Computação Forense - Entendendo uma perícia

andrezc

Neste artigo conheceremos um pouco mais sobre uma perícia forense e um pouco sobre ataques e técnicas de rastreabilidade.

[ Hits: 36.462 ]

Por: André em 23/03/2010 | Blog: http://127.0.0.1

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



Dados iniciais:

Tema: Computação Forense Artigo: Computação Forense - Entendendo uma perícia Autor: André S. Rosa Junior Site: www.juniorlinux.com.br E-mail (eletronic mail) : junior@juniorlinux.com.br
Linux: Computação Forense - Entendendo uma perícia
Com o crescimento alto de crimes e fraudes virtuais surgiu uma profissão, a profissão do perito, mas não estamos falando de um perito químico forense ou alguma profissão do tipo, estamos falando do perito forense computacional, que estuda fraudes e crimes virtuais a procura do autor.

Podemos citar alguns crimes e fraudes como:
  • Pedofilia (via internet)
  • Spam
  • Phishing
  • Roubo
  • Desvio de verba
  • Entre muitos outros.

Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).

O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:

Versões antigas dos serviços rodando nos servidores:
  • SQL Injection
  • XSS - Cross Site Scripting
  • Entre muitos outros.

Daí você me pergunta:

Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?

R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.

Voltando ao M.O. ...

Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).

E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:

"Owned by def4c3r".

Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.

Inicialmente jazeremos buscas simples, algo como em:
  • Google
  • Cadê
  • Alta vista
  • e outros, fica a critério esta parte, mas é bom fazer um "pente fino".

Também é importante fazer buscas em redes sociais como:
  • Orkut
  • Facebook
  • Twitter
  • etc

    Próxima página

Páginas do artigo
   1. Introdução
   2. A busca
Outros artigos deste autor

Programando em Perl (parte 2)

Acessando o Linux via SSH através do Android

Operadores com a linguagem C

Recuperando arquivos em um Windows corrompido com Linux

Trabalhando com a interface gráfica em Java

Leitura recomendada

Integrando ModSecurity ao NGINX e Apache

Segurança da Informação: Necessidades e mudanças de paradigma com o avanço da civilização

Portal de autenticação wireless (HotSpot)

Criando senhas seguras com o mkpasswd

Configurando logout automático para conta root

  
Comentários
[1] Comentário enviado por valterrezendeeng em 23/03/2010 - 12:55h

Bom Artigo.

Da uma boa visão geral.

Gostaria de mais informações de como colocar " a mão na massa"


[2] Comentário enviado por andrezc em 23/03/2010 - 22:40h

Olá Valter,

nos próximos artigos sobre Forense, estarei aprofundando mais nas ferramentas e na prática.

Abraços.

[3] Comentário enviado por removido em 23/03/2010 - 22:44h

Pra quem quiser brincar:

http://www.fdtk.com.br/wordpress/

Não vou opiniar pois nunca tirei tempo pra testar, mas fica a dica.

[4] Comentário enviado por hugutux em 24/03/2010 - 11:50h

muito bom isso, da pra ter um conhecimento legal de como as coisas funcionam nesses casos!

[5] Comentário enviado por VoraZBR em 24/03/2010 - 14:31h

Interessantíssimo seu artigo amigo,

Com certeza vai ser de grande esclarecimento para o pessoal mais leigo em forense.


[]'s

[6] Comentário enviado por andrezc em 24/03/2010 - 20:43h

Olá Hugo, VoraZBR.

Fico feliz que tenham gostado do artigo e do tema do mesmo. Em breve estarei escrevendo mais sobre o assunto, um abraço.

[7] Comentário enviado por fnx-15 em 24/03/2010 - 20:47h

eu nao entendo muito mais me ajudou a coonprender mais o forense

[8] Comentário enviado por andrezc em 24/03/2010 - 21:50h

Olá Maikon;

Fico feliz que tenha gostado do artigo, em breve, como eu havia dito, mais artigos sobre Forense computacional.

[9] Comentário enviado por removido em 27/03/2010 - 11:31h

Investigadores computacionais sempre devem estar à frente, avançando.
Esses fraudadores profissionais ganham a vida assim, verdadeiros parasitas sociais.

Parabéns Júnior!!!

[10] Comentário enviado por removido em 27/03/2010 - 13:28h

Infelizmente, nossa constituição não caracteriza todos os tipos de crime virtuais, então nem sempre é possível punir alguém que nos causou danos materiais como perda de dados ou destruição de uma web-page. Por isso, é preciso se defender o máximo possível e esperar nunca ter que usar a computação forense, que normalmente é utilizada após o dano ter sido feito.

[11] Comentário enviado por removido em 30/03/2010 - 19:02h

Parabéns pelo artigo!

Esses artigos são o que me influenciam cada vez mais a seguir an área de segurança!
Acho uma pena não termos uma lei específica para esse tipo de crime e tantos outros crimes virtuais. Agora que o Brasil está dando seus primeiros passos na Segurança da Informação e com certeza bons profissionais será essencial!

[12] Comentário enviado por fernandopinheiro em 07/07/2010 - 17:36h

Parabens pelo artigo, Bem simples mas com bom conteudo!!

[13] Comentário enviado por danilobs em 03/01/2011 - 20:37h

Ótimo artigo, concordo com o fernandopinheiro, embora seja simples é muito explicativo.

Muito bom!

Abraço!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Flatpak: remover runtimes não usados e pacotes

Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2

Como deixar as abas do Firefox mais fininhas

Tópicos

Como atualizar o Debian 8 para o 10 (10)

Dica sobre iptables ACCEPT e DROP (6)

NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)

WARNING: No preprocessors configured for policy 0 (1)

Impressão Linux (4)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: