Menu
Qui Quae Quod

Fechar Responsabilidade Social Corporativa

Fechar ARTIGOS DE OPINIÃO

Fechar Justiça Restaurativa

Fechar Multiculturalismo

Fechar Dossier Europa

Fechar ARTIGOS DE FUNDO

Fechar ARTIGOS DE FUNDO II

Fechar ARTIGOS DE FUNDO III

Fechar TENDÊNCIAS 21

Fechar CIBERDIREITOS

Fechar No gesto da procura

Fechar Os erros do ditado

Fechar Para ler e deitar fora

Fechar O canto dos prosadores

Fechar UTILITÁRIOS

Fechar Apresentações

Fechar Barra JURIS

Fechar CANCIONEIRO de Castelões

Fechar Coisas e loisas da língua portuguesa

Fechar DIVULGAÇÃO DE LIVROS

Fechar Delitos Informáticos

Fechar Encontros

Fechar JURISPRUDÊNCIA

Fechar Livros Maravilhosos

Fechar MANUAL DE REQUERIMENTOS

Fechar NeoFronteras

Fechar Nova Lei das Rendas

Fechar O canto dos poetas

Fechar Vinho do Porto

Fechar Workshops

Relax
Pesquisar



Visitas

   visitantes

   visitantes online

PREFERÊNCIAS

Voltar a ligar
---

Nome

Password


SOS Virus

Computador lento?
Suspeita de vírus?
Fora com eles!
AdwCleaner

tira teimas!
--Windows--

Já deu uma vista de olhos pelas gordas de hoje?


Desde 2004
news_artigo.gifARTIGOS DE FUNDO - Informática Forense

Análise Forense

Costuma definir-se análise forense, na sua acepção mais ampla, como a “ciência aplicada a questões de interesse legal”. No contexto das T.I. e da Segurança da Informação, define-se como “a inspecção sistemática e tecnológica de um sistema informático e dos seus conteúdos para a obtenção de evidências de um crime ou qualquer outro uso que seja investigado”.

A análise forense é uma peça chave nos processos de resposta a incidentes de segurança e serve para estabelecer dados como o “quê”, “quem”, “quando”, “como” e, em alguns casos, o “porquê” de um incidente.

Nesta primeira parte do artigo vamos tratar da obtenção da evidência. Na segunda parte do artigo trataremos da análise da evidência, da demonstração da autenticidade da evidência e do método científico. Na terceira e última parte do artigo examinaremos as limitações da prática forense em ambientes corporativos complexos.

Obtenção da evidência

Nota: preferimos, no contexto informático, a utilização da palavra "evidência" a "amostra", mais adequada noutras áreas.

A obtenção da prova electrónica deve fazer-se sempre de modo a que o impacto no sistema examinado ou a modificação no seu estado seja o mínimo possível.

Num ambiente como o informático, em que o estado (conteúdo de registos, memória, estado do processador, etc.) dos sistemas muda continuamente, isto é difícil, se não mesmo impossível, de cumprir na prática.

Sempre que existe uma interacção (por leve e cuidadosa que seja) do investigador ou das suas ferramentas com o sistema examinado, produz-se uma alteração deste último.

Na prática forense moderna, considera-se que certos tipos de evidência são mais úteis ou importantes que outros e aceita-se a modificação do estado da evidência sempre que esta alteração seja conhecida e previsível.

Para isso é importante conhecer as ferramentas a utilizar. Não só é preciso conhecer o tipo de informação que extrai ou que relatórios gera, mas saber, com detalhe, qual é a interacção da ferramenta com o sistema sobre o qual corre: como afecta a memória, que arquivos modifica, a que recursos do sistema acede, etc.

Como regra geral, deve obter-se a evidência da forma menos destrutiva possível e sempre na ordem do mais volátil para o menos volátil, na ordem que se mostra a seguir.
  1. Conteúdo da memória
  2. Ligações de rede estabelecidas
  3. Processos a correr no sistema
  4. Portas abertas
  5. Utilizadores ligados ao sistema
  6. Conteúdos de ficheiros de paginação e swap
  7. Conteúdos de sistemas de ficheiros
  8. Configuração de hardware e periféricos

Quando a evidência se compõe de listagens de centenas de ligações, dezenas de processos a correr e uma imagem bit-a-bit de umas centenas de gigabytes de disco rígido, é necessário estabelecer um plano para a forma de realizar a análise. Isto é, decidir de antemão o que é importante, o que não é e em que ordem fazer as coisas.

O certo é que a maioria dos casos é muito comum e o procedimento segue sempre as mesmas regras. Casos típicos:
  • Um hacker acede a um sistema provocando a vulnerabilidade de um serviço. A seguir, se for necessário, aumenta os seus privilégios até ao nível de super-utilizador e instala um kit de ferramentas que lhe permita voltar a aceder ao sistema quando desejar, mesmo que a vulnerabilidade inicial já tenha sido solucionada.
  • Um utilizador legítimo do sistema provoca uma infecção no computador (software de duvidosa procedência, “drive-by downloads”, arquivos anexados no email, etc.) que instala um troiano que transforma o sistema num “zombie” como parte de uma “botnet”.
  • Um empregado aborrecido provoca a sabotagem dos sistemas na sua própria empresa.
  • Suspeita-se que um utilizador possua material não autorizado ou ilegal (software pirata, propriedade intelectual, pornografia infantil)
  • Um empregado rouba documentação e informação confidencial ou envia-a à concorrência.
  • Outro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)

Nenhuma investigação forense é iniciada sem haver pelo menos uma suspeita da conduta ou incidente a investigar e isto permite adaptar a metodologia ao caso concreto.

Apagar ou não apagar?

Um elemento da metodologia que é importante ter claro é a decisão de desligar ou não desligar a máquina e, no caso de não desligar, se se deve mantê-la ligada à rede ou não.

Toda a decisão que se toma desde o momento em que se inicia a investigação deve estar meditada, ponderada e avaliada em relação aos possíveis benefícios e possíveis prejuízos.

Nos casos onde a actividade maliciosa é clara e onde cada segundo que passa gera mais danos para a organização, pode ser boa prática desligar o cabo de alimentação (melhor que apagar usando a função “desligar/shutdown” do sistema, que tende a alterar mais o estado da evidência).

Naturalmente que, neste caso, temos que ter decidido que o conteúdo da memória não é importante ou já obtivemos anteriormente uma imagem da memória ou informação útil sobre os processos activos.

Há casos em que apagar ou desligar um sistema da rede, particularmente servidores de aplicações críticas de negócio online, não é uma opção. Seja pelo impacto que pode ter no negócio ou por motivos reguladores ou de processos restritos de gestão de trocas, uma queda não planeada de um sistema crítico pode ser pior que a incidência que se está a investigar.

Desligar dispositivos móveis?

Com o surgimento de sistemas móveis na infra-estrutura dos sistemas aparece um problema novo. Que fazer quando se averigua um telemóvel, Blackberry ou PDA?

É importante evitar comunicações de saída ou entrada do dispositivo quando se obtém uma evidência, para evitar a modificação do estado em que se encontra e impedir que o tráfego que entra possa sobreescrever registos históricos ou mensagens existentes. Existem duas opções perante um dispositivo de comunicações móvel:
  • Desligar o dispositivo
  • Mantê-lo aceso mas isolado da rede

Muitas vezes estes dispositivos estão protegidos por senhas ou códigos PIN. Se os desligamos, temos um problema adicional ao necessitar averiguar estas senhas ou procurar uma maneira de as ultrapassar. Se não os desligamos, o dispositivo continua a funcionar, consumindo bateria.

Com a opção de o mantermos ligado, mas num saco isolante, conseguimos que o dispositivo deixe de estar ligado à rede. Mas em geral, estes dispositivos, quando não encontram a portadora para comunicações, aumentam a sua potência de emissão e a frequência das tentativas para encontrar rede, de modo que a vida da bateria encurta-se consideravelmente.

Está claro que não é possível colocar um telemóvel ligado num saco e esperar que continue ligado vários dias depois quando se vai realizar a investigação da evidência.

A possibilidade de utilizar uma fonte de alimentação portátil (através de baterias) que se possa armazenar junto com o dispositivo no saco de isolamento pode ser interessante em certos casos.

Em qualquer caso, apesar da metodologia estar documentada e justificada, fica à discrição do investigador o método exacto a seguir.

Alfredo Reino

Alfredo Reino tem uma vasta experiência internacional em Segurança Informática e um espaço na web que vivamente se recomenda.

| Parte 2 |Parte 3 |



Criado em: 16/10/2007 • 23:53
Actualizado em: 18/10/2007 • 15:04
Categoria : ARTIGOS DE FUNDO


Imprimir Imprimir

Comentários


Comentário n°1 

almiro 16/08/2008 • 15:53

so curioso gosto  da area de seguramca tenho conhesimento e visao gostaria de juntar minha sensibilida com as pesoas  e juntar com um pouco de conhesimento na  area de informatica  para men formar en um perito gostaria que vc men ajudase  grato

  Amar é saborear, nos braços de um ser querido, a quantidade de céu que Deus pôs na carne  Victor Hugo
^ Topo ^