Análise Forense - Aspectos de perícia criminal

Este pequeno arquivo nos fala um pouco do que é a perícia forense voltada a informática, que aspectos são levados em consideração numa análise e quais os procedimentos mais usados para solucionar casos.

[ Hits: 85.129 ]

Por: Anderson L Tamborim em 25/03/2004 | Blog: http://y2h4ck.wordpress.com


Modus Operandi



A cada dia novas técnicas sofisticadas são desenvolvidas para comprometer sistemas. Com isso mais e mais ferramentas são lançadas na internet e qualquer pessoa com o mínimo conhecimento sobre o assunto consegue explorar com facilidade vulnerabilidades em servidores de empresas.

Isso nos retorna ao modus operandi, que do latin significa "modo de operação". Utilizamos o modus operandi para identificar níveis de conhecimento entre possíveis invasores. Quanto mais alto o modus operandi, mais difícil recolher informações periciais válidas sobre sua invasão.

Em geral uma simplificação do Modus Operandi de todo invasor:
  1. Procurar alvo em potencial;
  2. Identificar alvo;
  3. Levantar falhas para acessar o alvo;
  4. Exploração da falha;
  5. Escalada de privilégios dentro do alvo para obtenção de uid=0;
  6. Tornar-se invisível;
  7. Reconhecimento inicial;
  8. Instalação de backdoors para futuro acesso;
  9. Limpeza de rastros;
  10. Acesso pela backdoor e reconhecimento profundo do sistema.

O nível em que o invasor consegue executar o modus operandi é essencial para a perícia forense, pois tudo vai depender da quantidade de rastros que esse deixar de sua passagem pela máquina alvo.

Vamos definir alguns níveis de modus operandi para que possamos ter uma breve noção:



Como vimos na tabela acima, vai depender do modus operandi do invasor para determinarmos o sucesso de nossa pericia no sistema.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Análise pericial
   3. Análise física
   4. Modus Operandi
   5. Links e ferramentas
Outros artigos deste autor

Race condition - vulnerabilidades em suids

OpenVZ: Virtualização para servidores Linux

Segurança extrema com LIDS: novos recursos

Security Hacks: Linux & BSD

Carnivore e Altivore: Os predadores do FBI

Leitura recomendada

Proxy reverso com ModSecurity no Debian Etch

TrueCrypt Forever

Rede wireless: autenticação em uma rede WPA

Instalando e configurando o SpamAssassin

Capturando e-mails da rede com Mailsnarf

  
Comentários
[1] Comentário enviado por norrinradd em 25/03/2004 - 11:32h

Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico.


[2] Comentário enviado por norrinradd em 25/03/2004 - 11:35h

Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico.


[3] Comentário enviado por y2h4ck em 25/03/2004 - 11:53h

Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros..
Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda.
Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia.

[4] Comentário enviado por jllucca em 25/03/2004 - 14:46h

excelente o artigo!

[]'s

[5] Comentário enviado por davi182 em 26/03/2004 - 07:36h

Muito bom! Parabéns! :)

(ainda mais pra um viciado em CSI como eu hehehe)

[6] Comentário enviado por ryu em 07/06/2004 - 23:15h

estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido

[7] Comentário enviado por __OZzy__ em 11/07/2004 - 17:44h

Aeee
Bom lembra que tem um grupo de discussão sobre o temo
http://br.groups.yahoo.com/group/PericiaForense/
[]´x

[8] Comentário enviado por dudu_away em 18/09/2004 - 10:20h

Aí kra.... mto bom msm seu artigo..... Parabéns....

[9] Comentário enviado por juantech em 12/10/2004 - 16:09h

Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos).

Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias.

[]'s

Jairo Willian

[10] Comentário enviado por y2h4ck em 12/10/2004 - 20:42h

Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim...
se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :)

então falou ae filhote ...

[11] Comentário enviado por removido em 23/11/2007 - 14:35h

Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =)

[12] Comentário enviado por kalib em 08/01/2008 - 17:11h

Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;]


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts

Descrição Habilidade Evidências
Clueless Praticamente nenhuma Todas atividades são bastante aparentes
Script kiddie Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits. Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo.
Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros. Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema.
Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware. Não deixa evidencias úteis. Pode comprometer totalmente o sistema.