A cada dia novas técnicas sofisticadas são desenvolvidas para comprometer sistemas. Com isso mais e mais ferramentas são lançadas na internet e qualquer pessoa com o mínimo conhecimento sobre o assunto consegue explorar com facilidade vulnerabilidades em servidores de empresas.

Isso nos retorna ao modus operandi, que do latin significa "modo de operação". Utilizamos o modus operandi para identificar níveis de conhecimento entre possíveis invasores. Quanto mais alto o modus operandi, mais difícil recolher informações periciais válidas sobre sua invasão.

Em geral uma simplificação do Modus Operandi de todo invasor:

1. Procurar alvo em potencial;
2. Identificar alvo;
3. Levantar falhas para acessar o alvo;
4. Exploração da falha;
5. Escalada de privilégios dentro do alvo para obtenção de uid=0;
6. Tornar-se invisível;
7. Reconhecimento inicial;
8. Instalação de backdoors para futuro acesso;
9. Limpeza de rastros;
10. Acesso pela backdoor e reconhecimento profundo do sistema.

O nível em que o invasor consegue executar o modus operandi é essencial para a perícia forense, pois tudo vai depender da quantidade de rastros que esse deixar de sua passagem pela máquina alvo.

Vamos definir alguns níveis de modus operandi para que possamos ter uma breve noção:

Como vimos na tabela acima, vai depender do modus operandi do invasor para determinarmos o sucesso de nossa pericia no sistema. Página anterior     Próxima página Páginas do artigo    1. Introdução    2. Análise pericial    3. Análise física    4. Modus Operandi    5. Links e ferramentas Outros artigos deste autor Segurança extrema com LIDS: novos recursos Análise passiva (parte 2) Race condition - vulnerabilidades em suids Carnivore e Altivore: Os predadores do FBI PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it Leitura recomendada Proxy reverso com ModSecurity no Debian Etch Implementação de NIDS com EasyIDS Sudoers 1.8.12 - Parte IV - Manual Scanners de portas e de vulnerabilidades Wmap web scanner    Comentários [1] Comentário enviado por norrinradd em 25/03/2004 - 11:32h Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. 0 0 × Editar post Mensagem Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. Gravar [2] Comentário enviado por norrinradd em 25/03/2004 - 11:35h Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. 0 0 × Editar post Mensagem Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico. Gravar [3] Comentário enviado por y2h4ck em 25/03/2004 - 11:53h Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros.. Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda. Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia. 0 0 × Editar post Mensagem Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros.. Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda. Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia. Gravar [4] Comentário enviado por jllucca em 25/03/2004 - 14:46h excelente o artigo! []'s 0 0 × Editar post Mensagem excelente o artigo! []'s Gravar [5] Comentário enviado por davi182 em 26/03/2004 - 07:36h Muito bom! Parabéns! :) (ainda mais pra um viciado em CSI como eu hehehe) 0 0 × Editar post Mensagem Muito bom! Parabéns! :) (ainda mais pra um viciado em CSI como eu hehehe) Gravar [6] Comentário enviado por ryu em 07/06/2004 - 23:15h estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido 0 0 × Editar post Mensagem estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido Gravar [7] Comentário enviado por __OZzy__ em 11/07/2004 - 17:44h Aeee Bom lembra que tem um grupo de discussão sobre o temo http://br.groups.yahoo.com/group/PericiaForense/ []´x 0 0 × Editar post Mensagem Aeee Bom lembra que tem um grupo de discussão sobre o temo http://br.groups.yahoo.com/group/PericiaForense/ []´x Gravar [8] Comentário enviado por dudu_away em 18/09/2004 - 10:20h Aí kra.... mto bom msm seu artigo..... Parabéns.... 0 0 × Editar post Mensagem Aí kra.... mto bom msm seu artigo..... Parabéns.... Gravar [9] Comentário enviado por juantech em 12/10/2004 - 16:09h Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos). Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias. []'s Jairo Willian 0 0 × Editar post Mensagem Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos). Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias. []'s Jairo Willian Gravar [10] Comentário enviado por y2h4ck em 12/10/2004 - 20:42h Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim... se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :) então falou ae filhote ... 0 0 × Editar post Mensagem Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim... se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :) então falou ae filhote ... Gravar [11] Comentário enviado por removido em 23/11/2007 - 14:35h Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =) 0 0 × Editar post Mensagem Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =) Gravar [12] Comentário enviado por kalib em 08/01/2008 - 17:11h Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;] 0 0 × Editar post Mensagem Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;] Gravar Contribuir com comentário Enviar Patrocínio Site hospedado pelo provedor RedeHost. Destaques Agora temos uma assistente virtual no fórum!!! (246) Links importantes de usuários do VOL (3) Artigos Compartilhando a tela do Computador no Celular via Deskreen Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota Configuração para desligamento automatizado de Computadores em um Ambiente Comercial O mínimo que você precisa saber sobre o terminal (parte 2) O mínimo que você precisa saber sobre o terminal (parte 1) Dicas Como renomear arquivos de letras maiúsculas para minúsculas Imprimindo no formato livreto no Linux Vim - incrementando números em substituição Efeito "livro" em arquivos PDF Como resolver o erro no CUPS: Unable to get list of printer drivers Tópicos Não to conseguindo resolver este problemas ao instalar o playonelinux (1) Excluir banco de dados no xampp (1) phpmyadmin não abre no xampp (2) Ubuntu não sai som (0) KeepOS Não consigo usar o comando sudo. (4) Top 10 do mês Xerxes 1° lugar - 65.536 pts Fábio Berbert de Paula 2° lugar - 50.959 pts Buckminster 3° lugar - 17.577 pts Mauricio Ferrari 4° lugar - 15.328 pts Alberto Federman Neto. 5° lugar - 13.978 pts Diego Mendes Rodrigues 6° lugar - 13.642 pts Daniel Lara Souza 7° lugar - 13.021 pts Andre (pinduvoz) 8° lugar - 10.393 pts edps 9° lugar - 10.527 pts Alessandro de Oliveira Faria (A.K.A. CABELO) 10° lugar - 10.437 pts Scripts [Python] Automação de scan de vulnerabilidades [Python] Script para analise de superficie de ataque [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!) [Shell Script] Script para adicionar bordas às imagens de uma pasta A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda. FAQ - Perguntas frequentes Estatísticas do site Equipe de moderadores Membros da comunidade Anuncie Contato Política de privacidade Quem somos Termos de uso Site hospedado por: Descrição Habilidade Evidências Clueless Praticamente nenhuma Todas atividades são bastante aparentes Script kiddie Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits. Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo. Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros. Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema. Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware. Não deixa evidencias úteis. Pode comprometer totalmente o sistema.