Operação do Invasor

 Novas formas de invadir e interferir com os computadores são desenvolvidas a cada dia. Com um mínimo de conhecimento de redes de computadores, praticamente qualquer um pode conseguir ferramentas de graça na Internet e utilizá-las para explorar vulnerabilidades em sistemas, e consequentemente invadi-los e provocar todo tipo de estrago. A intrusão de sistemas tem sido considerada um risco à segurança nacional em muitos países, de modo que a compreensão acerca dos objetivos e métodos empregados nesses incidentes tem se tornado alvo de muitos estudos.

 Entender a motivação e o comportamento de um intruso é um ponto chave para orientar a investigação, pois essa compreensão fornece pistas sobre onde e o que procurar durante a análise forense. Quanto maior a consciência acerca dos objetivos e o método de operação de um atacante, maior o preparo do investigador para analisar e responder à um incidente.

            A invasão de sistemas computacionais ocorre com diversas finalidades, entre as quais podemos destacar:

            - obtenção de informações (roubo de segredos, números de cartões de crédito, senhas e outros dados relevantes ao intruso);

            - promover algum estrago ( “pichação" de sites, destruição de informações e paralisação do sistema, por exemplo);

            - utilização dos recursos do sistema (repositório de dados, disseminação de ataques distribuídos, provimento de serviços, por exemplo);           

 Dependendo do que o invasor deseja e da habilidade que possui, o modo de operação (ou como também é conhecido, "modus operanti", em latim) de um ataque pode sofrer algumas variações. Porém, podemos generalizar os passos tomados pelo invasor como os seguintes: 

            - identificação do alvo;

            - busca de vulnerabilidades no alvo (probing);

            - comprometimento inicial;

            - aumento de privilégio;

            - tornar-se “invisível" (stealth);

            - reconhecimento do sistema (reconnaissance);

            - instalaçao de back doors;

            - limpeza dos rastros;

            - retorno por uma back door, inventário e comprometimento de máquinas vizinhas;

 O modo como o invasor realiza o ataque ao sistema é essencial para a análise forense, pois vamos a perícia irá depender da quantidade de rastros que o invasor deixará. Existem alguns níveis de modus operandi, que, dependendo de qual for, pode definir o sucesso de uma perícia. A tabela abaixo mostra alguns desses níveis:

Descrição Habilidade Evidências
Cluless Praticamente nenhuma Todas atividades são bem aparentes
Script
Kiddie		 Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits. Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo.
Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros. Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema.
Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware. Não deixa evidencias úteis. Pode comprometer totalmente o sistema.