01-atividades[1]
DESCRIPTION
Roteiro de atividades Sessão de aprendizagem 1 Princípios de análise forense Atividade 1 –Preparando um checklist Atividade 2 –Funcionamento de um rootkit Atividade 3 –Investigando um computadorTRANSCRIPT
Roteiro de atividades
Sessão de aprendizagem 1
Princípios de análise forense
Atividade 1 – Preparando um checklist
Suponha que em sua empresa existe um servidor web
crítico, que hospeda todo o sistema de gerenciamento
de projetos da empresa e não pode ficar parado. Um
backup diário dos dados é realizado. Suponha que os
integrantes da dupla fazem parte da comissão que
está definindo os procedimentos a adotar quando
ocorrer um incidente de segurança envolvendo a
máquina do servidor (exercício em dupla).
Defina o que deve ser feito no caso de:
1. Ataque de negação de serviço;
2. Comprometimento da máquina por ação hacker.
Atividade 2 – Funcionamento de um rootkit
Junto com um colega, pesquise na internet
informações sobre rootkits que os invasores usam
para tomar controle de um servidor, tanto em
servidores Unix quanto Windows.
Procure informações sobre um rootkit da sua escolha
para saber suas funcionalidades, e os modos para
detectar a presença dele em uma máquina. Elabore um
documento sobre este rootkit, descrevendo o modus
operandi do mesmo, funcionalidades, dificuldade de
detecção e, se possível, formas de detectá-lo e
removê-lo do sistema. O instrutor vai escolher alguns
alunos para apresentar este documento aos demais.
Atividade 3 – Investigando um computador
(Para fazer em dupla) Verifique se a máquina de seu
companheiro está comprometida. Lembre-se dos
passos necessários para garantir a integridade das
evidências. Usando as ferramentas do sistema, você
deve descobrir todos os serviços TCP ativos na
máquina. Vamos considerar como comprometido o
serviço Bootp (porta 68) no Linux, ou o serviço
Netbios (porta 445) no Windows. Se o serviço estiver
sendo executado, a máquina está comprometida. Faça
um relatório de todas as ações tomadas durante a
investigação, bem como um registro de custódia de
qualquer evidência coletada.