FORENSE

COMPUTACIONAL
Análise em detecção
de intrusão
Juliane Adelia Soares

OBJETIVOS DE APRENDIZAGEM

> Explicar os itens que podem ser periciados e suas peculiaridades.

> Descrever a metodologia e as ferramentas para realizar os exames na
internet.
> Explicar a análise dos vestígios.

Introdução
Uma certeza que temos atualmente é que a tecnologia veio para ficar. A cada
dia surgem novos avanços, e a sociedade torna-se cada vez mais dependente
de dispositivos e sistemas informatizados. A tecnologia envolve praticamente
todas as áreas da vida, como pessoais, organizacionais, da saúde e da edu-
cação, por exemplo. Entretanto, a tecnologia avança de maneira igual para os
cibercriminosos, que criam novos tipos de ataques frequentemente, visando a
explorar vulnerabilidades de redes, sistemas, dispositivos móveis e da nuvem
para a realização de fraudes e roubos de informações.
Diante desse cenário, dispositivos de segurança de redes são indispensáveis
na tentativa de mitigação de cibercrimes, sendo os sistemas de detecção de
intrusão um dos mais utilizados. Mesmo com uma segurança de redes bem
estruturada, é possível que ocorram invasões, principalmente porque surgem
inúmeros novos ataques diariamente, sendo necessário acionar a forense
computacional para desvendar os crimes cometidos.
2 Análise em detecção de intrusão

Neste capítulo, você vai aprender sobre a análise forense em detecção

de intrusão. Também vai conhecer os principais itens em que as perícias são
realizáveis, respeitando as peculiaridades de cada um deles. Você também vai
entender as metodologias e ferramentas existentes utilizadas para o exame
das evidências, bem como para a análise de vestígios.

Detecção de intrusão: crimes e definições

O número de crimes digitais atualmente é alarmante. Dessa forma, tornam
as perícias de invasão uma necessidade. Isso porque, quando um sistema
de computador é violado e uma invasão é detectada, a investigação forense
deve ser realizada para identificar os responsáveis por realizar esses ataques.
Uma intrusão de computador pode ser definida como qualquer evento
realizado, intencionalmente, em que um invasor consegue acesso a computa-
dor, redes ou dados, comprometendo a sua confidencialidade, integridade ou
disponibilidade. Os danos causados podem variar de acordo com as intenções
do invasor. Por isso, mesmo que não existam métodos completamente eficazes
contra esses ataques, é fundamental investir na segurança da rede, utilizando
ferramentas de software e hardware, para mitigar as intrusões. Os sistemas
de detecção de intrusão (IDS — Intrusion Detection Systems) são alguns dos
métodos de proteção que podem ser utilizados (KUMAR; HANUMANTHAPPA;
KUMAR, 2011).
Antes de abordar os IDSs, trataremos dos tipos de intrusos e crimes ci-
bernéticos. Os intrusos, geralmente conhecidos como hackers ou crackers,
de acordo com Stallings e Brown (2014), podem ser divididos em três classes,
conforme a seguir.

1. Impostor: indivíduo não autorizado que penetra o sistema, burlando seu

controle de acesso para exploração da conta de um usuário legítimo.
2. Malfeitor: usuário legítimo que realiza acessos a dados, programas
ou recursos para os quais tem permissão ou utiliza seus privilégios
de forma maliciosa.
3. Usuário clandestino: indivíduo que se apodera do controle de super-
visão de sistemas, usando-o para fugir de auditorias e controles de
acesso ou, então, para suprimir coleta de dados de auditorias.
 Análise em detecção de intrusão 3

Para Stallings e Brown (2014), técnicas e padrões de comportamento de

intrusos mudam constantemente, de modo que seja possível explorar novas
fraquezas, escapando de detecção e contramedidas, conseguindo executar os
diferentes crimes existentes. Nesse sentido, Al-Khater et al. (2020) descreve
os crimes cibernéticos conforme a seguir.

„ Terrorismo cibernético: esse tipo de crime é uma ação ilegal, envolvendo

violência contra pessoas e propriedades. O terrorismo cibernético pode
espalhar medo, ansiedade e violência entre as pessoas ou sabotar
e destruir propriedades como computadores e redes. A ocorrência
desse crime também pode afetar a disponibilidade e a integridade de
informações.
„ Espionagem cibernética: a espionagem é qualquer ação que envolva
espiões e roubo de informações importantes e confidenciais para
benefício de empresas rivais ou governos estrangeiros. Essa espiona-
gem é realizada por meio de computadores e os atacantes invadem os
dispositivos digitais das vítimas.
„ Phishing: esse é um dos ataques mais populares e tem conexão direta
com o usuário final. O invasor cria formas de tentar enganar a vítima
para que ela lhe forneça dados confidenciais. É uma combinação de
técnicas de falsificação e engenharia social. O atacante geralmente
envia um e-mail para a vítima, com links de sites falsos para que sejam
acessados e realizados cadastros ou download de algum arquivo.
„ Ataque de negação de serviço: os ataques de negação de serviço (DoS
— Denial Of Service) são uma grande ameaça, pois, nesse caso, o invasor
é capaz de comprometer a disponibilidade dos serviços. Um ataque de
DoS também pode ser DDoS (Distributed Denial of Service).

Na Figura 1, veja como funciona um ataque DDoS, em que o atacante tem

acesso a vários canais em uma rede, transformando os dispositivos “vítima”
em “mestres” e “escravizando” várias outras máquinas (“zumbis”), o que faz
com que todas elas acessem ao mesmo tempo e de maneira ininterrupta um
recurso em um servidor, de modo a sobrecarregá-lo.
4 Análise em detecção de intrusão

Atacante

Mestres

Zumbis

Vítima

Figura 1. Ataque DDoS.

Esses ataques podem ocorrer por meio dos métodos descritos a seguir.

„ Ataque de inundação ICMP (Internet Control Message Protocol) ou

ataque de smurf: O ICMP é um protocolo sem conexão, que é utilizado
para diagnóstico de redes e identificação de erros. O atacante enca-
minha um grande número de mensagens ICMP ao servidor-alvo, que,
consequentemente, lida e processa cada mensagem até que fique
sobrecarregado e trave, causando indisponibilidade de serviços.
„ Ataque de inundação SYN (Synchronize): quando um cliente inicia
uma negociação para conexão TCP (Transmission Control Protocol)
com o servidor, ele envia um pacote com uma flag “SYN” para uma
porta de destino, se o servidor responder com a flag “SYN+ACK”
(Acknowledgment) ativada, significa que a porta está aberta. Então,
para sobrecarregar o servidor, o invasor envia pacotes de solicitação
SYN repetidamente, de modo que o servidor atingido não consiga mais
responder aos usuários legítimos.
„ Ataque Teardrop: o atacante sobrecarrega o sistema-vítima de pacotes
desorganizados e sobrepostos. O sistema-vítima divide as mensagens
em pacotes organizados, porém o invasor manipula para que os pa-
cotes sejam superdimensionados, fazendo com que o sistema-vítima
fique sobrecarregado, tentando remontar os pacotes manipulados e
 Análise em detecção de intrusão 5

sobrepostos, até que o sistema trave e não consiga mais responder

aos usuários legítimos.
„ Ataque de injeção SQL: nesse tipo de ataque, o invasor consegue com-
prometer os bancos de dados dos servidores por meio de consultas
SQL. O invasor pode olhar o banco de dados e recuperar seu conteúdo
antes de tomar ações como alterar ou excluir os dados.

Uma das maiores ameaças à segurança são os malwares, que são códigos
maliciosos (p. ex., vírus), geralmente utilizados como intermediários para
execução dos crimes cibernéticos, ou seja, para a prática de golpes, realização
de ataques e disseminação de spam. Os malwares mais sofisticados têm a
capacidade de identificar o sistema operacional da vítima e implantar um
programa malicioso específico. Para isso, os desenvolvedores desses códigos
elaboram mecanismos para que não deixem vestígios, ou que sejam muito
similares aos das atividades legítimas nos sistemas e redes (BRASIL, 2012).
Para evitar que os crimes citados acima sejam consolidados, podem ser
utilizados os IDSs, em conjunto com o uso de firewalls e IPS (Intrusion Pre-
vention System) para uma segurança mais bem estruturada. Os sistemas
de detecção de intrusões, de acordo com Velho (2016), são dispositivos de
hardware, software ou uma combinação de ambos e são responsáveis por
monitorar atividades relacionadas à rede, bem como por buscar atividades
não autorizadas ou violações de política de segurança em organizações. Esses
dispositivos monitoram os pacotes de rede que entram no sistema e verifica
se há atividades maliciosas envolvidas, caso encontre, ele gera registros das
informações e alerta os administradores de segurança.
Nesse contexto, um modelo chamado CIDF (Common Intrusion Detection
Framework) foi criado com o intuito de especificar o conjunto de ferramentas
que definem um IDS, que, segundo Velho (2016), são: gerador de eventos
(E-boxes); criador de eventos, partindo do monitoramento do ambiente;
analisador de eventos (A-boxes); recebe as informações, analisa e envia os
resultados da análise para outros componentes; base de dados de eventos
(D-boxes); armazena eventos e resultados processados; unidade de resposta
(R-boxes); e realiza ações como finalizar processo, reiniciar conexão e realizar
notificações.
Esse modelo foi proposto devido à grande quantidade existente de fer-
ramentas IDS, então, foi determinado esse conjunto de componentes para
estabelecer um padrão. Existem dois tipos de detecções referentes à meto-
dologia: baseados em padrões e em assinaturas. As detecções baseadas em
padrões monitoram o tráfego de rede, comparando com um padrão esperado
6 Análise em detecção de intrusão

de comportamento, levando em consideração a banda que normalmente

é utilizada, os protocolos, as portas e as conexões mais comuns entre os
dispositivos. Caso seja detectada alguma atividade fora do padrão, o IDS
emite um alerta.
Nas detecções baseadas em assinaturas, os pacotes de rede são moni-
torados e comparados com assinaturas ou atributos de ameaças maliciosas
conhecidas, utilizando como base um banco de dados que reconhece as
assinaturas de vulnerabilidades já identificadas anteriormente. Devido a isso,
é fundamental que a estrutura do IDS tenha política de atualização contínua
do banco de dados de vulnerabilidades (VELHO, 2016).
Ainda conforme Velho (2016), sistemas de detecção de intrusões atuam de
duas formas: IDS baseado em host (HIDS — Host-based Intrusion Detection
Systems), atuantes em máquinas individuais ou dispositivos conectados à rede,
de modo a monitorar os pacotes que entram e saem e comportamentos da
máquina em questão, emitindo alertas ou tomando contramedidas reativas
em casos de atividades invasivas; e IDS baseado em rede (NIDS — Network
Intrusion Detection Systems), posicionados na rede de computadores para
monitorar o tráfego como um todo e, se identificado um ataque ou compor-
tamento anormal, um alerta é emitido para o administrador da rede ou são
tomadas contramedidas reativas.
Enfim, o objetivo da detecção de intrusão é identificar em tempo real usos
não autorizados ou indevidos dos sistemas de computadores por penetrações
externas ou vindas de usuários internos. Porém, além disso, visando a apli-
cação forense, eles servem para obter evidências suficientes para rastrear
um crime e chegar até o criminoso responsável (KUMAR; HANUMANTHAPPA;
KUMAR, 2011).

Detecção de intrusão: metodologias e

ferramentas
Em um mundo altamente conectado, explorar vulnerabilidades para invadir
sistemas, redes, dispositivos móveis e até mesmo ambientes em nuvem é uma
prática crescente e preocupante. Se por um lado esse tipo de conectividade
cria um ambiente de compartilhamento de informações em uma velocidade
cada vez maior, por outro também traz novos problemas e desafios. A seguir,
veja como Velho (2016) apresenta as vulnerabilidades desses sistemas e dis-
positivos, além das metodologias e ferramentas utilizadas no exame forense
das evidências encontradas.
 Análise em detecção de intrusão 7

Máquinas individuais
Os sistemas de detecção em máquinas individuais são os chamados HIDS
(Host Intrusion Detection System), que são instalados diretamente nas esta-
ções de trabalho ou em servidores, com o intuito de realizar análise local de
ameaças, tendo soluções para diferentes tipos de arquiteturas e sistemas
operacionais. Além das detecções externas, ele também detecta acessos
indevidos de usuários internos, por meio de atividades suspeitas que envolvem
falhas de autenticação, tentativas de alterações em processos e programas
em execução, privilégios de usuários modificados, acessos não autorizados
a arquivos, análise de logs e eventos.
Os HIDS são capazes de realizar análise de hash (algoritmo de mapeamento
de dados grandes, com tamanho variável para dados menores e com tamanho
fixo) e timestamps (rótulo de tempo; sequência de caracteres que registram o
momento exato em que ocorreu um evento) de arquivos, registros de sistemas
e monitorar tráfegos de interface de rede. Dessa forma, eles conseguem
detectar códigos maliciosos e ataques responsáveis por causar problemas de
integridade nos aplicativos. Além disso, eles atuam nas pontas, antes que o
tráfego de rede seja criptografado, ou após a chegada e descriptografia dos
pacotes no host de destino.
A ferramenta OSSEC (Open Source Security) é um HIDS de código livre,
escalável e multiplataforma. A OSSEC é capaz de realizar análises de logs,
verificar integridade de arquivos, monitorar regras aplicadas, notificar por
e-mail e responder aos incidentes automaticamente. Outra ferramenta que
pode ser citada é a Tripware, que também é de código livre e monitora o sis-
tema de arquivos, alertando sobre ocorrências de alterações. As informações
dos arquivos passam por uma função de hashing e são armazenadas em uma
base de dados para varreduras posteriores.
As informações identificadas e armazenadas por essas ferramentas servem
para possíveis exames forenses, caso necessário, auxiliando a identificar as
alterações realizadas sem autorização no equipamento em questão.

Redes de computadores
Para detecção de intrusão em redes de computadores, são utilizados os
NIDS (Network-Based Intrusion Detection System), que detectam atividades
maliciosas a partir da verificação de conteúdo dos pacotes que trafegam pela
rede buscando por padrões. Os exames forenses em redes de computadores
manipulam informações dinâmicas e voláteis, podendo ocorrer em tempo real
8 Análise em detecção de intrusão

ou após ocorrer um evento. Para análises em tempo real, são necessárias

técnicas proativas, pois, após a transmissão, os fluxos de informação ficam
indisponíveis. Dessa forma, os NIDS monitoram o tráfego buscando anomalias
que determinam se um evento está causando ou poderá causar um ataque.
Caso realmente ocorra um ataque, ferramentas forenses devem fornecer
condições ao perito de indicar sua origem, além de capturar, analisar e ar-
mazenar evidências. Enquanto isso, os exames que ocorrem após o evento
podem ser afetados caso o atacante consiga excluir os logs do equipamento
que está sendo examinado.
Com o aumento de dispositivos móveis adicionados às redes e o surgimento
de novos métodos de comunicação, também surgem novas vulnerabilidades,
tornando os exames em redes de computadores complexos e exigindo que
os examinadores se atualizam constantemente sobre técnicas e ferramentas
utilizadas para ataques, principalmente porque, geralmente, as ferramentas
disponíveis podem ser utilizadas tanto por examinadores quanto por atacantes
para realizar os crimes.
Os sistemas forenses devem utilizar uma combinação de detecção de
intrusão com coleta de evidências e análise de logs, para que possam ocorrer
alterações automáticas nas regras de acesso à rede, de modo que realizem
bloqueios e as informações coletadas possam ser analisadas para desvendar
a origem e as causas do ataque e intrusão. Sendo assim, um exame forense de
detecção de intrusão em redes de computadores deve responder às seguintes
questões: quem realizou a entrada ou a transferência de dados? Quais equi-
pamentos e serviços foram envolvidos? Qual é a natureza da intrusão? Quais
as partes da infraestrutura foram afetadas? A intrusão foi possível devido a
limitações e fraquezas dos processos de segurança da rede?
Ferramentas como a NIDS é possível citar a SNORT (Network Intrusion
Detection & Prevention System), de código livre e que realiza a análise do
tráfego em tempo real. Essa ferramenta tem um subsistema de assinaturas
de ataques em uma base de dados e funciona correlacionando a análise do
tráfego da rede com os padrões de conteúdo.
A ACID (Analysis Console for Intrusion Database) é outra ferramenta que
pode ser citada. Ela é desenvolvida em linguagem PHP e gerencia alertas,
separando-os em grupos, por meio da exclusão de falso positivo, exportação
de dados porá envio via e-mail ou transferência para outras bases. A ACID
também é capaz de gerar gráficos e estatísticas com base nos sensores de
detecção, tempo, assinatura, protocolos, endereços IP, etc.
 Análise em detecção de intrusão 9

Para simular falhas de segurança de maneira proposital, com o in-

tuito de obter informações sobre invasores, podem ser utilizados
os honeypots (potes de mel). Os honeypots expõe vulnerabilidades conhecidas
para tentar atrair invasores e, durante a invasão, catalogar suas atividades,
descobrindo as suas ações e técnicas adotadas.
Para que isso seja possível, podem ser criadas regras de firewall que redi-
recionem o tráfego para um honeypot, como se fosse um servidor real, sendo
necessário criar um ambiente com arquivos, contas de usuários e configurações
adicionais, de modo que o atacante realmente acredite que invadiu o seu alvo.
As informações adquiridas sobre as invasões podem ser transformadas em
conhecimentos para melhorar a segurança de redes (VELHO, 2016).

Dispositivos móveis
Dispositivos móveis, como smartphones e tablets, tornaram-se muito popu-
lares, principalmente pela facilidade que eles trazem para o dia a dia. Com o
desenvolvimento de redes móveis e wireless, por meio desses dispositivos
é possível ter acesso a inúmeros recursos e informações pessoais e profis-
sionais em qualquer lugar e a todo momento, como acesso a aplicativos de
bancos, além das facilidades na comunicação por meio de redes sociais como
WhatsApp, Facebook, Instagram, entre outros.
No entanto, todo bônus acaba tendo um ônus. Com a simplicidade de
acesso à internet, os dispositivos móveis são extremamente vulneráveis,
apresentando consideráveis riscos para a prática de atividades maliciosas
e para disparar ataques.
Apesar de toda a evolução existente referente a esses dispositivos, sua
capacidade de memória e processamento ainda é muito limitada, se compa-
rado a microcomputadores, tornando praticamente impossível a instalação
de ferramentas de segurança como firewall, antivírus e sistema de detecção
de intrusão. Dessa forma, a conscientização dos usuários é algo de extrema
importância para que se protejam das diversas formas de ataque existentes.
As invasões podem ocorrer por meio de links enviados para os usuários por
meio de SMS, softwares de mensagens instantâneas e por e-mail. Por esses
meios mensagens com falsas informações publicitárias, ou oferecimento
de benefícios, iludem e induzem o usuário a acessar links que geralmente
instalam aplicativos maliciosos, dando acesso aos dispositivos para os in-
vasores. Os invasores utilizam esse acesso para executar diversas ações
não autorizadas, como envio de mensagens, realizar ataques de negação de
serviços, entre outros.
10 Análise em detecção de intrusão

Como exemplo de ataque de negação de serviço via SMS, Velho (2016)

cita o malware do tipo “Trojan SMS.AndroidOS.FakePlayer”. Esse
malware se aproveitava de vulnerabilidades no processamento de mensagens
SMS e se passava por um media player com conteúdo pornográfico. Assim
que instalado, ele enviava mensagens, realizando a inscrição do número do
dispositivo afetado em serviços de SMS tarifados.

Os ataques a smartphones têm aumentado consideravelmente. Isso porque

os usuários armazenam neles uma maior quantidade de informações pessoais
a cada dia. Com a autenticação automática em serviços de e-mail e redes
sociais, por exemplo, apesar de facilitar muito para o usuário não precisar
digitar credenciais a cada acesso, por exemplo, isso também facilita muito
para invasores que estão buscando informações.
Posto isto, existem alguns procedimentos que podem ser utilizados na
análise de detecção de usuários nesses dispositivos. Assim, devem ser bus-
cados vestígios para a comprovação da existência de aplicativos maliciosos
e que tenha enviado informações confidenciais. O primeiro passo proposto
é verificar as mensagens SMS enviadas e recebidas. No entanto, podem ser
necessários exames mais elaborados, analisando arquivos de configurações
de aplicativos, arquivos de logs e bases de dados, além de funções de cache
que a API (Application Programming Interface) do sistema operacional do
dispositivo disponibiliza. Uma análise detalhada deve ser feita no conteúdo
armazenado nesses arquivos, pois neles podem ser encontradas informações
relevantes para a resolução do caso em questão.
Para a análise da base de dados podem ser utilizadas ferramentas como:
SQLite Expert Personal e SQLite Database Browser.

Nuvem
Com o aumento de serviços compartilhados e informações armazenadas, tanto
por pessoas como por empresas, a cloud computing (computação em nuvem)
tem crescido rapidamente, exigindo uma segurança bem estruturada, pois um
servidor na nuvem é um grande atrativo para os invasores. A preocupação com
a segurança na nuvem deve envolver todos os níveis: host, rede e aplicação.
Apesar da maior parte dos ataques que são realizados na computação em
nuvem serem conhecidos e utilizados contra arquiteturas cliente-servidor,
 Análise em detecção de intrusão 11

a tendência é que seja muito mais complexo, pois envolve um enorme volume
de dados e aplicações.
Roshke, Cheng e Meinel (2009) recomendaram uma solução integrada de
IDS, em que cada camada da nuvem teria sensores responsáveis por emitir
alertas sempre que fossem detectados códigos maliciosos, que seriam en-
viados para uma base dados integrada, de modo que a nuvem como um todo
fosse protegida. Em 2011, Chen et al. recomendaram um processo de filtragem
e categorização dos pacotes que eram destinados à nuvem, dividindo-os em
dois grupos: pacotes legítimos e pacotes de ataques. O método de distinção
entre as duas categorias era um padrão de correlação entre confiança e grau de
confiança dos pacotes, em que a confiança se refere à frequência de atributos
definidos para o fluxo de pacotes e o grau de confiança a média ponderada
de confiança, dessa forma, os pacotes eram considerados legítimos quando
o grau de confiança estivesse acima do de descarte.
É importante destacar que, na nuvem, a eficácia das soluções adotadas
depende do modelo: no modelo SaaS (Software as a Service), a responsabili-
dade maior é do provedor; no PaaS (Platform as a Service), o provedor também
é responsável por implantar a IDS, no entanto, os usuários devem configurar
os aplicativos para registrar logs e alertas; o modelo IaaS (Infrastructure as a
Service) é mais flexível, sendo possível ao usuário implantar a ferramenta de
IDS que julgar necessária. Para o modelo IaaS existem algumas possibilidades
de detecção de intrusão:

„ IDS na máquina virtual, para monitoramento de atividades, detecção

e alertas;
„ IDS no hypervisor (monitor de máquina virtual), monitorando o tráfego
de dados entre ele e a máquina virtual;
„ IDS na rede virtual entre as máquinas virtuais do ambiente, para mo-
nitoramento do tráfego entre elas;
„ NIDS tradicional, responsável por monitorar o tráfego da infraestrutura
de rede como um todo.

Na próxima seção, serão abordadas as coletas e análises de vestígios.

Detecção de intrusão: coleta e análise

Para verificar possíveis invasões em computadores ou dispositivos conectados
à rede, os investigadores terão que analisar grandes quantidades de dados de
registro do sistema e da rede. Com uma análise simples, é possível examinar
12 Análise em detecção de intrusão

os registros de eventos e, com análises mais sofisticadas, examina-se os

registros de uma grande quantidade de registros de eventos. Essa análise
é executada para confirmar ou negar a ocorrência de atividades suspeitas,
ou seja, tentativas bem-sucedidas ou não de uso ilegal de um sistema ou que
pode facilitar o uso ilegal. Independentemente do caso, o objetivo do perito
é analisar os vestígios para determinar quem, o que, quando e onde as ativi-
dades suspeitas foram executadas (KUMAR; HANUMANTHAPPA; KUMAR, 2011).
As investigações de intrusões devem ter início nos fatos iniciais que pos-
sibilitaram o ataque, o que torna fundamental coletar esses fatos de maneira
correta. Além disso, devem ser reunidas informações adicionais sobre os fatos
para que se possa construir um contexto. Para evitar falta de padrão e erros
na hora de coletar essas informações, é importante a utilização de checklists.
Velho (2016) apresenta algumas sugestões de checklists (Quadros 1 e 2) que
podem ser seguidas na coleta inicial dos fatos, as quais devem ser adaptadas
de acordo com o caso analisado ou com o que o perito julgar necessário.
O Quadro 1 mostra a sugestão de checklist para resumo e detecção do
incidente, cujo propósito é o registro das informações de alto nível da intrusão
e a checklist de detecção é utilizada para detalhar o incidente e os sistemas
de detecção.

Quadro 1. Checklist de resumo e detecção do incidente

Resumo do incidente

„ Data e hora, incluindo o fuso „ Recursos afetados.

horário, que a intrusão foi „ Como o incidente foi detectado.
relatada. „ Identificação unívoca e localização
„ Data e hora, incluindo o fuso dos computadores afetados.
horário, que a intrusão foi „ Lista de pessoas que acessaram os
detectada (em geral se dá sistemas comprometidos desde a
anteriormente ao relato). detecção.
„ Informações de contato da pessoa „ Lista de pessoas cientes do
que relatou o incidente. incidente.
„ Informações de contato da pessoa „ Se a intrusão ainda está em
que detectou o incidente. andamento.
„ Natureza da intrusão (acesso não
autorizado, roubo de dados, etc.).
(Continua)
 Análise em detecção de intrusão 13

(Continuação)

Detecção do incidente

„ A detecção se deu de forma „ As fontes de dados envolvidas

automática ou manual? estão sendo preservadas?
„ Que informação foi dada na „ Há quanto tempo os sistemas de
detecção inicial? detecção estão em operação e
„ Quais fontes de dados quem é o responsável por eles?
contribuíram para detecção? „ Qual é a taxa de erros de detecção?
„ A fonte de informação de detecção „ Houve alguma mudança recente
foi validada? É confiável? nas fontes de dados? Alterações e
atualizações recentes podem gerar
alarmes falsos.

Fonte: Adaptado de Velho (2016).

O Quadro 2 mostra a sugestão de checklist para os detalhes adicionais,

ou seja, informações iniciais sobre sistemas individuais, rede e possíveis
malwares envolvidos, para elaborar o contexto da intrusão. Adicionalmente às
checklists, quando se investiga intrusões, é indispensável que se construa uma
linha do tempo, contendo todos os eventos catalogados cronologicamente,
mantendo a informação organizada e auxiliando na formação do contexto,
de modo a identificar inconsistências (VELHO, 2016).

Quadro 2. Checklist de detalhes adicionais

Detalhes de sistemas individuais

„ Localização física. „ Nome e domínio do host.

„ Numeração de patrimônio. „ Informações críticas armazenadas
„ Versão. no sistema.
„ Sistema operacional. „ Se existem backups para o sistema.
„ Função precípua do sistema. „ Se o sistema ainda está conectado
„ Administrador e usuários do à rede.
sistema. „ Lista de malwares detectados com
„ IPs relacionados. data.
„ Lista de medidas tomadas em
caso de detecções decorridas de
malwares.
„ Se algum dado foi preservado, qual
foi o processo utilizado e onde
está armazenado.

(Continua)
14 Análise em detecção de intrusão

(Continuação)

Detalhes de Rede

„ Lista de todos IPs ou domínios „ Se algum dado foi preservado, qual

externos maliciosos envolvidos. processo foi utilizado e onde está
„ Se há monitoramento de rede. armazenado.
„ Lista de medidas tomadas. „ Mudanças em diagramas de rede e
configurações.

Detalhes de malwares*

„ Data e hora da detecção. „ Nome e família do malware.

„ Como o malware foi detectado. „ Se o malware está ativo e se há
„ Lista de sistemas onde o malware conexões de rede estabelecidas.
foi encontrado. „ Se há cópia do malware (seja de
„ Nome do arquivo malicioso e em forma manual ou em quarentena).
que diretório foi encontrado. „ Se o malware comprometeu
terceiros (seja de forma
automática ou por ação de
empregados).

*Esta checklist deve ser feita para cada malware relacionado ao incidente.

Fonte: Adaptado de Velho (2016).

Sobre a análise dos dados, Velho (2016) apresenta os locais onde registros
ficam salvos e as principais ferramentas que podem ser utilizadas para análise
dessas informações nos sistemas operacionais a seguir.

Microsoft Windows
No sistema operacional Windows, existem muitas ferramentas para facilitar
e automatizar a análise forense, e várias evidências podem ser obtidas no
sistema de arquivos. Os arquivos de prefetch são usados para armazenar os
dados pré-carregados de aplicativos, podendo conter uma grande quantidade
de evidências forenses, pois armazenam registros dos programas que foram
executados no sistema, independentemente de eles ainda estarem armaze-
nados. Dessa forma, você pode determinar quando o programa é executado,
quantas vezes ele foi executado e o diretório de origem. Para a análise de
arquivos de prefetch, existem algumas ferramentas, como a WinPrefetchView,
da Nirsoft, e a Forensics Prefetch-Parser, da Redwolf.
 Análise em detecção de intrusão 15

Os logs de eventos do sistema operacional também são fontes de evidên-

cias. Para essa análise, existem várias ferramentas como a PSLogList, que
permite converter logs de eventos de sistemas locais ou remotos em texto
simples; analisador de logs, que permite consultas SQL (Structured Query
Language) em logs de eventos.
Os invasores costumam usar tarefas agendadas para executar malware
sem a necessidade de utilitários, pois poderiam ser facilmente detectados.
Assim, o “agendador de tarefas” do Windows oferece a possibilidade de
executar o programa automaticamente em uma data e hora específicas ou
regularmente. O “agendador” se torna a fonte de evidência porque registra
o horário de início e término da última execução da tarefa em um arquivo de
texto simples denominado “SchedLgU.txt”.
O registro do Windows contém dados de configuração do sistema opera-
cional e dos aplicativos em execução, bem como evidências que podem ser
obtidas a partir dessas informações armazenadas no registro do Windows.
Esse log pode ser dividido em cinco arquivos principais:

1. SYSTEM — informações que o Windows precisa para funcionar;

2. SECURITY — armazena dados de acesso para usuários com direitos
administrativos;
3. SOFTWARE — informações de software e configurações do Windows;
4. SAM — conta de segurança do sistema de informações do administrador,
e DEFAULT — configurações do usuário para fazer login no sistema;
5. NTUSER.DAT — configurações do Windows e da aparência do usuário,
e USRCLASS.DAT — informações de cada classe de usuário, que são
arquivos com registros específicos do usuário.

Para a análise dos registros do Windows, pode-se usar ferramentas como a

RegRipper, a Windows Register Recoder, a AutoRuns e a suíte Registry Analysis
Tools da Nirsoft.
O recurso de hibernação presente no Windows preserva o estado de um
sistema que esteja rodando, enquanto economiza energia. Essa memória
é salva no arquivo “Hiberfil.sys”, que é compactado e contém metadados.
Para que as ferramentas forenses consigam interpretar esse arquivo, ele
deve ser convertido para um formato que elas compreendam, o que pode ser
realizado com o plugin imagecopy do framework da Volatility. O framework da
Volatility também é capaz de analisar o arquivo de hibernação e as imagens
de memórias voláteis.
16 Análise em detecção de intrusão

macOS
Como o macOs é um sistema operacional que tem ganhado espaço no mundo
corporativo, ainda há um número limitado de ferramentas capazes de anali-
sar os vestígios dessa plataforma. A análise de logs de sistema e dados ASL
(Apple System Log) contém arquivos, em grande parte, baseados em texto,
podendo utilizar ferramentas Unix para sua análise, como “cat”, “grep” e
“awk”, de modo que torna possível moldar os dados dos logs levando em
consideração a vontade do analista. Os arquivos de log desse sistema não
são muito grandes, podendo ser importados e vistos em ferramentas como a
Splunk e a Sawmill, que proporcionam recursos de busca, além da realização
de processamento dos dados.
Para encerrar este capítulo, conclui-se que a detecção de intrusão é um
grande desafio, pois o ideal é que os intrusos sejam detectados antes que
consigam causar algum dano ao seu alvo. No entanto, em casos de invasões
ou suspeitas, são realizados os exames periciais, para identificar quem,
quando, onde e como a invasão ocorreu. Como surgem novos dispositivos
e novas tecnologias todos os dias, é de extrema importância que os peritos
estejam sempre atualizados em relação a metodologias e ferramentas que
coletem de forma correta as evidências, preservando sempre os vestígios
para que seja possível resolver o caso em questão. Apesar dos IDSs serem
bastante eficientes, quando em conjunto com demais dispositivos de segu-
rança, nenhum método é 100% garantido, tornando fundamental que exista
um monitoramento constante dos sistemas conectados, para identificação
de possíveis ataques não detectados pelos sistemas de detecção de intrusão.

Referências
AL-KHATER, W. A. et al. Comprehensive review of cybercrime detection techniques. IEEE
Access, v. 8, p. 137293-137311, 2020. Disponível em: https://wlv.openrepository.com/
bitstream/handle/2436/623411/Sadiq_Comprehensive_Review_of_Cybercrime_2020.
pdf?sequence=6&isAllowed=y. Acesso em: 6 ago. 2021.
BRASIL. Comitê Gestor da Internet. Cartilha de segurança para internet. São Paulo:
Comitê Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/livro/
cartilha-seguranca-internet.pdf. Acesso em: 6 ago. 2021.
CHEN, Q. et al. CBF: a packet filtering method for DDoS attack defense in cloud envi-
ronment. In: INTERNATIONAL CONFERENCE ON DEPENDABLE, AUTONOMIC AND SECURE
COMPUTING, 9., 2011, Sydney, Australia. Proceedings [...]. Washington, DC: IEEE, 2011.
p. 427-434.
 Análise em detecção de intrusão 17

KUMAR, M.; HANUMANTHAPPA, M.; KUMAR, S. Network intrusion forensic analysis

using intrusion detection system. International Journal of Computer Applications in
Technology, v. 2, n. 3, p. 612-618, 2011. Disponível em: https://www.researchgate.net/
publication/228767592_Network_Intrusion_Forensic_Analysis_Using_Intrusion_De-
tection_System/fulltext/0004576a0cf25a014b9fab84/Network-Intrusion-Forensic-
-Analysis-Using-Intrusion-Detection-System.pdf. Acesso em: 6 ago. 2021.
ROSHKE, S.; CHENG, F.; MEINEL, C. Intrusion detection in the cloud. In: INTERNATIONAL
CONFERENCE ON DEPENDABLE, AUTONOMIC AND SECURE COMPUTING, 8., 2009, Chengdu,
China. Proceedings [...]. Washington, DC: IEEE, 2009. p. 729-734.
STALLINGS, W.; BROWN, L. Segurança de computadores: princípios e práticas. 2. ed. Rio
de Janeiro: Elsevier, 2014.
VELHO, J. A. Tratado de computação forense. Campinas: Millennium, 2016.

Os links para sites da web fornecidos neste capítulo foram todos

testados, e seu funcionamento foi comprovado no momento da
publicação do material. No entanto, a rede é extremamente dinâmica; suas
páginas estão constantemente mudando de local e conteúdo. Assim, os editores
declaram não ter qualquer responsabilidade sobre qualidade, precisão ou
integralidade das informações referidas em tais links.