Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)
Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.
Parte 4: Identificação do invasor
A identificação do atacante em um sistema Unix perpassa por uma série de possíveis análises, sendo a análise de logs a que permite uma comprovação mais eficiente em se tratando de invasões de sistemas Unix com quaisquer outros objetivos.
Segundo Soalha (1999) sistemas configurados de forma correta podem colaborar na identificação do invasor. Durante a análise de logs são identificados os endereços de origem das tentativas de ataques, bem como conexões usadas durante a invasão propriamente dita. Os sistemas Unix normalmente armazenam seus arquivos de log no diretório "/var/log".
A seguir são apresentados alguns dos arquivos de log encontrados neste diretório, sua descrição e será evidenciado de forma mais profunda os arquivos mais significativos para identificação de um invasor, segundo a autora.
Soalha (1999) esclarece que a maior dificuldade de identificação de informações relevantes na análise de logs é o grande volume de dados gerados diariamente por eventos relacionados ao sistema.
A figura 4 mostra diversas tentativas de invasão usando o método de brute force abordado anteriormente, as informações referentes a este ataque foram listadas no arquivo de log messages.
Figura 4 - Registro de tentativas no arquivo de log messages
No arquivo foi possível identificar a data do ataque (20 de Novembro), o horário (16:40), o usuário utilizado para tentativa de acesso ao sistema (admin) e o endereço IP de onde partiu o ataque (164.41.55.5).
De posse destas informações, pode-se encontrar através da ferramenta whois, disponível no órgão responsável pelo registro de endereços IPs utilizados na América Latina e Caribe, através do site lacnic.net, a quem está concedida a utilização dessa faixa de endereçamento IP.
A consulta do endereço ip 164.41.55.5 através da ferramenta whois irá localizar as informações dos responsáveis pela utilização deste endereço, estes dados podem ser vistos na figura 5.
Figura 5 - A ferramenta Whois exibe informações sobre o responsável pelo endereço IP
As informações relatadas pela ferramenta whois mostram que a Universidade de Brasília detém a licença de uso para a faixa de endereçamento IP 164.41/16 de onde partiram os ataques, permitindo assim através das informações do responsável, uma ação conjunta para a identificação do atacante.
Um ponto que aqui deve ser considerado é que a comprovação da origem do ataque não quer dizer que a identidade do atacante/invasor foi revelada. Isso dependerá de outro tipo de análise pericial na máquina de onde partiram os ataques ou invasões.
Segundo Soalha (1999) sistemas configurados de forma correta podem colaborar na identificação do invasor. Durante a análise de logs são identificados os endereços de origem das tentativas de ataques, bem como conexões usadas durante a invasão propriamente dita. Os sistemas Unix normalmente armazenam seus arquivos de log no diretório "/var/log".
A seguir são apresentados alguns dos arquivos de log encontrados neste diretório, sua descrição e será evidenciado de forma mais profunda os arquivos mais significativos para identificação de um invasor, segundo a autora.
a) utmp e utmpx
Aqui são registradas as informações referentes aos usuários locais que estão conectados atualmente no sistema. Os dados contidos nestes arquivos são armazenados em formato binário, sendo necessário o uso de outros comandos, como: who, whodo, write, finger e ps, os quais exibem as informações contidas neste arquivo.b) wtmp e wtmpx
Aqui são registrados dados detalhados sobre uma determinada sessão aberta pelo usuário. Da mesma forma que os arquivos mostrados anteriormente, os dados contidos nestes arquivos são armazenados em formato binário e legíveis unicamente através de comandos do tipo: last, acctcom etc.c) lastlog
Esta ferramenta registra ao horário da última vez em que o usuário tentou acessar o sistema, tenha efetuado o login com sucesso ou não.d) messages
Neste arquivo serão registradas quaisquer mensagens enviadas ao console, tendo sido gerada pelo kernel do sistema ou por algum mecanismo de log.Soalha (1999) esclarece que a maior dificuldade de identificação de informações relevantes na análise de logs é o grande volume de dados gerados diariamente por eventos relacionados ao sistema.
A figura 4 mostra diversas tentativas de invasão usando o método de brute force abordado anteriormente, as informações referentes a este ataque foram listadas no arquivo de log messages.
Figura 4 - Registro de tentativas no arquivo de log messages
De posse destas informações, pode-se encontrar através da ferramenta whois, disponível no órgão responsável pelo registro de endereços IPs utilizados na América Latina e Caribe, através do site lacnic.net, a quem está concedida a utilização dessa faixa de endereçamento IP.
A consulta do endereço ip 164.41.55.5 através da ferramenta whois irá localizar as informações dos responsáveis pela utilização deste endereço, estes dados podem ser vistos na figura 5.
Figura 5 - A ferramenta Whois exibe informações sobre o responsável pelo endereço IP
Um ponto que aqui deve ser considerado é que a comprovação da origem do ataque não quer dizer que a identidade do atacante/invasor foi revelada. Isso dependerá de outro tipo de análise pericial na máquina de onde partiram os ataques ou invasões.