Pular para o conteúdo

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.
Matuzalém Guimarães matux

Por Matuzalém Guimarães em 03/01/2009

Hits: 67.269 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Parte 2: Ferramentas para coleta de dados

Heiser; Kruse (2001) alertam que a coleta de dados é uma das etapas mais sensíveis de uma investigação forense computacional, pois nesta fase qualquer descuido por parte do investigador poderá interferir diretamente na validação das evidências coletadas.

Cagnani; Santos (2008) defendem que o tipo de dado envolvido no incidente que está sendo investigado, também é importante na determinação do tipo de análise e ferramentas que serão utilizadas na perícia. Os autores sugerem dois tipos de dados a serem investigados, os dados voláteis e os não-voláteis, estes podem ser observados na tabela 1.

Tabela 1 - Dados Voláteis e Não-Voláteis / adaptado Cagnani; Santos (2008)
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.
São considerados voláteis segundo os autores todos os dados não gravados em algum tipo de mídia permanente, ou seja, os dados que são gerados em tempo de execução, que serão perdidos se a máquina envolvida for desligada. E são considerados como dados não-voláteis, todos os dados gravados de forma permanente ou não em algum tipo de mídia, ou seja, os dados que mesmo que sejam considerados temporários pelo Sistema que ainda estejam gravados em disco, podendo ser recuperados depois que a máquina seja desligada.

Para a coleta de dados voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 2.

Tabela 2 - Ferramentas para coleta de dados voláteis / adaptado de Cagnani; Santos (2008)
E para coleta de dados não voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 3.
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Páginas do artigo

   1. Indícios da invasão
   2. Ferramentas para coleta de dados
   3. Análise dos dados
   4. Identificação do invasor
   5. Referências

Outros artigos deste autor

Monitoramento de redes com o Zenoss

Estudantes de computação e o Linux/Unix

SSH: Métodos e ferramentas para invasão

Instalando Free Pascal Compiler no Ubuntu

Estatísticas para todos

Leitura recomendada

OpenPGP - Tradução da man page

Fundamentos da criptografia assimétrica

Sudo 1.8.12 - Parte I - Manual

Procedimento para descoberta de chave WEP

SSH - Uma breve abordagem

Comentários

#1 Comentário enviado por brevleq em 05/01/2009 - 14:47h
Muito bom!!
#2 Comentário enviado por y2h4ck em 06/01/2009 - 09:20h
Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:

- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.

Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)


[]s

Anderson
#3 Comentário enviado por matux em 06/01/2009 - 13:34h
Olá Anderson,

Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.

Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.

2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.

3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.

Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!
#4 Comentário enviado por edipo.magrelo em 08/01/2009 - 11:25h
Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura
#5 Comentário enviado por eisen em 21/05/2009 - 09:34h
Muito bom mesmo, rápido e direto.
Parabéns.

Contribuir com comentário

Entre na sua conta para comentar.