RNP - Rede Nacional de Ensino e Pesquisa

english | español


 

 

Sobre a RNP | Parcerias | Contato

 

Rede RNP | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > RNP na mídia > 2005

RNP na Mídia 
 

Forense em Windows: características, ferramentas e desafios


Módulo Security Magazine

Luis Fernando Rocha

19.07.2005


Na aventura policial "Um Estudo em Vermelho (A Study in Scarlet)", do escritor Arthur Conan Doyle, ao se deparar pela primeira vez com uma possível prova, o detetive Sherlock Holmes filosofa com seu fiel companheiro Watson: "é um erro capital teorizar antes de ter todas as evidências, pois isso influencia no julgamento".

O pensamento do detetive (fictício) mais famoso do mundo serve como uma boa lição para os profissionais de Segurança da Informação que se deparam com a tarefa de executar investigações de incidentes. Conhecida como perícia forense computacional, tal ciência é fundamental na recuperação de evidências que ajudem a resolver casos envolvendo ambientes eletrônicos.

"A posterior análise destas evidências irá permitir desde a criação de novos e melhores procedimentos de segurança para prevenir ou minimizar tais incidentes até a identificação e responsabilização dos envolvidos", afirma Walter Hannemann, diretor da Ciashop Soluções para Comércio Eletrônico.

"Isto quer dizer também que alguma informação pode surgir sobre possível intervenção humana no processo, ou se o problema está relacionado a falhas em equipamentos ou programas. A conseqüência imediata é sua utilidade em processos judiciais, pois mesmo não suprimindo os exames conduzidos por peritos oficiais, pode ser aproveitada em diversas situações", acrescenta André Caricatti, coordenador geral do CTIR Gov (Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal).

Importância da forense para os CSIRTs

Para se ter uma idéia da importância de tais processos, a realização de uma análise forense agrega uma série de resultados para os grupos de resposta a incidentes de segurança (CSIRT). "Durante estes processos são identificadas novas ferramentas hackers, métodos de ataque e de ocultação, controle e abuso do sistema comprometido, sem falar no aprendizado ao estudar o modus-operandi do atacante", explica Jacomo Piccolini, analista de segurança sênior do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP).

Mas os benefícios não param por aí. "É comum, após a realização desses processos, que os resultados sejam incorporados nas atividades diárias dos grupos. Posso citar como exemplo a geração de um boletim de alerta informando os administradores que tal sistema está sendo comprometido através da exploração da nova ferramenta X e que esta deixa determinadas evidências em um sistema. Outro resultado é que a coleta de informações permite correlacionar incidentes que estão ocorrendo e a publicação de ferramentas, exploits e a divulgação de vulnerabilidades", complementa.

O papel da forense no tratamento de incidentes

De início, o profissional de Segurança da Informação precisa ter em mente que a análise forense é a segunda etapa no tratamento de incidentes. "É uma atividade posterior, que ocorre sempre em razão do recebimento de uma notificação de incidente de segurança ou em função de alertas gerados por mecanismos de detecção como, por exemplo, um IDS. No entanto, sua realização é uma atividade extremamente custosa, principalmente em razão do tempo necessário para a análise. Vale a pena ressaltar que a sua realização deve ser amparada por instrumentos legais", revela Jacomo.

Neste ponto, um detalhe fundamental são os procedimentos adotados pelo analista, que evitam a ocorrência de erros que comprometam o trabalho. "Ou seja, estamos falando da necessidade de existirem procedimentos para as diversas etapas da atividade e que estes procedimentos já tenham sido validados tecnicamente e juridicamente. Durante uma análise não é recomendável necessitar tomar decisões técnicas. A atividade deve estar sempre embasada em procedimentos", orienta.

Assim, o processo da análise forense pode acontecer de duas formas: a "educacional", realizada somente com fins de coletar informações relacionadas com a atividade maliciosa sem que se busquem ações legais, e a conhecida como "pericial", utilizada no ambiente judicial e policial.

Em ambas, o analista terá os subsídios para traçar as características das ações realizadas por invasores. "De uma forma geral, estas atividades estão ligadas ao comprometimento de sistema, instalação de ferramentas, remoção de evidências e manutenção do controle sobre o sistema comprometido. Tanto os métodos utilizados como os sistemas alvo dos ataques mudam constantemente, da mesma forma que um processo de comprometimento de um sistema Linux possui diferenças quando comparado a de um sistema Windows. É aqui que a atividade de análise forense 'educacional' mostra seu valor, pois permite o acesso a informações vitais para os grupos de segurança", diz.

A experiência de casos já tratados pelo CAIS/RNP serve como um bom exemplo desse cenário. "Há algum tempo, nosso grupo foi contatado sobre um ataque de negação de serviço (DDoS) que estava sendo realizado contra uma grande empresa de Internet. Na época, fomos o único grupo que conseguiu realizar uma análise forense em um sistema que foi utilizado no ataque, em que foi recuperada a ferramenta hacker. A análise desta ferramenta permitiu mitigar o ataque que estava acontecendo", cita.

Características e desafios na forense em sistemas Windows

Como salientado anteriormente, os ataques cujo alvo sejam sistemas Windows diferem dos ataques voltados contra sistemas Linux. Dessa forma, o processo de forense em ambientes Windows apresentará algumas particularidades. A primeira é não negligenciar o processo de custódia legal. "Esta etapa refere-se aos controles relacionados com a manutenção segura e controlada de todas as informações e equipamentos coletados", explica Jacomo.

Outra característica envolve a coleta das informações. Segundo o especialista, a experiência do CAIS tem mostrado que, em plataformas Windows, a preferência é que o sistema ainda esteja vivo (com a energia ligada, processos executando, disco sendo acessado, tráfego na rede e conteúdo na tela).

"Entre as informações mais interessantes nesta etapa, temos o conteúdo da memória, que pode ser utilizada para mostrar que um determinado programa foi executado ou que uma informação específica foi acessada. A única oportunidade de coletar estas informações é antes de desligar o sistema. Mais uma vez este procedimento somente é válido se sua política e procedimentos indicarem que um sistema comprometido deve ser mantido ligado até a coleta das informações", orienta.

A terceira particularidade relaciona-se com o aumento da capacidade de armazenamento disponível nas estações de trabalho. "É muito comum encontrar computadores pessoais com discos de 120 gigas, sendo que já existem no mercado discos de 500 gigas. Se for necessária a preservação de uma imagem do disco rígido, o desafio atual é conseguir espaço de armazenamento. Uma coisa é gerar uma imagem de um disco de 80 gigas e armazená-la, mas isto se torna um problema muito sério quando o número de máquinas é 40", relata Jacomo.

É preciso observar também outras questões existentes em ambientes Windows. "O sistema de arquivos NTFS é bastante sofisticado, com suas listas de controle de acesso que permitem individualizar atividades executadas. Detalhes como as datas de exclusão de objetos podem ser bastante úteis. Ainda sobre arquivos, o suporte nativo a encriptação de dados pode representar uma enorme barreira em alguns casos", alerta André Caricatti, do CTIR Gov.

O especialista destaca que estruturas de dados próprias no sistema, em particular o "REGISTRY", merecem estudo aprofundado. "Os registros de atividades (logs) são codificados no armazenamento, ao contrário do que acontece na maioria dos registros em ambientes UNIX. Embora isto represente economia de espaço em disco num primeiro momento, as buscas em exames forenses são uma constante que se tornam bem mais complexas", completa.

Por último, Jacomo, do CAIS/RNP, lembra que é preciso ficar atento ao crescimento da utilização de rootkits nestes ambientes. "Tradicionalmente, os rootkits, ferramentas que permitem ocultar a presença de um invasor são sempre associados ao ambiente Unix. No entanto, da mesma forma que existem rootkits de Unix, existem os de Windows, e o seu uso está aumentando, o que tem exigido que os profissionais da área de Windows se eduquem sobre as tecnologias rootkit", alerta.

Ferramentas forenses

Sobre as ferramentas disponíveis para realização de uma forense em Windows, o especialista do CAIS diz que existe uma variedade de ferramentas: muitas gratuitas, outras comerciais e algumas de uso exclusivo e que não são disponibilizadas.

"

A recomendação do nosso grupo é que seja utilizado um pacote de ferramentas, composto por ferramentas gratuitas e que foram desenvolvidas exclusivamente para o ambiente Windows e ferramentas gratuitas que foram portadas do ambiente Unix para o Windows. A utilização de aplicativos Unix portados para Windows é muito interessante, pois permite que um analista forense que tem sólidos conhecimentos nas ferramentas Unix as utilize no ambiente Windows. Outro ponto favorável é que estas ferramentas já foram testadas e avaliadas e são consideradas como confiáveis para a realização do trabalho", relata.

O que devo aprender?

Mas nem só de desafios e ferramentas vive um processo de análise forense. Para que o trabalho seja bem feito, é fundamental que o profissional se mantenha em dia sobre os aspectos que envolvem a aplicação de tal ciência.

"Como princípios técnicos podemos indicar um vasto conhecimento de sistemas operacionais e aplicativos, bom conhecimento de aspectos operacionais de sistemas de informação nas empresas, domínio de tecnologias de rede e internet e, acima de tudo, conhecimento dos procedimentos corretos de levantamento e preservação das evidências. Se as evidências não forem corretamente preservadas e manipuladas durante a análise, elas podem perder o valor jurídico", alerta Hannemann.

Já o perito criminal federal Jorilson Rodrigues aponta outras características fundamentais. "O profissional deve ser objetivo, célere, ter capacidade de sintetizar em alguns parágrafos o resultado das análises que realizou, redigindo de maneira clara e direcionada para público leigo em informática. Deve ser sempre imparcial, relatando os seus achados de maneira específica. Nunca especular sobre elementos que não sejam materiais e não encontrados nos equipamentos recebidos para análise", completa.

Para que isso aconteça, a dica é buscar treinamento e formação técnica específica. "Porém, tão importante quanto isto, é que o profissional possua um padrão ético que lhe permita ter acesso a informações sigilosas e/ou confidenciais", finaliza Jacomo.

fonte: http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=3999

Índices de notícias na mídia:
2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em noticias

 

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

22.09.2009

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731