Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Análise Forense: Técnicas e Reconstituição de Ataques
Tiago Gonçalves Silva – [email protected]
Computação forense & Perícia digital
Instituto de Pós-Graduação – IPOG
Goiânia, GO, 02 de maio de 2018
Resumo
Com o crescimento da internet, segundo o IBOPE NetRatings, somos 120 milhões de
internautas sendo o Brasil o 4º país mais conectados, então, tornam-se possíveis vários tipos
de crimes digitais, que por serem crimes obrigam as agências legais estarem preparadas para
investigar estes crimes. No decorrer do artigo serão apresentados alguns métodos para
executar uma perícia em um sistema comprometido. Para darmos sequência e obtermos um
resultado, utilizaremos uma imagem de sistema comprometido disponibilizada pelo projeto
“The Honeynet Project’s Forensic Challenge”. Nesta imagem o invasor comprometeu
completamente o sistema proporcionando uma gama de vestígios a serem identificados e
demonstrados no decorrer do artigo.
Palavras-chave:Computação Forense, Hash Criptografico, Logs.
1. Introdução
Com o avanço da tecnologia percebemos que os computadores já fazem parte da vida das
pessoas, segundo a Pesquisa Nacional por Amostra de Domicílio (PNAD) em 2014, afirma
que cerca de 54,9% dos domicílios brasileiros já possuem acesso à internet (IBGE, 2014) e
com esse crescimento e acessibilidade da internet muitas atividades que antes só poderiam ser
realizadas pessoalmente agora podem ser realizadas por pessoas que estejam em qualquer
lugar do mundo, utilizando um computador com acesso à internet.
Como tudo possui suas vantagens e desvantagens, os crimes também vêm ganhando cada vez
mais espaço neste mundo tecnológico, segundo o Centro de Estudos e Respostas e Tratamento
de Incidentes de Segurança no Brasil (CERT.BR) os incidentes tem aumentado
significativamente, no ano de 2000 foram reportados 5997 incidentes de segurança, já em
2017 foram 833.775 incidentes reportados (CERT.BR, 2018), incidentes como: invasão,
roubos de informações, espionagem virtual, pornografia infantil, ataques de negação de
serviços, entre outros, são crimes que ocorrem com a utilização da internet. Por isso, os
assuntos como segurança da informação e computação forense tem ganhado destaque na área
digital.
O Termo Computação Forense compreende na utilização de técnicas e métodos para
aquisição, preservação, identificação, extração e análise de evidências que foram de alguma
forma processada ou armazenada em ambiente computacional (MELO, 2009).
Este artigo descreverá métodos utilizados por profissionais (Peritos Computacionais) na
obtenção de informações em mídias comprometidas utilizando diversas ferramentas, com
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
foco na coleta de evidências, recuperação de dados, preservação, autenticidade e integridade
do sistema periciado e a informação coletada com seu devido relatório de reconstituição do
ataque.
2. Conceitos
Para um melhor entendimento do conteúdo utilizaremos alguns conceitos importantes.
2.1 Perícia Forense
São processos de utilização de técnicas e conhecimentos aplicados à computação forense,
técnicas utilizadas com apoio de ferramentas com objetivo de coletar, preservar e analisar
evidências na obtenção de documentação e provas digitais no âmbito judicial (MELO, 2009).
2.2 Perito Computacional
São profissionais capacitados e qualificados para executar a Perícia Forense, estes
profissionais possuem grandes habilidades em sistemas computacionais, sendo necessário ter
sólidos conhecimentos de Sistemas Operacionais e Arquitetura de Computadores (MELO,
2009).
2.3 Crime Digital
São crimes cometidos por meio eletrônico, ou seja, o criminoso utiliza sistemas
computacionais para cometer o tal delito. São exemplos de crimes digitais (MELO, 2009):
Roubo de informação
Invasão de Computadores
Divulgação de conteúdos proibidos
Pornografia (Pedofilia).
Etc...
2.4 Análise Forense
A definição de Análise Forense segundo o livro “Murder on the internet Express” (FARMER
AND VENEMA, 1999), é recuperar e analisar dados da maneira mais imparcial e livre de
distorções possível, para reconstruir os dados ou o que aconteceu a um sistema no passado.
Portanto, o perito deve se preocupar em recuperar as evidências de maneira a preservar os
dados, evitando contaminação ou perda dos mesmos. Para isso, ele deve seguir seis
princípios:
• Minimizar perda de dados
• Evitar contaminação dos dados
• Registrar e documentar
• Analisar, impreterivelmente, apenas cópias dos dados
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
• Reportar as informações coletadas
• Manter-se imparcial
O perito deve registrar e documentar todos os passos percorridos para evitar falhas nos
procedimentos. O perito deve manter-se imparcial no caso, pois em casos que envolvam
depoimentos em juízo ele deve provar que não comprometeu as provas. Por esse motivo,
sempre o processo de análise tem que ser feito em cópias dos dados, mantendo os originais
seguros contra modificações (RNP, 2008).
2.4.1 Motivações para realizar uma Análise Forense
Para uma organização às vezes nem sempre é interessante realizar uma análise forense em um
sistema comprometido, pois o processo de análise forense é demorado e consomem muitos
recursos, como peritos, computadores, espaço em disco etc., a maioria das vezes é mais
vantajoso apenas reinstalar o sistema comprometido, a não ser que a organização precise
realmente saber como partiu o ataque para responsabilizar o autor (RNP, 2008).
Então, quais são as motivações para se realizar uma análise forense? Existem diversas razões
para isso, que são descritas abaixo:
• Identificar Ataque: em muitas situações, quando um computador está
comprometido ele começa a perder desempenho, pois está sendo utilizada pelo
hacker ou vírus para fins diferentes daqueles a que o computador se destina. Um
dos procedimentos da análise forense é tentar identificar sinais de
comprometimento, isso pode ajudar a empresa a descobrir se outros computadores,
que apresentam o mesmo comportamento, estão comprometidos ou não (RNP,
2008).
• Extensão do Comprometimento: É comum aparecerem informações sobre o
comprometimento de outros sistemas dentro ou fora da empresa. Descobrir quais
computadores foram comprometidos é importante para manter a integridade da
informação que empresa quer proteger (RNP, 2008).
• Reconstruir a ordem dos eventos: Permite descobrir o que o invasor fez durante
o período em que teve acesso ao sistema, a correlação de eventos pode ajudar
determinar o que foi comprometido (RNP, 2008).
• Entender o modo operante do atacante: Esse item permite saber como o
atacante agiu, e com isso a empresa pode tomar diversas ações bem fundamentadas
para se proteger contra novos ataques (RNP, 2008).
2.4.2 Obtenção de evidências
Os princípios de análise forense estão fundamentados em métodos que buscam dar
credibilidade aos resultados obtidos, fornecendo métodos para a verificação da integridade
das evidências e dos procedimentos adotados.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
A documentação das atividades é fundamental para que uma análise possa ser aceita, tudo tem
que ser bem documentado para não prejudicar uma futura ação judicial contra os
responsáveis, pois pode inviabilizar uma avaliação do tratamento dado às evidências.
Além da correta documentação, pode-se citar mais alguns princípios importantes:
• Réplicas: É sempre recomendável fazer uma réplica completa da mídia a ser
periciada, para que seja possível a repetição dos processos e a busca da
confirmação dos resultados, sem que ocorra o dano à evidência original, devido a
algum erro do perito [Marshall 2008].
• Garantia de Integridade: No mundo real as evidências são armazenadas em
ambientes cujo acesso é restrito, são tiradas fotos, minuciosas descrições das peças
são escritas, com o intuito de verificar sua autenticidade posteriormente. No
mundo virtual a autenticidade e a integridade de uma evidência podem ser
verificadas através de algoritmos de hash criptográfico como o MD5, SHA-1 e o
SHA-2 (MARSHALL, 2008).
• Ferramentas Confiáveis: Não há como garantir a confiabilidade dos resultados
obtidos durante uma análise forense se as ferramentas utilizadas não forem
comprovadamente idôneas (MARSHALL, 2008).
2.4.3 Processos de Análise Forense
Tendo em vista a organização dos processos de Análise Forense, podemos dividir em quatro
etapas (MELO, 2009). Vejamos:
Processo Descrição
Aquisição Consiste em reunir os artefatos a serem analisados para obter o máximo
possível de provas.
Identificação Consiste na análise pericial nos artefatos coletados, é necessário estabelecer
com clareza quais são as conexões relevantes como datas, nomes,
organizações etc., dentre as quais foi estabelecida a comunicação eletrônica.
Avaliação Consiste na enumeração dos eventos em uma linha do tempo.
Apresentação Consiste no enquadramento das evidências dentro do formato jurídico como
o caso será ou poderá ser tratado. Tabela 1 - Etapas do processo de Análise Forense
2.4.4 Cadeia de custódia
É muito difícil obter, guardar e analisar dados a respeito de uma possível atividade criminosa
de forma a poder utilizar as provas obtidas em um tribunal com aceitação jurídica, o cuidado
na utilização das provas vem junto com a necessidade fundamental de documentação de toda
a investigação.
Todas as precauções devem ser consideradas e implementadas para se ter a certeza de que os
dados são precisos, confiáveis e que não foram alterados desde a sua obtenção e coleta.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Devem ser registradas as informações a fim de identificar cada pessoa que lidar com as
provas, assim como cada pessoa que tiver acesso às provas e quando as mesmas são
repassadas de uma pessoa a outra.
Documentar cada passo dado na coleta e processamento dos dados.
Isto é a cadeia de custódia, uma boa prática é usar ferramentas confiáveis, salvar os dados em
mídia removível e garantir que estes dados possam ser autenticados desde a sua obtenção e
coleta, com métodos de cálculo de "hash” (RNP, 2008).
Um registro de Custódia deve conter:
• Data e hora de coleta de evidência
• De quem a evidência foi apreendida
• Informações sobre o Hardware, como fabricante, modelo, número de série etc.
• Nome da pessoa que coletou a evidência
• Descrição detalhada da evidência
• Nome e assinatura das pessoas envolvidas
• Identificação do caso e identificação da evidência (Tags)
• Assinaturas MD5/SHA1 das evidências, se possível.
• Informações técnicas pertinentes
3. Exemplo de Caso
A Análise Forense tem o objetivo de recuperar evidências que comprovem delitos cometidos
por meios eletrônicos e que deem indicações sobre o responsável pelo comprometimento
Neste artigo estudaremos um caso disponibilizado pelo projeto “The Honeynet Project's
Forensic Challenge”, o projeto é sem fins lucrativos de pesquisa de segurança, dedicado a
investigar ataques e identificar as técnicas utilizadas em ataques, para o desenvolvimento de
ferramentas de segurança de código aberto, o objetivo do projeto é melhorar a segurança da
internet e compartilhar os conhecimentos (The HoneyNet Project’s 2012).
Utilizaremos uma imagem de um sistema comprometido disponibilizada pelo projeto
(http://old.honeynet.org/misc/files/challenge-images.tar), o sistema estava em funcionamento
um padrão Red Hat Linux 6.2 Server com o sistema de fuso horário foi estabelecido para
GMT-0600 (CST), o sistema possui seis partições.
Com as imagens iremos montar em uma estação, para utilizarmos as técnicas e ferramentas
para analisarmos e obtermos um resultado satisfatório, com as imagens montadas, iremos
fazer a autenticação para verificar a integridade das imagens obtidas.
Após montarmos e autenticarmos as imagens, começaremos a procura de evidências e
analisarmos o conteúdo obtido para montarmos a ordem cronológica dos eventos do sistema.
Analisar o disco de um computador invadido pode ser uma tarefa demorada, por isso, é
importante definir onde começará a procura, o Linux nos oferece diversas ferramentas e
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
comandos que podem auxiliar na Análise Forense, desde a criação, montagem e coleta de
evidências até a validação das informações obtidas, reparos e recuperação de dados.
Um bom ponto de partida são informações coletadas nos logs do sistema, onde podemos
encontrar informações muito valiosas para nossa análise.
Iremos utilizar algumas ferramentas que irão nos auxiliar nas buscas por evidências de
rootkits e exploits utilizados para o comprometimento do sistema, também utilizaremos
diversos comandos do próprio sistema operacional que nos auxiliará nas buscas.
Como alguns logs e históricos de comandos podem ter sido apagados pelo invasor,
utilizaremos ferramentas e técnicas para a recuperação de possíveis dados apagados.
Utilizaremos alguma ferramenta de automação de análise forense como, por exemplo, a
ferramenta Autopsy, que agiliza muito o trabalho dos peritos.
Com as informações obtidas poderemos fazer a reconstituição do ataque, ou seja, detalhar os
passos que o invasor utilizou no sistema.
3.1 Autenticando a imagem adquirida
Após a obtenção da imagem devemos autenticar e documentar todas as informações
coletadas, essas informações podem ser autenticadas através do comando md5sum, esse
comando gera um hash criptográfico dos dados passados como entrada.
Pode se gerar o hash de um arquivo da seguinte maneira:
#md5sum “arquivo à ser autenticado”
A imagem que estamos utilizando como exemplo, possuem seis partições, ou seja, são seis
imagens diferentes sendo uma imagem para cada partição utilizada no servidor
comprometido.
Cada imagem das partições deve ser autenticada, ou seja, é necessário gerar o hash
criptográfico para cada partição. O exemplo a seguir está gerando o hash da primeira imagem.
# md5sum /honey/honeypot.hda1.dd
a1dd64dea2ed889e61f19bab154673ab /honey/honeypot.hda1.dd
Após autenticar todas as imagens o próximo passo é montar as imagens.
3.2 Montando a imagem comprometida
Para evitar que algum arquivo comprometido na imagem seja executado, ou que um arquivo
de dispositivo seja usado indevidamente, a montagem deve ser feita respeitando os seguintes
parâmetros:
Somente para leitura (ro).,utilizando um dispositivo de loopback (loop, necessário para
montar imagem de disco), o sistema não deve atualizar a data de acesso dos arquivos
(noatime), e não deve considerar nenhum arquivo na imagem como arquivo de dispositivo ou
executável (nodev, noexec).
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
#mount arquivo.dd ponto de montagem –o ro, loop, noatime, nodev,
noexec -t ext2
Exemplo de montagem da primeira imagem:
#mount /honey/honeypot.hda1.dd /mnt/honey/boot/ -o ro, loop,
noatime, nodev, noexec -t ext2
Após montar todas as imagens é hora de começar a análise.
3.3 Obtenção e análise de evidências
Com as imagens montadas e devidamente documentadas, começaremos a utilizar técnicas
para obter algumas evidências, começaremos verificando alguns arquivos de logs e históricos
de comandos.
3.3.1 Arquivos de logs
Os arquivos de logs representam uma das fontes de informações mais valiosas sobre as
atividades do sistema. A análise destes arquivos é uma etapa muito importante.
Deve-se levar em conta que esses arquivos de logs podem ser alterados pelo invasor, ou
direcionados para uma área vazia do sistema operacional como /dev/null.
Arquivo de log Descrição e Características
utmp Registra os usuários atualmente “logados” no sistema. Apresenta-se
no formato binário e pode ser acessado pelos comandos w, who,
users e finger. Encontra-se no diretório /var/run
wtmp Registra todos os logins, logouts, reboots, shutdowns e mudanças no
tempo do sistema. Apresenta-se no formato binário e pode ser
acessado pelos comandos last e ca
btmp Registra as tentativas mal sucedidas de login. Apresenta-se no
formato binário e pode ser acessado pelo comando lastb
lastlog Registra o momento e origem do login mais recente de cada usuário.
Apresenta-se no formato binário e pode ser acessado pelo comando
lastlog
boot.log e demesg Registram as mensagens relativas ao processo de inicialização do
sistema. Apresentam-se no formato texto
messages ou
syslog
Registra vários eventos e informações do sistema e aplicativos.
Representa o principal arquivo de log do sistema e geralmente
contém informações encontradas também em outros arquivos de log
como, por exemplo, tentativas mal sucedidas de login
secure Registra mensagens privadas de programas relativos a autorização de
usuários. Apresenta-se no formato texto
sulog Registra o uso do comando su
access_log Registra os acessos ao servidor http. Apresenta-se no formato texto
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
xferlog Registra os acessos ao servidor FTP. Apresenta-se no formato texto
cron Registra a execução de tarefas agendadas. Apresenta-se no formato
texto
maillog Registra mensagens relativas aos serviços de correios eletrônicos.
Apresenta-se no formato texto
aculog Registra o uso de conexões dial-out
pacct ou acct Registram os processo executados por cada usuário. Apresenta-se no
formato binário e podem ser acessados pelos comandos lastcomm,
acctcom e as
histoy files
(.history,
.sh_history,
.bash_history)
Registram os comandos recentemente executados por cada usuário.
Apresentam-se no formato texto e encontram-se no diretório de cada
usuário
logs de firewall e
sistemas de
detecção de
intrusão
Registram conexões permitidas e ou rejeitadas e eventos
caracterizados como possíveis intrusões
Tabela 2 - Arquivos de logs
Ao começar a verificar os arquivos de logs percebemos que o log “Secure” que registra
mensagens privadas de programas relativos às autorizações de usuários possuem registros
importantes nesta análise, este log apresenta-se no formato texto.
# cat secure
Nov 8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2
Nov 8 00:08:40 apollo in.telnetd[2078]: connect from 216.216.74.2
Este arquivo de log nos mostra que foram feitas conexões telnetd partindo do ip
216.216.74.2. Normalmente o sistema não disponibiliza acesso telnet, por falta de segurança
desse protocolo.
Com essas informações podemos verificar de onde partiu estas tentativas de conexões
utilizando o protocolo telnet, utilizaremos o comando whois:
Whois é um protocolo desenvolvido exclusivo para consultar informações de contato e
informações do DNS sobre entidades na internet (TANENBAUM, 2003].
Ao utilizar o comando whois obtém-se informações importantes sobre esta conexão via telnet
que acessou o sistema, informações da localidade que partiu a conexão (País, Cidade, Estado)
e informações do responsável pelo domínio.
Exemplo de utilização do comando whois.
# whois “Domínio ou IP”
Após a verificação dos logs, já podemos afirmar que já temos informações importantes sobre
a análise, informações que devem estar documentadas.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
3.3.2 Arquivos de históricos de comandos
Uma das principais preocupações do invasor ao conseguir acesso ao sistema é apagar seus
rastros deixados, por isso na maioria das vezes os arquivos de logs e históricos não são
encontrados no sistema comprometido.
Os históricos de comandos são criados pelo Shell que o usuário executa e, geralmente são
armazenados em arquivo no fim da seção, com isso, alguns invasores costumam remover o
histórico e redirecionar o arquivo para o dispositivo /dev/null.
# find /mnt/honey/ -name .*history –ls
Com a utilização deste comando podemos localizar os arquivos de históricos.
Com a busca do arquivo de histórico, percebemos se o arquivo contém informações
importantes, ou seja, os comandos utilizados pelo invasor, neste caso o invasor redirecionou
os arquivos de histórico para /dev/null, então o sistema não grava nada do que foi feito no
histórico.
3.3.3 Ferramentas de verificação de arquivos de sistema
A procura de evidências manualmente pode ser muito demorada, nesses casos, pode ser mais
eficiente utilizar algumas ferramentas para facilitar a pesquisa.
Utilizaremos três ferramentas: o software chkrootkit [Murilo and Steding 2009], o antivírus
Clamav [Franklin 2009] e o Rkhunter [Boelen 2018].
3.3.3.1 Chkrootkit
Iremos começar, utilizando o software chkrootkit para examinar a existência de evidências de
algum rootkit que tenha sido instalado no disco comprometido.
Vejamos os programas contidos no pacote Chkrootkit.
Chklastlog - Ferramenta que verifica se houve alguma mudança no arquivo lastlog do
sistema
Chkwtmp - Ferramenta que verifica indícios de remoções de entrada no arquivo
/var/log/wtmp
Ifpromisc - Ferramenta que verifica se há interfaces de rede em modo promíscuo, estado
geralmente associado a instalação de sniffers.
O Chkrootkit é um shell script que contém chamadas para todos os outros programas do
pacote, este shell script implementa, dentro de seu código, e faz diversos testes procurando
vestígios que caracteriza a presença de algum rootkit ou malware [Murilo and Steding 2009].
Utilizaremos o comando a seguir para verificar se há rootkits ou malwares no sistema.
# /opt/chkrootkit-0.48/chkrootkit /mnt/honey
Os resultados nos mostram que alguns arquivos no sistema estão infectados, como podemos
ver:
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Checking `ifconfig'... INFECTED
Checking `identd'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
3.3.3.2 Clamav
Utilizaremos o antivírus Clamav (FRANKLIN, 2009) para verificação de existência de vírus
no sistema. Com o comando a seguir será possível fazer a varredura em todas as partições
montadas dentro do diretório /mnt/honey.
# clamscan -i -r /mnt/honey/
Known viruses: 465915
Scanned directories: 1290
Scanned files: 22156
Infected files: 4
Data scanned: 370.42 MB
Time: 89.546 sec (1 m 29 s)
Com o resultado obtido mostra a detecção de quatro arquivos infectados. Sendo possíveis
Exploit que possivelmente foram utilizados para explorar vulnerabilidades existentes no
sistema.
3.3.3.3 Rkhunter
Rkhunter é uma ferramenta digital que assegura aos usuários segurança quanto à questão de
ferramentas maliciosa instalados no sistema (BOELEN, 2018). O Rkhunter faz uma varredura
em todo o sistema à procura de rootkits, backdoors e exploits locais e executa testes como:
• Comparação de hash MD5
• Localiza arquivos padrões utilizados por rootkits
• Erros de permissão em arquivos binários
• Localiza arquivos ocultos
Ao utilizar o Rkhunter em nossa análise o resultado final nos traz informações sobre a
infecção da imagem com um rootkit.
# rkhunter -c -r /mnt/honey
Com a execução do Rkhunter foi localizado na imagem o seguinte Rootkit:
Rootkit names : TeLeKiT Rootkit
3.3.4 Comandos do próprio Sistema Operacional
Como já citado, o próprio Sistema Operacional possui diversas ferramentas que nos auxiliam
na busca por evidências. Vejamos alguns comandos úteis na Análise Forense.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
3.3.4.1 Strings
Esse comando extrai de um arquivo ou imagem caracteres que podem ser mostrados em um
terminal. Normalmente, dentro de um arquivo executável, por exemplo, existem mensagens e
textos que são apresentados durante a execução do mesmo.
#strings –a arquivo
A opção –a garante que o comando irá varrer todos os arquivos.
O comando strings dentro de uma imagem pode revelar informações ou identificar pista sobre
o invasor como, arquivos que ele acessou, mensagens de erros fornecidas, nomes de funções e
bibliotecas utilizadas. Em alguns casos é possível encontrar palavras comumente utilizadas
por atacantes, na forma de senhas (a palavra “sartori" é usada como senha em alguns rootkits),
gírias (a palavra “hacked", por exemplo).
Uma forma bem útil de se utilizar o comando strings é retirar o que é string dentro de uma
imagem e redirecionar para um arquivo para utilizá-la como fonte para outras coletas.
Exemplo:
# strings -a -n4 /honey/honeypot.hda1.dd >
/hone/honeypot.hda1.img.str
# strings -a -n4 /honey/honeypot.hda5.dd >
/hone/honeypot.hda5.img.str
# strings -a -n4 /honey/honeypot.hda6.dd >
/hone/honeypot.hda6.img.str
# strings -a -n4 /honey/honeypot.hda7.dd >
/hone/honeypot.hda7.img.str
# strings -a -n4 /honey/honeypot.hda8.dd >
/hone/honeypot.hda8.img.str
3.3.4.2 Grep
O comando Grep procura por padrões em um arquivo, usados em conjunto com o comando
strings torna-se uma ferramenta importante para encontrar evidências.
# grep -i -n Troj /honey/honeypot.hda8.img.str
198654:echo "Trojaning in progress"
245849:envoye_don_le_trojan
Após executar o comando acima, podemos ver a execução de um trojan.
Com a utilização das ferramentas citadas, e analisando os resultados já podemos descrever
alguns passos do atacante.
1° - O atacante faz instalação do servidor ssh-1.2.27;
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
2° - O atacante utilizou a pasta /mnt/honey/usr/man/.Ci/ para descompactação do
arquivo named.tar e execução de binários, logo após a descompactação foi criada a pasta bin
onde o mesmo executou o binário install (./install), e depois excluiu o arquivo named.tar;
3° - O Atacante apagou os arquivos de históricos (/root/.bash_history, \.bash_history,
~games/.bash_history), logo após cria links simbólicos redirecionando os mesmos para
/dev/null;
4° - Ainda no mesmo diretório executa o arquivo binário fix para substituir arquivos
binários do sistema como: top, syslogd, ifconfig, ls, netstat por aquivos possivelmente
alterados. Logo após ele para o serviço syslogd e todos os processos filhos com o comando
killall -HUP syslogd, e executa os arquivos addbd e snif;
Com essas informações obtidas e documentadas, podemos passar para outra parte
muito importante também, a recuperação de dados apagados.
3.3.5 Recuperação de arquivos apagados
A primeira coisa a fazer antes de recuperar arquivos é descobrir mais informações sobre o
sistema de arquivos. Para isso vamos utilizar a ferramenta fsstat.
O fsstat exibe todos os detalhes do sistema de arquivo. Abaixo segue o exemplo de utilização
da ferramenta
# fsstat /honey/honeypot.hda8.dd
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: Ext2
Volume Name:
Volume ID: ca30f07dda90619fd411b6b20af11456
Last Written at: Thu Nov 9 01:10:13 2000
Last Checked at: Sat Nov 4 22:55:29 2000
Last Mounted at: Sun Nov 5 13:33:19 2000
Unmounted Improperly
Last mounted on:
Source OS: Linux
Dynamic Structure
InCompat Features: Filetype,
Read Only Compat Features: Sparse Super,
METADATA INFORMATION
--------------------------------------------
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Inode Range: 1 - 66529
Root Directory: 2
Free Inodes: 59484
CONTENT INFORMATION
--------------------------------------------
Block Range: 0 - 266079
Block Size: 1024
Reserved Blocks Before Block Groups: 1
Free Blocks: 225447
Com a utilização da ferramenta podemos identificar que o sistema de arquivos da imagem
analisada é Ext2, e que o tamanho padrão do bloco de disco é de 1024 bytes.
Sabendo o tamanho do bloco do disco, podemos começar a procurar por arquivos removidos,
anteriormente vimos que o invasor executou arquivos binários partindo do arquivo
“named.tar” e logo após removeu o mesmo, para obtermos informações sobre arquivos
removidos ou sobrescritos que ainda estão armazenados no disco utilizaremos o comando fls.
# fls -f linux-ext2 -adpr /honey/honeypot.hda5.dd
O comando acima exibe os arquivos apagados e sobrescritos, vemos também os inodes onde
eles se encontram, vimos que alguns arquivos estão sobrescritos “realloc”.
Como podemos ver o arquivo que procuramos não foi sobrescrito. Vamos descobrir mais
informações sobre o inode em que esse arquivo está armazenado utilizando o comando istat:
# istat -f linux-ext2 /honey/honeypot.hda5.dd 109861
De acordo com o comando acima, o inode não está alocado e que o inode foi modificado no
dia 08/11/2000 às 12:54:43. Para descobrir qual o nome do arquivo que está alocado neste
inode, é necessário utilizar a ferramenta ffind:
# ffind -f linux-ext2 /honet/honeypot.hda5.dd 109861
• /man/.Ci/named.tar
Para tentar recuperar o arquivo inteiro utilizaremos a ferramenta icat, como é mostrado no
exemplo abaixo:
# icat -f linux-ext2 /honey/honeypot.hda5.dd 109861 >
/honey/named.tar
# tar xvf /honey/named.tar
Com a utilização do comando citado acima, recuperamos o arquivo named.tar, após extrair o
arquivo podemos visualizar os arquivos utilizados pelo atacante, como exemplo os scripts
utilizados.
3.3.5.1 Recuperando arquivos parcialmente sobrescritos
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Recuperar um arquivo apagado pode ser uma tarefa muito simples. No entanto, a informação
que queremos pode ter sido sobrescrita. Nesses casos talvez seja possível recuperar uma parte
da evidência, o que pode nos dar mais pista sobre o caso.
Os primeiros passos a serem tomados é extrair da imagem do disco, todos os espaços que não
estiverem alocados para nenhum arquivo, o comando para extrair os blocos não alocados é o
dls:
# dls -f linux-ext2 /honey/honeypot.hda8.dd >
/honey/hda8.img.dls
O arquivo /honey/hda8.img.dls contém todos os blocos de disco que não estavam alocados
para arquivos.
Vamos tentar encontrar neste arquivo a existência de algum histórico de comando. Como
vimos anteriormente, o invasor utilizou um arquivo named.tar e logo após o removeu.
Procurando pela execução do comando rm -rf, podemos encontrar algum histórico de
comando que tenha armazenado o que o invasor fez.
# grep -ab "rm -rf" /honey/hda8.img.dls
O parâmetro utilizado com o comando grep serve para que ele analise o arquivo binário e
mostre o endereço em bytes onde ocorre o padrão procurado, a partir deste resultado obtemos
a informação de arquivos de históricos deletados e o arquivo named.tar que foi utilizado pelo
invasor.
O endereço em bytes que encontramos necessita ser convertido em um endereço de bloco de
disco, como cada bloco tem 1024 bytes de tamanho, dividindo o número encontrado pelo
tamanho do bloco, temos o bloco em que o texto procurado está armazenado. Para isso vamos
utilizar uma funcionalidade do shell bash:
# echo $((92321290/1024))
90157
Para saber em que posição do disco original vamos encontrar o mesmo texto, precisamos
utilizar o comando dcalc:
# dcalc -u 90157 /honey/honeypot.hda8.dd
96117
Descobrimos então que o endereço real do bloco que armazena o arquivo procurado é 96117.
Podemos verificar que o bloco não está alocado utilizando o comando dstat:
# dstat /honey/honeypot.hda8.dd 96117
Fragment: 96117
Not Allocated
Group: 11
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Precisamos agora descobrir se existe algum inode que aponte para esse bloco. Com isso
poderemos encontrar o arquivo completo que contém o comando rm -rf /root/.bash_history.
Utilizaremos o comando find para isso:
# ifind -a -d 96117 /mnt/hda8/imagens/honeypot.hda8.dd
Inode not found
Como não encontramos um inode que apontasse para esse bloco, teremos que recuperar os
blocos de disco que conseguirmos, e tentar recuperar o máximo possível do arquivo original.
Isso é feito com o comando dcat, neste momento é importante lembrar que quando um
arquivo é gravado no disco o algoritmo de gravação tentará gravar os dados em posições
sequenciais no disco, por isso quando for necessário recuperar partes do arquivo, tente
recuperar blocos imediatamente antes e depois daquele em que está a informação de que você
precisa, pois quase sempre será possível recuperar mais um pedaço do arquivo.
# dcat -f linux-ext2 /mnt/hda8/imagens/honeypot.hda8.dd 96112 7
O comando executado acima informa o dcat para capturar sete blocos a partir do bloco 96112.
3.4 Ferramentas de automação de análise
Teoricamente poderíamos fazer todo um inquérito através de ferramentas de linha de
comando, mas este processo pode se tornar muito trabalhoso até que sejam obtidos os
resultados pretendidos, então podemos utilizar ferramentas para automatizar estas tarefas,
tornando a análise mais produtiva.
A seguir utilizaremos a ferramenta de automação de análise, Autopsy.
3.4.1 Autopsy
O Autopsy é uma ferramenta de Auditoria e Análise Forense, o Autopsy foi desenvolvido
para automatizar o processo da perícia sem limitar o que um investigador pode fazer, pois
podemos conciliar a sua aplicação com outras ferramentas do sistema e do próprio Sleuth Kit
(framework de ferramentas em que o Autopsy é baseado) para obtermos resultados detalhados
e precisos do processo de invasão (TSK, 2018).
Autopsy é baseado em HTML e é basicamente um servidor Web que trabalha como
um front-end de ferramentas do TSK (The Sleuth Kit) (TSK, 2018).
Para uma análise o Autopsy fornece gestão de casos, a fim de possibilitar ter vários hosts por
caso e cada máquina pode ter o seu próprio horário e banco de dados de hashs.
Todas as ações são registradas de modo que possamos manter informado sobre o que está
analisando, podemos fazer anotações sobre provas que foram encontradas criando uma cadeia
de custódia das informações.
3.4.1.1 Modos de Análise
O Autopsy também permite classificar todos os arquivos baseados nos tipos e fazer páginas
HTML com os screenshots de evidências encontradas por ele, existe na ferramenta um evento
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
sequenciador que lhe permite fazer anotações baseadas em dados temporais das provas, e que
tipo de dados (MARCELLA AND MENENDEZ, 2008).
3.4.1.2 Procura de evidências no Autopsy
As evidências devem ser procuradas de acordo com as seguintes técnicas:
• Listagens de arquivos: permitem verificar e analisar arquivos e diretórios, inclusive aqueles
apagados.
• Conteúdo do arquivo: permite a visualização do conteúdo do arquivo que pode ser visto em
hexadecimal, raw, ou em strings ASCII.
• Hash Databases: mantêm um banco de dado de hash de todos os arquivos e sistemas de
arquivos.
• Organização por tipo de arquivo: permite organizar os arquivos conforme as assinaturas de
tipos de arquivos.
• Timeline das ações: permite criar uma linha de tempo, das ações ocorridas no sistema.
• Procura por palavra: permite procurar uma String específica dentro do sistema de arquivo.
• Data Unit Analisys: os “data units” são os arquivos guardados no hard disk.
• Detalhes do sistema de arquivo: permite visualizar os detalhes do sistema de arquivo que
podem ser vistos, incluindo o layout do disco e o time activity.
No Autopsy as investigações são organizadas como Cases (Casos), onde cada um deles pode
possuir um ou mais hosts.
Uma sequência de eventos pode ser organizada de acordo com um IDS ou até logs de
firewall, os relatórios da ferramenta são gerados em formato ASCII, facilmente lidos em
qualquer sistema operacional.
3.5 Análise manual X Análise automatizada
A utilização manual das diversas ferramentas para Análise Forense se dá na maioria das vezes
em utilização de prompt de comando, ou seja, as informações resultantes das ferramentas são
apresentadas na forma de saída de comandos, tornando esse trabalho mais demorado e um
pouco mais complexo.
Com a utilização de alguma ferramenta de automação de Análise Forense, no nosso caso
utilizamos como exemplo a ferramenta Autopsy, tornando mais ágil e produtivo o trabalho
executado, pois a própria ferramenta automatiza diversos processos e o resultado é obtido em
forma de relatório facilitando a leitura dos resultados.
Sendo assim as duas formas apresentadas fornecem resultados bastante semelhantes,
concluímos que a escolha se dá ao critério do perito, pois mesmo utilizando a ferramenta de
automação não se limita apenas a tal ferramenta, é possível utilizar outras ferramentas no
processo.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
3.6 Cronologia e reconstrução do ataque
Até agora podemos afirmar que é possível encontrar em um sistema comprometido diversos
tipos de evidências que permite ao analista descobrir o que aconteceu no sistema e
provavelmente, quem foi o responsável pela invasão.
Devemos sempre lembrar que as informações coletadas em um sistema comprometido não
são totalmente confiáveis, é importante correlacionar todas as evidências coletadas na
máquina com outros dados, coletados em outros locais. Por exemplo, informações
conseguidas entrevistando potenciais suspeitos, logs de firewall, roteadores, servidores de e-
mail, servidores de arquivos.
O objetivo de se montar uma cronologia dos acontecimentos é tentar identificar o momento
em que as evidências encontradas foram criadas modificadas ou acessadas.
Inicialmente, vamos identificar as informações que temos sobre o sistema.
No arquivo boot.log podemos visualizar quando a máquina foi ligada.
# cat /mnt/honey/var/log/boot.log
No arquivo acima podemos ver que o sistema foi iniciado no dia 5 de novembro às 09:33
porém não temos o ano, para isso executaremos o seguinte comando:
# ls -ls /mnt/honey/var/log/boot.log
1 -rw-r--r-- 1 root root 999 Nov 5 2000 /mnt/ honey/ var/log
/boot.log
Podemos ver que foi no ano 2000. Então a máquina foi iniciada no dia 5 de novembro de
2000 às 09:33.
Sabemos também através do arquivo “secure” que houve uma conexão telnet no dia 08 de
novembro de 2000 às 00:08:40
Nov 8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2
Nov 8 00:08:40 apollo in.telnetd[2078]: connect from 216.216.74.2
O próximo passo é obter as informações de data/hora de acesso e modificação de todos os
arquivos no sistema. Essas informações permitirão ordenar cronologicamente as evidências
encontradas anteriormente.
Os pacotes de ferramentas forenses que estamos utilizando possuem duas ferramentas que,
quando utilizadas em conjunto permitem extrair essas informações. A ferramenta fls que pode
ser utilizada para mostrar informações de tempo dos arquivos listados. Mas como essas
informações não estão em um formato muito fácil de ser entendido, vamos utilizar a
ferramenta mactime para converter o padrão unixtime em um formato mais fácil de ser
entendido.
Analisando as mactimes geradas percebemos as seguintes alterações em “hosts.deny” e logo
após em “hosts.allow”.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
Wed Nov 08 2000 14:45:18 0 .a. -/-rw-r--r-- root root 26217
/etc/hosts.deny
161 .a. -/-rw-r--r—root root 26216 /etc/hosts.allow
Como já vimos, o invasor removeu o arquivo hosts.deny e logo após criou outro, e fez o
mesmo com o arquivo de log wtmp, depois parou os processos klogd e syslogd e removeu
todos os arquivos de log no diretório /etc/init.d/*log*. O invasor removeu todos os arquivos
de log que pudessem mostrar informações de como conseguiu seu acesso.
Examinando momentos depois, verificamos quando o invasor excluiu os arquivos de
históricos e os redirecionou para /dev/null.
Wed Nov 08 2000 14:52:09
9 m.c l/lrwxrwxrwx root root 46636 /root/.bash_history ->
/dev/null
9 m.c l/lrwxrwxrwx root root 23 /.bash_history -> /dev/null
Logo abaixo vemos a execução de possíveis scrips e arquivos binários partindo do diretório
/usr/man/.C
Após a utilização dos scripts o invasor removeu suas ferramentas utilizadas na invasão.
Neste trecho do arquivo de log temos o horário em que o invasor possivelmente fez “logout”
na máquina:
Wed Nov 08 2000 15:03:15
24 .a. -/-rw-r--r—root root 46631 /root/.bash_logout
Somente no outro dia temos um novo login, mas provavelmente não é do invasor, já que não
foi registrado mais nenhuma execução de nenhum programa, e o ultimo registro que tivemos
foi no dia 09 de Novembro de 2000 às 03:11:49.
3.7 Reconstituição do ataque
A última coisa a ser feita em uma análise forense é reconstituir o ataque e as ações do invasor
com base nas informações e evidências coletadas.
Normalmente, é usada uma tabela para relacionar os eventos, as evidências e as ações
identificadas.
Data Ação/Evidência
05-Nov-2000 09:33:40 Inicialização do Sistema
08-Nov-2000 00:08:40 Possível acesso ao sistema via telnet
08-Nov-2000 14:45:18 Substituição dos arquivos hosts.deny e hosts.allow
08-Nov-2000 14:45:18 Parada dos serviços syslogd e klogd
08-Nov-2000 14:51:53 Possível cópia da pasta .Ci utilizada pelo invasor
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
08-Nov-2000 14:52:10 Remoção do arquivos de histórico (/.bash_history,
/root/.bash_history), e redirecionamento para /dev/null
08-Nov-2000 14:52:13 Execução de scripts e arquivos binários partindo do diretório
/usr/man/.Ci, possível instalação de Rootkits e Exploit
08-Nov-2000 14:53:10 Instalação do serviço ssh
08-Nov-2000 14:54:05 Remoção de arquivos do diretório /usr/man/.Ci, utilizados pelo
invasor
08-Nov-2000 14:55:58 Alteração dos arquivos shadow e passwd através do script
/usr/man/.Ci/do
08-Nov-2000 14:56:11 Execução do script /usr/man/.Ci/rmS para remover arquivos de
instalação de serviços utilizados pelo invasor
08-Nov-2000 15:03:15 Possível logout do invasor
09-Nov-2000 02:37:30 Possível login efetuado por outro usuário
16-Abr-2012 23:00:00 Começa a Investigação
Tabela 3 - Cronologia e Reconstituição do Ataque
4 Conclusão
Com a necessidade de investigar os crimes cometidos através de ambientes computacionais,
surge a necessidade de utilizar e criar novas técnicas para investigar tais crimes.
Neste artigo utilizamos algumas técnicas existentes para análisar e coletar evidências em um
sistema comprometido.
Com a utilizaçao de diversas ferramentas, incluindo algumas do próprio sistema operacional
que nos oferece diversas informações importantes, como exemplo, os logs, analizamos e
obtivemos um resultado satisfatório, este resultado que teve por objetivo comprovar a autoria
e identificar as técnicas utilizadas na invasão, incluindo os passos que o invasor utilizou para
comprometer o sistema, também foi possível localizar de onde partiu o ataque.
Com todas as informações devidamente documentadas e autenticadas, foi possível fazer a
reconstituição do ataque, identificando a ordem cronológica dos eventos executados pelo
invasor. Com essa cronologia foi possível montar uma tabela com a reconstituição do ataque,
esta tabela nos mostra quando o atacante iniciou sua primeira conexão até quando deslogou
do sistema.
A finalidade de executar uma análise forense em um sistema comprometido nem sempre se dá
ao âmbito judicial, mas também para identificar as técnicas utilizadas pelos invasores, e com
estas informações se preparar para evitar novos ataques.
No âmbito judicial estas informações devidamente autenticadas podem ser apresentadas
perante juízo como forma de prova para comprovar a responsabilidade de tal ato à um
determinado indivíduo.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
A importância da Análise Forense Computacional para a segurança digital, não está voltada
apenas para identificar responsáveis por delitos digitais, mas também, identificar as técnicas e
ferramentas utilizadas por criminosos digitais. Com a identificação dessas técnicas é possível
desenvolver novas ferramentas para detectar e proteger contra ações destes criminosos.
A sugestão para futuros trabalhos é o desenvolvimento de uma plataforma para Análise
Forense em dispositivos móveis como, smartphones e tablets, pois estes dispositivos já se
dispõe de grande capacidade de processamento tornando-se possíveis ferramentas para
realização de crimes digitais, ou até mesmo sendo vítimas de ataques.
Referências BOELEN, Michael (2018) “The Rootkit Hunter Project”, http://rkhunter.sourceforge.net/,
acesso em Março 2018.
CGI (2018) “Comitê Gestor da Internet no Brasil”, http://www.cgi.br/, acesso em Março
2018.
CERT.BR (2018), “Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil - Estatística de Incidentes de Segurança”,
http://www.cert.br/stats/incidentes/”, acesso em Março 2018.
FARMER AND VENEMA (1999), “Murder on the internet Express”, 1st Edition, Prentice
Hall.
FARMER AND VENEMA (2006) “Perícia Forense Computacional, Teoria e Prática”, 1ª
Edição, Prentice Hall, Brasil.
FRANKLIN ST, Fifth Floor (2009) “Clam Antivírus”, http://www.clamav.net/lang/pt/about/,
acesso em Março 2018.
MARCELLA, Albert J. and Menendez, Jr. Doug (2008) “Cyber Forensics”, 2th Edition,
Auerbach Publications, United States of America.
MARSHALL, Angus M. (2008) “Digital Forensics, Digital Evidence in Criminal
Investigation”, 1st Edition, JohnWiley & Sons, Ltd, United Kingdom.
MELO, Sandro (2009) “Computação Forense com Software Livre”, Editora Alta Books,
Brasil.
Análise Forense: Técnicas e Reconstituição de Ataques
Dezembro/2018
ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018
MURILO, Nelson and Steding-Jessen, Klaus (2009) “Provides open source application to
check for presence of rootkits installed on Linux/Unix machines”,
http://www.chkrootkit.org, acesso em Fevereiro 2018.
NORTHCUTT, Stephen (2000) “Como Detectar Invasão em Redes, um Guia para
Analistas”, 1ª Edição, Ciência Moderna, Brasil.
RNP (2008) “Rede Nacional de Ensino e Pesquisa – (Auditoria e Análise Forense)”,
Brasil.
TANENBAUM, Andrew S. (2003) “Redes de Computadores”, 4ª Edição, Editora Campus,
Brasil.
The HoneyNets Project’s (2012), “The HoneyNet Project’s Forensic Challenge”,
http://old.honeynet.org /challenge/index.html, acesso em Janeiro 2018.
TSK (2018) “The Sleuth Kit”, http://www.sleuthkit.org/autopsy/index.php, acesso em
Fevereiro 2018.
IBGE (2014), “Acesso à internet e à televisão e posse de telefone móvel celular para uso
pessoal”, / IBGE, Coordenação de Trabalho e Rendimento. – Rio de Janeiro. 89p.