Modelo de Tese - TI Forense€¦ · RESUMO A forense computacional é a ciência que compreende a aquisição, prevenção, recuperação e análise de evidências computacionais,

UNIVERSIDADE DO SUL DE SANTA CATARINA

RODRIGO DE ABREU AUGUSTO

ESTABELECIMENTO DE DIRETRIZES DE FORENSE COMPUTACIONAL PARA

ATAQUES DIRECIONADOS

Florianopolis

2015




Trabalho de Conclusão de Curso apresentado ao Curso

de Graduação em Sistemas de Informação da

Universidade do Sul de Santa Catarina, como requisito

parcial à obtenção do título de Bacharel em Ciência da

Computação.

Orientador: Prof. Luiz Otavio Botelho.

Florianopolis

2015




Trabalho de Conclusão de Curso apresentado ao Curso

de Graduação em Sistemas de Informação da

Universidade do Sul de Santa Catarina, como requisito

parcial à obtenção do título de Bacharel em Ciência da

Computação.

Florianópolis, 16 de novembro de 2015.

______________________________________________________

Professor e orientador Luiz Otávio Botelho Lento, Me.

Universidade do Sul de Santa Catarina

______________________________________________________

Prof. Saulo Popov Zambiasi, Dr.


______________________________________________________

Prof.ª Maria Inés Castiñeira, Dra.


A minha família, que sempre esteve presente

em todos os momentos da minha vida, me

dando total apoio e a possibilidade de tornar

isso possível, e a Deus.

AGRADECIMENTOS

A Neli Maria de Abreu Augusto, Celoni Augusto, Alessandro de Abreu Augusto, Leandro de

Abreu Augusto, Gabriela de Abreu Augusto, Lara de Seixas Kuzniecow, João Arthur Ferreira,

Gabriel Eller Wilpert, Lucas Testoni Schmitt, Gustavo Alves, Matheus Costa Antunes,

Eduardo Fernandes, Carlos Roberto Augusto Junior, Matheus Cardoso Serafim, Bruno Jorge

Augusto, Donald Cardoso Serafim, Thiago Costa Antunes, Renato Silva, Tatiane Mendes, e

por fim, agradeço a Luiz Otavio Botelho Lento, por todo apoio e contribuição para a

realização deste trabalho.

“Na vida não importa o que você esteja fazendo, faça sempre o seu melhor.” (Ayrton Senna).

RESUMO

A forense computacional é a ciência que compreende a aquisição, prevenção, recuperação e

análise de evidências computacionais, que foram processados eletronicamente e armazenados

em mídias computacionais. Este trabalho visa elaborar um conjunto de diretrizes para analise

de ataques direcionados em sistemas computacionais, baseado no modelo forense. Para

adquirir o conhecimento necessário para elaboração do projeto, foram estudados os assuntos

sobre forense computacional, suas implicações legais, como adquirir, preservar, analisar e

apresentar os dados de uma investigação. Sobre segurança da informação, seus conceitos,

suas características, mecanismos, suas politicas de segurança e formas de proteção. Sobre

ataques direcionados, seus métodos, suas características e seu funcionamento. Com isso,

baseado no modelo forense foram estabelecidas diretrizes para analise de ataques

direcionados, visando melhorar os aspectos que envolvem a segurança de informação. Cada

etapa foi descrita detalhadamente e apresentada através de fluxogramas para melhor

entendimento. Para a validação do modelo foi realizado um estudo de caso, no qual foram

obtidos os resultados esperados com a utilização das diretrizes propostas neste projeto.

Palavras-chave: Forense computacional. Segurança. Ataques direcionados. Análise de

Ataques direcionados.

ABSTRACT

The computational forensic is the science that understands the acquisition, prevention,

recovery and analysis of computational evidences, that were processed electronically and

stored in computational media. This work aims at to elaborate a set of lines of direction for

analysis of attacks directed in computational systems based in the forensic model. To acquire

the knowledge necessary for elaboration of this project, were studied the subjects on

computational forensic, as its legal implications, to acquire, to preserve, to analyse and to

present the data of the investigation. On security of information, its concepts, its

characteristics, mechanisms, its security politics and forms of protection. On directed attacks,

its methods, its characteristics and it’s functioning. With this, based in the forensic model,

guidelines of direction for analysis of directed attacks were established, aiming at to improve

the aspects that involve the information security. Each step was described in detail and

presented through flowcharts for a better understanding. For the validation of the model, a

case study was accomplished, where the expected results were obtained with the use of the

guidelines proposed in this project.

Keywords: Computational forensics. Security. Targeted attacks. Targeted attacks analysis.

LISTA DE SIGLAS

BIND - Berkeley Internet Name Domain

DoS - Denial Of Service

DDoS - Distributed Denial of Service

DNS - Domain Name System

FTP - File Transfer Protocol

ICMP - Internet Control Message Protocol

IMAP - Internet Message Access Protocol

IDS - Intrusion Detection System

UDP - User Datagram Protocol

POP - Post Office Protocol

TCP - Transfer Control Protocol

TCP SYN - Transfer Control Protocol Synchronize

URL - Uniform Resource Locator

APT - Advanced Persistent Threat

LISTA DE FIGURAS

Figura 01 - Distributed denial-of-service

Figura 02 - Atacante envia pacote com endereço alterado

Figura 03 – Atacante inserido no caminho entre vítima e maquina com endereço alterado.

Figura 04 - Buffer Overflow

Figura 05 - Pesquisa sobre Phishing

Figura 06 - Investigação computacional

Figura 07 - Estrutura Hierárquica

Figura 08 - Etapas do Desenvolvimento

Figura 9: Etapas do modelo forense

Figura 10: Modelo de análise de ataques direcionados

Figura 11: Processo de Ataque

Figura 12: Identificar indícios de um possível ataque

Figura 13: Coletar dados

Figura 14: Coleta de dados voláteis

Figura 15: Coleta de dados não voláteis

Figura 16: Exame de dados

Figura 17: Analise dos dados

Figura 18: Log de acesso ao servidor.

Figura 19: Lista de e-mails enviados aos alunos com domínio suspeito.

Figura 20: E-mail recebido pelos alunos.

Figura 21: E-mail com indício de Spear Phishing.

Figura 22: Intranet da Universidade

Figura 23: Forma de interagir com alunos através da intranet da Universidade.

Figura 24: Ubuntu – FDTK utilizado para facilitar o exame dos dados.

Figura 25: Cabeçalho de arquivo.

Figura 26: Recuperação de arquivos.

Figura 27: Exemplo de metadados.

Figura 28: Lista de e-mails maliciosos.

Figura 29: MAC TIMES do e-mail recebido.

SUMÁRIO

1 I NTRODUÇÃO ............................................................................................................................. 1

1.1 PROBLEMÁTICA .........................................................................................................................2 1.2 OBJETIVOS ...................................................................................................................................3 1.2.1 Objetivo geral .....................................................................................................................3

1.2.2 Objetivos Específicos.........................................................................................................3 1.3 JUSTIFICATIVA ...........................................................................................................................4 1.4 ESTRUTURA DA MONOGRAFIA ..............................................................................................4

2 ATAQUES CONVENCIONAIS .................................................................................................... 6

2.1 NEGAÇÃO DE SERVIÇO.............................................................................................................6 2.1.1 Ataques por Inundação .............................................................................................................6 2.1.2 Ataques por Amplificação .........................................................................................................7 2.1.3 Ataques por Exploração de Protocolos ....................................................................................7 2.1.4 Ataques Distribuídos .................................................................................................................8 2.2 IP SPOOFING ................................................................................................................................9 2.2.1 Ataque em uma Única Direção ...............................................................................................10 2.2.2 Mudança Básica de Endereço IP ............................................................................................11 2.2.3 Uso de Roteamento de Origem para Interceptar Pacotes ....................................................11 2.2.4 Explorar Relação de Confiança entre Maquinas Unix .........................................................13 2.3 BUFFER OVERFLOW ................................................................................................................13 2.4 ENGENHARIA SOCIAL .............................................................................................................14 2.4.1 Phishing .....................................................................................................................................16 2.5 BACKDOORS ..............................................................................................................................19 2.6 SNIFFING ....................................................................................................................................19 2.7 ATAQUES DIRECIONADOS ...................................................................................................20 2.7.1 Exploit .......................................................................................................................................21 2.7.2 Zero-day .....................................................................................................................................24 2.7.3 Advanced Persistent Threat ....................................................................................................25 2.8 FORENSE COMPUTACIONAL .................................................................................................27 2.8.1 INTRODUZINDO A FORENSE ............................................................................................28 2.8.2 Implicações Legais ...................................................................................................................30 2.8.3 Metodologia Forense para Obtenção de Evidencias .............................................................31 2.8.4 Equipe Forense .........................................................................................................................38 2.8.5 Considerações Finais ...............................................................................................................40

3 MÉTODO....................................................................................................................................... 41

3.1 CARACTERIZAÇÃO DO TIPO DE PESQUISA .......................................................................41 3.1.1 Pesquisa Aplicada ....................................................................................................................41 3.1.2 Pesquisa Bibliográfica .............................................................................................................41 3.1.3 Estudo de Caso .........................................................................................................................42 3.2 ETAPAS .......................................................................................................................................42 3.3 DELIMITAÇÕES .........................................................................................................................43

4 DESENVOLVIMENTO ............................................................................................................... 44

4.1 PROPOSTA DA SOLUÇÃO .......................................................................................................44 4.2 TERMINOLOGIA ........................................................................................................................46 4.3 DESCRIÇÃO DO DIAGRAMA PROPOSTO .............................................................................47 4.4 CONSIDERAÇÕES DO CAPÍTULO ..........................................................................................59

5 TESTE E VERIFICAÇÃO ........................................................................................................... 60

5.1 APRESENTAÇÃO DO CASO.....................................................................................................60 5.2 APLICAÇÃO DO MODELO .......................................................................................................61

5.3 LAUDO PERICIAL .....................................................................................................................72 5.4 CONSIDERAÇÕES FINAIS .......................................................................................................74

6 CONCLUSÃO ............................................................................................................................... 75

6.1 TRABALHOS FUTUROS ...........................................................................................................76 REFERÊNCIAS......................................................................................................................78

APÊNDICE – CRONOGRAMA...........................................................................................84

1

1 INTRODUÇÃO

Nas últimas décadas, o uso da tecnologia tem sido de grande utilidade em todas as áreas

do comércio, também, no dia-a-dia das pessoas.

Com o surgimento da internet houveram vários benefícios para a sociedade, mas,

também surgiram práticas ilícitas como malwares1 (tipos de softwares maliciosos) e phishing

2

(captação de dados de forma fraudulenta) que afetam computadores pessoais e corporativos.

Segundo Macedo (2012) “o computador e as tecnologias atuais têm causado uma

mudança radical de como a sociedade funciona. Tanto no âmbito profissional como no

pessoal, nossa vida depende de vários serviços que se apoiam em computadores e redes de

comunicação”.

Através de ataques aos usuários e sistemas, o cyber crime (crime praticado na internet)

está cada vez mais difícil de ser investigado devido à possibilidade de anonimato, tornando-se

mais comum nos ambientes computacionais ao longo do tempo.

Segundo Henry Shawn citado em (SILVA, 2014), “diretor adjunto da divisão

informática do Federal Bureau of Investigation (FBI), os ataques cibernéticos estão entre as

maiores ameaças na atualidade”.

Entre as ocorrências mais comuns em relação aos ataques praticados estão, a perda ou

alteração de dados importantes para uma organização, roubo de informações confidenciais e

outros crimes como pedofilia e fraudes.

Macedo (2012) também cita que, existem várias medidas de segurança que podem ser

tomadas para preservar o ambiente computacional ao acesso indevido. No entanto, é difícil

que em algum momento uma brecha não seja explorada.

Conforme Silva (2014):

É lugar comum hoje em dia dizer que segurança das informações virou prioridade para

empresas de todos os segmentos e portes. Dados não faltam para justificar essa crescente

preocupação: 60 mil novos malwares (softwares maliciosos) por dia; 8 mil novos sites

infectados por dia; mais de 100 bilhões de spam’s disparados diariamente pelo mundo todo;

além dos incontáveis danos causados às informações corporativas por imperícia ou

negligências dos próprios funcionários, sabotagem, defeitos em equipamentos e outros.

1 O malware é qualquer tipo de software indesejado, instalado sem o devindo consentimento do usuário e que

explora vulnerabilidades ainda não detectadas. (MADEIRA, 2012, p. 28). 2 O phishing é um tipo de ataque baseado em engenharia social na qual os criminosos usam e-mails para levar

pessoas a revelar informações pessoais ou instalar software malicioso em seu computador. (MADEIRA, 2012, p.

22).

2

“A Forense Computacional é a ciência que estuda a aquisição, preservação,

documentação, recuperação e análise de dados que estão em formato eletrônico e que estão

em formato eletrônico e armazenados em algum tipo de mídia computacional.” (QUEIROZ,

2007, p. 03).

Desse modo, segurança da informação vem para auxiliar na tentativa de resolução do

problema, em que se tem perda ou alteração de dados importantes para a organização, e que

nem sempre os causadores são as pessoas, mas, também, brechas encontradas no sistema.

Por conseguinte, este trabalho tem por objetivo utilização de um modelo forense

computacional para apoiar a implementação de diretrizes forense a ataques direcionados,

visando melhorar a segurança da informação.

1.1 PROBLEMÁTICA

Segundo da Silva (2014):

Atualmente, não existe espaço para novas gerações que não tenham contato,

desde cedo, com telefones celulares, tablets, smarphones, laptops e outros meios.

Após o término da II Guerra Mundial, as telecomunicações foram associadas à

computação e, com isso, iniciava-se um novo setor do conhecimento humano

chamado de tecnologia da informação.

Conforme Madeira (2012), Com a proliferação da internet, as empresas nunca

estiveram tão expostas, justamente quando a informação é o bem de maior valor em uma

organização.

Para da Silva (2014), os ataques cibernéticos se apresentam em uma escala mundial

crescente, silenciosa e se caracterizam como um dos grandes desafios do século XXI. Todas

as pessoas, empresas, governos e entidades que utilizam o espaço cibernético estão expostos

a riscos.

Ainda Ng (2007), apesar de ser uma boa iniciativa, as práticas forenses

computacionais ainda não são realizadas da melhor forma nas organizações, mesmo porque,

não possuem conhecimento especializado, naturalmente, o processo de análise não tem a

qualidade necessária.

3

Neste caso, é importante a criação de uma cultura dentro da empresa que adote as

práticas forenses, de modo que, diminuam as fraudes e perdas da organização.

1.2 OBJETIVOS

São apresentados a seguir os objetivos desse trabalho.

1.2.1 Objetivo geral

Este trabalho tem como objetivo utilizar um modelo forense para estabelecer um

conjunto diretrizes para análise de ataques direcionados.

1.2.2 Objetivos específicos

Os objetivos específicos deste trabalho são:

estudar forense computacional e seus tipos;

estudar ataques direcionados e seus tipos;

estudar mecanismos de defesa;

estudar ataques convencionais;

desenvolver um conjunto de diretrizes, com base em um modelo forense, focado

em ataques direcionados;

validar as diretrizes com um estudo de caso.

4

1.3 JUSTIFICATIVA

Conforme Bustamante (2006), as evidências que um criminalista encontra geralmente

não podem ser vistas a olho nu e são dependentes de ferramentas e meios para obtê-las. Cabe

ao profissional de informática coletar as evidências de modo que sejam admitidas em juízo,

para isso produzindo um laudo pericial.

Para Azevedo et al. (2011):

O crescente uso e a grande aplicação de sistemas informatizados e da tecnologia

trazem riscos, como o mau uso da tecnologia por parte de pessoas que criam

sistemas motivadores de práticas ilícitas, como também por parte daquelas que,

mesmo não os criando, utilizam-se deles.

Escolheu-se o tema por ser a segurança da informação uma necessidade estratégica

para o negócio das organizações e o dia-a-dia das pessoas no uso da tecnologia e de sistemas

informatizados. A afirmativa deve-se ao fato de que, em ambos os casos existe a

necessidade trabalhar em ambientes seguros, garantindo a disponibilidade, integridade e

confiabilidade das informações.

Com isso, garantir que a prática forense faça parte do processo organizacional e

contribua na segurança contra os vazamentos de informações.

1.4 ESTRUTURA DA MONOGRAFIA

Este trabalho está dividido em seis capítulos. A seguir, será apresentada a estrutura

do trabalho:

Capítulo 1 – Introdução: Este capítulo apresenta a introdução, problema, os objetivos

e a justificativa do trabalho.

Capítulo 2 – Revisão bibliográfica: Nesse capítulo é referenciado o conteúdo que se

faz necessário para a fundamentação teórica que embasará o projeto.

5

Capítulo 3 – Metodologia: Apresentação da metodologia de pesquisa, a proposta da

solução e as delimitações do projeto.

Capítulo 4 – Desenvolvimento: Nesse capítulo será desenvolvido um conjunto de

diretrizes com base em um modelo forense, focado em ataques direcionados;

Capítulo 5 – Proposta da Solução: Validação das diretrizes em um estudo de caso;

Capítulo 6 – Conclusões e trabalhos futuros: Este capítulo apresenta as conclusões

deste trabalho e sugestões para trabalhos futuros.

6

2 ATAQUES CONVENCIONAIS

Os ataques são cada vez mais projetados para roubar informações de forma silenciosa,

explorar vulnerabilidades, sem deixar para trás qualquer dano que poderia ser observado por

um usuário, por isso, é necessário definir regras para impedi-los.

2.1 NEGAÇÃO DE SERVIÇO

Os ataques de negação de serviço (DoS – Denial of Service) “utilizam um computador

para tirar de operação um serviço ou um computador conectado à Internet”. Seguindo os

exemplos abaixo (CERT.br - Parte I, 2006; p. 9/14):

“Gerar uma grande sobrecarga no processamento de dados de um

computador, de modo que o usuário não consiga utilizá-lo”;

“Gerar um grande tráfego de dados para uma rede, ocupando toda a banda

disponível, de modo que qualquer computador desta rede fique indisponível”;

“Tirar serviços importantes de um provedor do ar, impossibilitando o acesso

dos usuários a suas caixas de correio no servidor de e-mail ou ao servidor

Web”.

Com isso, recursos são explorados, impossibilitando usuários de utiliza-los, por estarem

indisponíveis ou extremamente lentos (ROMERO et.al, 2003).

2.1.1 Ataques por Inundação

Segundo Neves (2014; p. 6), “Ataques por inundação se caracterizam por enviarem um

grande volume de tráfego ao sistema da vítima primária de modo a congestionar sua banda”.

7

Ainda afirma que o impacto deste ataque pode causar lentidão ao sistema, derrubá-lo ou

sobrecarregar a rede da vítima, utilizando pacotes UDP (User Datagram Protocol) ou ICMP

(Internet Control Message Protocol).

Sendo assim, o alvo do ataque fica praticamente impossibilitado de realizar qualquer

operação.

2.1.2 Ataques por Amplificação

Ataques por amplificação enviam requisições forjadas para diversos computadores ou

para um endereço IP broadcast, que posteriormente responderão as requisições, alterando o

endereço IP de origem das requisições para o IP da vítima, direcionando todas as respostas ao

alvo do ataque. (NEVES, 2014).

Conforme Sab et al. (2013; p. 1):

Um endereço de IP de broadcast é um recurso encontrado em roteadores que,

quando escolhido como endereço de destino, faz com que o roteador efetue um

broadcast, replicando o pacote e enviando para todos os endereços de IP

pertencentes a um intervalo determinado.

Desta forma, os endereços de broadcast ampliam e refletem o tráfego do ataque,

reduzindo a banda da vítima. (NEVES, 2014).

2.1.3 Ataques por Exploração de Protocolos

Segundo Neves (2014; p. 8):

Se caracterizam por consumir excessivamente os recursos da vítima explorando

alguma característica específica ou falha de implementação de algum protocolo

8

instalado no seu sistema, fazendo uso indevido de pacotes TCP SYN3 (Transfer

Control Protocol Synchronize) ou de pacotes TCP PUSH+ACK4.

2.1.4 Ataques Distribuídos

Segundo Douligeris et al. (2004, apud Rocha; p. 10):

Ataque distribuído de negação de serviço (DDoS, distributed denial-of-service) é

um ataque onde múltiplos sistemas comprometidos são usados para executar um

ataque DoS coordenado contra um ou mais alvos, adicionando a dimensão de muitos

para um ao ataque DoS. Por meio de uma tecnologia de cliente/servidor, o intruso é

capaz de multiplicar a eficácia do ataque DoS significativamente aproveitando o

recurso de múltiplos computadores recrutados involuntariamente.

Figura 01: Ataque de Negação de Serviço

Reproduzida de: Gangte (2013).

3 SYN é o primeiro pacote enviado através de uma conexão TCP e indica a intenção de conexão. (SAB. et. al,

2013) 4 PSH é um flag que indica que os dados devem ser transmitidos imediatamente, mesmo que o buffer não

esteja totalmente preenchido, e o ACK é um flag que indica que o endereço de destino recebeu corretamente

os dados (SAB. et. al, 2013).

9

Como demonstrado na figura acima, múltiplos sistemas em todo o mundo estão

iniciando um ataque contra uma única vítima. Se os ataques DoS são difíceis de evitar

vindos de uma única fonte, muito mais difícil é a proteção contra o DDoS que está vindo de

múltiplas máquinas em múltiplas localidades.

2.2 IP SPOOFING

É uma técnica que mascara o endereço real do atacante no intuito de escondê-lo, sendo

muito utilizado em tentativas de acesso a sistemas onde a autenticação é baseada em

endereços IP, utilizado nas relações de confiança de uma rede interna. (ROMERO et.al,

2003).

Segundo Martins (2009; p. 1):

O ataque ocorre quando o invasor fabrica um pacote contendo um falso endereço de

origem, fazendo com que o host atacado acredite que a conexão está vindo de outro

local, geralmente se passando por um host que tem permissão para se conectar a

outra máquina.

Esse método funciona porque as relações de confiança das redes se baseiam apenas na

autenticação de endereços IP, que são facilmente mascarados, o que facilita a aplicação dessa

técnica (MARTINS, 2009).

Conforme Romero et al. (2003; p. 9) “o IP Spoofing não é exatamente uma forma de

ataque, mas sim uma técnica que é utilizada na grande maioria dos ataques, pois ele ajuda a

esconder a identidade do atacante”. E cita que através da técnica de IP Spoofing, o hacker

consegue atingir os seguintes objetivos:

“Obter acesso às máquinas que confiam no IP que foi falsificado”;

“Capturar conexões já existentes (para isto é necessário utilizar-se também de

outras técnicas como predizer o número de sequência) e burlar os filtros de

pacotes dos firewalls que bloqueiam o tráfego baseado nos endereços de origem e

destino”.

10

2.2.1 Ataque em uma Única Direção

Segundo Romero et al. (2003; p 8):

No Flying blind attack (ataque em uma única direção), o atacante envia um pacote

com o endereço IP alterado para a vítima, que recebe o pacote e encaminha para o

endereço IP listado como receptor e não para o atacante, fazendo com que o mesmo

envie pacotes para á maquina com o endereço IP alterado, mas não recebendo

nenhum de volta.

Figura 02: Atacante envia um pacote com endereço alterado.

Reproduzida de: Romero et al. (2003).

Como mostra a figura, o atacante envia o pacote com o endereço alterado para a vitima,

forjando seu endereço e não recebe nenhum pacote de volta, apenas envia.

Segundo Romero et al.(2003) “o atacante não enxerga nenhuma resposta da vítima, no

entanto ele pode se inserir no caminho entre a máquina vítima e a máquina cujo endereço está

sendo alterado, sendo capaz de interceptar as respostas”, como mostrado na Figura 03.

11

Figura 03: Atacante inserido no caminho entre vítima e maquina com endereço alterado.


O atacante se insere entre as maquinas, escondendo sua identidade para interceptar os

pacotes e analisar o que está sendo enviando.

2.2.2 Mudança Básica de Endereço IP

Segundo Romero et al. (2003; p. 10).

O spoofing de um endereço IP consiste em mudar o endereço IP de uma máquina, de

forma a ficar igual de outra máquina. A forma mais simples de efetuar essa alteração

é ir até as configurações da rede e mudar o endereço IP da máquina. Fazendo isto,

todos os pacotes que são enviados possuem um endereço IP igual ao endereço que o

atacante quer falsificar. Dessa forma, todas as respostas são encaminhadas de volta

para o endereço forjado ao invés da máquina do atacante. Este tipo de alteração

possui diversas limitações, mas em termos de ataques de DoS, às vezes é necessário

somente um único pacote é capaz de indisponibilizar a máquina.

2.2.3 Uso de Roteamento de Origem para Interceptar Pacotes

Segundo Romero et al. (2003; p. 10):

Um dos grandes problemas do spoofing é que o tráfego retorna de volta para o

endereço que sofreu spoofing o atacante nunca visualiza os pacotes devolvidos. O

12

Flying blind é efetivo somente em pequenos ataques. Porém em ataques avançados,

o atacante quer enxergar os dois lados da conversação. Um modo de alcançar esse

objetivo é o atacante se inserir no meio do caminho no qual o pacote normalmente

irá trafegar. A Internet é muito dinâmica em termos de como o roteamento é feito.

Ele pode ser alterado a cada dia, hora ou até mesmo a cada minuto. Entretanto, há

um modo de garantir que um pacote adotou um determinado caminho por meio da

Internet, e no caso do spoofing, que este caminho passa através da máquina do

atacante. É possível fazer isso com o roteamento de origem o qual é construído

dentro do protocolo TCP/IP. O roteamento de origem especifica o caminho que o

pacote vai passar.

Há dois tipos de roteamento de origem, conforme segue (ROMERO et al., 2003; p. 10):

Louse Source Routing (LSR): “O remetente especifica uma lista de endereços IP pelos

quais o tráfego ou o pacote irá passar, mas ele também poderá ir através e qualquer

endereço que ele necessita, não se preocupando com o seu percurso na rede”.

Strict Source Routing (SRS): “O remetente especifica o caminho exato que o pacote

deve seguir. Se o caminho exato não pode ser seguido, o pacote é descartado e uma

mensagem ICMP é encaminhada para o remetente”.

O roteamento de origem possui enormes benefícios para o spoofing. Um atacante

envia um pacote para um destino com um endereço que sofreu spoofing, mas

especifica um loose source roouting e coloca seu endereço IP na lista. Então,

quando o receptor responde, o pacote é enviado de volta para o endereço que sofreu

spoofing, porém antes ele passa pela máquina do atacante. Este ataque não é um

flying blind, porque o atacante pode ver ambos os lados da conversa (ROMERO et

al., 2003; p. 10).

O atacante pode querer especificar vários endereços além do seu, desse modo se

alguém interceptá-lo, ele pode não atingir com precisão o alvo (a máquina do atacante).

Segundo, o strict sourcer outing poderia também ser usado, porém é mais difícil porque o

atacante precisa saber o caminho exato que o pacote deve percorrer. Dessa forma, como

ambos os modos funcionam, é mais interessante utilizar o loose source routing, visto que ele

é mais simples e tem grandes chances de sucesso (ROMERO et al., 2003; p. 10).

13

2.2.4 Explorar Relação de Confiança entre Maquinas Unix

Nos ambientes Unix, para facilitar a movimentação das maquinas, relações de

confiança são estabelecidas entre si (ROMERO et. al, 2003).

Que do ponto de vista do spoofing, as relações de confiança são fáceis de serem

exploradas. Por exemplo, se um atacante sabe que um servidor A confia em alguém

vindo da máquina Y, o qual possui endereço IP 10.10.10.5, o atacante falsifica seu

endereço para 10.10.10.5, assim ele terá o acesso permitido nos demais servidores

sem que seja solicitada uma senha de acesso, por que o endereço IP é confiável. O

problema principal é ainda visualizar as respostas encaminhadas, porque todas as

respostas são enviadas de volta para o IP que está sofrendo spoofing, e não para o

endereço do atacante.

2.3 BUFFER OVERFLOW

Um buffer overflow é resultado do armazenamento em um buffer de uma quantidade

maior de dados do que sua capacidade, inserindo muitos dados dentro da pilha de memória,

sobrescrevendo outras informações que estão na pilha.

Para Aranha (2003):

Uma falha de segurança comumente encontrada em software é a vulnerabilidade a

buffer overflow. Apesar de ser uma falha bem-conhecida e bastante séria, que se

origina exclusivamente na incompetência do programador durante a implementação

do programa, o erro repete-se sistematicamente a cada nova versão ou produtos

liberados. Alguns programas já são famosos por frequentemente apresentarem a

falha, como o Sendmail, módulos do Apache, e boa parte dos produtos da Microsoft.

Segundo Romero et al. (2003; p. 13):

Grande parte das vulnerabilidades encontradas nos sistemas é referente à buffer

overflow, sendo o ataque mais empregado desde 1997 segundo os boletins da CERT,

geralmente usadas para executar códigos arbitrários nos sistemas, sendo

considerados de alto risco. Além da possibilidade de execução de comandos

arbitrários, que é a situação mais grave do problema, o buffer overflow pode resultar

em perda ou modificação dos dados, em perda do controle do fluxo de execução do

sistema (“segmentation violation", no Unix, ou "gerenal protection fault", no

Windows) ou em paralisação do sistema.

14

O objetivo é estourar o buffer e sobrescrever parte da pilha para alterar as variáveis

locais, parâmetros ou endereços de retorno. O endereço de retorno é alterado com o intuito

de apontar para o local de armazenamento do código que será executado, aproveitando-se

dos privilégios do usuário que irá executar o programa vulnerável. (ARANHA, 2003).

Figura 04: Buffer Overflow


O buffer sem controle do tamanho é explorado. No Passo 01, o ataque é feito com a

inserção de uma string grande em uma rotina que não checa os limites do buffer.

Com isso, a string ultrapassa o tamanho do buffer, sobrescrevendo as demais áreas

da memória. No Passo 02, o endereço de retorno é sobrescrito por outro endereço,

que está incluído na string e aponta para o código do ataque. No Passo 03, o código

do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. No

Passo 04, a função pula para o código do ataque injetado, baseado no endereço do

retorno que também foi inserido. Com isso, o código injetado pode ser executado”

(ROMERO et al., 2003; p. 15).

2.4 ENGENHARIA SOCIAL

O método de ataque conhecido como “engenharia social” tem por objetivo enganar e

ludibriar pessoas, a fim de obter informações que possam comprometer a segurança da

organização (NAKAMURA & GEUS, 2002; p. 55).

15

Mitnick e Simon (2003, p. 3) sustentam a tese de que o fator humano é o elo mais

fraco da segurança e definem da seguinte forma a técnica que explora a vulnerabilidade

humana:

A Engenharia social usa a influência e a persuasão para enganar as pessoas e

convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela

manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas

para obter as informações com ou sem o uso da tecnologia.

Tendo isso em vista, os seguintes exemplos para ilustram os tipos de ataque que

utilizam esse método (CERT, 2006, p. 7):

Um desconhecido liga para a casa de alguém e diz ser do suporte técnico do provedor

dele. Nesta ligação, ele diz que a conexão com a Internet está apresentando algum

problema e, então, pede a senha para corrigi-lo;

Você recebe uma mensagem de e-mail, supostamente do fornecedor do seu antivírus,

dizendo que seu computador está infectado por um vírus. A mensagem sugere que a

pessoa instale um a ferramenta disponível em um site da Internet, para eliminar o

vírus de seu computador;

Alguém recebe uma mensagem de e-mail, onde o remetente é o gerente ou alguém

do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de

Internet Banking está apresentando algum problema e que tal problema pode ser

corrigido se for executado o aplicativo que está anexado à mensagem. A execução

deste aplicativo apresenta uma tela análoga àquela utilizada para se ter acesso à conta

bancária, aguardando que se digite a senha.

Mitnick e Simon (2003) explicam que a maioria das pessoas supõe que não será

enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o

atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável

que não levanta suspeita enquanto explora a confiança da vítima.

16

2.4.1 Phishing

Para Markus Jakobsson (2007, tradução nossa) o Phishing pode ser descrito a partir de

um casamento celebrado entre a tecnologia e a engenharia social. Embora este fenômeno

possa ser bem sucedido num panorama em que um destes fatores prevalece sobre o outro, as

hipóteses de sucesso serão muito maiores se o prevaricador conseguir conciliar ambos de

forma estratégica.

Segundo Cert.br (2012; p. 1), O phishing ocorre por meio do envio de mensagens

eletrônicas que:

“Tentam se passar pela comunicação oficial de uma instituição conhecida, como

um banco, uma empresa ou um site popular”;

“Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela

possibilidade de obter alguma vantagem financeira”;

“Informam que a não execução dos procedimentos descritos pode acarretar sérias

consequências, como a inscrição em serviços de proteção de crédito e o

cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito”;

“Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do

acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da

instalação de códigos maliciosos, projetados para coletar informações sensíveis, e do

preenchimento de formulários contidos na mensagem ou em páginas Web”.

Ainda afirma (2012; p. 1) “para atrair à atenção do usuário as mensagens apresentam

diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços, a

imagem de pessoas e assuntos em destaque no momento”. Como as situações abaixo:

“Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail,

em nome de um site de comércio eletrônico ou de uma instituição financeira, que

tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma

página Web falsa, semelhante ao site que você realmente deseja acessar, onde são

solicitados os seus dados pessoais e financeiros”;

“Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma

mensagem contendo um link para o site da rede social ou da companhia aérea que

você utiliza. Ao clicar, você é direcionado para uma página Web falsa onde é

17

solicitado o seu nome de usuário e a sua senha que, ao serem fornecidos, serão

enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em

seu nome, como enviar mensagens ou emitir passagens aéreas”;

“Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo

um formulário com campos para a digitação de dados pessoais e financeiros. A

mensagem solicita que você preencha o formulário e apresenta um botão para

confirmar o envio das informações. Ao preencher os campos e confirmar o envio,

seus dados são transmitidos para os golpistas”;

“Mensagens contendo links para códigos maliciosos: você recebe um e-mail que

tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao

clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o

arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código

malicioso em seu computador”; e

“Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada

pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que

trabalha, informando que o serviço de e-mail está passando por manutenção e que é

necessário o recadastramento. Para isto, é preciso que você forneça seus dados

pessoais, como nome de usuário e senha”.

Outra das características funcionais deste vírus é a sua função de Key Logger, que

permite a gravação de tudo o que o utilizador digita no seu teclado, transpondo essa

informação para um ficheiro de texto, no qual se incluirá o username e o password de acesso

bancário digitado pelo utilizador.

Um relatório trimestral divulgado pela McAfee (Security Scan) revelou que o phishing

continua como uma das principais táticas de golpes em organizações.

Figura 05: Pesquisa sobre Phishing

Reproduzida de: McAfee (2014).

18

A pesquisa mostra que 80% não conseguiram identificar um a cada sete e-mails de

phishing no questionário elaborado. O departamento de finanças e RH são os que

apresentaram pior desempenho na detecção dos golpes, o que preocupa dada as informações

corporativas sigilosas presentes nestes setores (McAfee, 2014).

2.4.1.1 Pharming

Basicamente modifica a relação que existe entre o nome de um site e seu respectivo

servidor web. Em vez de dependerem totalmente dos usuários para clicar em links atraentes

contidos em mensagens de e-mail falsas, os ataques de pharming redirecionam suas vítimas

para websites falsos, mesmo se elas digitarem o endereço da Web correto para o seu banco

ou outros serviços on-line no navegador da Web.

Para a Cert.br, pharming é um tipo específico de phishing que envolve a redireção da

navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain

Name System). Como das formas citadas abaixo:

Por meio do comprometimento do servidor de DNS do provedor que você utiliza;

Pela ação de códigos maliciosos projetados para alterar o comportamento do

serviço de DNS do seu computador; e

Pela ação direta de um invasor, que venha a ter acesso às configurações do serviço

de DNS do seu computador ou modem de banda larga.

Segundo Peixoto (2010) o pharming, portanto, é a nova geração do ataque de

phishing, apenas sem o uso da “isca” (o e-mail com a mensagem enganosa). O vírus

reescreve arquivos do PC que são utilizados para converter os endereços de internet (URLs)

em números que formam os endereços IP (números decifráveis pelo computador).

19

2.5 BACKDOORS

“A forma usual de inclusão de um backdoor consiste na disponibilização de um novo

serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente

possuindo recursos que permitem o acesso remoto” (CERT.br, 2006).

Segundo Chaves et al. (2012; p. 2):

Os atacantes, após terem comprometido um sistema, normalmente utilizam um

mecanismo para conseguir acesso a esse sem que uma vulnerabilidade em um

software tenha que ser explorada. Esse é frequentemente instalado com a intenção

de facilitar o retorno do atacante, bem como dificultar a sua detecção.

Desta forma, consistem em explorar vulnerabilidades existentes nos programas

instalados nos computadores para invadi-los e garantir que tenham acesso futuramente ao

mesmo, sem que sejam notados (CERT.br, 2006).

2.6 SNIFFING

Segundo a Agencia Estadual de Tecnologia da Informação de Pernambuco (ATI),

Sniffing consiste na captura de informações diretamente do fluxo de pacotes no mesmo

segmento de rede onde o atacante instalou o software. Seus alvos preferidos são senhas que

trafegam sem criptografia, e-mails e qualquer outro tipo de informação que passe em texto

plano.

Conforme a Cert.br, Interceptação de tráfego, ou sniffing, é uma técnica que consiste

em inspecionar os dados trafegados em redes de computadores, por meio do uso de

programas específicos chamados de sniffers. Esta técnica pode ser utilizada de forma:

Legítima: por administradores de redes, para detectar problemas, analisar

desempenho e monitorar atividades maliciosas relativas aos computadores ou redes

por eles administrados;

20

Maliciosa: por atacantes, para capturar informações sensíveis, como senhas,

números de cartão de crédito e o conteúdo de arquivos confidenciais que estejam

trafegando por meio de conexões inseguras, ou seja, sem criptografia;

Para Meneghel (1998), o sniffing provoca uma perda de segurança a diversos níveis:

Passwords, talvez o objetivo mais comum, que conduz a falhas de segurança

significativas e de difícil detecção;

Números de contas bancárias, cartões de crédito, etc.;

Informação privada, de correio eletrônico, ou comunicação em trânsito entre um

cliente e um servidor, por exemplo; e

Protocolos de baixo nível, esta é uma exploração do sniffing que o torna

particularmente útil para futuros ataques, nomeadamente através do conhecimento

que é possível obter sobre os endereços de hardware das interfaces existentes na

rede, endereços IP das interfaces remotas, informação de roteamento IP, ports de

uma ligação TCP/IP, números de sequência dos pacotes, etc.

2.7 ATAQUES DIRECIONADOS

Tem como objetivo buscar informações específicas. Não são ataques conhecidos ou

previstos pelos sistemas de defesas. Logo, não existem regras para impedir estes tipos de

ataques.

Segundo Miller (2012; p. 6), Devido à sua natureza direcionada, os executores de

ameaças persistentes avançadas muitas vezes têm objetivos diferentes dos hackers comuns,

incluindo um maior foco nos seguintes objetivos, em vez de roubos simples:

Manipulação política: Maneira requerida para mobilizar multidões;

Espionagem militar: Obter informações sigilosas relativas a organizações

governamentais;

Espionagem econômica: Observar ações e movimentações econômicas de países e

estados.

21

Espionagem técnica: Obter informações através de dispositivos manipulados.

Extorsão financeira: Obter vantagens financeiras através de informações obtidas

ilegalmente.

2.7.1 Exploit

Conforme Pedrosa (2007), o termo exploit, vem do inglês, que em português significa,

literalmente, explorar.

“São pequenos utilitários ou exemplos de código que podem ser usados para explorar

vulnerabilidades específicas, podendo ser usados diretamente, ou ser incorporados em vírus,

cavalos de tróia, ferramentas de detecção de vulnerabilidades e outros tipos de softwares”

(MORIMOTO, 2008).

Existem exploits para diversas finalidades e eles podem ser encontrados como arquivos

executáveis, ou até mesmo dentro de um comando de protocolo de rede. Eles são códigos

escritos com o intuito de explorar vulnerabilidades em algum sistema que geralmente são

ocasionados por erros de programação. Conforme afirma Almeida (2008; p. 1):

Na linguagem da Internet é usado comumente para se referir a pequenos códigos de

programas desenvolvidos especialmente para explorar falhas introduzidas em

aplicativos por erros involuntários de programação. Esses exploits, que podem ser

preparados para atacar um sistema local ou remotamente, variam muito quanto à sua

forma e poder de ataque. Pelo fato de serem peças de código especialmente

preparadas para explorar falhas muito específicas, geralmente há um diferente

exploit para cada tipo de aplicativo, para cada tipo de falha ou para cada tipo de

sistema operacional. Os exploits podem existir como programas executáveis ou,

quando usados remotamente, podem estar ocultos, por exemplo, dentro de uma

mensagem de correio eletrônico ou dentro de determinado comando de um

protocolo de rede.

22

2.7.1.1 Tipos de Exploit

Existe uma diversidade muito grande de exploits no mundo, cada um tem uma

característica e atuam de uma determinada maneira.

2.7.1.1.1 Exploits Locais

Exploram a vulnerabilidade de sistemas e programas para conseguir acesso ao root

(administrador) da máquina. Alguns contêm pequenos trojans para permitir acesso

ao invasor e eles executam seus scripts no servidor a partir da Shell adquirida.

Embora exista uma infinidade de exploits locais com finalidades diferentes, essa

técnica basicamente consiste em conseguir acesso a Shell, copiar e compilar o

código” (NUNES, 2011; p. 5).

2.7.1.1.2 Exploits Remotos

“Diferentemente dos exploits locais, basta apenas uma base (host) para rodá-lo.

Esses exploits exploram bugs remotamente para conceder o acesso ao sistema e geralmente

às vulnerabilidades mais comuns usadas são as de BIND, FTP, IMAP e POP” (NUNES,

2011; p. 6):

BIND é o servidor do protocolo DNS (Domain Name System), muito utilizado na

internet, principalmente em sistemas Unix. O protocolo FTP é um dos mais usados

para a transferência de arquivos na internet e também é usado em servidores que

utilizam esse tipo de serviço. IMAP por sua vez refere-se a um protocolo

gerenciador de correio eletrônico, onde as mensagens ficam armazenadas em um

servidor e é possível acessá-las de qualquer computador. Esses recursos são

melhores que os oferecidos pelo POP3, onde a função é mesma, porém o POP

quando conectado com o servidor online, transfere os arquivos para apenas uma

máquina na qual pode gerenciar os arquivos sem qualquer conexão com internet”

(NUNES, 2011; p. 6).

23

2.7.1.1.3 Exploits de Aplicação Web

Exploram falhas relacionadas a aplicações web, por exemplo, apache, SQL entre

outros (NUNES, 2011).

2.7.1.1.4 Buffer Overflow

Segundo Pedrosa (2007; p. 1):

O buffer overflow acontece quando um programa grava dados numa determinada

variável passando, porém, uma quantidade maior de dados do que estava previsto

pelo programa. Essa situação pode possibilitar a execução de um código arbitrário,

necessitando apenas que este seja devidamente posicionado na área de memória do

processo.

O princípio é estourar o buffer e sobrescrever parte da pilha, alterar o valor das

variáveis locais, valores dos parâmetros e/ou endereço de retorno da pilha. Alterando o

endereço de retorno para que ele aponte para a área em que o código a ser executado

encontra-se armazenado (código malicioso dentro do próprio buffer estourado ou até algum

trecho de código presente no programa vulnerável) (ARANHA, 2003).

Conforme Pedrosa (2007; p. 1), “os exploits quase sempre fazem proveito de uma

falha conhecida como buffer overflow (sobrecarga da memória buffer)”.

2.7.1.1.5 Sql Injection

Ocorre na camada de banco de dados de uma aplicação em virtude de uma filtragem

inadequada dos dados para gerar queries SQL. Consiste em utilizar os comandos SQL

previstos na aplicação para executar ações de interesse do atacante, expondo ou alterando

dados de forma não prevista (MALERBA, 2010).

24

Ainda afirma que, sua potencialidade é enorme. Como implica a possibilidade do

atacante injetar queries no banco de dados do sistema alvo, significa dizer que ele terá todos

os privilégios de acesso que a aplicação possuir. Pode ser possível expor informações

sigilosas, alterá-las ou mesmo destruir toda a base de dados.

2.7.2 Zero-day

Segundo Singel (2007; p. 1), “Á tática de se aproveitar de vulnerabilidades em

softwares antes que suas desenvolvedoras corrijam as brechas é chamada de ataque de Dia

Zero”.

Ainda afirma, “O termo originalmente descreve vulnerabilidades exploradas no

mesmo dia em que a correção foi desenvolvida, ou seja, as equipes de TI trabalharam tendo

em mente “zero” dias para remediar o problema”.

2.7.2.1 Funcionamento de um Ataque Zero-day

Segundo Singel (2007), até mesmo um usuário cuidadoso, que mantém antivírus

atualizado e preocupa-se com o acesso a páginas suspeitas, pode tornar-se vítima de um

ataque como esse. Esse mesmo indivíduo, quando acessou em setembro de 2006, um blog

hospedado pelo HostGator (Provedor na Califórnia), foi direcionado para um site que

explorava um bug no antigo formato de imagem da Microsoft e teve um malware instalado

em sua maquina.

25

2.7.3 Advanced Persistent Threat

Conforme Romero (2012) são técnicas de explorações personalizadas que visam

ganhar acesso ao um alvo específico, coletar e extrair informações durante um longo

período.

Ameaças cibernéticas tradicionais, muitas vezes, mudam rapidamente de alvo se não

conseguem penetrar sua meta inicial, mas uma APT tentará continuamente até que

cumpra o objetivo. E, uma vez que consiga, pode se disfarçar e se transformar

quando necessário, o que torna difícil identificá-lo ou pará-lo”

(COMPUTERWOLRD, 2013; p. 1).

Segundo Gusmão (2014), á primeira vista, não é tão diferente de um malware, tanto

que a infecção se dá por phishing tradicional, até aproveitando brechas em programas

conhecidos, como Word e leitores de PDF, porém, o foco é apenas em um só alvo.

Ainda afirma, são todos ataques que foram bolados e pensados para buscar

informações apenas de um lugar. Os golpes exigem planejamento e investimento alto por

parte dos atacantes, e, por isso mesmo, miram em alvo que podem render um bom retorno.

O National Institute of Standards and Technology (NIST), define os ataques

persistentes e avançados da seguinte maneira (MILLER, 2012; p. 4):

A ameaça persistente avançada é um adversário com níveis sofisticados de

conhecimento e recursos significativos, que lhe permitem, através do uso de vários

vetores de ataque (por exemplo, ataques online, físicos e ludibriação), gerar

oportunidades para atingir seus objetivos, que são geralmente estabelecer e ampliar

sua presença dentro da infraestrutura de tecnologia da informação das organizações,

com a finalidade de vazar informações continuamente e/ou sabotar ou impedir

aspectos críticos de uma missão, programa ou organização, ou ainda se colocar em

uma posição para fazê-lo no futuro. Além disso, a ameaça persistente avançada

persegue seus objetivos repetidamente por um período prolongado, adaptando-se aos

esforços do defensor de resistir a ela, com o propósito de manter o nível de interação

necessário para executar seus objetivos.

Desta forma, a ameaça persistente avançada, é definida em três palavras (MILLER,

2012):

Avançada: o invasor tem recursos técnicos significativos para explorar

vulnerabilidades no alvo. Isso pode incluir acesso a grandes bancos de dados de

26

vulnerabilidades, explorações e habilidades de codificação, mas também a

capacidade de descobrir e tirar proveito de vulnerabilidades até então desconhecidas;

Persistente: as ameaças persistentes avançadas frequentemente ocorrem por um

período prolongado. Diferentemente dos ataques de curta duração que tiram proveito

de oportunidades temporárias, as ameaças persistentes avançadas podem durar anos.

Vários vetores de ataque podem ser usados, desde ataques pela Internet até

engenharia social. Pequenas violações de segurança podem ser combinadas com o

tempo para obtenção de acesso a dados mais significativos;

Ameaça: para haver uma ameaça, deve haver um invasor com motivação e

capacidade para realizar um ataque bem-sucedido.

Não existe uma proteção única para ataques desse tipo. A união de várias tecnologias

bem como a conscientização dos colaboradores podem reduzir em muito o risco de ataques

do tipo APT serem bem sucedidos (ROMERO, 2012).

O segredo para se defender contra ameaças persistentes avançadas é uma defesa total.

Se tiver tempo suficiente, um invasor determinado conseguirá violar a maioria dos

perímetros de rede. Uma defesa bem-sucedida irá (MILLER, 2012):

Dificultar a penetração inicial;

Reduzir o potencial para escalonamento de privilégios, caso uma conta seja

comprometida;

Limitar o dano que pode ser infligido por uma conta comprometida, mesmo que seja

privilegiada;

Detectar contas comprometidas e atividades suspeitas logo no início; e

Reunir informações úteis para uma investigação pericial, a fim de que se possa

determinar que danos ocorreram, quando e por quem.

Estes métodos de exploração utilizam uma grande variedade de técnicas e são

diariamente renovados e personalizados para alvos específicos, que tornam o APT um ataque

de difícil identificação e de grande preocupação para as organizações.

27

2.8 FORENSE COMPUTACIONAL

Esta seção aborda o tema da forense computacional, englobando sua parte jurídica e

suas metodologias.

É a preservação, identificação, extração, documentação e interpretação dos meios

relacionados ao computador para a análise da causa raiz e/ou das evidências. Como mostra a

figura abaixo, as fases de um processo de investigação:

Figura 06: Etapas de Investigação

Reproduzida de: QUEIROZ (2007).

Este tema vem ganhando destaque, pois há um grande aumento no roubo de

informações digitais, que são auxiliados por métodos e ferramentas que tornam possíveis

eliminar evidências que possam servir de prova.

28

2.8.1 INTRODUZINDO A FORENSE

É a aplicação de técnicas cientificas que dão auxílio nas investigações, usadas para

localizar provas e incriminar possíveis suspeitos.

Para Bustamante (2006) “a computação forense pode ser definida como uma coleção

e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento de

forma que sejam admitidas em juízo”.

Segundo Queiroz (2007; p. 3/4):

A Forense Computacional foi criada com o objetivo de suprir as necessidades das

instituições legais no que se refere à manipulação das novas formas de evidências

eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e

análise de dados que estão em formato eletrônico e armazenados em algum tipo de

mídia computacional..

Conforme Madeira (2012, p. 25):

Existem várias medidas de segurança que uma empresa pode empregar para

preservar seu ambiente computacional ao acesso indevido. No entanto, mesmo

quando bem empregadas, é difícil que em algum momento uma brecha não seja

explorada. Quando isso acontece, o incidente tem de ser analisado para que

contramedidas sejam empregadas, ou seja, a partir da análise do incidente, criar uma

ambiente mais seguro.

A forense computacional tem como objetivo suprir as necessidades das instituições

legais no que se refere à manipulação das novas formas de evidências eletrônicas, através da

utilização de métodos científicos e sistemáticos, para que essas informações passem a serem

caracterizadas como evidências e, posteriormente, como provas legais de fato.

É apresentado na figura a seguir, uma estrutura hierárquica que é separada em dois

níveis de classes, aspectos legais e aspectos técnicos (Ubrich e Valle, 2005, apud Vargas,

2007):

29

Figura 07: Estrutura Hierárquica

Reproduzida de: Vargas (2007).

Na classe dos Aspectos Legais encontram-se as exigências legais, baseadas na área de

Direito, às quais devem estar sujeitos os procedimentos periciais. Já a classe dos Aspectos

Técnicos corresponde às questões práticas da área computacional (Vargas, 2007).

Para que não se infrinja a lei, existe a necessidade de trabalhar com os dois níveis em

conjunto.

O fato de a informação ser um bem de maior valor em uma organização faz com que

seja de grande importância para as empresas ter uma visão estratégica para identificar os

fatores que influenciam diretamente o processo de análise, alcançando os objetivos

esperados.

Há diversos fatores que estimulam uma visão estratégica da forense para as empresas.

Alguns deles são (NG, 2007):

motivadores: são os principais responsáveis quando uma organização pensa em

definir ou iniciar um processo de análise forense;

planejamento: é o processo que visa a determinar a direção a ser seguida para

alcançar o resultado esperado;

30

custos de análise: muitos fatores podem influenciar os custos, como o tempo

de análise e/ou a qualidade resultados.

2.8.2 Implicações Legais

É fundamental existir um embasamento jurídico para garantir que a realização de

qualquer processo de análise forense dentro de uma organização, seja documentado e validado

legalmente.

Ng (2007, p. 59) afirma que:

Toda atividade e procedimentos devem ser documentados, e esta documentação

deve ser feita com cuidado e de forma detalhada, pois é a forma de garantir que

todas as atividades foram realizadas de uma forma válida, para não gerar dúvidas

quanto aos mesmos e, consequentemente, invalidar evidências no caso de um

julgamento.

Não são somente as grandes empresas que estão em risco. Qualquer organização,

mesmo as pequenas, de qualquer tipo de ramo, é um potencial alvo. Por isso, é necessário

que as empresas contratem especialistas forenses, pois, os mesmos possuem conhecimento a

respeito da legislação e os procedimentos a serem seguidos.

Segundo Guimarães et al. (2001; p. 3/4):

No Brasil não existem normas específicas que regem a forense computacional,

contudo existem normas gerais que abrangem todos os tipos de perícia (ditadas no

Código de Processo Penal), podendo ser adotadas no âmbito computacional, salvo

algumas peculiaridades.

Com isso, o perito deve seguir à risca as normas contidas no Código de Processo

Penal, dentre elas pode-se destacar duas para exemplificar a sua possível abordagem

computacional (GUIMARÃES, 2001; p. 3/4):

Art. 170: “Nas perícias de laboratório, os peritos guardarão material suficiente para a

eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados

com provas fotográficas, ou microfotográficas, desenhos ou esquemas.”;

31

Art. 171: “Nos crimes cometidos com destruição ou rompimento de obstáculo a

subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios,

indicarão com que instrumentos, por que meios e em que época presumem ter sido o

fato praticado.”

Para a primeira norma, sempre é possível fazer cópias digitais das mídias que estão

sendo investigadas para que possam ser usadas futuramente caso necessário. Já para a

segunda, é sempre necessário documentar tudo o que é feito na análise como as ferramentas

de software utilizadas e identificar uma linha de tempo da época dos fatos.

“Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova

eletrônica enquanto não se tem uma padronização das metodologias de análise forense.”

(GUIMARÃES et al., 2001).

Desta forma é importante sempre seguir a politica de segurança. Ao invadir um

sistema e/ou analisar dados de um suspeito, deve-se tomar muito cuidado, pois sem uma

ordem judicial, o perito pode ser indiciado criminalmente por invasão de privacidade.

2.8.3 Metodologia Forense para Obtenção de Evidencias

Atualmente, o aumento na capacidade de armazenamento de dados e dos crimes

cibernéticos, é muito grande em relação ao número de peritos, dificultando a obtenção de

evidências.

“As evidências são peças utilizadas por advogados nos tribunais e cortes do mundo

inteiro, mas para que sejam consideradas provas válidas é muito importante que o perito

realize o processo de investigação de maneira cuidadosa e sistemática” (PEREIRA et al.,

2007, p. 17). Desta forma, as mesmas devem ser preservadas e documentadas.

O propósito do exame forense é a extração de informações de qualquer vestígio

relacionado ao caso investigado, que permitam a formulação de conclusões acerca da infração

(PINHEIRO, 2007).

Para a aquisição de dados, é importante também, estabelecer padrões. Os padrões

metodológicos seguem o princípio de que todas as organizações que lidam com a

32

investigação forense devem manter um alto nível de qualidade a fim de assegurar a

confiabilidade e a precisão das evidencias (PINHEIRO, 2009).

De acordo com Adams (2000, apud Vargas, 2007), atualmente já existem padrões

metodológicos bem definidos e desenvolvidos pelo SWGDE (Scientific Working Group on

Digital Evidence), que é o representante norte-americano na International Organization on

Computer Evidence (IOCE). Tais padrões foram apresentados durante a International Hi-

Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro

de 1999.

Conforme Vargas (2007), esses padrões seguem o princípio de que todas as

organizações que lidam com a investigação forense devem manter um alto nível de

qualidade a fim de assegurar a confiabilidade e a precisão das evidências.

Ainda afirma que, esse nível de qualidade pode ser atingido através da elaboração de

SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo

de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica

internacional.

Para Vacca (2005, tradução nossa), existem cinco propriedades que a evidência deve

ter para ser útil:

aceitável: é a regra básica. A evidência deve ser capaz de ser usada no tribunal ou de

outra forma;

autêntica: a evidência deve estar relacionada ao crime;

completa: a evidência não deve mostrar só uma perspectiva do incidente;

confiável: os procedimentos de coleta e da análise não devem deixar dúvida da

autenticidade e da veracidade da evidência;

acreditável: a evidência, que vai ser apresentada deve ser claramente compreensível e

acreditável para o júri.

É importante registrar a localização da cena, as condições dos aparelhos eletrônicos

que o perito esta analisando e realizar a documentação detalhada do processo, utilizando

vídeo, fotografia e anotações para que possam ser transmitidos os detalhes da cena.

Ainda, Vacca (2005, tradução nossa) diz que, quando se coleta e analisa uma

evidência, há quatro procedimentos gerais que se deve seguir: identificação, preservação,

análise e apresentação da evidência.

33

2.8.3.1 Obtenção e Coleta de Dados

É onde se inicia a investigação, sendo definidas estratégias para chegar ao resultado

esperado, encontrar evidências.

Segundo Vargas (2007), os procedimentos adotados na coleta devem ser formais,

seguindo metodologias e padrões de como se obter provas para apresentação judicial, como

um checklist, de acordo com as normas internacionais de padronização.

Ainda afirma que (2007; p. 1) na hora da identificação dos dados:

É extremamente necessário saber separar os fatos dos fatores, que possam vir a

influenciar ou não um crime, para estabelecer uma correlação na qual se faz um

levantamento das ligações relevantes como datas, nomes de pessoas, autarquias, etc,

dentre as quais foi estabelecida a comunicação eletrônica.

Deve-se ter conhecimento do sistema que será manipulado, utilizar as ferramentas

certas para coletar as evidências, de modo que não sejam tomadas ações precipitadas,

garantindo a integridade dos dados.

Buscar por vestígios de um crime em um sistema computacional consiste em uma

varredura minuciosa nas informações que estão armazenadas nele. A análise dessas

informações passa pelos dispositivos de armazenamento de massa até a memória volátil

(REIS & GEUS, 2001, apud CLEMENTE, 2009).

Para Cansian (2000; p. 141/156), “é importante sempre fazer a coleta de dados de

acordo com a ordem de maior volatilidade para a de menor, dos elementos mais utilizados”:

registros de memória periférica, cache;

memória principal;

estado da rede, rotas, interfaces;

processos em execução;

discos e partições;

fitas, disquetes e outros meios magnéticos;

em mídias como CD-ROMs e cópias impressas.

34

Outra forma de obter evidências é remotamente, utilizando outro computador para

acessar o equipamento que está sendo analisado.

Há, também, casos em que os dados adquiridos estão fora do local físico da

investigação, como por exemplo, provedores de internet ou servidores cooperativos. Nessa

situação, um mandato judicial é necessário para a realização da obtenção das informações

(PEREIRA et al., 2007).

2.8.3.2 Preservação

Será necessária a utilização de ferramentas apropriadas e de confiança do perito para

que as evidências coletadas sejam preservadas o mais próximo possível do seu estado

original. Qualquer tipo de alteração ou manipulação de uma evidência, esta perde o seu valor,

sendo descartada pelo perito.

Um perito Forense Computacional experiente, de acordo com Kerr (2001, apud Vargas,

2007; p. 1):

Terá de ter certeza de que uma evidência extraída deverá ser adequadamente

manuseada e protegida para se assegurar de que nenhuma evidência seja danificada,

destruída ou mesmo comprometida pelos maus procedimentos usados na

investigação e que nenhum vírus ou código malicioso seja introduzido em um

computador durante a análise forense.

Com isso, Freitas (2006; p. 8/10), lista alguns exemplos de procedimentos para a

preservação dos dados:

“Inicialmente, devem-se criar imagens do sistema investigado, para que as potenciais

provas possam ser posteriormente analisadas”;

“Se o caso necessitar de uma análise ao vivo, salvar as evidências em dispositivos e

bloqueá-los contra regravação”;

“Todas as evidências deverão ser lacradas em sacos e etiquetadas”;

“A etiqueta deverá conter um número para a identificação das evidências, o número do

caso, a data e o horário em que a evidência foi coletada e o nome da pessoa que a está

levando para a custódia, além do nome de quem coletou essas evidências”;

35

“Etiquetar todos os cabos e componentes do computador, para que, depois, possam ser

montados corretamente quando chegar ao laboratório”;

“Os HDs deverão ser armazenados em sacos antiestática, para evitar danos e, também,

para que os dados não sejam corrompidos”;

“Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto,

sujeira, calor excessivo, eletricidade e estática”;

“Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e

trancadas para evitar a adulteração até o momento em que poderão ser examinadas e

analisadas”;

“Todas as mudanças feitas durante essa fase deverão ser documentadas e justificadas

(cadeia de custódia)”.

Na cadeia de custódia, é informado onde as evidências estavam em certo momento e

quem era o responsável por elas durante a perícia (Freitas, 2006).

As provas digitais devem ser manuseadas com cuidado para preservar a integridade do

dispositivo físico, bem como os dados que ele contém. “Algumas evidências requerem coleta

especial, embalagem, transporte e técnicas. Os dados podem ser danificados ou alterados por

campos eletromagnéticos como os gerados pela eletricidade estática, ímãs, transmissores de

rádio e outros dispositivos.” (U.S. Departament of Justice, 2001, p. 21, tradução nossa).

Seguindo estas precauções citadas, os incidentes tendem a diminuir, e a preservação dos

dados executada de forma correta.

2.8.3.3 Análise

A análise forense computacional necessita de diversas ferramentas que ajudarão o

investigador a coletar, documentar, preservar e processar as informações coletadas no

sistema investigativo (HOLPERIN et al. 2007).

Na concepção de Kerr (2001, apud Vargas, 2007), a análise será a pesquisa

propriamente dita, onde o investigador se detém especificamente nos elementos relevantes

ao caso em questão, pois todos os filtros de camadas de informação anteriores já foram

transpostos.

36

Deve-se sempre ser um profissional atento e cuidadoso em termos da obtenção da

chamada “prova legítima”, a qual consiste numa demonstração implacável e inquestionável

dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas

e trilhas dos segmentos de disco utilizados (KERR 2001, apud Vargas, 2007).

“Essa etapa de análise das informações, muitas vezes, ocorre paralelo à etapa de

exame, pois, conforme as evidências vão sendo identificadas e extraídas dos dados, o perito

tem condições de efetuar um cruzamento e correlacionamento entre as mesmas” (PEREIRA

et al., 2007, p. 28).

Para Reis (2003), após a coleta dos dados e informações relevantes, são examinadas,

cuidadosamente, cada uma das evidências para que sejam definidos resultados e conclusões

sobre a investigação.

Resumindo, em um processo de análise, deve-se procurar por parâmetros que

identifiquem os dados como evidências, para que as mesmas venham se tornar uma prova

criminal.

Analisar as evidências permite que seja descoberta uma série de informações e exige

certo cuidado, pois o perito se utiliza de técnicas e informações relevantes de mídias ou da

rede, e nem sempre os dados analisados têm nomes ou formatos explícitos de que é uma

prova contra o suspeito.

Contudo, uma forma de atrelar uma pessoa a um dado seria através dos eventos que

ficam registrados nos arquivos de log ou IP de onde foi originada a requisição um acesso

não autorizado pelo servidor, tornando-se provas contra o invasor.

“Essa é uma fase que além de consumir muito tempo, esta muito suscetível a equívocos,

pois depende muito da experiência e do conhecimento dos peritos, já que são poucas as

ferramentas que realizam esse tipo de análise com precisão” (CASEY, 2006, tradução

nossa).

2.8.3.4 Apresentação

“Após a realização da coleta e da análise das evidências encontradas, são apresentados

os fatos, procedimentos e os resultados obtidos. Isso é feito através de um laudo pericial, que

é um relatório específico sobre a investigação” (FREITAS 2006; p. 34).

37

De acordo com Freitas (2006, apud Vargas, 2007) esta fase é tecnicamente chamada de

“substanciação da evidência”, pois nela consiste o enquadramento das evidências dentro do

formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal

ou mesmo em ambas.

O investigador precisa estar perfeitamente sintonizado com os objetivos de cada etapa

metodológica apresentadas acima para poder minimizar o tempo e a quantidade de dados

que deve desde obter até apresentar, maximizando sua eficiência e eficácia (FREITAS,

2006, apud Vargas, 2007).

É importante que a conclusão apresentada no relatório seja imparcial e final, de forma a

não favorecer alguma decisão. Por esta razão, a etapa de apresentação é a fase conclusiva da

investigação. (PEREIRA et al., 2007).

“Devemos ter em mente também que cada procedimento realizado (ou conclusão

aferida) pode ser questionado, e a documentação será a fonte de informação para responder

tais questões” (NG, 2007).

2.8.3.4.1 Conteúdo do Laudo

Um laudo pericial é um parecer técnico que se destina a estabelecer sempre que

possível, uma certeza a respeito de determinados fatos e de seus efeitos, que exige

conhecimentos técnicos e científicos.

Para Kent et al. (2006, tradução nossa), o conteúdo do laudo pericial torna-se um

documento de fácil interpretação e, para isso, deve ser organizado em seções:

finalidade da investigação: explicar claramente os objetivos do laudo;

autor(es) do relatório: listar todos os autores e coautores do relatório, incluindo suas

especialidades e responsabilidades, durante a investigação;

resumo do incidente: síntese explicando o incidente investigado e suas consequências;

relação de evidências: relacionar e descrever todos objetos, onde se encontram, estado,

como, quando e por quem elas foram adquiridas no decorrer das investigações;

38

detalhes: fornecer uma descrição detalhada de quais evidências foram analisadas,

quais os métodos utilizados e quais as conclusões alcançadas, descrevendo os

procedimentos e as técnicas adotados, durante a investigação;

conclusão: os resultados da investigação devem ser somente descritos, citando

especificamente as evidências que comprovem as conclusões. A conclusão deve

ser clara e não oferecer dupla interpretação;

anexos: todas as documentações devem ser anexadas, ao final do laudo, tais

como: diagramas da rede, formulários descritivos dos procedimentos utilizados,

formulário de cadeia de custódia e informações gerais sobre as tecnologias

envolvidas na investigação;

glossário: adicionar um glossário dos termos utilizados no laudo, que poderá

esclarecer muitas dúvidas que possam surgir durante a leitura do juiz e/ou dos jurados.

Segundo Vargas (2006):

Trabalhando em conjunto com a justiça, o relatório adapta as evidências para um

formato jurídico na abordagem do caso investigado. Depois da elaboração de um

laudo que contenha detalhadamente todo o processo realizado na análise forense,

incluindo cada uma das etapas, e que seja bem estruturado e com as afirmações

provadas, o material pode ser apresentado ao juiz e aos advogados.

Portanto, o laudo pericial é parte do processo, que deverá ser interpretada e avaliada

pelo Juiz ou Tribunal.

2.8.4 Equipe Forense

Para realizar uma análise eficiente e com qualidade, é necessário ter profissionais

capacitados tecnicamente, pois serão responsáveis por toda a atividade relacionada ao

processo de investigação, desde a fase inicial até sua conclusão.

“Conhecer com quem se trabalha é peça fundamental neste jogo. Caráter, integridade,

honestidade e consciência de seu papel na organização e na própria sociedade é um item

obrigatório para pertencer a este time” (NG, 2007, p. 49).

39

E também, é indicado que os profissionais tenham qualidade nos seguintes aspectos

(NG, 2007):

técnico: conhecer tecnologias e ter um perfil técnico é de extrema importância, pois

cada tecnologia possui particularidades, e o profissional deve buscar conhecimento;

comportamental: deve ser uma pessoa idônea, honesta, íntegra, pois ele trata

com informações sigilosas e de grande importância que, se mal utilizadas,

podem gerar prejuízos;

multidisciplinar: deve possuir um bom perfil para se deslocar dentro da organização e

entender as diversas áreas;

investigativo: possuir perfil investigativo com conhecimentos técnicos de buscar

informações em um ambiente altamente complexo;

aceitar desafios: deve estar preparado para aceitar os desafios diversos e de

grande complexidade.

A equipe deve possuir conhecimento a respeito das tecnologias utilizadas na

organização, além de conhecer os processos e modelos de negócios da empresa. Com isso,

deverá seguir uma metodologia definida e documentada para que não haja dúvidas a respeito

das atividades, direitos e deveres.

Segundo Ng (2007) a equipe forense deve ter algumas funções como:

identificar atividades suspeitas e realizar o processo de investigação;

tratar as atividades suspeitas que não foram identificas pela equipe;

definir níveis de criticidade e um tempo de report para cada um dos eventos;

realizar reports periódicos a respeito dos processos de investigação;

coletar e documentar as evidências encontradas;

definir, manter e gerenciar um local para armazenar as evidências;

envolver todos os profissionais que podem auxiliar no processo de investigação;

realizar atividades de acordo com as políticas da organização e das leis vigentes;

seguir a metodologia de análise forense computacional definida e implementada.

Esses profissionais deverão ser treinados e especializados, recebendo treinamentos

periódicos e específicos sobre tecnologias, metodologia e técnicas de investigação.

40

2.8.5 Considerações Finais

Este capítulo abordou os assuntos de forense computacional, que em conjunto, visam

melhorar a investigação forense e garantir integridade na obtenção de evidências e

investigação dos fatos relacionados aos crimes digitais.

41

3 MÉTODO

Este capítulo descreve o tipo de pesquisa utilizada, a proposta da solução e as

delimitações do trabalho.

3.1 CARACTERIZAÇÃO DO TIPO DE PESQUISA

Essa pesquisa caracteriza-se principalmente por ser dos tipos: Aplicada, bibliográfica e

por conter um estudo de caso.

3.1.1 Pesquisa Aplicada

Segundo Rodrigues (2012), em uma pesquisa aplicada, os conhecimentos adquiridos

são utilizados para uma aplicação prática, voltados para a solução de problemas concretos da

vida moderna e têm como objetivo investigar, comprovar ou rejeitar hipóteses sugeridas

pelos modelos teóricos.

O presente trabalho é uma pesquisa aplicada, pois pretende resolver a problemática da

organização realizando um estudo de caso com respeito aos ataques direcionados.

3.1.2 Pesquisa Bibliográfica

“A pesquisa bibliográfica consiste na “varredura” do que existe sobre um assunto e o

conhecimento dos autores que tratam desse assunto, a fim de que o estudioso não reinvente a

roda”! (MACEDO, 1995, p. 13).

42

É elaborada a partir de material já publicado, constituído principalmente de: livros,

revistas, publicações em periódicos e artigos científicos, jornais, boletins, monografias,

dissertações, teses, material cartográfico, internet, com o objetivo de colocar o pesquisador

em contato direto com todo material já escrito sobre o assunto da pesquisa. Em relação aos

dados coletados na internet, devemos atentar à confiabilidade e fidelidade das fontes

consultadas eletronicamente. Na pesquisa bibliográfica, é importante que o pesquisador

verifique a veracidade dos dados obtidos, observando as possíveis incoerências ou

contradições que as obras possam apresentar (PRODANOV e FREITAS, 2013). Uma das

etapas deste trabalho consiste na pesquisa bibliográfica sobre as teorias que sustentam o

estudo de caso.

3.1.3 Estudo de Caso

O trabalho realizou um estudo de caso de uma organização fictícia para aplicar o

modelo proposto e validar sua eficiência.

3.2 ETAPAS

A metodologia de pesquisa apresenta as etapas de desenvolvimento do projeto,

demonstrado pela figura 8.

Figura 8: Etapas do Desenvolvimento

43

Fonte: Elaborado pelo autor (2014).

As etapas de desenvolvimento iniciam-se em uma pesquisa sobre segurança da

informação, forense computacional e tipos de ataques. Após esses estudos, será avaliado se há

informações suficientes e será utilizado um modelo forense para análise de ataques

direcionados. Em seguida, será realizado um estudo de caso para validar as diretrizes para

uma avaliação e apresentação dos resultados.

3.3 DELIMITAÇÕES

Esse trabalho tem como objetivo a utilização de um modelo forense que estabeleça um

conjunto diretrizes para análise de ataques direcionados, utilizando como embasamento a

pesquisa sobre assuntos de segurança, forense computacional e tipos de ataques, para dar

validação do mesmo será realizado um estudo de caso.

Está delimitado a ataques não convencionais, isto é, direcionados.

44

4 DESENVOLVIMENTO

Este capítulo tem por objetivo apresentar diretrizes para análise de ataques

direcionados, visando melhorar a busca por evidências, baseado no modelo de forense

computacional.

As diretrizes se dão através da análise forense estática, que Para Toledo et al. (2006), é

o tipo de forense que trata de dados estáticos, ou seja, armazenados em discos rígidos, dados

que não são perdidos ao se desligar o sistema.

Também se dá através da forense dinâmica, que segundo Toledo et al. (2006), são

analisados os dados voláteis, que são perdidos ao desligar o sistema, geralmente

armazenados na memória RAM.

4.1 PROPOSTA DA SOLUÇÃO

Organizações, que atuam em diversos ramos, são diariamente vitimas de ataques

direcionados, onde são coletadas informações, dados que são de grande importância para as

empresas.

Segundo a ComputerWorld (2013; p: 1), “uma em cada cinco empresas, sofrem ameaça

avançada de segurança”, constatada por um estudo global realizado pela Isaca (Associação

que reúne profissionais de segurança da informação).

Ainda afirma que a perda de propriedade intelectual foi citada como um dos maiores

riscos de um ataque (por mais de um quarto dos entrevistados), seguido de perto pela perda de

informações de identificação pessoal (PII) de clientes ou funcionários.

Muitas empresas são alvos de ataques e nem sabem, ou ao menos estão preparadas para

se defender dos mesmos, e conseguir identificar que foram alvos ou perderam informações

sigilosas.

Para Armbruster (2013):

Existem várias razões pelas quais ataques direcionados podem acontecer com

quase qualquer empresa. Uma das maiores é o roubo de informações

45

confidenciais. A propriedade intelectual é muitas vezes a primeira coisa que vem

à mente, mas outros itens, menos óbvios em termos de valor, podem ser obtidos,

como informações financeiras, dados de vendas, ofertas financeiras. No entanto,

as empresas também podem ser alvejadas por razões que nada têm a ver com os

seus produtos ou informações.

Baseado nisso, são desenvolvidas diretrizes para análises de ataques direcionados,

utilizando forense computacional, visando melhorar os aspectos que envolvem a segurança de

informação.

Um modelo genérico utilizado é composto de cinco fases, basicamente: identificação,

coleta, exame, análise das informações e resultados obtidos. Essas foram apresentadas

teoricamente ao longo do trabalho. Para um melhor entendimento, seguem abaixo suas

respectivas definições:

Identificação: Nesta fase, o perito identifica a possível realização de um ataque à

organização.

Coleta: Nesta etapa, o perito deve isolar a área, identificar equipamentos e coletar,

embalar, etiquetar e garantir a integridade das evidências, garantindo assim a cadeia de

custódia.

Exame: Nesta fase, deve-se, identificar, extrair, filtrar e documentar os dados relevantes

à apuração.

Análise: Nesta etapa os dados transformam-se em informações, ou seja, o perito

computacional deve identificar e correlacionar pessoas, locais e eventos, reconstruir as cenas

e documentar os fatos;

Resultados obtidos: Neste momento deve-se redigir o laudo e anexar às evidências e

demais documentos.

O modelo utilizado para estabelecer diretrizes para análise de ataques direcionados será

baseado no embasamento adquirido na pesquisa bibliográfica realizada sobre segurança,

forense computacional e ataques direcionados. Após a proposta baseada no modelo forense,

foi realizado um estudo de caso para validação e demonstração de suas funcionalidades.

46

Abaixo, na figura 9, seguem as etapas do modelo forense:

Figura 9: Etapas do modelo forense

Reproduzido de: Queiroz (2007).

4.2 TERMINOLOGIA

É necessário entender alguns termos, programas e técnicas que são utilizados, ou

pelos peritos ou pelos invasores, antes de começar a descrição do modelo proposto.

Com base na definição da Cartilha de Segurança para Internet (CERT.br, 2006; p.

1), são estas as definições para os termos, programas e técnicas:

“código malicioso: termo genérico que se refere a todos os tipos de programa

que executam ações maliciosas em um computador”;

“endereço IP: endereço único para cada computador conectado à Internet”;

“exploit: programa ou parte de um programa malicioso projetado para explorar

uma vulnerabilidade existente em um software de computador”;

“firewall: dispositivo constituído pela combinação de software e hardware,

utilizado para dividir e controlar o acesso entre redes de computadores”;

“rookit: conjunto de programas que têm como finalidade esconder e assegurar a

presença de um invasor em um computador comprometido”;

47

“backdoor: programa que permite a um invasor retornar a um computador

comprometido. Normalmente, esse programa é colocado de forma a não ser

notado”;

“keylogger: programa capaz de capturar e armazenar as teclas digitadas pelo

usuário no teclado de um computador”;

“Intrusion Detection System (IDS): programa, ou um conjunto de programas,

cuja função é detectar atividades maliciosas ou anômalas”;

“log: registro de atividades, gerado por programas de computador (Gerados por

firewalls ou por IDSs)”;

“sniffer: dispositivo ou programa de computador, utilizado para capturar e

armazenar dados, trafegando em uma rede de computadores”;

“MAC address: número único que identifica a interface de rede”;

“TCP e UDP: são portas utilizadas por softwares e serviços do sistema

operacional para a comunicação em rede e, consequentemente, na internet”;

“spyware: termo utilizado para se referir a uma grande categoria de software

que tem o objetivo de monitorar atividades de um sistema e enviar as

informações coletadas para terceiros”.

Através de algumas técnicas descritas acima, é possível analisar ataques e buscar o

suspeito do incidente, por meio de e-mails e anexos, IP, arquivos de logs do sistema, pacotes

que trafegam na rede, arquivos ocultos e apagados.

4.3 DESCRIÇÃO DO DIAGRAMA PROPOSTO

Nesta seção é apresentado e explicado o funcionamento da modelagem do fluxograma

apresentado para análise de ataques direcionados. Conforme a figura a seguir, segue os

procedimentos abaixo:

Procedimento 1: Identificação de possíveis fontes de dados: Em uma investigação, é

necessário identificar as fontes envolvidas, como por exemplo, maquinas invadidas e

utilizadas pelo suspeito de um ataque.

48

Procedimento 2: Coletar dados: Baseia-se na coleta de toda informação acessível na

mídia investigada, sendo úteis ou não.

Procedimento 3: Examinar dados: Reduzir a quantidade de informações desnecessárias

para a investigação, através da filtragem dos dados.

Procedimento 4: Analisar as evidências para determinar se houve invasão à

organização, e identificar as pessoas envolvidas em determinada suspeita. Os detalhes dos

procedimentos serão apresentados a seguir, que servem de padrão para qualquer perícia

forense, conforme a figura 10.

Figura 10: Modelo de análise de ataques direcionados

Reproduzido de: QUEIROZ (2007).

A identificação dos possíveis ataques é a parte mais difícil de todo o processo, pois

depende de métodos sofisticados, que consigam encontrar rastros deixados pelos mesmos, a

fim de buscar uma solução rápida para diminuir suas consequências e suavizar seus danos à

organização, tendo em vista que não existe uma maneira de bloqueá-lo completamente, e sim

reduzir seu impacto. Não existem soluções próprias para esses ataques, pois eles são feitos

sob medida, dessa forma, é preciso criar uma solução genérica, que possa atender e ser

adaptada para todos os tipos de ataques direcionados à organização.

A seguir, é mostrado três vetores de ataques comuns usados em ataques direcionados:

•Email: Spear Phishing é um e-mail que parece ter sido enviado por um indivíduo ou

empresa que você conhece. Ele é derivado dos mesmos hackers criminosos que

querem os números dos seus cartões de crédito e contas bancárias, senhas e

informações financeiras contidas no seu PC (NORTON, 2011; p. 1).

•Web: Através de acessos a páginas Web maliciosas, utilizando navegadores

vulneráveis, códigos maliciosos são instalados e passam a ter acesso aos dados

armazenados no computador e podem executar ações em nome dos usuários, de

acordo com suas permissões (CERT.br, 2006; p. 1).

•Arquivos: Ao executar arquivos previamente infectados, obtidos em anexos de

mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de

outros computadores (através do compartilhamento de recursos), a maquina do

49

usuário é infectada e fica vulnerável a ataques maliciosos, que buscam todos os tipos

de informações (CERT.br, 2006; p. 1).

Antes de iniciar o procedimento, é necessário entender como funciona o processo de

ataque direcionado, que é mostrado na figura abaixo.

Figura 11: Processo de Ataque

Fonte: Autor (2015).

O “atacante” identifica seu alvo, através de um método, como o “Spear Phishing5”,

obtém informações do mesmo coletando os dados necessários para criar um ataque específico

para o alvo desejado.

Após coletar as informações necessárias, o “atacante”, através das informações que

foram obtidas, define qual ataque será utilizado.

O ataque “0day” ou “Dia Zero”, segundo Moura (2013), são falhas ou vulnerabilidades

de segurança, não identificadas pelas empresas de softwares, utilizadas pelos “atacantes” em

ataques. Neste caso, as empresas não tiveram tempo de se proteger, ou proteger seus produtos

destas falhas, por isso a definição “0day”.

Desta forma, é possível dizer que para este tipo de ataque, não existe vacina, ou seja,

não há como se proteger.

O outro ataque que pode ser utilizado é um ataque convencional, descrito no decorrer

do trabalho, modificado especificamente para o alvo desejado, ou seja, tem vacina, porém,

não há como saber quais parâmetros serão utilizados no ataque.

Sendo assim, das duas formas, o alvo só saberá que foi alvo de ataque, após o mesmo já

ter ocorrido, e as chances de erro para sua identificação ou prevenção, são mínimas.

5 Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos

dados sigilosos (Norton, 2011).

50

O principal objetivo é obter dados e informações dos principais ramos de atuação da

organização, direcionando seu ataque a uma área específica do alvo, na qual lhe interessa.

Para saber que está sendo alvo de um possível ataque, ou que um incidente ocorreu, é

necessário achar indícios que possam identificar que o ataque, de fato, ocorreu.

Então, antes de iniciar qualquer procedimento, é necessário identificar indícios do

ataque, para assim, determinar que o alvo foi vitima de um ataque direcionado.

Na fase de identificação de um possível ataque, serão analisados os registros de logs,

no qual constam informações como atividades de e-mail, e tentativas de acessos à rede interna

da organização.

Uma vez capazes de estabelecer sua presença em uma rede, os responsáveis pelo

ataque passam a tentar se movimentar dentro dela, acessando por meio de explorações,

servidores de arquivos, e-mails e diretórios ativos, usando vulnerabilidades do servidor.

“O registro de acessos, é a melhor referência para qualquer tentativa deste tipo, por

isso, será verificado as tentativas falhas de acesso à rede interna, assim como as bem-

sucedidas, feitas em períodos de tempo fora do normal” (TrendMicro, 2014). Assim, podem

ser reveladas as tentativas dos responsáveis pelo ataque, de se moverem dentro da rede.

Após essa verificação, os registros de logs de e-mail serão analisados, para ver se

existem picos anormais de atividades de e-mail, o que pode indicar que algum usuário

específico, esteja sofrendo um ataque de Spear Phishing³. Ataque esse, que é muito comum,

sendo utilizados pelos atacantes para obter informações, e através delas obter acesso à rede do

alvo desejado.

Desta forma, é possível obter indícios de um possível ataque ou incidente, e a partir

disso, dar inicio aos demais procedimentos. Abaixo, segue o fluxograma proposto:

Figura 12: Identificar indícios de um possível ataque


51

Após a identificação das possíveis fontes de dados, é iniciada a coleta de dados, que

tem a finalidade de recuperar e organizar todas as informações contidas na cópia dos dados,

que serão executadas em uma cópia idêntica dos dados contidos na maquina.

Antes de iniciar a coleta, é essencial conhecer o sistema operacional onde estão os dados

e os sistemas de arquivos utilizados, que é o conjunto de estruturas lógicas e de rotinas

manipulados pelo sistema operacional.

É uma etapa de grande importância para o processo investigatório, onde serão coletados

todos os tipos de dados, como arquivos convencionas, ocultos, criptografados, temporários e

apagados.

Caso tenha ocorrido invasão a outras máquinas, será realizado um acesso às mesmas

para coleta de dados, buscando obter evidências de um possível ataque.

A partir disso, para que não haja perda de dados, será realizada a coleta dos “dados

voláteis”, como o estado das conexões de rede e o conteúdo da memória, que serão perdidos

caso a maquina seja desligada. Descrição da coleta é feita logo após a figura 13.

Após, será feita a coleta dos “dados não voláteis”, onde contém informações sobre o

sistema de arquivos, onde os mesmos são armazenados. Descrição da coleta é feita logo após

a figura 14.

Caso não haja invasão à outra maquina, é realizado um acesso remoto a maquina

principal (de onde o ataque foi originado) do ataque, com o objetivo de coletar os “dados

voláteis”, após a coleta a maquina será retirada para que possam ser coletados os “dados não

voláteis”.

Conforme descrito acima, segue o fluxograma proposto para o modelo:

Figura 13: Coletar dados


52

A coleta dos dados voláteis, apresentada na figura 14, tem como objetivo identificar um

ataque em tempo real, coletando informações que são apagadas caso o computador seja

desligado.

Para a coleta dos dados voláteis, pode-se utilizar o “FDTK – UbuntuBr”, que, segundo

Tacio (2001), é uma distribuição Linux baseada em Ubuntu, voltada para a pericia forense

computacional.

Primeiramente, são coletadas as “sessões de log”, que possuem o registro de atividades,

informando os usuários que estão conectados, com data e hora da conexão, e o endereço de

onde partiram as conexões a máquina invadida.

Logo após, as “conexões de rede” serão coletadas, onde serão encontradas informações

sobre endereços IP (destino e origem), e o estado das conexões.

Em seguida, serão coletados o estado das portas “TCP e UDP”, onde é possível analisar

as vulnerabilidades da maquina.

Depois, os “dados da memória” serão coletados, a fim de analisar os acessos recentes,

comandos executados, e também, senhas e logins utilizados, que são armazenados na

memória.

Após, serão coletadas as “configurações de rede”, identificando o endereço IP e o MAC

Address de cada interface de rede, buscando alterações realizadas para a invasão, autenticadas

pelo MAC Address.

Posteriormente, as informações sobre os “processos em execução” serão coletadas, com

intuito de verificar códigos indevidos que são executados pelo invasor.

Para tentar identificar quais foram os passos realizados pelo invasor, serão coletados os

“comandos executados”.

Logo depois, serão coletados os “arquivos abertos”, pois se houver algum arquivo

suspeito, é possível realizar uma varredura por palavras-chave na busca de mais informações.

E por último, serão coletadas as “datas e horas do sistema operacional”, que podem ser

úteis para reconstruir um evento para comprovar a invasão.

53

Figura 14: Coleta de dados voláteis


A coleta dos dados não voláteis, apresentada na figura 15, pode ser feita pelo, “FDTK –

UbuntuBr”.

Antes de iniciar a coleta, haverá a verificação se a maquina invadida, é a principal

(maquina que originou o ataque).

Caso não seja, será realizada a coleta dos “arquivos de log do sistema”, que possuem

registros de acesso a maquina, comandos executados, e a identificação dos usuários.

Se houver, é criada a imagem do disco, que é uma cópia idêntica do mesmo, a fim de

recriar um cenário real, restaurada em ambiente previamente configurado para que não haja

perca de dados, sendo documentado cada passo, seguindo a metodologia forense e seus

requisitos, descritos no capítulo 2.

Figura 15: Coleta de dados não voláteis

Fonte: Autores (2015).

54

Após o término do processo de coleta, é iniciado o exame dos dados, mostrado na figura

16, no qual é realizada a filtragem dos dados, extraindo somente o necessário para à

investigação.

Para que essa filtragem seja realizada, é necessária a utilização de ferramentas

específicas, que forneçam o suporte adequado para a extração dos dados, como por exemplo,

o Ubuntu – FDTK, distribuição Linux baseada em Ubuntu, voltada para a pericia forense

computacional.

De início, ferramentas e fontes de dados que determinam padrões para cada tipo de

arquivo como texto e imagem, são usadas para identificar e filtrar, por exemplo, arquivos que

tenham sido manipulados.

Formatos dos arquivos são examinados, pois os mesmos podem ter suas extensões

alteradas, além de armazenar outros dados, como algum arquivo malicioso, que pode causar

danos ao sistema operacional, ou executar funções determinadas pelos invasores. A utilização

de ferramentas para análise de cabeçalhos pode identificar qual tipo de dado que o arquivo

contém.

As extensões de arquivos são sufixos que nomeiam o seu formato e também a função

que desempenham em um computador. Assim, cada extensão de arquivo tem um

funcionamento próprio e também suas características individuais, que necessitam de

softwares específicos para serem abertos.

Com a finalidade de ocultar informações, armazenar conteúdo que não faz parte da

extensão nomeada, atacantes podem alterar extensões e enganar os usuários, pois o mesmo

pode abrir o arquivo com a finalidade de realizar algum procedimento específico, quando na

verdade o arquivo irá realizar outro procedimento, especificado pelo atacante, que não é de

seu conhecimento.

Assim, processos maliciosos serão executados sem o conhecimento do usuário,

desempenhando atividades a favor de um ataque direcionado, e expondo ainda mais o alvo a

respectivos ataques.

Portanto, através dos padrões de textos definidos para cada arquivo, com a finalidade de

mostrar sua integridade, e que não houve alteração na sua extensão, os mesmos serão

examinados. Para isso, existem ferramentas que contribuem para sua identificação.

Após a realização de um ataque, provas podem ser excluídas ou ocultadas, dificultando

todo o processo de investigação, portanto, qualquer informação recuperada é de grande

utilidade.

55

Sendo assim, os arquivos excluídos ou fragmentos que ainda não tenham sido

sobrescritos, serão examinados, pois contribuem para tentar encontrar rastros deixados pelo

atacante, com a finalidade de encontrar parâmetros utilizados no ataque.

Na recuperação dos dados, utilizam-se softwares específicos que buscam no disco todos

os dados ou fragmentos que tenham sido excluídos, permanecendo no disco até que outro

dado ocupe seu espaço em disco.

Após a recuperação, os arquivos e fragmentos serão examinados com o intuito de

encontrar rastros deixados pelo atacante, como arquivos utilizados durante o ataque, ou dados

e informações que foram transferidas para um ambiente externo, e depois foram apagadas

para ocultar esses procedimentos.

Desta forma, serão procuradas anormalidades e motivos para que os dados e fragmentos

recuperados fossem excluídos, e assim obter informações que contribuam para a filtragem dos

dados e melhor entendimento do possível ataque, na busca por indícios de uma invasão ou

incidente.

Examinar os metadados pode contribuir para uma visão cronológica dos

acontecimentos, pois é possível obter os procedimentos executados por determinados

arquivos, com suas respectivas datas, que devem ser mantidas com cuidado para que não haja

conflito de dados de tempo, fazendo com que a investigação seja invalidada.

Atributos de tempo como, período em que um arquivo foi criado, modificado e

acessado, são de grande importância para uma investigação, pois como o nome já diz,

identificam os períodos de acontecimentos, como criação, modificação e ultimo acesso ao

respectivo arquivo, portanto, deve-se manter esses três atributos de tempo relacionados aos

arquivos, íntegros.

A respeito de metadados, pode-se dizer que são resumos de informações sobre a forma

ou conteúdo de uma fonte, ou seja, são basicamente dados que descrevem os dados, possuem

informações úteis para identificar, localizar, compreender e gerenciar os dados.

Através dos mesmos será possível buscar anormalidades, ter um histórico do que foi

executado por um arquivo específico, e dessa forma remontar os acontecimentos em busca de

outras informações.

Sendo assim, serão examinados os metadados do que foi coletado, buscando examinar o

resumo das informações sobre a forma ou conteúdo da fonte, de forma que contribua para a

filtragem dos dados, buscando possíveis indícios de um ataque. Para isso, ferramentas serão

utilizadas.

56

Por último, outra estratégia será utilizar a busca por palavras-chave, que examina o

conteúdo dos arquivos em busca de um determinado texto, a fim ampliar e generalizar o

domínio de busca.

Para isso, será elaborada uma lista de palavras-chave com base no conteúdo analisado

nas etapas anteriores, como por exemplo, algum texto incomum encontrado no exame dos

dados, ou palavras elaboradas após um estudo do que já existe de histórico do ataque, visto

que não há parâmetros de busca para ataques direcionados.

Tem como finalidade, encontrar evidências relacionadas às palavras utilizadas,

examinando através de ferramentas, arquivos e dados atrás de um texto, elaborado para a

investigação, e utilizado como palavras-chave na busca de informações e indícios de um

possível ataque.

Desta forma, haverá parâmetros para informar se arquivos ou dados específicos,

possuem de alguma forma, indícios para comprovar que um incidente ocorreu.

Assim, arquivos excluídos, trechos de texto em parte do disco não alocados pelo

sistema de arquivos e em unidades de alocação onde os arquivos não utilizem todo o espaço

destinado a ele, também podem ser encontrados. Abaixo, segue o fluxograma proposto:

Figura 16: Exame de dados


Após o exame de dados, é iniciada a analise deles. Apresentado na figura 17, o

fluxograma proposto para este processo.

A análise será feita sobre uma cópia das mídias originais, para que não haja problemas

de integridade, buscando proteção e segurança das mesmas.

57

Um ambiente de teste será criado e preparado especificamente para auxiliar na análise,

utilizando o mesmo hardware ou similar ao original, para garantir a qualidade do trabalho

realizado.

Nesta etapa, são “identificadas as pessoas”, envolvidos em determinada suspeita, assim

como os “locais”, que são os caminhos que o suspeito percorreu, como servidores e maquinas,

e “identificar os eventos”, passos dados pelo suspeito. Todos os processos e etapas de análises

devem ser devidamente documentados.

Figura 17: Analise dos dados:

Fonte: Autor (2015)

Para que seja feita a análise dos dados, a reconstrução dos eventos deve ser realizada,

assim, os procedimentos para essa etapa são mostrados abaixo:

Correlacionamento de logs

Análise do tráfego de rede (logs de roteadores, firewalls, etc).

MAC Times.

Um exemplo de correlação de logs seria quando um indivíduo tenta realizar um

acesso não autorizado a um determinado servidor. A partir disso, é possível identificar por

meio da análise dos eventos registrados nos arquivos de logs, o endereço IP de onde foi

originada a requisição de acesso.

58

Com o endereço IP de onde foi gerada a requisição, é possível identificar quem está

por trás do acesso não autorizado, utilizando um método de reversão, onde é feito o

processo reverso, para obter informações do destino de origem do IP. Procedimento esse,

feito por meio de ferramentas específicas para uso da reversão.

Através desse procedimento, é possível identificar pessoas que fizeram a requisição

de acesso, como o local de onde foi gerada essa requisição, sendo possível correlacionar o

ataque a algum individuo.

Desta forma, os registros de logs serão analisados, com o intuito de achar o culpado

pelo possível ataque ou incidente a um determinado alvo.

A partir do tráfego de rede é possível analisar toda a comunicação entre o atacante e

a máquina invadida, estabelecendo uma sequência de eventos e comparando com as outras

evidências encontradas.

Com essa análise, pode-se encontrar evidências como endereço de IP do suspeito,

tráfego em portas desconhecidas, ou em serviços e portas que não deveriam estar

ocorrendo, até mesmo anormalidades na rede.

Assim, após a análise do tráfego de rede, é possível identificar possíveis suspeitos, e

tomar as devidas providencias como utilizar a reversão explicada anteriormente, caso seja

identificado o endereço IP do sujeito, para obter suas informações, ou verificar toda a

comunicação feita pelo atacante com o seu respectivo alvo.

Portanto, serão analisados os tráfegos de rede com o intuito de correlacionar o

possível ataque, ao suspeito. Para isso, existem ferramentas específicas, que serão

utilizadas para validar as diretrizes propostas nessa etapa.

E por último, será analisado os MAC TIMES, que são campos de metadados do

sistema de arquivos onde estão registrados o último instante em que ocorreram certos

eventos em relação a um arquivo ou dado, como criação, modificação, e ultimo acesso.

Com isso, é possível correlacionar o evento ocorrido com seus respectivos horários,

fazendo com que seja possível determinar quando as ações do suspeito aconteceram.

Sendo assim, com os procedimentos utilizados, é possível identificar os suspeitos, os

caminhos percorridos pelo mesmo e quais passos foram utilizados para a realização do

possível ataque.

Após obter as informações, as evidências vão ser correlacionadas, de forma que possam

identificar o suspeito, quando e como ocorreu a invasão e posterior roubo de informações.

59

Obtendo essas respostas, pode-se chegar a uma evidência, determinando quem é o

suspeito, quando ocorreu o ataque, e como o mesmo foi realizado.

Desta forma, após a análise, será verificado os resultados para concluir se o que foi

investigado é suficiente para comprovar o suspeito do ataque, e gerar os relatórios para

concluir a investigação.

4.4 CONSIDERAÇÕES DO CAPÍTULO

Este capítulo teve por objetivo apresentar as diretrizes propostas baseadas no modelo de

forense computacional focado em ataques direcionados.

O modelo dinâmico e estático apresentado neste projeto tem por objetivo apresentar

uma forma genérica para analisar possíveis ataques direcionados a uma organização,

coletando evidências voláteis e não voláteis, acessando as maquinas envolvidas e

apresentando os respectivos resultados.

Os procedimentos utilizados foram separados a fim de facilitar o entendimento do

modelo apresentado.

Desta forma, buscou-se torna-lo utilizável, genérico para que possa se adaptar a

diversas formas de ataques direcionados, dependo da necessidade, pois os ataques

direcionados são feitos especificamente para uma organização, e dificilmente são usados da

mesma forma, por isso as chances de erro para sua identificação ou prevenção, são mínimas.

60

5 TESTE E VERIFICAÇÃO

Os testes, apresentado a seguir, foram realizados em uma empresa fictícia. O incidente

também foi criado para que fosse possível aplicar as diretrizes propostas no projeto.

Todos os dados apresentados foram previamente simulados para dar veracidade ao caso

apresentado e demonstrar as diretrizes propostas com a utilização de ferramentas existentes,

que contribuem para a análise dos ataques direcionados.

Um cenário foi montado com a intenção de ilustrar como se aplicam as diretrizes

propostas em uma investigação, buscando evidências para transformar em provas que

comprovem um possível ataque à organização.

5.1 APRESENTAÇÃO DO CASO

A Universidade ABC atua em todos os níveis e áreas de conhecimento, nas

modalidades presencial e a distância, inserida nas regiões Sul e da Grande Florianópolis,

ampliando perspectivas culturais e educacionais.

Para a realização de matriculas em cursos e disciplinas, cada aluno recebe um

usuário/senha para que possa realizar os procedimentos necessários dentro da intranet da

Universidade, assim como analisar suas finanças, pagamentos, ter acesso à biblioteca ou até

mesmo solicitar uma bolsa de estudos.

Cada aluno deve cuidar de seus dados e mantê-los devidamente seguros, pois é através

deles que o mesmo administra sua vida universitária.

Notou-se que alunos estavam matriculados em disciplinas e cursos não condizentes

com suas grades curriculares ou cursos nos quais cursavam atualmente, e isso gerou uma

reclamação à coordenação da Universidade, que se viu obrigada a analisar este caso.

Ao analisar as reclamações, a coordenação verificou que as matriculas foram geradas

com as contas dos próprios alunos, gerando uma desconfiança do que realmente poderia ter

acontecido.

61

Foi questionada a coordenação o motivo de tal suspeita. Essa informou que qualquer

pessoa que possuir usuário e senha do aluno, pode acessar a intranet e realizar diversas

operações, como a que foi informada à coordenação.

A partir disso, a Tecnologia da Informação da Universidade analisou o caso e viu a

necessidade de contratar um serviço de segurança em forense computacional para que seja

analisado mais a fundo esta situação, de modo que haja a atuação de profissionais com

conhecimentos avançados, para que se tenha uma resposta do que de fato aconteceu.

Sabendo que todo o processo de matriculas é realizado pela internet, via intranet da

Universidade, o que torna vulnerável as operações realizadas pelos alunos, o problema será

analisado.

Na Universidade, todos os dados e informações dos alunos ficam armazenados em um

banco de dados, alocados em um Data Center, o qual é gerenciado pela TI da instituição.

5.2 APLICAÇÃO DO MODELO

Após apresentação do caso, é necessário frisar que este é um ataque direcionado à

Universidade, no qual o atacante tem como objetivo captar informações dos universitários, e

através delas realizar operações dentro da Universidade para expor suas vulnerabilidades e

falhas de segurança em seu ambiente universitário.

Através das informações repassadas pela coordenação e TI da Universidade ABC, foi

dado início à investigação do possível ataque ocorrido na Universidade, seguindo os passos

proposto pelo fluxograma apresentado, no capitulo 4, conforme segue:

1 – Identificação: Tendo em vista as matrículas irregulares apresentadas pelos

universitários, que não foram geradas pelos mesmos, presumiu-se que foi no servidor que o

possível atacante buscou as informações das contas dos alunos.

Sem a confirmação da maquina utilizada pelo suspeito para realizar o acesso ao Data

Center onde fica armazenado o banco de dados da Instituição, serão analisados os registros de

logs para verificar os acessos e também as atividades de e-mail para tentar identificar de onde

surgiu o possível ataque.

62

Coletar sessões de log: O comando abaixo foi utilizado para verificar os acessos ao

servidor:

# cat /var/log/auth.log

Analisando os logs foi possível verificar que não houve nenhum acesso indevido ao

servidor, somente dos usuários da TI da Universidade. Desta forma, observou-se que o

possível ataque não foi realizado através do servidor da Instituição.

Figura 18: Log de acesso ao servidor.


Todos os registros de logs de sessão, assim como os logs de e-mail foram coletados

através de ferramentas do Linux para executar os procedimentos.

Após não encontrar nenhum acesso indevido ao servidor, foram analisados os logs de

e-mail, como mostra a figura a seguir, onde foi encontrada uma irregularidade no domínio de

alguns e-mails que foram enviados aos alunos.

63

Figura 19: Lista de e-mails enviados aos alunos com domínio suspeito.


Ao analisar os logs de e-mails, foi verificado que alguns alunos receberam e-mails de

um domínio muito parecido com o da Universidade, porém com um detalhe que muda

totalmente o seu domínio, o ponto entre “@universidadeabc”.

Alunos receberam um e-mail de informação da Universidade no qual se solicita o

acesso ao site da Universidade para confirmar seus dados pessoais, conforme mostra a figura

abaixo, e ao entrar no link informado, antes da confirmação dos dados é necessário informar

seu usuário/senha de acesso à intranet, para depois realizar a confirmação dos dados.

Figura 20: E-mail recebido pelos alunos.


Ao analisar o e-mail, foi identificada uma suspeita a qual pode levar ao indício de um

ataque de “Spear Phishing”, pois como mostra a figura abaixo, ao deixar o cursor do mouse

em cima do link de acesso ao “Portal MinhaABC”, é possível verificar que o site apresentado

na parte inferior do navegador não é o site da Universidade ABC.

64

Figura 21: E-mail com indício de Spear Phishing.


Com isso, os e-mails foram analisados e identificou-se que o suspeito enviou um e-

mail direcionado a alguns universitários, se passando pela Universidade, solicitando que os

alunos atualizassem seus dados.

Após receberem o e-mail, todos no mesmo período e sem notar a mudança no domínio

do e-mail, alguns alunos seguiram a orientação achando ser da Universidade e realizaram a

atualização dos seus dados, informando também seu usuário e senha de acesso a intranet da

instituição.

O que os alunos não previam era que estavam passando seus dados pessoais e

credenciais para o atacante, o qual passou a utiliza-los para realizar operações dentro da

instituição. Conforme figura a seguir, após possuir os dados do aluno, o atacante pode realizar

diversas operações pela intranet da Universidade.

65

Figura 22: Intranet da Universidade

Fonte: Unisul (2015).

Com os dados de acesso, o atacante passa a ter total liberdade para executar

procedimentos dentro da intranet da Universidade com as credenciais do aluno, mostrado na

figura a cima, o que pode ter gerado as matriculas indevidas reportada pelos alunos.

Também através dos dados de acesso, é possível interagir com outros alunos e a partir

disso, obter mais dados e informações para a realização do ataque, como por exemplo, enviar

mensagens através da ferramenta da Universidade, conforme mostra a figura abaixo.

Figura 23: Forma de interagir com alunos através da intranet da Universidade.

Fonte: Unisul (2015).

66

Desta forma, após identificar indícios de um possível ataque realizado à Universidade,

serão realizadas as etapas propostas pelo fluxograma apresentado, com a finalidade de

encontrar dados ou informações que possam comprovar o ataque sofrido pela Universidade.

2 – Coletar dados: Como não foi identificada uma invasão ao servidor por algum

usuário indevido, e sabendo que os dados podem ter sido capturados por meio de um ataque

de “Spear Phishing”, buscou-se apenas coletar os dados do servidor onde estavam às

armazenadas as informações no banco de dados.

2.1 - Acessar a máquina invadida: Como não houve invasão a nenhuma maquina,

não há necessidade de realizar este procedimento, pois por talvez se tratar de um ataque

“Spear Phishing” e dos objetivos do atacante, o mesmo pode ter realizado todos os

procedimentos via web, sem precisar acessar a máquina física da instituição.

2.2 - Coletar dados voláteis: Início da coleta de dados voláteis.

2.3 – Coletar comandos executados: Em seguida foi feita a verificação dos comandos

executados no servidor, através do comando:

#cat /home/userTI/.bash_history

Foram verificados os comandos executados e não foi encontrado nada fora da

normalidade, apenas comandos de rotinas realizados diariamente pelo pessoal da TI da

Universidade.

Após isso, todas as conexões de rede, o estado das portas TCP e UDP, os processos em

execução, os dados da memória e os arquivos abertos foram coletados para posterior exame.

2.4 – Coletar dados não-voláteis: Após a coleta dos dados voláteis, os dados não

voláteis foram coletados.

2.4.1 – Coletar arquivos de log do sistema: Foram coletados os registros de logs para

serem examinados.

2.5 – Acessar a máquina do suspeito: Como não foi identificado nenhum acesso ao

servidor através de outra maquina, não há como realizar este procedimento, nem os

subsequentes propostos para caso houvesse a invasão, desta forma será dada continuidade aos

procedimentos seguintes.

3 – Exame dos dados: Na realização da coleta dos dados feita anteriormente, há uma

grande massa de dados, por isso foi necessário filtra-los para posterior análise, seguindo os

passos a seguir:

67

Para facilitar o exame dos dados foi utilizado o “Ubuntu – FDTK”, que é uma

distribuição Linux baseada em Ubuntu, voltada para pericia forense computacional, conforme

mostra a figura a seguir:

Figura 24: Ubuntu – FDTK utilizado para facilitar o exame dos dados.


Essa distribuição possui diversas ferramentas que auxiliam na coleta dos dados, nos

exames e análise das evidências, o que facilita o trabalho de investigação.

3.1 – Examinar padrões dos arquivos coletados: Como mostra a figura a seguir, com

a finalidade de encontrar arquivos manipulados, foram examinados os padrões dos arquivos,

porém nada foi encontrado, todos os arquivos coletados estavam com seus padrões íntegros.

68

Figura 25: Cabeçalho de arquivo.


Como na figura a cima, o cabeçalho do arquivo mostra seus dados e informações, o

que pode auxiliar na identificação de anormalidades, definindo a integridade ou não de um

arquivo.

3.2 – Examinar formato dos arquivos coletados: Os formatos foram examinados,

porém nenhuma anormalidade foi encontrada.

3.3 – Examinar arquivos e fragmentos excluídos: Foi realizada uma pesquisa para

verificar a existência de algum arquivo que contribua para a investigação do ataque que possa

ter sido excluída. Para isso foi utilizado o programa “Recuva” que recupera os arquivos

apagados da maquina, como mostra a figura abaixo:

Figura 26: Recuperação de arquivos.


69

Na filtragem não foi encontrado nenhum arquivo relevante que seja útil para posterior

análise.

3.4 – Examinar metadados: Posteriormente, foram examinados os metadados dos

arquivos coletados, porém nada foi encontrado.

Figura 27: Exemplo de metadados.


Os metadados contribuem para uma visão cronológica dos acontecimentos, obtendo os

procedimentos executados por determinados arquivos, com suas respectivas datas, sendo

possível visualizar o resumo das informações sobre a forma ou conteúdo da fonte,

descrevendo seus dados e auxiliando na identificação, localização, compreensão e

gerenciamento dos mesmos.

3.5 – Busca por palavra-chave: Por fim, foi realizada uma busca por palavras-chave,

elaborada durante as etapas de exame com o e-mail no qual foi modificado o domínio para se

passar pela Universidade como principal texto para busca. Desta forma, foram encontrados

70

todos os e-mails enviados aos alunos pelo suposto atacante, apresentados na figura abaixo,

podendo assim, analisar posteriormente quais alunos receberam o ataque.

Figura 28: Lista de e-mails maliciosos.


Além dos e-mails nada mais foi encontrado para ser adicionado ao relatório final e

compor a prova do crime.

Após o exame dos dados, foi possível reduzir a quantidade informações obtidas na

coleta, deixando apenas o necessário para que fosse analisado, focando nas possíveis

evidências que possam comprovar o crime. Com isso foi iniciada a análise dos dados,

mostrada a seguir:

Nesta etapa acontece à identificação das pessoas envolvidas em determinada suspeita,

assim como os caminhos percorridos pelo suposto atacante e quais foram os passos dados

para realizar o possível ataque.

A análise das evidências foi realizada sobre uma cópia idêntica dos dados, para que

não houvesse problemas com a integridade dos mesmos, prezando pela proteção e segurança

das possíveis provas de um ataque.

4 – Análise dos dados: Analisando as evidências encontradas na etapa anterior, foi

possível identificar alguns pontos do ataque:

O Ataque foi realizado diretamente à UniversidadeABC, com o intuito de enganar os

alunos e através deles atingir a Universidade;

Foi utilizado um e-mail falso parecido ao da Universidade para dar início ao ataque;

Os e-mails foram enviados no mesmo dia aos alunos;

O atacante se passou por um funcionário da instituição sem que fosse percebido;

Utilizou do método de “Spear Phishing” para enganar os alunos;

Com isso, foi possível obter dados pessoais, credenciais de acesso e todas as

informações necessárias para realizar os procedimentos dentro do ambiente universitário,

confirmando a suspeita de que a Universidade recebeu um ataque direcionado.

71

4.1 – Correlacionamento dos Logs: O correlacionamento ocorre com o intuito de

achar o culpado pelo possível ataque ou incidente a um determinado alvo através da análise

dos logs obtidos na coleta de dados.

Através dos logs é possível obter informações como de acessos não autorizados a um

determinado servidor, identificar endereços IP desses acessos, horários e datas em que

procedimentos foram executados, e com isso relacionar provas que incriminem possíveis

realizadores de um ataque.

Tendo isso em vista, os logs do sistema foram verificados, e foi possível constatar que

os e-mails enviados foram no mesmo dia e horário para os alunos da Universidade, pelo

mesmo domínio forjado, o qual se passava por um funcionário da instituição. Portanto, foi

possível identificar o responsável pelo ataque, e o momento em que ele iniciou seus

procedimentos.

4.2 – Análise do tráfego de rede: Com a análise do tráfego de rede, é possível analisar

se houve comunicação entre o atacante e a máquina invadida, e caso haja, estabelecer uma

sequência de eventos e comparar a outras evidências encontradas.

Com essa análise, é possível encontrar endereços IP do suspeito, se houve tráfego em

portas desconhecidas, ou anormalidades na rede da instituição, obtendo informações de toda

comunicação feita pelo atacante com o seu respectivo alvo.

Ao analisar o tráfego de rede não foi possível identificar nenhuma anormalidade, pois

não há registros nem evidências de que o atacante realizou acesso ao servidor da instituição,

desta forma foi possível confirmar que não houve acesso aos servidores durante o incidente.

4.3 – MAC TIMES: Através dos MAC TIMES é possível identificar datas de criação,

modificação e último acesso relacionados a arquivos ou dados coletados, sendo possível

determinar quando ocorreram as ações do suspeito.

Ao analisar o MAC TIMES do e-mail enviado, mostrado na figura abaixo, foi possível

identificar o horário em que os e-mails foram enviados, que indica quando o atacante realizou

os envios para coletar informações dos alunos.

72

Figura 29: MAC TIMES do e-mail recebido.


Assim, após o período de análise, foi possível identificar pessoas, porém não foi

encontrada a real identidade do atacante, identificar locais, sabendo que os procedimentos

foram todos realizados via web, e identificar os eventos, mostrando os passos dados pelo

atacante para a realização do crime, que começou com o método de Spear Phishing localizado

nos e-mails.

E por último, o correlacionamento das evidências que ocorreu durante todo o processo,

tanto de coleta, quanto de exame ou análise, deram parâmetros que direcionaram a suspeita

para uma pessoa.

Com isso, foi possível notar os objetivos do atacante, que eram obter os dados pessoais

dos alunos, suas credenciais de acesso à universidade e através delas realizar operações dentro

do ambiente universitário, atingindo a instituição, demonstrando como acontece um ataque

direcionado e evidenciando como as pessoas e instituições, com uso da internet, ficam

vulneráveis a ataques.

5.3 LAUDO PERICIAL

Foi contratado o serviço de forense computacional com a finalidade de identificar

como os alunos da Universidade ABC foram matriculados em disciplinas e cursos fora da sua

grade curricular sem que os mesmos soubessem, a partir dai foi dado inicio à investigação.

A investigação ocorreu em quatro etapas, identificação, coleta de dados, exame de

dados e análise de dados, que são descritas abaixo:

Identificação: Identificar a possível realização de um ataque;

73

Coleta: Coletar dados e informações referentes ao possível ataque que será

examinado posteriormente;

Exame: Busca diminuir a quantidade de informações coletadas filtrando apenas

o necessário para posterior análise;

Análise: Identificar e correlacionar pessoas, locais e eventos que estão

relacionados ao ataque direcionado.

Todas as etapas foram seguidas conforme os critérios estabelecidos de modo que

garantisse a disponibilidade, integridade e confiabilidade das informações, dando veracidade

ao caso.

O suposto ataque foi identificado através dos logs de e-mail, e assim foi possível

identificar que foi utilizada a prática de Spear Phishing pelo atacante para enganar os alunos e

obter seus dados e informações pessoais.

Foram coletadas sessões de logs, conexões de rede, estado das portas TCP/UDP, dados

de memória, processos em execução, comandos executados, arquivos abertos e data/hora do

sistema operacional para posterior exame.

Ao examinar os dados coletados, a quantidade dos dados foi diminuída

consideravelmente, filtrando apenas as possíveis evidências que se mostravam necessárias

para análise.

E por fim, ao analisar os dados e informações coletadas e examinadas nas etapas

anteriores, foi possível definir e identificar os acontecimentos referentes ao ataque realizado à

Universidade, identificando pessoas, locais e eventos, sendo possível correlacionar às

evidências, descritas abaixo:

O Ataque foi realizado diretamente à UniversidadeABC, com o intuito de enganar os

alunos e através deles atingir a Universidade;

Foi utilizado um e-mail falso parecido ao da Universidade para dar início ao ataque;

Os e-mails foram enviados no mesmo dia aos alunos;

O atacante se passou por um funcionário da instituição sem que fosse percebido;

Utilizou do método de “Spear Phishing” para enganar os alunos;

Não foi possível identificar a real identidade do atacante.

Com isso, foi dado como concluída a investigação, relatando aos interessados os

resultados obtidos sobre o caso para que as possíveis providências fossem tomadas.

74

5.4 CONSIDERAÇÕES FINAIS

Conforme apresentado, as diretrizes foram aplicadas em cima do estudo de caso

realizado, tornando viável a utilização das mesmas, tendo a constatação e comprovação de um

ataque realizado à Universidade ABC.

Lembrando que as chances para identificação ou prevenção são mínimas, pois os

ataques não seguem um parâmetro e são feitos especificamente para pessoas ou instituições às

quais irá realizar o ataque.

Sendo assim, todos os passos foram seguidos conforme proposto no modelo e

determinaram o suspeito, quando ocorreu o ataque, e como o mesmo foi realizado.

Com esses parâmetros, os indícios de que a Universidade sofreu um possível ataque

direcionado ficou evidente, mostrando seus passos e momentos em que foram realizados,

porém não foi evidente a real identidade do atacante, por isso, não é garantido que o ataque

direcionado seja provado ou que seu realizador seja encontrado, devido à dificuldade em

encontrar provas reais do crime.

Após a análise, as provas são devidamente documentas, demonstrando os resultados

obtidos.

Conclui-se com isso, que as diretrizes propostas foram de grande ajuda para

investigação de ataques direcionados, obtendo os resultados esperados.

75

6 CONCLUSÃO

A segurança da informação tornou-se indispensável para qualquer organização e

usuários que utilizem tecnologias, que nos dias de hoje, são essenciais. O estudo de caso foi

planejado para validar as diretrizes propostas por este trabalho com o modelo forense para

investigação de ataques direcionados em organizações. Visto que o tempo disponível para tal

realização era escasso, o estudo foi controlado de modo a se produzir resultados rapidamente,

comprovando a viabilidade das diretrizes propostas.

Sabendo que ninguém está totalmente protegido devido ao alto índice de roubo de

informações digitais, bem como seus métodos ágeis e imperceptíveis a diversas organizações,

que vem ganhando destaque, a forense computacional existe para dar auxílio às investigações,

buscando indícios que comprovem possíveis ataques à organização.

Assim, para dar suporte as diretrizes propostas, foram estudados e definidos conceitos

sobre forense computacional, como quais procedimentos legais devem ser seguidos pelo

perito em uma análise, e suas metodologias para obtenção de evidências.

Também foram apresentados conceitos básicos de segurança, suas características e

mecanismos, bem como suas políticas de segurança, e por fim foram apresentados tipos de

ataques direcionados, seus métodos, suas características e seu funcionamento.

Com isso, foi possível obter toda fundamentação teórica, propondo diretrizes de

forense computacional para ser empregado durante a investigação de ataques direcionados,

podendo assim, direcionar os investigadores, lembrando que as chances para sua identificação

ou prevenção, são mínimas.

Desta forma, constatou-se que as diretrizes propostas baseadas no modelo forense são

de grande valia para o processo de investigação, e seguindo os procedimentos de maneira

correta, o processo se torna mais seguro e confiável, sendo possível encontrar indícios que

comprovem um crime digital.

76

6.1 TRABALHOS FUTUROS

A partir desse projeto, visto que foram alcançados seus objetivos, ficam como trabalhos

futuros:

A evolução das diretrizes propostas, aumentando sua viabilidade.

Amadurecer o modelo apresentado.

Aplica-lo em um ambiente corporativo.

77

REFERÊNCIAS

ALMEIDA, Aléxis Rodrigues. Como Funcionam os Exploits. 2008. Disponível em:

<http://www.invasao.com.br/2008/12/12/como-funcionam-os-exploits/>. Acesso em: 06 out.

2014.

ARANHA, Diego de Freitas. Tomando o Controle de Programas Vulneráveis a buffer

overflow. Universidade de Brasília, 2003. Disponível em:

<http://www.cic.unb.br/~rezende/trabs/buffer_overflow.htm>. Acesso em 22set. 2014

ARMBRUSTER, Hernán. Empresas podem lutar contra ataques direcionados?. 2013.

Disponível em: <http://www.b2bmagazine.com.br/index.php/opiniao/item/3297-empresas-

podem-lutar-contra-ataques-direcionados>. Acesso em 15 mai. 2015.

ATI, Agencia Estadual de Tecnologia da Informação. Formas de Ataque e Códigos

Maliciosos. Disponível em: < http://200.238.107.80/web/site-ati/formas-de-ataque-e-codigos-

maliciosos>. Acesso em: 23 set. 2014.

AZEVEDO, Marcelo Teireixa; Pegetti, Ana Luiza; DOS SANTOS, Kleyton Maia. Técnicas

de Perícia Forense como Ferramentas de Prevenção de Incidentes de Segurança.

Disponível em: <http://www.fals.com.br /revela16/artigo2_12.pdf>. Acesso em 28 ago.2014

BUSTAMANTE, Leonardo. Introdução a Computação Forense. Disponível em:

<http://imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense/>. Acesso em

28 ago.2014

CANSIAN, A. M. Conceitos para perícia forense computacional. VI ESCOLA

REGIONAL DE INFORMÁTICA DA SBC, 2001, São Carlos, SP. SP: ICMC/USP, 2001. p.

141-156.

CASEY, E. Investigating Sophisticated Security Breaches. New York: ACM, 2006. 49 v.

CERT.br. Cartilha de Segurança para Internet - Parte I: Conceitos de Segurança. Versão

3.1, 2006. Disponível em: <http://cartilha.cert.br>. Acesso em: 22 set. 2014.

CERT.br. Cartilha de Segurança para Internet - Códigos maliciosos (Malware).

Disponível em: <http://cartilha.cert.br/malware/>. Acesso em: 21 mar. 2015.

78

CERT.br. Cartilha de Segurança para Internet. Disponível em:

<http://cartilha.cert.br/glossario/>. Acesso em: 21 mar. 2015.

CHAVES, Carlos Henrique P. C.; MONTES, Antonio. Sistema de Detecção de Backdoors e

Canais Dissimulados. V Simposio Brasileiro em Segurança da Informação e de Sistemas

Computacionais, 2012. Disponível em: <http://gray-world.net/papers/sistema_deteccao.pdf>.

Acesso em: 22 set. 2014.

CLEMENTE, R. B. Técnicas da Forense Computacional para Coleta, Identificação e

Preservação de Evidência Digital na Análise Lógica em Ambiente Windows (NTFS).

Cuiabá–MT, 2009. Disponível em:

<http://www.ic.ufmt.br:8080/c/document_library/get_file?p_l_id=58070&folderId=59707&n

ame=DLFE-2303.pdf>. Acesso em: 20 out. 2014.

COMPUTERWOLRD. Uma em cada cinco empresas sofre ameaça avançada de

segurança. 2013. Disponível em: <http://computerworld.com.br/seguranca/2013/03/28/uma-

em-cada-cinco-empresas-sofre-ameaca-avancada-de-seguranca>. Acesso em: 15 mai. 2014.

DA SILVA, Aureo Ribeiro Vieira. A Segurança Cibernética no mundo corporativo:

proposta de um Planejamento Estratégico de Segurança Cibernética Corporativa.

Disponível em <http://www.abseg.com.br/downloads/premio-abseg2014-seguranca-

cibernetica-mundo-corporativo.pdf>. Acesso em: 27 ago. 2014.

DOULIGERIS, C.; MITROKOTSA, A. DDoS attacks and defense mechanisms:

classification and state-of-the-art. Comput. Netw. Elsevier North-Holland, Inc., New York,

NY, USA, v. 44, p. 643–666, April 2004. ISSN 1389-1286. Disponível

em:<http://dl.acm.org/citation.cfm?id=987153.987158>. Acesso em: 22 set. 2014.

SILVA, Antonio Mendes da Silva. Entendendo e Evitando a Engenharia Social:

Protegendo Sistemas e Informações. Revista Espaço Acadêmico – Nº 43 – Dezembro 2004

- Mensal – ISSN 1519-6186, 2004.

FREITAS, A. R. Perícia Forense Aplicada à Informática. Ed. Brasport, Brasil, 2006.

Disponível em: <http://pt.scribd.com/doc/58765369/Pericia-Forense-Aplicada-a-

Informatica#scribd >. Acesso em: 10 out. 2014.

GANGTE, Thanglalson. My Experiements with Hacking. 2013. Disponível em: <

http://www.gangte.net/2013/10/what-are-denial-of-service-dos-attacks.html>. Acesso em: 23

set. 2014.

79

GUIMARÃES, C. C.; Oliveira, F. S.; DOS REIS, M. A,; DE GEUS, P. L. Forense

Computacional: Aspectos Legais e Padronização. Disponível em:

<http://www.redes.unb.br/ceseg/anais/2001/14.pdf>. Acesso em: 20 out. 2014.

GUSMÃO, Gustavo. APTs: Conheça as ameaças que mudaram as empresas de

segurança. Disponível em: < http://exame.abril.com.br/tecnologia/noticias/apts-conheca-as-

ameacas-que-mudaram-as-empresas-de-seguranca>. Acesso em: 25 mai. 2015.

HOLPERIN, Marco; LEOBONS, Rodrigo. Análise Forense. 2007. Disponível em: <

http://www.gta.ufrj.br/grad/07_1/forense/index.html>. Acesso em: 28 out. 2014.

JAKOBSSON, Markus. Social Phishing. School of Informatics. Indiana University de

Bloomington. Estados Unidos, 2007. Disponível em: <http://www.markus-

jakobsson.com/publications/phishing>. Acesso em: 23 set. 2014.

KENT, K., CHEVALIER, S., GRANCE, T., DANG, H.; Guide to Integrating Forensic

Techniques into Incident Response: Recommendations of the national institute of standards

and technology. 2006. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-

86/SP800-86.pdf>. Acesso em: 28 out. 2014.

KUMARASAMY, S.; GOWRISHANKAR, A. An Active Defense Mechanism for TCP

SYN flooding attacks. CoRR, abs/1201.2103, 2012.

LAUFER, R. P. et al. Negação de Serviço: Ataques e Contramedidas. In: Livro Texto dos

Mini-cursos do V Simposio Brasileiro de Segurança da Informação e de Sistemas

Computacionais. Florianopolis, Brasil: (SBSeg’2005), 2005.

MACEDO, Diego. O que é a Computação Forense e sua Importância no Âmbito

Empresarial. Disponível em: <http://www.diegomacedo.com.br/o-que-e-a-computacao-

forense-e-sua-importancia-no-ambito-empresarial/?print=pdf>. Acesso em: 27 ago.2014

MACEDO, Neusa Dias de. Iniciação à pesquisa bibliográfica: Guia do estudante para a

fundamentação do trabalho de pesquisa. 2. ed. rev. São Paulo: Edições Loyola, 1996.

MADEIRA, Mauro Notarnicola. Forense Computacional. Palhoça: Unisul, 2012.

MALEBRA, César. Vulnerabilidades e Exploits: Técnicas, Detecção e Prevenção. UFRGS

2010. Disponível em:

<http://www.lume.ufrgs.br/bitstream/handle/10183/26337/00757768.pdf?sequence=1>.

Acesso em: 07 out. 2014.

80

MARTINS, Ricardo. Sniffer Spoofing: Ataques Monitorados. Disponível em:

<http://www.ricardomartins.com.br/sniffer-spoofing-ataques-monitorados/>. Acesso em: 23

set. 2014.

MENEGHEL, Luciana. IA368F – Tópicos em Engenharia de Computação V. Unicamp,

1998. Disponível em:

<http://www.dca.fee.unicamp.br/courses/IA368F/1s1998/Monografias/luciana.html>. Acesso

em: 23 set. 2014.

MITNICK, Kevin D. SIMON, William L. Mitnick: A Arte de Enganar. Makron Books.

2003.

MILLER, Russell. Ameaças Persistentes Avançadas: Como se Defender de Dentro para

Fora. Gerenciamento de segurança da CA Technologies. White Pape 2012. Disponível em: <

http://www.ca.com/~/media/Files/whitepapers/latam/CS2548_advanced_persistent_threats_w

p_0712_ptb.pdf>. Acesso em: 06 out. 2014.

MOURA, Lucas. Entenda o que é um exploit zero-day. 2013. Disponível em:

<http://www.baboo.com.br/software/entenda-o-que-e-um-exploit-zero-day/>. Acesso em: 08

mar. 2015.

MORIMOTO, Carlos E. Redes. 2008. Disponível em:

<http://www.hardware.com.br/livros/redes/exploits.html> Acesso em: 06 out. 2014.

McAfee, Part of Intel Security. Relatório do McAfee Labs sobre Ameaças. Agosto, 2014.

Disponível em: <http://www.mcafee.com/br/resources/reports/rp-quarterly-threat-q2-

2014.pdf?cid=BHP030>. Acesso em: 23 set. 2014.

NAKAMURA, E. T.; GEUS, P. L. Segurança de Redes em Ambientes Cooperativos. São

Paulo, S.P.: Berkiley, 2002.

NEVES. Gustavo. DDoS (Distributed Denial of Service). 2014. Disponível em:

<http://pt.slideshare.net/gustavonevesgn/ddos-ataque-de-negao-de-servio>. Acesso em: 14

out. 2015

NG, Reginaldo. Forense computacional corporativa. Rio de Janeiro: Brasport, 2007.

NORTON. Symantec. Spear Phishing: Um golpe, não um esporte. Disponível em:

<http://br.norton.com/spear-phishing-scam-not-sport/article>. Acesso em: 21 mar. 2015.

81

NUNES, C. H. F. Exploits e Ferramentas para sua Utilização. Faculdade de Tecnologia de

Ourinhos. 2011. Disponível em: <http://www.profissionaisti.com.br/wp-

content/uploads/2011/12/Exploit-e-ferramentas-para-sua-utiliza%C3%A7%C3%A3o.pdf>.


PEDROSA, Fábio. Introdução aos Exploits. Revista Programar. Disponível em:

<http://www.revista-programar.info/artigos/introducao-aos-exploits/>. Acesso em: 07 out.

2014.

PEIXOTO, Mario. Além do Phishing, Cuidado com o Pharming. Disponível em: <

http://webinsider.com.br/2010/07/07/alem-do-phishing-cuidado-com-o-pharming/>. Acesso

em: 23 set. 2014.

PEREIRA, E. D. V. et al. Forense Computacional: Fundamentos, Tecnologias e Desafios

Atuais. VII SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE

SISTEMAS COMPUTACIONAIS, 2007, Rio de Janeiro, 2007.

PINHEIRO, P. P. Direito Digital. 2ª. Ed. São Paulo: Editora Saraiva.

PRODANOV, Cleber Cristiano; FREITAS, Ernani Cesar. Metodologia do Trabalho

Cientifico: Métodos e Técnicas de Pesquisa e do Trabalho Acadêmico, 2 .ed. Rio Grande

do Sul: Editora Feevale, 2013.

QUEIROZ, Ruy J. Guerra B. de Queiroz. Forense Digital / Computacional. Centro de

Informática – UFPE. 2007. Disponível em:

<http://www.cin.ufpe.br/~ruy/crypto/seguranca/Forense_Computacional(UFPE).pdf>. Acesso

em: 27 ago. 2014

REIS, M. A. dos. Forense computacional e sua aplicação em segurança imunológica.

Campinas, SP: 2003. 241 p. Dissertação (Mestrado em Ciência da Computação) – Instituto de

Computação, Universidade Estadual de Campinas, 2003.

ROCHA. Rodrigo Caetano de Oliveira. Detecção em Tempo-Real de Ataques de Negação

de Serviço na Rede de Origem Usando um Classificador Bayesiano Simples. 2012.

Disponível em: <https://sites.google.com/site/rcorcs/technical-reports>. Acesso em 14 set.

2015.

RODRIGUES, William Costa. Metodologia Cientifica. FAETEC/IST, Paracambi, 2007.

Disponível em:

<http://professor.ucg.br/siteDocente/admin/arquivosUpload/3922/material/Willian%20Costa

%20Rodrigues_metodologia_cientifica.pdf>. Acesso em: 23 out. 2014.

82

ROMERO, Luiz Carlos; KACUTA, Luiz Yukishigue; DE OLIVEIRA, Viviane Luciana.

MP202 – Segurança da Informação. Tipos de Ataques. Campinas: Unicamp, 2003.

Disponível em:

<http://www.ic.unicamp.br/~rdahab/cursos/mp202/Welcome_files/trabalhos/Ataques/texto/Ti

pos_Ataque.pdf>. Acesso em: 16set. 2014

ROMERO, Fernando. APT – A Proteção é Difícil mas não Impossível. Disponível em:

<http://www.tiespecialistas.com.br/2012/11/apt-a-protecao-e-dificil-mas-nao-impossivel/>.


SAB, Gabriel. A. A; Rafael C. F; Rafael G. R. Negação de Serviço, Negação de Serviço

Distribuída e Botnets. UFRJ, 2013. Disponível em: <

http://www.gta.ufrj.br/grad/13_1/dos/ataques.html>. Acesso em: 16 abr. 2014.

SINGEL, Ryan. Saiba Como Funciona um Ataque Dia Zero. Disponível em:

<http://pcworld.com.br/reportagens/2007/04/02/idgnoticia.2007-04-02.7197682969/>. Acesso

em: 07 out. 2014.

SPECHT, S. M. Distributed denial of service: taxonomies of attacks, tools and

countermeasures. In: Proceedings of the International Workshop on Security in Parallel and

Distributed Systems, 2004. [S.l.: s.n.], 2004. p. 543–550.

SUN, C.: FAN, J.; LIU, B. A Robust Scheme to Detect SYN Flooding Attacks. In:

Communications and Networking in China, 2007. CHINACOM ’07. Second Internation

Conference on. Shanghai: IEEE, 2007. p. 397- 401.

TACIO, Paulo. Linux Forense em Português – Brasil. 2011. Disponível em:

<http://www.mundodoshackers.com.br/linux-forense-em-portugues-brasil>. Acesso em: 11

abr. 2015.

TOLEDO, Alex Sander de Oliveira; SOUZA, Robert. Perícia Forense Computacional:

Análise de Malware em Forense Computacional utilizando de Sistema Operacional

GNU/Linux. 2012. Disponível em: <http://blog.newtonpaiva.br/pos/wp-

content/uploads/2012/06/pdf-e5-ss28.pdf>. Acesso em: 21 nov. 2014.

TRENDMICRO. Como Identificar Sinais de um Ataque Direcionado. 2014. Disponível

em: <http://idgnow.com.br/ti-corporativa/2014/08/21/como-identificar-sinais-de-um-ataque-

direcionado/>. Acesso em: 10 out. 2014

U.S. Department of Justice. Electronic Crime Scene Investigation: A Guide for First

Responders, Second Edition. 2001. Disponivel em:

<http://www.ncjrs.gov/pdffiles1/nij/219941.pdf>. Acesso em: 28 out. 2014.

83

VACCA, J. R. Computer Forensics: Computer crime scene investigation, Second Edition.

Ed. Charles River Media, Hingham, 2005.

VARGAS, Raffael. Perícia Forense Computacional e Metodologias para Obtenção de

Evidências. 2007. Disponível em: <http://imasters.com.br/artigo/6225/gerencia-de-ti/pericia-

forense-computacional-e-metodologias-para-obtencao-de-evidenvias/>. Acesso em: 23 set.

2014.

YIN, Robert K. Case Study Research: design and methods. Traduzido por: Ricardo L. P.

Adaptado por: Gilberto de A. M. Disponível em

<http://www.eac.fea.usp.br/eac/observatorio/metodologia-estudo-caso.asp>. Acesso em: 27

out. 2014.

84

APÊNDICE – CRONOGRAMA

Etapas

Agosto Setembro Outubro Novembro

Correções

Solicitadas

Desenvolvimento

do modelo

forense “para

análise de

ataques

direcionados”.

Estudo de Caso

Avaliação dos

Resultados

aplicados no

estudo de caso

Conclusões

Finais

Elaboração da

Apresentação

Defesa do

Trabalho

Documents

Modelo de Tese - TI Forense€¦ · RESUMO A forense computacional é a ciência que compreende a aquisição, prevenção, recuperação e análise de evidências computacionais,