Pesquise no PCFórum - Digite sua dúvida aqui
Bem-vindo, Visitante. Por favor efetue Login ou Registre-se
PCFORUM.com.br

    
Notícias:
  Home Fórum Notícias Anuncie AjudaLoginCadastre-se  
 

Páginas: 1 2 
Forense em Windows (Lido 16108 vezes)   
Lairmor
Moderador Voluntário

Offline

A Persistência é o
Caminho do Êxito!

Postagens: 1276
São Paulo
Forense em Windows
31.10.2006 às 22:28:44
 
Olá amigos

Dando continuidade aos interessantes e úteis artigos sobre este tema, repasso abaixo uma breve análise sobre Forense em Windows: características, ferramentas e desafios.

Na aventura policial "Um Estudo em Vermelho (A Study in Scarlet)", do escritor Arthur Conan Doyle, ao se deparar pela primeira vez com uma possível prova, o detetive Sherlock Holmes filosofa com seu fiel companheiro Watson: "é um erro capital teorizar antes de ter todas as evidências, pois isso influencia no julgamento".

O pensamento do detetive (fictício) mais famoso do mundo serve como uma boa lição para os profissionais de Segurança da Informação que se deparam com a tarefa de executar investigações de incidentes. Conhecida como perícia forense computacional, tal ciência é fundamental na recuperação de evidências que ajudem a resolver casos envolvendo ambientes eletrônicos.

"A posterior análise destas evidências irá permitir desde a criação de novos e melhores procedimentos de segurança para prevenir ou minimizar tais incidentes até a identificação e responsabilização dos envolvidos", afirma Walter Hannemann, diretor da Ciashop Soluções para Comércio Eletrônico.

"Isto quer dizer também que alguma informação pode surgir sobre possível intervenção humana no processo, ou se o problema está relacionado a falhas em equipamentos ou programas. A conseqüência imediata é sua utilidade em processos judiciais, pois mesmo não suprimindo os exames conduzidos por peritos oficiais, pode ser aproveitada em diversas situações", acrescenta André Caricatti, coordenador geral do CTIR Gov (Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal).

Importância da forense para os CSIRTs

Para se ter uma idéia da importância de tais processos, a realização de uma análise forense agrega uma série de resultados para os grupos de resposta a incidentes de segurança (CSIRT). "Durante estes processos são identificadas novas ferramentas hackers, métodos de ataque e de ocultação, controle e abuso do sistema comprometido, sem falar no aprendizado ao estudar o modus-operandi do atacante", explica Jacomo Piccolini, analista de segurança sênior do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP).

Mas os benefícios não param por aí. "É comum, após a realização desses processos, que os resultados sejam incorporados nas atividades diárias dos grupos. Posso citar como exemplo a geração de um boletim de alerta informando os administradores que tal sistema está sendo comprometido através da exploração da nova ferramenta X e que esta deixa determinadas evidências em um sistema. Outro resultado é que a coleta de informações permite correlacionar incidentes que estão ocorrendo e a publicação de ferramentas, exploits e a divulgação de vulnerabilidades", complementa.

O papel da forense no tratamento de incidentes
De início, o profissional de Segurança da Informação precisa ter em mente que a análise forense é a segunda etapa no tratamento de incidentes. "É uma atividade posterior, que ocorre sempre em razão do recebimento de uma notificação de incidente de segurança ou em função de alertas gerados por mecanismos de detecção como, por exemplo, um IDS. No entanto, sua realização é uma atividade extremamente custosa, principalmente em razão do tempo necessário para a análise. Vale a pena ressaltar que a sua realização deve ser amparada por instrumentos legais", revela Jacomo.

Neste ponto, um detalhe fundamental são os procedimentos adotados pelo analista, que evitam a ocorrência de erros que comprometam o trabalho. "Ou seja, estamos falando da necessidade de existirem procedimentos para as diversas etapas da atividade e que estes procedimentos já tenham sido validados tecnicamente e juridicamente. Durante uma análise não é recomendável necessitar tomar decisões técnicas. A atividade deve estar sempre embasada em procedimentos", orienta.

Assim, o processo da análise forense pode acontecer de duas formas:

a "educacional", realizada somente com fins de coletar informações relacionadas com a atividade maliciosa sem que se busquem ações legais, e a conhecida como "pericial", utilizada no ambiente judicial e policial.

Em ambas, o analista terá os subsídios para traçar as características das ações realizadas por invasores. "De uma forma geral, estas atividades estão ligadas ao comprometimento de sistema, instalação de ferramentas, remoção de evidências e manutenção do controle sobre o sistema comprometido. Tanto os métodos utilizados como os sistemas alvo dos ataques mudam constantemente, da mesma forma que um processo de comprometimento de um sistema Linux possui diferenças quando comparado a de um sistema Windows. É aqui que a atividade de análise forense 'educacional' mostra seu valor, pois permite o acesso a informações vitais para os grupos de segurança", diz.

A experiência de casos já tratados pelo CAIS/RNP serve como um bom exemplo desse cenário. "Há algum tempo, nosso grupo foi contatado sobre um ataque de negação de serviço (DDoS) que estava sendo realizado contra uma grande empresa de Internet. Na época, fomos o único grupo que conseguiu realizar uma análise forense em um sistema que foi utilizado no ataque, em que foi recuperada a ferramenta hacker. A análise desta ferramenta permitiu mitigar o ataque que estava acontecendo", cita.

Características e desafios na forense em sistemas Windows
Como salientado anteriormente, os ataques cujo alvo sejam sistemas Windows diferem dos ataques voltados contra sistemas Linux. Dessa forma, o processo de forense em ambientes Windows apresentará algumas particularidades. A primeira é não negligenciar o processo de custódia legal. "Esta etapa refere-se aos controles relacionados com a manutenção segura e controlada de todas as informações e equipamentos coletados", explica Jacomo.

Outra característica envolve a coleta das informações. Segundo o especialista, a experiência do CAIS tem mostrado que, em plataformas Windows, a preferência é que o sistema ainda esteja vivo (com a energia ligada, processos executando, disco sendo acessado, tráfego na rede e conteúdo na tela).

"Entre as informações mais interessantes nesta etapa, temos o conteúdo da memória, que pode ser utilizada para mostrar que um determinado programa foi executado ou que uma informação específica foi acessada. A única oportunidade de coletar estas informações é antes de desligar o sistema. Mais uma vez este procedimento somente é válido se sua política e procedimentos indicarem que um sistema comprometido deve ser mantido ligado até a coleta das informações", orienta.

A terceira particularidade relaciona-se com o aumento da capacidade de armazenamento disponível nas estações de trabalho. "É muito comum encontrar computadores pessoais com discos de 120 gigas, sendo que já existem no mercado discos de 500 gigas. Se for necessária a preservação de uma imagem do disco rígido, o desafio atual é conseguir espaço de armazenamento. Uma coisa é gerar uma imagem de um disco de 80 gigas e armazená-la, mas isto se torna um problema muito sério quando o número de máquinas é 40", relata Jacomo.

É preciso observar também outras questões existentes em ambientes Windows. "O sistema de arquivos NTFS é bastante sofisticado, com suas listas de controle de acesso que permitem individualizar atividades executadas. Detalhes como as datas de exclusão de objetos podem ser bastante úteis. Ainda sobre arquivos, o suporte nativo a encriptação de dados pode representar uma enorme barreira em alguns casos", alerta André Caricatti, do CTIR Gov.

O especialista destaca que estruturas de dados próprias no sistema, em particular o "REGISTRY", merecem estudo aprofundado. "Os registros de atividades (logs) são codificados no armazenamento, ao contrário do que acontece na maioria dos registros em ambientes UNIX. Embora isto represente economia de espaço em disco num primeiro momento, as buscas em exames forenses são uma constante que se tornam bem mais complexas", completa.

Por último, Jacomo, do CAIS/RNP, lembra que é preciso ficar atento ao crescimento da utilização de rootkits nestes ambientes. "Tradicionalmente, os rootkits, ferramentas que permitem ocultar a presença de um invasor são sempre associados ao ambiente Unix. No entanto, da mesma forma que existem rootkits de Unix, existem os de Windows, e o seu uso está aumentando, o que tem exigido que os profissionais da área de Windows se eduquem sobre as tecnologias rootkit", alerta.

Ferramentas forenses

Sobre as ferramentas disponíveis para realização de uma forense em Windows, o especialista do CAIS diz que existe uma variedade de ferramentas: muitas gratuitas, outras comerciais e algumas de uso exclusivo e que não são disponibilizadas.


A recomendação do nosso grupo é que seja utilizado um pacote de ferramentas, composto por ferramentas gratuitas e que foram desenvolvidas exclusivamente para o ambiente Windows e ferramentas gratuitas que foram portadas do ambiente Unix para o Windows. A utilização de aplicativos Unix portados para Windows é muito interessante, pois permite que um analista forense que tem sólidos conhecimentos nas ferramentas Unix as utilize no ambiente Windows. Outro ponto favorável é que estas ferramentas já foram testadas e avaliadas e são consideradas como confiáveis para a realização do trabalho", relata.

O que devo aprender?

Mas nem só de desafios e ferramentas vive um processo de análise forense. Para que o trabalho seja bem feito, é fundamental que o profissional se mantenha em dia sobre os aspectos que envolvem a aplicação de tal ciência.

"Como princípios técnicos podemos indicar um vasto conhecimento de sistemas operacionais e aplicativos, bom conhecimento de aspectos operacionais de sistemas de informação nas empresas, domínio de tecnologias de rede e internet e, acima de tudo, conhecimento dos procedimentos corretos de levantamento e preservação das evidências. Se as evidências não forem corretamente preservadas e manipuladas durante a análise, elas podem perder o valor jurídico", alerta Hannemann.

Já o perito criminal federal Jorilson Rodrigues aponta outras características fundamentais. "O profissional deve ser objetivo, célere, ter capacidade de sintetizar em alguns parágrafos o resultado das análises que realizou, redigindo de maneira clara e direcionada para público leigo em informática. Deve ser sempre imparcial, relatando os seus achados de maneira específica. Nunca especular sobre elementos que não sejam materiais e não encontrados nos equipamentos recebidos para análise", completa.

Para que isso aconteça, a dica é buscar treinamento e formação técnica específica. "Porém, tão importante quanto isto, é que o profissional possua um padrão ético que lhe permita ter acesso a informações sigilosas e/ou confidenciais", finaliza Jacomo.

Credito: Módulo Security Magazine

Luis Fernando Rocha


Saudações

Lairmor
Voltar ao topo
 
 
Visualizar Perfil WWW   IP registrado
PCRobô
Divulgador

Online

PCFórum, o mais completo fórum de informática do Brasil!

Postagens: 99999999
Brasil
Gênero: male
Anúncios

Voltar ao topo
Email Visualizar Perfil IP registrado
dsilveira™


Offline



Postagens: 1175
Campinas-SP
Re: Forense em Windows
Resposta #1 - 08.12.2006 às 00:12:14
 
Assunto interessantissimo,se voce pudesse indicar literatura pertinente seria muito grato.E uma pergunta: Dê-nos uns exemplos de ferramentas forenses !
abraços.
Voltar ao topo
 
 
Visualizar Perfil dsilveira™   IP registrado
dejavumt


Offline

Pensou Fórum? Pense
PCFórum!

Postagens: 1
Cuiaba - MT
Re: Forense em Windows
Resposta #2 - 13.12.2006 às 12:56:11
 
Esse Assunto é novo para mim
mas me interessei...
acredito que hoje em dia isso seja indispensavel a qualquel organização, tanto as que trabalham com internet ou não.
ainda mais no meu caso, que trabalho num orgao publico (tribunal de justiça) onde exixtem milhares de informaçoes sigilosas....(te mandei um email perguntando sobre o assunto)
Voltar ao topo
 
 
Visualizar Perfil dejavumt   IP registrado
solon


Offline

Pensou Fórum? Pense
PCFórum!

Postagens: 5
Codo/MA
Re: Forense em Windows
Resposta #3 - 02.02.2007 às 13:08:17
 
Aos amigos que se interessaram pela forense digital  tem um livro chamado "pericia forense aplicada a informática" comprei ele e é muito interessante, tem no submarino....é somente pericia em windows...mais é muita informação interessante..espero ter ajudado.
Voltar ao topo
 
 
Visualizar Perfil solon solon 212420218 solon_pereira@yahoo.com.br solonspfc@aol.com   IP registrado
FiLL™


Offline

BuUuUuUUuH

Postagens: 5466
Portugal
Re: Forense em Windows
Resposta #4 - 03.02.2007 às 09:13:20
 
vou procurar por esse livro tbm
Voltar ao topo
 
 
Visualizar Perfil WWW   IP registrado
PCRobô
Divulgador

Online

PCFórum, o mais completo fórum de informática do Brasil!

Postagens: 99999999
Brasil
Gênero: male
Anúncios

Voltar ao topo
Email Visualizar Perfil IP registrado
Lairmor
Moderador Voluntário

Offline

A Persistência é o
Caminho do Êxito!

Postagens: 1276
São Paulo
Re: Forense em Windows
Resposta #5 - 03.02.2007 às 17:41:53
 
Olá amigos
dsilveira;dejavumt;solon e FiLL

dsilveira™ escreveu em 08.12.2006 às 00:12:14:
Assunto interessantissimo,se voce pudesse indicar literatura pertinente seria muito grato.E uma pergunta: Dê-nos uns exemplos de ferramentas forenses !
abraços.


dejavumt escreveu em 13.12.2006 às 12:56:11:
Esse Assunto é novo para mim
mas me interessei...
acredito que hoje em dia isso seja indispensavel a qualquel organização, tanto as que trabalham com internet ou não.
ainda mais no meu caso, que trabalho num orgao publico (tribunal de justiça) onde exixtem milhares de informaçoes sigilosas....(te mandei um email perguntando sobre o assunto)


solon escreveu em 02.02.2007 às 13:08:17:
Aos amigos que se interessaram pela forense digital  tem um livro chamado "pericia forense aplicada a informática" comprei ele e é muito interessante, tem no submarino....é somente pericia em windows...mais é muita informação interessante..espero ter ajudado.


FiLL escreveu em 03.02.2007 às 09:13:20:
vou procurar por esse livro tbm


Me perdoem pela demora ao responder, e quanto ao assunto em questão, é realmente muito interessante e relevante para nossa área, e atualmente já existem muitas literaturas e respeito, disponíveis em sites de busca, não poderia colocar agora amigo dsilveira, nehuma opção melhor ou pior com relação a este tema, pois tudo é muito novo e interessante simultâneamente, ok.

Saudações

Lairmor
Voltar ao topo
 
 
Visualizar Perfil WWW   IP registrado
rafaelrls


Offline

God will give me
justice!

Postagens: 93

Re: Forense em Windows
Resposta #6 - 08.09.2009 às 13:45:02
 
Excelente artigo laimor. Será que os colegas podem indicar algum livro sobre forense computacional para ambientes linux? de preferencia sobre ubuntu?
Voltar ao topo
 
 
Visualizar Perfil WWW   IP registrado
wilbartender


Offline

Indique o PCFORUM
para seus amigos!

Postagens: 2

Re: Forense em Windows
Resposta #7 - 23.07.2010 às 23:53:55
 
li a materia por completa, muito bacana este tema abordado, estão de parabens pelos esclarecimentos.
Voltar ao topo
 
 
Visualizar Perfil   IP registrado
Páginas: 1 2 



Visite nossa página inicial e veja mais dicas e conteúdos! Clique aqui!!