Leni Varela - Forense Computacional
-
Upload
anisia-teixeira -
Category
Documents
-
view
45 -
download
2
Transcript of Leni Varela - Forense Computacional
-
Universidade Jean Piaget de Cabo Verde
Campus Universitrio da Cidade da Praia Caixa Postal 775, Palmarejo Grande
Cidade da Praia, Santiago Cabo Verde
3.1.12
Leni freire Joaquim Varela
Forense Computacional em servidor IIS 5.0
-
Universidade Jean Piaget de Cabo Verde
Campus Universitrio da Cidade da Praia Caixa Postal 775, Palmarejo Grande
Cidade da Praia, Santiago Cabo Verde
3.1.12
Leni Freire Joaquim Varela
Forense Computacional em servidor IIS 5.0
-
Leni Freire Joaquim Varela, autor da
monografia intitulada Forense Computacional
em servidor IIS 5.0:, declaro que, salvo fontes
devidamente citadas e referidas, o presente
documento fruto do meu trabalho pessoal,
individual e original.
Cidade da Praia aos 30 de Setembro de 2010
Leni Freire Joaquim Varela
Memria Monogrfica apresentada
Universidade Jean Piaget de Cabo Verde
como parte dos requisitos para a obteno do
grau de Licenciatura em Engenharia de
Sistemas e Informtica.
-
Lista de Acrnimos
DoS Daniel of Services (Negao de Servios).
DDoS Distributed Denial of Services (Negao de Servio Distribuido).
IDS - Sistema de Deteco de Intruso.
CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana.
IIS - Internet Information Services.
NCSA - National Center for Supercomputing applications.
IIS - Internet Information server.
W3C - World Wide Web Consortium.
UTC - Universal Coordinated Time (Tempo Coordenado Universal).
ASP - Active Server Pages (Pginas de Servidor Ativas).
-
Sumrio
Nas ltimas dcadas a utilizao de computadores tornou-se parte integrante da vida das
pessoas, permitindo o aparecimento de vrios tipos de crimes electrnicos. Neste contexto,
importante que as organizaes se preparem para investigar casos que envolvem a informtica
e adoptem procedimentos vlidos e confiveis que permitem recuperar os dados dos
computadores envolvidos em actividades ilcitas. A Forense Computacional, so tcnicas que
permitem-nos recolher, identificar, analisar e apresentar evidncias de crimes digitais.
Pretende-se com este trabalho, apresentar as principais tcnicas de Forense Computacional em
servidor IIS 5.0 da Microsoft.
Palavras-chave: segurana, Forense computacional, evidncias, Servidor IIS.
-
Agradecimentos
A Deus que esteve sempre comigo durante esta empreitada.
A minha me pela confiana, amor e carinho transmitidos a mim durante toda a minha vida.
Ao meu orientador Isaas Barreto Rosa pela oportunidade, ateno e aprendizado.
Em especial aminha esposa Samirapelo amor, companhia, amizade, incentivo, discusses
enriquecedoras e sobretudo por ter me apoiado muito tanto no mundo virtual com no mundo
real.
E a todos que contriburam para a minha formao, especialmente a minha filha Alysa e aos
meus familiares.
-
Forense Computacional em Servidor IIS 5.0
7/92
Contedo CAPTULO 1: INTRODUO ...................................................................................... 11
1 Contextualizao ......................................................................................................... 11 2 Objectivo ..................................................................................................................... 12 3 Motivaes ................................................................................................................... 12
4 Estrutura do trabalho ................................................................................................ 12
CAPTULO 2: SEGURANA COMPUTACIONAL ................................................... 14 1 Contextualizao ......................................................................................................... 14 1.1 Proteco da informao .............................................................................................. 14
2 A evoluo da criminalidade e evoluotecnolgica ................................................ 15
3 Ataques e vulnerabilidades ........................................................................................ 18 3.1 Formas de ataques e invases ....................................................................................... 19 3.2 A necessidade de novas leis.......................................................................................... 21
CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0 ................ 23 1 Contextualizao ......................................................................................................... 23 1.1 Introduo cincia forense ......................................................................................... 23 1.2 Forense Computacional ................................................................................................ 23
1.2.1 Forense na web ................................................................................................. 24 1.3 Evidncia Digital .......................................................................................................... 27
1.3.1 O Professional .................................................................................................. 28 1.3.2 Metodologia Forense para obteno de evidncias .......................................... 29
1.3.3 Fonte das evidncias ......................................................................................... 32 1.3.4 Perfil e mtodos de operao do atacante ......................................................... 35
1.4 Tcnicas anti-forense .................................................................................................... 38
1.4.1 Identificao da autoria .................................................................................... 38 1.4.2 Criptografia ....................................................................................................... 39
1.4.3 Esteganografia .................................................................................................. 39
2 Servidor Web Microsoft IIS ................................................................................... 39 2.1 Microsoft IIS ................................................................................................................ 40
2.1.1 Histria e evoluo ........................................................................................... 41
2.2 Arquitectura .................................................................................................................. 49 2.3 Arquivos de Log ........................................................................................................... 50
2.3.1 W3C Extended Log File Format ...................................................................... 50
2.3.2 Microsoft IIS Log File Format ......................................................................... 54 2.3.3 NCSA Common Log File Format .................................................................... 55 2.3.4 Log ODBC ........................................................................................................ 55 2.3.5 Log Binrio Centralizado ................................................................................. 56
2.3.6 Nomes de Arquivos de Log .............................................................................. 56
3 Ferramentas Forense .................................................................................................. 58 3.1 Forense na Web ............................................................................................................ 58 3.2 Uso geral ....................................................................................................................... 59
4 Enquadramento legal ................................................................................................. 64 4.1 A lei e a criminalidade informtica .............................................................................. 65 4.2 Legislao vigente ........................................................................................................ 66
CAPTULO 4: ESTUDO DE CASO INVESTIGAO FORENSE NA MQUINA SUSPEITA 68
1 Apresentao ............................................................................................................... 68
-
Forense Computacional em Servidor IIS 5.0
8/92
1.1 Diagrama de rede .......................................................................................................... 69 1.2 Instalao e configurao do Servidor IIS 5. ................................................................ 70 1.3 Configuraes a nvel do Sistema Operativo ............................................................... 73 1.4 Configuraes a nvel do Router .................................................................................. 74
1.4.1 Realizao de testes .......................................................................................... 75 1.5 Testes de intruso ......................................................................................................... 76 1.6 Consideraes Finais .................................................................................................... 79
2 Investigao ................................................................................................................. 79 2.1 Sondagem ...................................................................... Erro! Marcador no definido.
2.2 Apresentao ................................................................................................................ 80 2.2.1 Registos de Ocorrncias ................................................................................... 80
2.3 Consideraes Finais .................................................................................................... 86
CAPTULO 5: CONCLUSO ......................................................................................... 87
-
Forense Computacional em Servidor IIS 5.0
9/92
Tabelas Tabela 1: Localizao de artifactos do Internet Explorer (Bueno, 2007). ................................ 25 Tabela 2: Relao entre a habilidade do invasor e a quantidade de evidncia deixadas .......... 38 Tabela 3: Extenses do IIS 7 .................................................................................................... 47 Tabela 4: Definies do Log do W3C Extended Log File Format (Freitas, 2006) ............... 52 Tabela 5: Definies de Log de Contabilizao de Processos (Freiras, 2006) ......................... 53
Tabela 6: Nome de arquivos de Log (Freitas, 2006) ................................................................ 58
-
Forense Computacional em Servidor IIS 5.0
10/92
Figuras Figura 1 - Evoluo dos Incidentes de segurana Brasil ....................................................... 16 Figura 2 - Factores princiapais de crimes e perdas ................................................................... 19 Figura 3 - Arquitectura extensvel para um sistema automatizado de analise forense ............. 31 Figura 4 - Exemplo de um W3C Extended Log File Format ................................................... 51 Figura 5 Tela principal da ferramenta CallerIp ..................................................................... 61 Figura 6 Interface grfica da FDTK-UbuntuBr ..................................................................... 63 Figura 7 Low Orbit Cannon (LOIC) ..................................................................................... 64 Figura 8 - Diagrama de rede: .................................................................................................... 69 Figura 9 - Instalao do Servidor IIS 5.0 ................................................................................. 70
Figura 10 - Teste do Servio IIS ............................................................................................... 71 Figura 11 - GUI de configuraes do Servidor Web ................................................................ 71 Figura 12 - Janela principal de configurao do Servidor IIS 5. ............................................. 72
Figura 13 - GUI de configurao da Auditoria de Segurana .................................................. 74 Figura 14 - Configurao do Dynamic DNS ............................................................................ 75 Figura 15 - Teste de resoluo de nome ................................................................................... 76 Figura 16 - Teste servidor pgina web .................................................................................. 76 Figura 17 Varredura de portas ............................................................................................... 77 Figura 18 Ataque de Brute Force .......................................................................................... 78 Figura 19 Ataque do tipo DoS- iniciado ................................................................................ 79 Figura 20 - Arquivo de log W3C .............................................................................................. 80 Figura 21 Espelhamento de site ............................................................................................. 81 Figura 22 - Varredura vulnerabilidades .................................................................................... 82 Figura 23 Ataque de Negao Servio .................................................................................. 83 Figura 24 Injeo SQL 1 ....................................................................................................... 83 Figura 25 Injeco SQL 2 ...................................................................................................... 84 Figura 26 - Verificao de arquivos alterados .......................................................................... 85 Figura 27 - Log IDS ................................................................................................................. 86
-
Forense Computacional em Servidor IIS 5.0
11/92
CAPTULO 1: INTRODUO
1 Contextualizao
O presente trabalho, intitulado "Forense Computacional em Servidor IIS 5.0" propicia o
estudo de um conjunto de tcnicas que possibilitam a investigao de crimes praticados nos
mesmos.
Com o desenvolvimento das tecnologias de informao e do acesso cada vez maior da
populao s suas facilidades e servios, alguns aspectos na vida sofreram profundas
transformaes, tais como a difuso de dados, as transaces comerciais e bancrias, a
segurana de dados cadastrais, entre outras.
Por consequente, os prejuzos causados sociedade e empresas so enormes, havendo a
necessidade de combater essa nova modalidade criminosa.
Nesta ptica, surge a necessidade do uso de tcnicas de Forense Computacional que nos
permite conduzir uma investigao estruturada com uma metodologia que possa determinar o
que acorreu, como ocorreu e quem foi o responsvel.
-
Forense Computacional em Servidor IIS 5.0
12/92
2 Objectivo
Este trabalho tem por objectivo apresentar um Estudo da Forense Computacional em Servidor
IIS 5.0.
Os objectivos especficos so:
Descrio detalhada sobre onde, como e o que procurar em um servidor web sistema
comprometido;
Instalao, configurao e disponibilizao de um servidor web para eventuais
ataques;
Recolha, anlise e apresentao de evidncias;
Apresentao de ferramentas de investigao de crimes digitais;
Enquadramento legal das evidncias
3 Motivaes
Porque os servidores webs so as principais vitimas de ataques realizados por meios
da internet;
E por ser a Forense Computacionaluma cincia que permite estudar e obter provas de
crimes digitais.
4 Estrutura do trabalho
O trabalho est dividido em 5 Captulos:
No captulo 2, Segurana Computacional, sero apresentados alguns aspectos fundamentais
de segurana como as ameaas, vulnerabilidades e as formas de ataques aos sistemas
informticos. Tambm sero apresentados alguns aspectos legais.
-
Forense Computacional em Servidor IIS 5.0
13/92
No captulo 3, tema principal deste trabalho Forense Computacional em Servidor IIS
5.0, sero apresentados um conjunto de tcnicas forense utilizadas durante uma investigao
aps intruso. Tambm ser explicado detalhadamente toda a parte terica sobre o
funcionamento de servidor web, desde arquitectura, instalao, configurao, segurana,
arquivos de log e a auditoria no IIS. Este captulo servir de base para desenvolvimento do
estudo de caso.
No captulo 4, Estudo de caso, ser apresentado um estudo de caso prtico, dividido em duas
partes: uma em que ser montada um servidor web (correndo o servio IIS 5.0) e
disponibilizado na internet para ataque; e a parte de investigao forense no servidor
comprometido.
No captulo 5, Concluso, procura-se de uma forma bem resumida, mostrar a importncia da
forense computacional no tratamento dos incidentes de segurana e uma anliseda lei no
domnio dos crimes informtica em Cabo Verde.
Na Recomendaes, ser feito algumas recomendaes no domnio da segurana, dos espetos
legais e sobre as boas prticas de investigao forense.
-
Forense Computacional em Servidor IIS 5.0
14/92
CAPTULO 2: SEGURANA COMPUTACIONAL
O presente capitulo aborda a relao entre a evoluo da tecnologia no mundo e
consequentemente o surgimento de novas formas de crimes realizados por meios de
computador. Ainda abordaalguns aspectos relacionados com segurana da informao,
ataques e vulnerabilidades de sistemas e a necessidade de novas leis. Esses itens so a
motivao principal para o surgimento da forense computacional, o temo deste trabalho.
1 Contextualizao
medida que a tecnologia progride, novas vulnerabilidades vo surgindo. Por isso, torna-se
necessrio ter conhecimento geral destas vulnerabilidades ou pontos fracos de forma a se
prevenir melhor das ameaas e assim reduzir os impactos que possam causar.
Neste contexto, necessrio a utilizao de um conjunto de mecanismo de segurana que
permite a sua proteco contra os potenciais agressores.
1.1 Proteco da informao
-
Forense Computacional em Servidor IIS 5.0
15/92
A informao tornou-se uma necessidade crescente para qualquer sector da actividade
humana. Tambm, por assumir, hoje em dia, uma importncia crescente e fundamental
sobretudo a nvel da empresa, necessrio estabelecer politicas de segurana como forma de
garantir a sua proteco contra a sua utilizao mal intencionada ou agressores.
Segundo Bueno (2007), a proteco da informao o objectivo principal das reas
relacionadas segurana da informao. Para o mesmo autor, proteger dados computacionais
significa assegur-los de destruio e comprometimento.
Para proteger tal contedo, usado vrios mecanismos de segurana, como a autenticao,
confidencialidade, integridade, controlo de acesso, entre outros. Uma outra forma de proteger
a informao aplicar a manuteno da segurana, pois, esta impede a informao de ser
perdida.
2 A evoluo da criminalidade e evoluotecnolgica
A evoluo da tecnologia e sua popularizao, tem sido, de uma forma geral, a uma
velocidade muito maior que a legislao preventiva, situao esta que causa grande
preocupao. Com isso quer-se dizer que a sua evoluo est proporcionando uma dimenso
da criminalidade, pois a criminalidade tecnolgica aumenta em proporo da tecnologia.
Como podemos observar, a tecnologia dos computadores est envolvida em um nmero
crescente de actividades ilcitas comoa invaso de sistemas, os delitos e fraudes informticos,
a disseminao da pornografia infantil e entre outros.
O caso do Brasil
Brasil, um exemplo de Pas considerado como a referncia mundial em crimes cometidos
via internet. As estatsticas revelam que o Brasil o pas com o maior nmero de hackers
especialista no mundo.
Segundo dados divulgados pelo Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil (CERT.br), a evoluo dos crimes virtuais causados por ataques
-
Forense Computacional em Servidor IIS 5.0
16/92
(invases, scan, fraude, ataques a servidores web e Denial of Service) aumentaram
progressivamente de 3107 no ano 1999 para 358343 no ano 2009 e, com uma diminuio
brusca para 61147 no ano 2010 como mostra a figura a seguir:
Figura 1 - Evoluo dos Incidentes de segurana Brasil
Fonte: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br). Disponvel em: http://www.cert.br/stats/incidentes/
Como podemos verificar, no ano 1999 houve um nmero total de 3107 incidentes, e segundo
a CERT.br, dos 3107 incidentes, 4 correspondem a fraudes, 21 correspondem ao DOS (Denial
of Service), 128 corresponde a invases, 183 corresponde ao aw (ataques a servidores web),
658 correspondem a af (Ataque ao usurio final), 845 correspondem a axfr (tentativa de
obter/actualizar mapas de DNS) e 1268 correspondem a scan.
O ano 2009 foi o ano com maior nmero de incidentes at a presente data, pois atingiu um
total de 358343 incidentes. As fraudes aumentaram para 250362, DOS para 896, invases
para 111, scan para 52114, web para 5592, worm para 45099 e 4169 correspondentes a outros
tipos de ataques.
-
Forense Computacional em Servidor IIS 5.0
17/92
J no ano 2010, tais incidentes tiveram uma diminuio brusca de 358343 em 2009 para
61147 em 2010, com um nmero total de worm correspondente a 4761, DOS a 5, invaso a
12, scan a 17023, web a 1881, fraude a 8060 e um valor total de 1080 correspondente a outros
tipos de notificaes de incidentes que no enquadram na categoria anteriores.
O caso dosE.U.A
De acordo com a pesquisa 2004 E-Crime Watch, conduzida pela revista CSO com o apoio
do servio secreto dos Estados Unidos e do CERT, em 2003, invases, ataques, disseminao
de vrus, spams entre outras actividades considerados crimes digital custaram s empresas
Norte-Americana um valor total de 666 milhes de escudos US.
Um novo estudo realizado pela verizon com dados do Servio Secreto dos EUA, o chamado
2010 Verizon Data Breach Investigations Reporter, oferece um quadro bastante amplo da
natureza e das causa do cibercrimes em vrios pases do mundo. O estudo destaca a
participao de funcionrios das empresas, na chamada engenharia social e participao
cada vez maior do crime organizado neste tipo de delito. Porm, em termos gerais, o nmero
de crimes com dados electrnico caiu em 2009, em comparao com anos anteriores.(fonte:
http://tecnovarejo.blogspot.com/2010/08/varejo-e-alvo-prioritario-de-crimes.html)
Segundo a mesma fonte, o Varejo est entre os trs sectores mais afectados pelo furto e
vazamento de dados sigilosos (informaes privadas de consumidores, como documentos e
nmeros de cartes de crdito), representando 15% do total de crimes. O sector financeiro
lidera com 33% dos casos, seguido pela rea de hospitalidade e hotelaria com (23%). Ainda, a
incluso de dados do Servio Secreto do governo americano, que investiga crimes financeiros,
permitiu que o estudo inclusse e comparasse dados sobre crimes electrnico ocorridos nos
ltimos seis anos. O estudo inclui mais de 900 ocorrncias, que causaram quase 1 milho de
dados sigilosos roubados.
Entre as principais concluses do estudo esto:
A grande maioria dos vazamentos de dados (69%), foi comandada por fontes externos,
enquanto apenas 11% incluem a participao de parceiros comerciais;
-
Forense Computacional em Servidor IIS 5.0
18/92
Quase metade dos crimes (49%) foram causados por agentes internos, um crescimento
significativo que o estudo atribui incluso de dados do Servio Secreto;
48% dos vazamentos foram atribudos a utilizadores que abusaram do seu acesso
privilegiado dos dados empresariais, com intenes criminosas. Quase 40% dos casos
tiveram a participao dos hackers, enquanto 28% foram causados pela manipulao
de contactos sociais e 14% resultou de ataques fsicos a computadores de empresas;
Assim como nos anos anteriores, quase todos os casos de 2009 indicam o furto atravs
de servidores de aplicativos online, e 85% dos casos foram considerados de baixa
dificuldade pela pesquisa;
Um dado importante que 79% das vtimas no adaptavam o padro de encriptao
PCI-PSS, considerado o mais importante para a proteco de dados privados.
E para finalizar, a queda do nmero total de casos em 2009 em comparao a 2008 atribuda
a uma srie de factores, incluindo uma maior eficincia das polticas de segurana, tanto
pblicas como privadas. O estudo no detectou nenhuma correlao entre o tamanho de uma
empresa e o seu risco de sofrer um ataque ciberntico. Segundo os pesquisadores da Verizon,
os criminosos geralmente escolhem seus alvos em funo do possvel valor do furto e do
custo do delito, sem dar grande importncia ao tamanho e localizao da vtima.
3 Ataques e vulnerabilidades
Segundo (Bueno, 2007), organizaes pblicas e privadas so, constantemente, alvo de
ataques de todo o tipo. Um levantamento realizado por (Icove et al, 1995) indica, segundo
Bueno, que informalmente contabiliza-se que as perdas financeiras atingem a bilhes de
dlares. Por outro lado, neste mesmo estudo, foi mostrado que esses ataques so praticados
no apenas por pessoas de fora da organizao, mas tambm pelos prprios funcionrios da
empresa, como mostra a figura abaixo. Muitas vezes os funcionrios demitidos promovem
ataques a sistemas como forma de vingana.
Tambm as vulnerabilidades de hardware e software podem incluir actos ilcitos como roubo
e destruio de activos de rede e at mesmo softwares proprietrios. Geralmente, esses crimes
-
Forense Computacional em Servidor IIS 5.0
19/92
no so enquadrados, juridicamente, em uma legislao especifica sobre crimes de
computadores. Normalmente esses crimes so enquadrados na violao da integridade do
patrimnio, pois o autor do crime no fez o uso direito da tecnologia de informao, nem da
comunicao computacional para cometer o acto ilcito segundo (Da Silva Rodrigues &
Caricatti, 2004) citado por (Bueno, 2007).
Figura 2 - Factores princiapais de crimes e perdas
(adaptado por Icove et al, 2005)
3.1 Formas de ataques e invases
Backdoors
Para (Lim-Apo, 2004), um backdoor um mecanismo sorrateiramente introduzido nos
sistemas de um computador para facilitar o acesso no autorizado a este sistema. Portanto,
eles podem ser instalados para acessar vrios recursos e so mais frequentemente instalados
pelos atacantes que tenham comprometido um sistema para tornar mais fcil o seu retorno ao
sistema, preferencialmente de forma menos visvel.
Segundo o mesmo autor, alguns dos tipos mais comuns de backdoors tem propsito de
disponibilizar servios tais como: SSH, Rlogin, Telnet, FTP, Root prompt, Nasper, Gnutella.
Cavalos de tria
-
Forense Computacional em Servidor IIS 5.0
20/92
Cavalo de Tria, segundo (Lim-Apo, 2004) um programa destrutivo que se apresenta
aparentemente como uma aplicao benigna. Diferentemente dos vrus, este no se replica por
se s, mas pode ser to destrutivo quanto um vrus.
Ainda, segundo o mesmo autor, alguns cavalos de Tria podem vir em forma de proteco de
tela, por exemplo, um protector de tela que captura as teclas pressionadas em seu teclado
(keylogger) ou que captura a rea da tela de cada clique dado por seu mouse (mouselogger).
Criptanlise
O objectivo da criptanlise , descobrir textos ocultados usando cifras ou descobrir segredos
usados em sistemas de cifras para ocultar um ou mais textos. Pode ser usado para: (Zquete,
2010).
Obteno do texto original relativo a um dado criptograma;
Obteno da chave de cifra (ou de uma outra equivalente) usada para produzir um ou
mais criptograma;
Obteno do algoritmo de cifra (ou de um outro equivalente) usado para produzir um
ou mais criptogramas.
Ainda, segundo o mesmo autor, as tcnicas de criptanlise so inmeras e seria fatisdioso
enumer-las todas. Importa, no entanto, referir as formas de ataques criptanalticos mais
significativas:
Ataques usando apenas o criptograma (ciphertextt-only attackes): Nestes ataques
procura-se descobrir um texto original ou uma cifra (algoritmo ou chave) que
originaram um dado criptograma, partindo apenas do conhecimento deste ltimo;
Ataques com conhecimento do texto original (known-plaintext attacks): Neste
ataque procura-se descobrir parte do texto original ou uma cifra (algoritmo ou chave)
que originaram um dado criptograma, partindo do conhecimento deste ltimo e de
parcelas do texto original;
Ataques com texto original escolhido (chosen-plaintext attacks): Nestes ataques
procura-se descobrir uma cifra (algoritmo ou chave) usados num sistema
criptogrfico, introduzindo no mesmo texto escolhido, analisando o criptograma
resultante;
-
Forense Computacional em Servidor IIS 5.0
21/92
Ataques com texto original escolhido de forma adaptativa (adaptative chosen-
plaintext attacks): Estes ataques souma variante dos que usam texto escolhido; a
diferena est no facto de parte do texto introduzido ser escolhido em funo dos
criptogramas obtidos anteriormente;
Ataques com criptogramas escolhidos (chosen-ciphertxt attacks): Estes ataques so
uma variante dos que usam texto escolhido; adiferena est no facto de se introduzir
criptogramas no sistema criptogrfico e analisar o mesmo a partir dos textos originais
produzidos (ou a partir das reaces causadas pela recepo desses textos originais);
Ataques do aniversrio (birthday attacks): Estes ataques so uma variante dos que
usam pesquisa exaustiva. Tm este nome porque, segundo o paradoxo do aniversrio,
conseguem chegar a uma soluo num nmero de tentativas inferior, prximo da raiz
quadrada do que partida seria expectvel.
3.2 A necessidade de novas leis
A popularizao do computador e da internet passou a ser vista por indivduos mal
intencionados como mais um meio de realizar crimes.
Normalmente, nos Pases mais desenvolvidos onde existe uma legislao forte contra os
crimes electrnicos, os criminosos da internet tendem a fugir, pois j sabem que num pas
onde existe uma legislao forte sero facilmente sancionados no caso de cometerem delitos.
Portanto, esses criminosos ao fugirem tem tendncia em refugiar-se para os pases onde no
existe uma legislao especfica para esses crimes, ou se existe, ento muito fraco.
Em Cabo Verde, ainda no existir uma legislao especfica que trata de crimes desta
natureza, o que pode constituir uma grande ameaa.
Uma das formas de preveno contra esse tipo de situao investindo na legislao. Com
isso, est-se a querer dizer que se o pas tiver uma legislao forte, os criminosos mantm em
distncia e at mesmo os provedores, um dos principais causadores desses problemas
passaro a se preocupar principalmente quando ficarem a saber de que podem ser chamados
-
Forense Computacional em Servidor IIS 5.0
22/92
em juzos ou notificados para prestarem informaes sobre eventos ocorridos dentro de seus
sistemas.
-
Forense Computacional em Servidor IIS 5.0
23/92
CAPTULO 3: FORENSE COMPUTACIONAL EM SERVIDOR IIS 5.0
1 Contextualizao
1.1 Introduo cincia forense
Cincia Forense, segundo Smola (2007) uma rea interdisciplinar que aplica um amplo
espectro de cincias com o objectivo de dar suporte, respondendo perguntas s investigaes
relativas ao sistema legal, mais precisamente ligadas justia civil e criminal. Entre seus
desafios est a identificao do crime, o rastreamento das etapas que o precederam, a
localizao e preservao de evidncias e a gerao de documento de suporte legal.
1.2 Forense Computacional
Segundo Lim-Apo (2004), O termo forense origina-se do meio policial, onde peritos
investigadores procuram analisar de forma minuciosa tudo que encontram na cena do
crime
Dentro do contexto electrnico, a Forense, segundo (Menegotto, 2004) compreende a
aquisio, preservao, identificao, extraco, restaurao, anlise e a documentao de
evidncias computacionais. Este processo permite o rastreamento, identificao e
-
Forense Computacional em Servidor IIS 5.0
24/92
comprovao da autoria de aces no autorizadas como violaes de normas internas e at
mesmo crimes electrnicos.
1.2.1 Forense na web
Histrico e cache
Ao contrrio dos cookies, fornece pouca informao conclusiva, os tens de histrico e cache
possibilitam tirar concluses slidas a respeito da navegao na internet realizada na mquina
investigada. Esses dois itens foram criados, como um meio de permitir a navegao e facilitar
consultas a itensrecm-conquistados. Desta forma eles podem ser usados na forense para
reconstruir a navegao de utilizadores. Portanto, o histrico de um navegador de internet
regista a lista de URLs acessados recentemente pelos utilizadores do sistema. O cache diz
respeito a acumulao de contedos acessados, como pginas e imagem, na mquina do
cliente (Bueno, 2007).
Segundo (Bunting & Wei, 2006) citado por (Bueno, 2007), de forma geral, cada navegador
adopta uma forma diferente para guardar os registos de histrico de um utilizador. Por
exemplo, no Internet Explorer definido um arquivo de ndice denominado index.dat, um
para cada dia de navegao.
No Mozilla Firefox definido um nico arquivo history.dat, o qual armazena todas as
entradas dohistrico. Particularmente, no Windows os arquivos de ndice no registam apenas
pginas e arquivos da Web associados via Internet Explorer; quaisquer arquivos abertos
dentro da prpria mquina sero registado no seu respectivo ndice. Por exemplo, arquivos de
texto, imagens, MP3, etc acessados no dia XX sero inseridos no index.dat desse dia, porm
usando o termo inicial file:/// para indicar que um arquivo local (Bueno, 2007).
Localizao em disco
Segundo (Bueno, 2007), no Mozilla Firefox, o histrico armazenado na pasta abaixo (pode
sofrer alguma alterao de acordo com a verso do navegador usado):
X:\Documents and Settings\\Dados de aplicativos
-
Forense Computacional em Servidor IIS 5.0
25/92
\Mozilla\Firefox\Profiles\\history.dat
Diferentemente do Mozila, no internet explorer, a localizao dos itens de histrico, cache e
cookies encontra-se nas pastas de acorde com a tabela abaixo:
Item Localizao
Cache (Temporary Internet File) X:\Documents and Settings\
\ Configuraes locais\Temporary Internet
Files
\Content.IE5
Histrico (History)
X:\Documents and Settings\
\Configuraes locais\Histrico
\History.IE5
Cookies
X:\Documents and
Settings\\Cookies
Tabela 1: Localizao de artefactos do Internet Explorer (Bueno, 2007).
Internet Explorer
No internet explorer (IE), de acordo com (Bueno, 2007), temos disposio, sem fazer uso de
nenhuma ferramenta, dois itens:
Histrico: Compreende diversos arquivos de ndice. Cada arquivo de ndice guardado no seu
respectivo diretrio e nomeado de acordo com a data que representa, por exemplo
MSHist122010032220070323. Este um arquivo binrio e proprietrio da Microsoft, mas
pode ser visualizado facilmente os seus registos, pois essa informao guardada
textualmente. Outras informaes no textual que esto guardados so, por exemplo, uma
tabela de hash para que o navegador seja capaz de montar e exibir o arquivo de ndice.
Cache: Compreende um arquivo de ndice e alguns directrios (geralmente 4) para guardar o
contedo da cache. Este tem estrutura similar do arquivo de ndice do histrico, ou seja
possui uma tabela de hash e os prprios registos de cada item de cache, estes ltimos
guardados em forma textual. Nos directrios do cache esto presentes os arquivos acessados
-
Forense Computacional em Servidor IIS 5.0
26/92
no IE, como pginas, figuras e folhas de estilo. Desta forma, possvel fazer uma averiguao
do cache apenas verificando o contedo desses directrios no sendo necessrio fazer uso do
arquivo de ndice.
Cookies
Segundo (Kurose and Ross, 2006) citado por (Bueno, 2007), cookies so mecanismos
utilizados pelos navegadores de internet com a finalidade de manter sesses HTTP de
utilizadores durante a conexo cliente-servidor.
O contedo de um cookie o seu prprio cabealho que pode apresentar diversos campos
como: (Jones, 2005) citado por (Bueno, 2007).
Set-Cookie: =; expires=; path=;
domain=
Um exemplo de cookie gerado pelo addthis :
Browser: Internet Explorer
Site(s): adecn.com/
Name(s): AEID
Value(s):
YjBiOGJhMmQ2MGFhNGZjYzg5MjE0Nzg4M2RhYWMyNzY=|NqOKL/1VcWXKQ
YVeiasWY5TqIMcgtHszf+nC8DdRsLg=
Expires on: 07-02-2011 10:32:48
Created on: 11-08-2010 10:32:13
Secure: no
Cookie file:
C:\Users\Leni\AppData\Roaming\Microsoft\Windows\Cookies\leni@adecn[1].txt
No cabealho acima, verifica-se que se trata de um cookie de nome AEID, cujo o contedo
:
-
Forense Computacional em Servidor IIS 5.0
27/92
YjBiOGJhMmQ2MGFhNGZjYzg5MjE0Nzg4M2RhYWMyNzY=|NqOKL/1VcWXKQYVei
asWY5TqIMcgtHszf+nC8DdRsLg=, criado em 11-08-2010 10:32:13, e ser mantido pelo
navegador at 07-02-2011 10:32:48. Na ltima linha apresentado o localizao do cookie no
disco: :\Users\Leni\AppData\Roaming\Microsoft\Windows\Cookies\leni@adecn[1].txt.
Existem vrias formas de visualizar o contedo de um cookie, como:
Extenses do Mozilla Firefox;
Cookie monster.
1.3 Evidncia Digital
Segundo Marcelo & Paulo (2002), o termo evidncia digital refere-se a toda e qualquer
informao digital capaz de determinar que uma intruso ocorreu ou que prove alguma
ligao entre a intruso e a vitimas ou entre a intruso e o atacante.
Conforme os mesmos autores, a evidencia digital no deixa de ser um tipo de evidncia fsica,
embora seja menos tangvel. Ela composta de campos magnticos e pulsos electrnicos que
podem ser colectados atravs de tcnicas e ferramentas apropriadas.
Nas palavras de (Chaves, 2004), A maior dificuldade no combate s condutas no meio
electrnico quando estas so praticadas por grandes profissionais. Estes costumam no
deixar vestgios, utilizando-se de artimanhas de enganar a policia e dificultar a actuao dos
peritos na sua identificao.1
A evidncia digital apresenta caractersticas prprias e complexas, exigindo conhecimento
especializado na sua recolha e utilizao.
Normalmente, uma das grandes preocupaes para os especialistas em novas tecnologias a
identificao da autoria efectuadas no meio electrnico.
1 Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592.
Consultado em 16/09/2006
-
Forense Computacional em Servidor IIS 5.0
28/92
1.3.1 O Professional
Os profissionais que actua na rea de forense computacional so indivduos geralmente
chamados de perito por terem um grande nvel de conhecimento nesta rea e por investigarem
os crimes de natureza tecnolgicos.
Nesse contexto, Lim-Apo (2004) defende que esses profissionais devem reunir um conjunto
de caractersticas:
Conhecimento e entendimento profundo das caractersticas de funcionamento de
sistemas de arquivos, programas de computador e padres de comunicao em redes
de computadores;
Familiaridade com as ferramentas, tcnicas, estratgias e metodologia de ataques
conhecidos, inclusive as que no se tem registo de ter ocorrido, mas que j so vistas
como uma explorao em potencial de uma determinada vulnerabilidade de um
sistema;
Faro investigativo para perceber rastros sutis de aces maliciosas - Esmero pela
perfeio e detalhes. Sempre deve haver rastros, mesmo que muito sutis;
Entendimento sobre o encadeamento de causas e consequncias em tudo o que ocorre
num sistema para construir a histria lgica formada por aces maliciosas ou normais
que j tenham ocorrido, que estejam em curso e que possam vir a acontecer;
Conhecimento da legislao envolvida;
Conhecimento das directivas internas das empresas e instituies envolvidas no
processo investigativo, com especial ateno s limitaes como directivas de
privacidade, sigilo e escopo ou jurisdio de actuao;
Cuidado com a manipulao e preservao de provas legais em potencial, inclusive
com uma metodologia de cadeia de custdia. O que no visto como prova hoje pode
vir a ser uma prova e ento bom ter sido preservada o suficiente para ser aceita em
um tribunal.
-
Forense Computacional em Servidor IIS 5.0
29/92
Noes sobre a psicologia dos atacantes em potencial a respeito de perfis de
comportamento e motivaes.
Experincia ao examinar os rastros em um incidente perceber o nvel de sofisticao e
conhecimento de um atacante, especialmente interessante se o atacante usa
subterfgios para parecer menos capaz, como deixar rastros bvios e parecer um
ataque simples para ocultar aces maliciosas muito mais perigosas e muito mais
escondidas.
Ouarantiello (1997) num dos seus artigos relatado por Rodrigues & Caricatti (2004)2, refora
ainda a ideia de que o especialista deve conhecer o entendimento do judicirio, sobre
questes tais como as condies em que valido o exame pericial, falsa percia e posio
funcional do Perito no processo, entre outras que afectam, directamente, sua actuao, pois
sem evidencias no h crime.
1.3.2 Metodologia Forense para obteno de evidncias
De acordo com Adams (2000) apud Vargas (2007)3, actualmente j existem padres
metodolgicos bem definidos e desenvolvidas pelo SWGDE4 que seguem um nico princpio:
o de que todas as organizaes que lidam com a investigao forense devem manter um alto
nvel de qualidade a fim de assegurar a confiabilidade e a preciso das evidncias. Esse nvel
de qualidade pode ser atingido atravs da elaborao de SOPs (Standard Operating
Procedures), que devem conter os procedimentos para todo tipo de anlise conhecida e prever
a utilizao de tcnicas aceitas na comunidade cientfica internacional.
Obteno e Colecta de Dados
2Disponvel em:http://www.linorg.cirp.usp.br/SSI/SSI2004/Artigos/Art010_ssi04.pdf. Acessado em 01/05/2010.
3http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_e_metodologias_para_obtencao_
de_evidenvias/ 4Scientific Working Group on Digital Evidence (SWGDE) - representante norte-americano na International
Organization on Computer Evidence (IOCE).
-
Forense Computacional em Servidor IIS 5.0
30/92
Os procedimentos adoptados na colecta de dados devem ser formais, seguindo toda uma
metodologia e padres de como se obter provas para apresentao judicial, como um
checkList, de acordo com as normas internacionais de padronizao, citadas acima (Vargas,
2007).
Ainda, segundo (Lim-Apo, 2004), mesmo que no haja a inteno de usar em um tribunal as
provas obtidas, os procedimentos devem ser formais e seguindo uma metodologia como se as
provas obtidas fossem para serem usadas em um tribunal. Durante o andamento do caso
outros acontecimentos podem provocar a mudana na inteno e levar o caso a um tribunal.
Identificao
Durante a identificao das evidncias, necessrio saber separar os factos dos factores, que
possam vir a influenciar ou no um crime, para estabelecer uma correlao na qual se faz um
levantamento das ligaes relevantes como datas, nomes de pessoas, autarquias, etc, dentre as
quais foi estabelecida a comunicao electrnica Vargas (2007).
Preservao
Um Perito Forense Computacional experiente, de acordo com Kerr (2001) apud Vargas
(2007), ter de ter certeza de que uma evidncia extrada dever ser adequadamente
manuseada e protegida para se assegurar de que nenhuma evidncia seja danificada, destruda
ou mesmo comprometida pelos maus procedimentos usados na investigao e que nenhum
vrus ou cdigo malicioso seja introduzido em um computador durante a anlise forense.
Anlise
Na concepo de Kerr (2001), a anlise ser a pesquisa propriamente dita, onde o investigador
se detm especificamente nos elementos relevantes ao caso em questo, pois todos os filtros
de camadas de informao anteriores j foram transpostos Vargas (2007).
Ainda, de acordo Kerr (2001) citado por (Vargas, 2007), deve-se sempre ser um profissional
atento e cuidadoso em termos da obteno da chamada "prova legtima", a qual consiste numa
-
Forense Computacional em Servidor IIS 5.0
31/92
demonstrao inquestionvel dos rastros e elementos da comunicao entre as partes
envolvida.
Geralmente, para a anlise das evidncias utilizado sistemas automatizados que pode gerar
relatrio detalhado, contendo a descrio das evidncias encontradas, apresentao de eventos
relacionados com intruso e a determinao de outras caractersticas particulares do ataque,
como por exemplo, a origem e alteraes deixadas no sistema comprometido. Portanto, a
automatizao do processo de anlise forense possui efeitos mais amplas, pois, medida que
a quantidade de informaes armazenadas nos sistemas computacionais aumenta, essa
automatizao torna-se uma necessidade. Outra vantagem desse sistema, a possibilidade de
implementao de procedimentos e protocolos devidamente testados e avaliados impedindo
que o investigador cometa erros que comprometam a investigao.
Figura 3 - Arquitectura extensvel para um sistema automatizado de analise forense
(Reis, 2003).
A figura 2, apresenta uma arquitectura extensvel, para o desenvolvimento de um sistema
automatizado de anlise forense. A arquitectura composta por um servidor designado que
-
Forense Computacional em Servidor IIS 5.0
32/92
representa um sistema de anlise, e um cliente equipado de ferramentas para recolha de
informaes executado na mquina suspeita. O servidor neste caso o componente principal,
pois encarrega de receber as informaes provenientes da mquina suspeita, organiz-las
devidamente no sistema de anlise (servidor), buscar as evidencias e analis-las. O cliente
responsvel pela recolha de informao na mquina invadida enviando-as para o servidor
atravs da rede. Os plugins so responsveis para a busca e extraco de evidncias, por isso,
cada um deles deve ser configurado com um conjunto de possveis evidncias que devero
ser procuradas. Em relao ao hashes criptografados, estes so gerados no momento da
recolha de informao na mquina analisada, sendo enviados para o sistema de anlise,
juntamente com os dados recolhidos. O analisador o responsvel pela anlise das evidncias
encontradas pelo plugins.
Para terminar, importante ressaltar que durante as fases de anlise deve-se documentar os
procedimentos, isto , a elaborao e documentao dos procedimentos a serem executados
durante um incidente, inclusive referentes investigao das mquinas afectadas, essencial
para a credibilidade e rapidez da resposta.
Apresentao
De acordo com Freitas (2006) apud Vargas (2007), esta fase tecnicamente chamada de
"substanciao da evidncia", pois nela consiste o enquadramento das evidncias dentro do
formato jurdico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou
mesmo em ambas.
Desta forma, segundo Vargas, quando se tem a certeza material das evidncias, actua-se em
conjunto com uma das partes acima descritas para a apresentao das mesmas.
Ainda, segundo o mesmo autor, o investigador precisa estar perfeitamente sintonizado com os
objectivos de cada etapa metodolgica apresentada na seco 6.1, para poder minimizar o
tempo e a quantidade de dados que deve obter at apresentar, maximizando sua eficincia e
eficcia.
1.3.3 Fonte das evidncias
-
Forense Computacional em Servidor IIS 5.0
33/92
Na concepo de Vargas (2007), a busca de indcios em um sistema computacional inicia-se
com uma varredura minuciosa das informaes nele contidas, seja em arquivos ou em
memria, dados "deletados" ou no, cifrados ou possivelmente danificados.
Nas palavras de (Chaves, 2004), A maior dificuldade no combate s condutas no meio
electrnico quando estas so praticadas por grandes profissionais. Estes costumam no
deixar vestgios, utilizando-se de artimanhas de enganar a policia e dificultar a actuao dos
peritos na sua identificao.5
Dispositivos de armazenamento da CPU
De acordo com Castro Jr et all (S/D), as informaes contidas nos registradores de uma CPU
embora so de mnima utilidade e sua captura impraticvel, podem conter informaes que
ainda no foram actualizadas na memria principal do sistema. Estes dados no possuem
nenhum valor de prova pericial por conter apenas clculos em linguagem de mquina
impossveis de serem traduzidos em informaes com garantias.
Memria de perifricos
Geralmente, quase todos os dispositivos, conectados ou no, em um computador, podem
conter memria, sendo esta de carcter temporrio ou no. Como por exemplo,no caso das
caixas automticas, existem um conjunto de perifricos como (Dispensador de notas,
impressora de recibos, leitor de cartes, etc) todos conectados a um computador podem conter
em sua memria informaes importantes a serem investigadas.
Memria principal do sistema
Embora, a percia forense em sistemas computacionais mais comummente realizada em
discos rgidos e outros dispositivos de armazenamento no voltil as evidncias podem
tambm ser encontradas em memria principal.
5 Disponvel em: http://ceae.geness.ufsc.br/index.php?option=com_docman&task=doc_details&gid=592.
Acessado em 16/09/2010.
-
Forense Computacional em Servidor IIS 5.0
34/92
Arquivos temporrios (temp)
De acordo com Freitas (2006) apud Vargas (2007), alguns programas de processamento,
desde o de texto at os que manipulam base de dados, criam arquivos temporrios nos
directrios durante sua execuo. Esses arquivos so apagados automaticamente ao final da
sesso de trabalho e como podem conter indcios de actos ilcitos devero ser investigados.
Sector de swap
Segundo Freitas (2006)apud Vargas (2007), o gestor de memria do sistema operacional
utiliza o sector de swap como uma grande rea de armazenamento temporrio de arquivos,
que pode ser descarregados momentaneamente na memria principal, podendo ser tanto um
arquivo quanto uma partio inteira do disco. Logo, este sector poder conter alguma prova
de algum acto ilcito, pelo que deve ser tambm investigada.
Sector de boot
Este sector trabalha na inicializao do sistema operacional, sendo possvel, se modificado,
carregar qualquer outro tipo de programa durante a inicializao do computador, de acordo
com Freitas (2006) apud Vargas (2007). Exemplo: insero de uma instruo no boot que ir
inicializar algum tipo de ocorrncia maliciosa no sistema operacional. Logo importante
tambm para o investigador a anlise do sector de boot do computador periciado.
Sistemas de arquivos
Os arquivos de dados e executveis representam a maior fonte de informao para o exame
forense e so analisados para se determinar seu contedo e funcionalidade no sistema
computacional. Estes podem ser procuradospor palavras-chave, imagens, dados especficos ou
programas utilizados para prticas ilcitas Vargas (2007).
Segundo o mesmo autor, alm de alteraes, excluso ou at mesmo incluso de modificaes
inesperadas em directrios, arquivos (especialmente aqueles cujo acesso restrito) podem
-
Forense Computacional em Servidor IIS 5.0
35/92
caracterizar-se como indcios para uma infraco. Exemplo: arquivos do tipo doc, txt,
imagens, programas executveis, aplicaes instaladas (exe), dentre outras.
Arquivos de Logs
De acordo com Vargas (2007), os arquivos de logs tambm representam um papel importante
na anlise do sistema de arquivos, pois permitem a reconstituio de factos que ocorreram no
sistema computacional, podendo registar entre outras informaes as actividades dos
utilizadores, dos processos e do sistema, as conexes e actividades de rede, podendo variar de
acordo com o sistema operacional e servios utilizados.
Ainda segundo Vargas, este serve para a indicao de aces em um determinado sistema
operacional ou de alguma aplicao.
1.3.4 Perfil e mtodos de operao do atacante
Segundo dados estatsticos sobre a criminalidade informtica em Portugal, divulgados por
representantes da Polcia Judiciria durante um evento, demonstra que o criminoso
informtico portugus tem entre 15 e 40 anos, geralmente muito introvertido, cerca de
metade filho de pais separados/divorciados, frequenta o ensino superior numa vertente
tecnolgica, tira notas medianas e no tem antecedentes criminais.(fonte:
http://www.miudossegurosna.net/artigos/2005-03-18-acapital.html)
Por outro lado, entender a motivao e o comportamento de um atacante segundo Reis &
Geus (2002), um ponto-chave para orientar a investigao, pois, essa compreenso fornece
pistas sobre onde, como e o qu procurar durante a analise forense. Quanto maior a
conscincia acerca dos objectivos e mtodos de operao de um atacante, maior o preparo do
investigador para analisar e responder a um incidente.
Para Reis e Geus, a invaso de sistemas computacionais, ocorre com finalidades diversas,
podendo ser destacada as seguintes:
-
Forense Computacional em Servidor IIS 5.0
36/92
Obteno de informaes (roubo de segredos, nmeros de cartes de credito, senhas e
outros dados relevantes ao intruso);
Promover algum estrago (destruio de informaes e paralisao do sistema, por
exemplo);
Utilizao dos recursos do sistema (repositrio de dados, disseminao de ataques
distribudos, provimento de servios, por exemplo);
Dependendo da finalidade e da habilidade, o mtodo de operao de um invasor pode sofrer
algumas variaes. Entretanto, os passos tomados pelo atacante para comprometer um sistema
computacional podem ser generalizados como se segue:
Identificao do alvo;
Busca de vulnerabilidades no alvo;
Comprometimento inicial;
Aumento de privilgio;
Tornar-se invisvel;
Reconhecimento do sistema;
Instalao de backdoors;
Limpeza de rastos e por fim;
Fazer retorno atravs de backdoor.
Para os mesmos autores, a primeira atitude do atacante a escolha de um alvo potencial. Uma
vez localizado, o atacante comea a reunir informaes sobre o sistema a fim de identificar
vulnerabilidades no sistema operacional ou servios de rede disponveis. Se um invasor ainda
no possui uma combinao de senha valida para o sistema, ele utiliza mtodos como snifing
e adivinhao de senhas, engenharia social ou scanning para encontrar um ponto de entrada.
Uma vez encontrado, o invasor realiza o comprometimento inicial do sistema.
A primeira intruso geralmente provoca muito barulho, principalmente se o sistema alvo
estiver devidamente equipado, por isso a intruso costuma ocorrer quando ningum est
presente para ouvir.
-
Forense Computacional em Servidor IIS 5.0
37/92
Depois que o atacante ganha acesso ao sistema, busca privilgio irrestritos (conta de
administrador ou root) e para o efeito, transfere programas maliciosos (conhecidos por
exploits). Quando o invasor obtm acesso de root e garantir a sua invisibilidade, procura
saber o quanto a sua presena perturba o sistema invadido e, por conseguinte, se pode ser
descoberta (analisando a configurao de log). Em seguida, ele investiga as medidas de
segurana implementadas no sistema invadido. Em alguns casos, at corrige vulnerabilidades
existentes para impedir que outro invasor faa uso do sistema.
Aps compreender as configuraes do sistema, o atacante instala backdoors para facilitar seu
retorno e paga os rastos deixados por sua presena no sistema. Utilizando uma backdoor,
oinvasor retorna de forma mais discreta que o comprometimento inicial e faz um inventrio
acerca das informaes existentes na mquina invadida e dos potenciais alvos de vizinhana.
Ainda, segundo (Reis & Geus, 2002), a habilidade do invasor em executar o mtodo de
operao descrito anteriormente pode ser fundamental para o processo de anlise forense, pois
a quantidade de evidncias deixadas depende directamente do nvel de conhecimento do
atacante.
Para ilustrar essa relao, possvel classificar a habilidade de invasor em quatro classe, de
acordo com: Clueless, script Kiddie, Guru e Wizard. A tabela 1 apresenta a relao entre a
habilidade do invasor e a quantidade de evidncias deixadas.
Nvel de habilidade Habilidades Evidncias
Clueless Nenhuma habilidade Todas as evidncias so bastantes
aparentes
Script Kiddie Capaz de encontrar exploits
prontos na Internet e execut-los
seguindo intruses detalhadas.
No escrevem programas
Pode tentar cobrir rastos com o uso de
rootkits prontos, mas com sucesso
limitado. Pode ser detectado com
esforo mnimo
Guru Equivalente a um administrador Cuidadosamente apaga evidncias em
-
Forense Computacional em Servidor IIS 5.0
38/92
experiente. Hbil em
programao. Checa a existncia
de programas de segurana e
esquemas de log seguros,
evitando alvos protegidos
arquivos de log. No deixa traos
bvios de sua presena. Pode instalar
trojan horses e backdoors para um
acesso futuro
Wizard Possui um grande conhecimento
do funcionamento interno de um
sistema. Capaz de manipular
hardware e software
Praticamente no deixa evidncias teis.
Pode comprometer totalmente o sistema
Tabela 2:Relao entre a habilidade do invasor e a quantidade de evidncia deixadas
Fonte: (Reis & Geus, 2002)
1.4 Tcnicas anti-forense
Se por um lado a forense computacional procura por vestgios de aces criminosa ocorrida,
as tcnicas anti-forense faz o oposto, ou seja, ela diz respeito a qualquer estratgia de
eliminao de informao que possa ser usada em um processo de anlise forense.(Bueno,
2007)
1.4.1 Identificao da autoria
A identificao da autoria, quando efectuada nos meios electrnicos, torna-se motivo de
grande preocupao sobretudo para os especialistas em novas tecnologias.
A maior dificuldade no combate aos crimes conduzidos em meios electrnicos quando os
mesmos so praticados por profissionais de grande conhecimento. Tais profissionais
costumam no deixar vestgios, utilizando tcnicas com objectivo de enganar a policia e deste
modo dificultar a actuao dos peritos na sua identificao Tambm, por outro lado porque os
criminosos na internet, os chamados crackers esto cada vez mais actualizados em matria de
novas tecnologia, o que dificulta as empresas na preveno das suas politicas de segurana e
dos sistemas informticos. (Chaves, 2004)
-
Forense Computacional em Servidor IIS 5.0
39/92
Ainda, de acordo com (Chaves, 2004), um outro motivo que dificulta o combate s condutas
no meio electrnico quando estes profissionais utilizam computadores de terceiros para
praticarem crimes. Logo ser difcil aos especialistas, implementarem politica de combates.
Atravs do endereo IP utilizados, registo de log de acesso, conta de e-mail, cadastros nos
provedores e sites j possvel a identificao da autoria.
Entretanto, a identificao da autoria apresenta um grande problema: Em primeiro lugar
porque encontrar a mquina evolvida no crime no quer dizer que encontrado o autor do
crime.
1.4.2 Criptografia
Segundo Bueno (2007), se por um lado a criptografia fornece um nvel de segurana s
informaes, por meios de cifragem de dados, ela pode tambm ser usada para cifrar dados
comprometedores para evitar o cesso ao seu contedo. Isso pode representar ser uma grande
dificuldade para a forense na sua decifragem.
1.4.3 Esteganografia
Diferentemente da criptografia, que busca cifrar o contedo de uma informao mascarando o
real contedo, a esteganografia busca ocultar a existncia de uma informao. Para fazer tal
efeito, usado um objecto para conter essa informao que se pretende esconder. A ocultao
feita de tal modo que apenas o destinatrio e o remetente devem ser capaz de verificar sua
existncia. (Bueno, 2007)
2 Servidor Web Microsoft IIS
Segundo (Freitas, 2006), os ataques com base em Web geralmente se encaixam em trs
categorias: ataques contra o prprio servidor (DoS e DDoS), ataques contra o contedo do site
(desfigurao de site, tambm conhecido como defacement) e ataques contra a empresa
(roubo de produto ou informao).
-
Forense Computacional em Servidor IIS 5.0
40/92
Para Freitas (2003), os ataques via web so frequentes devido vulnerabilidade de software e
autenticao do sistema operacional e os mais comuns so os de desfigurao de site.
Para este mesmo autor, num incidente de segurana, diversos arquivos de logs podem ser
usados para confirmar ou no se um incidente ocorreu e ento determinar o tipo, extenso,
causa e origem do incidente. Somente uma entrada no arquivo de log possa no ser suficiente
para termos uma imagem do incidente. Ser necessrio um conjunto de entrada para dar o
investigador um controle de tempo e o contexto necessrio para compreender o referido
incidente.
2.1 Microsoft IIS
O Microsoft IIS (Internet Information Service) o servidor web da Microsoft, considerado o
segundo servidor web mais usado do mundo, a seguir ao Apache.
Segundo (Freitas, 2006), trata-se de um servidor de Internet/Intranet dos sistemas
operacionais Windows. A primeira verso do IIS foi disponibilizada em 1996 e hoje, na
verso 6, o IIS se encontra mais estvel, seguro e integrado ao sistema operacional.
Existem vrias verses disponvel no mercado no qual se destaca:
Microsoft IIS 1.0, Windows NT 3.51;
Microsoft IIS 2.0, Windows NT 4.0;
Microsoft IIS 3.0, Windows NT 4.0 Service Pack 3;
Microsoft IIS 4.0, Windows NT 4.0 Option Pack;
Microsoft IIS 5.0, Windows 2000;
Microsoft IIS 5.1, Windows XP Professional, Windows XP Media Center Edition;
Microsoft IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition;
Microsoft IIS 7.0, Windows Server 2008 e Windows Vista (Home Premium, Business,
Enterprise, Ultimate Editions);
-
Forense Computacional em Servidor IIS 5.0
41/92
Microsoft IIS 7.5, Windows Server 2008 R2 e Windows 7;
Normalmente, os campos mais importantes para investigar os incidentes suspeitos so o
registo data/hora, endereo IP de origem, cdigo do status do HTTP e recursos requisitados.
2.1.1 Histria e evoluo
IIS 1 Internet Information Server 1
Segundo (Freitas, 2006) esta a primeira verso o Microsoft IIS, liberada em Fevereiro de
1996 como um add-on do Windows NT 3.51. Este suportava os trs principais protocolos da
Internet: HTTP, TFP e Gopher.
O Microsoft IIS 1 apresenta algumas caractersticas como: (Freitas, 2006)
Internet Service Manager (ferramenta para gerenciamento do IIS);
Integrao com o sistema operacional Windows NT 3.51;
Servidores Virtuais;
Directrios Virtuais;
ISAPI (Internet Server API);
Autenticaes Basic e NTLM (Windows NT LAN Manager);
SSL (Secure Sockets Layer);
IDC (Internet Database Connector);
Arquivos de Log nos formatos texto e ODBC.
IIS 2 Internet Information Server 2
Uma das mudanas desta verso em relao a verso anterior foi o facto do IIS 2 se tornar
parte da instalao do Windows NT 4, e os principais itens includo no IIS2 foram os
seguintes, segundo (Freitas, 2006):
IDQ (Internet Data Query);
HTX (Hipertext Extension);
-
Forense Computacional em Servidor IIS 5.0
42/92
Possibilidade de administrar o IIS atravs de um browser;
Key Manager;
Index Server;
Nova verso do Internet Service Manager.
Na instalao do IIS 2, o Windows NT 4 cria uma conta de usurio especfico para acesso
annimo ao servidor web chamada de IUSR_nomecomputador. Relativamente a estrutura dos
directrios, so criados e utilizados pelo IIS 2 os seguintes directrios: (Freitas, 2006)
[Driver]:\Winnt\System32\InetSrv Neste directrio ficam as DLLs, executveis,
arquivos e scripts necessrios para administrar o IIS via browser, documentao do IIS
etc.;
[Driver]:\ Winnt\System32\LogFiles Local onde esto armazenados os arquivos de
logs;
[Driver]:\InetPub Por padro, onde ficam armazenadas as aplicaes web.
Para este mesmo autor, o formato de arquivos de logssuportados pelo IIS 2 so:
NCSA Common Log File Format;
Formato padro;
E Log ODBC.
IIS 3 Internet Information Server 3
Quando o Service Pack 3 do Windows NT 4 era instalado, o IIS 2 recebia uma actualizao
para a verso 3. Esta actualizao foi disponibilizada em Dezembro de 1996 (a terceira verso
do IIS em menos de um ano). Com esta verso o IIS comeou a ser reconhecido no apenas
como um servidor web, mas tambm como uma plataforma de desenvolvimento. Algumas das
novas caractersticas implementadas no IIS 3 so, de acordo com (Freitas, 2006):
Desenvolvimento Web com ASP, VBScript, Jscript, ADO, ActiveX e ODBC;
Suporte ao MTS (Microsoft Transaction Server);
Suporte ao Microsoft Frontpage 97 Server Extension;
Suporte ao Microsoft NetShow (streaming de dio e vdeo);
-
Forense Computacional em Servidor IIS 5.0
43/92
Suporte ao Visual interDev (Desenvolvimento de aplicaes Web).
Segundo o mesmo autor, na instalao do IIS 3, criada no Sistema Operacional Windows
NT 4 uma conta de utilizador especfica para o acesso annimo ao servidor web chamada de
IUSR_nomedocomputador e os logs suportados pelo IIS 3 so:
Microsoft IIS Log File Format;
NCSA Common Log File Format;
W3C Extended Log File Format;
Log ODBC.
IIS 4 Internet Information Server 4
O IIS 4 foi disponibilizado em Maro de 1998 como um componente do Option Pack do
Windows NT 4. Com o Option Pack, a Microsoft tentava fazer do windows NT 4 uma
plataforma mais segura e confivel, pois a cada dia o Windows NT avanava mais nas
estatsticas do mercado e o IIS 4 foi o mais significativo upgrade de verso at ento. Alguma
das caractersticas includas no IIS 4, segundo (Freitas, 2006) so:
O Internet Service Manager deu lugar ao Microsoft Management Console (MMC);
HTTP verso 1.1;
SSL (Secure Sockets Layer) verso 3;
Metabase;
SMTP (Simple Mail Transport Protocol);
NNTP (Network News Transport Protocol).
De acordo com este mesmo autor, na instalao do IIS 4 so criadas duas novas contas de
utilizadores no sistema operacional Windows NT 4: IUSR_nomedocomputador (conta interna
para acesso annimo ao IIS) e o IWAM_nomedocomputador (conta interna para o IIS iniciar
a partir de aplicativos de processo). Esta verso do IIS, suporta os seguintes arquivos de log:
Microsoft IIS Log File Format;
NCSA Common Log File Format;
W3C Extended Log File Format;
-
Forense Computacional em Servidor IIS 5.0
44/92
Log ODBC.
IIS 5 Internet Information Services 5
Segundo (Freitas, 2006), o IIS5 foi liberado como parte do Sistema Operacional Windows
2000 Server dois anos mais tarde. Uma das diferenas entre as verses 4 e 5 foi a mudana do
nome de Internet Information Server para Internet Information Serveces. As novas
caracteristicas includas no IIS 5 foram:
Utilizao de processos em Pool;
Controle do tempo da CPU;
Integrao com o Active Directory;
Novos Wizards;
Suporte ao WebDAV (Web Distributed Authoring and Versioning).
Na instalao do IIS 5, segundo Freitas, so criadas duas novas contas de utilizadores no
Sistema Operacional Windows 2000 e os arquivos de logs suportados so os mesmos que IIS
4.
IIS 6 Internet Information Services 6
O Microsoft IIS 6 disponibilizado como um add-on do Sistema Operacional Windows
Server 2003 e representa uma mudana fundamental nos produtos Web oferecidos pela
Microsoft. As novas caractersticas includas no IIS 6 so:
Nova arquitectura;
Vrias recursos e tecnologias de segurana;
Vrias ferramentas de gerenciamento e administrao;
Maior integrao com o .NET.
Na instalao do IIS 6 so criados duas novas contas de utilizadores e um novo grupo no
Sistema Operacional Windows que segundo Freitas so:
-
Forense Computacional em Servidor IIS 5.0
45/92
Utilizador: IUSR_nomedocomputador (conta interna para acesso annimo ao IIS) e
IWAM_nomedocomputador (conta interna para o IIS iniciar a partir de aplicativos de
processos. Membro do grupo IIS_WPG).
Grupo: IIS_WPG (O grupo IIS_WPG criado para simplificar o processo de configurao
de autorizaes).
Relativamente aos arquivos de logs, o IIS suporta (Freitas, 2006):
Microsoft IIS Log File Format;
NCSA Common Log File Format;
W3C Extended Log File Format;
Log ODBC;
Log Binrio Centralizado.
IIS 7 Internet Information Services 7
Os Servios de Informao Internet (IIS) 7 desempenham a funo Web Server (IIS) no
Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista.
O IIS 7.0 divide o servidor Web em um servidor principal leve e em mais de 40 mdulos de
recursos que podem ser conectados neste servidor principal. Esses mdulos como o
staticFileModule, que permite o download de contedo esttico da web, ou o
WindowsAuthModule, que aceita autenticao NTLM integrada podem ser instaladas
independentemente no servidor para oferecer a funcionalidade exacta precisada.
(fonte:http://msdn.microsoft.com/pt-br/magazine/cc163453.aspx)
De acordo com a mesma fonte, no servidor IIS 7 pode ser adicionado as seguintes extenses:
-
Forense Computacional em Servidor IIS 5.0
46/92
Extenses IIS Descrio
Servio de
Publicao
FTP
O Servio de Publicao de FTP para IIS 7 permite que os criadores de contedo da
Web publiquem contedo mais seguramente para servidores da web do IIS 7 com
novos recursos como autenticao com base em SSL e transferncia de dados. Para
obter mais informaes, consulte Administering FTP 7.5.
Pacote de
Administrao
O Pacote de Administrao do IIS 7 adiciona aos recursos de gerenciamento no IIS 7
para incluir o suporte de UI de administrao para autorizao de ASP.NET, erros de
personalizao, configurao de FastCGI, Filtragem de Solicitao e mais. Para obter
mais informaes, consulte a Ajuda da Interface de Usurio do Administration Pack.
Roteamento
de Solicitao
do Aplicativo
Roteamento da Solicitao do Aplicativo (ARR) da Microsoft para IIS 7 um
mdulo de roteamento com base em proxy que encaminha as solicitaes de HTTP
para servidores de contedo com base em leitores de HTTP, variveis de servidor e
algoritmos de balano de carga. Para obter mais informaes, consulte a Application
Request Routing User Interface (UI) Help.
Gerenciador
de Banco de
Dados
O Gerenciador do Banco de Dados do IIS permite o fcil gerenciamento de bancos
de dados remotos e locais de dentro do Gerenciador do IIS. O Gerenciador de Banco
de Dados do IIS tambm descobre automaticamente bancos de dados com base no
servidor da web ou configuraes do aplicativo e fornece a habilidade de se conectar
com qualquer banco de dados na rede. Para obter mais informaes, consulte a IIS
Database Manager User Interface (UI) Help.
Mdulo de
Regravao
de URL
O mdulo de regravao de URL fornece um mecanismo de regravao com base em
regra para alterar os URLs de solicitao antes que eles sejam processados pelo
servidor da web. O mdulo pode ser usado para expressar a lgica de regravao de
URL que pode usar expresses normais ou curingas e para tomar decises de
regravao com base em cabealhos de HTTP e variveis de servidor. Para obter
mais informaes, consulte a IIS URL Rewrite Module.
-
Forense Computacional em Servidor IIS 5.0
47/92
WebDAV A Extenso WebDAV para IIS 7 permite que autores da web publiquem contedo
com mais segurana para servidores da web do IIS 7 e permite que administradores
da web e hosters gerenciem configuraes WebDAV usando as ferramentas de
gerenciamento e configurao de IIS 7. Para obter mais informaes, consulte
WebDAV.
Ferramenta de
Implantao
da Web
A Ferramenta de Implantao da Web simplifica a migrao, o gerenciamento e a
implantao de servidores da web, aplicativos e locais IIS. Ela permite que
administradores e usurios delegados sincronizem o IIS 6.0 e servidores do IIS 7,
migrem um servidor IIS 6.0 para IIS 7 e implantem aplicativos da web em um
servidor IIS 7. Para obter mais informaes, consulte Web Deployment Tool.
Tabela 3: Extenses do IIS 7 (Microsoft, 2007)
IIS 7.5 Internet Information Services 7.5
Segundo a Microsoft6, os Servios de Informao Internet (IIS) 7.5 desempenham a funo
Web Server (IIS) no Windows Server 2008 R2 e o servidor Web no Windows 7. O
servidor Web foi reestruturado no IIS 7 para permitir a personalizao de um servidor, atravs
da adio ou remoo de mdulos, com vista a satisfazer as suas necessidades especficas. Os
mdulos so funcionalidades individuais que o servidor utiliza para processar pedidos. Por
exemplo, o IIS utiliza mdulos de autenticao para autenticar credenciais de cliente e
mdulos de cache para gerir a actividade da cache.O IIS 7.5 possui as seguintes
funcionalidades:
ASP.NET
O ASP.NET fornece um ambiente de programao orientada para objectos do lado do
servidor para a criao de Web sites e aplicaes Web que utilizam cdigo gerido. O
6 Disponvel em: http://technet.microsoft.com/pt-pt/library/cc753473%28WS.10%29.aspx. Acessado em
20/09/2010.
-
Forense Computacional em Servidor IIS 5.0
48/92
ASP.NET no apenas uma nova verso do ASP. O ASP.NET fornece uma infra-estrutura
robusta para a criao de aplicaes Web e foi completamente remodelado para proporcionar
uma experincia de programao altamente produtiva baseada no .NET Framework.
Extensibilidade .NET
A Extensibilidade .NET permite aos programadores de cdigo gerido alterar, adicionar e
expandir a funcionalidade do servidor Web no pipeline de pedidos, na configurao e na IU.
Os programadores podem utilizar o modelo de extensibilidade do ASP.NET conhecido e as
APIs avanadas do .NET para criar funcionalidades do servidor Web to eficazes quanto as
escritas atravs das APIs de C++ nativas.
ASP
O Active Server Pages (ASP) fornece um ambiente de scripts do lado do servidor para a
criao de Web sites e aplicaes Web. O ASP oferece um desempenho melhorado em
relao aos scripts CGI ao dotar o IIS de suporte nativo tanto para VBScript como para
JScript. Utilize o ASP se tiver aplicaes existentes que necessitem de suporte ASP. Para
novos desenvolvimentos, considere utilizar o ASP.NET.
CGI
A Common Gateway Interface (CGI) define o modo como um servidor Web transmite
informaes a um programa externo. As utilizaes habituais podem incluir a utilizao de
um formulrio Web para recolher informaes e, em seguida, transmitir essas informaes a
um script CGI para ser enviado por correio electrnico para outro local. O facto de a CGI ser
um padro faz com que os scripts CGI possam ser escritos utilizando vrias linguagens de
programao. A desvantagem de utilizar a CGI est na sobrecarga de desempenho.
Extenses ISAPI
As extenses ISAPI (Internet Server Application Programming Interface) fornecem suporte
ao desenvolvimento de contedo Web dinmico utilizando extenses ISAPI. Uma extenso
ISAPI executada mediante pedido, tal como qualquer outro ficheiro HTML esttico ou
ficheiro ASP dinmico. Como as aplicaes ISAPI so cdigo compilado, so processadas
-
Forense Computacional em Servidor IIS 5.0
49/92
muito mais rapidamente do que os ficheiros ASP ou ficheiros que chamam componentes
COM+.
Filtros de ISAPI
Os Filtros Internet Server Application Programming Interface (ISAPI) fornecem suporte s
aplicaes Web que utilizam filtros ISAPI. Os filtros ISAPI so ficheiros que podem expandir
ou alterar a funcionalidade fornecida pelo IIS. Um filtro ISAPI analisa cada um dos pedidos
efectuados ao servidor Web at encontrar um que necessite de ser processado.
Server-Side Includes
O SSI (Server Side Includes) uma linguagem de scripts utilizada para gerar pginas HTML
de forma dinmica. O script executado no servidor antes de a pgina ser entregue ao cliente
e envolve, habitualmente, a insero de um ficheiro noutro. Por exemplo, pode criar um menu
de navegao HTML e utilizar o SSI para adicion-lo dinamicamente a todas as pginas de
um Web site.
2.2 Arquitectura
O IIS implementa 5 servios bsico para a publicao na internet que segundo (Jnior, 2007)
so:
WWW, que oferece a publicao aos utilizadores finais do IIS, atravs do HTTP
cliente;
FTP, que oferece a transferncia e o gerenciamento de pacotes;
SMTP, protocolo que utilizado para enviar e-mails, podendo programar os
servidores para envio de e-mails relacionados a eventos bem ou mal sucedidos;
NNTP, que o protocolo de notcias, podendo assim qualquer utilizador utilizando
qualquer leitor de notcias cliente, verificar as noticias daquele grupo;
-
Forense Computacional em Servidor IIS 5.0
50/92
E o servio de administrao, que mantm o registo do Windows actualizado para os
servios citados acima e gerncia a metabase do IIS. A metabase um armazenamento
de dados onde ficam guardados todos as configuraes do IIS.
2.3 Arquivos de Log
A forma mais simples de segurana de um web site manter um log dos computadores que
contactam o site. O log um registo de quem visitou, quando visitou e o que procurou no site.
Nestes mesmos logs, pode-se descobrir quantas pessoas esto a usar o site e se algum est
fazendo mau uso deste.Os arquivos de logs padro encontra-se localizado no directrio
C:\Winnt\System32\Logfiles\W3SVC1 e o nome do log baseado na data actual, no formato
exaammdd.log, por exemplo: 010910.log . O formato padro W3C (World Wide Web
Consortium) Extended Log File Format (Formato de Arquivo de Log Extendiso), um formato
padro que muitos utilitrios de terceiros interprestam e analisam. Outros formatos
disponveis so: Microsoft IIS Log File Format (Formato de Log do Microsoft IIS), NCSA
Common Log File Format (Formato de arquivo de Log comum do NCSA) e Log do ODBC
(Open Database connectivity), em sistemas Windows 2000, que envia um formato fixo uma
base de dados especfico. (Freitas, 2006)
Nesta perspectiva, os arquivos de logs podem ser usados para confirmar ou no se uma
invaso ocorreu em um sistema e desta forma determinar o tipo, extenso causa e origem do
incidente.
2.3.1 W3C Extended Log File Format
O formato estendido do W3C, como mostra a figura abaixo, um formato ASCII
personalizvel com vrios campos diferentes. Desta forma, pode ser includo campos
importantes, limitando o tamanho do log e omitindo campos indesejveis. Os campos so
separados por espaos e o horrio registado como UTC (horrio de Greenwich). (Freitas,
2006)
-
Forense Computacional em Servidor IIS 5.0
51/92
Figura 4 - Exemplo de um W3C Extended Log File Format
Definies do Log do W3C Extended Log Fife Format
CAMPO APARECE COMO DESCRIO
Data date Data de ocorrncia da actividade.
Hora time Hora de ocorrncia da actividade.
Endereo IP do cliente c-ip Endereo IP do cliente que acessou o servidor.
Nome do utitlizador cs-username Nome do utilizador autenticado que acessou o
servidor. Isst no inclui utilizadores annimos,
representado por um hifen.
Nome do servio e nmero da
instncia
s-sitename O servivo de internet e o nmero da instncia
executados no PC cliente.
Nome do servidor s-computername Nome do Servidor em que a entrada de log foi
gerada.
IP do servidor s-ip Endereo IP do servidor em que a entrada de log
foi gerada.
Mtodo cs-method Aco que o cliente estava tentando executar (por
exemplo, um mtodo GET).
Tronco URI cs-uri-stem Recurso acessado (por exemplo, o Default.html).
Consula URI cs-uri-query A consulta (se houver), que o cliente estava
tentando fazer.
Status do http sc-status Status da aco, nos termos empregados pelo http.
Status do Win32 sc-win32-status Status da aco, nos termos empregados pelo
windows 2000.
Bytes enviados sc-bytes Nmero de bytes enviado pelo servidor.
-
Forense Computacional em Servidor IIS 5.0
52/92
Bytes recebidos cs-bytes Nmero de bytes recebido pelo servidor.
Porta do servidor s-port Nmero da porta a qual o cliente est conectado.
Tempo gasto time-taken Tempo gasto durante a aco.
Verso do protocolo cs-version Verso do protocolo (HTTP, FTP) utilizada pelo
cliente. No caso do HTTP, ser HTTP 1.0 ou
HTTP 1.1.
Agente do utilizador cs(user-agent) Navegador utilizado no cliente.
Cookie sc(cookie) Contedo do cookie enviado ou recebido, se
houver.
Referenciador sc(referer) Site anterior visitado pelo utilizador. Este site
fornece um link para o site actual.
Tabela 4: Definies do Log do W3C Extended Log File Format (Freitas, 2006)
Segundo (Freitas, 2006), os prefixos usados na tabela acima, apresentam os seguintes
significados:
s-: Aces do servidor;
c-:Aces do cliente;
cs-:Aces de cliente para servidor;
sc-:Aces de servidor para cliente.
Definies do Log de Contabilizao de Processo
CAMPO APARECE COMO DESCRIO
Tipo de processo s-process-type Tipo de processo disparado pelo evento, um aplicativo
CGI ou fora de processo. O tipo pode ser CGI,
Aplicativo ou Todos.
Evento de processo s-event O evento disparado: Site-stop, site-start, site-pause,
periodic-log, interval-start, interval-change, log-
change-int/start/stop, eventlog-limit, priority-limit,
process-stop-limit, site-pause-limite, eventlog-limit-
reset, priority-limite-reset, process-stop-limit-reset ou
site-pause-limit-reset.
-
Forense Computacional em Servidor IIS 5.0
53/92
Tempo total do utilizador c-user-time Tempo total acumulado do processador de modo do
utilizador, em segundos, utilizado pelo site durante o
intervalo actual.
Tempo total do ncleo s-kernel-time Tempo total acumulado do processador de modo do
ncleo, em segundos utilizado pelo site durante o
intervalo actual.
Tempo de falhas da pgina s-page-faults Ncleo total de referncia de memria que resultou em
falhas de pgina de memria.
Total de processos s-total-procs Ncleo total de aplicativos CGI e fora de processo,
criados durante o intervalo actual.
Processos activos s-active-procs Ncleo total de aplicativos CGI e fora de processo em
execuo quando o log foi gravado.
Total de procssos
encerrados
s-topped-procs Ncleo total de aplicativos CGI e fora de processo
parado devido ao estreitamento do processo, durante o
intervalo actual.
Tabela 5: Definies de Log de Contabilizao de Processos (Freiras, 2006)
Freitas, apresenta para cada valor referido acima, o seguinte significado:
Site-stop: Site da web parado por algum motivo;
Site-start: Site da web iniciado ou reiniciado;
Site-pause: Pausa no site da web;
Periodic-Log: Entrada de log definida regularmente, cujo intervalo foi especificado pelo
administrador;
Interval-start: Intervalo de redefinio iniciado;
Interval-End: Intervalo de redefinio atingido e redefinido;
Interval-change: O administrador do site da web alterou o valor do intervalo de redefinio;
Log.change-int/start/stop: Ocorreu um dos seguintes eventos: intervalo de log modificado;
evento de intervalo; ou site parado, iniciado ou interrompido;
Eventlog-limit: Log de evento criado para site da web porque um aplicativo CGI ou fora de
processo atingiu o limite de log de evento definido pelo administrador;
-
Forense Computacional em Servidor IIS 5.0
54/92
Priority-limit: O site da web teve um aplicativo CGI ou fora de processo definido com baixa
prioridade porque atingiu o limite de baixa prioridade definido pelo administrador;
Process-stop-limit: O site da web teve um aplicativo CGI ou fora de processo parado porque
atingiu o limite de paralisao de processos definido pelo administrador;
Site-pause-limite: O site da web foi interrupo de sites definido pelo administrador;
Eventlog-limit-reset: O intervalo de redefinio foi alcanado ou o Eventlog-limit foi
redefinido manualmente;
Priority-Limit-reset: O intervalo de redefinio foi alcanado ou o Priority-limit fo