Leni Varela - Forense Computacional

Leni freire Joaquim Varela
Forense Computacional em servidor IIS 5.0
Universidade Jean Piaget de Cabo Verde Campus Universitrio da Cidade da Praia Caixa Postal 775, Palmarejo Grande Cidade da Praia, Santiago Cabo Verde 3.1.12
Leni Freire Joaquim Varela
Forense Computacional em servidor IIS 5.0
Universidade Jean Piaget de Cabo Verde Campus Universitrio da Cidade da Praia Caixa Postal 775, Palmarejo Grande Cidade da Praia, Santiago Cabo Verde 3.1.12
Leni Freire Joaquim Varela, autor da monografia intitulada Forense Computacional em servidor IIS 5.0:, declaro que, salvo fontes devidamente citadas e referidas, o presente documento fruto do meu trabalho pessoal, individual e original.
Cidade da Praia aos 30 de Setembro de 2010 Leni Freire Joaquim Varela
Memria Monogrfica apresentada Universidade Jean Piaget de Cabo Verde como parte dos requisitos para a obteno do grau de Licenciatura em Engenharia de Sistemas e Informtica.
Lista de Acrnimos
DoS Daniel of Services (Negao de Servios). DDoS Distributed Denial of Services (Negao de Servio Distribuido). IDS - Sistema de Deteco de Intruso. CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana. IIS - Internet Information Services. NCSA - National Center for Supercomputing applications. IIS - Internet Information server. W3C - World Wide Web Consortium. UTC - Universal Coordinated Time (Tempo Coordenado Universal). ASP - Active Server Pages (Pginas de Servidor Ativas).
Sumrio
Nas ltimas dcadas a utilizao de computadores tornou-se parte integrante da vida das pessoas, permitindo o aparecimento de vrios tipos de crimes electrnicos. Neste contexto, importante que as organizaes se preparem para investigar casos que envolvem a informtica e adoptem procedimentos vlidos e confiveis que permitem recuperar os dados dos computadores envolvidos em actividades ilcitas. A Forense Computacional, so tcnicas que permitem-nos recolher, identificar, analisar e apresentar evidncias de crimes digitais.
Pretende-se com este trabalho, apresentar as principais tcnicas de Forense Computacional em servidor IIS 5.0 da Microsoft.
Palavras-chave: segurana, Forense computacional, evidncias, Servidor IIS.
Agradecimentos
A Deus que esteve sempre comigo durante esta empreitada.
A minha me pela confiana, amor e carinho transmitidos a mim durante toda a minha vida.
Ao meu orientador Isaas Barreto Rosa pela oportunidade, ateno e aprendizado.
Em especial aminha esposa Samirapelo amor, companhia, amizade, incentivo, discusses enriquecedoras e sobretudo por ter me apoiado muito tanto no mundo virtual com no mundo real.
E a todos que contriburam para a minha formao, especialmente a minha filha Alysa e aos meus familiares.
Forense Computacional em Servidor IIS 5.0
Contedo
CAPTULO 1: INTRODUO ...................................................................................... 11 1 Contextualizao ......................................................................................................... 11 2 Objectivo ..................................................................................................................... 12 3 Motivaes ................................................................................................................... 12 4 Estrutura do trabalho ................................................................................................ 12 CAPTULO 2: SEGURANA COMPUTACIONAL ................................................... 14 1 Contextualizao ......................................................................................................... 14 1.1 Proteco da informao .............................................................................................. 14 2 A evoluo da criminalidade e evoluotecnolgica................................................ 15 3 Ataques e vulnerabilidades ........................................................................................ 18 3.1 Formas de ataques e invases ....................................................................................... 19 3.2 A necessidade de novas leis.......................................................................................... 21 CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0 ................ 23 1 Contextualizao ......................................................................................................... 23 1.1 Introduo cincia forense ......................................................................................... 23 1.2 Forense Computacional ................................................................................................ 23 1.2.1 Forense na web ................................................................................................. 24 1.3 Evidncia Digital .......................................................................................................... 27 1.3.1 O Professional .................................................................................................. 28 1.3.2 Metodologia Forense para obteno de evidncias .......................................... 29 1.3.3 Fonte das evidncias ......................................................................................... 32 1.3.4 Perfil e mtodos de operao do atacante ......................................................... 35 1.4 Tcnicas anti-forense .................................................................................................... 38 1.4.1 Identificao da autoria .................................................................................... 38 1.4.2 Criptografia....................................................................................................... 39 1.4.3 Esteganografia .................................................................................................. 39 2 Servidor Web Microsoft IIS ................................................................................... 39 2.1 Microsoft IIS ................................................................................................................ 40 2.1.1 Histria e evoluo ........................................................................................... 41 2.2 Arquitectura .................................................................................................................. 49 2.3 Arquivos de Log ........................................................................................................... 50 2.3.1 W3C Extended Log File Format ...................................................................... 50 2.3.2 Microsoft IIS Log File Format ......................................................................... 54 2.3.3 NCSA Common Log File Format .................................................................... 55 2.3.4 Log ODBC ........................................................................................................ 55 2.3.5 Log Binrio Centralizado ................................................................................. 56 2.3.6 Nomes de Arquivos de Log .............................................................................. 56 3 Ferramentas Forense .................................................................................................. 58 3.1 Forense na Web ............................................................................................................ 58 3.2 Uso geral ....................................................................................................................... 59 4 Enquadramento legal ................................................................................................. 64 4.1 A lei e a criminalidade informtica .............................................................................. 65 4.2 Legislao vigente ........................................................................................................ 66 CAPTULO 4: ESTUDO DE CASO INVESTIGAO FORENSE NA MQUINA SUSPEITA 68 1 Apresentao ............................................................................................................... 68
7/92
1.1 1.2 1.3 1.4 1.5 1.6 2 2.1 2.2 2.3
Diagrama de rede .......................................................................................................... 69 Instalao e configurao do Servidor IIS 5. ................................................................ 70 Configuraes a nvel do Sistema Operativo ............................................................... 73 Configuraes a nvel do Router .................................................................................. 74 1.4.1 Realizao de testes .......................................................................................... 75 Testes de intruso ......................................................................................................... 76 Consideraes Finais .................................................................................................... 79 Investigao ................................................................................................................. 79 Sondagem ...................................................................... Erro! Marcador no definido. Apresentao ................................................................................................................ 80 2.2.1 Registos de Ocorrncias ................................................................................... 80 Consideraes Finais .................................................................................................... 86 CONCLUSO......................................................................................... 87
CAPTULO 5:
8/92
Tabelas
Tabela 1: Localizao de artifactos do Internet Explorer (Bueno, 2007). ................................ 25 Tabela 2: Relao entre a habilidade do invasor e a quantidade de evidncia deixadas .......... 38 Tabela 3: Extenses do IIS 7 .................................................................................................... 47 Tabela 4: Definies do Log do W3C Extended Log File Format (Freitas, 2006) ............... 52 Tabela 5: Definies de Log de Contabilizao de Processos (Freiras, 2006)......................... 53 Tabela 6: Nome de arquivos de Log (Freitas, 2006) ................................................................ 58
9/92
Figuras
Figura 1 - Evoluo dos Incidentes de segurana Brasil ....................................................... 16 Figura 2 - Factores princiapais de crimes e perdas ................................................................... 19 Figura 3 - Arquitectura extensvel para um sistema automatizado de analise forense ............. 31 Figura 4 - Exemplo de um W3C Extended Log File Format ................................................... 51 Figura 5 Tela principal da ferramenta CallerIp ..................................................................... 61 Figura 6 Interface grfica da FDTK-UbuntuBr ..................................................................... 63 Figura 7 Low Orbit Cannon (LOIC) ..................................................................................... 64 Figura 8 - Diagrama de rede: .................................................................................................... 69 Figura 9 - Instalao do Servidor IIS 5.0 ................................................................................. 70 Figura 10 - Teste do Servio IIS ............................................................................................... 71 Figura 11 - GUI de configuraes do Servidor Web ................................................................ 71 Figura 12 - Janela principal de configurao do Servidor IIS 5. ............................................. 72 Figura 13 - GUI de configurao da Auditoria de Segurana .................................................. 74 Figura 14 - Configurao do Dynamic DNS ............................................................................ 75 Figura 15 - Teste de resoluo de nome ................................................................................... 76 Figura 16 - Teste servidor pgina web .................................................................................. 76 Figura 17 Varredura de portas ............................................................................................... 77 Figura 18 Ataque de Brute Force .......................................................................................... 78 Figura 19 Ataque do tipo DoS- iniciado................................................................................ 79 Figura 20 - Arquivo de log W3C .............................................................................................. 80 Figura 21 Espelhamento de site ............................................................................................. 81 Figura 22 - Varredura vulnerabilidades .................................................................................... 82 Figura 23 Ataque de Negao Servio .................................................................................. 83 Figura 24 Injeo SQL 1 ....................................................................................................... 83 Figura 25 Injeco SQL 2 ...................................................................................................... 84 Figura 26 - Verificao de arquivos alterados .......................................................................... 85 Figura 27 - Log IDS ................................................................................................................. 86
10/92
CAPTULO 1:
1 Contextualizao
INTRODUO
O presente trabalho, intitulado "Forense Computacional em Servidor IIS 5.0" propicia o estudo de um conjunto de tcnicas que possibilitam a investigao de crimes praticados nos mesmos.
Com o desenvolvimento das tecnologias de informao e do acesso cada vez maior da populao s suas facilidades e servios, alguns aspectos na vida sofreram profundas transformaes, tais como a difuso de dados, as transaces comerciais e bancrias, a segurana de dados cadastrais, entre outras.
Por consequente, os prejuzos causados sociedade e empresas so enormes, havendo a necessidade de combater essa nova modalidade criminosa.
Nesta ptica, surge a necessidade do uso de tcnicas de Forense Computacional que nos permite conduzir uma investigao estruturada com uma metodologia que possa determinar o que acorreu, como ocorreu e quem foi o responsvel.
11/92
Objectivo
Este trabalho tem por objectivo apresentar um Estudo da Forense Computacional em Servidor IIS 5.0. Os objectivos especficos so: Descrio detalhada sobre onde, como e o que procurar em um servidor web sistema comprometido; Instalao, configurao e disponibilizao de um servidor web para eventuais ataques; Recolha, anlise e apresentao de evidncias; Apresentao de ferramentas de investigao de crimes digitais; Enquadramento legal das evidncias
Motivaes
Porque os servidores webs so as principais vitimas de ataques realizados por meios da internet;
E por ser a Forense Computacionaluma cincia que permite estudar e obter provas de crimes digitais.
Estrutura do trabalho
O trabalho est dividido em 5 Captulos:
No captulo 2, Segurana Computacional, sero apresentados alguns aspectos fundamentais de segurana como as ameaas, vulnerabilidades e as formas de ataques aos sistemas informticos. Tambm sero apresentados alguns aspectos legais.
12/92
No captulo 3, tema principal deste trabalho Forense Computacional em Servidor IIS 5.0, sero apresentados um conjunto de tcnicas forense utilizadas durante uma investigao aps intruso. Tambm ser explicado detalhadamente toda a parte terica sobre o funcionamento de servidor web, desde arquitectura, instalao, configurao, segurana, arquivos de log e a auditoria no IIS. Este captulo servir de base para desenvolvimento do estudo de caso.
No captulo 4, Estudo de caso, ser apresentado um estudo de caso prtico, dividido em duas partes: uma em que ser montada um servidor web (correndo o servio IIS 5.0) e disponibilizado na internet para ataque; e a parte de investigao forense no servidor comprometido.
No captulo 5, Concluso, procura-se de uma forma bem resumida, mostrar a importncia da forense computacional no tratamento dos incidentes de segurana e uma anliseda lei no domnio dos crimes informtica em Cabo Verde.
Na Recomendaes, ser feito algumas recomendaes no domnio da segurana, dos espetos legais e sobre as boas prticas de investigao forense.
13/92
CAPTULO 2:
SEGURANA COMPUTACIONAL
O presente capitulo aborda a relao entre a evoluo da tecnologia no mundo e consequentemente o surgimento de novas formas de crimes realizados por meios de computador. Ainda abordaalguns aspectos relacionados com segurana da informao, ataques e vulnerabilidades de sistemas e a necessidade de novas leis. Esses itens so a motivao principal para o surgimento da forense computacional, o temo deste trabalho.
Contextualizao
medida que a tecnologia progride, novas vulnerabilidades vo surgindo. Por isso, torna-se necessrio ter conhecimento geral destas vulnerabilidades ou pontos fracos de forma a se prevenir melhor das ameaas e assim reduzir os impactos que possam causar.
Neste contexto, necessrio a utilizao de um conjunto de mecanismo de segurana que permite a sua proteco contra os potenciais agressores.
1.1
Proteco da informao
14/92
A informao tornou-se uma necessidade crescente para qualquer sector da actividade humana. Tambm, por assumir, hoje em dia, uma importncia crescente e fundamental sobretudo a nvel da empresa, necessrio estabelecer politicas de segurana como forma de garantir a sua proteco contra a sua utilizao mal intencionada ou agressores.
Segundo Bueno (2007), a proteco da informao o objectivo principal das reas relacionadas segurana da informao. Para o mesmo autor, proteger dados computacionais significa assegur-los de destruio e comprometimento.
Para proteger tal contedo, usado vrios mecanismos de segurana, como a autenticao, confidencialidade, integridade, controlo de acesso, entre outros. Uma outra forma de proteger a informao aplicar a manuteno da segurana, pois, esta impede a informao de ser perdida.
A evoluo da criminalidade e evoluotecnolgica
A evoluo da tecnologia e sua popularizao, tem sido, de uma forma geral, a uma velocidade muito maior que a legislao preventiva, situao esta que causa grande preocupao. Com isso quer-se dizer que a sua evoluo est proporcionando uma dimenso da criminalidade, pois a criminalidade tecnolgica aumenta em proporo da tecnologia.
Como podemos observar, a tecnologia dos computadores est envolvida em um nmero crescente de actividades ilcitas comoa invaso de sistemas, os delitos e fraudes informticos, a disseminao da pornografia infantil e entre outros.
O caso do Brasil Brasil, um exemplo de Pas considerado como a referncia mundial em crimes cometidos via internet. As estatsticas revelam que o Brasil o pas com o maior nmero de hackers especialista no mundo.
Segundo dados divulgados pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br), a evoluo dos crimes virtuais causados por ataques
15/92
(invases, scan, fraude, ataques a servidores web e Denial of Service) aumentaram progressivamente de 3107 no ano 1999 para 358343 no ano 2009 e, com uma diminuio brusca para 61147 no ano 2010 como mostra a figura a seguir:
Figura 1 - Evoluo dos Incidentes de segurana Brasil Fonte: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br). Disponvel em: http://www.cert.br/stats/incidentes/
Como podemos verificar, no ano 1999 houve um nmero total de 3107 incidentes, e segundo a CERT.br, dos 3107 incidentes, 4 correspondem a fraudes, 21 correspondem ao DOS (Denial of Service), 128 corresponde a invases, 183 corresponde ao aw (ataques a servidores web), 658 correspondem a af (Ataque ao usurio final), 845 correspondem a axfr (tentativa de obter/actualizar mapas de DNS) e 1268 correspondem a scan.
O ano 2009 foi o ano com maior nmero de incidentes at a presente data, pois atingiu um total de 358343 incidentes. As fraudes aumentaram para 250362, DOS para 896, invases para 111, scan para 52114, web para 5592, worm para 45099 e 4169 correspondentes a outros tipos de ataques.
16/92
J no ano 2010, tais incidentes tiveram uma diminuio brusca de 358343 em 2009 para 61147 em 2010, com um nmero total de worm correspondente a 4761, DOS a 5, invaso a 12, scan a 17023, web a 1881, fraude a 8060 e um valor total de 1080 correspondente a outros tipos de notificaes de incidentes que no enquadram na categoria anteriores.
O caso dosE.U.A
De acordo com a pesquisa 2004 E-Crime Watch, conduzida pela revista CSO com o apoio do servio secreto dos Estados Unidos e do CERT, em 2003, invases, ataques, disseminao de vrus, spams entre outras actividades considerados crimes digital custaram s empresas Norte-Americana um valor total de 666 milhes de escudos US.
Um novo estudo realizado pela verizon com dados do Servio Secreto dos EUA, o chamado 2010 Verizon Data Breach Investigations Reporter, oferece um quadro bastante amplo da natureza e das causa do cibercrimes em vrios pases do mundo. O estudo destaca a participao de funcionrios das empresas, na chamada engenharia social e participao cada vez maior do crime organizado neste tipo de delito. Porm, em termos gerais, o nmero de crimes com dados electrnico caiu em 2009, em comparao com anos anteriores.(fonte: http://tecnovarejo.blogspot.com/2010/08/varejo-e-alvo-prioritario-de-crimes.html)
Segundo a mesma fonte, o Varejo est entre os trs sectores mais afectados pelo furto e vazamento de dados sigilosos (informaes privadas de consumidores, como documentos e nmeros de cartes de crdito), representando 15% do total de crimes. O sector financeiro lidera com 33% dos casos, seguido pela rea de hospitalidade e hotelaria com (23%). Ainda, a incluso de dados do Servio Secreto do governo americano, que investiga crimes financeiros, permitiu que o estudo inclusse e comparasse dados sobre crimes electrnico ocorridos nos ltimos seis anos. O estudo inclui mais de 900 ocorrncias, que causaram quase 1 milho de dados sigilosos roubados.
Entre as principais concluses do estudo esto:
A grande maioria dos vazamentos de dados (69%), foi comandada por fontes externos, enquanto apenas 11% incluem a participao de parceiros comerciais;
17/92
Quase metade dos crimes (49%) foram causados por agentes internos, um crescimento significativo que o estudo atribui incluso de dados do Servio Secreto;
48% dos vazamentos foram atribudos a utilizadores que abusaram do seu acesso privilegiado dos dados empresariais, com intenes criminosas. Quase 40% dos casos tiveram a participao dos hackers, enquanto 28% foram causados pela manipulao de contactos sociais e 14% resultou de ataques fsicos a computadores de empresas;
Assim como nos anos anteriores, quase todos os casos de 2009 indicam o furto atravs de servidores de aplicativos online, e 85% dos casos foram considerados de baixa dificuldade pela pesquisa;
Um dado importante que 79% das vtimas no adaptavam o padro de encriptao PCI-PSS, considerado o mais importante para a proteco de dados privados.
E para finalizar, a queda do nmero total de casos em 2009 em comparao a 2008 atribuda a uma srie de factores, incluindo uma maior eficincia das polticas de segurana, tanto pblicas como privadas. O estudo no detectou nenhuma correlao entre o tamanho de uma empresa e o seu risco de sofrer um ataque ciberntico. Segundo os pesquisadores da Verizon, os criminosos geralmente escolhem seus alvos em funo do possvel valor do furto e do custo do delito, sem dar grande importncia ao tamanho e localizao da vtima.
Ataques e vulnerabilidades
Segundo (Bueno, 2007), organizaes pblicas e privadas so, constantemente, alvo de ataques de todo o tipo. Um levantamento realizado por (Icove et al, 1995) indica, segundo Bueno, que informalmente contabiliza-se que as perdas financeiras atingem a bilhes de dlares. Por outro lado, neste mesmo estudo, foi mostrado que esses ataques so praticados no apenas por pessoas de fora da organizao, mas tambm pelos prprios funcionrios da empresa, como mostra a figura abaixo. Muitas vezes os funcionrios demitidos promovem ataques a sistemas como forma de vingana.
Tambm as vulnerabilidades de hardware e software podem incluir actos ilcitos como roubo e destruio de activos de rede e at mesmo softwares proprietrios. Geralmente, esses crimes
18/92
no so enquadrados, juridicamente, em uma legislao especifica sobre crimes de computadores. Normalmente esses crimes so enquadrados na violao da integridade do patrimnio, pois o autor do crime no fez o uso direito da tecnologia de informao, nem da comunicao computacional para cometer o acto ilcito segundo (Da Silva Rodrigues & Caricatti, 2004) citado por (Bueno, 2007).
Figura 2 - Factores princiapais de crimes e perdas (adaptado por Icove et al, 2005)
3.1
Formas de ataques e invases
Backdoors Para (Lim-Apo, 2004), um backdoor um mecanismo sorrateiramente introduzido nos sistemas de um computador para facilitar o acesso no autorizado a este sistema. Portanto, eles podem ser instalados para acessar vrios recursos e so mais frequentemente instalados pelos atacantes que tenham comprometido um sistema para tornar mais fcil o seu retorno ao sistema, preferencialmente de forma menos visvel. Segundo o mesmo autor, alguns dos tipos mais comuns de backdoors tem propsito de disponibilizar servios tais como: SSH, Rlogin, Telnet, FTP, Root prompt, Nasper, Gnutella.
Cavalos de tria
19/92
Cavalo de Tria, segundo (Lim-Apo, 2004) um programa destrutivo que se apresenta aparentemente como uma aplicao benigna. Diferentemente dos vrus, este no se replica por se s, mas pode ser to destrutivo quanto um vrus. Ainda, segundo o mesmo autor, alguns cavalos de Tria podem vir em forma de proteco de tela, por exemplo, um protector de tela que captura as teclas pressionadas em seu teclado (keylogger) ou que captura a rea da tela de cada clique dado por seu mouse (mouselogger).
Criptanlise O objectivo da criptanlise , descobrir textos ocultados usando cifras ou descobrir segredos usados em sistemas de cifras para ocultar um ou mais textos. Pode ser usado para: (Zquete, 2010). Obteno do texto original relativo a um dado criptograma; Obteno da chave de cifra (ou de uma outra equivalente) usada para produzir um ou mais criptograma; Obteno do algoritmo de cifra (ou de um outro equivalente) usado para produzir um ou mais criptogramas. Ainda, segundo o mesmo autor, as tcnicas de criptanlise so inmeras e seria fatisdioso enumer-las todas. Importa, no entanto, referir as formas de ataques criptanalticos mais significativas: Ataques usando apenas o criptograma (ciphertextt-only attackes): Nestes ataques procura-se descobrir um texto original ou uma cifra (algoritmo ou chave) que originaram um dado criptograma, partindo apenas do conhecimento deste ltimo; Ataques com conhecimento do texto original (known-plaintext attacks): Neste ataque procura-se descobrir parte do texto original ou uma cifra (algoritmo ou chave) que originaram um dado criptograma, partindo do conhecimento deste ltimo e de parcelas do texto original; Ataques com texto original escolhido (chosen-plaintext attacks): Nestes ataques procura-se descobrir uma cifra (algoritmo ou chave) usados num sistema criptogrfico, introduzindo no mesmo texto escolhido, analisando o criptograma resultante;
20/92
Ataques com texto original escolhido de forma adaptativa (adaptative chosenplaintext attacks): Estes ataques souma variante dos que usam texto escolhido; a diferena est no facto de parte do texto introduzido ser escolhido em funo dos criptogramas obtidos anteriormente;
Ataques com criptogramas escolhidos (chosen-ciphertxt attacks): Estes ataques so uma variante dos que usam texto escolhido; adiferena est no facto de se introduzir criptogramas no sistema criptogrfico e analisar o mesmo a partir dos textos originais produzidos (ou a partir das reaces causadas pela recepo desses textos originais);
Ataques do aniversrio (birthday attacks): Estes ataques so uma variante dos que usam pesquisa exaustiva. Tm este nome porque, segundo o paradoxo do aniversrio, conseguem chegar a uma soluo num nmero de tentativas inferior, prximo da raiz quadrada do que partida seria expectvel.
3.2
A necessidade de novas leis
A popularizao do computador e da internet passou a ser vista por indivduos mal intencionados como mais um meio de realizar crimes.
Normalmente, nos Pases mais desenvolvidos onde existe uma legislao forte contra os crimes electrnicos, os criminosos da internet tendem a fugir, pois j sabem que num pas onde existe uma legislao forte sero facilmente sancionados no caso de cometerem delitos. Portanto, esses criminosos ao fugirem tem tendncia em refugiar-se para os pases onde no existe uma legislao especfica para esses crimes, ou se existe, ento muito fraco.
Em Cabo Verde, ainda no existir uma legislao especfica que trata de crimes desta natureza, o que pode constituir uma grande ameaa.
Uma das formas de preveno contra esse tipo de situao investindo na legislao. Com isso, est-se a querer dizer que se o pas tiver uma legislao forte, os criminosos mantm em distncia e at mesmo os provedores, um dos principais causadores desses problemas passaro a se preocupar principalmente quando ficarem a saber de que podem ser chamados
21/92
em juzos ou notificados para prestarem informaes sobre eventos ocorridos dentro de seus sistemas.
22/92
CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0

1
1.1
Contextualizao
Introduo cincia forense
Cincia Forense, segundo Smola (2007) uma rea interdisciplinar que aplica um amplo espectro de cincias com o objectivo de dar suporte, respondendo perguntas s investigaes relativas ao sistema legal, mais precisamente ligadas justia civil e criminal. Entre seus desafios est a identificao do crime, o rastreamento das etapas que o precederam, a localizao e preservao de evidncias e a gerao de documento de suporte legal.
1.2
Forense Computacional
Segundo Lim-Apo (2004), O termo forense origina-se do meio policial, onde peritos investigadores procuram analisar de forma minuciosa tudo que encontram na cena do crime
Dentro do contexto electrnico, a Forense, segundo (Menegotto, 2004) compreende a aquisio, preservao, identificao, extraco, restaurao, anlise e a documentao de evidncias computacionais. Este processo permite o rastreamento, identificao e
23/92
comprovao da autoria de aces no autorizadas como violaes de normas internas e at mesmo crimes electrnicos.
1.2.1
Forense na web
Histrico e cache Ao contrrio dos cookies, fornece pouca informao conclusiva, os tens de histrico e cache possibilitam tirar concluses slidas a respeito da navegao na internet realizada na mquina investigada. Esses dois itens foram criados, como um meio de permitir a navegao e facilitar consultas a itensrecm-conquistados. Desta forma eles podem ser usados na forense para reconstruir a navegao de utilizadores. Portanto, o histrico de um navegador de internet regista a lista de URLs acessados recentemente pelos utilizadores do sistema. O cache diz respeito a acumulao de contedos acessados, como pginas e imagem, na mquina do cliente (Bueno, 2007).
Segundo (Bunting & Wei, 2006) citado por (Bueno, 2007), de forma geral, cada navegador adopta uma forma diferente para guardar os registos de histrico de um utilizador. Por exemplo, no Internet Explorer definido um arquivo de ndice denominado index.dat, um para cada dia de navegao.
No Mozilla Firefox definido um nico arquivo history.dat, o qual armazena todas as entradas dohistrico. Particularmente, no Windows os arquivos de ndice no registam apenas pginas e arquivos da Web associados via Internet Explorer; quaisquer arquivos abertos dentro da prpria mquina sero registado no seu respectivo ndice. Por exemplo, arquivos de texto, imagens, MP3, etc acessados no dia XX sero inseridos no index.dat desse dia, porm usando o termo inicial file:/// para indicar que um arquivo local (Bueno, 2007).
Localizao em disco Segundo (Bueno, 2007), no Mozilla Firefox, o histrico armazenado na pasta abaixo (pode sofrer alguma alterao de acordo com a verso do navegador usado): X:\Documents and Settings\<usu_ario>\Dados de aplicativos
24/92
\Mozilla\Firefox\Profiles\<nome-aleat_orio>\history.dat Diferentemente do Mozila, no internet explorer, a localizao dos itens de histrico, cache e cookies encontra-se nas pastas de acorde com a tabela abaixo: Item Cache (Temporary Internet File) Localizao X:\Documents and Settings\<usurio> \ Configuraes locais\Temporary Internet Files \Content.IE5
Histrico (History)
X:\Documents and Settings\<usurio> \Configuraes locais\Histrico \History.IE5
Cookies
X:\Documents and Settings\<usurio>\Cookies
Tabela 1: Localizao de artefactos do Internet Explorer (Bueno, 2007).
Internet Explorer No internet explorer (IE), de acordo com (Bueno, 2007), temos disposio, sem fazer uso de nenhuma ferramenta, dois itens:
Histrico: Compreende diversos arquivos de ndice. Cada arquivo de ndice guardado no seu respectivo diretrio e nomeado de acordo com a data que representa, por exemplo MSHist122010032220070323. Este um arquivo binrio e proprietrio da Microsoft, mas pode ser visualizado facilmente os seus registos, pois essa informao guardada textualmente. Outras informaes no textual que esto guardados so, por exemplo, uma tabela de hash para que o navegador seja capaz de montar e exibir o arquivo de ndice.
Cache: Compreende um arquivo de ndice e alguns directrios (geralmente 4) para guardar o contedo da cache. Este tem estrutura similar do arquivo de ndice do histrico, ou seja possui uma tabela de hash e os prprios registos de cada item de cache, estes ltimos guardados em forma textual. Nos directrios do cache esto presentes os arquivos acessados
25/92
no IE, como pginas, figuras e folhas de estilo. Desta forma, possvel fazer uma averiguao do cache apenas verificando o contedo desses directrios no sendo necessrio fazer uso do arquivo de ndice.
Cookies Segundo (Kurose and Ross, 2006) citado por (Bueno, 2007), cookies so mecanismos utilizados pelos navegadores de internet com a finalidade de manter sesses HTTP de utilizadores durante a conexo cliente-servidor.
O contedo de um cookie o seu prprio cabealho que pode apresentar diversos campos como: (Jones, 2005) citado por (Bueno, 2007).
Set-Cookie: <NAME>=<CONTENT>; expires=<TIMESTAMP>; path=<PATH>; domain=<DOMAIN> Um exemplo de cookie gerado pelo addthis :
Browser: Internet Explorer Site(s): adecn.com/ Name(s): AEID Value(s): YjBiOGJhMmQ2MGFhNGZjYzg5MjE0Nzg4M2RhYWMyNzY=|NqOKL/1VcWXKQ YVeiasWY5TqIMcgtHszf+nC8DdRsLg= Expires on: 07-02-2011 10:32:48 Created on: 11-08-2010 10:32:13 Secure: no Cookie file: C:\Users\Leni\AppData\Roaming\Microsoft\Windows\Cookies\leni@adecn[1].txt
No cabealho acima, verifica-se que se trata de um cookie de nome AEID, cujo o contedo :
26/92
YjBiOGJhMmQ2MGFhNGZjYzg5MjE0Nzg4M2RhYWMyNzY=|NqOKL/1VcWXKQYVei asWY5TqIMcgtHszf+nC8DdRsLg=, criado em 11-08-2010 10:32:13, e ser mantido pelo navegador at 07-02-2011 10:32:48. Na ltima linha apresentado o localizao do cookie no disco: :\Users\Leni\AppData\Roaming\Microsoft\Windows\Cookies\leni@adecn[1].txt.
Existem vrias formas de visualizar o contedo de um cookie, como: Extenses do Mozilla Firefox; Cookie monster.
1.3
Evidncia Digital
Segundo Marcelo & Paulo (2002), o termo evidncia digital refere-se a toda e qualquer informao digital capaz de determinar que uma intruso ocorreu ou que prove alguma ligao entre a intruso e a vitimas ou entre a intruso e o atacante.
Conforme os mesmos autores, a evidencia digital no deixa de ser um tipo de evidncia fsica, embora seja menos tangvel. Ela composta de campos magnticos e pulsos electrnicos que podem ser colectados atravs de tcnicas e ferramentas apropriadas.
Nas palavras de (Chaves, 2004), A maior dificuldade no combate s condutas no meio electrnico quando estas so praticadas por grandes profissionais. Estes costumam no deixar vestgios, utilizando-se de artimanhas de enganar a policia e dificultar a actuao dos peritos na sua identificao.1
A evidncia digital apresenta caractersticas prprias e complexas, exigindo conhecimento especializado na sua recolha e utilizao.
Normalmente, uma das grandes preocupaes para os especialistas em novas tecnologias a identificao da autoria efectuadas no meio electrnico.
Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592. Consultado em 16/09/2006 27/92
1.3.1
O Professional
Os profissionais que actua na rea de forense computacional so indivduos geralmente chamados de perito por terem um grande nvel de conhecimento nesta rea e por investigarem os crimes de natureza tecnolgicos.
Nesse contexto, Lim-Apo (2004) defende que esses profissionais devem reunir um conjunto de caractersticas:
Conhecimento e entendimento profundo das caractersticas de funcionamento de sistemas de arquivos, programas de computador e padres de comunicao em redes de computadores; Familiaridade com as ferramentas, tcnicas, estratgias e metodologia de ataques conhecidos, inclusive as que no se tem registo de ter ocorrido, mas que j so vistas como uma explorao em potencial de uma determinada vulnerabilidade de um sistema; Faro investigativo para perceber rastros sutis de aces maliciosas - Esmero pela perfeio e detalhes. Sempre deve haver rastros, mesmo que muito sutis; Entendimento sobre o encadeamento de causas e consequncias em tudo o que ocorre num sistema para construir a histria lgica formada por aces maliciosas ou normais que j tenham ocorrido, que estejam em curso e que possam vir a acontecer; Conhecimento da legislao envolvida; Conhecimento das directivas internas das empresas e instituies envolvidas no processo investigativo, com especial ateno s limitaes como directivas de privacidade, sigilo e escopo ou jurisdio de actuao; Cuidado com a manipulao e preservao de provas legais em potencial, inclusive com uma metodologia de cadeia de custdia. O que no visto como prova hoje pode vir a ser uma prova e ento bom ter sido preservada o suficiente para ser aceita em um tribunal.
28/92
Noes sobre a psicologia dos atacantes em potencial a respeito de perfis de comportamento e motivaes. Experincia ao examinar os rastros em um incidente perceber o nvel de sofisticao e conhecimento de um atacante, especialmente interessante se o atacante usa subterfgios para parecer menos capaz, como deixar rastros bvios e parecer um ataque simples para ocultar aces maliciosas muito mais perigosas e muito mais escondidas.
Ouarantiello (1997) num dos seus artigos relatado por Rodrigues & Caricatti (2004)2, refora ainda a ideia de que o especialista deve conhecer o entendimento do judicirio, sobre questes tais como as condies em que valido o exame pericial, falsa percia e posio funcional do Perito no processo, entre outras que afectam, directamente, sua actuao, pois sem evidencias no h crime.
1.3.2
Metodologia Forense para obteno de evidncias
De acordo com Adams (2000) apud Vargas (2007)3, actualmente j existem padres metodolgicos bem definidos e desenvolvidas pelo SWGDE4 que seguem um nico princpio: o de que todas as organizaes que lidam com a investigao forense devem manter um alto nvel de qualidade a fim de assegurar a confiabilidade e a preciso das evidncias. Esse nvel de qualidade pode ser atingido atravs da elaborao de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de anlise conhecida e prever a utilizao de tcnicas aceitas na comunidade cientfica internacional.
Obteno e Colecta de Dados
Disponvel em:http://www.linorg.cirp.usp.br/SSI/SSI2004/Artigos/Art010_ssi04.pdf. Acessado em 01/05/2010.
http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_e_metodologias_para_obtencao_ de_evidenvias/ 4 Scientific Working Group on Digital Evidence (SWGDE) - representante norte-americano na International Organization on Computer Evidence (IOCE). 29/92
Os procedimentos adoptados na colecta de dados devem ser formais, seguindo toda uma metodologia e padres de como se obter provas para apresentao judicial, como um checkList, de acordo com as normas internacionais de padronizao, citadas acima (Vargas, 2007).
Ainda, segundo (Lim-Apo, 2004), mesmo que no haja a inteno de usar em um tribunal as provas obtidas, os procedimentos devem ser formais e seguindo uma metodologia como se as provas obtidas fossem para serem usadas em um tribunal. Durante o andamento do caso outros acontecimentos podem provocar a mudana na inteno e levar o caso a um tribunal.
Identificao Durante a identificao das evidncias, necessrio saber separar os factos dos factores, que possam vir a influenciar ou no um crime, para estabelecer uma correlao na qual se faz um levantamento das ligaes relevantes como datas, nomes de pessoas, autarquias, etc, dentre as quais foi estabelecida a comunicao electrnica Vargas (2007).
Preservao Um Perito Forense Computacional experiente, de acordo com Kerr (2001) apud Vargas (2007), ter de ter certeza de que uma evidncia extrada dever ser adequadamente manuseada e protegida para se assegurar de que nenhuma evidncia seja danificada, destruda ou mesmo comprometida pelos maus procedimentos usados na investigao e que nenhum vrus ou cdigo malicioso seja introduzido em um computador durante a anlise forense.
Anlise Na concepo de Kerr (2001), a anlise ser a pesquisa propriamente dita, onde o investigador se detm especificamente nos elementos relevantes ao caso em questo, pois todos os filtros de camadas de informao anteriores j foram transpostos Vargas (2007).
Ainda, de acordo Kerr (2001) citado por (Vargas, 2007), deve-se sempre ser um profissional atento e cuidadoso em termos da obteno da chamada "prova legtima", a qual consiste numa
30/92
demonstrao inquestionvel dos rastros e elementos da comunicao entre as partes envolvida.
Geralmente, para a anlise das evidncias utilizado sistemas automatizados que pode gerar relatrio detalhado, contendo a descrio das evidncias encontradas, apresentao de eventos relacionados com intruso e a determinao de outras caractersticas particulares do ataque, como por exemplo, a origem e alteraes deixadas no sistema comprometido. Portanto, a automatizao do processo de anlise forense possui efeitos mais amplas, pois, medida que a quantidade de informaes armazenadas nos sistemas computacionais aumenta, essa automatizao torna-se uma necessidade. Outra vantagem desse sistema, a possibilidade de implementao de procedimentos e protocolos devidamente testados e avaliados impedindo que o investigador cometa erros que comprometam a investigao.
Figura 3 - Arquitectura extensvel para um sistema automatizado de analise forense (Reis, 2003).
A figura 2, apresenta uma arquitectura extensvel, para o desenvolvimento de um sistema automatizado de anlise forense. A arquitectura composta por um servidor designado que
31/92
representa um sistema de anlise, e um cliente equipado de ferramentas para recolha de informaes executado na mquina suspeita. O servidor neste caso o componente principal, pois encarrega de receber as informaes provenientes da mquina suspeita, organiz-las devidamente no sistema de anlise (servidor), buscar as evidencias e analis-las. O cliente responsvel pela recolha de informao na mquina invadida enviando-as para o servidor atravs da rede. Os plugins so responsveis para a busca e extraco de evidncias, por isso, cada um deles deve ser configurado com um conjunto de possveis evidncias que devero ser procuradas. Em relao ao hashes criptografados, estes so gerados no momento da recolha de informao na mquina analisada, sendo enviados para o sistema de anlise, juntamente com os dados recolhidos. O analisador o responsvel pela anlise das evidncias encontradas pelo plugins.
Para terminar, importante ressaltar que durante as fases de anlise deve-se documentar os procedimentos, isto , a elaborao e documentao dos procedimentos a serem executados durante um incidente, inclusive referentes investigao das mquinas afectadas, essencial para a credibilidade e rapidez da resposta.
Apresentao De acordo com Freitas (2006) apud Vargas (2007), esta fase tecnicamente chamada de "substanciao da evidncia", pois nela consiste o enquadramento das evidncias dentro do formato jurdico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas.
Desta forma, segundo Vargas, quando se tem a certeza material das evidncias, actua-se em conjunto com uma das partes acima descritas para a apresentao das mesmas.
Ainda, segundo o mesmo autor, o investigador precisa estar perfeitamente sintonizado com os objectivos de cada etapa metodolgica apresentada na seco 6.1, para poder minimizar o tempo e a quantidade de dados que deve obter at apresentar, maximizando sua eficincia e eficcia.
1.3.3
Fonte das evidncias
32/92
Na concepo de Vargas (2007), a busca de indcios em um sistema computacional inicia-se com uma varredura minuciosa das informaes nele contidas, seja em arquivos ou em memria, dados "deletados" ou no, cifrados ou possivelmente danificados.
Nas palavras de (Chaves, 2004), A maior dificuldade no combate s condutas no meio electrnico quando estas so praticadas por grandes profissionais. Estes costumam no deixar vestgios, utilizando-se de artimanhas de enganar a policia e dificultar a actuao dos peritos na sua identificao.5
Dispositivos de armazenamento da CPU De acordo com Castro Jr et all (S/D), as informaes contidas nos registradores de uma CPU embora so de mnima utilidade e sua captura impraticvel, podem conter informaes que ainda no foram actualizadas na memria principal do sistema. Estes dados no possuem nenhum valor de prova pericial por conter apenas clculos em linguagem de mquina impossveis de serem traduzidos em informaes com garantias.
Memria de perifricos Geralmente, quase todos os dispositivos, conectados ou no, em um computador, podem conter memria, sendo esta de carcter temporrio ou no. Como por exemplo,no caso das caixas automticas, existem um conjunto de perifricos como (Dispensador de notas, impressora de recibos, leitor de cartes, etc) todos conectados a um computador podem conter em sua memria informaes importantes a serem investigadas.
Memria principal do sistema Embora, a percia forense em sistemas computacionais mais comummente realizada em discos rgidos e outros dispositivos de armazenamento no voltil as evidncias podem tambm ser encontradas em memria principal.
5
Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592. Acessado em 16/09/2010. 33/92
Arquivos temporrios (temp) De acordo com Freitas (2006) apud Vargas (2007), alguns programas de processamento, desde o de texto at os que manipulam base de dados, criam arquivos temporrios nos directrios durante sua execuo. Esses arquivos so apagados automaticamente ao final da sesso de trabalho e como podem conter indcios de actos ilcitos devero ser investigados.
Sector de swap
Segundo Freitas (2006)apud Vargas (2007), o gestor de memria do sistema operacional utiliza o sector de swap como uma grande rea de armazenamento temporrio de arquivos, que pode ser descarregados momentaneamente na memria principal, podendo ser tanto um arquivo quanto uma partio inteira do disco. Logo, este sector poder conter alguma prova de algum acto ilcito, pelo que deve ser tambm investigada.
Sector de boot Este sector trabalha na inicializao do sistema operacional, sendo possvel, se modificado, carregar qualquer outro tipo de programa durante a inicializao do computador, de acordo com Freitas (2006) apud Vargas (2007). Exemplo: insero de uma instruo no boot que ir inicializar algum tipo de ocorrncia maliciosa no sistema operacional. Logo importante tambm para o investigador a anlise do sector de boot do computador periciado.
Sistemas de arquivos Os arquivos de dados e executveis representam a maior fonte de informao para o exame forense e so analisados para se determinar seu contedo e funcionalidade no sistema computacional. Estes podem ser procuradospor palavras-chave, imagens, dados especficos ou programas utilizados para prticas ilcitas Vargas (2007). Segundo o mesmo autor, alm de alteraes, excluso ou at mesmo incluso de modificaes inesperadas em directrios, arquivos (especialmente aqueles cujo acesso restrito) podem
34/92
caracterizar-se como indcios para uma infraco. Exemplo: arquivos do tipo doc, txt, imagens, programas executveis, aplicaes instaladas (exe), dentre outras.
Arquivos de Logs
De acordo com Vargas (2007), os arquivos de logs tambm representam um papel importante na anlise do sistema de arquivos, pois permitem a reconstituio de factos que ocorreram no sistema computacional, podendo registar entre outras informaes as actividades dos utilizadores, dos processos e do sistema, as conexes e actividades de rede, podendo variar de acordo com o sistema operacional e servios utilizados.
Ainda segundo Vargas, este serve para a indicao de aces em um determinado sistema operacional ou de alguma aplicao.
1.3.4
Perfil e mtodos de operao do atacante
Segundo dados estatsticos sobre a criminalidade informtica em Portugal, divulgados por representantes da Polcia Judiciria durante um evento, demonstra que o criminoso informtico portugus tem entre 15 e 40 anos, geralmente muito introvertido, cerca de metade filho de pais separados/divorciados, frequenta o ensino superior numa vertente tecnolgica, tira notas medianas e no tem antecedentes criminais.(fonte:
http://www.miudossegurosna.net/artigos/2005-03-18-acapital.html)
Por outro lado, entender a motivao e o comportamento de um atacante segundo Reis & Geus (2002), um ponto-chave para orientar a investigao, pois, essa compreenso fornece pistas sobre onde, como e o qu procurar durante a analise forense. Quanto maior a conscincia acerca dos objectivos e mtodos de operao de um atacante, maior o preparo do investigador para analisar e responder a um incidente.
Para Reis e Geus, a invaso de sistemas computacionais, ocorre com finalidades diversas, podendo ser destacada as seguintes:
35/92
Obteno de informaes (roubo de segredos, nmeros de cartes de credito, senhas e outros dados relevantes ao intruso);
Promover algum estrago (destruio de informaes e paralisao do sistema, por exemplo);
Utilizao dos recursos do sistema (repositrio de dados, disseminao de ataques distribudos, provimento de servios, por exemplo);
Dependendo da finalidade e da habilidade, o mtodo de operao de um invasor pode sofrer algumas variaes. Entretanto, os passos tomados pelo atacante para comprometer um sistema computacional podem ser generalizados como se segue: Identificao do alvo; Busca de vulnerabilidades no alvo; Comprometimento inicial; Aumento de privilgio; Tornar-se invisvel; Reconhecimento do sistema; Instalao de backdoors; Limpeza de rastos e por fim; Fazer retorno atravs de backdoor.
Para os mesmos autores, a primeira atitude do atacante a escolha de um alvo potencial. Uma vez localizado, o atacante comea a reunir informaes sobre o sistema a fim de identificar vulnerabilidades no sistema operacional ou servios de rede disponveis. Se um invasor ainda no possui uma combinao de senha valida para o sistema, ele utiliza mtodos como snifing e adivinhao de senhas, engenharia social ou scanning para encontrar um ponto de entrada. Uma vez encontrado, o invasor realiza o comprometimento inicial do sistema.
A primeira intruso geralmente provoca muito barulho, principalmente se o sistema alvo estiver devidamente equipado, por isso a intruso costuma ocorrer quando ningum est presente para ouvir.
36/92
Depois que o atacante ganha acesso ao sistema, busca privilgio irrestritos (conta de administrador ou root) e para o efeito, transfere programas maliciosos (conhecidos por exploits). Quando o invasor obtm acesso de root e garantir a sua invisibilidade, procura saber o quanto a sua presena perturba o sistema invadido e, por conseguinte, se pode ser descoberta (analisando a configurao de log). Em seguida, ele investiga as medidas de segurana implementadas no sistema invadido. Em alguns casos, at corrige vulnerabilidades existentes para impedir que outro invasor faa uso do sistema.
Aps compreender as configuraes do sistema, o atacante instala backdoors para facilitar seu retorno e paga os rastos deixados por sua presena no sistema. Utilizando uma backdoor, oinvasor retorna de forma mais discreta que o comprometimento inicial e faz um inventrio acerca das informaes existentes na mquina invadida e dos potenciais alvos de vizinhana.
Ainda, segundo (Reis & Geus, 2002), a habilidade do invasor em executar o mtodo de operao descrito anteriormente pode ser fundamental para o processo de anlise forense, pois a quantidade de evidncias deixadas depende directamente do nvel de conhecimento do atacante.
Para ilustrar essa relao, possvel classificar a habilidade de invasor em quatro classe, de acordo com: Clueless, script Kiddie, Guru e Wizard. A tabela 1 apresenta a relao entre a habilidade do invasor e a quantidade de evidncias deixadas.
Nvel de habilidade Clueless
Habilidades Nenhuma habilidade
Evidncias Todas as evidncias so bastantes aparentes
Script Kiddie
Capaz
de encontrar
exploits Pode tentar cobrir rastos com o uso de
prontos na Internet e execut-los rootkits prontos, mas com sucesso seguindo intruses detalhadas. limitado. Pode ser detectado com No escrevem programas Guru esforo mnimo
Equivalente a um administrador Cuidadosamente apaga evidncias em
37/92
experiente.
Hbil
em arquivos de log. No deixa traos
programao. Checa a existncia bvios de sua presena. Pode instalar de programas de segurana e trojan horses e backdoors para um esquemas de log seguros, acesso futuro
evitando alvos protegidos Wizard Possui um grande conhecimento Praticamente no deixa evidncias teis. do funcionamento interno de um Pode comprometer totalmente o sistema sistema. Capaz de manipular hardware e software
Tabela 2:Relao entre a habilidade do invasor e a quantidade de evidncia deixadas
Fonte: (Reis & Geus, 2002)
1.4
Tcnicas anti-forense
Se por um lado a forense computacional procura por vestgios de aces criminosa ocorrida, as tcnicas anti-forense faz o oposto, ou seja, ela diz respeito a qualquer estratgia de eliminao de informao que possa ser usada em um processo de anlise forense.(Bueno, 2007)
1.4.1
Identificao da autoria
A identificao da autoria, quando efectuada nos meios electrnicos, torna-se motivo de grande preocupao sobretudo para os especialistas em novas tecnologias.
A maior dificuldade no combate aos crimes conduzidos em meios electrnicos quando os mesmos so praticados por profissionais de grande conhecimento. Tais profissionais costumam no deixar vestgios, utilizando tcnicas com objectivo de enganar a policia e deste modo dificultar a actuao dos peritos na sua identificao Tambm, por outro lado porque os criminosos na internet, os chamados crackers esto cada vez mais actualizados em matria de novas tecnologia, o que dificulta as empresas na preveno das suas politicas de segurana e dos sistemas informticos. (Chaves, 2004)
38/92
Ainda, de acordo com (Chaves, 2004), um outro motivo que dificulta o combate s condutas no meio electrnico quando estes profissionais utilizam computadores de terceiros para praticarem crimes. Logo ser difcil aos especialistas, implementarem politica de combates. Atravs do endereo IP utilizados, registo de log de acesso, conta de e-mail, cadastros nos provedores e sites j possvel a identificao da autoria.
Entretanto, a identificao da autoria apresenta um grande problema: Em primeiro lugar porque encontrar a mquina evolvida no crime no quer dizer que encontrado o autor do crime.
1.4.2
Criptografia
Segundo Bueno (2007), se por um lado a criptografia fornece um nvel de segurana s informaes, por meios de cifragem de dados, ela pode tambm ser usada para cifrar dados comprometedores para evitar o cesso ao seu contedo. Isso pode representar ser uma grande dificuldade para a forense na sua decifragem.
1.4.3
Esteganografia
Diferentemente da criptografia, que busca cifrar o contedo de uma informao mascarando o real contedo, a esteganografia busca ocultar a existncia de uma informao. Para fazer tal efeito, usado um objecto para conter essa informao que se pretende esconder. A ocultao feita de tal modo que apenas o destinatrio e o remetente devem ser capaz de verificar sua existncia. (Bueno, 2007)
Servidor Web Microsoft IIS
Segundo (Freitas, 2006), os ataques com base em Web geralmente se encaixam em trs categorias: ataques contra o prprio servidor (DoS e DDoS), ataques contra o contedo do site (desfigurao de site, tambm conhecido como defacement) e ataques contra a empresa (roubo de produto ou informao).
39/92
Para Freitas (2003), os ataques via web so frequentes devido vulnerabilidade de software e autenticao do sistema operacional e os mais comuns so os de desfigurao de site.
Para este mesmo autor, num incidente de segurana, diversos arquivos de logs podem ser usados para confirmar ou no se um incidente ocorreu e ento determinar o tipo, extenso, causa e origem do incidente. Somente uma entrada no arquivo de log possa no ser suficiente para termos uma imagem do incidente. Ser necessrio um conjunto de entrada para dar o investigador um controle de tempo e o contexto necessrio para compreender o referido incidente.
2.1
Microsoft IIS
O Microsoft IIS (Internet Information Service) o servidor web da Microsoft, considerado o segundo servidor web mais usado do mundo, a seguir ao Apache.
Segundo (Freitas, 2006), trata-se de um servidor de Internet/Intranet dos sistemas operacionais Windows. A primeira verso do IIS foi disponibilizada em 1996 e hoje, na verso 6, o IIS se encontra mais estvel, seguro e integrado ao sistema operacional.
Existem vrias verses disponvel no mercado no qual se destaca:
Microsoft IIS 1.0, Windows NT 3.51; Microsoft IIS 2.0, Windows NT 4.0; Microsoft IIS 3.0, Windows NT 4.0 Service Pack 3; Microsoft IIS 4.0, Windows NT 4.0 Option Pack; Microsoft IIS 5.0, Windows 2000; Microsoft IIS 5.1, Windows XP Professional, Windows XP Media Center Edition; Microsoft IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition; Microsoft IIS 7.0, Windows Server 2008 e Windows Vista (Home Premium, Business, Enterprise, Ultimate Editions);
40/92
Microsoft IIS 7.5, Windows Server 2008 R2 e Windows 7;
Normalmente, os campos mais importantes para investigar os incidentes suspeitos so o registo data/hora, endereo IP de origem, cdigo do status do HTTP e recursos requisitados.
2.1.1
Histria e evoluo
IIS 1 Internet Information Server 1 Segundo (Freitas, 2006) esta a primeira verso o Microsoft IIS, liberada em Fevereiro de 1996 como um add-on do Windows NT 3.51. Este suportava os trs principais protocolos da Internet: HTTP, TFP e Gopher. O Microsoft IIS 1 apresenta algumas caractersticas como: (Freitas, 2006) Internet Service Manager (ferramenta para gerenciamento do IIS); Integrao com o sistema operacional Windows NT 3.51; Servidores Virtuais; Directrios Virtuais; ISAPI (Internet Server API); Autenticaes Basic e NTLM (Windows NT LAN Manager); SSL (Secure Sockets Layer); IDC (Internet Database Connector); Arquivos de Log nos formatos texto e ODBC.
IIS 2 Internet Information Server 2 Uma das mudanas desta verso em relao a verso anterior foi o facto do IIS 2 se tornar parte da instalao do Windows NT 4, e os principais itens includo no IIS2 foram os seguintes, segundo (Freitas, 2006): IDQ (Internet Data Query); HTX (Hipertext Extension);
41/92
Possibilidade de administrar o IIS atravs de um browser; Key Manager; Index Server; Nova verso do Internet Service Manager.
Na instalao do IIS 2, o Windows NT 4 cria uma conta de usurio especfico para acesso annimo ao servidor web chamada de IUSR_nomecomputador. Relativamente a estrutura dos directrios, so criados e utilizados pelo IIS 2 os seguintes directrios: (Freitas, 2006) [Driver]:\Winnt\System32\InetSrv Neste directrio ficam as DLLs, executveis, arquivos e scripts necessrios para administrar o IIS via browser, documentao do IIS etc.; [Driver]:\ Winnt\System32\LogFiles Local onde esto armazenados os arquivos de logs; [Driver]:\InetPub Por padro, onde ficam armazenadas as aplicaes web.
Para este mesmo autor, o formato de arquivos de logssuportados pelo IIS 2 so: NCSA Common Log File Format; Formato padro; E Log ODBC.
IIS 3 Internet Information Server 3 Quando o Service Pack 3 do Windows NT 4 era instalado, o IIS 2 recebia uma actualizao para a verso 3. Esta actualizao foi disponibilizada em Dezembro de 1996 (a terceira verso do IIS em menos de um ano). Com esta verso o IIS comeou a ser reconhecido no apenas como um servidor web, mas tambm como uma plataforma de desenvolvimento. Algumas das novas caractersticas implementadas no IIS 3 so, de acordo com (Freitas, 2006): Desenvolvimento Web com ASP, VBScript, Jscript, ADO, ActiveX e ODBC; Suporte ao MTS (Microsoft Transaction Server); Suporte ao Microsoft Frontpage 97 Server Extension; Suporte ao Microsoft NetShow (streaming de dio e vdeo);
42/92
Suporte ao Visual interDev (Desenvolvimento de aplicaes Web).
Segundo o mesmo autor, na instalao do IIS 3, criada no Sistema Operacional Windows NT 4 uma conta de utilizador especfica para o acesso annimo ao servidor web chamada de IUSR_nomedocomputador e os logs suportados pelo IIS 3 so: Microsoft IIS Log File Format; NCSA Common Log File Format; W3C Extended Log File Format; Log ODBC.
IIS 4 Internet Information Server 4 O IIS 4 foi disponibilizado em Maro de 1998 como um componente do Option Pack do Windows NT 4. Com o Option Pack, a Microsoft tentava fazer do windows NT 4 uma plataforma mais segura e confivel, pois a cada dia o Windows NT avanava mais nas estatsticas do mercado e o IIS 4 foi o mais significativo upgrade de verso at ento. Alguma das caractersticas includas no IIS 4, segundo (Freitas, 2006) so: O Internet Service Manager deu lugar ao Microsoft Management Console (MMC); HTTP verso 1.1; SSL (Secure Sockets Layer) verso 3; Metabase; SMTP (Simple Mail Transport Protocol); NNTP (Network News Transport Protocol).
De acordo com este mesmo autor, na instalao do IIS 4 so criadas duas novas contas de utilizadores no sistema operacional Windows NT 4: IUSR_nomedocomputador (conta interna para acesso annimo ao IIS) e o IWAM_nomedocomputador (conta interna para o IIS iniciar a partir de aplicativos de processo). Esta verso do IIS, suporta os seguintes arquivos de log: Microsoft IIS Log File Format; NCSA Common Log File Format; W3C Extended Log File Format;
43/92
Log ODBC.
IIS 5 Internet Information Services 5 Segundo (Freitas, 2006), o IIS5 foi liberado como parte do Sistema Operacional Windows 2000 Server dois anos mais tarde. Uma das diferenas entre as verses 4 e 5 foi a mudana do nome de Internet Information Server para Internet Information Serveces. As novas caracteristicas includas no IIS 5 foram: Utilizao de processos em Pool; Controle do tempo da CPU; Integrao com o Active Directory; Novos Wizards; Suporte ao WebDAV (Web Distributed Authoring and Versioning).
Na instalao do IIS 5, segundo Freitas, so criadas duas novas contas de utilizadores no Sistema Operacional Windows 2000 e os arquivos de logs suportados so os mesmos que IIS 4.
IIS 6 Internet Information Services 6 O Microsoft IIS 6 disponibilizado como um add-on do Sistema Operacional Windows Server 2003 e representa uma mudana fundamental nos produtos Web oferecidos pela Microsoft. As novas caractersticas includas no IIS 6 so: Nova arquitectura; Vrias recursos e tecnologias de segurana; Vrias ferramentas de gerenciamento e administrao; Maior integrao com o .NET.
Na instalao do IIS 6 so criados duas novas contas de utilizadores e um novo grupo no Sistema Operacional Windows que segundo Freitas so:
44/92
Utilizador: IUSR_nomedocomputador (conta interna para acesso annimo ao IIS) e IWAM_nomedocomputador (conta interna para o IIS iniciar a partir de aplicativos de processos. Membro do grupo IIS_WPG).
Grupo: IIS_WPG (O grupo IIS_WPG criado para simplificar o processo de configurao de autorizaes).
Relativamente aos arquivos de logs, o IIS suporta (Freitas, 2006): Microsoft IIS Log File Format; NCSA Common Log File Format; W3C Extended Log File Format; Log ODBC; Log Binrio Centralizado.
IIS 7 Internet Information Services 7
Os Servios de Informao Internet (IIS) 7 desempenham a funo Web Server (IIS) no Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista.
O IIS 7.0 divide o servidor Web em um servidor principal leve e em mais de 40 mdulos de recursos que podem ser conectados neste servidor principal. Esses mdulos como o staticFileModule, que permite o download de contedo esttico da web, ou o WindowsAuthModule, que aceita autenticao NTLM integrada podem ser instaladas independentemente no servidor para oferecer a funcionalidade exacta precisada. (fonte:http://msdn.microsoft.com/pt-br/magazine/cc163453.aspx)
De acordo com a mesma fonte, no servidor IIS 7 pode ser adicionado as seguintes extenses:
45/92
Extenses IIS Descrio
Servio Publicao FTP
de O Servio de Publicao de FTP para IIS 7 permite que os criadores de contedo da Web publiquem contedo mais seguramente para servidores da web do IIS 7 com novos recursos como autenticao com base em SSL e transferncia de dados. Para obter mais informaes, consulte Administering FTP 7.5.
Pacote
de O Pacote de Administrao do IIS 7 adiciona aos recursos de gerenciamento no IIS 7
Administrao para incluir o suporte de UI de administrao para autorizao de ASP.NET, erros de personalizao, configurao de FastCGI, Filtragem de Solicitao e mais. Para obter mais informaes, consulte a Ajuda da Interface de Usurio do Administration Pack.
Roteamento
Roteamento da Solicitao do Aplicativo (ARR) da Microsoft para IIS 7 um
de Solicitao mdulo de roteamento com base em proxy que encaminha as solicitaes de HTTP do Aplicativo para servidores de contedo com base em leitores de HTTP, variveis de servidor e algoritmos de balano de carga. Para obter mais informaes, consulte a Application Request Routing User Interface (UI) Help.
Gerenciador
O Gerenciador do Banco de Dados do IIS permite o fcil gerenciamento de bancos
de Banco de de dados remotos e locais de dentro do Gerenciador do IIS. O Gerenciador de Banco Dados de Dados do IIS tambm descobre automaticamente bancos de dados com base no servidor da web ou configuraes do aplicativo e fornece a habilidade de se conectar com qualquer banco de dados na rede. Para obter mais informaes, consulte a IIS Database Manager User Interface (UI) Help.
Mdulo Regravao de URL
de O mdulo de regravao de URL fornece um mecanismo de regravao com base em regra para alterar os URLs de solicitao antes que eles sejam processados pelo servidor da web. O mdulo pode ser usado para expressar a lgica de regravao de URL que pode usar expresses normais ou curingas e para tomar decises de regravao com base em cabealhos de HTTP e variveis de servidor. Para obter mais informaes, consulte a IIS URL Rewrite Module.
46/92
WebDAV
A Extenso WebDAV para IIS 7 permite que autores da web publiquem contedo com mais segurana para servidores da web do IIS 7 e permite que administradores da web e hosters gerenciem configuraes WebDAV usando as ferramentas de gerenciamento e configurao de IIS 7. Para obter mais informaes, consulte WebDAV.
Ferramenta de A Ferramenta de Implantao da Web simplifica a migrao, o gerenciamento e a Implantao da Web implantao de servidores da web, aplicativos e locais IIS. Ela permite que administradores e usurios delegados sincronizem o IIS 6.0 e servidores do IIS 7, migrem um servidor IIS 6.0 para IIS 7 e implantem aplicativos da web em um servidor IIS 7. Para obter mais informaes, consulte Web Deployment Tool.
Tabela 3: Extenses do IIS 7 (Microsoft, 2007)
IIS 7.5 Internet Information Services 7.5
Segundo a Microsoft6, os Servios de Informao Internet (IIS) 7.5 desempenham a funo Web Server (IIS) no Windows Server 2008 R2 e o servidor Web no Windows 7. O servidor Web foi reestruturado no IIS 7 para permitir a personalizao de um servidor, atravs da adio ou remoo de mdulos, com vista a satisfazer as suas necessidades especficas. Os mdulos so funcionalidades individuais que o servidor utiliza para processar pedidos. Por exemplo, o IIS utiliza mdulos de autenticao para autenticar credenciais de cliente e mdulos de cache para gerir a actividade da cache.O IIS 7.5 possui as seguintes funcionalidades:
ASP.NET O ASP.NET fornece um ambiente de programao orientada para objectos do lado do servidor para a criao de Web sites e aplicaes Web que utilizam cdigo gerido. O
6
Disponvel em: http://technet.microsoft.com/pt-pt/library/cc753473%28WS.10%29.aspx. Acessado em 20/09/2010. 47/92
ASP.NET no apenas uma nova verso do ASP. O ASP.NET fornece uma infra-estrutura robusta para a criao de aplicaes Web e foi completamente remodelado para proporcionar uma experincia de programao altamente produtiva baseada no .NET Framework. Extensibilidade .NET A Extensibilidade .NET permite aos programadores de cdigo gerido alterar, adicionar e expandir a funcionalidade do servidor Web no pipeline de pedidos, na configurao e na IU. Os programadores podem utilizar o modelo de extensibilidade do ASP.NET conhecido e as APIs avanadas do .NET para criar funcionalidades do servidor Web to eficazes quanto as escritas atravs das APIs de C++ nativas. ASP O Active Server Pages (ASP) fornece um ambiente de scripts do lado do servidor para a criao de Web sites e aplicaes Web. O ASP oferece um desempenho melhorado em relao aos scripts CGI ao dotar o IIS de suporte nativo tanto para VBScript como para JScript. Utilize o ASP se tiver aplicaes existentes que necessitem de suporte ASP. Para novos desenvolvimentos, considere utilizar o ASP.NET. CGI A Common Gateway Interface (CGI) define o modo como um servidor Web transmite informaes a um programa externo. As utilizaes habituais podem incluir a utilizao de um formulrio Web para recolher informaes e, em seguida, transmitir essas informaes a um script CGI para ser enviado por correio electrnico para outro local. O facto de a CGI ser um padro faz com que os scripts CGI possam ser escritos utilizando vrias linguagens de programao. A desvantagem de utilizar a CGI est na sobrecarga de desempenho. Extenses ISAPI As extenses ISAPI (Internet Server Application Programming Interface) fornecem suporte ao desenvolvimento de contedo Web dinmico utilizando extenses ISAPI. Uma extenso ISAPI executada mediante pedido, tal como qualquer outro ficheiro HTML esttico ou ficheiro ASP dinmico. Como as aplicaes ISAPI so cdigo compilado, so processadas
48/92
muito mais rapidamente do que os ficheiros ASP ou ficheiros que chamam componentes COM+. Filtros de ISAPI Os Filtros Internet Server Application Programming Interface (ISAPI) fornecem suporte s aplicaes Web que utilizam filtros ISAPI. Os filtros ISAPI so ficheiros que podem expandir ou alterar a funcionalidade fornecida pelo IIS. Um filtro ISAPI analisa cada um dos pedidos efectuados ao servidor Web at encontrar um que necessite de ser processado. Server-Side Includes O SSI (Server Side Includes) uma linguagem de scripts utilizada para gerar pginas HTML de forma dinmica. O script executado no servidor antes de a pgina ser entregue ao cliente e envolve, habitualmente, a insero de um ficheiro noutro. Por exemplo, pode criar um menu de navegao HTML e utilizar o SSI para adicion-lo dinamicamente a todas as pginas de um Web site.
2.2
Arquitectura
O IIS implementa 5 servios bsico para a publicao na internet que segundo (Jnior, 2007) so: WWW, que oferece a publicao aos utilizadores finais do IIS, atravs do HTTP cliente; FTP, que oferece a transferncia e o gerenciamento de pacotes; SMTP, protocolo que utilizado para enviar e-mails, podendo programar os servidores para envio de e-mails relacionados a eventos bem ou mal sucedidos; NNTP, que o protocolo de notcias, podendo assim qualquer utilizador utilizando qualquer leitor de notcias cliente, verificar as noticias daquele grupo;
49/92
E o servio de administrao, que mantm o registo do Windows actualizado para os servios citados acima e gerncia a metabase do IIS. A metabase um armazenamento de dados onde ficam guardados todos as configuraes do IIS.
2.3
Arquivos de Log
A forma mais simples de segurana de um web site manter um log dos computadores que contactam o site. O log um registo de quem visitou, quando visitou e o que procurou no site. Nestes mesmos logs, pode-se descobrir quantas pessoas esto a usar o site e se algum est fazendo mau uso deste.Os arquivos de logs padro encontra-se localizado no directrio C:\Winnt\System32\Logfiles\W3SVC1 e o nome do log baseado na data actual, no formato exaammdd.log, por exemplo: 010910.log . O formato padro W3C (World Wide Web Consortium) Extended Log File Format (Formato de Arquivo de Log Extendiso), um formato padro que muitos utilitrios de terceiros interprestam e analisam. Outros formatos disponveis so: Microsoft IIS Log File Format (Formato de Log do Microsoft IIS), NCSA Common Log File Format (Formato de arquivo de Log comum do NCSA) e Log do ODBC (Open Database connectivity), em sistemas Windows 2000, que envia um formato fixo uma base de dados especfico. (Freitas, 2006)
Nesta perspectiva, os arquivos de logs podem ser usados para confirmar ou no se uma invaso ocorreu em um sistema e desta forma determinar o tipo, extenso causa e origem do incidente.
2.3.1
W3C Extended Log File Format
O formato estendido do W3C, como mostra a figura abaixo, um formato ASCII personalizvel com vrios campos diferentes. Desta forma, pode ser includo campos importantes, limitando o tamanho do log e omitindo campos indesejveis. Os campos so separados por espaos e o horrio registado como UTC (horrio de Greenwich). (Freitas, 2006)
50/92
Figura 4 - Exemplo de um W3C Extended Log File Format
Definies do Log do W3C Extended Log Fife Format

CAMPO Data Hora Endereo IP do cliente Nome do utitlizador APARECE COMO date time c-ip cs-username DESCRIO Data de ocorrncia da actividade. Hora de ocorrncia da actividade. Endereo IP do cliente que acessou o servidor. Nome do utilizador autenticado que acessou o servidor. Isst no inclui utilizadores annimos, representado por um hifen. Nome do servio e nmero da instncia Nome do servidor s-computername s-sitename O servivo de internet e o nmero da instncia executados no PC cliente. Nome do Servidor em que a entrada de log foi gerada. IP do servidor s-ip Endereo IP do servidor em que a entrada de log foi gerada. Mtodo cs-method Aco que o cliente estava tentando executar (por exemplo, um mtodo GET). Tronco URI Consula URI cs-uri-stem cs-uri-query Recurso acessado (por exemplo, o Default.html). A consulta (se houver), que o cliente estava tentando fazer. Status do http Status do Win32 sc-status sc-win32-status Status da aco, nos termos empregados pelo http. Status da aco, nos termos empregados pelo windows 2000. Bytes enviados sc-bytes Nmero de bytes enviado pelo servidor.
51/92
Forense Computacional em Servidor IIS 5.0 Bytes recebidos Porta do servidor Tempo gasto Verso do protocolo cs-bytes s-port time-taken cs-version Nmero de bytes recebido pelo servidor. Nmero da porta a qual o cliente est conectado. Tempo gasto durante a aco. Verso do protocolo (HTTP, FTP) utilizada pelo cliente. No caso do HTTP, ser HTTP 1.0 ou HTTP 1.1. Agente do utilizador Cookie cs(user-agent) sc(cookie) Navegador utilizado no cliente. Contedo do cookie enviado ou recebido, se houver. Referenciador sc(referer) Site anterior visitado pelo utilizador. Este site fornece um link para o site actual. Tabela 4: Definies do Log do W3C Extended Log File Format (Freitas, 2006)
Segundo (Freitas, 2006), os prefixos usados na tabela acima, apresentam os seguintes significados: s-: Aces do servidor; c-:Aces do cliente; cs-:Aces de cliente para servidor; sc-:Aces de servidor para cliente.
Definies do Log de Contabilizao de Processo

CAMPO Tipo de processo APARECE COMO s-process-type DESCRIO Tipo de processo disparado pelo evento, um aplicativo CGI ou fora de processo. O tipo pode ser CGI, Aplicativo ou Todos. Evento de processo s-event O evento disparado: Site-stop, site-start, site-pause, periodic-log, interval-start, interval-change, log-
change-int/start/stop, process-stop-limit,
eventlog-limit, site-pause-limite,
priority-limit, eventlog-limit-
reset, priority-limite-reset, process-stop-limit-reset ou site-pause-limit-reset.
52/92
Forense Computacional em Servidor IIS 5.0 Tempo total do utilizador c-user-time Tempo total acumulado do processador de modo do utilizador, em segundos, utilizado pelo site durante o intervalo actual. Tempo total do ncleo s-kernel-time Tempo total acumulado do processador de modo do ncleo, em segundos utilizado pelo site durante o intervalo actual. Tempo de falhas da pgina s-page-faults Ncleo total de referncia de memria que resultou em falhas de pgina de memria. Total de processos s-total-procs Ncleo total de aplicativos CGI e fora de processo, criados durante o intervalo actual. Processos activos s-active-procs Ncleo total de aplicativos CGI e fora de processo em execuo quando o log foi gravado. Total encerrados de procssos s-topped-procs Ncleo total de aplicativos CGI e fora de processo parado devido ao estreitamento do processo, durante o intervalo actual. Tabela 5: Definies de Log de Contabilizao de Processos (Freiras, 2006)
Freitas, apresenta para cada valor referido acima, o seguinte significado: Site-stop: Site da web parado por algum motivo; Site-start: Site da web iniciado ou reiniciado; Site-pause: Pausa no site da web; Periodic-Log: Entrada de log definida regularmente, cujo intervalo foi especificado pelo administrador; Interval-start: Intervalo de redefinio iniciado; Interval-End: Intervalo de redefinio atingido e redefinido; Interval-change: O administrador do site da web alterou o valor do intervalo de redefinio; Log.change-int/start/stop: Ocorreu um dos seguintes eventos: intervalo de log modificado; evento de intervalo; ou site parado, iniciado ou interrompido; Eventlog-limit: Log de evento criado para site da web porque um aplicativo CGI ou fora de processo atingiu o limite de log de evento definido pelo administrador;
53/92
Priority-limit: O site da web teve um aplicativo CGI ou fora de processo definido com baixa prioridade porque atingiu o limite de baixa prioridade definido pelo administrador; Process-stop-limit: O site da web teve um aplicativo CGI ou fora de processo parado porque atingiu o limite de paralisao de processos definido pelo administrador; Site-pause-limite: O site da web foi interrupo de sites definido pelo administrador; Eventlog-limit-reset: O intervalo de redefinio foi alcanado ou o Eventlog-limit foi redefinido manualmente; Priority-Limit-reset: O intervalo de redefinio foi alcanado ou o Priority-limit foi redefinido manualmente; Process-stop-limit-reset: O intervalo de redefinio foi alcanado ou o Process-stop-limit foi redefinido manualmente; Site-pause-limit-reset: O intervalo de redefinio foi alcanado ou o site-pause-limit foi redefinido manualmente.
De todos os campo que podem ser encontrados nos arquivos de logs, o HHTP status (scstatus) requer alguma explicao. De uma forma geral, qualquer cdigo entre 200 e 299 indica sucesso, os cdigos entre 300 e 399 indicam aces que precisam ser tomadas pelo cliente para cumprir um pedido. Os cdigos entre 400 e 499 e 500 e 599 indicam erro do cliente e servidor, respectivamente.
2.3.2
Microsoft IIS Log File Format
O formato de log Microsoft, tem uma grande diferena em relao ao formato W3C, pois no personalizvel, mas em compensao ele mais completo que o formato NCSA. O facto de no ser personalizvel, ele vem com alguns itens bsicos, nomeadamente: IP e nome do utilizador, data e hora de solicitao, cdigo de status do http e o nmero de bytes recebidos. Um outro aspecto muito importante a se levar em considerao que os itens do formato Microsoft vm separado por vrgula, tornando assim mais fcil a sua leitura.(Jnior, 2007)
54/92
2.3.3
NCSA Common Log File Format
O format NCSA muito parecido com o formato Microsoft, pois tambm no personalizvel. Este, regista as informaes bsicascomo, nome do utilizador e do host remoto, a data, horrio, o tipo de solicitao, o cdigo de status do http e o nmero de bytes recebidos. Tambm este formato est disponvel para sites da web e no para sites FTP. (Jnior, 2007)
2.3.4
Log ODBC
Segundo (Freitas, 2006), o log ODBC uma outra opo de registar as solicitaes do site em uma base de dados. Para incluir as informaes em uma base de dados, ser preciso configurar o DNS (Data Source Name, nome da fonte de dados), a tabela e especificar o nome do utilizador e a senha a serem usados durante o registo na base de dados.
Muito diferentemente das outras opes, o registo ODBC em uma nica transmisso cria vrios registos na base de dados. Por causa desse grande nmero de entradas, o registo do ODBC requer mais recursos do servidor do que os outros tipos de log, o que pode afectar o desempenho do servidor web, dependendo do tipo de base de dados, localizao e quantidade de entradas registadas.(Freitas, 2006)
Ainda, para o mesmo autor, os registos ODBC geram os seguintes campos:
ClientHost Username Logtime Service Machine ServerIP Processing Time BytesRecvd BytesSent
Endereo IP do cliente Nome de domnio do cliente Data e hora da conexo Servio do Internet Information Server Nome do computador Endereo IP do servidor Tempo de processamento em milissegundos Bytes recebidos pelo servidor Bytes enviados pelo servidor
55/92
ServiceStatus Win32Status Operation Target Paramenters
Cdigo de resposta do protocolo Status do Windows 2000 Server ou o cdigo de erro Comando do protocolo Destinatrio Parmetros
2.3.5
Log Binrio Centralizado
O log binrio centralizado encontra-se disponvel apenas no IIS 6 (Windows 2003) e um processo onde vrios sites inserem dados sem formatao em um nico arquivo do tipo binrio. Normalmente, quando esse tipo de log for habilitado, o IIS cria um arquivo com a extenso.ibl. Por ser um arquivo binrio, sero necessrias ferramentas especficas para compreender as informaes do log. (Freitas, 2006)
2.3.6
Nomes de Arquivos de Log
Os nomes de arquivos usam as vrias das primeiras letras para representar o formato de log e os nmeros restantes para representar o intervalo de tempo ou a sequncia do log. As letras em itlico representam dgitos tais como: nn para os dgitos sequenciais, yy para o ano, mm para o ms, ww para a semena do ms dd para o dia, hh para o horrio no formato de 24 horas.
A tabela abaixo ilustra os nomes dos arquivos:
FORMATO
CRITRIO
PADRO DE NOME DE ARQUIVO
Formato de log Microsoft IIS
Por tamanho do arquivo
inetsvnn.log
Por hora
inyymmddhh.log
Diariamente
inyymmdd.log
56/92
Forense Computacional em Servidor IIS 5.0 Semanalmente inyymmww.log
Mensalmente
inyymm.log
ncsann.log
Por hora Formato de arquivo de log comum do NCSA
ncyymmddhh.log
Diariamente
ncyymmdd.log
Semanalmente
ncyymmww.log
Mensalmente
ncyymm.log
extendnn.log
Por hora Formato de arquivo de log estendido do W3C
exyymmddhh.log
Diariamente
exyymmdd.log
Semanalmente
exyymmww.log
Mensalmente
exyymm.log
Log centralizado
binrio
Por hora
rayymmddhh.ibl
Diariamente
rayymmdd.ibl
Semanalmente
rayymmww.ibl
Mensalmente
rayymm.ibl
57/92
Forense Computacional em Servidor IIS 5.0 Tabela 6: Nome de arquivos de Log (Freitas, 2006)
Ferramentas Forense
Com o advento e disseminao da tecnologia nesses ltimos anos, as infraces, invases, venda e roubo de informaes privilegiadas, pirataria, envio de e-mails falsos, tentativas de acessos indevidos organizaes ou at mesmo pessoas comuns vm se aumentando cada vez mais e por isso h a necessidade do auxlio de ferramentas mais modernos e incrementada para busca de infractores, alm da necessidade de padronizao das buscas e apresentao das evidncias mais consistentes.(Vargas, 2006)
Neste sentido, ser apresentado neste captulo uma listagem de ferramentas mais comummente utilizado na investigao forense.
3.1
Forense na Web
Para facilitar o trabalho de buscas pelas pastas dentro do cache, pode-se usar algumas ferramentas que fornecem listagens de histrico e cache do IE, automatizando a tarefa de verificao manual de arquivos de ndice e pastas de contedo. A ttulo de exemplo cita-se: (Bueno, 2007).
Pasco: Trabalha sobre o arquivo do ndice da cache. A sua sada um arquivo de texto, contendo os registros encontrados. Pode ser usado para processar arquivos de ndice de histrico desse navegador tambm.
Web Historian: Ferramenta que processa arquivos de histrico de IE e de outros navegadores tambm (Firefox, Opera e Safari). Permite a escolha de diversos formatos de sada, como, por exemplo, em uma planilha de Microsoft Excell, o que facilita a visualizao dos resultados.
58/92
Forensec Tool Kit (FTK): Ferramenta que possui um navegador embutido para tornar imediata a associao entre registo do item de cache e o respectivo arquivo de cache no disco. Esta uma ferramenta forense de uso geral que no limite apenas em trabalhar com itens de navegadores.
3.2
Uso geral
WinHex Descrio: Editor hexadecimal completo, que inclui clculo de resumo de mensagem utilizando diversos algoritmos disponveis, interpretador de dados em diversos formatos, busca por expresses regulares (similar ao grep do Linux), entre outras funes. Esta ferramenta apresenta diversas funes de extrema importncia para a investigao forense, como: (Bueno, 2007) Interface especial para forense, incluindo criao de modelos de relatrios, criao da imagem do disco, anlise do ADS (Alternate Data Streams) do NTFS, catalogao de arquivos, etc.; Possibilidade de aceder a memria principal com o sistema ligado, permitindo que os dados sejam copiados deste; File carver disponvel para recuperar uma gama considervel de tipos de dados, sendo possvel definir alguns critrios de pesquisa de cabealhos de arquivos se pretende procurar. Desenvolvedor: X-Ways Software Technology AG/http://www.x-ways.net. Licena: Proprietrio.
Forensic Toolkit (FTK) Descrio: Ferramenta forense de uso geral com interface grfica e com diversos recursos como busca avanada, capacidade de trabalhar com diversos formatos de arquivos, anlise de arquivos ZIP, anlise de e-mails e registo do Windows. Ainda, possui uma espcie de navegador embutido para visualizar contedo de cache de navegadores. Este pode classificar
59/92
e filtrar o contedo do cache para auxiliar a anlise. Uma das suas desvantagem o facto do processamento de arquivos de ndice (index.dat) no permitir a gerao de relatrios no formato de excel ou texto puro. Desenvolvedor: AccessData/http://www.accessdata.com. Licena: Proprietrio.
EnCase Descrio: A ferramenta EnCase uma das ferramentas mais completa no que se refere a percia forense, porque para alm de auxiliar na recuperao de arquivos deletados, padroniza laudos pericias, organiza Base de Dados com as evidncias, encryption (fornece senhas do arquivo e o decrytion (quebra as senhas do arquivo) dos arquivos, analisa hardwares, analisa logs, analisa formatos e tipos de e-mails e ainda fornece uma opo de se manusear a evidncia sem danific-la, entre muitas outras funes. (Vargas, 2006) Desenvolvedor: Guidance Software/http://www.guidancesoftware. Licena: Proprietrio.
CallerIP Descrio: O CallerIp, uma ferramenta que auxilia o perito na indicao de entradas, sadas e invases de IP na mquina em questo, informando qual o IP que est conectado ou tentando conectar-se apresentando no mapa de mundi a sua localizao com endereo, telefone e responsvel por aquele IP.(Vargas, 2006) Desenvolvedor:/http://www.callerippro.com/index.html Licena: Proprietrio.
60/92
Figura 5 Tela principal da ferramenta CallerIp
RecoverMyFile Descrio:Este um programa que permite recuperar facilmente arquivosapagados acidentalmente, ou no do Windows. Para evitar que o arquivo apagado seja sobrescrito, essa ferramenta no requer instalao funcionando directamente em um disco flexvel e funciona em qualquer verso do Windows que usa a tabela de partio de arquivos FAT e NTFS. Por outro lado, esta ferramenta suporta drives reconhecido pelo Windows com IDE, SCSI, USB, PCMCIA e outras interfaces.(Vargas, 2006)
61/92
Figura 1 Visualizao de arquivos apagados na aplicao RecoverMyFiles
A figura 4, representa a tela principal da aplicao RecoverMyFile recuperando os dados apagados em uma determinada partio do disco que foram apagados propositadamente com o objectivo da sua visualizao.
No lado direito da aplicao apresentado os directrios que foram deletados. Do lado esquerdo, apresentado o contedo dos directrios e abaixo exibido as informaes do ficheiro como por exemplo, o nome, tipo e tamanho do ficheiro.
Desenvolvedor: Getdata Pty, Ltd/http://www.recovermyfiles.com
FDTK-UbuntuBr Descrio: O FDTK-UbuntuBr Forense Digital Toolkit, uma distribuio Linux criada a partir da j consagrada distribuio Ubuntu, que rene mais de 100 ferramentas capazes de atender a todas as etapas de uma investigao forense, oferecendo a possibilidade de ser utilizada como um liveCD e tambm ser instalado em um computador transformando-o em
62/92
uma estao forense. A referida distribuio est em constante evoluo e caracterizada no apenas pela quantidade de ferramentas, mas tambm por uma interface amigvel, estruturada de acordo com as etapas do processo de percia forense e ainda pela facto de ser distribuda no idioma portugus.(Lemes, 2007)
Figura 6 Interface grfica da FDTK-UbuntuBr
Low Orbit Ion Cannon (LOIC) O LOIC software de cdigo aberto escrito em C# desenvolvido pela Praetox Technoligies, e categorizado como uma ferramenta de Stress Network, isto , testar um aplicativo web exaustivamente para ver o quanto ele aguenta. Bastante usado para realizao de ataques do tipo DoS e DDoS. (fonte: http://blog.corujadeti.com.br/loic-e-seus-pacotes-de-ions/)
63/92
Figura 7 Low Orbit Cannon (LOIC)
Enquadramento legal
O avano tecnolgico tem contribudo bastante para o aumento dos crimes electrnicos e, sem sombra de dvida, pode-se afirmar, que os crimes informticos aumentam em proporo da tecnologia. Portanto, os meios electrnicos, sobretudo a Internet, vem possibilitando cada dia a prtica de crimes complexos e que vem por sua vez exigindo uma interveno rpida e especializada.
Com o surgimento da informtica e mais concretamente da internet, tornaram-se possvel vrios tipos de crimes electrnicos, o que indubitavelmente vem preocupando sobretudo as empresas, empurrando as agncias legais a actuarem na investigao de casos que envolvem crimes desta natureza.
Normalmente, nos Pases mais desenvolvidos onde existe uma legislao forte contra os crimes electrnicos, os criminosos da internet (hacker) tendem a fugir, pois j sabem que num pas onde existe uma legislao forte sero facilmente sancionados no caso de cometerem
64/92
delitos. Portanto, esses criminosos ao fugirem tem tendncia em refugiar-se para os pases onde no existe uma legislao especfica para esses crimes, ou se existe, ento muito fraco.
Cabo Verde, apesar de no ter um projecto-lei especfico contra vrios desses crimes, tem mostrado preocupado com esta questo, pois, atravs de acordos e tratados internacionais j tem previsto em sua Lei alguns desses crimes (Artigo 11 e12 da Constituio de Repblica).
4.1
A lei e a criminalidade informtica
A TIC em Cabo Verde, uma rea nova e ainda na sua fase de crescimento. Como a criminalidade normalmente evolui em proporo da tecnologia, no podemos falar da tecnologia sem deixar de fazer referncia a esta nova problemtica7 sobretudo em pases em que est bem mais evoluda. Como por exemplo, Portugal j apresenta uma legislao prpria contra crimes informticos a chamada Lei de Criminalidade Informtica, com data em Agosto de 1991, estando dessa forma muito frente do Brasil, que tem alguns projectos de lei em via do Congresso.
Em Cabo Verde, ainda no h uma cultura de informtica jurdica e de direito da informtica, para a necessidade de proteco de bens socialmente relevantes. Por outro lado, Cabo Verde ainda no tem uma legislao prpria para os crimes informticos. Desta forma, introduzir vrus em computadores, violao do direito do autor, copias de programas, etc, todos esses actos so, obviamente, criminosos, s que no nosso pas ainda no h uma lei que define o que crime dentro das novas tecnologias e desta forma, no os considera como crime (de acordo com o principio da legalidade, no h crime sem lei anterior que o defina).
Por outro lado, o facto de Cabo Verde estar a caminhar para uma sociedade de informao ou ainda, por se verificar uma crescente informatizao nas suas vrias reas da actividade, isto vem criando novos problemas8, que no existiam poucos anos a traz com a utilizao dos mtodos manuais ou mecanogrficos de tratamento da informao. Portanto, a evoluo tecnolgica representa um foco de atraco para os intrusos que esto sempre de olhos.
7 8
Est-se a referir aos crimes informticos Problemas de preocupao com a proteco das propriedades individuais ou empresarias. 65/92
Ainda, seguindo a mesma linha de raciocnio, Cabo Verde apesar de at a presente data no ter-seregistado estes problemas, poder num futuro muito prximo vir a passar por estes tipos de problemas, por isso h que se ter uma viso previsvel e no deixar at que as coisas aconteam.
4.2
Legislao vigente
Segundo Dr. Henrique Borges, um advogado Cabo-verdiano experiente, citado por (Marques, 2006), o ambiente legal para o desenvolvimento das Tecnologias de Informao e Comunicao no se encontra ainda suficientemente regulamentado em Cabo Verde, estando mais configurado para as telecomunicaes as quais constituem um dos eixos principais das TIC, no as abrangendo porm, em toda a sua dimenso. De acordo com o nosso cdigo penal, at o momento presente, s constituem crimes: 1) A inviolabilidade de correspondncia e de telecomunicaes, instituda pelo art. 43da Constituio da Repblica; 2) O acesso no autorizado aos meios informticos (aos dados pessoais constantes do registos informtico, as bases de dados de constituio das autoridades pblicas e entidades privadas, aos arquivos, ficheiros, registos informtico ou bases de dados para o conhecimento de dados pessoais relativo a terceiros (art. 44da Constituio da Repblica).
Muitos outros crimes no esto explcitos de forma clara na nossa Constituio, o que no significa que mediante a prtica desses crimes estamos isentos (o crime pode ser enquadrado em uma lei internacional, desde que de natureza internacional ou exista na ordem jurdica interna do pas algum tratados e acordos sobre a matria. - art. 12 da Constituio da Repblica).
Como j mencionado anteriormente, o art. 11 da Constituio da Repblica diz que o Estado de Cabo Verde rege-se, nas relaes internacionais pelo Direito internacional e respeito pelos Direitos do homem.
66/92
67/92
CAPTULO 4: ESTUDO DE CASO INVESTIGAO FORENSE NA MQUINA SUSPEITA

Neste captulo, ser apresentado um estudo de caso prtico sobre a investigao em um sistema supostamente comprometido. O estudo ter duas fase: uma primeira que ser implementadoe disponibilizadoum servidor web que permitir a realizao de ataques e consequentemente, uma segunda fase a investigao digital sobre o sistema atacado, aplicando as tcnicas e metodologias forense citadas no captulo anterior.
O servidor, foi preparado com todas as configuraes possveis e colocada a disposio de algumas pessoas (professores, colegas e amigos) para uma possvel invaso. Tendo como objectivo tentando aproximar o mximo da realidade, no foi revelado nenhuma informao a respeito do Servidor como palavra-passe, nome de utilizador, entre outros. Foi fornecido apenas o endereo de nome: http://tstvulnerability.dyndns.ws.
Apresentao
Para o estudo de caso, foi instalado um PC com Windows 2000 e sem nenhuma actualizao com o intuito de no dificultar o acesso. De seguida, foi instalado e configurado o servio IIS de modo que permitisse posteriormente uma auditoria. Ainda, para poder-se auditar o acesso aos arquivos e pastas, foi ajustado algumas configuraes a nvel do Sistema Operativo.
68/92
Para visualizar melhor o estudo de caso, e garantir que o servidor est em funcionamento, foi criado e disponibilizado uma pgina web atravs do endereo acima referido para possveis ataques.
1.1
Diagrama de rede
O esquema abaixo representa a arquitectura de rede usada.

Diagrama de rede
Sunday, September 26, 2010
INTERNET
Router Utilizador
Servidor Web
PC cliente
lvarela
Figura 8 - Diagrama de rede:
Para que o estudo de caso se realiza-se com normalidade, foi preciso munir de um conjunto de recursos na qual se destaca: Um PC (servidor) com as seguintes caractersticas: Sistema Operativo Windows 2000, SP3; 39,3GB de Disco; CPU 2.80GHz e 457,204 de RAM. Um Router de acesso a internet: Modelo: Thomson ST546, 4 Interface Ethernet Um PC (cliente) para acesso remoto ao Servidor, com as seguintes caractersticas: Sistema Operativo Windows 7 Professional; 87,8GB de Disco;
69/92
CPU 3.40GHz e 2.00GB de RAM.
1.2
Instalao e configurao do Servidor IIS 5.
O IIS 5.0 o servidor web que vem juntamente com o Windows 2000 e para evitar ataques, no vem instalado por padro. Por isso, foi necessrio a sua instalao. Apesar de outras formas de instalao existente, no nosso caso foi optado o mtodo Adicionar e Remover Programas do Windows, como mostra a figura abaixo.
Figura 9 - Instalao do Servidor IIS 5.0
Aps a instalao do IIS 5.0, foi efectuado um restart ao sistema e feito um teste para garantir que o IIS estivesse a funcionar. Para isso, foi digitado no browser (Internet Explorer) o endereo http://localhost e obteve-se o seguinte resultado:
70/92
Figura 10 - Teste do Servio IIS
Estando o servidor IIS a funcionar, passou-se pela configurao. Para isso, acedeu-se a janela de administrao do Microsoft IIS 5 localizado no directrio\intsrv(C:\Winnt\system32\intsrv\iis.exe) Figura 11.
Figura 11 - GUI de configuraes do Servidor Web
71/92
Figura 12 - Janela principal de configurao do Servidor IIS 5.
Esta a janela principal de configurao do Servidor web. Nela fazemos todas as configuraes como: Home directory: Indicamos a localizao dos contedos acedidos pelos utilizadores e as suas respectivas permisses. Apesar disso, pode-se redireccionar os pedidos para uma directoria especfica. Deve-se ter cuidado na questo de permisses, pois se no for dado as devidas permisses os utilizadores no conseguiro aceder os contedos. Documents: Representa a ordem de procura do documento padro do site. Para que os pedidos sejam redireccionados para uma pgina especfica. Directory security: No momento de publicao do site, preciso tomar algumas medidas de segurana. Por exemplo, qual o tipo de autenticao ser feita por este site, se o utilizador annimo ser habilitado, se tem alguma faixa de IP que precisa ser
72/92
bloqueada, se necessrio o uso de certificado digital por parte do utilizador para aceder ao site. Custom error: Para configurao das pginas de erros para os utilizadores e log de erros do site (acessvel via arquivo texto). Web Site: Permite configurar os arquivos de logs do servidor de aplicao do Windows e a definio da porta TCP. Por padro, vem a porta 80 e W3C como arquivo de log.
1.3
Configuraes a nvel do Sistema Operativo
O Windows dispe de vrios recursos e ferramentas integradas para incrementar sua operacionalidade. Vrios desses recursos so acessveis e configurveis directamente no Painel de Control. Outros, no entanto, permanecem escondidos. Isso pode dificultar os utilizadores. Mas, em compensao, existe outro menu dedicado exclusivamente para edio desses recursos, conhecido como snap-in. Neste caso especfico foi preciso usar o snap-in da Poltica de Grupo para activar a configurao da auditoria.Aps ter feito isto, foi visualizado o log de segurana em Visualizador de Eventos para ver as tentativas aceitadas e no aceitadas de acesso as pastas e arquivos auditados.
Para activar a auditoria de segurana no Windows 2000, acedemos ao Painel de Control e escolhemos Poltica de Segurana Local como mostra a figura abaixo.
73/92
Figura 13 - GUI de configurao da Auditoria de Segurana
1.4
Configuraes a nvel do Router
O router usado o modem ADSL disponibilizado pela CVMultimdia. Embora com algumas restries de segurana, oferece os recursos mnimos para configurao. Uma das configuraes o Dynamic DNS.
O Dynamic DNS, uma funcionalidade do router que serve para ir actualizando o nosso IP no servidor do DynDNS, cada vez que este for alterado, isto porque o IP usado para cessar a internet dinmico.
Antes de poder usar esta funcionalidade, foi necessrio criar uma conta no DynDNS atravs do site www.dyndns.com. Uma vez criado a conta, o prximo passo foi fazer o registo de nome do site, ou seja, adicionar um host a nossa conta de DynDNS. Para terminar, acedeu-se a ferramenta Dynamic DNS do router e introduziu-se os dados de configurao solicitados abaixo (figura 12).
74/92
Figura 14 - Configurao do Dynamic DNS
O router, atravs do Dynamic DNS, executar as seguintes tarefas: Mantm comunicao constante com DynDNS.com, actualizando o seu hostname para resolver o endereo IP remoto; E determina automaticamente qual interface de rede a usar, detecta automaticamente proxies.
1.4.1
Realizao de testes
Aps ter terminado todo o processo de configurao, chega-se a parte de maior ansiedade: ver o servidor a funcionar como desejado.
Primeiramente, foi efectuado um PING para o endereo de nome, com o intuito de saber se feito a resoluo de nome. O endereo foi resolvido com sucesso (Figura 15).
75/92
Figura 15 - Teste de resoluo de nome
Ainda, foi criado uma pgina web e hospedado no servidor. A partir de um mquina com acesso a internet (fora desta rede),foi acedido a partir do endereo
http://tstvulnerability.dyndns.ws/ e obteve-se como resultado (figura 16):
Figura 16 - Teste servidor pgina web
1.5
Testes de intruso
76/92
Para a realizao de simulaes de ataques foram utilizadas algumas ferramentas hacking no que se destaca: Advanced Port Scanner: Ferramenta usada para varredura das portas abertas que permitem acesso a mquina. Para testar as vulnerabilidades do servidor, foi necessrio correr a aplicao Advanced Port Scanner que por conseguinte retornou as portas abertas e fechadas no servidor.
Figura 17 Varredura de portas
Como se pode constatar, aps uma varredura de rede, verificou-se que o referido servidor, alvo de ataque, encontra-se com 3 portas abertas: Porta 21 FTP, 23 Telnet e 80 http, o que pode facilitar entradas individas.
Brutus AET2: Ferramenta usada durante o teste de intruso para ataque de passwords.
Como se pode constatar, o endereo IP da mquina a ser invadida utilizado foi 41.215.214.81, servio http com autenticao bsica http (Basic-Auth). Na seco Authentication Option foi indicado a forma de pesquisa e depois o arquivo de nomes de utilizadores determinado no campo User File para verificao de vrios
77/92
logins. O modo de tentativas de login utilizado foi Brute Force, por ser mais eficiente, permitindo diversas combinaes com os caracteres especficados.
Figura 18 Ataque de Brute Force
Low Orbit Ion Connon (LOIC) Para ataques do tipo DoS, foi usado a ferramenta LOIC. Para indicar que o ataque do tipo DoS, foi seleccionado a opo Manual Mode, colocar endereo ou IP do site alvo em URL/IP, na opo Method foi escolhido o protocolo e de seguida a porta que o LOIC ir tentar conctar. Em cima temos o boto IMMA CHARGIN MAH LAZER, que serve para disparar o ataque. Por fim, temos em baixo o Attack status que apresenta as estatsticas do ataque.
78/92
Figura 19 Ataque do tipo DoS- iniciado
1.6
Consideraes Finais
O estudo de caso teve como objectivo, a consolidao dos conhecimentos tericos adquiridos ao longo do trabalho.
Pode-se concluir e com convico, que os objectivos preconizados foram todos atingidos, o que se pode explicar pelas aces levadas a cabo durante o estudo de caso.Houve alguns constrangimentos relativamente ao estudo de caso, mas estes foram ultrapassados.
Investigao
Aps ter sido apresentado como so os formatos dos arquivos de logs do servidor Web IIS da Microsoft e suas caractersticas, inicia-se agora um estudo de caso em que um Servidor Web foi invadido, deixando rastos bem visveis. Ser demonstrado como o hacker entrou no sistema, de onde veio o ataque e qual foi a alterao ocorrida no sistema.
79/92
A investigao ser feita sobre uma mquina com Sistema Operativo Windows 2000 Profissional, Servio IIS 5.0 e com configurao de arquivo de log no modo W3C.
Os campos importantes que sero utilizados para investigar incidentes suspeitos incluem o registro data/hora, endereo IP de origem, cdigo do status do HTTP e recurso requisitado
2.1
Apresentao
Aps ter disponibilizado o servidor na internet por 5 (cinco) dias para invaso, foi feita uma anlise de cada pasta na qual o IIS guarda as suas configuraes e constatou-se que houve alguns eventos ocorridos que podero ou no corresponderem aces maliciosas. Por exemplo, o ficheiro de log do servidor alvo demostra que houve alguns ataques e vrias tentativas de ataques.
2.1.1
Registos de Ocorrncias
Durante os cinco dias de testes, houve vrios acessos a pgina, com alguns incidentes registados como ser demostrado abaixo:
Ocorrncia #1: Registos de acesso a pgina
Figura 20 - Arquivo de log W3C
Como podemos observar, no dia 26 de Setembro de 2010 s 18:56, um utilizador com verso 1.0 de aplicao HTTP e com endereo IP:81.149.142.240 emitiu um comando GET do HTTP para um arquivo index.html. A solicitao foi interpretada sem erro.
80/92
Ocorrncia #2: Espelhamento do site
Figura 21 Espelhamento de site
Se um invasor tem por finalidade especfica lanar ataques contra site de uma empresa (para roubo de informaes ou produto), normalmente ele comea com a recolha de informaes. Primeiro ir determinar quais as informaes sobre o software e funcionalidade do servidor Web esto disponveis, podendo utilizar um site espelhado para estudo. Embora no seja ilegal e no indique um ataque por si s, quando esse tipo de recolha de informaes combinada com outras atividades, o investigador deve desconfiar. Para examinar a total funcionalidade do site, o invasor espelha o site, copiando cada pgina para examin-las em detalhes off-line. Para o IIS, essa atividade deve aparecer como muitos pedidos do mesmo IP de origem durante um curto perodo de tempo.
O ficheiro de log apresentado acima, demostra claramente que antes do ataque, houve um espalhamento do site. Mostra que o invasor copiou as pginas para uma possivel anlise.
Ocorrncia #3: Varredura de vulnerabilidades
81/92
Figura 22 - Varredura vulnerabilidades
Depois de reunir informaes sobre o servidor Web e criar o espelhamento do site, o invasor comeou a varredura da vulnerabilidade no servidor. A Figura 17, mostra que o servidor web em causa recebeu inmeras sondagens, varreduras (scans) e consultas diariamente.
Como se pode ver, os detalhes-chaves procurados no referido ficheiro de logs, so pedidos repetidos de recursos que resultaram em cdigos de erro sendo retornado ao cliente. Qualquer varredura de vulnerabilidade procurando por pginas vulnerveis inevitalvelmente resultar em muitos cdigos de erro do tipo 404 (arquivo no encontrado file not found). Alm disso, o endereo IP de origem mantm estvel em um curto intervalo de tempo, o que se verifica no log acima.
Ocorrncia #4: Ataques DoS Negao de servio
82/92
Figura 23 Ataque de Negao Servio
Como se pode verificar, aps a realizao do ataque do tipo Negao de Servio, utilizando a ferramenta LOIC, o servidor ficou indisponvel. Tentou-se aceder por vrias vezes a pgina, mas sem sucesso.
Ocorrncia #5: Ataques por injeco SQL
Figura 24 Injeo SQL 1
83/92
Figura 25 Injeco SQL 2
De acordo com os logs acima, houve tentativas de ataques por via de injeces SQL. Tudo indica que o invasor digitou a palavra teste no campo nome para autenticao, mas sem sucesso. O cdigo de erro 404 indica ataques sem sucesso. O ataque no se concretizou por duas razes: no existncia de uma base de dados ou porque a base de dados est protegida contra esse tipo de ataque.
Ocorrncia #6: Eventos de windows
Foi analisado os logs de eventos do Windows a procura de algum rasto de criao de contas de utilizadores ilegais com privilgios de administrador, mas no foi encontrado nenhum vestgio.
Tambm, foi analisada cada pasta na qual o IIS guarda as sua configuraes,com o intuito de descobrir se houve alteraes ou modificaes numa desta pastas, j que esta tem sido uma prtica muito comum usada pelos atacantes. A figura abaixo mostra que no houve criao nem alterao nos arquivos.
84/92
Figura 26 - Verificao de arquivos alterados
Ocorrncia #7: Registo do router
De acordo com log do IDS (Router), o que se pode constatar, que foram lanadosao servidor dois tipos de ataques: TCP_NULL_PORT e UDP_PORT_SCAN (Figura 19).
A UDP_PORT_SCAN, um ataque de varredura de porta. Esta, um dos ataques mais conhecidos quando se deseja descobrir servios vulnerveis em um servidor. Esta a primeira coisa que o invasor faz ao tentar atacar um servidor.
85/92
A TCP_NULL_PORT, um ataque em que no se tem resposta para portas abertas. Nesta varredura, enviado um flag nula (activa), se no receber uma resposta a porta est aberta, mas se receber um RST a porta est fechada.
Figura 27 - Log IDS
2.2
Consideraes Finais
Diversos arquivos de logs foram auditados para confirmar ou no se um incidente ocorreu. No entanto, no foi encontrado nenhum indcios legais que comprovam a existncia de crimes. Isso leva a concluir que durante este perodo de tempo no houve ataques, ou ento se houve, provavelmente foi praticado por um intruso com elevado nvel de conhecimento e experincia ao ponto de limpar os vestgios.
86/92
CAPTULO 5:
CONCLUSO
O avano tecnolgico tem contribudo bastante para o aumento dos crimes electrnicos e, sem sombra de dvida, pode-se afirmar, que os crimes informticos aumentam em proporo da tecnologia. Portanto, os meios electrnicos, sobretudo a Internet, vem possibilitando cada dia a prtica de crimes complexos e que vem por sua vez exigindo uma interveno rpida e especializada.
No mbito deste trabalho de investigao e face aos objectivos preconizados, foi abordada as tcnicas de ingestigao forense em servidor IIS do windows. Para uma maior valncia e consolidao dos conchecimentos adquiridos durante o estudo, achou-se necessrio a aplicao dum estudo de caso. No final desse estudo chegou-se as concluses a seguir registadas:
Para alm de no existir uma legislao especfica que regule os crimes de natureza informtica, h escassez de profissionais na rea de direito da informtica e de investigao forense computacional. Por outro lado, verificou-se que em Cabo Verde, ainda no h uma cultura de informtica jurdica e de deireito de informtica devido a violao constantes sobretudo de direito do autor e distruibuio e comercializao de softwares proprietrios.
A terefa de investigao forense computacional no fcil, pois exige um alto nvel de conhecimento por parte do investigador. Apesar de algumas deficuldades encontradas durante
87/92
a realizao deste estudo, por ser esta uma rea nova, com poucos estudos ainda no mercado, ganhou-se muito em termos de conhecimentos.
Relativamente ao estudo de caso, parte prtica do trabalho, tambm ganhou-se muito em termos de conhecimentos, pois foi colocado em prtica os conhecimentos tericos abordados no trabalho. Todavia, no foi fcil a anlise forense devido a experincia do perito. Por outro lado, a mquina foi disponibilizado para ataques por um tempo muto curto devido as limitaes do tempo o que dificultou na recolha de dados. Sendo assim, no limitou-se apenas aos recursos da IIS para investigao, mas tambm os recursos do Sistema Operativo e do router.
Um outro detalhe importante que no pode-se deixar passar despercebido, a questo da legislao cabo-verdiana no domnio da informtica. Houve dificuldades no enquadramento legal das evidncias, pois ainda em Cabo Verde, no existe uma legislao especfica sobre a criminalidade informtica. Entretanto procurou-se ponderar dentro das limitaes da nossa legislao.
importante anda frisar que dos dilogos estabelecidos com alguns administradores de redes, deu para concluir que a tomada de conscincia e a experincia destes, no domnio da forense so ainda limitadas, pelo que pode ter havido muitas intruses que no foram detectados.
88/92
Recomendaes
Recomenda-se a todas as empresas ou instituies que lidam com informaes de alto nvel de confidencialidades e as instituies legais ou de combates aos crimes de natureza informtica: No domnio da legislao: 1. A Criao de uma legislao especfica que tipifica as condutas criminosas na internet, pois a inexistncia desta legislao constitui verdadeira garantia de impunidade aos criminosos virtuais; 2. Investir na formao e capacitao dos nossos quadros de modo a adquirirem competncias que os permitam identificar as ocorrncias de crimes. Normalmente os intrusos no tm medo de invadir sistemas, pois j sabem que h carncia de profissionais especialistas em forense computacional.
No domnio de segurana: 1. Manter actualizado o Sistema Operativo; 2. Utilizao de senhas criptografadas 3. Preveno de ataques via LOIC. Para previnir-se especialmente contra esse tipo de ataques (Negao de Servio), recomenda-se limitar o nmero de requisies por segundos para cada endereo IP. Isso pode ser feito via lighttpd juntamente com um firewall, por exemplo atravs do NetFilter (ipTables). 4. Utilizao de um bom sistema de Identificao de Intruso (IDS), como o snort, por exemplo.
No domnio da investigao Forense: 1. Para os professionais de rea, durante a investigao forense, usar metodologias bem definidas que permite garantir qualidade a fim de assegurar a confiabilidade e a preciso das evidncias; 2. Documentar todos as provas recolhidas;
89/92
Bibliografia
Bueno, M. (2007). Forense Computacional: Tcnicas e Ferramentas. Disponvel em: http://www.las.ic.unicamp.br/paulo/teses/. Acessado em: 14/08/2010. Baker et all (2010). 2010 DATA BREACH INVESTIGATIONS REPORT: A study conducted by the Verizon RISK Team in corporation with the United States Secret Service. Disponvel em: http://www.verizonbusiness.com/resources/reports/rp_2010-data-breachreport_en_xg.pdf. Acessado em: 20/09/2010. Borges, P., & Coutinho, R.(2007). ANLISA DE SISTEMAS DE DETECO DE INTRUSOS EM REDE DE COMPUTADORES. Disponvel em: http://www.snort.org.br/arquivos/Monografia-pedro.pdf. Consultado em 17/08/08. Acessado em: 03/05/2010. Costa, A. (2005). IPCop Firewall - Uma tima opo de proteo para sua rede ADSL. Disponvel em:http://www.vivaolinux.com.br/artigo/IPCop_Firewall_Uma_otima_opcao_de_protecao_para_sua_rede_ADSL/. Acessado em: 10/05/2010. Cezar, G.(2006).Computao Corporativa: Especial para o Computerworld. Disponvel em:http://idgnow.uol.com.br/computacao_corporativa/2006/06/21/idgnoticia.2006-0621.5687122771/. Acessado em: 02/08/08 Castro Jr et all (S/D). Forense Computacional em Memria Principal. Disponvel em:http://www.mp.go.gov.br/portalweb/hp/1/docs/foren-comp-ram.pdf. Acessado em: 01/05/2010. Freitas, A.(2006). Percia Forense Aplicada a Informtica, 1 edio, Editora BRASPORT Livros e Multimdia Ltda, SP, Brasil. Freitas, A.(2003). Percia Forense Aplicada a Informtica. Disponvel em: http://www.linuxsecurity.com.br/info/general/andrey-freitas.pdf. Acessado em: 09/08/2010. ID TECH. (2006).Value Added Solution. em:http://www.idtech.com.br/sol_atm.asp. Acessado em: 02/08/2010. Disponvel
LIM-APO, D.(2004). Aplicao de Tcnicas de Forense Computacional Respostas a Incidentes na Internet. Disponvel em:http://www.istf.com.br/vb/pericia-forense/7809aplicacao-de-tecnicas-forense.html. Acessado em 20-05-2010. Acessado em: 12/03/2010. Lemes, L.(2007). FDTK-UbuntuBr Forense Digital Toolkit. Disponivel em:Site:http://www.dicas-l.com.br/dicas-l/20071207.php. Acessado em:28/08/2010.
90/92
Penedo, D.(2007). DAR II:Desenvolvimentos avanados de rede II Segurana. REDE DE DETECO DE INTRUSO. Disponvel em:http://www.fccn.pt/eci/doc_eci10/IDS-DARII1.1.pdf. Acessado em:29/07/2010. Reis, M., A. (2003). Forense computacional e sua aplicao em segurana imunolgica. Disponvel em:http://www.las.ic.unicamp.br/paulo/teses/20030226-MScMarcelo.Abdalla.dos.ReisForense.computacional.e.sua.aplicacao.em.seguranca.imunologica.pdf. Acessado Reis, M., A. & Geus, P., L. (2002) Analise Forense de Intruses em Sistemas Computacionais: Tcnicas, Procedimentos e Ferramentas.Disponvel em:http://www.las.ic.unicamp.br/paulo/papers/2002-Periciamarcelo.reisforense.tecnicas.procedimentos.pdf#search=%222002-Pericia-marcelo.reis forense.tecnicas.procedimentos%22. Acessado em: 04/09/2010. Smola, M.(2007). COLUNISTAS: Firewall. Disponvel em:http://idgnow.uol.com.br/seguranca/firewall/idgcoluna.2007-06-28.7113160856/. Acessado em: 11/08/2010. Vargas, R., G.(2006). Processos e padres em percia forense aplicada a informtica. Disponvel em: http://www.artigos.etc.br/crimes-informaticos-legislacao-brasileira-etecnicas-de-forense-computacional-aplicadas-a-essa-modalidade-de-crime.html. Acessado em:10/06/2010.
Outras Citaes:
CONSTITUIO DE REPBLICA DE CABO VERDE, Julho, 2010. Constituio da Repblica de Cabo Verde (S/D). Disponivel em: http://www.presidenciarepublica.cv/conteudos/a_republica/constituicao_da_republica/. Acessado em: 15/09/2010.
91/92
Glosrio
liveCD um CD que contm um sistema operativo (GNU/Linux, BSD ou outro) que no necessrio sua instalada no disco rgido do usurio uma vez que executado directamente a partir do CD e da memria RAM. Extenso .ibl corresponde a Internet Binary Log (Log binrio da Internet). Snap-in Consola de Gerenciamento Microsoft, tambm conhecido como MMC (Microsoft Management Console). usado normalmente para acesso e configurao de alguns recursos de segurana do Windows. ODBC Open Database connectivity: a abertura da conexo a base de dado.
92/92

Leni Varela - Forense Computacional

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Leni Varela - Forense Computacional

Diunggah oleh

Hak Cipta:

Format Tersedia

Leni freire Joaquim Varela

Forense Computacional em servidor IIS 5.0

Leni Freire Joaquim Varela

Forense Computacional em servidor IIS 5.0

Cidade da Praia aos 30 de Setembro de 2010 Leni Freire Joaquim Varela

Palavras-chave: segurana, Forense computacional, evidncias, Servidor IIS.

A Deus que esteve sempre comigo durante esta empreitada.

Ao meu orientador Isaas Barreto Rosa pela oportunidade, ateno e aprendizado.

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

1.1 1.2 1.3 1.4 1.5 1.6 2 2.1 2.2 2.3

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

O trabalho est dividido em 5 Captulos:

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

A evoluo da criminalidade e evoluotecnolgica

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Entre as principais concluses do estudo esto:

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Formas de ataques e invases

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

A necessidade de novas leis

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

X:\Documents and Settings\<usurio> \Configuraes locais\Histrico \History.IE5

X:\Documents and Settings\<usurio>\Cookies

Tabela 1: Localizao de artefactos do Internet Explorer (Bueno, 2007).

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592. Consultado em 16/09/2006 27/92

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Metodologia Forense para obteno de evidncias

Obteno e Colecta de Dados

Disponvel em:http://www.linorg.cirp.usp.br/SSI/SSI2004/Artigos/Art010_ssi04.pdf. Acessado em 01/05/2010.

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

demonstrao inquestionvel dos rastros e elementos da comunicao entre as partes envolvida.

Forense Computacional em Servidor IIS 5.0

Fonte das evidncias

Forense Computacional em Servidor IIS 5.0

Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592. Acessado em 16/09/2010. 33/92

Forense Computacional em Servidor IIS 5.0

Forense Computacional em Servidor IIS 5.0

Perfil e mtodos de operao do atacante

Forense Computacional em Servidor IIS 5.0

Promover algum estrago (destruio de informaes e paralisao do sistema, por exemplo);

Forense Computacional em Servidor IIS 5.0

Nvel de habilidade Clueless

Habilidades Nenhuma habilidade

Evidncias Todas as evidncias so bastantes aparentes

exploits Pode tentar cobrir rastos com o uso de

Equivalente a um administrador Cuidadosamente apaga evidncias em

Forense Computacional em Servidor IIS 5.0