Pró-Reitoria de Pós-Graduação
Curso de Perícia Digital
Trabalho de Conclusão de Curso
ANÁLISE FORENSE EM AMBIENTE CORPORATIVO
RAPHAEL RIBEIRO GOMES
Autor: Raphael Ribeiro Gomes
Orientador: Prof. Msc. Paulo Roberto Corrêa Leão
Raphael Ribeiro Gomes
Brasília – DF
2012
RAPHAEL RIBEIRO GOMES
ANÁLISE FORENSE EM AMBIENTE CORPORATIVO
Artigo apresentado ao Curso de PósGraduação em Perícia Digital da Universidade
Católica de Brasília.
Orientador: Msc. Paulo Roberto Corrêa Leão
Examinador:
Brasília
2012
Artigo de autoria de Raphael Ribeiro Gomes, intitulado “ANÁLISE FORENSE EM
AMBIENTE CORPORATIVO”, apresentado como requisito parcial para obtenção do grau de
Pós-graduação Lato Sensu em Perícia Digital da Universidade Católica de Brasília, em 12 de
junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada:
__________________________________________
Professor Msc. Paulo Roberto Corrêa Leão
Orientador
Pós-Graduação em Perícia Digital – Universidade Católica de Brasília - UCB
_________________________________________
Professor Msc. Laerte Peotta de Melo
Examinador
Pós-Graduação em Perícia Digital – Universidade Católica de Brasília - UCB
Brasília
2012
Dedico este trabalho aos meus pais que sempre me
apoiaram nessa jornada, e também a Luisa que
sempre me motivou com os estudos, e a DEUS por
me
dar
forças
para
continuar
AGRADECIMENTOS
Ao meu Professor e orientador Paulo Roberto Corrêa Leão por ter compartilhado seus
conhecimentos para realizar este trabalho, aos professores do curso que me despertaram e me
motivaram a explorar mais os conhecimentos na área de forense computacional.
“O dever de um perito é dizer a verdade; no
entanto, para isso é necessário: primeiro saber
encontrá-la, depois querer dizê-la. O primeiro
é um problema científico, o segundo é um
problema moral.” Nerio Rojas Martin Luther
King
7
ANÁLISE FORENSE EM AMBIENTE CORPORATIVO
Raphael Ribeiro Gomes
Resumo
A Análise Forense Computacional tornou-se imprescindível para uma gestão eficaz no
sistema de segurança das empresas, tendo em vista as valiosas informações armazenadas, em
razão disso, as organizações têm buscado alternativas de segurança cada vez mais eficientes.
Assim, o artigo, objeto do presente estudo, buscou demonstrar que a perícia forense aplicada à
informática pode ser eficaz com o uso de técnicas e ferramentas que auxiliem na busca, coleta
e analise de evidências. O trabalho tem como objetivo realizar uma pesquisa com os
colaboradores de uma empresa financeira a fim de identificar vulnerabilidades nos sistemas
computacionais da empresa. Para isso vai ser realizada uma pesquisa bibliográfica, e pesquisa
de campo, objetivando levantar as evidências de vulnerabilidades. O cenário escolhido para o
estudo foi uma empresa do ramo financeiro. Neste contexto, este artigo procurou evidenciar
as ações mal intencionadas dos colaboradores, e as falhas de segurança da empresa.
Palavras-chave: Forense Computacional, Vulnerabilidade, Segurança da Informação,
Política de Segurança.
1.
INTRODUÇÃO
Atualmente, a segurança da informação tornou-se imprescindível para sobrevivência
do ambiente coorporativo tendo em vista as valiosas informações armazenadas nos sistemas
computacionais. Conforme Nakamura & Geus (2003, p.46), “a segurança é inversamente
proporcional às funcionalidades”. Dessa forma se um sistema possuir muitas funcionalidades, as
chances de haver uma vulnerabilidade aumentarão, e poderão ser exploradas, em consequência, a
segurança ficará vulnerável
Novas tecnologias surgem a cada momento e daí a necessidade de se adequar
constantemente às técnicas de segurança, considerando que as obsoletas representam alvo
para os criminosos cibernéticos.
Tal observação tem sido reforçada em razão do surgimento de grandes números de
usuários que utilizam ilicitamente os computadores, com intuito de fraudar os sistemas
computacionais e fazer uso dos mais variados malwares, como (keylooggers, trojans,
spywares e outros), e também a engenharia social para fraudar e lesar corporações e usuários.
O avanço e a adequação á novas tecnologias buscam solucionar estas questões que têm
sido um dos maiores desafios na área da computação.
Em razão disso, o tema tem merecido muita atenção nos dias atuais, levando as
organizações a buscar alternativas de segurança cada vez mais eficientes contra esses ataques
para identificar as falhas, minimizar as ameaças e proteger as informações.
Dessa busca constante originou as investigações forenses computacionais que
compreende a aquisição, preservação, identificação, extração, restauração, analise e
documentação de evidencias computacionais.
8
O presente artigo tem como finalidade promover um estudo com utilização de algumas
ferramentas para analise forense na empresa Agiliza Promotora de Vendas.
Nas considerações finais, foram feitas as ponderações pessoais a respeito da matéria
tratada.
1.1.
JUSTIFICATIVA/RELEVÂNCIA
Notou-se que a financeira, representante do banco BMG, a Agiliza Promotora de
Vendas tem uma enorme preocupação com seus ativos de sistema informatizados.
Em face disso, o estudo teve como foco realizar a análise Forense para identificar as
ações dos usuários em relação às normas de políticas de segurança da empresa. (SILVA,
G).2010.
Justifica-se o tema tendo em vista que a analise forense em ambiente coorporativo é
um procedimento imprescindível para toda organização que pretenda resguardar os ativos de
sua empresa.
Espera-se que o resultado dessa pesquisa possa oferecer informações à estudantes e
profissionais sobre soluções cabíveis em relação às falhas de segurança e ações usuários mal
intencionados.
1.2.
DELIMITAÇÃO DO TEMA
A pesquisa dispõe sobre o uso de ferramentas forenses para aplicá-las nos sistema
computacionais a fins de verificar ações ilícitas.
1.3.
CONTEXTUALIZAÇÃO DA PERGUNTA
Sabe-se que nos últimos anos têm surgido inúmeras ameaças nos sistemas
computacionais. As empresas são prejudicadas com ações ilícitas realizadas por usuários com
a intenção de obter os ativos valiosos das corporações. Muitos desses usuários hospedam
malwares e pragas virtuais nos sistemas computacionais com o intuito de fraudar os ativos
importantes das corporações. Cabe à equipe Forense analisar e identificar os incidentes
ocorridos.
1.4.
ENUNCIADO DO PROBLEMA
Um usuário mal intencionado pode colocar um pendrive plugado no PC para obter
dados restritos. Também, se este mesmo usuário tiver acesso a outros sites fora da política de
segurança poderá desviar informações, tais como, documentos confidenciais, banco de dados
e etc.
Assim sendo, configura-se com problema da pesquisa a seguinte questão: Quais
ferramentas e métodos são mais eficazes para inibir esses atos?
9
1.5.
HIPÓTESE
A utilização de ferramentas adequadas de análise de tráfego permite a identificação de
acessos fora das regras de segurança de uma corporação.
1.6.
PROPÓSITOS
1.6.1. Objetivo geral
Realizar uma pesquisa com os colaboradores da empresa Agiliza Promotora de
Vendas a fim de identificar vulnerabilidades nos sistemas computacionais.
1.6.2. Objetivos específicos
Para levar a termo este estudo foram elencados os seguintes objetivos específicos:
a) realizar análise forense nos sistemas de informação de uma empresa financeira,
como estudo de caso;
b) identificar as falhas de segurança dos ativos de dados da empresa financeira;
c) propor normas e ações de segurança da informação para identificar e coibir
atividades ilícitas dos colaboradores da empresa.
1.7.
ORGANIZAÇÃO DO ARTIGO
O presente artigo divide-se em:
a) capítulo 1 (introdução): trata da introdução do trabalho, onde são evidenciados
os objetivos geral e específicos e a metodologia utilizada;
b) capítulo 2 (referencial teórico): conceituará segurança da informação, políticas
de segurança, crimes computacionais, perícia e ferramentas forenses
computacionais;
c) capítulo 3 (resultados): apresentam conceitos que caracterizam esta pesquisa,
os métodos utilizados para a coleta e tratamento dos dados e os resultados;
d) capítulo 4 (discussão): análise dos resultados: os dados coletados na pesquisa
de campo confrontadas com a literatura; e
e) capítulo 5 (conclusão): é o desfecho do trabalho em que apresenta-se a resposta
ao problema apresentado.
10
2.
REFERENCIAL TEÓRICO
2.1
Segurança da informação
Atualmente, a segurança da informação tornou-se algo primordial devido aos ataques
cibernéticos e vulnerabilidades existentes nos sistemas computacionais nas corporações. A
importância dos dados em um sistema computacional é tão significante que se deve ter uma cautela
para lidar com essas informações. A Segurança da Informação é imprescindível para o a utilização de
sistemas computacionais, conforme Figura 1.
Sêmola (2003, p. 43) define a segurança das informações como “uma área do
conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados,
alterações indevidas ou sua indisponibilidade”. No setor de segurança de dados, todo o
componente que executa um processo com a informação é considerado um ativo. Os meios de
armazenamento e iteração e também a informação são itens desse conceito (SÊMOLA, 2003
p 23).
Para Caruso e Steffen (1999, p. 24), ao lidar com a segurança das informações, é
necessário o entendimento de algumas definições gerais sobre este tema, tratando questões,
tais como:
a) acesso lógico: refere-se ao acesso ao hardware;
b) propriedade ou gestão: de que pertence e que tem acesso ao ativo;
c) custódia: quem é o responsável pelo armazenamento das informações;
d) controle de acesso: permissão para acessos, como: senha, privilégios,
identificação, chaves de acesso, assim também aplicações usadas para algum
controle;
e) acesso físico: de que forma utiliza algum recurso, processo ou informação;
f) plano de contingência: define padrões voltados para gerenciar os ativos da
empresa, que idealiza a segurança contra diversos riscos e ameaças as
informações;
g) preservação e recuperação de informações: Garantia de não ter riscos aos dados,
garantindo sua integridade, e possibilitando seu uso posteriormente.
2.1.2
Norma de Segurança da Informação
A norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da
Informação, o objetivo dessa norma é estabelecer diretrizes para começar, implantar, manter e
melhorar o gerenciamento de segurança da informação em uma corporação. A segurança da
informação tem o intuito de proteger os ativos importantes da empresa para a continuidade e
manutenção dos objetivos de negócio da organização. É preciso esclarecer, pois essa norma
era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC
17799 foi implementada uma nova enumeração ISO/IEC 27002. Essa norma está distribuída
em 11 seções que correspondem a controles de segurança da informação, conforme
apresentado a seguir:
a) política de segurança da informação;
b) organizando a segurança da informação;
11
c)
d)
e)
f)
g)
h)
i)
j)
2.2
gestão de ativos: qualquer ativo que tenha importância para a empresa;
segurança em RH;
segurança física e do ambiente;
gestão de operações e comunicações;
controle de acesso;
aquisição, desenvolvimento e manutenção de sistemas da informação;
gestão de continuidade de negócios;e
conformidade
Política de segurança da informação
Segundo Caruso e Steffen (2006) a política de segurança não deve ser tratada como
um modismo passageiro e sim, um conjunto de diretrizes gerais destinadas a governar a
proteção a ser dada a ativos de toda a organização, com o objetivo de definir claramente qual
é o seu propósito e qual é o seu objetivo de proteção. Uma política de segurança bem
implementada e corretamente seguida, traz consequências, que podem ser resumidas em três
aspectos:
a) redução da probabilidade de ocorrência;
b) redução de danos causados por eventuais ocorrências; e
c) criação de procedimentos para se recuperar de eventuais danos.
Ainda segundo os autores a política de segurança deve conter diretrizes claras a
respeito dos seguintes aspectos:
a) objetivo da segurança – deve explicar de forma rápida e sucinta a finalidade da
política de segurança;
b) a quem se destina – deve definir claramente quais as estruturas organizacionais e
os ocupantes de funções aos qual a política se aplica;
c) propriedade dos recursos – deve definir de forma clara as regras que regerão os
diversos aspectos relacionados com a propriedade de ativos de informação;
d) responsabilidade – deve definir de forma clara quais os tipos de
responsabilidades envolvidas com o manuseio dos ativos, e a quem ele deve ser
atribuído e quais os mecanismos de transferência;
e) requisitos de acesso – deve indicar de forma clara quais os requisitos a serem
atendidos para o acesso aos ativos;
f) responsabilização – deve indicar as medidas a serem tomadas nos casos de
infringência às normas; e
g) generalização – nesta seção da política podem ser incluídos que não cabem nas
demais.
A política de segurança deve ser criada antes da ocorrência de problemas com a
segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir
problemas legais, como para documentar a aderência ao processo de controle de qualidade. As
políticas bem elaboradas, na maioria das vezes possuem os mesmos conceitos, alguns são
mais severos e outros mais sutis. A especificação da política deve ser breve, utilizar palavras
simples e formalizado o que é esperado dos funcionários da organização. É importante que a
política seja aprovada pela direção da alta administração com o nome do executivo principal
da organização, validando sua divulgação e exigindo sua utilização (FERREIRA; ARAUJO,
2008 p. 38).
12
A política de segurança deve assegurar a existência de um plano de continuidade
capaz de orientar todo o processo de restauração parcial ou total do ambiente. A gestão de
tecnologia deve obter colaboração dos gestores de negócio, criando diretrizes de continuidade,
de forma a definir claramente os papeis e responsabilidades. O plano de contingência e
continuidade devem ser testados e revisados periodicamente para garantir o seu
funcionamento em caso de necessidade (FERREIRA; ARAÚJO, 2008).
Independente de seu tamanho o ambiente de processamento de dados é fundamental
em qualquer organização, por isso é fundamental garantir a disponibilidade desse ambiente.
Além dos recursos de hardware, é necessário possuir procedimentos de backup e restore das
informações para garantir sua disponibilidade. A política de segurança deve fornecer as
diretrizes necessárias para orientar o desenvolvimento dos procedimentos de backup e restore.
Para a implementação do backup deve ser levado em conta a importância da informação, o
nível de classificação utilizado, a sua periodicidade de atualização e também sua volatilidade.
O armazenamento das mídias de backup deve ser realizado em diferente de onde estão
armazenados os equipamentos geradores da informação (FERREIRA; ARAÚJO, 2008).
2.2.1 Regras e responsabilidades
De acordo com a Política de segurança da informação, toda organização é responsável
pela preservação da segurança da informação e dos recursos que as produzem. A adequada
utilização desses recursos está diretamente relacionada com a atribuição de regras e
responsabilidades das áreas do Comitê de Segurança da Informação, Proprietário das
Informações, Área de Segurança da Informação, Usuário das Informações, Recursos
Humanos, dentre outras (FERREIRA; ARAUJO, 2008).
O Comitê de Segurança tem a função de divulgar e estabelecer os procedimentos de
segurança e quando necessário se reunir com o objetivo de manter a segurança em todas as
áreas da organização, o Proprietário das Informações é responsável pela autorização dos
acessos às informações, considerando as políticas vigentes dentro da organização.
Ainda segundo os autores, a área de Segurança da Informação tem o objetivo de
proteger o ativo de informação, minimizando os riscos em algumas organizações esta área
também é responsável pela elaboração do plano de continuidade do negócio.
O usuário da informação é qualquer usuário com acesso às informações, seja um
funcionário ou um contratado, com atividades internas ou em seu próprio escritório.
A área de Recursos Humanos deve estabelecer as sanções e penalidades a serem
aplicadas nas situações em que a política de segurança for desrespeitada. O setor de Recursos
Humanos deve comunicar a área de Tecnologia da Informação a ausência ou desligamento de
funcionários e também auxiliar na obtenção da assinatura dos Termos de Responsabilidade de
Segurança. Esse documento deve formalizar o conhecimento e a concordância do funcionário
sobre as políticas e penalidades estabelecidas pela organização, as punições podem ser uma
advertência, uma demissão, uma mudança nas atividades realizada por um profissional ou até
mesmo uma ação judicial.
13
2.3
Crimes Computacionais
Os crimes computacionais, crimes cibernéticos, entre outros, são termos que surgiram
no final do século xx, e compreendem as condutas ilegais utilizadas por sistemas
computacionais, como roubo de informações digitais, pirataria, esteganografia, acessos a
sistemas não autorizados, dentre outros. Desde o surgimento, os crimes digitais têm
preocupado bastante as pessoas, governos que os utilizam, pois não a uma legislação
abrangente em relações a esses atos. Côrrea (2002) define os crimes computacionais em duas
categorias distintas, de acordo com o grau de envolvimento que a informática tem em relação
a esses crimes, sendo esses:
a) Crime de informática próprio – são os praticados somente no âmbito da
informática, sendo impossível sua aplicabilidade fora desse contexto;
b) Crime de informática impróprio – são os crimes que já violam bens protegidos
pela legislação, como os crimes de (calunia, difamação, racismo, dentro outros),
a informática é um meio para atuação desses crimes.
Muitos crimes cometidos na internet podem ser considerados como próprio ou
impróprio, como exemplo de malwares (pishing, trojans e spam). Esses tipos de crimes
atualmente geram grandes problemas e prejuízos, os bancos estipulam perdas de milhões de
reais.
O pishing é um tipo de ataque eletrônico, com o intuito de pescar e obter dados
valiosos para posteriormente cometer uma fraude ou um roubo. Essas informações pescadas
pelo pishing, geralmente são obtidas por e-mail pessoal. A vítima ao clicar na mensagem
acessa o site fraudado, e nesse site pode conter um aviso sobre o banco da vítima, ou até uma
intimação da Polícia Federal.
O trojan ou cavalo de tróia tem como principal objetivo acessar computadores com a
utilizações de exploids por exemplo, entrar no computador da vítima e liberar uma porta de
acesso para ter acesso ao computador, assim buscar por dados importantes, como: senhas,
arquivos confidências da vítima.
O spam é um termo usado para se referir aos e-mails que não foram solicitados, esses
e-mails geralmente são enviados para um grande número de pessoas. O termo spam,
abreviação do inglês ham (produto condimentado), consiste em uma mensagem com fins
aparentemente publicitário, sendo um dos meios mais produtivos para se alcanças milhões de
sistemas computacionais, sendo um grande veículo na disseminação de worms e malwares,
além de congestionar o tráfego na internet,
Uma mensagem de spam é encaminhada para o e-mail da vítima, esse e-mail informa
que foi realizado um depósito, e têm a intenção de fazer com que a vítima clique excute script
que será armazenado no computador para que o invasor obtenha dados, conforme Figura 1.
14
Figura 1 – Spam encaminhado a vítima.
De acordo com Zillo Neto:
[...] O SPAM é um problema de segurança e até mesmo de produtividade que
continua sendo explorado, afinal ainda existem usuários que “clicam” nos e-mails
indesejados. Se o “recurso” de Spam continua sendo utilizado, com certeza ele ainda
dá “lucros”. Fica comprovado que as “caixinhas” não resolvem esses problemas
definitivamente, a educação e conscientização de usuários deve ser uma estratégia
complementar. (ZILLO NETO, 2006)
No mundo digital o termo hacker é batizado para descrever o individuo que atua nesse
ambiente, apesar de não haver um consenso entre autores estes são divididos em vários outros
termos de acordo com o tipo de crime cometido (NOGUEIRA, 2001).
Os hackers em geral são profissionais de segurança da informação, os quais utilizam
seus conhecimentos para detectar alguma vulnerabilidade em sistemas informatizados, como
governo ou grandes empresas privadas. Esses hackers não têm objetivo o abuso de invadir um
sistema, fraudar, e roubar informações de empresas e governo, pois são considerados os
hackers éticos.
Os crackers possuem os mesmos conhecimentos que um hacker ético, mas são
considerados os “hackers antiéticos”, pois agem como os hackers, porém utilizam o seu
conhecimento para fraudar, roubar e invadir sistemas, com o intuito de prejudicar pessoas,
empresas, governos e o que mais for necessário para obter o que desejam, causando os mais
diversos tipos de prejuízo as vitimas e também a população.
2.4
Perícia
Segundo Kenn (1996) Perícia é a atividade concernente a exame realizado por
profissional especialista, legalmente habilitado, destinada a verificar ou esclarecer
determinado fato, apurar as causas motivadoras do mesmo, ou o estado, a alegação de direitos
ou a estimação da coisa que é objeto de litígio ou processo.
Ainda segundo o autor, a perícia pode ter várias naturezas, a depender de seu objeto de
estudo: pode ser criminal, de engenharia ambiental, de medicina e tecnologia, enfim, dos mais
variados ramos em que o concurso do conhecimento técnico se faça necessário.
15
2.4.1
Perícia Forense Computacional
A Perícia Forense Computacional é uma área da criminalística recente, que trabalha
em busca de delitos praticados por intermédio dos sistemas computacionais. Com o avanço da
tecnologia, e o aumento destes crimes, a Perícia Forense Computacional torna-se
indispensável.
A cada momento, criminosos descobrem novas formas para invadir o sistema
operacional. As finalidades dessas invasões podem ser diversas: roubo de informação, senhas,
cartão de crédito, destruição de informações e etc. Os criminosos agem de acordo com a
finalidade da invasão, entretanto, todos agem através de um único caminho: encontrando a
vulnerabilidade no sistema computacional.
Em razão disso, no mundo computacional há uma exigência cada vez mais intensa
pelo profissional e em perícia digital. Para o combate a esses crimes, é necessário que o
profissional seja altamente qualificado, especialmente nas áreas de recuperação e análise de
dados na internet, análise de trafego de rede, análise de vírus, análise de ataques e outras
possibilidades. Para tanto, eles precisam ter habilidades necessárias para uso de ferramentas
diversas e atualizadas para cada fim.
Uma das principais ferramentas do perito digital está em identificar rastros dos
criminosos. Esse processo de análise forense é extremamente complexo, em razão disso, o
profissional necessita aplicar sempre novas tecnologias para identificar as evidências deixadas
pelos intrusos. As ferramentas computacionais devem ser sempre atualizadas para superar os
avanços das tecnologias dos criminosos. Pois, as ferramentas tendem a ficar obsoletas.
A etapa de coleta de evidências é regida por leis, todas as evidências devem ser
autenticadas, isso que dizer que deve ter uma testemunha para conferir a autenticidade. No
caso da evidência digital este poderá ser um testemunho pessoal, no qual o individuo tenha
conhecimento dos elementos de prova como um perito, por exemplo. Existem também as
evidências nos quais não precisem de testemunho como dados e documentos públicos e
publicações oficiais (SHINDER, 2002).
Existem três categorias de provas:
a) Provas físicas: são matérias que podem ser vistos e tocados;
b) Provas de testemunho direto: o depoimento de uma testemunha que pode
narrar os fatos de acordo com sua experiência pessoal através dos cinco
sentidos;
c) Provas circunstanciais: não baseadas em observação pessoal, mas em observação
ou conhecimentos de fatos.
2.5
Ferramentas Forenses Computacionais
O principal objetivo de utilizar ferramentas voltadas a segurança, e facilitar e
simplificar o ambiente de rede. Cabe ao administrador da rede fornecer somente os serviços
necessários para o trabalho. Retirar tudo que não esta sendo usado, limitando assim o numero
de opções e facilidades que estejam disponíveis (PINHEIRO, 1997).
Com o auxilio de ferramentas de segurança e a utilização correta das técnicas de
segurança é possível conquistar um objetivo muito difícil em um ambiente informatizado, ter
16
um sistema conhecido e controlado. Identificar a importância da administração de sistemas, e
sabendo que tal administração pode ser vital para as empresas.
Em 1996, Mark Russinovich e Bryce Cogswell criaram o site SysInternals, com o
intuito de hospedar seus utilitários e informações técnicas, a Microsoft adquiriu a biblioteca
SysInternals em julho de 2006.
De acordo com Mark Russinovich (2007), um dos criadores da biblioteca SysInternals
e do pacote PsTools, diz que o diferencial dessas ferramentas é de utilizá-la por linha de
comando permitindo o gerenciamento remoto e locais.
De acordo com MILLER (2007) e RUSSINOVICH (2007) as ferramentas que
compõem o pacote PsTools não requer instalação, ou seja, essas ferramentas são aplicativos
que funcionam por prompt de comando, basta executar por linha de comando a aplicação.
Essas ferramentas são compatíveis com muitas versões dos sistemas da Microsoft, dentre elas:
Windows NT, 2000, XP, Vista e Seven.
As ferramentas incluídas no conjunto PsTools, podem ser baixadas tanto
individualmente quanto como um pacote, são descritas no Quadro 1.
Quadro 1 – Ferramentas inclusas no pacote PsTools
Ferramenta
PsExec.
PsFile.
PsGetSid.
PsInfo
PsKill
PsList
PsLoggedO
PsLogList.
PsPasswd
PsService
PsShutdown
PsSuspend
PsUptime
Descrição
Permite executar processos em qualquer contexto de usuário e também
remotamente
Mostra os arquivos abertos remotamente em um sistema
Exibe o SID (Identificador de segurança do Windows) de um computador
Lista informações sobre um sistema Windows.
Interrompe processos por nome ou ID (identificação de processo).
Lista informações detalhadas sobre a execução de processos.
Mostra todos os usuários conectados localmente e todos os usuários de
compartilhamento de recursos Remoto
Despeja registros de log de eventos do Windows
Altera senhas de contas de usuário.
Exibe e controla serviços do Windows.
Encerra, reinicia ou coloca o computador no modo de suspensão ou
hibernação.
Suspende os processos em execução.
Mostra por quanto tempo um computador está em execução desde sua última
reinicialização (a funcionalidade do PsUptime foi incorporada ao PsInfo)
Fonte: Wes Miller, 2007 e Russinovich, 2007.
2.5.1
Ferramenta TCPDUMP e Wireshark
O tcpdunp é uma ferramenta utilizada para capturar os pacotes trafegados em uma
rede de computadores, essa aplicação mostra os cabeçalhos dos pacotes que trafegam na rede
O Wireshark foi desenvolvido com a contribuição de especialistas ao redor do mundo,
esse projeto começou por volta em 1998. Essa aplicação foi desenvolvida pela GNU General
Public Licence, antigo Etheral, as funções são semelhantes o tcpdump, toda a utilização é por
interface gráfica e utiliza PCAP para capturar os pacotes. O Wireshark é um sniffer, e tem a
função de analisar pacotes de rede. Com o Wireshark pode-se fazer uma captura do pacote de
17
dados que trafegam na rede em tempo real. Ferramenta muito utilizada por administradores de
rede e profissional de segurança da informação.
3.
MATERIAIS E METODOLOGIA
A seguir apresentam-se os conceitos que caracterizaram esta pesquisa, os métodos
utilizados para a coleta e tratamento dos dados, o resultado obtido e as analises dos dados.
3.1
Classificação da Pesquisa
Para levar a termo o presente estudo foi feito uma pesquisa bibliográfica que baseouse em dois tipos distintos de pesquisa. A pesquisa bibliográfica, a qual foi usada para
fundamentar teoricamente a revisão da literatura mostrada nos itens anteriores e uma pesquisa
de campo, utilizando o método dedutivo, o qual aponta Lakatos (2005, p. 106) “ser o método
que partindo das teorias e leis, na maioria das vezes prediz a ocorrência dos fenômenos
particulares.”
A abordagem é do tipo quantitativa que de acordo com Severino (2007) é usada para
apurar opiniões ou atitudes explicitas dos pesquisados. Neste caso, o universo pesquisado
(número de pessoas) deve ser representativo dentro do tema que se propõe a pesquisar. Seu
objetivo é mensurar dados concretos de forma que os mesmos possam ser repetidos em
situações posteriores, em outras pesquisas e apresentem os mesmos resultados. Busca
trabalhar com dados numéricos que possam fornecer padrões aos conceitos pesquisados.
Já a pesquisa qualitativa é aquela que os dados são subjetivos, se presta a resolver
problemas de natureza geral de uma determinada questão abrindo espaço para a interpretação
dos dados.
3.2
Instrumentos e Procedimentos
Foram utilizados os seguintes instrumentos e procedimentos para levantar os dados da
pesquisa:
a) questionário – as perguntas foram conduzidas com autorização expressa dos
proprietários da empresa para identificar os problemas relacionados às políticas
de segurança e vazamento de informações sigilosas. Foi realizado questionário
junto ao Analista de Gestão de Recursos humanos para identificar as atribuições
dos colaboradores, operadores sobre o manuseio do sistema computacionais da
empresa coleta de informações sobre o ambiente da empresa, para que possa
contribuir para identificar alguma falha no sistema;
b) Coleta de informações com o responsável pela TI da empresa correspondente do
banco BMG (ver Anexo B), a fins de averiguar quais aplicativos e serviços nos
sistemas computacionais que os usuários utilizam na empresa, e um breve
histórico.
18
3.2.1
Universo e Amostra
O universo dessa pesquisa é composto por 18 usuários, sendo 14 colaboradores
cadastrados para a pesquisa.
A pesquisa buscou traçar um perfil dos pesquisados no intuito de verificar quantos
colaboradores trabalhavam na empresa, e quais atribuições.
3.3 Resultado
Após a aplicação dos questionários obteve-se os seguintes dados:
a) os colaboradores com perfil de operador possuem acessos restritos em relação aos
demais, conforme normas de segurança da empresa Agiliza (SILVA, G) 2010 ;
b) os operadores quando contratados assinam um termo de responsabilidade, e nesse
termo tem todas as normas de políticas de acessos aos sistemas;
c) com exceção dos proprietários da empresa, gerente de contratos, corretores de crédito,
e Recursos humanos, todos os demais funcionários têm acessos restritos á
determinados sites que estão definidos na página principal ao iniciar o navegador
internet Explorer, e os dispositivos de armazenamento no pendrivers. (Quadro 02)
Quadro 02 - Acessos Permitidos
Perfil
Operador
Aplicativos e acessos
Compartilhamento na rede, IE e Officer
Gerente
RH
Corretores
Acesso completo
Acesso completo
Acesso completo
O maior número de pesquisados são os operadores de crédito consignável, com 14
colaboradores, o que equivale a aproximadamente 82% dos pesquisados, e em seguida os
demais colaboradores.
Foi realizada uma da captura de pacotes do tráfego da rede com o tcpdump, e a captura
foi armazenada no disco para uma análise posterior com o Wireshark. A captura foi realizada
para identificar se tinha endereços de IPs fora das políticas de acesso para os operadores. Foi
realizado o seguinte comando: “tcpddump –i eth0 –w trafego.cap” . Esse comando faz a
captura de todo o tráfego que esta na “eth0”, e armazena no arquivo “trafego.cap” para ser
analizado posteriormente com o Wireshark.
Foi realizada uma análise com a Ferramenta Wireshark, dos dados capturados com a
ferramenta TCPDUMP, e de acordo com a análise, foi detectada que alguns computadores
acessavam sites que estavam fora das normas de acesso aos sistemas computacionais da
empresa (SILVA, G. 2010).:
Alguns endereços de IP´s capturados, e seus respectivos endereços locais estão
dispostos no Quadro 03.
19
Quadro 03 – Relação de endereços local e externo
IP local
10.1.1.47
10.1.1.31
10.1.1.36
10.1.1.33
IP Externo
200.159.10.57;
69.171.229.11;
200.147.67.142
69.171.229.11;
200.147.67.142
200.159.10.57;
69.171.229.11;
65.55.72.135;
200.147.67.142
69.171.229.11;
65.55.72.135;
172.194.75.94
De acordo com a análise realizada com Wireshark, foi utilizado ferramenta PsList para
abrir os processos referente ao endereço de IP local: 10.1.1.36, listado no Quadro 3.
Foi utilizado a ferramenta PsList para verificar os processos que estavam abertos na
máquina com endereço de IP 10.1.1.36, conforme Figura 2.
Figura (2): Utilização da aplicação PsList para abrir os processos
O resultado da análise resultou na identificação de um navegador Firefox. Esse
navegador não possui as configurações para receber o endereço Proxy e limitar os acessos.
4
DISCUSSÃO
Inicialmente, foi realizada uma pesquisa junto ao setor de Recursos Humano da
empresa Agiliza Promotora de Vendas a fim de identificar vulnerabilidades nos sistemas
computacionais e cumprimento das normas de acesso aos sistemas computacionais da
empresa (SILVA, G. 2010).
Após realizar-se a entrevista (ver Apêndice B), com o setor de Recursos Humanos da
empresa Agiliza Promotora de Vendas, verificou-se que a empresa possui uma política de
acessos limitados pelos seguintes motivos:
a) precaver a segurança de seus ativos com a utilização das políticas restritas aso
colaboradores da empresa; e
b) redução de custos com sistemas de informação.
Após realizar as entrevista dos questionários anexo A e B, a pesquisa revelou que
existem aplicativos específicos para realizar a análise forense, por exemplo, as ferramentas
incluídas no conjunto PsTools que podem auxiliar para a coleta de dados em análise forense.
Além dessa ferramenta, encontrou-se uma suíte de aplicações com alto desempenho para
realizar análise de tráfego e coleta de dados. Essas ferramentas estão descritas no tópico
“Ferramentas e Técnicas de Segurança” no Teórico deste artigo.
20
Com base dos dados coletados na pesquisa de campo, e com a utilização das
ferramentas mostradas nos resultados, a empresa precisa reestruturar suas normas segurança
da informação de política, pois segundo Segundo Caruso e Steffen (2006) a política de
segurança não deve ser tratada como um modismo passageiro e sim, um conjunto de diretrizes
gerais destinadas a governar a proteção a ser dada a ativos de toda a organização.
Do resultado dos dados obtidos na pesquisa, verificou-se que os hábitos dos
colaboradores em relação aos sistemas computacionais, não estão sendo cumpridos de acordo
com as normas estipuladas pelo setor de Recursos Humanos (SILVA, G. 2010).
4.1
Proposta:
Tendo em vista o exposto no item anterior, apresento as seguintes propostas:
a) reforçar os procedimentos de segurança no setor de TI da empresa para garantir que
todos os acessos sejam realizados de acordo com as políticas adotadas pela empresa,
visto que essas falhas podem ocasionar perdas financeiras para a empresa.
b) Reestruturar as políticas de utilização dos sistemas da Agiliza Promotora, e se basear
na NBR ISO/IEC 27002:2005.
5
CONCLUSÃO
O presente artigo teve como objetivo realizar uma pesquisa com os colaboradores da
empresa Agiliza Promotora de Vendas a fim de identificar vulnerabilidades nos sistemas
computacionais da empresa.
No decorrer do estudo, foi realizada análise forense nos sistemas de informação da
empresa Agiliza, como estudo de caso. O procedimento visou identificar se a utilização do
sistema computacional estava de acordo com as políticas de acesso estipuladas pelo setor
Recursos Humanos.
Da avaliação da política de acessos aos sites da empresa, através do uso adequado das
ferramentas computacionais para o processo de investigação Forense, concluí-se que há a
necessidade de reestruturação das políticas de utilização dos sistemas da Agiliza Promotora,
conforme normas contidas no NBR ISO/IEC 27002:2005.
Dessa forma, a hipótese levantada no artigo foi confirmada, considerando que análise
forense realizada na organização contribui de forma eficaz para o trabalho, por proporcionar a
organização uma melhor visão sobre os procedimentos de uso por parte dos colaboradores.
De todo o exposto, concluiu-se que a análise forense em ambiente corporativo quando
feita de forma correta, por meio de ferramentas adequadas, é de grande valia para a
organização por deixá-la imune a erros futuros em seu sistema computacional. Ressalta,
outrossim, que a perícia forense tem um papel relevante quando se adéqua constantemente às
mudanças tecnológicas para obter resultados desejados, sendo o papel do perito de suma
importância nesse processo.
Espera-se com esse trabalho contribuir para a área forense computacional e da
segurança da informação.
21
FORENSE ANALYSIS CORPORATE ENVIRONMENT
ABSTRACT
The Computer Forensic Analysis has become essential for effective management of
companies in the computer in view of the valuable information stored as a result,
organizations have sought alternatives for more efficient security against such attacks. The
article, object of the present study, we sought to demonstrate that the forensic applied to
computing can be efficient with the use of techniques and tools that assist in the search,
collection and analysis of evidence. Forensic analysis aims to conduct a suarvey of company
employes Streamlines Sales Promoter to identify vulnerabilities in computer systems
company. To this will be carried out a survey-type literature, and field research, aiming at
finding the evidence of vulnerabilities. The scenario schosen for the study was a branch
company of the revelant financial Bank BMG. In this context, this article sought to highlight
the action of malicious employees and the company’s security flaws.
Keywords: Computer Forensics, Vulnerability, Information Security, Security Policy, Agiliza
Company
REFERÊNCIAS
ALVES, G. Política de Seguranca. Disponível em:
http://www.agilizaemprestimo.com.br/polSeguranca_Agiliza.pdf. Acesso em: 02 de maio de
2012
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/IEC
27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão de segurança da informação. ABNT, 2005.
CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança em Informática e de
Informações. 2. ed. rev. e ampl. São Paulo: SENAC, 1999.
FOINA, Paulo Rogério. Tecnologia de informação: planejamento e gestão / Paulo Rogério
Foina. - São Paulo: Atlas, 2001.
FERREIRA, F. N Freitas; ARAUJO, M Tadeu. Política de Segurança da Informação:
Elaboração e Implementação. Ed. Ciências Modernas Ltda, 2006, RJ
FARMER, Dan; VENEMA, Witse . Perícia Forense Computacional: Teoria e Prática
Aplicada. Person Education do Brasil, 2011.
GITMAN, Lawrence J. Princípios de administração financeira. 7ed. São Paulo: Harbra,
1997.
ZILLO NETO, Marcello. Segurança da Informação e Tecnologia: Disponível em:
http://mzillo.blogspot.com. Acesso em: 14 de maio de 2012.
22
MARCONI, Marina de Andrade.;LAKATOS, Eva Maria. Metodologia Cientifica. São
Paulo: Atlas, 2010.
MERCES, Fernando. Sniffing com Wireshark: Disponível em:
http://www.mentebinaria.com.br/artigos/0x05/0x05-wireshark.html. Acesso em: 12 de abril
de 2012.
NAKAMURA, Emilio Tissato, GEUS, Paulo Lício. Segurança de redes: em ambientes
cooperativos. 2. ed. São Paulo: Futura, 2003.
NOGUEIRA, José Helano Matos. A nova face do crime. Revista Perícia Federal. Ano III nº
9, julho 2001.
SILVA NETO, Amaro Moraes e. A Importância da Ata Notarial para as Questões:
Disponível em:
http://www.buscalegis.ufsc.br/arquivos/ciberespa%E7o.pdf. Acesso em: 01 de jan. de 2012.
SHINDER, Debra Littlejohn. Syngress Scene of Cybercrime: Computer Forensics
Handbook. Rockland: Syngress Publishing, Inc, 2002.
KENN, Peter G. W. Guia Gerencial para a tecnologia da informação: Conceitos essenciais
e terminologia para empresas e gerentes. Rio de Janeiro: Campus, 1996. Disponível em:
http://pt.wikipedia.org/wiki/Pericia, acessado em maio de 2012.
23
APÊNDICE A – INSTRUMENTO DE PESQUISA – ENTREVISTA COM A EQUIPE
DE TI DA AGILIZA PROMOTORA DE VENDAS/BANCO BMG
Universidade Católica de Brasília – UCB
Pró-Reitoria de Pós-Graduação
Perícia Digital
Coordenação de Trabalho de Conclusão de Curso
Esta é uma pesquisa de Trabalho de Conclusão do Curso de Perícia Digital da UCB,
desenvolvida pelo universitário Raphael Ribeiro Gomes.
A presente pesquisa tem por objetivo analisar as ações dos usuários com os sistemas
computacionais.
1 – A empresa possui licença dos sistemas operacionais e aplicativos?
( ) Sim ( ) Não
2 – Quando foi a implantado a rede e a infraestrutura na Agiliza?
3 – Como funciona o compartilhamento de arquivos com os usuários, e como eles
operam com seus dados?
4 – Existe algum mecanismo de segurança lógica, como firewall?
( ) Sim ( ) Não
APÊNDICE B – INSTRUMENTO DE PESQUISA – ENTREVISTA COM RECURSOS
HUMANOS DA AGILIZA PROMOTORA DE VENDAS/BANCO BMG
Universidade Católica de Brasília – UCB
Pró-Reitoria de Pós-Graduação
Perícia Digital
Coordenação de Trabalho de Conclusão de Curso
1 – Quais são as atribuições dos operadores na empresa Agiliza?
2 – Os operadores possuem restrição de acesso nos sistemas computacionais? Se sim
quais?
( ) Sim ( ) Não
4 – É feito algum documento no ato da contratação dos operadores, em relação as
normas de Políticas de segurança da empresa?
( ) Sim ( ) Não