Para entender o procedimento o especialista em segurança da Future Security, Denny Roger, exemplificou com a situação a baixo. Um funcionário interno da empresa conseguiu ter acesso ao arquivo da folha de pagamento. O documento tem extensão .doc. Como o funcionário copiou o arquivo para sua máquina, ele terá que esconder a evidência do ataque dos administradores de rede.
Para isso ele vai executar os seguintes procedimentos de testes:
Roger alerta que antes de executar os procedimentos a baixo o usuário deve desmarcar a opção “Ocultar as extensões dos tipos de arquivo conhecido” em “Ferramentas”, “Opções de Pastas”, “Modo de exibição” do seu sistema operacional Windows.
1. Crie um arquivo com extensão .doc para a realização dos testes.
2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.
3. Clique em “Iniciar”, “Executar” e digite %windir%system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.
4. Copie o arquivo fopag.dll para este diretório.
“O diretório %windir%system32 é um excelente local para esconder as informações”. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll, justifica o especialista. “É pouco provável que durante a busca das evidências de um ataque, o administrador de rede procure informações ocultas neste diretório”.
Técnicas para detectar as informações escondidas:
1. Procure pela data e hora de criação/modificação do arquivo.
2. É possível realizar pesquisas específicas no Windows definindo data ou hora.
3. Você pode realizar um scan no seu computador a procura de arquivos modificados. A dica para realizar um scan nos arquivos protegidos do Windows é digitar no Command Prompt a seqüência “sfc /scannow”. Mais informações no link do site da Microsoft.
Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.
4. Uma ferramenta capaz de identificar a integridade dos arquivos do Windows é Samhain. Outra forma mais simples é por meio da ferramenta de “Verificação de assinatura de arquivo”. Clique em “Iniciar”, “Executar”, digite “sigverif” e siga as orientações descritas. Mais informações no link do site da Microsoft.
Fonte: http://wnews.uol.com.br/site/noticias/materia_especial.php?id_secao=17&id_conteudo=496&id_coluna=10
Deixe uma resposta.
Você deve estar conectado para publicar um comentário.