Assistindo a uma invasão de Camarote - Analise Forente

[galenogarbe]

Amigo boa semana à todos!

Alguém aqui também acompanhou a postagem no blog de um professor, onde ele deixou uma máquina com senha "fraca" para que fosse invadida para que, a partir daí se pudesse fazer uma forense com a máquina "invadida".

Para quem não acompanhou aqui o link: Eriberto Blog | Blog técnico de João Eriberto Mota Filho (para novidades, siga o Twitter http://twitter.com/eribertomota)

Eu particularmente achei a analise meio que superficial. Achava que o assunto fosse tratado de uma forma mais abrangente. Principalmente considerando que o assunto foi abordado para fins acadêmicos. Eu já vi relatórios gigantescos de analise forense. Páginas e mais páginas de informações minuciosas sobre o ataque com técnicas de alto nível e uma metodologia excelente em todos os aspectos.

De qualquer forma, achei interessante a postagem no blog do prof.

[brunosolar]

Amigo boa semana à todos!

Alguém aqui também acompanhou a postagem no blog de um professor, onde ele deixou uma máquina com senha "fraca" para que fosse invadida para que, a partir daí se pudesse fazer uma forense com a máquina "invadida".

Para quem não acompanhou aqui o link: Eriberto Blog | Blog técnico de João Eriberto Mota Filho (para novidades, siga o Twitter http://twitter.com/eribertomota)

Eu particularmente achei a analise meio que superficial. Achava que o assunto fosse tratado de uma forma mais abrangente. Principalmente considerando que o assunto foi abordado para fins acadêmicos. Eu já vi relatórios gigantescos de analise forense. Páginas e mais páginas de informações minuciosas sobre o ataque com técnicas de alto nível e uma metodologia excelente em todos os aspectos.

De qualquer forma, achei interessante a postagem no blog do prof.

Bom, li o post e achei até interessante a idéia. No entanto concordo com o colega sobre a "superficiliadade" da análise.

Se tivesse mais tempo e paciência iria dar umas conferidas nos IPs postados. Outras coisas que me chamaram a atenção:

Estão procurando portas 22 abertas na rede 86.0.0.0/8 a partir da máquina. A máquina virou um bot!!!

Fazer um scan em uma rede /8 haja tempo hein. É muito host a ser scanneado.

* A conversa (da 11:42 h às 12:27): http://www.eriberto.pro.br/files/cha...o_1142_1227.gz
* Daqui a pouco coloco mais novidades.

Baixei as "chat" e não vi nada demais, exceto informações do canal IRC (motd) mas como olhei de forma BEM superficial posso ter deixado passar despercebido tais conversas.

Aqui vou postar um link de uma palestra muito boa utilizando algumas técnicas de forense. ASSISTE - Videostreaming Livre - SERPRO

Vale a pena dar uma olhada.

No mais não tiro o merito do prof. Eriberto pois estou sempre dando uma espiada em suas palestras no site apesar de achar que tem muito marketing em cima da palestra.

[galenogarbe]

Só para deixar mais claro:

Há sim muito valor no conteúdo do professor. A contribuição é excelente, só acho que poderia ter ido mais a fundo na análise.

[MrRuffl3Z]

Bom, li o post e achei até interessante a idéia. No entanto concordo com o colega sobre a "superficiliadade" da análise.

É mesmo estranho, mas ele nunca disse que iria analisar....

Se tivesse mais tempo e paciência iria dar umas conferidas nos IPs postados.

Seria bem interessante fazer uma estimativa de onde os bots estão vindo. Mas..... =(

Estão procurando portas 22 abertas na rede 86.0.0.0/8 a partir da máquina. A máquina virou um bot!!!

Fazer um scan em uma rede /8 haja tempo hein. É muito host a ser scanneado.

Pensei o mesmo, mas levando em consideração que a maioria dessas maquinas costuma ter um uptime absurdo, não é nada estranho afinal é um trabalho 24/7 x 365.... Agora se levarmos em consideração que eles trocaram a senha do root (why?), não faz sentindo nenhum pois garantiram perder a maquina.

[brunosolar]

Pensei o mesmo, mas levando em consideração que a maioria dessas maquinas costuma ter um uptime absurdo, não é nada estranho afinal é um trabalho 24/7 x 365.... [/I]

Imagina um scanner rodando em uma rede /8 mesmo que 24/7 x 365 iria gerar muito "ruido" certo? Qualquer administrador meia boca iria perceber essa atividade mesmo que nao fosse constante.