Esse artigo é uma cartilha de segurança que deve ser seguida pelos administradores de sistemas. Nele abordaremos desde a concepção de um ataque, sua prevenção, detecção e rastreamento de um invasor, além de aprendermos também como recuperar arquivos excluídos do sistema.
Todos passos descritos no artigo devem ser seguidos à risca para
encontrar algum rastro de uma invasão, sendo que ela será sua prova
de incriminar o autor, pois não há discussões em cima de provas
concretas, geradas pelos logs.
Assim sendo, tendo os logs que provem a invasão e alteração de
arquivos, você já pode incriminar o invasor.
*/ Rastreando o provedor do invasor */
Você já tem tudo nas mãos, a prova do crime e IP, mas não sabe como
proceder para incriminar o invasor. OK, para facilitar as coisas
você poderá descobrir o provedor do IP do invasor que tem em mãos.
Se o IP for fixo, as coisas serão mais fáceis. O comando abaixo
fornecerá o host de um ip no Linux e no Windows. Abaixo um exemplo
no Linux:
# nslookup xxx.xxx.xxx.xxx
NOTA: xxx.xxx.xxx.xxx se refere ao IP desejado.
Mas antes lembre-se que um endereço de IP pode ser forjado,
literalmente copiado, de forma que o rastreamento será muito mais
difícil, pois não envolverá só a técnica de rastrear. Portanto, o
rastreamento, não depende só de você. :)
OK, com o endereço do provedor você terá duas alternativas:
Entrar em contato com o provedor, informando a data e hora,
tipo de ataque e enviando as provas do crime, claro com o
IP. :)
Entrar em contato com as autoridades locais de seu estado.
Sim, literalmente, chame a polícia informando o sobre o caso
e orientando - se sobre como você poderá proceder; Se o
invasor for pego, ele poderá responder a processos.
Para maiores informações de como se procede o processo, consulte
um advogado - e para evitar este tipo de ataque, sempre consulte um
Security Officer.
[2] Comentário enviado por removido em 08/01/2004 - 05:01h
hehehe, fiquei bem na foto ne' ?
faze o que quem mandou eu ser lindo huauhahua
Valeu, que bom que gostou do artigo, espero que este seja o primeiro de vários :)
[6] Comentário enviado por removido em 14/01/2004 - 17:45h
Muito bom esse arquivo. Mais tenho um critica a fazer.
Vc fala de olhar os logs de sistemas pra indentificar se houve invasão ou para saber o que foi alterado (no caso da invasao).. Nao acho que isso seja possivel. Se eu fosse um hacker a primeira coisa que eu faria. seria limpar meus rastros. (logs).. E acho que a marioria deles fazem isso.
[7] Comentário enviado por removido em 17/01/2004 - 16:47h
hehe com certeza
como dizem " os verdadeiros hacker nunca são pegos"
pq sabem ocultar seus rastros, mas o que mais temos hoje em dia são Kids/defacers que o que sabem fazer é apenas copilar um exploit ( de terceiros) e executar, e nao se lembram ou talvez nem saibam como apagar os logs :)
Mas valeu pela critica, acima de critica que vamos nos aperfeicoando e acertando cada dia mais
Thanks :)
[8] Comentário enviado por y2h4ck em 18/05/2004 - 10:35h
"Entrar em contato com as autoridades locais de seu estado. Sim, literalmente, chame a polícia informando o sobre o caso e orientando - se sobre como você poderá proceder; Se o invasor for pego, ele poderá responder a processos"
Muito dificil isso ocorrer devido a inesperiencia da pessoa que manipula a maquina alvo. O alvo comprometido pode ter as infos de provas do crime facilmente anteradas e informações as vezes de suma importancia sao perdidas.
Se todo admin soubesse como preservar a maquina que foi comprometida de maneira correta a ter uma prova lícita aceita como prova em um tribunal ai sim ... caso contrario vc vai ter apenas um boletim de ocorrencia em suas mãos e nenhum resultado realmente interessante.
[10] Comentário enviado por Grillo em 31/05/2004 - 21:21h
Imagina a policia chegando na sua casa e voce falando que ele estao la por causa que seu pc foi invadido! ahuauhauuah
infelizmente o Brasil ainda nao tem essa maturidade
[11] Comentário enviado por removido em 01/06/2004 - 13:29h
Falaê galera, tenho recebi vários comentário sobre o fato, de que não irá adiantar nada a respeito de avisar as autoridades competentes no caso de invasão de sistemas, isto com certeza, nós não temos leis especificas em vigor, mas podemos enquadrar os "invasor" em outras leis já existente.
Um site muito bom, e util sobre o assunto é o http://www.modulo.com.br/ lá você irá encontrar várias maneiras de se portar durante uma invasão. Com certeza é um site que deve ser adicionado ao favoritos de qualquer administrador de sistemas.
Não estou discordando dos amigos, sobre que o Brasil ainda é muito imaturo no caso de crimes virtuais, apesar do Brasil liderar os TOP 10 de invasões em todo mundo ( veja site www.zone-h.com ) , não existem leis em vigor para punir o invasor, mas pode muito causar uma puta dor de cabeça, para o acusado!
[]'s
Rafael Lamana
[19] Comentário enviado por diogojp em 06/11/2008 - 21:36h
Ótimo artigo
Mas a realidade e,,,,,,,,,
Em 99,99% dos casos os administradores de servidores estão mais preocupados em restabelecer o sistema que o invasor fica esquecido.
Sem contar que em grande parte dos casos o administrador quer mais e ocultar a invasão. Evitando ter que dar maiores explicações sobre o fato.