Roteiro de atividades
SessĂŁo de aprendizagem 1 PrincĂpios de anĂĄlise forense
Atividade 1 – Preparando um checklist Suponha que em sua empresa existe um servidor web crítico, que hospeda todo o sistema de gerenciamento de projetos da empresa e não pode ficar parado. Um backup diário dos dados é realizado. Suponha que os integrantes da dupla fazem parte da comissão que está definindo os procedimentos a adotar quando ocorrer um incidente de segurança envolvendo a máquina do servidor (exercício em dupla). Defina o que deve ser feito no caso de: 1. Ataque de negação de serviço; 2. Comprometimento da máquina por ação hacker.
Atividade 2 – Funcionamento de um rootkit Junto com um colega, pesquise na internet informações sobre rootkits que os invasores usam para tomar controle de um servidor, tanto em servidores Unix quanto Windows. Procure informações sobre um rootkit da sua escolha para saber suas funcionalidades, e os modos para detectar a presença dele em uma máquina. Elabore um documento sobre este rootkit, descrevendo o modus operandi do mesmo, funcionalidades, dificuldade de detecção e, se possível, formas de detectá-lo e removê-lo do sistema. O instrutor vai escolher alguns alunos para apresentar este documento aos demais.
Atividade 3 – Investigando um computador (Para fazer em dupla) Verifique se a máquina de seu companheiro está comprometida. Lembre-se dos passos necessários para garantir a integridade das evidências. Usando as ferramentas do sistema, você deve descobrir todos os serviços TCP ativos na máquina. Vamos considerar como comprometido o serviço Bootp (porta 68) no Linux, ou o serviço Netbios (porta 445) no Windows. Se o serviço estiver sendo executado, a máquina está comprometida. Faça um relatório de todas as ações tomadas durante a investigação, bem como um registro de custódia de qualquer evidência coletada.