FACULDADE DE TECNOLOGIA DE SÃO JOSÉ DOS CAMPOS ALEXANDRE WILLIAM BATISTA DA SILVA PAULO HENRIQUE DE MORAIS SILVA

Transcrição

1 FACULDADE DE TECNOLOGIA DE SÃO JOSÉ DOS CAMPOS ALEXANDRE WILLIAM BATISTA DA SILVA PAULO HENRIQUE DE MORAIS SILVA ESTUDO ANALÍTICO E COMPARATIVO DE HONEYPOTS SÃO JOSÉ DOS CAMPOS 2010

2 ii ALEXANDRE WILLIAM BATISTA DA SILVA PAULO HENRIQUE DE MORAIS SILVA ESTUDO ANALÍTICO E COMPARATIVO DE HONEYPOTS Trabalho de graduação apresentado à Faculdade de Tecnologia de São José dos Campos, como parte dos requisitos necessários para obtenção de título de Tecnólogo em Redes de Computadores. Orientador: Me Murilo da Silva Dantas SÃO JOSÉ DOS CAMPOS 2010

3 iii ALEXANDRE WILLIAM BATISTA DA SILVA PAULO HENRIQUE DE MORAIS SILVA ESTUDO ANALÍTICO E COMPARATIVO DE HONEYPOTS Trabalho de graduação apresentado à Faculdade de Tecnologia de São José dos Campos, como parte dos requisitos necessários para obtenção de título de Tecnólogo em Redes de Computadores. Orientador: Me Murilo da Silva Dantas ME. ANTONIO WELLINGTON SALES RIOS DR. JOSÉ CARLOS LOMBARDI ME. MURILO DA SILVA DANTAS / / DATA DE APROVAÇÃO

4 iv AGRADECIMENTOS Agradeço a Deus acima de tudo, por me dar forças nos momentos difíceis, a Fabiana, minha noiva, que me apoia em tudo que faço e me orienta pelo melhor caminho. Aos meus familiares e ao Paulo que se tornou um grande amigo e pude aprender muito neste último ano no desenvolvimento deste trabalho. Alexandre William Batista da Silva

5 v AGRADECIMENTOS Agradeço primeiramente a Deus que ao longo de todos esses anos, ajudou-me nos momentos mais difíceis. A minha mãe, Dona Vera, que mesmo cansada, sempre esteve ao meu lado e ao meu pai que sempre me apoiou e não hesitou ao dizer sim aos meus pedidos. E ao companheirismo do meu colega Alexandre, que foi fundamental para o desenvolvimento deste trabalho. Agradeço ainda, aos professores Lombardi e Sabha, que nos ajudaram no desenvolvimento deste trabalho e na implementação dos trabalhosos honeypots. Paulo Henrique de Morais Silva

6 vi A diferença entre a vida e a morte, é aquilo que você faz nesse intervalo. (Alexandre, Paulo)

7 vii RESUMO Com o passar dos anos a preocupação com os dados digitais e a sua segurança cresce em larga escala. Sendo assim, as ferramentas de proteção ou contenção de ataques têm conquistado o interesse dos administradores de rede e chefes dos diversos setores de informática. Neste aspecto concentra-se o uso da tecnologia honeypot que pode atuar como complemento de segurança e monitoração dos acessos a rede e servidores. Esta tecnologia pode atuar de duas formas: como pesquisa ou como produção. A primeira refere-se à honeypots ligados fora da rede institucional, para pesquisa de comportamento e ataques na rede mundial de computadores. Já o segundo como atuante nas defesas no meio institucional, buscando uma análise dos possíveis ataques, uma vez que o invasor pode estar no próprio meio institucional. Palavras-Chave: Segurança, honeypots, IDS, firewall, ataques, invasor, hacker, cracker.

8 viii ABSTRACT Over the years the concern with the safety and digital data grows on a large scale. Thus the sum of tools and protective containment of attacks has got the interest of network administrators and heads of various sectors of information technology. In this aspect focus on the use of honeypot technology arise and can act as additional security and monitoring to who has access to the network and servers. This technology can act in two ways: in a research or production aspects. The first relates to honeypots connected outside the institutional network for research on behavior and attacks on the World Wide Web. The second acts on defenses for the institutional environment, looking for a review of possible attacks since the attacker could be on inside the institutions. Keywords: security, honeypots, IDS, firewall, attack, attacker, hacker, cracker.

9 ix LISTA DE FIGURA Figura 1 - Estrutura de uma Honeynet Figura 2 - Estrutura do Backbone Brasileiro Fonte: (RNP, 2004) Figura 3 - Distribuição de Honeypots no Brasil (CERT, 2010) Figura 4 - N-Stealth em sua versão gratuita Figura 5 LeechFTP Figura 6 PuTTy Figura 7 - Esquema de rede nos testes realizados Figura 8 - Opções de configuração do Valhala Figura 9 - Configuração do Servidor WEB Figura 10 - Tela de configuração TELNET Figura 11 - Ambiente de testes Valhala Figura 12 - Configuração do servidor de FTP Figura 13 - Ambiente de testes do servidor FTP Figura 14 - Testes de acesso com o LeechFTP Figura 15 - Configuração do serviço POP Figura 16 - Teste de acesso via POP Figura 17 - Acesso via prompt do servidor WEB Figura 18 - Testes do servidor WEB Valhala Figura 19 - Configuração do servidor SMTP Figura 20 - Acesso ao servidor SMTP Figura 21 - Tentativo de acesso indevido via TELNET Figura 22 - Monitoramento e captura de acessos via TELNET BackOfficer Figura 23 - Tentativa de acesso IMAP Figura 24 - Tentativa de acesso POP

10 x Figura 25 - Tentativa de conexão SMTP Figura 26 - Escaneamento do servidor WEB com N-Stealth Figura 27 - Relatório N-Stealth Figura 28 - Acesso ao servidor WEB via browser Figura 29 - Tentativa de acesso via FTP Figura 30 - Erros no LaBrea Figura 31 - Erro ao instalar o LaBrea Figura 32 - Erro LaBrea Figura 33 - Erro ao executar o LaBrea no Windows Server Figura 34 - Tentativa de Conexão com o Deception Toolkit Figura 35 - Erro ao executar o WinHoneyd Figura 36 - Erro ao executar o WinHoneyd Figura 37 - Erro ao iniciar o WinHoneyd Figura 38 - WinHoneyd em execução Figura 39 - Execução do Honeyd no Debian Figura 40 - Erro ao iniciar o Tiny honeypot... 79

11 xi LISTA DE TABELAS Tabela 1 - Descrição dos Honeynets existentes no Brasil Tabela 2 - Tabela Comparativa entre honeypots de baixa e alta interatividade Tabela 3 - Pontuação do Honeypot Tabela 4 - Tabela de Avaliação de Software Tabela 5 - Cenário 01 de testes Tabela 6 - Cenário 02 de testes Tabela 7 - Tabela de pontuação final... 82

12 xii LISTA DE ABREVIATURAS E SIGLAS APT ASCII DDR2 DNS FBI FTP GB GNU GPL HD HTML HTTP IDS IIS IMAP2 INPE IP MAC MB MCT PATRIOT PF POP3 RNP SAIC SMTP SO SPI SSH TCP TFTP UDP Advanced Packaging Tool American Standard Code for Information Interchange Double Data Rating Domain Name Service Federal Bureau of Investigation File Transfer Protocol Gigabyte GNU is Not Unix General Public License Hard Disk HyperText Markup Language HiperText Transfer Protocol Instrusion Detection Service Internet Information Services Internet Message Access Protocol Instituto Nacional de Presquisas Espaciais Internet Protocol Media Access Control Megabyte Ministério da Ciência e Tecnologia Provide Appropriate Tool Required to Intercept and Obstruct Packet Filter Post Office Protocol Rede Nacional de Pesquisa Science Application International Corporation Simple Mail Text Protocol Sistema Operacional Serviço de Perícia em Informática Secure Shell Transmission Control Protocol Trivial File Transfer Protocol User Datagram Protocol

13 xiii URL XML WISE Uniform Resource Locator extensible Markup Language Wireless Information Security Experiment

14 xiv SUMÁRIO 1. INTRODUÇÃO Motivação Objetivos Objetivo Geral Objetivos Específicos Metodologia Organização do Trabalho FUNDAMENTAÇÃO TEÓRICA Rede de Computadores Definição de Inimigos Fundamentação Jurídica Introdução à Computação Forense Honeypots Definição Tipos a Honeypots de Baixa Interatividade b Honeypots de Alta Interatividade Funcionamento a Honeypots de Baixa Interatividade b Honeypots de Alta Interatividade Honeynets Definição Tipos a Honeynet Virtual b Honeynet Real... 32

15 xv Funcionamento a Virtual b Real Principais Projetos... Erro! Indicador não definido Honeynet Project Wireless Honeynet Project Honeynet.BR Project Honey Pot Brazilian Honeypots Alliance Honeypots, Honeynets e a Segurança da Rede Vantagens Desvantagens FERRAMENTAS UTILIZADAS Ferramenta de Virtualização Sistemas Operacionais Microsoft Windows a Microsoft Windows XP b Microsoft Windows c Microsoft Windows Server Linux a Ubuntu b Debian Ferramentas de Ataque N-Stealth LeechFTP PuTTy MÉTODOS E CRITÉRIOS... 47

16 xvi 4.1. Definições de critérios Tabela de pontuação Cenários de avaliação Cenário Cenário Discriminação de rede RESULTADOS Valhala Honeypot Configurações Testes Log BackOfficer Friendly Configurações Testes Log LaBrea Tarpit Configurações Testes Log Deception Toolkit Configurações Testes Log Honeyd Configurações Testes Log... 77

17 xvii 5.6. Tiny Honeypot Configurações Testes Log CONSIDERAÇÕES FINAIS Honeypots Windows Honeypots Linux Tabela de Resultados Contribuições Publicação Trabalhos Futuros REFERÊNCIAS BIBLIOGRÁFICAS ANEXO A ANEXO B... 91

18 18 1. INTRODUÇÃO 1.1. Motivação A informação cada vez mais agrega grande valor, tanto para as corporações, quanto para governos e pessoas. Assim sendo, os locais de armazenamento tem-se multiplicado cada vez mais ao passar dos anos, tornando a preocupação com sua integridade e segurança uma prioridade e necessidade. Muitas instituições acreditam que o seu setor de informática é um dos mais caros. Porém se bem estruturado torna-se o mais fundamental dos departamentos. Caso exista uma estruturação má formulada, a instituição encontra-se vulnerável à ação de criminosos cibernéticos. No contexto do ataque encontra-se o Cracker, que pode ser definido como aquele que pratica a quebra de um sistema de segurança de forma ilegal ou sem ética. A mídia costuma atribuir equivocadamente tal ação aos Hackers. Porém, este termo refere-se a um mestre em domínio do computador, que usa seu conhecimento para o bem e para meios lícitos. Segundo (VIANNA, 2003), um Cracker pode ser definido como um Hacker do mal. Segundo ELLERO e CASIAN (2001), o firewall é uma ferramenta capaz de definir o que é seguro para acesso e o que pode ser nocivo ao sistema. Responsável ainda pelo controle de portas abertas para redes distintas. Este inclui dispositivos que realizam a filtragem de pacotes e de Proxy 1 de aplicativos. Além do firewall, pode-se destacar o Intrusion Detection System (IDS), que, de acordo com LAUREANO, et al (2003), basicamente é utilizado para detectar possíveis tentativas de invasões por Crakers, ou até mesmo funcionários da própria instituição mal-intencionados, detectando possíveis ações nocivas ou de obtenção de dados sigilosos. Este sistema ainda é capaz de gerar uma resposta automática de acordo com a programação previamente realizada. Muitas vezes com a união de todos os recursos de proteção funcionando corretamente, a instituição ainda está suscetível a ataques que geram prejuízos e perda de dados importantes. 1 Proxy: servidor que atende requisições de um cliente, repassando a informação para frente. Quando recebe a resposta devolve ao cliente.

19 19 Com o intuito de criar uma camada robusta de segurança numa rede, foi desenvolvido o conceito de Honeypot (em português, Pote de Mel ) que se trata de uma máquina na rede que terá o tráfego nocivo direcionado para ela, ou seja, é uma máquina para receber os ataques. Esta pode ser uma máquina virtual, ou até mesmo real, que possua configurações idênticas ou próximas das máquinas da instituição. Todas as ações dentro dessa máquina serão gravadas em logs para análise e estudo posterior do comportamento do invasor. Uma vez que a ameaça pode estar dentro da empresa, representada por um funcionário curioso, os cuidados também podem ser aplicados e assim até descobrir a origem do ataque, podendo incrementar formas de proteção. Quando se unem vários Honeypots tem-se uma Honeynet, que nada mais é do que vários Honeypots interligados por uma interface de rede virtual ou real. Aproximando-se cada vez mais da realidade da instituição, uma Honeynet passa a sensação para o invasor de que realmente está dentro da rede e consegue ver várias máquinas com serviços como Telnet, FTP entre outros. Esses serviços são disponibilizados de acordo com a aplicação que está em operação de Honeypot. A estrutura de uma Honeynet está esboçada na Figura 1. Figura 1 - Estrutura de uma Honeynet

20 20 Como pode ser observado na Figura 1, a honeynet pode ser composta por máquinas reais ou máquinas virtuais representadas à direita da imagem. Neste exemplo, temos uma máquina com o sistema IDS e firewall que é responsável por separar o tráfego advindo do roteador direcionando o que irá para os honeypots ou para a rede da instituição. Caso tal aplicação esteja sendo executada corretamente ela beneficia o utilizador no âmbito de segurança, pois deste modo é possível conhecer o inimigo, suas táticas de ataques, a sua pretensão, e os caminhos e recursos que pretende usar. Além disso, qualquer alteração ou dano que vier a ser causado não acarretará perda, pois se trata de um sistema pronto para receber ataques e sua configuração não passa de uma simulação. Tal configuração também pode ser realizada de modo que haja um sistema de reposição de arquivos, para que mesmo que existam avarias, estas sejam corrigidas em instantes. Com uma honeynet instalada as funcionalidades de segurança terão uma significativa ampliação. Desta forma confina-se o invasor a uma rede onde sua atividade será monitorada, direcionando qualquer atividade maliciosa ou indevida da rede para a honeynet. As informações obtidas a partir da monitoração são valiosas, e podem ser utilizadas para diversos fins de acordo com a motivação que levou o sistema a ser instalado. Segundo a IPNews (IPNEWS, 2010) de 75% a 90% dos ataques são direcionados para aplicações web e que as empresas não têm consciência da necessidade de proteger esses ativos. Em questões do ataque, o honeypot encontra-se como meio de driblar essa ameaça uma vez que este terá a função de receber os ataques e monitorá-los, protegendo assim a rede real e seus dados. Durante o decorrer deste trabalho o objetivo será estabelecer um comparativo sobre as ferramentas Honeypots existentes, demonstrando eficiência e possibilidades oferecidas por cada sistema. Sendo assim oferecer aos possíveis usuários o suporte para uma fácil escolha que atenda as necessidades reais do sistema a ser implantando.

21 Objetivos Os objetos deste trabalho serão apresentados nas subseções a seguir Objetivo Geral O objetivo deste trabalho é analisar ferramentas utilizadas para o sistema de honeypots, determinando critérios de comparação, indicando para possíveis utilizadores deste recurso um estudo comparativo de forma que sua escolha seja pautada de acordo com a necessidade da rede a ser implementada Objetivos Específicos Analisar as ferramentas livres disponíveis para implementação de honeypots e honeynets; Estabelecer critérios de análise de invasão através de honeypots e honeynets; e Classificar as funcionalidades das ferramentas selecionadas segundo critérios prédefinidos Metodologia Será realizado um estudo analítico sobre várias ferramentas, que visam à segurança seguindo o conceito do Honeypot, buscando obter o recurso mais adequado para cada caso. Para tanto serão realizados testes das mesmas abordadas neste trabalho. Os critérios usados primordialmente serão de plataforma operante, facilidade de uso, facilidade de configuração e utilização, confiabilidade na monitoração, eficiência do log gerado, opções de envio de log, rastreamento do invasor, invisibilidade ao atacante e por fim a realidade do Honeypot. Assim, é possível estabelecer uma relação entre as ferramentas e os diversos tipos e metodologias de invasão Organização do Trabalho O restante deste trabalho encontra-se organizado da seguinte maneira:

22 22 a) Capítulo 2 Fundamentação Teórica: neste capítulo será abordado o histórico do conceito de Honeypots e Honeynets bem como seus principais projetos existentes até a presente data e suas aplicações; b) Capítulo 3 Ferramentas Utilizadas: neste capítulo serão descritas as ferramentas utilizadas neste trabalho; c) Capítulo 4 Materiais e Métodos: aqui serão tratados os critérios para avaliação comparativa, os cenários a serem implementados e a análise das ferramentas escolhidas; d) Capitulo 5 Resultados: descreve o desempenho das ferramentas testadas; e) Capítulo 6 Conclusão: demonstra quais ferramentas são mais eficientes para casos específicos de invasão.

23 23 2. FUNDAMENTAÇÃO TEÓRICA Este capítulo apresenta o embasamento teórico do projeto. Aqui serão abordados fundamentos sobre rede de computadores (Seção 2.1) e também são apresentados os principais tipos de inimigos e quais as suas motivações (Seção 2.2). Além disso, são explanados os fundamentos jurídicos que sustentam a proteção aos dados e justifica a defesa contra ataques maliciosos (Seção 2.3). São tratados os conceitos sobre computação forense (Seção 2.4) e também as definições de Honeypots (Seção 2.5), Honeynets (Seção 2.6), apresentando os tipos e projetos existentes (Seção 2.7), e analisando as vantagens e desvantagens da utilização de tais sistemas (Seção 2.8) Rede de Computadores Durante do século XX o avanço tecnológico foi o grande marco na evolução da sociedade. Tal crescimento pode ser notado principalmente nas comunicações, um exemplo é a rede de telefonia que se expandiu por todo o mundo, ou até mesmo invenções como o rádio e a televisão que revolucionara o modo de transmissão de informações. Além disso, foi registrado o nascimento e crescimento sem precedentes da indústria de informática (TANENBAUM, 2003). Com o surgimento da informática a capacidade de coletar, estudar e transmitir informações teve seu crescimento como nunca tinha sido imaginado antes. Porém nas duas primeiras décadas do surgimento dos primeiros computadores as informações eram centralizadas e suas instalações ficavam em salas dedicadas a estes primeiros computadores com paredes de vidro, que permitiam a visitação e observação desta maravilha tecnológica. As empresas de médio porte ou universidades que possuíam estas máquinas, tinham em seu poder um ou dois exemplares, já as empresas de grande porte não passavam de algumas dezenas. Diferentemente da expansão que se atingiu 20 anos depois, na qual é possível encontrar sistemas computacionais dentro de dispositivos do tamanho de um selo postal. O encontro entre os computadores e a informação pode ser responsabilizado para a forma que se organizou os sistemas computacionais. Com o tempo, o velho modelo de computador centralizado atendendo todas as requisições e realizando as tarefas necessárias, tornou-se

24 24 obsoleto ao mesmo tempo em que o nível do avanço tecnológico aumentava. Surgia a necessidade da interconexão entre as máquinas, dando origem a rede de computadores. Nasceu então o que se entende por necessidade básica de uma instituição na primeira década do século XXI. O termo pode ser definido como trabalhos realizados por estações separadas, porém interconectados (TANENBAUM, 2003). A conexão não precisa ser necessariamente com cabos de cobre, esta também podem ser empregada com fibras ópticas ondas de rádio, microondas, ondas de infravermelho ou ainda satélites de comunicação. A internet ou a World Wide Web não é propriamente uma rede de computadores, mas sim uma união de redes espalhadas por todo o mundo. Diferentemente, um sistema distribuído é um conjunto de computadores independentes, que transmite ao usuário a impressão de um sistema único. Em teoria estaria um software sobre o sistema operacional responsável pela transparência do sistema. Diferentemente dos sistemas distribuídos em redes de computadores os serviços são concentrados em servidores, ou seja, os clientes terão que buscar esse serviço neste servidor e realizar a autenticação. Sendo assim os serviços são executados nesta máquina provedora de serviços. Além disso, caso haja dispositivos com hardware diferente, isto poderá ser observado pelos utilizadores da rede em questão. Com o passar dos anos, as redes foram se tornando itens de necessidades básicas das instituições, principalmente quando existe a necessidade de compartilhamento de dados e recursos, como impressoras, internet ou até mesmo espaço em disco. As necessidades foram estendidas também para uso doméstico com o mesmo intuito das organizações comerciais. Porém com o crescimento em escala acelerada do número de pequenas e médias redes, o investimento em segurança nem sempre pode acompanhar ou foi classificado pelo proprietário da rede como prioridade. Os modelos de arquitetura de rede dividem-se em cliente/servidor e peer-to-peer. O primeiro é baseado no conceito em que um computador central é responsável por armazenar dados, concentrar programas e serviços. Já o segundo modelo, é o modelo de não existe propriamente um servidor e o compartilhamento é dividido entre os usuários, cada um sendo cliente e servidor ao mesmo tempo.

25 25 O primeiro Backbone (espinha dorsal, em português) foi construído nos Estados Unidos da América. Este era dividido em pontos distribuídos e dispersos abaixo da terra, para no caso de um ataque ou qualquer comprometimento que pudesse vir a acontecer em algum ponto, os demais continuassem funcionando, já que nenhum em específico é o servidor. No Brasil o primeiro Backbone foi instalado em meados de 1991 com a Rede Nacional de Pesquisa (RNP) que era subordinado ao Ministério de Ciência e Tecnologia (MCT). Até hoje o RNP é o Backbone principal do Brasil e interliga centros de pesquisas, universidades, instituições do governo, centros culturais entre outras. A seguir, o mapa da distribuição no Brasil. Figura 2 - Estrutura do Backbone Brasileiro Fonte: (RNP, 2004) 2.2. Definição de Inimigos

26 26 Para conhecer o inimigo pode-se analisar sua atuação no mundo virtual. Estes são pessoas que dominam a informática e a usam para o aproveitamento de vulnerabilidades de algum sistema, a fim de prejudicar ou obter dados de terceiros. Entre os praticantes de tal ato encontra-se a formação de grupos e classificação de acordo com o nível de experiência dos integrantes (ULBRICH, 2009). Newbie: novato, iniciante ou calouro. Possui pouco conhecimento em informática, mas busca evoluir sempre. Luser: derivada da união de duas palavras inglesas user (usuário) e loser (perdedor), ao contrario do Newbie, este está acomodado e não quer saber nada mais do que o necessário para a utilização do computador. Lammer: está no mesmo patamar que os dois anteriores, consegue manipular os softwares contidos no computador. Mas ao encontrar um programa que invade algum site ou computador, aprende a utilizar o básico, mas esse tipo de intruso se limita a três programas: scan, exploit e trojan. Wannabee: algum indivíduo que quer entrar no mundo de invasão, mas não tem noção de como é esse meio. Hacker: a princípio, esse termo era utilizado para definir os carpinteiros que faziam móveis com machados. Já entre os anos 40 e 50, esse termo era usado para definir radioamadores e pessoas que tem a eletrônica e a mecânica como hobby. Já nos anos 60, o termo chegou para caracterizar os programadores e especialistas em computadores. Atualmente, o termo que erroneamente foi caracterizado pela imprensa em geral para criminosos digitais, é na verdade especialistas em invasão, possuem um conhecimento aprofundado sobre o sistema operacional e são ótimos programadores. A especialidade em invasão é utilizada para o bem, ou seja, o Hacker invade o site sim, mas mostra para o administrador onde está a falha, e mostra como corrigi-la. Cracker: conhecido também como Hacker sem ética. Este pratica o vandalismo virtual, rouba senhas de usuário para usufruir posteriormente, quebra travas de softwares comerciais para pirateá-lo e também são excelentes programadores e

27 27 conseguem fazer tudo que foi citado acima e sem deixar vestígios. A diferença deste para o Lammer é a persistência, o Cracker utiliza-se de vários programas para descobrir as vulnerabilidades do alvo. Outra diferença é que o Lammer age sem nenhum planejamento prévio já o Cracker sabe o porquê invadirá, e caso haja algum imprevisto conseguirá solucionar o problema. War Driver: é o tipo mais recente de Cracker, tira proveito das vulnerabilidades que a rede sem fio propicia. Carder: especialista em fraude de cartão de crédito. Sabe como conseguir números validos de cartão e consegue gerar números falsos que passam pela verificação de sites de compra. E ainda clonam cartões reais para utilização indevida Fundamentação Jurídica Com o grande tráfego de informação na rede, esta necessita de proteção e tal ação deve apoiar-se juridicamente na constituição. Com a expansão da rede mundial de computadores cresceu também o risco nas transferências de dados. Ao utilizar um computador ligado à rede o usuário corre o risco de ter os dados da sua máquina acessados de maneira ilícita. Com tantos dados sendo transferidos que possuem valores significativos ou até importância financeira, como senhas e dados bancários. Existem pessoas que buscam obter tais informações para uso indevido. Estes são conhecidos como Crackers que utilizam tais informações para o bem próprio. A partir do momento em que o usuário se sente lesado e não conhece a fonte e caso decida procurar na polícia comum à solução do dano sofrido, poderá recorrer ao Instituto Nacional de Criminalística. Criado em 1974, este é responsável por pesquisas específicas de crimes que para sua resolução necessitam de equipe técnica para análise e entendimento. Para isso conta com equipe de profissionais com diploma de nível superior de Química, Física, Engenharia, Ciências Contábeis, Econômicas, Biológicas, Geologia, Farmácia, Bioquímica e Computação Científica ou Análise de Sistemas. Além de formação específica por área e nas respectivas especialidades, são selecionados por concurso público, mediante nomeação, desde 1974, cujo período de trabalho é integral com dedicação exclusiva às atividades do cargo. O Serviço de Perícia em Informática (SPI) é o

28 28 departamento encarregado das investigações referentes à área de crimes na internet, também conhecidos como Cyber Crimes. A justiça não tinha base para julgar um crime desse tipo, então não é possível condenar alguém que cometeu um crime na internet. Assim sendo também não é possível identificar o autor do crime. Questões como essas acabaram iniciando a criação de leis que buscam identificar e condenar pessoas que cometem crime na rede. Os Crackers não se intimidam com as leis existentes, porque os casos solucionados que se relacionam com informática são relativos à pedofilia e pirataria. Segundo ULBRICH (2009), a justiça brasileira tem um grave problema quanto à aprovação de novos projetos de lei que é a falta de conhecimento por parte dos parlamentares que são os responsáveis por aprovar tais projetos. Outro grave problema são as leis que estão em vigor no momento que na maioria dos casos solucionados são de pedofilia e pirataria. Quanto à invasão e hackeamento não há nada em específico em vigor. Após os atentados de 11 de setembro, os Estados Unidos começaram a tratar a segurança digital como um método de segurança nacional. Mas o início desse novo método de tratar as informações trafegadas na rede se deu no dia do atentado, com o FBI (Federal Bureau of Investigation) intimando os provedores a instalar softwares que filtram mensagens de s e buscam por algum texto contido, por exemplo, algo relacionado a atentado. A partir desse dia muita coisa mudou com relação à segurança da rede no âmbito internacional. Uma das leis criadas foi a USA Act que condena todo e qualquer tipo de vandalismo eletrônico a pessoa física ou jurídica. A partir das novas leis criadas, os Hackers e Crackers são considerados terroristas. Segundo a PATRIOT (Provide Appropriate Tools Required to Intercept and Obstruct Terrorism Act), aquele que, com conhecimento, cause transmissão de um programa, informação, código ou comando e, como resultado de tal conduta, intencionalmente cause dano sem autorização para um computador protegido estará em violação deste estatuto. Na Europa, foi adotada uma conduta semelhante à dos Estados Unidos, onde as agências de segurança têm o poder de vasculhar as caixas de mensagens sem qualquer aviso prévio ou pedido de autorização do usuário.

29 29 Portanto, é possível perceber que o mundo está evoluindo no modo que conduz a segurança no meio digital. Porém para uma evolução mais rápida será necessário também ultrapassar algumas barreiras como a privacidade Introdução à Computação Forense O termo de análise forense iniciou-se a partir de processos judiciais, quando necessita de uma busca minuciosa de provas, e essa busca une vários tipos de provas, buscando o autor de crime. O objetivo geral da computação forense é encontrar e retirar dados de dispositivos, como computadores, discos magnéticos, mídias de disco ou unidades flash, a fim de utilizar os dados encontrados que são classificados como evidência diante do fato ocorrido, e posteriormente assumirão o posto de provas legais diante do ocorrido. A computação forense pode ser definida como a união e análise de dados de um computador, ou sistema, ou rede, ou dispositivos de armazenamento de forma que os classifique como admissíveis em juízo. Tais dados não são obtidos facilmente, e muito menos a olho nu. Por isso cabe ao perito a análise completa dos dados buscando as evidências Honeypots Nas subseções a seguir serão apresentados as definições, os tipos e o funcionamento do Honeypot Definição Para compreender o que é realmente um Honeypot de acordo com SPITZNER (2003), enxergue-o como um sistema flexível e que não se aplica para a resolução de problemas específicos, assim como é a tarefa de um Firewall ou um IDS. A amplitude de suas funcionalidades vem desde a detecção e o monitoramento de um ataque até o acompanhamento das atividades das diversas portas de um host. Nisto é que consiste o seu