class main AboutMe { exec(); }
Em Fevereiro de 2010 escrevi o seguinte texto no comboio a caminho do Porto:



Sim, mais uma vez estou a falar de segurana, s que desta vez no vez no vou dissertar sobre como fazer ou montar um sistema informtico seguro.
Hoje lembrei-me de falar sobre os logs. Interrogo-me sobre o grau de confiana que damos aos logs. At que ponto podemos, ou no confiar neles.  Como administrador de sistemas, a partio /var/log para mim das mais importantes. Alm da consulta diria, dos envios por e-mail dos acontecimentos do dia entre outros, tambm tenho por norma fazer backup dos mesmos. E porque? simples: num sistema comprometido, a melhor forma de remover os rastos remover todas as "provas" de invaso. por isso, que a pasta /var/log um dos alvos a abater depois de ter conseguido penetrar numa mquina em Unix/Linux.
Reparem bem como refiro-me aos logs como prova, um pouco como uma evidencia irrefutvel. E so de facto... O problema, que os logs no so mais do que um ficheiro texto escrito automaticamente pelo sistema operativo. A pergunta, simples... E se, para tentar tramar algum tiver acesso aos logs e alterar os mesmos antes de os entregar   Policia? Melhor ainda, e se deliberadamente forjar logs para incriminar algum?
Como administrador, no s consigo editar como tambm criar ficheiros no intuito de acusar algo ou algum e assim dissimular motivos ou ter ganho nesta tarefa.
muito simples, imaginemos um exemplo no qual sou administrador de sistemas numa empresa que vende batatas, e do outro lado da estrada tenho um vizinho, que tambm tem uma empresa de batatas. O que que me impede de simular um ataque a um dos meus servidores de forma a incriminar o meu concorrente? Neste mundo virtual muito mais fcil provar que fomos atacados do que provar que no atacamos. Pouco so os sistemas que guardam um registo do que foi feito. E no caso de realmente ter feito algo, a segunda coisa a fazer depois de apagar os logs do computador atacado, e remover as provas locais da invaso.
No uma tarefa simples provar que nada foi feito. No bem como nos crimes tradicionais, onde para provar que no cometemos tal ou tal crime, temos de provar que estivemos em x ou y lugar, o que refuta qualquer acusao. Ate porque hoje, at com um iPhone ou PDA com acesso Internet podemos lanar ataques remotos partir do centro comercial ou de uma discoteca.

Brevemente vou ser testemunho num caso tpico onde os logs fazem parte integrante da acusao, num processo no qual tenho a certeza que o arguido no tem capacidades nem conhecimento para este tipo de ataques. Alem disso o processo em questo ainda levanta muitas coisas que ficam por provar. O meu receio, claramente que no meio de uma salada de termos tcnicos o juiz acabe por no ser capaz de discernir o quanto os logs mal interpretados podem levar a erros de julgamento.




Hoje soube que o meu amigo tinha sido absolvido. Fico obviamente feliz pelo V., porque a justia fez o seu trabalho e tambm sem o querer pagou a minha pequena vingana que tinha contra uma empresa (a qual recuso a ver o meu ligado mesma, logo: sem nome e sem link) pela qual trabalhei e que ainda a data de hoje devem-me dinheiro (cuf cuf Multi cuf cuf cuf Base).

Sem dvida que tudo se paga, mais cedo ou mais tarde.... Vai buscar Toni!



2 comentários | Publicado por Ruben Alves @ 11/03/11 21:24

Pedro@ 2011-03-12 (1:23:49)
Boas,
Em portugal pelos vistos ainda estamos um bocado atrasados em relação a informática forense, em paises onde existe legislaçao mais completa, pelos vistos, obter e apresentar provas legais não é tao facil como possa parecer, pelo menos para mim..

penso que vais achar isto interessante..aqui vai:
http://videos.sapo.pt/GUbDqubkeaPCWYbHMReE

Ruben Alves@ 2011-03-12 (12:09:02)
De facto com este processo (e outro em Lisboa) constatei o quanto uma prova pode ser volátil, principalmente quando estamos a falar de logs ou mesmo de screenshots.
Encontrar uma prova digital é bastante difícil. Hoje em dia, grande parte do meu trabalho (aquele que me paga o ordenado ao fim do mês) está baseado em encontrar acções ou acontecimentos tudo à partir de logs e traces. E bem sei que as vezes um linha de um log não é suficiente para afirmar se a bronca é de clientes ou do R&D. Além da dificuldade em conseguir encontrar uma prova é necessário ter a garantia da conformidade desta mesma. O que não é fácil.
Há aqui outro ponto importante. Neste caso preciso do meu amigo V., a PJ fez uma rusga directamente no seu domicilio e fizeram tudo para encontrar dados. Analise ao disco, recuperar ficheiros removidos e afins. Claramente eram profissionais e sabiam o que faziam. Penso que isto também foi um passo Importante na decisão final.
Não penso que Portugal esteja atrasado, tudo depende é do juiz se está ou não interessado em perceber o quê que estamos a dizer. Porque verdade seja dita, é muito fácil tirar conclusões precipitadas ate para nós (especialistas em segurança informática) quanto mais para um juiz que o supra sumo do conhecimento informático é fazer pivot tables no excel (sem ofensa)...
Escrever um comentário ao texto: "Sistemas.de.logs.e.processos.criminais.pt"
Nome*:
E-mail*:
Página web
(não obrigatório):
"Quanto dá dez mais Catorze"
(Resposta: 20,22 ou 24?)*:
Mensagem*:


  LTIMO MS: Agosto 2011

  Sobre.Pessoas.pt (21/08/11)
  Pensamento.dia.em.pleno.Agosto.pt (18/08/11)
  E foi assim que... (18/08/11)
  Julho.em.Imagens.2011 (18/08/11)

  TEXTOS EM ALTA!

  iPhone5 - my predictions.com (07/03/11)
  parvo.que.sou.pt (22/02/11)
  2G,3G,4G e agora 5G! (08/02/11)
  Novo.Projecto:Pedra-alta.com (01/02/11)
  website.updates-status-v1.pt (30/01/11)



FOTOGRAFIA ALEATÓRIA: A "Minha" Cidade do Porto

A

Ruben... Quem sou? Nascido em Novembro de 1980, Sagitáriano puro e duro com ascendente Aquário. Sou canhoto, adoro arte, computadores, fotografia, redes, programação, design, música. Odeio futebol, bacalhau e injustiça.

Neste momento sou um Jovem de 30 anos, curioso pela vida, curioso por tudo o que mexe, tudo que respira, que faça ruídos. Encanto-me facilmente com uma gota de água a bater no vidro mas não fico impressionado com um Ferrari. Gosto das coisas simples da vida, um olhar, um sorriso, um simples gesto. Adoro amar, como gosto de ser amado. Não troco o meu leitor DVD por uma PlayStation, no entanto trocaria um filme por uma bela fotografia.

Não sou complexo, apenas perplexo... tudo depende do ponto de vista.

[...] Farto de escrever... | pausa II

~~~


No meio de tudo isto, tenho este lugar cibernético. Um recanto pontualmente actualizado, apontado como um blog, mantenho a minha ideia que antes de ter esta pretensão, considero que é antes de mais nada um simples sítio web onde escrevo, descrevo, apresento, coloco perguntas, dúvidas e afirmações. Com os textos, coabitem vários espaços representativos do meu Espaço.

Talvez seja o lugar mais sensato para me conhecer... Ou pelo menos, iniciar-se nesta longa viagem que é o meu Ser...
[...] Farto de escrever..| stop .

Correio.electrónico:
mail AT ruben-alves PONTO com

Telefone:
919.181.***

A minha Pgina no Twitter.


creative commons