Computação Forense - Entendendo uma perícia
Neste artigo conheceremos um pouco mais sobre uma perícia forense e um pouco sobre ataques e técnicas de rastreabilidade.
Introdução
Dados iniciais:
Tema: Computação Forense Artigo: Computação Forense - Entendendo uma perícia Autor: André S. Rosa Junior Site: www.juniorlinux.com.br E-mail (eletronic mail) : junior@juniorlinux.com.br
Com o crescimento alto de crimes e fraudes virtuais surgiu uma profissão, a profissão do perito, mas não estamos falando de um perito químico forense ou alguma profissão do tipo, estamos falando do perito forense computacional, que estuda fraudes e crimes virtuais a procura do autor.
Podemos citar alguns crimes e fraudes como:
Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).
O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:
Versões antigas dos serviços rodando nos servidores:
Daí você me pergunta:
Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?
R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.
Voltando ao M.O. ...
Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).
E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:
"Owned by def4c3r".
Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.
Inicialmente jazeremos buscas simples, algo como em:
Também é importante fazer buscas em redes sociais como:
Tema: Computação Forense Artigo: Computação Forense - Entendendo uma perícia Autor: André S. Rosa Junior Site: www.juniorlinux.com.br E-mail (eletronic mail) : junior@juniorlinux.com.br
Podemos citar alguns crimes e fraudes como:
- Pedofilia (via internet)
- Spam
- Phishing
- Roubo
- Desvio de verba
- Entre muitos outros.
Um perito forense tem como objetivo chegar até o cracker ou atacante, isso, analisando as demais evidências e pistas deixadas pelo atacante (cracker) e pistas encontradas durante a investigação do caso. Podemos citar uma pista como um M.O. (Modus Operandi), que pode levar até o autor (cracker).
O M.O. podemos dizer que é o "jeito" de algum cracker entrar no sistema de deixas a sua "marca". Nada melhor para citar um exemplo como um site que foi invadido e teve a sua home modificada. O site pode sim ou não ter sido invadido devido á uma vulnerabilidade, na qual podemos citar:
Versões antigas dos serviços rodando nos servidores:
- SQL Injection
- XSS - Cross Site Scripting
- Entre muitos outros.
Daí você me pergunta:
Poxa, mas você disse: "O site pode sim ou não ter sido invadido devido á uma vulnerabilidade...", como assim "ou não", é possível um site ser invadido sem nenhuma vulnerabilidade?
R: Sim, muitas das vezes pela falta de atenção e estupidez dos administradores que acabam "falando" a senha (literalmente) para pessoas estranhas ou não, senha é algo que deve ser guardado consigo mesmo.
Voltando ao M.O. ...
Vamos supor que chegamos ao site invadido, e está comprometido. Vamos supor que o defacer/script kiddie use como apelido "def4c3r" por exemplo (por favor, isso é só um exemplo, caso você use este apelido, não é nada a ver como você, é apenas uma suposição).
E na página inicial do site esteja uma mensagem bem comum, usada por estes scripts kiddie que praticam vandalismo virtual:
"Owned by def4c3r".
Agora temos 1/3 do caminho andado, pois temos o apelido usado pelo criminoso, vamos iniciar uma busca por essa entidade.
Inicialmente jazeremos buscas simples, algo como em:
- Cadê
- Alta vista
- e outros, fica a critério esta parte, mas é bom fazer um "pente fino".
Também é importante fazer buscas em redes sociais como:
- Orkut
- etc
Da uma boa visão geral.
Gostaria de mais informações de como colocar " a mão na massa"