Técnicas de Investigação de Cibercrimes – Parte 3/3

Computer crime scene

Nesta parte final de nosso artigo estaremos abordando a investigação de ações criminosas como aquelas baseadas na desinformação, crimes praticados internamente contra as corporações e também ataques de negação de serviço.

“Denial Of Service” ou Negação de Serviço

Nos calabouços da criminalidade por meios eletrônicos da atualidade, parece que o ataque mais popular é o da negação de serviço.
Ataques de negação de serviço incluem qualquer negativa de acesso por usuários legítimos a um recurso de computador. Isso poderia incluir dados, processadores, dispositivos de armazenamento, aplicativos ou links de comunicação.
Talvez estejamos vendo mais destes ataques por causa dos avanços tecnológicos.
“Downsizing” corporativo tem levado ao descontentamento de funcionários. Esses trabalhadores muitas vezes têm acesso irrestrito aos recursos do computador e quando o perdem acabam ficando extremamente frustrados. Alguns tipos de ataques de negação de serviço são:

• Ataques para destruir ou danificar dados;

• Ataques que causam “shutdown” de computadores;

• Ataques que causam “shutdown” de dispositivos de comunicação, tais como roteadores;

• Ataques que causam a retirada do acesso a um sistema de por parte de usuários legítimos. Forma típica deste ataque são aqueles que destroem os registros do usuário, arquivos de senha ou outras funções que permitem aos usuários fazer “login” no sistema. Uma extensão deste tipo de ataque são os ataques que têm o mesmo efeito em bancos de dados ou aplicações que necessitam de autenticação para seu uso;

• Ataques que forçam uma transformação no sistema, tal como “I/O” (input/output), ou outro gargalo e que causa lentidão no sistema, ou, mesmo, sua parada. Um exemplo notório desse tipo de ataque era o “Internet Worm”. Já um exemplo mais atual é o “e-mail bomb ou “spams”.

Por que os ataques de negação de serviço ocorrem? Normalmente, uma razão subjacente a estes ataques é a falta de capacidade por parte do atacante para realizar um dos outro tipo de ataques como os que temos discutido.
Se o atacante não pode invadir o computador, talvez ele possa atingir seu objetivo, fazendo-o parar.
Neste sentido, vemos jovens “aspirantes” a “hackers” usando scripts, encontrados na Internet ou em sistemas de sites “underground”, que causam falhas nos sistemas.
As recompensas que buscam são o direito a se vangloriar, a vingança de uma escola ou outra organização ou de pessoa que eles vêem como errados, ou como uma forma de extravasar sua emoção de conseguir ocasionar uma grande falha no sistema.
Em quase todos os casos de vandalismo de computador que temos acompanhado, a razão subjacente era a vingança. E, na maioria dos casos, o agressor era uma pessoa com conhecimento de informática apenas moderado, embora muitas vezes ele ou ela era notado pelos colegas de trabalho como alguém muito mais hábil do que eles realmente eram.
A próxima pergunta, é claro, diz respeito à forma como estes ataques ocorrem.
Existem vários métodos de negação de serviço para usuários legítimos.
No entanto, para os nossos propósitos no momento, enumeramos os mesmos em algumas categorias técnicas distintas:

• “Packet floods”: Esses causam algum aspecto de processamento do computador ficar sobrecarregado. Eles incluem técnicas, tais como “synch floods”. Eles são predominantemente ataques de comunicações e dependem do processo de comunicação para seu sucesso;

• “Data floods”: Estes são os ataques que acarretam o total preenchimento do espaço de armazenamento do computador. Um exemplo deste tipo de ataque é o “log flood”, que faz com que o sistema de destino experimente um número excessivo de ocorrências de um evento registrado, causando assim que os “logs” para preencher este evento acabem utilizando todo o espaço disponível no dispositivo de armazenamento. “Mail bombs” são outro exemplo deste tipo de ataque, embora haja também um aspecto de comunicação neles também;

• Destruição de arquivos críticos: Estes causam danos a arquivos, tais como de senha, configuração ou arquivos do sistema. Esses ataques geralmente exigem que o atacante tenha habilidade para invadir o computador ou ao menos que o computador esteja configurado incorretamente ou que o atacante ganhe acesso de “superuser”;

• Danos a arquivo de dados ou aplicativos: Este é outro ataque que exige que o atacante obtenha acesso ao sistema. No entanto, em muitos casos, devido às exigências de um aplicativo, os arquivos vulneráveis podem ser gravados por usuários normais. Uma vez que o acesso “superuser” não é necessário, o acesso mascarado com acesso normal pode causar danos significativos. Isto é um crime muito difícil de resolver, pois o atacante pode ser alguém que pertence empresa e cujas ações não são simplesmente registradas de forma adequada.

Investigar este tipo de incidente pode ser muito frustrante, porque muitas informações podem ser perdidas com a danificação dos arquivos.
Ataques que são dependentes de comunicações podem ser um pouco mais fáceis de rastrear, porque qualquer fluxo de dados de grande porte geralmente deixa pegadas na rede.

“Data Floods” e “Mail Bombs”

Denial of service

Por exemplo, um “mail flood” ou um “data flood” podem ser feitos mesmo que o atacante use computadores intermediários para gerar o ataque. “Mail spoofing” (uma técnica que faz com que o e-mail pareça ter vindo de uma fonte que não seja a sua real) é detectável através da expansão da informação no cabeçalho das mensagens.
Muitos ataques desse tipo são rastreáveis por “sniffar” os pacotes e, através dos endereços de origem, por rastreamento reverso até a sua origem. O rastreamento reverso geralmente requer a cooperação dos administradores dos sites intermediários. No entanto, os “floods” também afetarão os dados de suas redes e, portanto, muitas vezes eles estarão dispostos a colaborar com sua investigação.
Seu sucesso em encontrar a fonte do vandalismo pode depender de captura de pacotes envolvidos no ataque. Isso tem implicações no que diz respeito às leis de interceptação telemática. No entanto, na maioria dos casos, você pode capturar os pacotes, se a captura está na sua manutenção normal de rotina e não estritamente com a finalidade de rastreamento de um ataque.
Além disso, você só deve usar a informação do endereço de origem e destino no pacote.
O conteúdo dos pacotes geralmente não pode ser utilizado sem uma ordem judicial permitindo sua captura, o que implica na necessidade de uma investigação pela Polícia Civil.
Mesmo assim, essas informações limitadas podem ser muito valiosas porque são amplamente importantes para encontrar-se a fonte do ataque.
Há vários bons programas “freeware” para monitoramento de pacotes que se concentram no tipo de “empacotamento”, endereços de origem e destino e outras tarefas da rede interna sem se preocupar com o conteúdo dos dados.
O uso rotineiro destas ferramentas pode ser uma grande ajuda para impossibilitar que sua rede possa sucumbir a um “packet flood” ou “data flood”.
Lembre-se: muitas vezes esses ataques ocorrem apenas uma vez e se você não capturar os elementos de prova, quando acontecer, você provavelmente não terá uma segunda chance.
Investigar ataques de negação de serviço exige essencialmente os mesmos passos da investigação de qualquer intrusão.
Comece por eliminar as muitas rotas que podem existir para seu sistema, em seguida, continue testando cada rota restante até ter diminuído as possibilidades, na medida do possível.
No caso de um “data flood” proveniente da Internet, você vai precisar iniciar um processo de identificação de fontes específicas. Devido à forma de trabalho dos roteadores na Internet, os pacotes costumam passar por muitas redes intermediárias sob circunstâncias normais. Se você adicionar sistemas intermédios utilizados pelo invasor para desorientar perseguidores, as alternativas de investigação são muito grandes, na realidade.
Se você é capaz de capturar pacotes que revelam um endereço de origem, utilize o “traceroute”, um programa para determinar onde os pacotes passaram entre o seu site e a fonte.
Contate o administrador do site de origem e comece o processo de “rastreamento”, se o ataque não se originou em seu site. Muitas vezes, devido à maneira como um site intermediário tiver configurado seus “hosts”, o “traceroute” terá curta passagem até a rota final.
Isto é porque o “host” final estará configurado para rejeitar os pacotes que compõem o “traceroute”.
Os locais descobertos por intermédio de seu “traceroute” pode ser útil se eles puderem ajudar você a direcionar recursos adicionais para encontrar o agressor.
Se o ataque atravessou as fronteiras estaduais, você precisará da ajuda de unidades da Polícia Civil de outros estados para avançar em suas investigações.
Outra razão para realizar o “traceroute” é para determinar se o ataque atravessou fronteiras estaduais.
Às vezes, mesmo quando a fonte é no mesmo estado, por causa da forma como estão estabelecidas as rotas que os pacotes realizam na Internet, estes podem cruzar para outro estado e, em seguida, retornar novamente, o que poderia tornar o crime “plurilocalizado”.

Ataques de dentro da organização

Estatisticamente, a maioria dos ataques contra computadores, que não são simplesmente erros do usuário ou falhas de equipamento ou de software, acabam se originando de dentro da organização.
Estes ataques podem ou não ser fáceis de detectar, dependendo da configuração do computador alvo e de qualquer “host” intermediário.
A vantagem para analistas de empresas atuando exclusivamente no interior das suas próprias redes é que eles podem exercer alguma medida de controle sobre os computadores envolvidos e podem obrigar os administradores a cooperar.
Muitas das técnicas que nós temos discutido já se aplicam igualmente ao ambiente interno. No entanto, agora você tem a vantagem adicional de utilizar o sistema de “logs” em máquinas intermediárias como um recurso. O “traceback” pode ser melhor sucedido nessas condições.
Certos tipos de ataques de negação de serviço deixam grandes pegadas nos sistemas de registro de outros computadores.
Por exemplo, um “sync flood” em um segmento Ethernet pode ter um efeito sobre outros computadores, além do alvo, no segmento. Isso pode ser especialmente verdadeiro se houver roteadores entre a origem e o destino.
Pode haver ferramentas remanescentes no último computador na cadeia (se o atacante usou vários computadores para mascarar a sua localização real) que podem levar ao invasor.
Se o ataque começou com um PC, pode haver evidências forenses no disco rígido que apontem para o uso do PC no ataque.
Os primeiros esforços que você gasta para coletar provas não será sempre recompensado, mas são sempre críticos. Tenha muito cuidado como você sonda o computador de um invasor.
Você pode acionar armadilhas que causem a destruição de evidências críticas ao primeiro sinal de adulteração.
É fato que ataques de negação de serviço podem destruir dados, aplicativos e arquivos de configuração. Eles podem causar transtornos para computadores ligados em rede e podem interromper o acesso legítimo de usuários que precisam de suas redes para fazer seus trabalhos.
Os ataques de negação de serviço também têm o potencial de afetar outros computadores, além do alvo.

Ataques que exigem acesso ao computador

Há uma classe especial de negação de serviço que requer acesso ao computador.
Estes ataques podem ser de usuários legítimos, com rancor, ou eles podem ter intenções mais sinistras. Em qualquer caso, todos eles têm uma coisa em comum: o acesso ao alvo do ataque é necessário.
O acesso pode vir de várias fontes, uma das quais é o acesso remoto. Isso inclui “dial-in”, “login”, “telnet” remoto, e outros métodos de ligação à distância. Nestes casos, a rede é uma peça fundamental do quebra cabeças. No entanto, uma parte ainda mais crítica é a configuração do computador de destino. Máquinas mal configuradas podem ser um convite a invasão.
Entre outros ataques, ações como a destruição dos arquivos de senha, arquivos de configuração e outros arquivos críticos do sistema são abordagens comuns que necessitam de acesso ao alvo. “Hosts” com informações críticas ou sensíveis devem ser mantidos em áreas fisicamente seguras.
A maioria dos “hosts” de rede oferece todos os seus segredos, se forem reiniciados em modo de usuário único. Já os “hosts” mais antigos, em particular, são vulneráveis a esse tipo de ataque.
Quando reiniciar um servidor Unix no modo de usuário único, geralmente não é necessária nenhuma senha para o usuário “root”. A máquina inicia com o usuário “root” logado no console. A partir dai, é uma simples questão de tempo para se substituir o arquivo “passwd”, adicionar novos usuários, criar um “back door” e apagar as provas nos arquivos “log”.
Servidores “Novell NetWare” tem um modo “DOS”, assim como os servidores NT. Isso pode permitir o acesso de forma semelhante se os computadores estiverem mal configurados. A abordagem do invasor será provavelmente:

• Reiniciar o computador em um modo mais conveniente;

• Roubar e “crackear” o arquivo de senhas ou criar algum “back door”;

• Limpar seus rastros;

• Retornar mais tarde para fazer o dano que deseja e talvez direcionar o investigador para um usuário inocente.

O objetivo principal deste artigo foi permitir que pudéssemos olhar para os crimes aqui descritos em detalhes e começar uma discussão de como eles podem causar danos graves, permitindo também que se possa gerar uma estratégia para a sua investigação, com a introdução de uma metodologia geral para investigação dos aspectos técnicos dos crimes informáticos.
Que a máxima “o conhecimento liberta e a ignorância escraviza” possa ser o fator motivador para que possamos combater os crimes praticados por meios eletrônicos, melhorando a qualidade de vida das pessoas. 

Deixe uma resposta