® BuscaLegis.ccj.ufsc.Br
Análise forense: um
mundo sem fronteiras
- Marcus Knoop
A
análise forense aplicada à rede é a última palavra em termos de segurança e
investigação de rede. Este termo (análise forense) muito popular em outras
áreas, já é conhecido na informática principalmente pela análise de discos
rígidos. Neste caso, trata-se de uma investigação dos dados existentes no
dispositivo, mesmo daqueles arquivos apagados, para ser usado como evidência em
uma investigação.
Agora com as novas tecnologias de análise forense, esta
investigação também pode ser feita através da perícia detalhada e análise do
tráfego de rede, até mesmo reproduzindo ações, tais como, envio de arquivos,
acesso a web sites, transferência de arquivos, entre outros.
O objetivo desta, depende da política de cada empresa.
Pode-se utilizar a análise forense para a correção de falhas de segurança bem
como para processos legais contra roubo de informação, pornografia e pedofilia,
atividades terroristas etc.
O funcionamento da análise forense baseia-se em um
princípio básico, porém tecnologicamente complicado de ser implementado:
qualquer atividade em rede gera pacotes, que podem ser capturados e então
analisados. Se dispusermos da aplicação que recebe este pacote, pode-se até
mesmo reproduzir a tela ou o evento que ocorreu na máquina que está sendo
investigada. Esta tecnologia de reprodução pode ser aplicada até mesmo para
tráfego de voz na rede, onde a conversa seria gravada e passível de reprodução.
Porém, a alta velocidade das redes e o grande volume de
pacotes demandam um mecanismo de captura de alta performance e de grande
capacidade de armazenamento. Talvez esse seja o maior desafio para as empresas
que investem nesta tecnologia hoje. Já existem soluções que trabalham a Gigabit
e podem armazenar terabytes de dados, verdadeiros "storages"
dedicados a captura de pacotes.
Além disso, algumas premissas básicas tais como,
integridade dos dados (data, origem, destino e conteúdo) e garantia de captura
de 100% dos pacotes, não podem ser quebrados. A perda de um único pacote em uma
transferência de arquivo FTP compromete a remontagem do arquivo e portanto, não
será possível saber se o mesmo continha um vírus ou não. Para isso, appliances
dedicados e discos com dispositivos RAID são usados.
Outro recurso muito importante na análise forense de
rede é a capacidade de filtro. Supondo uma rede Gigabit utilizada a 2%, tem-se
aproximadamente 2.5 Mbytes por segundo ou 150Mbytes por minuto. Como localizar
um evento, um acesso neste montante de dados? É claro que a análise na maioria
das vezes não será simples. Estamos falando em instigações que podem levar dias
ou até mesmo semanas, mas sem o recurso de filtro, não seria possível nem
iniciar este processo. Filtros de dia, hora, endereço, serviços, podem reduzir
em muito o tempo gasto neste caso.
Os benefícios são claros e o retorno do investimento
pode vir mais rápido do que se imagina. Um processo judicial, o lançamento de
um novo produto, os números dos cartões de crédito e pedidos atingem facilmente
a casa dos milhões de reais, quantia muito superior ao custo médio desta
solução. Isso sem falar no prejuízo humano causado pela pornografia e
terrorismo. Enfim, a análise forense aplicada à rede equivale a análise "balística"
de um crime.
Os eventos registrados pelo firewall, IDS ou pelo
antivírus podem ser comprovados de uma forma visual e efetiva. Mesmo que um LOG
tenha sido apagado ou inexista, mesmo que o site externo ou o arquivo acessado
não exista mais, ainda assim é possível reproduzi-lo e tomar as devidas ações
legais.
Marcus Knoop é engenheiro de sistemas da Sniffer
Technologies.
Retirado de http://www.cbeji.com.br/br/novidades/artigos/