Roteiro de atividades

Sessão de aprendizagem 1

Princípios de análise forense

Atividade 1 – Preparando um checklist

Suponha que em sua empresa existe um servidor web

crítico, que hospeda todo o sistema de gerenciamento

de projetos da empresa e não pode ficar parado. Um

backup diário dos dados é realizado. Suponha que os

integrantes da dupla fazem parte da comissão que

está definindo os procedimentos a adotar quando

ocorrer um incidente de segurança envolvendo a

máquina do servidor (exercício em dupla).

Defina o que deve ser feito no caso de:

1. Ataque de negação de serviço;

2. Comprometimento da máquina por ação hacker.

Atividade 2 – Funcionamento de um rootkit

Junto com um colega, pesquise na internet

informações sobre rootkits que os invasores usam

para tomar controle de um servidor, tanto em

servidores Unix quanto Windows.

Procure informações sobre um rootkit da sua escolha

para saber suas funcionalidades, e os modos para

detectar a presença dele em uma máquina. Elabore um

documento sobre este rootkit, descrevendo o modus

operandi do mesmo, funcionalidades, dificuldade de

detecção e, se possível, formas de detectá-lo e

removê-lo do sistema. O instrutor vai escolher alguns

alunos para apresentar este documento aos demais.

Atividade 3 – Investigando um computador

(Para fazer em dupla) Verifique se a máquina de seu

companheiro está comprometida. Lembre-se dos

passos necessários para garantir a integridade das

evidências. Usando as ferramentas do sistema, você

deve descobrir todos os serviços TCP ativos na

máquina. Vamos considerar como comprometido o

serviço Bootp (porta 68) no Linux, ou o serviço

Netbios (porta 445) no Windows. Se o serviço estiver

sendo executado, a máquina está comprometida. Faça

um relatório de todas as ações tomadas durante a

investigação, bem como um registro de custódia de

qualquer evidência coletada.