Perícia forense computacional: passos para a montagem de uma isca virtual

De Eriberto Wiki
Ir para navegação Ir para pesquisar

<absHTML>

<tbody> </tbody>
Esta página está em construção e deverá estar pronta em poucos dias. Por favor, volte depois ou consulte-a agora com cautela e paciência.

</absHTML>



A criação da isca...



by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Artigo criado em: 03 de agosto de 2010.

Última atualização: veja o rodapé desta página.

Tiny URL ou bit.ly: http://bit.ly/iscaforense

Esta página é filha do artigo principal Perícia forense computacional.




O objetivo

O objetivo deste artigo é mostrar como montar um ambiente virtual para atrair atacantes e colher dumps de memória e disco para criar casos de perícia forense computacional. Este não é um artigo está baseado no Debian Squeeze e não é próprio para iniciantes.

ATENÇÃO: expôr máquinas vulneráveis à Internet é extremamente perigoso! Nunca realize os procedimentos contidos neste artigo se não tiver experiência em redes e segurança, além do completo conhecimento sobre tudo o que poderá acontecer. Você poderá, por exemplo, transformar-se em base de ataque para outras redes e responder judicialmente por isso.

A máquina criada poderá ser utilizada para o mesmo fim do experimento narrado neste post: http://www.eriberto.pro.br/blog/?p=376. Para tanto, alguns cuidados e preocupações deverão ser adotados. Dentre eles:

  • A isca deverá ser um ambiente restrito e controlado. Obteremos isso com uma máquina virtual.
  • A isca não deverá estar no mesmo ambiente físico de uma rede real em produção, para não comprometer outros servidores.
  • As evidências de ataques deverão ser preservadas ao máximo, para que se tenha um caso real de ataque.
  • O operador da isca deverá permanecer deslogado da mesma o maior tempo possível.
  • O operador da isca deverá acompanhar, de fora da mesma, as atividades de rede que estiverem sendo executadas. Isso envolve todas as conexões realizadas por atacantes.

Cabe resaltar que o fruto deste trabalho não será um honeypot. Honeypots são "artefatos" baseados em um conceito que não envolve a "facilitação da penetração".

A montagem da isca

Você precisará de um PC, com um disco totalmente disponível para o sistema. Não utilize uma máquina com um sistema operacional pré-instalado ou contendo dados de usuários. Discos e partições extras, por acaso existentes, poderão ser acessados por atacantes. Depois disso, siga os passos que serão mostrados a seguir.

A máquina real

Inicialmente, monte uma máquina real usando o Debian Squeeze NetInst. Isso fará com que o sistema seja bem enxuto. Observe os seguintes quesitos:

  • No momento do particionamento, crie duas partições: uma para a máquina real e outra para a máquina virtual. A máquina real permanecerá todo o tempo em segurança. A máquina virtual será a atacada.
  • A partição criada para a máquina real deverá ser a maior possível. Nessa partição serão gravados, dentre outras coisas, logs tcpdump contendo todo o tráfego. Essa será a partição raiz.
  • A partição criada para a máquina virtual, em princípio, deverá ser a menor possível (podendo chegar a menos de 1 GB). Isso permitirá a você ter um caso de ataque pequeno e "portátil", que poderá ser disponibilizado, se for o caso. Mas é lógico que essa exigência cairá por terra se você decidir por algo maior, como a disponibilização de um banco de dados vulnerável, e não estiver preocupado com a disponibilização na Internet da mídia atacada. Essa partição poderá chamar-se /vm ou outro nome qualquer.
  • Utilize uma senha de root forte, contendo letras, números e caracteres especiais. No mínimo, como oito caracteres. Lembre-se de que a máquina real deverá permanecer todo o tempo em segurança.

Depois de instalada a máquina real, faça os seguintes procedimentos:

  • Instale pacotes essenciais para a operação e monitoramento na máquina real:
# apt-get install binutils bsd-mailx bzip2 dsniff fail2ban geoip-bin iptraf less mc netcat ntpdate samhain sendmail ssh tcpdump whois
  • Edite o arquivo /etc/ssh/sshd_config e altere a porta ssh de 22 para algo acima de 5000.
  • Reinicie o servidor ssh:
# /etc/init.d/ssh restart
  • Crie um e-mail falso em algum provedor público (Yahoo, GMail etc). Isso será necessário para uso, principalmente, dentro da máquina virtual. Lembre-se de que o atacante verá esse e-mail.
  • Edite o arquivo /etc/aliases e, no fim, insira a linha:
root: email_falso_criado_recentemente
  • Para validar a configuração anterior, execute o comando:
# newaliases
A partir deste passo, você começará a receber e-mails dos samhain, que é um agente que verifica alterações no sistema operacional. Depois de disponibilizada a isca na Internet, leia atentamente cada mensagem enviada, observando se houve, em algum momento, o comprometimento da máquina real.
  • Edite o arquivo /etc/fail2ban/jail.conf e, na seção [ssh], altere a entrada
maxretry = 6

para

maxretry = 3

Ainda, abaixo da citada linha (maxretry = 3), acrescente:

bantime = 3600
  • Reinicie o serviço fail2ban:
# /etc/init.d/fail2ban restart
O fail2ban é utilizado para prevenir tentativas de conexão em serviços remotos por força bruta. No caso, foi configurado para, na ocorrência de três tentativas sem sucesso de autenticação SSH, bloquear por 1 hora (3600 segundos) o IP do atacante.
  • Utilize o comando netstat para verificar se há portas abertas desnecessariamente (isso compromete a segurança). Se for o caso, feche os serviços indesejados.
# netstat -tunlp

A máquina virtual

A máquina virtual será montada na segunda partição (criada durante a instalação do Debian). Para facilitar a compressão da imagem da partição, que deverá ser gerada depois da invasão, inicialmente deveremos escrever zeros na extensão de tal partição.

Para criar a máquina virtual que será atacada, siga os procedimentos:

  • Escreva zeros em toda a superfície da partição que receberá a máquina. Vou considerar que seja a partição /dev/sda2. Neste caso, o comando será:
# dcfldd if=/dev/zero of=/dev/sda2

O roteador ADSL



Voltar ao artigo principal...

Esta página é filha do artigo principal Perícia forense computacional.

Caso deseje voltar ao mesmo, clique aqui.

Redes sociais

  • Twitter: Para novidades sobre artigos, livros e palestras, siga-me em eribertomota.