados
   4. Identificação do invasor
   5. Referências
Outros artigos deste autor

Monitoramento de redes com o Zenoss

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

Estatísticas para todos

Scanners de portas e de vulnerabilidades

NFS rápido e direto usando Slackware 12

Leitura recomendada

Autenticação de servidores CentOS/Red Hat 6 em Windows 2008

Servidor de autenticação 802.1x com Freeradius

Um dia depois da inundação

Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros

Quebrando a criptografia RSA

  
Comentários
[1] Comentário enviado por brevleq em 05/01/2009 - 14:47h

Muito bom!!

[2] Comentário enviado por y2h4ck em 06/01/2009 - 09:20h

Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:

- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.

Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)


[]s

Anderson

[3] Comentário enviado por matux em 06/01/2009 - 13:34h

Olá Anderson,

Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.

Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.

2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.

3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.

Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!

[4] Comentário enviado por edipo.magrelo em 08/01/2009 - 11:25h

Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura

[5] Comentário enviado por eisen em 21/05/2009 - 09:34h

Muito bom mesmo, rápido e direto.
Parabéns.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts