FATEC FACULDADE DE TECNOLOGIA DE SÃO JOSE DOS CAMPOS JULIANO DIAS MANCILHA ANÁLISE FORENSE EM AMBIENTE LINUX E WINDOWS: UMA ATUALIZAÇÃO TEÓRICA

Tamanho: px
Começar a partir da página:

Download "FATEC FACULDADE DE TECNOLOGIA DE SÃO JOSE DOS CAMPOS JULIANO DIAS MANCILHA ANÁLISE FORENSE EM AMBIENTE LINUX E WINDOWS: UMA ATUALIZAÇÃO TEÓRICA"

Transcrição

1 FATEC FACULDADE DE TECNOLOGIA DE SÃO JOSE DOS CAMPOS JULIANO DIAS MANCILHA ANÁLISE FORENSE EM AMBIENTE LINUX E WINDOWS: UMA ATUALIZAÇÃO TEÓRICA SÃO JOSÉ DOS CAMPOS 2011

2 I JULIANO DIAS MANCILHA ANÁLISE FORENSE EM AMBIENTE LINUX E WINDOWS: UMA ATUALIZAÇÃO TEÓRICA Trabalho de graduação apresentado à FATEC- Faculdade de Tecnologia de São José dos Campos, como parte dos requisitos necessários para a obtenção do título de Tecnólogo em Informática com Ênfase em Redes. Orientador: Me Murilo Dantas SÃO JOSÉ DOS CAMPOS 2011

3 II JULIANO DIAS MANCILHA ANÁLISE FORENSE EM AMBIENTES LINUX E WINDOWS: UMA ATUALIZAÇÃO TEÓRICA Trabalho de graduação apresentado à FATEC- Faculdade de Tecnologia de São José dos Campos, como parte dos requisitos necessários para a obtenção do título de Tecnólogo em Informática com Ênfase em Redes. Orientador: Me Murilo Dantas José Carlos Lombardi Antônio Egydio São Thiago Graça Murilo Dantas / / Data de Aprovação

4 III AGRADESCIMENTOS Agradeço a todos que ajudaram no desenvolvimento do trabalho, aos professores que dedicaram seu tempo precioso a desenvolver o conhecimento. À minha mãe Angelica ao meu pai João Bosco, por sempre acreditarem em mim, aos meus irmãos Thiago e Luciano que estiveram comigo no desenvolvimento desse trabalho, as minhas avós Helena e Nadir. À minha família, meu maior suporte, que me apoiou nas horas difíceis à minha companheira de todas as horas Ana Helena. Aos colegas que me acompanharam por todo o curso, principalmente Giovana, Charles, Leonardo, Luiz. Também não poderia esquecer do professor Sakaue e da Leia que me ajudaram com referências. Ao meu orientador Murilo Dantas e os professores José Carlos Lombardi, Antônio Egydio Graça que sempre estiveram comigo nas horas mais difíceis. Ao professor Massanori pelo tempo que me dedicou. As professoras Amita, Tatiana e Eliane sempre tão solicitas e finalmente a Elisângela que sempre ajudou com os problemas administrativos. Aos meus amigos que souberam me escutar nos momentos de dificuldades.

5 IV RESUMO Devido ao grande número de pessoas que acessam à internet e, ao crescimento desta área da Tecnologia da Informação nos últimos anos, a preocupação com a segurança da informação deve seguir na mesma proporção. Desenvolver técnicas de segurança é fundamental para manter a privacidade das pessoas e seus dados. No entanto, nem sempre isso é suficiente, pois usuários mal intencionados, sempre buscam novas formas de obter vantagens de sistemas mal configurados ou usuários imprudentes. Quando à segurança não é suficiente para proteger usuários, é necessário fazer uso de outra área da computação. A área a qual se faz referência é a computação forense, que tem a finalidade de solucionar problemas de invasão e destruição de sistemas. A Computação Forense possui relação tanto com a Tecnologia da Informação quanto com o direito. O Brasil não possui legislação específica que qualifique especificamente essa área. Por fim, tanto a análise de informações, que não possui um padrão, quanto uma legislação específica são estritamente necessárias para que a intimidade das pessoas seja preservada.

6 V ABSTRACT Due to the large number of people accessing the internet and the growth of this area in recent years, concern over information security should follow in proportion. Develop technical security is critical to maintaining the privacy of individuals and their data. However, this is not always enough because malicious users are always looking for ways to take advantage of misconfigured systems or reckless users. When security is not sufficient to protect the user, it is necessary to use another area of computing. The area to which it refers is the computer forensics, which aims to solve problems of invasion and destruction of systems. The computer forensics is related to both information technology and with the law, even so, Brazil still has no specific legislation that specifically qualify this area. Finally, standardization of patterns, such as specific legislation is strictly necessary for people s privacy is preserved.

7 VI LISTA DE FIGURAS Figura 1 - Percentual de computadores nos lares brasileiros fonte IBGE (2004)... 1 Figura 2 - Estatísticas dos Incidentes Reportados ao CERT.br. Fonte: CERT, Figura 3 Pente de Memória RAM... 4 Figura 4 - Rede de Computadores sevidor/cliente(tanenbaum, 2004)... 7 Figura 5 - Redes peer to peer(tanembaum, 2004)... 8 Figura 6 - Anatomia de um ataque SCAMBRAY et. al. (2001)... 9 Figura 7 - Forma como os dados são vistos pelo usuário Figura 8 - Forma como os dados são vistos pelo Sistema operacional Figura 9 - Forma como os dados são vistos pelo hardware Figura 10 - Etapas do Processo de investigação(farmer, 2009 ) Figura 11 Transmissão de dados (Morimoto, 2008) Figura 12 - Criptografia de chave única(cert.br,2006) Figura 13 - Tela do Fdisk(Microsoft, 2007) Figura 14 - Gerenciador de processos do Windows(Microsoft, 2007) Figura 15 - Dispositivos de disco(microsoft, 2007) Figura 16 - Propriedades de arquivos(microsoft, 2007) Figura 17 - Permissões de documentos(microsoft, 2007) Figura 18 - Sistema de arquivos e pastas(microsoft, 2007) Figura 19 - Tela do comando df Linux(Ubuntu, 2010) Figura 20 - Tipos de particionamento do sistema Linux(Ubuntu, 2010) Figura 21 - permissões de arquivos e pastas(ubuntu, 2010) Figura 22 - logs do Firewall do Windows(Microsoft, 2007) Figura 23 - Log de Sistema(Microsoft, 2007) Figura 24 - FTK toolkit(accessdata, 2010)... 56

8 VII Figura 25 - Execução do comando tune2fs.(fdtk, 2007) Figura 26 -Histórico de comandos do usuário Chuck(FDTK, 2007) Figura 27 - Histórico de comandos Administrador do sistema(fdtk, 2007) Figura 28 - Pastas com arquivos recuperados pelo foremost.(fdtk, 2007 ) Figura 29 - Análise dos arquivos de log(ubuntu, 2010) Figura 30 - Inserção de novo usuário ao sistema(ubuntu, 2010) Figura 31 - Arquivo bash_history contendo informações da invasão(ubuntu, 2010)... 64

9 VIII LISTA DE TABELAS Tabela 1 - Principais parâmetros utilizados pelo nmap Tabela 2 - Tabela de Ferramentas Windows Tabela 3 - Descrição de Diretórios Linux Tabela 4 - Permissões de usuário Tabela 5 - Permissões de arquivos e pastas Tabela 6 - Sistema de Partições Linux Tabela 7 - Tabela de ferramentas Linux Tabela 8 - Descrição e conceitos de equipamentos e serviços (Projeto de lei 89, 2003) Tabela 9 - Avaliação Boot MSDos Tabela 10 - Avaliação ForensicToolkit Tabela 11 - Avaliação FDTK Tabela 12 Avaliação com Distribuição Linux... 65

10 IX LISTA DE ABREVIATURAS E SIGLAS Art. Artigo

11 X SUMÁRIO 1 INTRODUÇÃO Motivação Objetivo Geral Objetivos Específicos Metodologia Organização do Trabalho FORENSE COMPUTACIONAL Conceitos de Intrusão Introdução à Ciência Forense Metodologia Aquisição e Manipulação de Evidências Ferramentas Livres Forense em Sistemas Windows Princípios Técnicas e Ferramentas Forense em Sistemas Linux Princípios Técnicas e Ferramentas FUNDAMENTOS JURÍDICOS PARA ANALISE FORENSE Introdução Dos Crimes contra a pessoa Dos crimes contra o patrimônio Dos Crimes contra a fé pública Dos Crimes contra a incolumidade pública... 44

12 XI 3.6 Projeto de lei 89/ Dos Crimes cometidos na área de informática Ausência de Dispositivos ANÁLISE DE FERRAMENTAS Procedimento em Ambiente Windows Estudo de caso com disco Boot Windows Estudo de caso com ForensicToolkit Procedimento em Ambiente Linux Estudo de caso com FDTK-V Estudo de caso com Distribuição Linux CONSIDERAÇÕES FINAIS Contribuições Trabalhos Futuros REFERÊNCIAS BIBLIOGRÁFICAS... 68

13 1 1 INTRODUÇÃO 1.1 Motivação Devido à ampliação no poder aquisitivo dos brasileiros, o número de computadores presentes nos lares aumentou significativamente na última década e, com isso, a possibilidade de invasão de sistemas torna-se um problema crescente. Conforme pesquisa realizada pelo IBGE (Instituto Brasileiro de Geografia e Estatística), cujo resultado é mostrado na figura 1, no que diz respeito à propriedade de microcomputadores, o percentual do total de famílias que possuíam este bem subiu de 6,9%, em , para 21,9% em , um crescimento de quinze pontos percentuais. (IBGE, 2004). Figura 1 - Percentual de computadores nos lares brasileiros fonte IBGE (2004) No mesmo sentido, o jornal O Globo, em sua versão digital, publicou pesquisa realizada pelo Instituto Ipsos, a qual faz parte do estudo "Nation Wide Study 2010" e referente à quantidade de lares brasileiros que possuem computadores: O índice de lares brasileiros equipados com pelo menos um computador atingiu 58% até outubro deste ano. (OGloboonline, 2010). Da mesma forma, a pesquisa TIC Domicílios 2007, feita pelo Cetic.br a pedido do Comitê Gestor da Internet no Brasil, mostra que, apenas 24% dos domicílios brasileiros

14 2 possuem computadores e só 17% dos habitantes têm acesso à internet em suas casas. (TIC, 2007). Os números apresentados só reforçam na assertiva, de que a segurança das redes é tema de extrema importância. O aumento no acesso será maior com o desenvolvimento das diversas tecnologias em redes de computadores ligadas à internet. Nem só os computadores estão ligados à internet. Já é possível comprar geladeiras, fornos micro-ondas, telefones celulares, relógios e outros equipamentos em constante acesso à internet. A possibilidade de obter imagens de câmeras ligadas à rede já é uma realidade presente no dia a dia das pessoas. Também é possível observar creches que possuem câmeras para que pais possam acompanhar os filhos e fazer um monitoramento domiciliar. Assim, é possível perceber que as redes de comunicação crescem a cada dia, e todos os serviços necessitam de segurança, porque, se alguém acessa um sistema de câmeras de segurança de seu prédio, ou o equipamento de rede da geladeira, pode obter informações sobre o perfil de qualquer pessoa. Figura 2 - Estatísticas dos Incidentes Reportados ao CERT.br. Fonte: CERT, De acordo com pesquisa apresentada pela CERT.br em 2010, mostrada na figura 2, não é necessário apenas ter os equipamentos, mas também os cuidados que eles necessitam, a segurança de qualquer rede é fundamental para que equipamentos não sejam usados de forma errônea. Cuidados necessários não apenas pós-incidente, mas previamente

15 3 como forma de preservar a segurança tanto do ambiente de trabalho, como do ambiente em que se vive. As redes de computadores são uma realidade. Essas são forma de acesso à informação, tanto em computadores pessoais como máquinas remotas. Na definição de TANENBAUM (2004), uma rede de computadores é: um conjunto de computadores autônomos interconectados por uma única tecnologia. Facilidades são introduzidas no contexto das pessoas dia a dia. No setor bancário, por exemplo, para efetuar um pagamento era necessário deslocar-se até uma agência bancária, com a informatização tudo pode ser feito pela internet ou caixas eletrônicos. Benefícios são inegociáveis devido à facilidade que geram. Setores da economia foram e são muito beneficiados com a informatização dos sistemas. Hoje é possível fazer compras, pagar contas, estudar e tudo sem sair de casa. Entretanto isto gera inconvenientes, pois os sistemas possuem falhas, e nem sempre é possível prever quais falhas poderão ocorrer em sistemas bancários ou sites de compras online. Desta forma, para que o acesso a qualquer sistema online não gere problemas, máquinas devem estar bem configuradas para não permitir invasões e apropriação indesejada dos dados de computadores. Uma máquina bem configurada deve ter um sistema seguro. Um sistema é considerado seguro quando, possui instalado um antivírus, um firewall e todas as atualizações disponibilizadas pelo desenvolvedor, pré-instaladas. Cuidados adicionais com usuários, portas de redes, senhas também são de extrema importância. Preocupações são extremamente necessárias para todo e qualquer tipo de entrada de dados pessoais, como: inserção de cartão de crédito em compras online, digitação do número de CPF em sites, envio de dados para empresas e vários outros. A criptografia nos sistemas de compras online, bancários e outros, é ferramenta essencial. Uma conexão criptografada torna qualquer operação mais segura e evita acessos à informação entre os meios de transmissão. Mesmo com todos esses cuidados, acidentes acontecem. A captura de dados por programas maliciosos é uma vertente dos sistemas operacionais. Softwares são desenvolvidos para capturar dados pela rede, nas telas de computadores e até dados digitados pelo teclado. Invasões ocorrem de diversas formas, falhas nos Sistemas Operacionais, em programas como: , software de mensagens instantâneas, de navegação na internet ou

16 4 qualquer tipo de software que requisite acesso à rede. Nas empresas, funcionários descontentes podem abrir brechas para invasões. A engenharia social também é utilizada para persuadir funcionários ou pessoas a passar informações, as quais serão cumuladas com informações obtidas sobre a empresa objetivando o acesso a computadores. Outras formas de obter informações são utilizando sniffer, malware 1, spam e atualmente o phishing, que também não pode ser esquecido. Finalmente, se todos os pré e pós-incidentes falharem, a alternativa para descobrir o que aconteceu no sistema é a Análise Forense, cuja finalidade é pesquisar todos os dados do sistema invadido procurando rastros que possam ligar a invasão aos invasores. Analisar dados não é uma tarefa fácil, visto que, podem se apresentar de diversas formas e em períodos de acessos distintos. Importante lembrar que dados podem ser apagados ou alterados pelo invasor. Fontes de informação podem ser encontradas em diversos locais, os principais por ordem de volatilidade são: a memória RAM (do inglês, Random Acess Memory), mostrada na figura 3, a memória Swap (memória de troca de dados entre memoria RAM e disco rígido) e o disco rígido ou HD 2. Figura 3 Pente de Memória RAM A garimpagem das informações não acontece de forma simplificada, porque, um sistema operacional pode apresentar vários locais para encontrar provas. O mais importante na busca não é como a invasão aconteceu, mas quando aconteceu. Os dados 1 Worms (Malicious Software)- é um termo genérico que abrange todos os tipos genérico de programa especificamente desenvolvido para executar ações maliciosas em um computador. (CERT.br, parte 1, p.9) 2 HD quer dizer Hard Disk, que é a mídia de armazenamento de um sistema.

17 5 podem apresentar informações de tempo, propriedade e permissões de acesso, que são condições para demonstrar como tudo aconteceu, como a montagem de um quebra-cabeças. O modo de manipular os dados é um fato de igual importância para preservar o modus operandi 3, com base nas informações coletadas, demostrar como tudo aconteceu. Caso haja alteração nos dados, eles podem não convencer os órgão envolvidos no processo, tornando inaceitáveis as provas obtidas. Por fim, as consequências jurídicas envolvidas em processos, que contenham crimes realizados pela internet, necessitam de lei para fundamentá-lo, no entanto, projetos de lei já tramitam no Congresso Nacional desde 1998, só que até o termino deste estudo não obtiveram aprovação nas casas legislativas. 1.2 Objetivo Geral Apresentar um estudo atualizado da Análise Forense em ambientes Windows e Linux, levando em consideração ferramentas de análise e especificações metodológicas e jurídicas Objetivos Específicos Os objetivos específicos são: Detectar vulnerabilidades e analisar as deficiências dos sistemas operacionais Linux e Windows; Demonstrar como invasores obtêm acesso a sistemas e quais males podem causar; Perceber volatilidade de dados, apagados ou alterados e seu comportamento em sistemas Linux e Windows; Recuperar e identificar dados e, quais os passos de um invasor ao tomar posse do sistema; 3 Modus operandi modo de fazer, maneira típica como um delinquente atua.

18 6 Pesquisa de ferramentas utilizadas na perícia forense. 1.3 Metodologia Foi utilizado conceitos de hardware, gerenciamento e controle de dados em computadores. Também foram pesquisados locais de informações em sistemas de computadores como alternativa para a busca de informações. 1.4 Organização do Trabalho Este trabalho possui a seguinte organização: o capítulo 2 apresenta o referencial teórico como fundamento para entender a estudo; o capítulo 3 descreve os fundamentos jurídicos em questão nas invasões de computadores, enquanto que, o capítulo 4 refere-se à análise de ferramentas e métodos utilizados para testar os sistemas e, no capítulo 5 as conclusões do trabalho, os resultados obtidos e as sugestões para trabalhos futuros são apresentados. Finalmente o capítulo 6 apresenta o referencial teórico, bem como, as referências utilizadas.

19 7 2 FORENSE COMPUTACIONAL 2.1 Conceitos de Intrusão Uma rede possui diversas finalidades entre as quais: compartilhamento de recursos, transferência de dados, controle e consulta de informações, conexão entre pessoas entre outras. Dois modelos se destacam entre as principais redes de computadores: um hierárquico chamado de cliente/servidor e outro não hierárquico chamado de peer-to-peer. O modelo cliente/servidor, ilustrado na figura 4, é definido por TANENBAUM (2004) da seguinte forma: Nesse modelo os dados são armazenados em poderosos computadores chamados servidores. Com frequência, essas máquinas são instaladas e mantidas em um local central por um administrador de sistemas. Em contraste, os funcionários tem em suas escrivaninhas máquinas mais simples, chamadas de clientes, com as quais eles acessam dados remotos(...) Figura 4 - Rede de Computadores sevidor/cliente(tanenbaum, 2004) Enquanto que, o modelo peer-to-peer, mostrado na figura 5, é definido como: Nessa forma de comunicação, indivíduos que constituem um grupo livre podem se comunicar com outros participantes do grupo(...). Em princípio, toda pessoa pode se comunicar com uma ou mais pessoas; não existe nenhuma divisão fixa entre clientes e servidores. (Tanenbaum, 2004)

20 8 Figura 5 - Redes peer to peer(tanembaum, 2004) No entendimento de TANENBAUM (2004) a internet não é apenas uma única rede, mas uma rede de redes. A rede mundial de computadores é um dos principais meios de comunicação entre computadores, em vista disso, a segurança é fundamental para a proteção de informações que circulam nas redes. De acordo com MORIMOTO (2008) a segurança tem se tornado cada vez mais importante à medida que a Internet torna-se um ambiente cada vez mais hostil (...). Em relação a isso, um computador pode ser considerado seguro se, um computador é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade. (CERT,2006) A confidencialidade refere-se ao acesso não autorizado ao computador e consequentemente a leitura as informações, a integridade também faz referência ao acesso e leitura não autorizados, contudo as informações são alteradas, finalmente a disponibilidade ocorre quanto o provedor sofre uma grande sobrecarga de dados e fica indisponível. (CERT,2006). Ataque no conceito de SCAMBRAY et. al. (2001) possui a seguinte descrição, um ataque dirigido por dados (data driven attack) é executado enviando a um serviço ativo, dados que causam resultados diferentes dos pretendidos ou indesejáveis. Para SCAMBRAY et. al. (2001) a anatomia de um ataque possui a seguintes passos: Footprint, Varredura, Enumeração, Ganho do acesso, Escalação de privilégios, Varreduras furtivas, Encobrimento de rastros, Criação de portas do fundos, Recusa de serviço, conforme mostrado na figura 6

21 9 Figura 6 - Anatomia de um ataque SCAMBRAY et. al. (2001) Footprint (SCAMBRAY et. al., 2001), permite que invasores criem um perfil completo da postura de segurança dessa organização., a técnica utiliza uma combinação de ferramentas e técnicas, (...), e convertê-lo em um conjunto específico de nomes de domínio, blocos de rede e endereços IP individuais de sistemas conectados diretamente à internet. Ferramentas de varredura são utilizadas para o bem quando tem a finalidade de avaliar o sistema operacional do usuário e, utilizadas para o mal quando varrem sistemas de outros usuários para descobrir vulnerabilidades, cujo fim será a invasão do sistema. O nmap, juntamente com o zenmap (nmap com interface gráfica) são softwares utilizados para varredura de portas, e possuem vários parâmetros de verificação, alguns destes

22 10 são apresentados na tabela 1. Tabela 1 - Principais parâmetros utilizados pelo nmap nmap ip escaneia diretamente uma máquina da rede. nmap ip-faixa(254) escaneia uma faixa determinadas de ip da rede. nmap -O ip a opção -O tem a finalidade de mostrar qual o sistema operacional determinada máquina na rede esta usando. nmap -su ip escaneia escaneia as portas UDP do ip ou faixa de ips determinadas. nmap -T4 ip T4 refere-se ao tempo utilizado na busca, a sequência é de 1 a 5, quanto menor o número maior o tempo de espera. nmap -F ip escaneia menos portas do que o scan padrão nmap /24 escaneia portas com mascara nmap /16 escaneia portas com mascara nmap /8 escaneia portas com mascara nmap /0 escaneia portas com mascara nmap -p 1-11 este teste vai varrer apenas as portas de 1 a 11. nmap -p T4 escaneando todas as portas de forma rápida Enumeração SCAMBRAY et. al. (2001) são as várias maneiras de extrair dos Sistemas Operacionais contas válidas ou nomes de recursos que são exportados de sistemas. Essa técnica utiliza os dados obtidos na varredura. Ao obter acesso à outra máquina o atacante possui uma escala de privilégios. O ato pode ocorrer como um usuário comum ou como um administrador de sistema. Como forma de encobrir os rastros o atacante deve apagar todas as pistas deixadas na máquina invadida. Informações como logs, arquivos alterados, contas criadas, implantação de serviços, instalações, devem ser excluídas do sistema. Finalizado o ataque, o invasor deve deixar um caminho de forma a ter acesso ao sistema sem a necessidade de invadi-lo novamente. Os ataques podem ocorrer de várias formas, os métodos mais utilizados são: a engenharia social, invasão por força bruta, por vírus, malware, sniffer, phishing, DoS (Denial of Service), ataque no qual vários computadores acessam uma máquina tirando-a do ar. A engenharia social, no qual o invasor obtém dados da empresa através de qualquer pessoa que trabalhe no local, ou através de usuários do sistema que trabalhem ou

23 11 tem acesso aos dados do local. Um sniffer é um dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegados em uma rede de computadores. (CERT,2006). Tão importante quanto são os malwares (Malicious software) é um termo genérico que abrange todos os tipos de programas especificamente desenvolvidos para executar ações maliciosas em um computador. (CERT,2006) Atualmente, os ataques de phishing são descritos por MORIMOTO (2008) da seguinte forma ataque phishing utilizam engenharia social para tentar levar o usuário a revelar informações confidenciais, tais como senhas de banco, números de cartão de crédito, ou mesmo transferir fundos diretamente. Vírus é um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. (CERT, 2006). Ataques de força bruta ocorrem quando não se tem alternativa senão tentar uma por uma todas as combinações de login e senha. (ULBRICH, 2004) Um spam é termo usado para se referir aos s não solicitados, que geralmente são enviados para um grande número de pessoas (CERT, 2006). Em vários casos as mensagens spam possuem conteúdo comercial. s também podem conter arquivos maliciosos anexados a imagens, vídeos e etc., a abertura desses arquivos infecta o computador da vítima para obter vulnerabilidades e senhas. Para que invasões não sejam repetidas, invasores mantêm uma porta aberta para que possa voltar ao local e obter mais informações, ao qual é dado o nome de backdoor. Outras formas de facilitação em invasão são: deixar portas abertas não utilizadas, permitir que o sistema permaneça com as configurações padrão quando instalados e, não permitir as atualizações recomendadas pelo desenvolvedor. Quando se faz menção a empresas o usuário ainda é o elo mais fraco da corrente, enquanto que, um administrador de redes deve ter uma função bem definida. Conforme cartilha de segurança CERT(2006) os principais pontos em práticas de segurança em administração de redes são, Políticas, Instalação e Configuração segura de sistemas, Administração e Operação segura de Redes e Sistemas Uma política é um instrumento importante para proteger a organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade. As políticas podem ser de segurança e de uso aceitável, enquanto as políticas de segurança

24 12 definem responsabilidades, a de uso aceitável determina os recursos que podem ser utilizados. A instalação e configuração é a escolha do sistema, a definição da estratégia de senhas utilizadas, o serviços de rede do sistema, a atualização do software, quais os serviços poderão ser utilizados pelos usuários e o controle de atividades irregulares na rede. Por fim, a administração tem a função de definir os usuários que vão administrar o sistema, com funções bem definidas como a configuração de serviços, definição de senhas, os protocolos de rede, preservação de dados, preocupações com invasões, monitoramento de logs e a segurança da rede. Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionados à segurança de sistemas de computação ou de redes de computadores. (CERT, 2006). As principais formas de detecção de intrusão são informações sobre: arquivos de logs, tamanho que arquivos em disco e processos em execução no sistema. Os logs do sistema guardam todos os acessos indevidos à rede, instalação de programas, arquivos que executam ações não permitidas, enquanto que, processos em execução no sistema acumulam informações tornando-se cada vez maiores. Por fim, é necessário entender que, o elo mais fraco da corrente é o usuário, o qual nem sempre possui informações necessárias para manter um sistema bem configurado e seguro de invasões. Um computador mal configurado pode ser facilmente invadido. Após uma invasão, o modo de entendê-la é utilizar a Ciência Forense. 2.2 Introdução à Ciência Forense A ciência forense pode ser comparada com a arqueologia e com a geologia. A arqueologia tem a finalidade de buscar resto de fósseis, os restos têm de ser manuseados com extrema cautela para que os fósseis não sejam destruídos, preservando o que foi conservado através dos anos. A ciência forense é aplicação da ciência do Direito definida pela utilização nos tribunais (CASEY, 2004). A forense possui técnicas e métodos utilizados para realizar uma pesquisa em busca de provas que comprova a culpabilidade de um crime.

25 13 Várias são as áreas em que se divide a forense, entre elas estão: I. Medicina estudada nas faculdades de Direito com o nome de medicina legal, a qual se divide: a. Antropologia Estudo da identificação sob o ponto de vista médico-legal (SOIBELMAN, 1998). b. Traumatologia Estudo das lesões corporais no seu aspecto jurídico (SOIBELMAN, 1998). c. Sexologia Estudo dos problemas médico-legais relacionados com o sexo (SOIBELMAN, 1998). d. Toxicologia Parte da medicina legal que estuda os casos de morte por envenenamento (SOIBELMAN, 1998). II. Química - estudo de substâncias químicas. III. Computação estudo de dados de computadores Na arqueologia digital, todos os dados devem ser vasculhados com o maior cuidado para que nada seja perdido, preservando todas as informações que são de extrema importância para o desfecho de uma pesquisa. A geologia forense tem a finalidade de buscar todos os dados necessários para resolver determinado caso, assim, vários ramos da ciência forense buscam com seu trabalho desvendar casos. 2.3 Metodologia A análise forense possui a seguinte definição, A análise forense de um sistema envolve um ciclo de coleta de dados e processamento das informações coletadas (FARMER, 2009). A coleta de informações em computadores depende da forma com que são obtidas. Se, após uma intrusão os dados forem coletados de qualquer forma, as informações poderão ser alteradas ou até mesmo perdidas. Para que os dados colhidos no inquérito judicial se tornem um processo é necessário que a colheita de provas seja consistente para convencer o juiz a instaurar o processo. Os dados de um computador podem permanecer armazenados por muito

26 14 tempo. A volatilidade dos dados é diferente nos diversos tipos de mídias, os principais tipos são: a memória principal, a memória swap, a memória flash e o disco rígido. Os dados utilizados pela memória principal de um computador são perdidos assim que o computador é desligado, exceção feita à memória ROM (Read-Only Memory acesso feito apenas para leitura), memória não volátil, que guarda as informações de inicialização. A memória consiste em uma grande sequência de word ou bytes, cada uma com seu próprio endereço. (SILBERSCHATZ, 2004). A finalidade da memória é armazenar fluxos de endereços e instruções ou dados de programas mantidos no disco como um programa executável. Para que qualquer programa seja executado é necessário que esteja na memória principal ou RAM (Random Acess Memory) que significa memória de acesso aleatório. Contudo, a memória swap é utilizada quando um processo precisa ser trocado temporariamente entre a memoria principal e um armazenamento de apoio, para depois ser trazido de volta para a memória, continuando assim a execução. (SILBERSCHATZ, 2004) Exemplificando a situação acima, um programa de 16M pode executar em uma máquina de 4M, escolhendo cuidadosamente quais 4M manter na memoria a cada instante, com pedaços do programa sendo trocados entre o disco e a memoria principal, conforme necessário. (TANENBAUM, 2000) Com relação à memória swap, os dados são perdidos assim que forem utilizados pelo sistema operacional, ou subscrito por outro processo. Com o fim do processo os dados deixam de existir na memoria swap. Os dados no disco rígido podem durar por muito tempo, no entanto os sistemas operacionais se comportam de maneira diferente ao sistema de armazenamento dos dados. O sistema operacional Windows possui quatro tipos de sistema de arquivos, o primeiro deles é o Fat12, o segundo o Fat16, foi utilizado nos sistemas Windows 95 e não possui sistema de segurança, o mesmo acontece com o Fat32. O sistema de arquivo utilizado neste estudo será o NTFS que tem a finalidade de gravar logs do sistema operacional. Também possui segurança na utilização de arquivos e pastas. Com relação ao sistema de arquivo Linux, os mais utilizados são o ext2 que é nativo do Linux, mas também não apresenta a possibilidade de gerar uma restauração dos dados do sistema e o sistema ext3 que apresenta esta possibilidade desde que a partição seja criada com o sistema de arquivos jornaling.

27 15 Figura 7 - Forma como os dados são vistos pelo usuário O usuário enxerga os dados que são inseridos no sistema da mesma forma como são digitados, conforme mostra a figura 7. Enquanto que, o Sistema Operacional recebe os dados na forma de tabelas de dados chamada de inode, mostrada na figura 8. Figura 8 - Forma como os dados são vistos pelo Sistema operacional E finalmente, depois de inseridos pelos usuários e recebidos pelo sistema operacional, os dados são recebidos pelo hardware do computados como 1 (um) ou 0 (zero), conforme a figura 9. Figura 9 - Forma como os dados são vistos pelo hardware Agora que os sistemas de armazenamento foram explicados, é necessário entender sua finalidade. Os sistemas de dados citados são importantes, pois são onde a perícia buscará provas.

28 16 Figura 10 - Etapas do Processo de investigação(farmer, 2009 ) Na figura 10, a análise forense é um ciclo de pesquisa de informações deixadas em um computador invadido. Tudo se inicia com a invasão de uma máquina conectada a rede de computadores. A coleta de informações refere-se à captura de informações em computadores invadidos, o exame do que foi coletado é a busca de locais onde possam existir provas, enquanto que a análise é a reconstrução da linha do tempo dos fatos, por fim, o resultado é o laudo do perito com todas as provas e exames do que foi encontrado. Estação: SYN (solicita a abertura da conexão) Servidor: SYN (confirma o recebimento e avisa que a porta está disponível) Servidor: ACK (inicia a conexão) Estação: ACK (confirma) Estação: DATA (é enviado o pacote com a mensagem de texto) Servidor: OK (a confirmação, depois de verificar a integridade do pacote) Estação: FYN (solicita o fechamento da conexão) Servidor: FYN Figura (confirma) 11 Transmissão de dados (Morimoto, 2008) Estação: FYN (confirma que recebeu a confirmação) Estabelecida a conexão, computadores podem trocar mensagens, dados e comunicar-se diretamente através da rede, conforme ilustrado na figura 11. Assim,

29 17 mecanismos de proteção são utilizados para manter a integridade dos dados. O principal mecanismo de proteção à comunicação entre computadores é a criptografia. Criptografia é a ciência e arte de descrever mensagens em forma cifrada ou em código. (CERT, 2006) A criptografia pode ser: de chave única e de chave pública e privada a primeira utiliza a mesma chave tanto para codificar quanto para decodificar mensagens, conforme ilustrado na figura 12 (CERT, 2006), enquanto que, a segunda utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens (criar uma figura para ilustrar a criptografia de chave publica e privada). (CERT, 2006) Figura 12 - Criptografia de chave única(cert.br,2006) Para exemplificar o método de chave pública e privada, um exemplo pode ser apresentado a seguir. a. A pessoa X codifica a mensagem utilizando a chave pública de Y. b. Após criptografada X envia a mensagem para Y. c. Y recebe a mensagem e a decodifica utilizando a chave privada que é de seu conhecimento. Outras duas formas de segurança são a assinatura digital e o certificado digital, entendimento destes dois processos é de fundamental importância, visto que determinadas

30 18 atividades bancárias utilizam estes padrões de proteção de dados. A primeira consiste na criação de um código, através da utilização de chave privada, de modo que a pessoa ou entidade que receber a mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. (CERT, 2006) A segunda é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade, o arquivo pode ser armazenado em um computador ou mídia como um token ou smart card. (CERT, 2006). Mencionadas as formas de comunicação e segurança na comunicação dos dados é necessário saber como as comunicações e os dados podem ser capturados e como as invasões podem acontecer. As invasões podem acontecer de diversas formas, entre as quais a invasão de sistemas que apresentam vulnerabilidades, a captura de dados através da rede, o acesso através de malware, e finalmente, diretamente, quando o invasor consegue acesso direto ao computador da vítima. Uma porta dos fundos ou backdoor é um mecanismo que funcionam da seguinte forma uma vez que um intruso tenha estabelecido residência, pode ser difícil livrar um sistema de sua presença. Mesmo que a brecha original possa ser identificada e sanada, um atacante esperto consegue criar mecanismos para recuperar acesso ao sistema quando quiser. (SCAMBRAY et. al., 2001). Backdoor conhecidos como netbus ou BackOrifice, tem a finalidade de permitir o acesso remoto à máquinas em que foram instalados. O acesso remoto permite que invasores tenham controle dos serviços presentes nas máquinas à distância. Uma das formas de acesso a computadores através de informações obtidas por engenharia social, a qual obtém informações de funcionários através de ligações telefônicas, ou por meio do lixo da empresa ou pessoa a ser invadida. Finalmente, o ponto mais importante que é a analise forense. Após obter controle da máquina o invasor ao entrar no sistema pode deixar várias pistas. Quando se apaga um arquivo, este só deixa de existir quando sobrescrito por outro arquivo. Invasores com mais experiência e conhecimento, procuram apagar os rastros deixados por seus passos. Ao invadir um sistema, arquivos de log do sistema gravam a entrada ou acesso ao sistema. Arquivos de log têm a finalidade de apresentar erros do sistema, informações

31 19 errôneas de senhas, tentativas de instalações falhas, acesso ao sistema, como senhas não permitidas, tentativas de tomar controle da máquina e qualquer tipo de erro que seja importante ao sistema. A memória também pode carregar dados de programas instalados ou acessados pelo invasor, comprometendo tanto a memoria principal quando a memória de troca de informação, a qual é chamada de swap. No caso de informações serem deixadas em computadores invadidos, a função do perito é descobrir em primeiro lugar, quando estes fatos ocorreram, após o entendimento do quando, a forma como, o local em que dados foram alterados e finalmente o porquê da invasão. No entanto, como mencionado anteriormente arquivos podem ser alterados ou apagados em um sistema, principalmente se este estiver em execução. É de suma importância que dados não sejam alterados para que a avaliação do sistema seja consistente e não gere nenhuma dúvida. Assim, uma máquina invadida, deve ser tão logo se descubra a invasão, desconectada da rede e mantida fora de uso, para que as provas sejam preservadas. O mesmo ocorre com qualquer crime. Exemplificando a citação, quando um crime ocorre, toda a área é isolada e nada pode ser tocado ou alterado até a chegada dos peritos, isto ocorre, porque, todo o trabalho pericial será utilizado na investigação e consequentemente em um processo judicial. Para que as informações sejam capturadas com extrema competência, analisadas e preservadas sem nenhuma alteração, é necessário que a captura seja feita em modo somente leitura, para que não comprometa a alteração de outros dados contidos no disco. Outro fato de extrema importância, que seria uma política de segurança para os sistemas invadidos é a de isolar a máquina ao primeiro sinal de invasão do sistema, para que com isto as informações não sejam alteradas até que a pericia possa fazer a cópia dos dados. O programa mais utilizado para a captura dos dados é o dd do Linux, este cria uma imagem de todos os arquivos e pastas do sistema operacional invadido. A captura ocorrerá, ou através da rede usando o comando nc 4 ou a através de um disco externo. Alguns aparelhos foram desenvolvidos para que a cópia dos dados ocorra em modo somente leitura 4 Nc ou netcat é o utilitário de rede que lê e escreve dados através de uma conexão de r ede. ( GIACOBBI, 2006).

32 20 como forma de preservar a integridade dos dados contidos nos discos da máquina invadida. Com a captura a analise dos dados tem a finalidade de saber primeiramente quando a invasão ocorreu e consequentemente quando e como os dados se sucederam e qual a finalidade do invasor do sistema. Após a análise dos dados e o relatório final da perícia que no caso da legislação brasileira é fundamentada pelos arts. 170 e 171 do Código de Processo Penal Decreto-Lei 3689, os dados são investigados e enviados para o ministério público para oferecer a denúncia ou retorna a autoridade policial para complementação de provas, investigações, ou outros dados requisitados pelo ministério público. Na análise dos dados, como forma de ampliar a segurança tanto na captura quanto na analise dos dados, que outro perito ou outros peritos acompanhem o andamento da analise, bem como a colheita de provas. Completadas todas as requisições, o Ministério Público oferecerá a denuncia ou arquivamento do processo. Com o oferecimento da denuncia o juiz poder poderá aceitar a denuncia ou solicitar o arquivamento do processo. No caso do Ministério Público não oferecer a denúncia, poderá o juiz requerer ao procurador geral que a promova. Se o procurador geral entender necessário o oferecimento da denuncia, nomeará outro promotor que promoverá a denuncia. Em contrassenso, requisitará o arquivamento do processo. Finalmente, acatando o juiz o pedido do Ministério Público, o processo será julgado e chegado ao final do processo, o juiz prolatará a sentença, pronunciando a culpabilidade ou não dos envolvidos e consequentemente a pena a eles imposta. 2.4 Aquisição e Manipulação de Evidências Destruir informações pode ser surpreendentemente difícil (GUTMANN, 1996, 2001), no entanto, até chips de memória RAM, que perdem as informações quando o computador é desligado podem ser lidos após uma queda de energia ou o computador ser desligado. (FARMER, 2009). Não obstante, mesmo dados subscritos em sistemas de arquivos podem ser recuperados, até mesmo quando reescritos várias vezes. Singularmente, o mesmo ocorre com a memoria swap. Nas invasões, nem sempre arquivos são apagados, pode ocorrer apenas a

33 21 exclusão de determinada parte de um arquivo que possuí a informação de uma invasão específica, isso acontece quando o sistema é invadido por pessoas mais experientes. Com relação à volatilidade de arquivos excluídos Dan Farmer (2009) faz referência a ela da seguinte forma, Uma vez excluído, o conteúdo de um arquivo geralmente não muda até ser sobescrito por outro arquivo. Em sistemas de arquivos com boas propriedades de aglomeração de dados, arquivos excluídos podem permanecer intactos durante anos. Ainda com relação à exclusão de arquivos outra referencia é necessária. (...) Excluir um arquivo do sistema de arquivos é relativamente fácil, mas não é suficiente para destruir seu conteúdo ou atributos. (FARMER, 2009) A captura de informações depende muito da máquina a ser analisada. Exemplo desta assertiva pode ser notado no seguinte fato se o kernel 5 for corrompido, então as informações sobre processos, redes ou arquivos podem estar incompletas ou mesmo corrompidas. (FARMER, 2009) O procedimento de aquisição de evidências deve ocorrer de forma que outras informações não sejam alteradas, para que isso aconteça, a coleta dos dados é feita em modo somente leitura, para não alterar os arquivos capturados. A captura de informações acontece com a cópia de arquivos individuais, um disco inteiro, ou partes do disco. A captação pode ser feita para dispositivos de armazenamento ou para determinados locais de rede. A forma mais segura de fazer o envio dos dados é utilizando ssh 6 que envia os dados de forma criptografada e a alternativa é usar o netcat 7. Importante mencionar que, a montagem dos dados deve ocorrer como somente leitura para que não haja alteração nos dados. Ampliando a confiabilidade das informações é conveniente gerar um hash 8 da imagem. Precaução no ato da cópia e verificação é estar acompanhado outro perito garantidor do ato. A análise forense não possui uma convenção pré-determinada. Não existe 5 É a peça central de um sistema operacional, é ele quem controla os dispositivos e demais periféricos do sistema. (MAZIOLI, 2007). 6 Serviço de rede para acesso a dados remotos de forma criptografada. 7 Serviço de rede para acesso remoto e verificação de redes. 8 Sequência de bits gerado por algoritmos de criptografia.

34 22 padronização à captura, nem a manipulação dos dados em computadores analisados. No entanto, ferramentas são utilizadas com predileção por peritos forenses, devido à qualidade no desenvolvimento da computação forense. Para que um inquérito policial se torne um processo judicial é preciso que o juiz aceite o pedido de denúncia ou queixa crime. Farmer (2009) utiliza a seguinte assertiva, A recomendação de um melhor entendimento em vez de níveis mais altos de certeza, o que potencialmente tornaria esta metodologia mais suspeita em um tribunal. A manipulação das evidências segue o rito do Código de Processo Penal. Os aspectos legais são definidos pelo art. 170 e 171. O art. 170 versa sobre as perícias em laboratório, enquanto que o art. 171 fala dos crimes, a descrição dos arquivos é a seguinte: Art Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas. (DECRETO-LEI 3.689, 1941). Art Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado. (DECRETO-LEI 3.689, 1941) A aquisição e a manipulação de evidencias dependem de ferramentas para o desenvolvimento da perícia. Em decorrência disso as ferramentas livres serão alvo do próximo tópico. 2.5 Ferramentas Livres Quando um software é criado nem sempre atende completamente às necessidades dos usuários, com isto programadores procuram desenvolver soluções para resolver estes problemas, no entanto, quando o software é proprietário, modificações só podem ser feitas pelo proprietário ou com sua permissão. Iniciativas de desenvolvimento de código aberto surgiram através do tempo, alternativas como o projeto GNU e o movimento Open Source, incentivaram o crescimento do compartilhamento de códigos.

35 23 Richard Stalmman fundou o projeto GNU (GNU s Not Unix) em 1984, como forma de criar um sistema operacional gratuito. Com o tempo o projeto foi se tornando cada vez mais popular com o desenvolvimento de bons programas. No desenvolvimento de um software GNU os usuário e programadores tem a liberdade de fazer o que quiserem desde que as alterações feitas no código possam ser utilizadas por qualquer outra pessoa. De acordo com a licença GNU, um software tem as seguintes liberdades: Ser executado o usuário pode utilizá-lo para qualquer propósito; Ser adaptado é a liberdade que se tem de estudar o programa e adaptá-lo aos seus interesses; Ser redistribuído o desenvolvedor pode distribuir cópias do programa e deixar que outras pessoas a utilizem. Ser melhorado o programador que alterou o programa original tem a liberdade de disponibilizar sua versão para que outros se aproveitem dela. Utilizando ferramentas livres é necessário observar qual o Sistema em que serão utilizadas. As ferramentas usadas no Windows são diferentes daquelas empregadas nos sistemas Operacionais livres, entre os quais esta o Linux. Todas as características serão mencionadas a seguir. 2.6 Forense em Sistemas Windows Para realizar uma perícia é necessário entender a estrutura do sistema operacional envolvido. Nos sistemas desenvolvidos pela Microsoft entender a estrutura é tão importante quanto saber como está disposto o sistema de arquivos, e consequentemente a forma de alocação da memória, do sistema de troca de arquivos e todos os dispositivos envolvidos na perícia. Entender o sistema de arquivos ajuda a perceber a forma como os arquivos estão distribuídos no disco. Desta forma, as etapas do processo de investigação tornam-se mais qualificadas. Os sistemas operacionais da Microsoft apresentam várias versões, contudo, uma diferença entre as distribuições os torna complemente diferentes, enquanto uma delas é

36 24 desenvolvida para servidores e a outra desenvolvida para sistemas desktop. Os sistemas de arquivos utilizados pelos sistemas Windows são o Fat, o HPFS e o NTFS, enquanto o sistema de arquivo HPFS é utilizado para as versões 3(três) do Windows NT, o sistema Fat é suportado apenas pelas versões desktop como o Windows 98, o ME e o Windows XP e o NTFS é usado pela versões Servidoras. O leitor de discos nesse sistema é o fdisk, mostrado na figura 13. Contudo, o programa é utilizado em modo MSDos e, no Windows XP, só pode ser utilizado com o disco de boot. Para que o leitor funcione, modificações nos arquivos command.com e IO.sys são necessárias para evitar acesso a componentes da unidade. (CASEY, 2004). Figura 13 - Tela do Fdisk(MICROSOFT, 2007) O acesso à memória, tanto à memória swap quanto à memória principal, são áreas acessadas pelo processador para executar os programas em disco. Fonte de informação imprescindível para pesquisa de informações são os arquivos de log que gravam todas as informações de problemas contidos ou ocorridos nos Sistemas Microsoft. Os desempenhos de processamento, rede e memória podem ser consultados clicando conjuntamente nas teclas ctrl+alt+del, também serão apresentados os processos ativos no sistema, bem como os usuários utilizando o sistema, os aplicativos em uso e outras informações adicionais do Windows. Um exemplo de tela do gerenciador de processos do Windows é mostrado na figura 14.

37 25 nos próximos itens. Figura 14 - Gerenciador de processos do Windows(MICROSOFT, 2007) Todas as informações mencionadas acima serão relacionadas detalhadamente Princípios Nos sistemas Windows, Uma partição, por vezes também chamada volume, é uma área do disco rígido que pode ser formatada com um sistema de ficheiros e identificada com uma letra do alfabeto. (MICROSOFT, 2010). As partições nos volumes básicos podem ser: primárias, expandidas e unidades lógicas, conforme mostrado na figura 15. Um disco básico pode ter no máximo quatro partições, com no máximo três partições primárias. Com relação às partições expandidas podem conter até 128 unidades lógicas. (MICROSOFT, 2010).

38 26 Figura 15 - Dispositivos de disco(microsoft, 2007) Os sistemas de armazenamento de arquivos possuem propriedades diferentes, os tipos de armazenamento são em disco são: básico e dinâmico. O sistema básico possui tabelas de partições suportadas pelo MSDOS, enquanto que, o sistema de arquivos dinâmico. (SUPORTEMICROSOFT, 2010) Um volume dinâmico pode conter aproximadamente 2000 (duas mil) unidades. Após entender os sistemas de armazenamento é preciso saber como funcionam os diversos sistemas de arquivos. O FAT é uma tabela ou lista mantida por alguns sistemas operacionais para acompanhar o status de vários segmentos de espaço em disco, utilizado para o armazenamento de arquivos, tendo seus clusters maiores para alocar os arquivos. (DE LIMA, 2004). O FAT32 é um derivado do sistema de arquivos FAT. Ele dá suporte a clusters de tamanhos menores que os do FAT, o que resulta em alocação de espaço mais eficaz nas unidades FAT32. (DE LIMA, 2004). Finalmente o NTFS foi projetado para a família NT, com o objetivo de proteger o sistema com permissões em nível de arquivo e pasta. O FAT e o FAT32 não oferecem esse recurso, sendo que o controle de acesso para os sistemas FAT e FAT32 só poderá ser definido via compartilhamento de pasta (DE LIMA, 2004). É necessário lembrar que o sistema de arquivos NTFS no Windows XP

39 27 Professional oferece suporte a encriptação, compressão e cota. (DE LIMA, 2004). As permissões de arquivos são de: leitura, gravação, leitura e gravação, modificação e controle total. Para que as permissões de controle de pastas sejam ativadas é necessário desativar o compartilhamento simples de arquivos. A figura 16 mostra uma janela com as propriedade de arquivos no sistema operacional Windows. Figura 16 - Propriedades de arquivos(microsoft, 2007) Com relação às pastas o controle permite: leitura, gravação, leitura e gravação, modificar, controle total e a principal diferença o controle mais rígido o de apenas listar o conteúdo da pasta de documentos. Referente aos nomes dos arquivos, estes podem utilizar qualquer nome, o sistema de nomes não é case sensitive 9. 9 Case sensitive diferencia letras maiúsculas e minúsculas nos arquivos. (MAZIOLI, 2007).

40 28 Figura 17 - Permissões de documentos(microsoft, 2007) Pastas e arquivos estão divididos em Arquivos de programas, pasta onde os programas instalados no sistema são armazenados, e esta diretamente alocada dentro do disco C:\, Documents and Settings da mesma forma ligada ao disco C:\, onde ficam os documentos dos usuários e finalmente a pasta Windows a qual contém os arquivos de sistema e também de configuração. As figuras 17 e 18 mostram detalhes sobre permissões de documentos e arquivos no sistema operacional Windows.

41 29 Figura 18 - Sistema de arquivos e pastas(microsoft, 2007) Técnicas e Ferramentas A análise forense envolve um ciclo de coleta de dados, para que informações não sejam comprometidas é necessário que aquisição dos dados seja feita em modo somente leitura. Qualquer acesso: a rede, ao disco, a memória, ou qualquer outro local que possa conter informações pode comprometer toda a perícia. Um disco de boot pode ser criado para que o sistema não inicialize e perca informações vitais para o desenvolvimento do trabalho. Os arquivos IO.sys e o arquivo command.com devem ser alterados (que alterações devem ser feitas?) para evitar acesso a dados do sistema operacional e consequente perda ou alteração de provas. (CASEY, 2004) Após a captura, que pode acontecer tanto enviando os dados pela internet, quanto gravados em um HD externo, a montagem do volume de arquivos também deve ocorrer em modo somente leitura. Se as informações forem enviadas pela rede, o serviço deve apresentar criptografia, porque a criptografia permite a proteção dos dados.

42 30 Alterações no MACtime, são provas para traçar uma linha do tempo para entender Como os fatos ocorreram. O MACtime é a maneira abreviada de se referir aos três atributos de tempo mtime, atime, ctime que são anexados a qualquer arquivo ou diretório no Unix, Windows e em outros sistemas de arquivos. (FARMER, 2009). Cada atributo de data e hora possui um significado, atime refere-se à última data/hora em que o arquivo ou diretório foi acessado ; mtime muda quando o conteúdo do arquivo é modificado ; ctime muda quando o conteúdo ou as meta-informações sobre o arquivo mudaram: o proprietário, o grupo, as permissões de arquivo e assim por diante. (FARMER, 2009). A investigação dos logs de sistema pode apresentar alguma pista de quando aconteceu a primeira invasão. As datas dos arquivos de log do sistema também são fatos importantes, pois, arquivos de log gravam informações quase que diariamente. O QUANDO na perícia, em vários casos é mais importante do que o COMO, visto que é mais importante traçar uma linha do tempo como forma de entender o que foi feito. Pistas como tamanho de arquivos de sistema ou qualquer outro tipo de arquivo estranho ao ambiente de trabalho daquele local pode demonstrar que invasores possam estar captando informações para posterior análise. Arquivos de usuários estranhos ao sistema entre os de usuários ativos no sistema pode indicar a captura de informações. Fatos como a criação de novos usuários também são de grande utilidade, um novo membro no sistema não criado por qualquer pessoa que acessa o sistema apresenta evidencias de que o computador foi invadido. Serviços ativos não utilizados pelo usuário também podem ser fontes de pesquisa. Um serviço como telnet instalado num computador no qual usuários apenas acessam a internet para consultas torna-se um fato atípico ao que acontece na máquina. Todas as fontes apresentadas acima possuem um fundamento para que sejam analisadas pelo perito o que pode resolver o fato e concluir o inquérito com fontes de provas irrefutáveis. A tabela 2 lista as ferramentas mais utilizadas para análise forense computacional em sistemas Windows.

43 31 Tabela 2 - Tabela de Ferramentas Windows Ferramentas Boot DOS Ubuntu live Dd Copy Forensic toolkit Project r3x Nmap(zenmap) Ssh ferramenta putty Descrição Ferramenta boot do sistema Windows. Ferramenta de boot do sistema Linux. Cópia de arquivos do sistema Comando dos do windows Verificação do sistema de arquivos e evidencias Scanner de portas Scanner de portas Envio de dados criptografados pela rede 2.7 Forense em Sistemas Linux A estrutura de disco possui ao menos 4 tipos de partições. Para entender como os dados são alocados, é necessário entender como e quais são estas partições, tão importante quanto é entender onde e como as informações são armazenadas em disco, nas memórias físicas e swap, para entender como capturar e analisar os dados.

44 32 Figura 19 - Tela do comando df Linux(UBUNTU, 2010) O comando df do sistema Linux, mostrado na figura 19, possui as seguintes variáveis: df a inclui o modelo do sistema de arquivos, df h a saída ocorre em formatos legíveis para humanos, df i mostra a quantidade de inodes ao invés de blocos, df l listagem dos sistemas locais de arquivos, df k listagem do sistema de arquivos em kbytes, se m a saída seria em megabytes, df t vfat apresenta a listagem do sistema por tipo, df T apresenta o tipo do sistema de arquivos. Os principais sistemas de particionamento do Linux são: ext2, ext3, ext4, reiserfs, reiser4 e Linux-swap. Não é necessário instalar qualquer versão do sistema para que o usuário veja o funcionamento do software pois os sistemas Linux podem ser executados sem instalação.

45 33 Figura 20 - Tipos de particionamento do sistema Linux(UBUNTU, 2010) Entender como funciona o sistema de arquivos e como estes são armazenados em disco é fundamental para as etapas do processo de investigação sejam consideradas como provas idôneas num possível processo. A figura 20 ilustra a criação de uma partição no sistema Linux, O sistema de diretórios e arquivos do Linux é dividido entre as pastas: bin, boot, dev, etc, home, lib, mnt, media, opt, proc, root, sbin, tmp, usr e var A quantidade de memória utilizada pelo sistema pode ser conferida usando o comando free. Se o comando for executado sem nenhuma variável será apresentado em bytes, enquanto que utilizando o especificado m a quantidade de memória, cache, disponível, usada pelo sistema será apresentada em megabytes. Os processos inicializados pelo sistema ou programas utilizados podem ser consultados utilizando o comando ps ax, bem como, o comando who tem a finalidade de apresentar os usuários conectados. Todas as informações mencionadas serão detalhadas nos próximos itens.

46 Princípios O Linux é um sistema Operacional de código aberto distribuído gratuitamente pela internet (MAZIOLI, 2007). Possui várias distribuições, entre as principais estão, Debian, Red Hat, Suse, Conectiva, Slackware, Suse. O primeiro passo antes da gravação de um arquivo é a sua edição. Quando um usuário edita um arquivo, consome recursos do sistema. Estes, envolvem processos, uso da memória, em alguns casos o uso da memória swap e em todos os casos o uso do processador e do disco. Pronta a edição e, antes da gravação os arquivos necessitam de um nome e extensão. A extensão depende do tipo do arquivo, se for um texto pode ser um txt, doc, odt, rtf; contendo uma planilha eletrônica ods, xls; um programa em linguagem C um.c, em linguagem java, um.java, um script pode ter um.sh ou.py e assim por diante. Os nomes de arquivos são Case Sensitive, isto quer dizer que, um arquivo chamado texto.txt é diferente de outro chamado TEXTO.txt, mesmo que os conteúdos sejam os mesmos. Só após estes passos o arquivo do usuário ocupará um local no disco, entretanto, quando o mesmo for apagado ele desaparece só que a informação continua a existir e, em alguns casos só através de strings. Para executar a analise do sistema é necessário entender como ele está disposto. A contrassenso dos sistemas Windows, o Linux possui uma divisão de arquivos e pastas diferentes, conforme listado na tabela 3.

47 35 Tabela 3 - Descrição de Diretórios Linux Diretorio Descrição / Pasta raiz do sistema de arquivos /bin /boot /dev /etc /home /lib /mnt /media /opt /proc /root /sbin /tmp /usr /var Arquivos binários do sistema Arquivos de inicialização do sistema Dispositivos de sistema Arquivos de configuração do sistema Diretório de arquivo do usuário do sistema Biblioteca de executáveis Diretório de montagem de discos Diretório de montagem de discos Diretório instalação alguns programas Aquivos de processamento Diretório dos arquivos do administrador do sistema Mantém a máquina do usuário root Diretório de arquivos temporários Arquivos compartilhados do sistema Arquivos de sistema e logs do sistema O sistema Linux é orientado a arquivo, isto quer dizer que qualquer dado, como pasta, diretório, ou documento é considerado um arquivo. Se uma pasta é criada esta é considerada um arquivo, se um documento de texto é criado também é considerado um

48 36 arquivo. As permissões de acesso dos documentos em disco são tratadas de forma diferente conforme as permissões de acesso divididas por usuário, grupo e outros, com diferentes tipos de privilégios. As tabelas 4 e 5 listam estas permissões. A figura 21 mostra um exemplo de proteções utilizado no sistema Linux. Tabela 4 - Permissões de usuário Permissões UID GID OUTROS Descrição Identificação do usuário ou dono do arquivo. Identificação do grupo. Categoria dos usuários que não são donos dos arquivos ou pastas.

49 37 Permissões Descrição r w x d l -rwx Tabela 5 - Permissões de arquivos e pastas Permissão de leitura para arquivos ou pastas. Permissão de gravação para arquivos ou pastas. Permissão para executar arquivos. Quer dizer que o arquivo e uma pasta. Quer dizer que o arquivo e um link. Quer dizer que e um arquivo comum. Refere-se às permissões de acesso do dono do arquivo. - rwx Refere-se às permissões de acesso do grupo do arquivo. - rwx Refere-se ao acesso de outros usuários ao arquivo. 0 Não tem permissão para nenhuma tarefa (-rwx) 1 A permissão do tipo 1 refere-se a execução do arquivo (igual a +x) 2 Permissão de gravação (igual a +w). 3 Permissão de gravação e execução ( igual a +wx). 4 Permissão de leitura (igual a +r). 5 Permissão de leitura e execução (igual a +rx). 6 Permissão de leitura e gravação (igual a +rw). 7 Todas as permissões (igual a +rwx). u g o a Usuário Grupo Outros Todos

50 38 partições, listados na tabela 6: Figura 21 - permissões de arquivos e pastas(ubuntu, 2010) Quanto ao sistema de arquivos, o Linux possui os seguintes tipos de Tabela 6 - Sistema de Partições Linux Linuxswap ext2 ext3 ext4 reiserfs journaling (...)o tamanho combinado do programa, dos dados e da pilha pode exceder a quantidade de memória física disponível para ele. O Sistema operacional mantém essas partes do programa atualmente em uso na memória principal e o restante em disco. (TANENBAUM, 2000). Utilizada em sistema nativos, com a finalidade de armazenamento de dados. Semelhante ao sistema ext2, só que melhorado na gravação sequencial dos dados.( MAZIOLI, 2007,) Nova partição Linux ou aprimoramento da partição ext 3 com suporte a uma maior quantidade de dados, melhora na pré-alocação dos dados, tempo de alocação estendido e checagem mais rápida na alocação do sistema de arquivos. (GUIADOHARDWARENET, 2010) Sistema alternativo, com suporte de arquivos maiores do que 2 gigabytes e acesso mais rápido a árvore de diretórios. (MAZIOLI, 2007, p. 72) Não é um tipo de partição especifica, mas complementa as partições reiserfs, est3, ext4 com a função de gravar os dados em um espaço específica para, caso aconteça alguma coisa o sistema possa retomar as informações que foram gravadas anteriormente.

51 39 Após entender a composição dos diversos sistemas de arquivos, bem como a estrutura do sistema, o desenvolvimento da análise forense torna-se mais fácil de ser desenvolvido. Uma das principais fontes de informação são os arquivos de log do sistema. Os logs podem ser encontrados na pasta principal var, dentro dela, a pasta log contém todos os arquivos de log do sistema. O Linux possui menor suscetibilidade a vírus devido aos privilégios de acesso ao sistema. Para instalar um programa para monitorar as digitações dos usuários é necessário que o invasor possua a senha do administrador do sistema. Assim, o Linux não é impossível de ser invadido, no entanto a possibilidade é menor devido às permissões de pastas, também a divisão da arvore de arquivos que aloca os dados em pastas diferentes, conforme imagem abaixo (cadê a imagem?): Técnicas e Ferramentas A análise forense envolve um ciclo de coleta de dados, para que informações não sejam comprometidas é necessário que aquisição dos dados seja feita em modo somente leitura. Qualquer acesso: a rede, ao disco, a memória, ou qualquer outro local que possa conter informações pode comprometer toda a perícia. Sistema Linux possuem CDs ou Dvds de boot em modo livre, sem comprometer o sistema com instalação. A possibilidade de inicialização em modo somente leitura facilita a preservação de informações na cópia dos dados. Após a captura, que pode acontecer tanto enviando os dados pela internet, quanto gravados em um HD externo, a montagem do volume de arquivos capturados também deve ocorrer em modo somente leitura. O Linux possui ferramentas pré-instaladas que permitem a montagem de volumes em forma de modo somente leitura. Por à disposição ferramentas desta magnitude amplia a confiabilidade e o uso nesses softwares. A investigação dos logs de sistema pode apresentar alguma pista de quando aconteceu a primeira invasão. As datas dos arquivos de log do sistema também são fatos importantes, pois, arquivos de log gravam informações quase que diariamente. O QUANDO

52 40 na perícia, em vários casos é mais importante do que o COMO, visto que é mais importante traçar uma linha do tempo como forma de entender o que foi feito. Como explicado no subtítulo os MACtime refere-se aos atributos de tempo atime, mtime e ctime. O atime refere-se à data de acesso, a contrassenso, mtime muda quando o conteúdo do arquivo é alterado e finalmente o ctime é altera do quando as propriedades do arquivo são alteradas. Todas as fontes apresentadas acima possuem um fundamento para que sejam analisadas pelo perito o que pode resolver o fato e concluir o inquérito com fontes de provas irrefutáveis. A tabela 7 mostra as principais ferramentas para análise computacional forense no sistema Linux. Tabela 7 - Tabela de ferramentas Linux Ferramentas Ubuntu dd Nmap(zenmap) ssh ferramenta dc3dd Descrição Ferramenta de boot do sistema Linux. Cópia de arquivos do sistema Scanner de portas Envio de dados criptografados pela rede Fermenta faz copia dos dados como dd só que em modo gráfico

53 41 3 FUNDAMENTOS JURÍDICOS PARA ANALISE FORENSE 3.1 Introdução Os crimes cometidos na rede são uma nova área de conhecimento para o sistema jurídico brasileiro, o país não possui legislação específica para estes tipos de crimes. Contudo, acontece que, as legislações em vigor apresentam fundamentos que podem ser adaptados aos crimes eletrônicos. As implicações da segurança na internet vêm causando preocupação nas pessoas. Um dos primeiros projetos de lei sobre Direito Eletrônico teve inicio em Outros projetos foram desenvolvidos como: 137/00, 76/00 e o projeto 89/03. Vários são os nomes dados a esta parte do direito, alguns deles seguem abaixo: Direito da Informática - refere-se a uma parte muito restrita da matéria, visto que a informática possui uma implicação restrita que não faz referência aos aparelhos que fazem a comunicação e consequentemente aos meios que fazem a comunicação. Direito Digital - faz uma implicação apenas à parte digital, em contrassenso, a rede mundial de computadores possui muitos aparelhos ligados analogicamente, assim o nome é muito restrito a uma área tão ampla. Direito Eletrônico - finalmente o terceiro refere-se à divisão feita em analógico e digital, tanto a parte analógica quanto a digital fazem parte da comunicação entre computadores e aparelhos envolvidos neste processo. O projeto 89/03 obteve parecer na câmara diretora do senado com modificações, no entanto sem consenso, nem votação. O projeto refere-se em seus artigos à segurança, à invasão, à falsidade ideológica, aos crimes de dano, falsidade documental e estelionato. O projeto possui novos artigos que qualificam os crimes cometidos pela internet. O Direito Penal possui elementos específicos dos tipos penais, alguns de extrema importância para este estudo, entre eles estão: sujeito ativo, sujeito passivo, o objeto e

54 42 a classificação doutrinária. Sujeito ativo é aquele que pode praticar a conduta descrita no tipo. (GRECO, 2007). Sujeito passivo em citação utilizada por Rogério Greco (2007) de Bustos Ramírez e Hormzábal Malarée, que prelecionam: O sujeito passivo é o destinatário do comportamento típico (o titular do direito à vida, à saúde, à honra etc). O tipo penal é uma norma que descreve condutas criminosas em abstrato. (GONÇALVES, 2003), classificar doutrinariamente um tipo penal, significa o mesmo que apontar a sua natureza jurídica. (GRECO, 2007). 3.2 Dos Crimes contra a pessoa O Código Penal Brasileiro não possui nenhum tipo penal específico referente à invasão de computadores. Uma invasão é um ataque bem sucedido que resulte no acesso, manipulação ou destruição de informações em um computador. (CERT, 2006). Morimoto(2008) compara as redes com ruas e prédios da seguinte forma: Imagine que as duas partes do endereço IP (a parte referente à rede e a parte referente ao host) correspondem ao CEP da rua e ao número do prédio. Um carteiro só precisa destas duas informações para entregar uma carta. Mas, dentro do prédio moram várias pessoas. O CEP e número do prédio só vão fazer a carta chegar até a portaria. Daí em diante é preciso saber o número do apartamento. É aqui que entram as famosas portas TCP.(MORIMOTO,2008). Utilizando a analogia de Morimoto um crime de invasão pode ser considerado como invasão de domicílio. Os crimes contra a violação de domicílio apresentam a seguinte redação: Art Entrar ou permanecer, clandestina ou astuciosamente, ou contra a vontade expressa ou tácita de quem de direito, em casa alheia ou em suas dependências (DECRETO-LEI 2.848/40). Qualquer pessoa pode ser sujeito ativo, enquanto quem sofreu com a violação é o sujeito passivo. O crime de invasão de domicílio é considerado crime comum e a conduta do agente é a de entrar ou permanecer. A divulgação de segredos é crime cometido contra as pessoas. Mesmo sem artigos específicos para crimes cometidos na rede mundial de computadores a divulgação de documento particular encontra fulcro no artigo 153 do Código Penal. O sujeito ativo é a pessoa a quem se destina o documento e consequentemente

55 43 o detentor. O sujeito passivo é aquele que corre o risco do dano, resumidamente é a pessoa que tem suas informações publicadas. Rogério Greco (2007) classifica como crime próprio quanto ao sujeito ativo (pois que o tipo exige uma qualidade especial, vale dizer, a de destinatário ou detentor do documento particular ou de correspondência confidencial) e como crime comum quando ao sujeito passivo (uma vez que qualquer pessoa pode vir a ser prejudicada com a divulgação indevida).. Documentos particulares são documentos privados, nos quais não intervém nenhum oficial público (SOIBELMAN, 1998). A publicação de dados privados em blogs, em páginas na internet, Facebook, Myspace, Orkut, ou qualquer outro meio de divulgação de dados que esteja disponível na rede mundial de computadores. 3.3 Dos crimes contra o patrimônio O crime de dano é descrito da seguinte forma; Art Destruir, inutilizar ou deteriorar coisa alheia (DECRETO-LEI 2.848,1940). O tipo penal é a destruição do objeto, nesse caso uma máquina infectada. Um vírus de computador é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador (CERT, 2006). Este processo pode causar sérios problemas à máquina infecta. O sujeito ativo é o proprietário do computador, e o sujeito passivo é o atacante que enviou o código malicioso. 3.4 Dos Crimes contra a fé pública Alguns vírus de computador têm a finalidade de captar informações como número de cartões de crédito, números de contas de , senhas de contas em banco etc. Em alguns casos, para que códigos maliciosos executem em máquinas é necessário que usuários autorizem a execução ou o façam inadivertidamente.

56 44 Para tentar iludir os usuários atacantes anexam os vírus a outros tipos de arquivos fazendo com que o usuário execute indiretamente o arquivo obtendo a vantagem de ter acesso ao sistema ou arquivos que prejudiquem o atacado. O crime de estelionato encontra fulcro no artigo 171 do Código Penal que possui a seguinte descrição; Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento: (DECRETO-LEI 2.848,1940). Em sua obra, GREGO (2007) descreve que qualquer pessoa pode ser sujeito ativo, enquanto que, o sujeito passivo deverá possuir capacidade de discernimento para que possa, de acordo com os elementos do tipo penal em estudo, ser induzido ou mantido em erro.. Com relação à classificação estelionato é um crime comum para ambas as partes. 3.5 Dos Crimes contra a incolumidade pública A falsificação de páginas na web, perfis em redes sociais como Orkut, Facebook, Myspace, Twitter, possui fundamento legal no artigo 307 do Código Penal. A descrição apresentada é: Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem: (DECRETO-LEI 2.848,1940). O Crime pode ser cometido por qualquer pessoa que possua conhecimento, enquanto que, o sujeito passivo é a pessoa que sofreu o dano. O próximo item apresentará as novas alterações que poderão ser feitas no Código Penal.

57 Projeto de lei 89/ Dos Crimes cometidos na área de informática A inclusão dos artigos 285-A e 285-B ao Código Penal cria um novo tipo penal à invasão de computadores. No primeiro faz-se referência ao acesso com violação de segurança, no segundo a obtenção do acesso tem o fim pretendido da aquisição de informação. A pena imposta para o crime de invasão é de reclusão de 1 a 3 anos, mais multa. Reclusão é pena privativa de liberdade cumprida em regime fechado, semiaberto ou aberto (Gonçalves, 2003), enquanto que, as detenções são uma pena privativa de liberdade cumprida em regime semiaberto ou aberto, salvo a hipótese de transferência excepcional para o regime fechado. (GONÇALVES, 2003). Mesmo com a produção de efeitos nocivos, a pena quantitativa é a mesma imposta ao artigo 285-A que é de 1 a 3 anos mais a multa, qualificando dois crimes distintos da mesma forma. Os crimes dos artigos 285-A, 285-B, 154-A, 163, 163-A, 171, 265, 266, 297, 298, 259, 262, 262-A somente serão investigados e julgados mediante representação, exceção feita àqueles cometidos contra a administração direta e indireta. A representação é um tipo de ação penal. Ação Penal segundo CAPEZ (2005) é o direito de pedir ao Estado-Juiz a aplicação do direito penal objetivo a um caso concreto.. As ações penais são públicas ou privadas, conforme seja promovida pelo Ministério Público ou pela vítima e seu representante legal, respectivamente. (CAPEZ, 2005). Conforme art. 100 do Código Penal, A ação penal é pública, salvo quando a lei expressamente a declara privativa do ofendido. (DECRETO-LEI 2.848, 1940). Em suma, as ações penais serão sempre de competência do Ministério Público, exceto, quanto à lei disser o contrário. Por fim, a representação acontece quando o Ministério Público, titular desta ação, só pode a ela dar início se a vítima ou seu representante legal o autorizarem, por meio de uma manifestação de vontade. (CAPEZ, 2005). A inclusão do artigo 154-A protege o direito de imagem em sistemas

58 46 informatizados. Se o invasor ou qualquer outra pessoa resolver colocar na internet, documentos, ou outra informação de algum sistema de informática, como banco de dados, servidor de arquivos ou outro qualquer, de qualquer outra pessoa sem autorização desta, será enquadrada neste artigo. Art. 154-A. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal. O crime de dano é aquele em que o patrimônio de outrem sofre qualquer tipo, de destruição. O crime de dano já existia no Código Penal, apenas será acrescida a referência aos dispositivos informatizados. O artigo terá o seguinte texto Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio. (PROJETO DE LEI 89, 2003). Também será incluído o artigo 163-A Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado: (Projeto de lei 89, 2003). A pena do novo artigo 163-A ficou definida como: reclusão de 1 a 3 anos, enquanto a pena do crime de dano é de 1 a 6 meses. Mesmo que a pena do art. 163-A seja quantitativamente parecida com a pena da invasão (artigo 285-A), o intruso que não provoca transtorno a usuários não deveria possuir pena semelhante à invasão que pode destruir dados importantes do sistema. Outro ponto mencionado é o estelionato eletrônico que insere inciso no art. 171 do Código Penal e a qualificadora para crimes cometidos pela difusão de código malicioso. O inciso versa da seguinte forma: VII difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado. (Projeto de lei 89, 2003). A pena para o novo inciso é a mesma do artigo 171 cabeça, que é a de reclusão de 1 a 5 anos mais a multa. Estelionato é erro, artifício, ardil, que se usa contra alguém para obter vantagem ilícita. (SOIBELMAN, 1998). O artigo 265 mencionado no projeto continua com a mesma redação, no entanto, o artigo 266 sofreu a inserção de algumas palavras que fundamentam os crimes ocorridos pela internet. O projeto de lei apresenta a seguinte descrição: Art Atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação ou telecomunicação, ou qualquer outro de utilidade pública: Art Interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico, telemático, informático, de dispositivo de comunicação de rede de computadores, de sistema informatizado ou de telecomunicação, assim como impedir ou dificultar-lhe o restabelecimento: (Projeto de lei 89, 2003).

59 47 A falsidade de documentos insere uma nova condição que é o dado eletrônico, diferentemente de registros convencionais em que documento público é aquele no qual intervém um funcionário público e, particular quando não ocorre esta situação. (SOIBELMAN, 1998). Versa o artigo 297 Falsificar, no todo ou em parte, dado eletrônico ou documento público, ou alterar documento público verdadeiro: (Projeto de lei 89, 2003). A punibilidade do artigo 297 é a mesma imposta pela reação anterior do artigo, que é de 2 a 6 anos mais a multa. Assim, com a alteração de qualquer dado eletrônico que trafegue na rede que comprometa uma transação eletrônica pode impor uma pena de até seis anos para o infrator. Um dado pode ser enviado pela rede sem que haja qualquer tipo de criptografia, a criptografia é a forma de proteger transações ou transferência de dados entre dois computadores através de chaves de segurança. Uma transação bancária, por exemplo, utiliza uma chave privada em uma conexão segura que utiliza um protocolo de criptografia como forma de proteger os dados a serem transmitidos, como exemplo, uma transmissão feita na web utiliza uma página segura usando o protocolo HTTPS (Hiper Text Transport Protocol Secure). Quando se faz menção a https, que dizer que utiliza-se uma conexão segura. Para CERT.br (2006) https refere-se ao modo quando utilizado como parte de uma URL, específica a utilização de HTTP com algum mecanismo de segurança, normalmente o SSL. A alteração do artigo 298 é semelhante a do artigo 297, porque apenas sofreu a inserção das palavras dado eletrônico, Art Falsificar, no todo ou em parte, dado eletrônico ou documento particular ou alterar documento particular verdadeiro: (PROJETO DE LEI 89, 2003). A pena imposta para o artigo 297 é a de reclusão de 2 a 6 anos mais a multa, enquanto que a pena do 298 é de 1 a 5 anos mais a multa. A diferença entre os dois artigos é que as penas impostas ao setor público são superiores ao do setor privado. A descrição dos componentes, sistemas, dispositivos etc. foram inseridas no artigo 16 com respectivas descrições citadas na tabela 8:

60 48 Tabela 8 - Descrição e conceitos de equipamentos e serviços (Projeto de lei 89, 2003). Dispositivo de comunicação Sistema informatizado rede de computadores código malicioso dados informáticos dados de tráfego qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia. qualquer sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente; o conjunto de computadores, dispositivos de comunicação e sistemas informatizados, que obedecem a um conjunto de regras, parâmetros, códigos, formatos e outras informações agrupadas em protocolos, em nível topológico local, regional, nacional ou mundial através dos quais é possível trocar dados e informações; o conjunto de instruções e tabelas de informações ou qualquer outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida; qualquer representação de fatos, de informações ou de conceitos sob forma suscetível de processamento numa rede de computadores ou dispositivo de comunicação ou sistema informatizado; todos os dados informáticos relacionados com sua comunicação efetuada por meio de uma rede de computadores, sistema informatizado ou dispositivo de comunicação, gerados por eles como elemento de uma cadeia de comunicação, indicando origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente. Finalmente, uma das principais alterações, a edição do art. 241 da lei 8069/90, que criou o Estatuto da Criança e do Adolescente. A redação do artigo inclui tipos penais. A pena para o crime continua a mesma que é de 4 a 8 anos mais a multa imposta. Também a referência à pornografia na rede mundial de computadores que envolva crianças e adolescentes. Aprovado o projeto o art. 241 passará a vigorar com a seguinte descrição:

61 49 Art Apresentar, produzir, vender, receptar, fornecer, divulgar, publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive rede mundial de computadores ou Internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente: (Projeto de lei 89, 2003) Ausência de Dispositivos estão: Problemas importantes deixaram de ser mencionados no projeto. Entre eles I. A responsabilidade dos administradores de redes, dos donos de lanhouse ou cybercafés. II. O envio de s corporativos é um problema que causa muita discussão, devido à possibilidade de administradores de redes interceptarem dados de funcionários, como forma de avaliar atividades funcionais de empregados. III. A troca de músicas, que utiliza programas P2P e a conexão direta entre vários computadores para realizar a troca e segundo as compras e transações bancárias realizadas pela internet. A troca de músicas, livros, viola os direitos do autor. A Constituição da República refere-se aos direitos do autor, enquanto que, a pena para quem publica, transmite, retransmite e distribui é fundamentada pela lei n 9610/98. A descrição dos artigos segue abaixo: Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: XXVII - aos autores pertence o direito exclusivo de utilização, publicação ou reprodução de suas obras, transmissível aos herdeiros pelo tempo que a lei fixar; XXVIII - são assegurados, nos termos da lei: a) a proteção às participações individuais em obras coletivas e à reprodução da imagem e voz humanas, inclus ive nas atividades desportivas;(c.f., 1998). Art Quem editar obra literária, artística ou científica, sem autorização do titular, perderá para este os exemplares que se apreenderem e pagarlhe-á o preço dos que tiver vendido. Parágrafo único. Não se conhecendo o número de exemplares que

62 50 constituem a edição fraudulenta, pagará o transgressor o valor de três mil exemplares, além dos apreendidos. Tão importante quanto é a execução pública de obras sem a permissão do autor, isto sim em locais determinados como: teatro, shows e em apresentações públicas, cabe a representação aos responsáveis pela administração das obras, fica sujeita a pena de 20 vezes o valor a ser pago. Art A execução pública feita em desacordo com os arts. 68, 97, 98 e 99 desta Lei sujeitará os responsáveis a multa de vinte vezes o valor que deveria ser originariamente pago. (Lei 9610,98) IV. Por fim, com referências a fatores bancários e transações realizadas pela internet, a responsabilidade dos agentes possui uma linha muito tênue entre a responsabilidade de cada envolvido. Se a transação é realizada de forma segura, com a utilização de criptografia de chave pública e privada sem que haja nenhuma falha no envio ou recepção dos dados não poderia o usuário ficar responsabilizado pela transmissão dos dados e utilização das chaves. Entretanto, a responsabilidade jurídica das empresas que fazem transações pela internet é subjetiva, se o usuário possuir um keylogger, programa com a finalidade de capturar as teclas digitadas pelo usuário, ou a captura de telas utilizadas pelo usuário (screenlogger), em execução em seu computador. É importante que a responsabilidade nestes casos seja analisada para decidir a responsabilidade das partes envolvidas no processo de acesso, transação e finalização da compra ou operação bancária.

63 51 4 ANÁLISE DE FERRAMENTAS 4.1 Procedimento em Ambiente Windows Os dados foram copiados para outro disco, visto que a copia em formato ISO não seria montada com um disco de boot MSDOS e nem com o programa ForensicToolkit1.8 que necessita ser instalado o que necessita de um sistema em execução. Após a cópia dos dados para outro disco ocorreu em modo somente leitura e utilizou-se o programa dd do Linux como utilitário de cópia, visto que, a transcrição de arquivos e pastas é feita bit a bit e o modo somente leitura preserva a integridade dos dados. Ctime, atime e mtime refere-se respetivamente as data de criação, data de acesso e data de modificação de um arquivo. Um arquivo pode ter sua data de criação alterada quando o comando touch é executado, a data acesso pode ser alterada utilizando o comando cat, e finalmente a data de modificação pode mudar utilizando o comando chown. A avaliação da qualidade do projeto descrita por PRESMAN (2006), utiliza alguns atributos de qualidade desenvolvidos pela Hewlett Paackard. Os atributos de qualidade de projeto formam adaptados para a verificação de ferramentas de computação forense, também foi criada uma tabela de avaliação. Os valores são determinados de forma binária: 0- negativo, 1-positivo. Funcionalidade avaliará características e capacidades. Usabilidade avaliará a estética. Confiabilidade se apresenta falhas ou restrições. Desempenho - verifica a capacidade de processamento. Suportabilidade capacidade de configuração Estudo de caso com disco Boot Windows 98 CASO 1: O usuário compartilhou os dados através de pastas do sistema de arquivos. O invasor se aproveitou de senhas e compartilhamentos padronizados e obteve o controle do sistema.

64 52 Cada caso de invasão apresenta um comportamento diferente para a pesquisa de informações. Os sistemas da Microsoft possuem código fechado o que dificulta a captação de informações e atribui maior complexidade a análise. O sistema invadido foi o Windows XP. A inicialização do sistema de boot utilizando o MSDos apresentou muitas restrições para a pesquisa de dados. Ferramentas como recover, find, findstr, fc, calcsl e edit foram importantes para verificar as informações. As ferramentas citadas acima possuem as seguintes funcionalidades, recover recupera informações em discos, find e findstr tem por fim procurar textos em arquivos, fc compara dois arquivos, calcsl exibe listas de controle de acesso e finalmente edit faz leitura do conteúdo de arquivos. O mais importante foram os logs de sistema que bem configurados apresentaram o que aconteceu no sistema. Os logs do Windows XP podem ser encontrados nas seguintes pastas: I. Logs de consulta de aplicativos: C:\Windows\system32\config\AppEvent.evt II. Logs de segurança: C:\Windows\system32\config\SecEvent.evt III. Logs de Sistema: C:\Windows\system32\config\Sysevent.evt Os logs dos sistemas Windows XP podem ser configurados no painel de controle, ferramentas administrativas, gerenciamento do computador, também é possível visualizar ou ler eventos ao utilizar o comando compmgmt.msc. Logs de aplicativos armazenam eventos como a instalação de aplicativos, acesso de programas a arquivos, inicialização e outros. Os Logs de segurança mantem os avisos, erros e demais informações de segurança. Por fim, logs de sistema conservam dados sobre estados de programas executados no sistema. Importante lembrar que os logs do firewall também foram ativados através das conexões de rede, conexão local, propriedades das conexões locais, na aba Avançado, opções em Firewall do Windows, na aba avançado, configurações em Log de segurança, marcando Registrar em log os pacotes eliminados e também Registrar em log as conexões bem sucedidas. Os arquivos de log do firewall do Windows podem ser encontrados em C:\Windows\ pfirewall.log. Os arquivos de log foram lidos utilizando o comando edit -

65 53 ferramentas do MSDos, mostrado na figura 22. Figura 22 - logs do Firewall do Windows(MICROSOFT, 2007) Conforme a figura 22, foi aberta conexão entre a máquina invasora e a máquina hospedeira Nos eventos de log de sistema foi apresentada informações do usuário saturno.

66 54 Figura 23 - Log de Sistema(MICROSOFT, 2007) Conforma imagem apresentada na figura 23 é possível perceber que a invasão ocorreu, contudo as ferramentas não possuem consistência para entender o que foi feito no sistema de arquivos ou no sistema operacional. A tabela 9 mostra uma avaliação da ferramenta Boot MSDos. Tabela 9 - Avaliação Boot MSDos Objetivo Notas Funcionabilidade(capacidade) 0 Usabilidade(estética) 0 Confiabilidade(falha e restrição) 0 Desempenho(capacidade processar) 1 Suportabilidade(capacidade configurar) 1 Total 2

67 Estudo de caso com ForensicToolkit1.8 CASO 2: O segundo caso é semelhante ao primeiro. O usuário compartilhou pastas do sistema de arquivos e o invasor obteve o controle do sistema. Tanto o Sistema Operacional invadido quanto o hospedeiro da ferramenta ForensicToolkit1.8 utilizaram o Windows XP, conforme mostrado na figura 24. Na inicialização, a ferramenta requer um endereço de rede e uma porta, logo depois a ferramenta apresenta qual o tipo de procedimento deve ser seguido, se é um novo caso ou se deseja continuar em algum processo já iniciado. Se um novo caso for cadastrado, as informações deverão ser preenchidas para formalizar a aquisição com o formulário. O próximo passo inquiriu o perito sobre o tipo de local a qual a captação deve ser feita, em discos, arquivos ou pastas, etc. Após a escolha do tipo de mídia, o perito escolhe os tipos de arquivos que devem ser pesquisados, como imagens, executáveis, arquivos de sistemas, documentos, planilhas, banco de dados e vários outros. Encerrada a verificação de arquivos, o software os apresenta divididos em vários tópicos que podem ser escolhidos pelo usuário. Tópicos que contem arquivos duplicados, arquivos com extensões suspeitas e arquivos apagados entre outros. A partir deste ponto a função do perito é avaliar os dados do sistema para captar informações que comprovem a culpabilidade ou não dos envolvidos no caso. A tabela 10 apresenta a avaliação da ferramenta.

68 56 Figura 24 - FTK toolkit(accessdata, 2010) Tabela 10 - Avaliação ForensicToolkit20 Objetivo Notas Funcionabilidade(capacidade) 1 Usabilidade(estética) 1 Confiabilidade(falha e restrição) 1 Desempenho(capacidade processar) 0 Suportabilidade(capacidade configurar) 0 Total Procedimento em Ambiente Linux O Linux foi inicializado sem instalação, de modo a não alterar o sistema de arquivos. Logo após, o comando tune2fs l mostra as partições do sistema a qual será

69 57 montada, neste caso a partição é /dev/sda1. A figura 25 mostra a execução do comando tune2fs. Figura 25 - Execução do comando tune2fs.(fdtk, 2007) Para a montagem do sistema de arquivos foi criada a pasta forense dentro do diretório media, utilizou-se o comando mkdir forense. Agora a cópia dos dados será feita em modo somente leitura para a pasta forense dentro do diretório media. A montagem utilizou o comando: mount r t /dev/sda1 /media/sda1. Arquivos possuem características de tempo como ctime, atime e mtime dos arquivos capturados que respetivamente referem-se às datas de criação, de acesso e de modificação dos arquivos. Um arquivo pode ter sua data de criação modificada quando o comando touch é executado, a data de acesso pode ser alterada utilizando o comando cat, e finalmente a data de modificação pode mudar utilizando o comando chown. A consulta de arquivos pode ser feita com os comandos find e ls. A avaliação da qualidade do projeto descrita por PRESMAN (2006) utiliza alguns atributos de qualidade desenvolvidos pela Hewlett Paackard. Os atributos de qualidade de projeto formam adaptados para a verificação de ferramentas de computação forense, também foi criada uma tabela de

70 58 avaliação. Os valores são determinados de forma binária: 0-negativo 1-positivo. Funcionalidade avaliará características e capacidades. Usabilidade avaliará a estética. Confiabilidade se apresenta falhas ou restrições. Desempenho - verifica a capacidade de processamento. Suportabilidade capacidade de configuração Estudo de caso com FDTK-V2.01 CASO 1: O sistema foi invadido utilizando o serviço Telnet, vários arquivos foram apagados, não houve a intenção de capturar arquivos do usuário, apenas a vontade de destruir dados. A pesquisa seguiu os seguintes passos até encontrar evidências sobre a invasão do sistema Linux A investigação dos dados utilizou ferramentas de distribuição Linux, no entanto o trabalho é facilitado pelas ferramentas estarem dispostas de forma que o usuário não tenha que procurar ou instalar nenhuma delas. A cópia de dados em disco utilizou janelas, a distribuição também possui verificação de arquivos dat, alteração em datas de arquivos, leitores de hexadecimais, localização de dados, recuperação de dados em discos fat, ntfs e outros. Algumas ferramentas, devido à versão da distribuição, ficaram desatualizadas, mesmo assim a maioria delas ainda atende a sua função. Na avaliação realizada ferramentas a maioria das ferramentas utilizadas foram em modo texto, visto que o conjunto de ferramentas nem sempre são específicos para todas as perícias. Após a consulta dos discos, a cópia dos dados e a montagem do volume, teve início a busca por evidencias. Os logs do sistema Linux possuem várias informações entre as quais estão os logs de sessão, logs de instalação, logs de usuários autenticados, em vista disto, a investigação teve inicio pelos logs do sistema. Procurar entre arquivos observando a data de cada um deles seria muito trabalhoso. Arquivos de log podem conter a pistas que facilitem a investigação. Linhas dos arquivos de log podem ser apagadas prejudicando o trabalho forense.

71 59 Arquivos de consulta de senha como o /etc/passwd, logs de usuários inseridos foram excluídos e logs do sistema podem comprovaram a assertiva. Finalmente comparando todas as informações a perícia e encontrou dados nos logs do Linux e também no history dos arquivos bash, podem demonstrar todos os passos do usuário no sistema. Detalhadamente, a busca por informações ocorreu da forma descrita abaixo: Os dados foram copiados para outro disco. O sistema linux inicializou em modo livre e a copia dos dados utilizou o dd do linux para outro disco rígido. O comando discover -d informou que o sistema possui um disco rígido e um drive de cd-rom. Para consultar os tipos de dispositivos foi usado o comando ls -d /dev/s* e ls -d /dev/h*, que identificou os volumes sda, sda1, sda2, sda5 na pasta dev. O comando tune2fs -l /dev/sda1 consultou qual dos dispositivos conteriam o sistema de arquivos. Os dispositivos /dev/sda, /dev/sda2 e /dev/sda5 não retornaram informações sobre qualquer sistema de arquivos, enquanto que o /dev/sda1 retornou instruções do dispositivo de sistema. Foi criada a pasta de armazenamento FDTK, dentro da pasta de montagem media do sistema livre. O comando usado para criar a pasta foi mkdir FDTK. A pasta tem a finalidade de receber a montagem do sistema de arquivos copiados com o dd do linux. A investigação identificou que o invasor criou um usuário de sistema e com ele sua própria pasta de arquivos. Por descuido ou erro, a pasta do usuário criado permaneceu no sistema, e com isso foi possível identificar que o perfil escolhido pelo invasor recebeu o nome de chuck. O histórico de comandos do usuário, mostrada na figura 26, identificou que o usuário tentou apagar arquivos, contudo não conseguiu, por conseguinte, tentou usar privilégios de administrador ao acessar o usuário root. A data de criação da pasta de arquivos chuck ocorreu em 19 de maio de 2011, com isto é possível determinar que arquivos acessados, modificados ou criados por chuck ou alterados nessa data podem ter sido feitos pelo invasor do sistema.

72 60 Figura 26 -Histórico de comandos do usuário Chuck(FDTK, 2007) Em busca de informações nos arquivos de log, verificou-se que todos os arquivos de log foram apagados. O comando cat 10 e tail 11 auxiliaram na leitura dos arquivos não apagados. O arquivo de histórico de comandos do administrador do sistema, mostrada na figura 27, comprovou que a finalidade da invasão era apagar arquivos do usuário e informações e consequentemente dados que comprovassem a penetração no sistema. Figura 27 - Histórico de comandos Administrador do sistema(fdtk, 2007) Ao fazer uso da ferramenta recover que tem por fim recuperar arquivos, a 10 Comando Linux para leitura total de arquivo 11 Comando Linux para leitura de linhas de arquivos

73 61 ferramenta não obteve êxito na em sua tarefa, contudo a ferramenta foremost foi bem sucedida mesmo que parcialmente. O comando usado foi foremost -t all /media/fdtk/home/netuno/, no entanto quando o comando foi utilizado, foi considerado como sistema somente leitura a pasta criada com o nome de output dentro do diretório media. Os arquivos foram divididos por tipo e recuperados, conforme mostrado na figura 28. Figura 28 - Pastas com arquivos recuperados pelo foremost.(fdtk, 2007 ) Todas as ferramentas de recuperação estavam disponíveis no FDTK outras ferramentas utilizadas estão pré-instaladas no sistema, também está pré-instalado o programa Coroner's Toolkit de Dan Farmer. A tabela 11 mostra a avaliação da ferramenta FDTK. Tabela 11 - Avaliação FDTK Objetivo Notas Funcionabilidade(capacidade) 1 Usabilidade(estética) 1 Confiabilidade(falha e restrição) 0 Desempenho(capacidade processar) 1 Suportabilidade(capacidade configurar) 1 Total Estudo de caso com Distribuição Linux CASO 2: O sistema foi invadido para capturar arquivos pessoais do usuário, após analisar os arquivos, o invasor apenas se apoderou de fotos comprometedoras do usuário do sistema.

74 62 A pesquisa seguiu os seguintes passos até encontrar evidências sobre a invasão do sistema Linux Após a consulta dos discos, a cópia dos dados e a montagem do volume, teve início a busca por evidencias. Os logs do sistema Linux possuem várias informações, devido a isto, a investigação teve inicio pelos logs do sistema. Procurar entre os arquivos observando a data de cada um deles seria muito trabalhoso. Os arquivos de log podem conter a pista para investigar. Algumas linhas foram apagadas como forma de proteção. O sistema foi invadido pelo serviço ssh que continha uma senha fraca. Assim o usuário utilizou da vulnerabilidade. Entrou no sistema e criou mais dois usuários, os quais não foram utilizados. Os usuários serviram para identificar quando teve inicio as atividades de invasão. Mesmo assim, os arquivos de senha /etc/passwd forma consultados, ficou comprovado que, os usuários inseridos foram excluídos, os logs do sistema evidenciaram a assertiva. Finalmente, ao comparar todas as informações, a perícia encontrou dados nos logs do Linux e também no history, demonstrando todos os passos do usuário no sistema. Detalhadamente, a busca por informações ocorreu da forma descrita abaixo: Os dados foram copiados para outro disco. O sistema linux inicializou em modo livre e a copia dos dados utilizou o dd do linux para outro disco rígido. O comando tune2fs -l /dev/sda1 consultou qual dos dispositivos conteriam o sistema de arquivos. O dispositivo /dev/sda não retornou nenhuma informação de qualquer sistema de arquivos, enquanto que o /dev/sda1 retornou instruções de um dispositivo de sistema. Para a montagem do sistema de análise foi necessário criar uma pasta para cópia dos arquivos. A pasta foi criada dentro da pasta media na raiz do sistema de arquivos Linux, o nome aplicado ao diretório de armazenamento foi forenselinux. Após o conhecimento do disco rígido a montagem do sistema ocorreu em modo somente leitura utilizando o seguinte comando: mount -r /dev/sda1 /media/forenselinux. O primeiro passo foi verificar os arquivos de log, a consulta de datas dos arquivos de log ocorreu ao empregar o comando ls -la --time=atime. O atime retorna o último acesso do arquivo e também apresenta o dono do arquivo e o grupo. Os comando cat e tail auxiliaram na leitura dos arquivos de log. A pasta apt

75 63 apresentou a instalação de programas com datas embaralhadas. O primeiro indício foi a instalação do telnet, serviço que poderia oferecer acesso facilitado ao sistema. Após empregar o comando cat dpkg.log grep telnet ficou claro que o invasor instalou o servidor telnet no dia 20 de maio de O log de autenticação identificou um novo usuário, mostrado na figura 29. O usuário juliano foi criado pelo usuário root. No mesmo sentido, é possível concluir que o invasor possui a senha do administrador do sistema. Figura 29 - Análise dos arquivos de log(ubuntu, 2010) Os arquivos lastlog e syslog não apresentaram informações de grande relevância. O próximo passo foi buscar os comandos utilizados pelo invasor no arquivo bash_history do usuário root. O acesso a pasta root só é permitido ao seu dono. O arquivo apresentou todos os passos do invasor no sistema. O usuário criou o usuário juliano, tentou copiar a pasta de fotos e, também deletou a pasta do usuário criado. As figura 29 e 30 ilustram os comandos utilizados. A tabela 12 mostra o resultado da avaliação do uso da distribuição Linux.

76 64 Figura 30 - Inserção de novo usuário ao sistema(ubuntu, 2010) Figura 31 - Arquivo bash_history contendo informações da invasão(ubuntu, 2010)

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais:

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: SISTEMAS OPERACIONAIS 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: I. De forma geral, os sistemas operacionais fornecem certos conceitos e abstrações básicos, como processos,

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Forense Computacional

Forense Computacional Forense Computacional Diego Tavares (PET-Computação) diegot@dsc.ufcg.edu.br Introdução A Forense Computacional pode ser definida como a ciência que estuda a aquisição, preservação, recuperação e análise

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Sistema Operacional Unidade 4.2 - Instalando o Ubuntu Virtualizado

Sistema Operacional Unidade 4.2 - Instalando o Ubuntu Virtualizado Sistema Operacional Unidade 4.2 - Instalando o Ubuntu Virtualizado Curso Técnico em Informática SUMÁRIO INTRODUÇÃO... 3 CRIAÇÃO DA MÁQUINA VIRTUAL... 3 Mas o que é virtualização?... 3 Instalando o VirtualBox...

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Sistemas de Informação Processamento de Dados

Sistemas de Informação Processamento de Dados Sistemas de Informação Processamento de Dados Ferramentas e serviços de acesso remoto VNC Virtual Network Computing (ou somente VNC) é um protocolo desenhado para possibilitar interfaces gráficas remotas.

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento o ESET Smart Security é um software

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

AFRE. a. ( ) Instalando um programa gerenciador de carregamento, como o LILO ou o GRUB. a. ( ) Data Werehouse ; Internet ; Linux

AFRE. a. ( ) Instalando um programa gerenciador de carregamento, como o LILO ou o GRUB. a. ( ) Data Werehouse ; Internet ; Linux 1. De que forma é possível alterar a ordem dos dispositivos nos quais o computador procura, ao ser ligado, pelo sistema operacional para ser carregado? a. ( ) Instalando um programa gerenciador de carregamento,

Leia mais

SUMÁRIO 1. AULA 7 INTRODUÇÃO À REDES PONTO A PONTO = PARTE 1:... 2

SUMÁRIO 1. AULA 7 INTRODUÇÃO À REDES PONTO A PONTO = PARTE 1:... 2 SUMÁRIO 1. AULA 7 INTRODUÇÃO À REDES PONTO A PONTO = PARTE 1:... 2 1.1 Introdução... 2 1.2 Montando Redes Ponto-a-Ponto... 3 1.2.1 Parte lógica... 3 1.2.2 Escolhendo o sistema operacional... 3 1.2.3 Instalação

Leia mais

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa SEGURANÇA DA INFORMAÇÃO DICAS Aguinaldo Fernandes Rosa Especialista em Segurança da Informação Segurança da Informação Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7 MANUAL DO PRODUTO TIM Protect Família Versão 10.7 1 1 Índice 1 Índice... 2 2 TIM Protect Família... 4 2.1 Instalação do TIM Protect Família... 5 2.1.1 TIM Protect Família instalado... 7 2.2 Ativação do

Leia mais

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Conteúdo F-Secure Anti-Virus for Mac 2015 Conteúdo Capítulo 1: Introdução...3 1.1 Gerenciar assinatura...4 1.2 Como me certificar de que o computador está protegido...4

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS

UNIVERSIDADE FEDERAL DE PELOTAS Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

Questões Potenciais para a Prova Informática Questões Carlos Vianna

Questões Potenciais para a Prova Informática Questões Carlos Vianna 1. Questões Potenciais para a Prova Informática Questões Carlos Vianna 2012 Copyright. Curso Agora eu Passo - Todos os direitos reservados ao autor. 1.O comando pwd do Linux possibilita ao usuário efetuar

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

SENAI São Lourenço do Oeste. Introdução à Informática. Adinan Southier Soares

SENAI São Lourenço do Oeste. Introdução à Informática. Adinan Southier Soares SENAI São Lourenço do Oeste Introdução à Informática Adinan Southier Soares Informações Gerais Objetivos: Introduzir os conceitos básicos da Informática e instruir os alunos com ferramentas computacionais

Leia mais

Guia De Criptografia

Guia De Criptografia Guia De Criptografia Perguntas e repostas sobre a criptografia da informação pessoal Guia para aprender a criptografar sua informação. 2 O que estamos protegendo? Através da criptografia protegemos fotos,

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malware O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador

Leia mais

FACULDADE ZACARIAS DE GÓES JUSSARA REIS DA SILVA SISTEMA DE ARQUIVOS

FACULDADE ZACARIAS DE GÓES JUSSARA REIS DA SILVA SISTEMA DE ARQUIVOS FACULDADE ZACARIAS DE GÓES JUSSARA REIS DA SILVA SISTEMA DE ARQUIVOS Valença 2010 JUSSARA REIS DA SILVA SISTEMAS DE ARQUIVOS Trabalho apresentado como requisito parcial para AVII da disciplina Sistemas

Leia mais

CESPE - 2012 - FNDE - Técnico em Financiamento e Execução de Programas e Projetos Educacionais

CESPE - 2012 - FNDE - Técnico em Financiamento e Execução de Programas e Projetos Educacionais CESPE - 2012 - FNDE - Técnico em Financiamento e Execução de Programas e Projetos Educacionais De modo semelhante ao Linux, o Windows é considerado um software microbásico. Uma característica desse tipo

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Capítulo 1: Introdução...3

Capítulo 1: Introdução...3 F-Secure Anti-Virus for Mac 2014 Conteúdo 2 Conteúdo Capítulo 1: Introdução...3 1.1 O que fazer após a instalação...4 1.1.1 Gerenciar assinatura...4 1.1.2 Abrir o produto...4 1.2 Como me certificar de

Leia mais

Andarta - Guia de Instalação. Guia de Instalação

Andarta - Guia de Instalação. Guia de Instalação Guia de Instalação 29 de setembro de 2010 1 Sumário Introdução... 3 Os Módulos do Andarta... 4 Instalação por módulo... 6 Módulo Andarta Server... 6 Módulo Reporter... 8 Módulo Agent... 9 Instalação individual...

Leia mais

FAT32 ou NTFS, qual o melhor?

FAT32 ou NTFS, qual o melhor? FAT32 ou NTFS, qual o melhor? Entenda quais as principais diferenças entre eles e qual a melhor escolha O que é um sistema de arquivos? O conceito mais importante sobre este assunto, sem sombra de dúvidas,

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte III: Privacidade Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Cartilha

Leia mais

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos. Agenda

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida ESET NOD32 Antivirus 4 para Linux Desktop Guia de Inicialização Rápida O ESET NOD32 Antivirus 4 fornece proteção de última geração para o seu computador contra código malicioso. Com base no mecanismo de

Leia mais

DIREITO DA SOCIEDADE DA INFORMAÇÃO

DIREITO DA SOCIEDADE DA INFORMAÇÃO DIREITO DA SOCIEDADE DA INFORMAÇÃO Prof. Fabiano Taguchi http://fabianotaguchi.wordpress.com fabianotaguchi@gmail.com Bens jurídicos peculiares à informática Crimes digitais e suas modalidades Relações

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

Volume ACRONUS SOFTWARE GUIA DE UTILIZAÇÃO DO ACRONUS SYSTEM. Manual Técnico 4.28

Volume ACRONUS SOFTWARE GUIA DE UTILIZAÇÃO DO ACRONUS SYSTEM. Manual Técnico 4.28 Volume 1 ACRONUS SOFTWARE GUIA DE UTILIZAÇÃO DO ACRONUS SYSTEM Manual Técnico 4.28 P A C O T E I N S T I T U I Ç Õ E S D E E N S I N 0 - E M P R E S A S Manual Técnico 4.28 ACRONUS SOFTWARE 08.104.732/0001-33

Leia mais

Sistema de Arquivos. Ciclo 5 AT1. Prof. Hermes Senger / Hélio Crestana Guardia

Sistema de Arquivos. Ciclo 5 AT1. Prof. Hermes Senger / Hélio Crestana Guardia Sistema de Arquivos Ciclo 5 AT1 Prof. Hermes Senger / Hélio Crestana Guardia Referência: Deitel Cap. 13 Nota O presente material foi elaborado com base no material didático do livro Sistemas Operacionais,

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 9.4 (Symbian)

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 9.4 (Symbian) MANUAL DO PRODUTO TIM Protect Família Versão 9.4 (Symbian) 1 1 Índice 1 Índice... 2 2 Protect... 4 3 Instalação do Protect... 4 3.1 Instalação da Central de Serviços... 5 3.2 Instalação automática do Protect...

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Curso Técnico de Nível Médio

Curso Técnico de Nível Médio Curso Técnico de Nível Médio Disciplina: Informática Básica 3. Software Prof. Ronaldo Software Formado por um conjunto de instruções (algoritmos) e suas representações para o

Leia mais

GERENCIAMENTO DE DISPOSITIVOS

GERENCIAMENTO DE DISPOSITIVOS 2 SISTEMAS OPERACIONAIS: GERENCIAMENTO DE DISPOSITIVOS E ARQUIVOS Introdução à Microinformática Prof. João Paulo Lima Universidade Federal Rural de Pernambuco Departamento de Estatística e Informática

Leia mais

Exercícios CESPE/UnB 2012

Exercícios CESPE/UnB 2012 Exercícios CESPE/UnB 2012 Julgue os itens seguintes, acerca dos sistemas operacionais Windows e Linux. 01 No sistema Linux, existe um usuário de nome root, que tem poder de superusuário. Esse nome é reservado

Leia mais

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto Curso Técnico em Informática SUMÁRIO INTRODUÇÃO... 3 Protocolo de rede... 3 Protocolo TCP/IP... 3 Máscara de sub-rede... 3 Hostname... 3

Leia mais

16. Assinale a alternativa que NÃO apresenta uma vantagem dos Sistemas Operacionais com interface gráfica:

16. Assinale a alternativa que NÃO apresenta uma vantagem dos Sistemas Operacionais com interface gráfica: ASSISTENTE EM ADMINISTRAÇÃO 7 INFORMÁTICA QUESTÕES DE 16 A 35 16. Assinale a alternativa que NÃO apresenta uma vantagem dos Sistemas Operacionais com interface gráfica: a) Possibilita a ativação de vários

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

CARTILHA DE SEGURANÇA

CARTILHA DE SEGURANÇA ESTADO DE SERGIPE TRIBUNAL DE CONTAS DO ESTADO CARTILHA DE SEGURANÇA COORDENADORIA DE INFORMÁTICA Sumário O que é informação... 3 Cuidado com a Engenharia Social... 3 Dicas de Senhas... 4 Recomendações

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. E-Mail. Como Identificar um Phishing Scan

Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. E-Mail. Como Identificar um Phishing Scan www.bradesco.com.br Índice Versão 01-2007 Introdução 2 Ameaças à Segurança da Informação 12 Dispositivos de Segurança no Bradesco Net Empresa 3 E-Mail 14 Procuradores e Níveis de Acesso 6 Como Identificar

Leia mais

Introdução à Computação: Sistemas de Computação

Introdução à Computação: Sistemas de Computação Introdução à Computação: Sistemas de Computação Beatriz F. M. Souza (bfmartins@inf.ufes.br) http://inf.ufes.br/~bfmartins/ Computer Science Department Federal University of Espírito Santo (Ufes), Vitória,

Leia mais

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação WatchKey WatchKey USB PKI Token Manual de Instalação e Operação Versão Windows Copyright 2011 Watchdata Technologies. Todos os direitos reservados. É expressamente proibido copiar e distribuir o conteúdo

Leia mais

INTRODUÇÃO AO SISTEMA

INTRODUÇÃO AO SISTEMA MANUAL DE INSTALAÇÃO DE SOFTWARE PÚBLICO BRASILEIRO Nome do Software: Guarux Versão do Software: Guarux Educacional 4.0 INTRODUÇÃO AO SISTEMA O Guarux Educacional 4.0 é uma distribuição idealizada pela

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Gerenciamento de ES e Sistema de Arquivos do Windows 2000

Gerenciamento de ES e Sistema de Arquivos do Windows 2000 1 Gerenciamento de ES e Sistema de Arquivos do Windows 2000 Gerenciador de E/S Objetivo é fornecer uma estrutura de modo eficiente para lidar com a grande variedade de dispositivos Bastante relacionado

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V

GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V 1- Visão Geral Neste manual você aprenderá a instalar e fazer a configuração inicial do seu firewall Netdeep

Leia mais

Partição Partição primária: Partição estendida: Discos básicos e dinâmicos

Partição Partição primária: Partição estendida: Discos básicos e dinâmicos Partição Parte de um disco físico que funciona como se fosse um disco fisicamente separado. Depois de criar uma partição, você deve formatá-la e atribuir-lhe uma letra de unidade antes de armazenar dados

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Manter seu computador seguro é essencial para se proteger dos riscos envolvidos no uso da Internet Um grande risco que você pode correr ao usar a Internet é o de achar que não

Leia mais

Combater e prevenir vírus em seu computador

Combater e prevenir vírus em seu computador Combater e prevenir vírus em seu computador Definição de vírus, worms, hoaxes, Tróias e vulnerabilidades de segurança Instruções para remover e evitar vírus Vulnerabilidades do sistema e ameaças de segurança

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Equipamentos de rede também precisam de cuidados de segurança Independente do tipo de tecnologia usada, um equipamento conectado à rede, seja um computador, dispositivo móvel,

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL Na internet, cada computador conectado à rede tem um endereço IP. Todos os endereços IPv4 possuem 32 bits. Os endereços IP são atribuídos à interface

Leia mais

Atualizando do Windows XP para o Windows 7

Atualizando do Windows XP para o Windows 7 Atualizando do Windows XP para o Windows 7 Atualizar o seu PC do Windows XP para o Windows 7 requer uma instalação personalizada, que não preserva seus programas, arquivos ou configurações. Às vezes, ela

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Novidades do AVG 2013

Novidades do AVG 2013 Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento

Leia mais

Parte I: Conceitos de Segurança

Parte I: Conceitos de Segurança SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Cartilha de Segurança para Internet Parte I: Conceitos de Segurança

Cartilha de Segurança para Internet Parte I: Conceitos de Segurança Cartilha de Segurança para Internet Parte I: Conceitos de Segurança NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Resumo Esta parte da Cartilha apresenta conceitos de segurança de computadores,

Leia mais

Ameaças e Segurança da Informação para dispositivos Móveis. gilberto@sudre.com.br http://gilberto.sudre.com.br

Ameaças e Segurança da Informação para dispositivos Móveis. gilberto@sudre.com.br http://gilberto.sudre.com.br Ameaças e Segurança da Informação para dispositivos Móveis gilberto@sudre.com.br http://gilberto.sudre.com.br Ameaças e Vulnerabilidades em Dispositivos Móveis gilberto@sudre.com.br http://gilberto.sudre.com.br

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security Pro fornece proteção de última geração para seu

Leia mais

Certificado Digital A1

Certificado Digital A1 Certificado Digital A1 Geração Todos os direitos reservados. Imprensa Oficial do Estado S.A. - 2012 Página 1 de 41 Pré-requisitos para a geração Dispositivos de Certificação Digital Para que o processo

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Hardware e Software. Exemplos de software:

Hardware e Software. Exemplos de software: Hardware e Software O hardware é a parte física do computador, ou seja, é o conjunto de componentes eletrônicos, circuitos integrados e placas, que se comunicam através de barramentos. Em complemento ao

Leia mais

1 - O que é o Conectividade Social? 03. 2 - Qual a configuração mínima para instalar o programa?... 04

1 - O que é o Conectividade Social? 03. 2 - Qual a configuração mínima para instalar o programa?... 04 Conteúdo 1 - O que é o Conectividade Social? 03 2 - Qual a configuração mínima para instalar o programa?... 04 3 - O que é necessário para instalar o Conectividade Social?.... 05 4 - Como faço para executar

Leia mais

Organização do Curso. Instalação e Configuração. Módulo II. Pós Graduação em Projeto e Gerencia de Redes de Computadores

Organização do Curso. Instalação e Configuração. Módulo II. Pós Graduação em Projeto e Gerencia de Redes de Computadores 1 Pós Graduação em Projeto e Gerencia de Redes de Computadores Sistemas Operacionais de Redes I - Linux Prof.: Nelson Monnerat Instalação e Configuração 1 Sistemas Operacionais de Redes I - Linux Módulo

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Via Internet Banking você pode realizar as mesmas ações disponíveis nas agências bancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento Realizar transações

Leia mais