Anlise Forense Computacional de Logs em Sistemas Linux: as testemunhas da rede

30 de setembro de 2008 por Jos Milagre

Logs so registros, normalmente armazenados em arquivos ASCII ou texto simples, capazes de armazenar o que se passa com sistemas computacionais e servios de rede. A Correlao de logs de eventos, segurana e auditoria so fundamentais para que se possa reconstruir o que efetivamente ocorreu com um sistema computacional no passado. Deve-se consignar, entretanto, que antes mesmo da analise dos logs, o perito deve pautar sua conduta pela manuteno da volatilidade, princpio computacional que nos informa, basicamente, que antes da anlise de logs armazenados em discos rgidos existem muitas outras coisas mais importantes para se fazer prioritariamente, como o dump da memria e o congelamento do estado da rede e processos. Importa frizar tambm que o perito dever ter a intimidade em coletar dados em sistemas operacionais diversos, como Linux e Windows, e nestes, em aplicaes diversas, como Squid ou um Servidor Exchange Server. No presente artigo, exploramos as ferramentas nativas do sistema operacional Linux para demonstrar como o profissional de percia pode coletar muitas informaes a respeito do sistema.

Logs no Linux
O Linux recheado de registros, muitos comandos simples nativos podem levantar muitas informaes sobre o sistema, por exemplo, o comando last/lastlog , que pode ser utilizado para exibir a listagem dos ltimos usurios que logaram no sistema:

Exemplo da execuo do comando last, que informa a data e hora dos usurios que logaram no sistema. J o comando lastb , pode listar a ltima tentativa de login que no obteve xito. Igualmente, pode-se acessar

diretamente o arquivo responsvel por tais registros digitando # cat /var/log/btmp . Com who , possvel verificar os usurios logados na mquina. J com history | more , o perito tem acesso aos registros dos ltimos comandos executados na seo atual.

Execuo do comando history: Informa ltimos comandos digitados pelo usurio. Outro dado importante na anlise de trojans e rootkits monitorar quais arquivos determinados processos esto chamando. Por vezes, nada melhor que executar o trojan para efetivamente ter indcios do que ele realiza. Com o comando ps -aux] possvel identificar os processos atuais executados por um usurio. Posteriormente, podemos filtrar com o comando lsof -p somente os arquivos chamados pelo processo PID 11306 (e acabamos de detectar a utilizao de MSN em ambiente empresarial, normalmente vedado pela Poltica de Segurana). Em nosso exemplo, ao executarmos o Amsn (Cliente Messenger para Linux) e executar o comando para listagem dos processos, encontramos o seguinte registro nos logs:

Correlao entre arquivos chamados por determinado processo. Interessante, dependendo do escopo da percia, correlacionar os arquivos abertos por um determinado usurio,

onde podemos utilizar o comando id para identificar o UID (User Identification) do usurio e posteriormente o comando lsof -U UID. No Linux , por default, a grande maioria dos registros do sistema se encontram em /var/log, dentre os quais vale destacar: /var/log/messages = Contm registros de acesso ao sistema e em alguns casos registros do IPTABLES /var/log/samba/log.smbd = Contm os logs do Servidor de Arquivos SAMBA /var/log/httpd/(access, error ou agent.log) = Logs do Servidor Web Apache /var/log/lpr.log = Informaes de acesso s impressoras /etc/mail/maillog = Arquivo que registra os logs do Servidor de E-mails Mais fcil, porm, a analise de /etc/syslog.conf, arquivo de configurao dos logs do Sistema Operacional, que indica onde os arquivos de log esto armazenados. Apenas ateno necessria, pois este arquivo pode ter sido atacado ou alterado pelo cybercriminoso. Ainda em /etc/passwd possvel verificar se cracker criou algum account no conhecido pelo administrador de rede. A lgica e o bom senso nos dizem que um criminoso pode ter corrido muitos quilmetros pelo sistema atacado, mas tudo comeou pelo primeiro passo, e o primeiro passo se autenticar como administrador. Em nosso exemplo, o arquivo auth.log em /etc/log , tem muito a nos dizer:

Usurio tenta se logar no sistema como administrador s 18:26:46 porm no consegue. Posteriormente s 19:03:01 obtm acesso ao root, e em menos de 1(um) minuto, se desconecta do sistema. J em /etc/log/daemon.log , podemos identificar os logs envolvendo os servios em geral, desde logs da rede, como por exemplo, requisies de conexo ou de IPs, identificao de que algum plugou ou desconectou da mquina um pen-drive ou dispositivo mvel, vejamos:

Daemons registrando todos os servios e eventos do sistema. Nos termos da NBR ISO/IE 17799:2005, especificamente em seus itens 9.7.1 e 10.10.0, de boa prtica a todo administrador de segurana a adoo de um proxy cache em uma rede, e por qu? Justamente para que se armazenem registros de atividades dos usurios que tem acesso rede mundial de computadores, eis que a empresa pode ser responsabilizada judicialmente pelo contedo que seus colaboradores acessam. O Squid o servidor mais utilizado na plataforma livre e ele tambm deixa rastros: Primeiramente deve-se analisar /etc/squid/squid.conf, em busca de alteraes nos paths padres de armazenamento dos logs. Os logs do Squid so divididos em: /var/log/squid/access.log = Arquivo de registro de conexes http /var/log/squid/cache.log = Hora e data em que o arquivo cache foi iniciado /var/log/squid/store.log = Registro dos objetos armazenados pelos clientes em consulta a sites (vdeos, contedos proibidos, mp3s, imagens, etc.)

Grep: um aliado
O Grep um binrio encontrado na maioria das distribuies Linux e considerado o salvador dos administradores de rede, auditores e peritos computacionais. Por meio do mesmo possvel fazer com que o arquivo de log, retorne, por exemplo, apenas os registros que tragam determinada sting em sua linha. No nosso exemplo, podemos varrer o arquivo auth.log em busca de entradas e sadas de um dispositivo de armazenamento supostamente conhecido, que aqui chamamos de LG. Utilizamos o comando cat auth.log |grep LG e veja o que descobrimos:

Grep: filtramos, ente um \mar de logs\ somente os registros de conexo de desconexo de determinado dispositivo de armazenamento. No caso um pen drive \LG\ com nmero serial identificado.

Concluses: a importncia dos logs

Como verificado, sistemas Unix tem muito a nos contar. Em uma investigao de incidentes eletrnicos, a anlise de logs de extrema importncia, eis que se a funo do perito apurar a ocorrncia de fatos e identificar a autoria dos mesmos, a funo dos logs servir como testemunhas eletrnicas, aptas a depor sobre incidentes e crimes de tecnologia. Ainda, manter com segurana registros de atividades atende ao item 10.10 da IS0/IEC 17799:2005, que trata da deteco e registro de atividades no autorizadas, alm de evitar responsabilizao civil e criminal corporativa, a medida em que pode informar a autoria de delito praticado dos computadores da empresa. Porm no basta registrar, mas nos termos do item 10.10.3 da 17799:2005, proteger logs conta falsificao, adulterao e acesso no autorizado, por meio de medidas de descentralizao e redundncia das testemunhas eletrnicas. Blog do Jos Milagre