Senac EAD | Forense Computacional e de Rede | Aula 04

E aí [Música] e forense computacional e redes aula4 investigação através de Protocolos de redes Olá seja muito bem-vindo seja muito bem-vinda aula de número 4 na nossa disciplina de frente e computacional e de redes o objetivo é mostrar o ao estudante o funcionamento de alguns protocolos de rede e como eles podem ser aproveitados por atacantes o conteúdo ele está baseado no uso de uma ferramenta conhecida como baixar faremos a instalação e depois análise de redes e o White Shark e a temos aqui na apresentação do nosso slide a tela inicial do White Shark são inicialmente

o wireshark foi proposto como uma ferramenta para fazer análise de redes o análise dos protocolos análise do conteúdo que está sendo trafegado em rede o propósito dele básico é poder fazer a uma análise mais apurada de protocolo protocolo ou o in three o conjunto de todos eles para identificar anomalias para identificar problemas que possam estar ocorrendo identificar quais informações estão trafegando naquela rede entretanto o ar deixar aqui também uma ferramenta que pode ser utilizada para outros fins os atacantes em um tipo de ataque conhecido como o menino e Miro eles podem obter informações relevantes com

dados de usuário e senha o ou qualquer outra informação que trafegue em texto plano é que não está trafegando aí Por meios criptografados e eles podem obter leva utilizando o alishark fazendo o que a gente conhece como sniffer de rede ou farejamento né traduzido snif teríamos aí o farejamento de rede então eu vou ficar lá escutando tudo que está acontecendo e para investigação né para fins forenses também é utilizado ali Shark para fazer análise para fazer a investigação e entender o que ocorreu E também o que ocorre muitas vezes é que nós estamos analisando podemos

estar analisando um ataque esse ataque ele ainda pode estar ocorrendo pode ser que tem um mau é hospedado em alguma máquina e está aí se comunicando e nós podemos com o ar de charque fazer essa análise poder Podemos também e assim está ocorrendo em tempo real ou não e também quando estamos fazendo análise de malware propriamente dita com aquele Maury que está já inoperante que você pegou ele para fazer o estudo de uma análise estática daquele código análise estática de como ele foi composto no momento que você vai fazer análise dinâmica que você vai colocar

aquele Mauer para rodar você pode pegar o tráfego de rede que ele está trabalhando tráfego de rede que ele está transmitindo aí para fora normalmente da rede né a gente identifica consegue observar tentativas de invasão tentativas de esse filtração pelo uso do aí o echarpe é uma ferramenta gráfica muito interessante Então voltando aqui para o nosso slide Essa é a tela inicial do Ed Sheeran né Nós temos aí uma representação bastante simples o uso mas as placas de rede que ele demonstra E o ao onde a gente pode ir obtendo informações com ele né bom

então vamos fazer o seguinte vamos utilizar aqui o mar uma máquina virtual para poder trabalhar um pouco melhor com a ferramenta e a gente poder Observar isso como que ocorre de Fato né mas na hora uma forma prática Então deixa só selecionar nossa máquina virtual aqui eu tenho uma máquina virtual com o cara ele no é uma máquina virtual muito utilizada para para fazer pentest e ela está previamente preparada para a gente poder trabalhar uma forma mais efetiva Então vamos posicionar lá bem aqui porque nós podemos fazer Tá eu vou demonstrar essa utilização do ar

e Charque com uma um protocolo bastante conhecido que o FTP e o problema que o uso de protocolos que são protocolos fracos o que nós chamamos né os protocolos que eles são sem o uso de uma criptografia é normalmente a gente precisa para questão de segurança utilizar protocolos mais seguros é um ssh1 scp se for usar o FTP então utilizar o sftp que daí é colocado uma criptografia nele o temos protocolos em Seguros também como o telnet que é aberto é um protocolo que não tem criptografia nenhuma no seu tráfico e é um problema de

segurança muito grave uma interceptação qualquer um consegue ver qualquer informação que tiver sendo atropelada por uma rede sem criptografia E é isso que nós vamos fazer um pequeno teste aqui para exemplificar voltando para nossa máquina virtual então eu deixei aqui preparado né como eu já havia comentado no terminal do Linux tá então tá utilizando kalile ó e aqui esse site ele é bastante interessante que Aldeia LP teste você pode acessá-lo dela hiper teste ponto com/FTP-teste e você vai ter as credenciais para fazer a sua pesquisa a Então qual é o endereço que ele está chamando

aqui primeiro vamos fazer o seguinte vamos vir voltar para nosso terminal vamos digitar FTP e dar um enter aqui para ele ficar preparado agora eu vou abrir o ar e Charque nós vamos fazer o seguinte aqui então escolheu ali Shark o d-pad a minha senha e quando o elisha que abre aqui a gente pode observar que ele tem um pouquinho diferente do que tá lá no slide porque porque ele está listando todas as interfaces que eu tenho na minha máquina virtual que podem trafegar informações e aí eu poderia monitorar qualquer uma dessas interfaces para obter

informação que ele está trafegando certo eu vou utilizar a placa de rede que no meu caso ele não quiser o eth0 vou dar duplo Clique em cima dessa placa de rede e ele vai já iniciar aqui com escutando né farejando que tá passando por essa por essa interface Aqui nós temos o protocolo né que ele tá utilizando na coluna protocol aqui ele tem o ar r p TCP RP de novo gnp Tem uma máquina mesmo que eu não esteja utilizando a ela né que eu não esteja fazendo nada por enquanto já está operando ela está

transmitindo informação e recebendo informação até mesmo para demonstrar que ela está ativa então todas as comunicações de broadcast igual acontecendo é temos aqui mais abaixo na broadcast ele fica mandando né informação o roteador ho e o roteador fica enviando informação para ele para manter-se aí em comunicação para saber que a rede está ativa tá então Esse é um dos propósitos Como eu havia comentado no início do e Charque né fazer investigação de anomalias e saber se o sistema está operante ou não Tá então voltando aqui para o terminal eu vou deixar aqui com FTP aberto

e vou para o site né o dlp teste pegar essa informação aqui é a esse eu sou RL do FTP então vamos fazer o seguinte clicando aqui no FTP no terminal eu digito a letra ó do espaço e vou é aquilo que eu copiei naquela fptp.de LP test.com você pode fazer isso utilizando file Sim ela você pode utilizar qualquer outra ferramenta de conexão com FTP aí eu vou dar um enter e elevar e pedir para colocar um usuário eu venho aqui pego app user quer dlp e usa já vou até mesmo digitar dlp e usa

doente ele vai pedir a senha e olha só que interessante né o peço a gente que nós temos aqui é até difícil falar né os caracteres porque ele é bastante complexo né Nós temos um Peça hora de aqui que ele é não é um pé só de fácil de lembrar a Então eu só dá um peixe aqui vamos dar outro tá então mesmo que você tem uma senha muito forte e se você tiver utilizando o protocolo muito fraco não vai servir de nada e Nós já vamos ver o porquê então agora que eu coloquei o

usuário e senha e eu tenho aqui o FTP funcionando eu posso digitar qualquer coisa que eu vou digitar Eco é só para a um comando inválido uma só pra gente ver que ele está aberto ainda no terminal tá E aí eu vou voltar aqui para o meu alishark vou vir aqui em Stop né nesse quadradinho vermelho ó e vou mandar ele parar para ele não ficar mais pegando informação Como que eu posso analisar o que eu vi exclusivamente no FTP eu posso aplicar filtros né aqui em cima ouvir diretamente aqui onde tem até a coluna

protocolo eu procuro RTP e olha já está aqui certo Oi e aí eu posso clicar com o botão direito em cima da salinha onde tem o FTP vou até e o folo tá tá aí destacado em azul e TCP stream ele vai me mostrar tudo o que aconteceu na comunicação desse protocolo FTP desde que eu acessei ele até o momento que eu parei aqui meu whale Shark tá então vou clicar aqui e ele vai abrir uma tela que tem as informações então Observe que interessante temos o user que eu utilizei o dela IPI uso tá

temos a tela a primeira informação aqui na seja bem-vindo e tal servidor FTP daí ele pediu usuário nós informamos depois ele pediu para especificar uma senha aí Aqui nós temos a nossa senha né mas senha muito complexa mas tenha bastante forte mas que não protocolo fraco num protocolo sem criptografia é basicamente Não Serve de lado tá Então essa é uma das fragilidades né do FTP com protocolo aí sem querer telegrafia e como que o atacante ele consegue obter essas informações e como que nós também podemos obter informações importantes tá então essa aqui é uma apresentação

bem simples do a lixar crer mas que tem informações aí bastantes relevantes a respeito do seu uso a então novamente vai deixar que uma ferramenta incrível né Você pode analisar qualquer protocolo Protocolos de específicos para câmeras de segurança é protocolo DNS é o FTP ou SSH se tiver criptografado e você tiver as chaves de criptografia os certificados você ainda pode configurar o seu a lixar para ti exibir as informações tá eu vou tá aqui para o nosso slide aqui novamente né sobre ainda sobre o orixá que temos aí a telinha dele aqui um pouco da

tela de captura Então tá representado para que você possa acompanhar aí pelo vídeo mesmo né o pelos próprios pelo próprio slide instalação e a instalação como que ocorre a instalação é muito simples Você vai no site do ar de charque faz o download dele e Aqui nós temos um guia né então basicamente é só ir clicando em next tá escolher quais são os componentes que nós vamos instalar eu gosto de instalar todos os componentes normalmente Eu não coloco a documentação né tá mais ao final aqui documentation mas você pode selecionar tudo que não vai ter

problema nenhum você vai instalar também Unicamp né na nossa quarta imagem aqui na segunda linha sendo a primeira imagem o Unicamp é o um pacote aí que ele permite que você consiga fazer a captura do tráfico tá você vai selecionar algumas outras informações ou não né Você pode adicionar a compatibilidade ou suporte com o 802.11 O que é aí para rede Soares instalar aí novamente o unicap.com compatível aí com o happy Eu normalmente coloco Marco todas essas informações né essas três informações e faço a instalação e depois o só finalizo ele A análise de redes

o próximo passo né análise de redes aqui a demonstração prática que nós já fizemos aí com a nossa máquina virtual né de uma forma bastante simples mas novamente aí de forma mas temos um printscreen aí para ficar lembrado né como que a gente pode fazer então você pode fazer aqui conforme a sua imagem colocar o filtro pelo IP Se você souber o o IP não é que você tá avaliando você pode fazer um filtro pelo protocolo diretamente aí aqui na imagem está representado o linha linha né não foi feito o rolo que nem nós fizemos

mas também é uma forma de obter informação tá você pode pesquisar por Strings daí se você quiser pesquisar pela Spring user ou pelas 30 pés aí ele vai procurar em todos os protocolos essa informação bom então irá nossas considerações finais né visão geral da tela inicial do Alexandre vai ser pintura das informações do tráfego e o passo a passo para a instalação então novamente é importantíssimo que você colete né todas as informações que você puder lembrando Air para fazer a coleta sempre por ordem de volatilidade coleta aquilo que é mais volátil primeiro e depois você

vai coletando as outras coisas tráfego de rede costuma ser uma das informações que uma das coletas que são voláteis né ou conexões de rede que você vai coletado do determinado computador identificar o IP da máquina a identificar o MEC é deles eles são informações que são úteis para até fazer o cruzamento dessas informações com o próprio tráfego de rede certo ou Muito obrigado por você ter ficado nessa aula até o final e quando você na próxima aula aí até mais é [Música]