Aula Prática Computação forense (27) 97400-3034

Prévia do material em texto

Computação 
forense 
Roteiro 
Aula Prática 
 
2 
 
 
ROTEIRO DE AULA PRÁTICA 
NOME DA DISCIPLINA: Computação forense 
Unidade 3 
Seção 3.1 
 
OBJETIVOS 
Definição dos objetivos da aula prática: 
 Utilizar habilidades de análise forense para investigar um caso fictício de intrusão em um 
sistema de computador, utilizando logs fictícios para identificar o evento de intrusão. 
 
INFRAESTRUTURA 
Instalações: 
Laboratório de Informática 
Materiais de consumo: 
Descrição 
Quantid. de materiais por 
procedimento/atividade 
Não se aplica 
 
Software: 
Sim ( X ) Não ( ) 
Em caso afirmativo, qual? Software para elaboração de relatório (Word, Bloco de notas, etc.) 
Pago ( ) Não Pago ( X ) 
Tipo de Licença: -. 
Descrição do software: 
Software que permita aos usuários criar, modificar e visualizar documentos de texto. 
Equipamento de Proteção Individual (EPI): 
Não se aplica. 
PROCEDIMENTOS PRÁTICOS 
Procedimento/Atividade Nº 1 
Atividade proposta: 
 
3 
 
Você é um analista forense que precisa analisar um relato suspeito de atividade maliciosa em seus 
servidores. Seu trabalho é analisar os logs fornecidos e determinar a natureza da atividade, 
identificar o ponto de entrada e fornecer recomendações para evitar incidentes futuros. 
Procedimentos para a realização da atividade: 
 
Para a realização desta aula prática você deverá ter algum software para edição de texto 
instalado no seu computador e, com ele, redigir um relatório de análise do ataque. 
 
Preparação e Coleta de Logs 
1. Ambiente de Análise: prepare um ambiente seguro para análise, garantindo que os logs 
não sejam alterados. 
2. Coleta de Logs: foram fornecidos os seguintes logs suspeitos extraídos do servidor: 
Jun 15 22:45:01 server1 sshd[1952]: Failed password for root from 192.168.1.105 
port 54022 ssh2 
Jun 15 22:45:03 server1 sshd[1953]: Failed password for root from 192.168.1.105 
port 54024 ssh2 
Jun 15 22:45:06 server1 sshd[1954]: Accepted password for root from 192.168.1.105 
port 54026 ssh2 
Jun 15 22:46:10 server1 sudo: pam_unix(sudo:session): session opened for user root 
by (uid=0) 
Jun 15 22:47:30 server1 sudo: pam_unix(sudo:session): session closed for user root 
Jun 15 22:48:05 server1 sshd[2001]: Received disconnect from 192.168.1.105 port 
54026:11: disconnected by user 
Jun 15 22:48:05 server1 sshd[2001]: Disconnected from 192.168.1.105 port 54026 
 
Análise dos Logs 
1. Análise Inicial: analise cada entrada do log para identificar comportamentos suspeitos, 
como tentativas de login falhas seguidas por um sucesso. 
2. IP e Ações do Usuário: identifique o endereço IP do qual as tentativas de login se originaram 
e as ações realizadas após o acesso bem-sucedido. 
3. Determinação de Atividades: avalie as atividades realizadas durante a sessão sudo para 
determinar se foram maliciosas. 
Relatório e Recomendações 
1. Elabore um Relatório de Incidente: com base em sua análise, crie um relatório detalhando 
a intrusão, incluindo o método de entrada, as atividades realizadas e o IP do invasor. 
2. Recomendações de Segurança: forneça recomendações sobre como a empresa pode 
reforçar sua segurança para prevenir intrusões similares. 
 
Checklist: 
 
4 
 
1. Preparação e coleta dos logs; 
2. Analise inicial e determinação de atividades maliciosas; 
3. Elaboração de relatório de incidente; 
4. Elaboração de recomendações de segurança; 
 
RESULTADOS 
Resultados da aula prática: 
É desejável que o aluno desenvolva habilidades práticas de análise forense através da capacidade 
de analisar logs de uma atividade suspeita e conseguir elaborar um relatório descritivo bem como 
um documento de recomendações de segurança.