SlideShare uma empresa Scribd logo
1 de 13
Baixar para ler offline
DEPARTAMENTO DA POLÍCIA
         FEDERAL

PERITO CRIMINAL FEDERAL
   COMPUTAÇÃO CIENTIFICA




        Material elaborado por Juliano Ramalho
      Revisão Técnica: Professores Walter e Jaime
              http://waltercunha.com/blog/
Notas dos Professores
    É fundamental à aprovação, terem pelo menos o domínio introdutório
    de cada assunto, a fim de que não percam as questões mais fáceis.
    É sabido, que o ideal é LERMOS TUDO sobre CADA matéria. Porém a
    escassez de tempo é uma constante em nossos estudos, portanto
    acabamos tendo que conjugar seleção e abrangência.
    No presente Material, cada QUESTÃO está posta na íntegra, como na
    prova, para que possam interarem-se no assunto e testarem seus
    conhecimentos.
    Encorajamos todos a responderem sem prévia consulta em materiais
    de estudo. Após as respostas certas ou erradas, vejam as
    dissertativas sobre cada altenativa respectivamente e revisem cada
    tópico.
    Esperamos que seja de muito proveito e ajuda para chegarem em
    seus OBJETIVOS e que a estratégia citada os ajude!
    Bons Estudos.

      Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
2                                    http://waltercunha.com/blog/
O material...
    São 30 (trinta) questões de conhecimentos específicos cada
    uma com 5 (cinco) ítens.
    As questões estão numeradas como na prova e cada item
    da questão precede com o respectivo cabeçalho. Sempre
    virá o cabeçalho com o item para vocês tentarem resolver e
    testar seus conhecimentos. Em seguida novamente a
    referida questão/item com a conclusão da resposta
    Como sempre, as provas que a Cespe aplica requerem uma
    minusciosa atenção e concentração na leitura.
    Bons Estudos...




    Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
3                                  http://waltercunha.com/blog/
Referências...
    Livros consultados:
      Fundamentos de Computadores Digitais 4ª Ed. Thomas C Bartee.
      Organização Estruturada de Computadores A. S. Tanenbaum, 5ª Ed.
      Sistemas Operacionais com Java – 7Ed
      Sistemas Distribuidos Conceitos e Projetos 4ª Ed
      Manual de Administração do Sistema UNIX 3º Ed.
      Sistema de Banco de Dados – 4Ed. Elmasri Navathe
      Java – Como Programar 6ª Ed. Deitel
      C Completo e Total 3ª Ed.
      Engenharia de Software – 6ª Ed. Pressman
      Criptografia e segurança - O guia Oficial RSA
      Criptografia e Segurança de Redes. 4ª Ed. William Stalling
      Comunicação de Dados e Redes de Computad.               Behrouz A. Forouzan
      Redes de Computadores e Internet. Douglas E. Comer 2ª Ed
      Redes De Computadores Andrew Tanenbaum 4ª Ed.
      Redes de Computador e a Internet - Uma abordagem top-down 3ª Ed.

      Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
4                                    http://waltercunha.com/blog/
Referências...
    Sites Consultados
      Microsoft – www.microsoft.com/br
      Debian GNU/Linux www.debian.com
      FreeBSD – www.freebsd.org
      NetBSD – www.netbsd.org
      OpenBSD – www.openbsd.org
      W3C - www.w3c.br/
      Programação de Sistemas: Prof.º Ivan Luiz Marques Ricarte .
      http://www.dca.fee.unicamp.br/cursos/EA876/apostila/HTML/node1.html
      Boas práticas em Segurança da Informação 2ª Ed.
      http://portal2.tcu.gov.br/portal/pls/portal/docs/683820.PDF
      Objetos Distribuidos: Conceitos e Padrões
      http://mtc-m05.sid.inpe.br/col/sid.inpe.br/deise/2001/04.24.14.21/doc
      /pdfs/Capitulo3.pdf



      Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
5                                    http://waltercunha.com/blog/
Texto CE – QUESTÕES DE 36 A 38                                   .
    Os trechos abaixo foram retirados de um arquivo de log referente a
    acessos a um servidor http.                                       .
    .
    22-) atacker6.nowhere.com - - [23/Jan/2001:04:35:55 -0200] quot;GET
        /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..%
        c0%af/winnt/system32/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1t
         h+Grup+WebQu33R+>c:inetpubwwwrootDefault.htm HTTP/1.0quot; 404 461
    23-) atacker6.nowhere.com - - [23/Jan/2001:04:37:34 -0200] quot;GET
        /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..%
        c0%af/winnt/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1th+Grup+We
        bQu33R+>c:inetpubwwwrootDefault.htm HTTP/1.0quot; 502 215
    24-) atacker6.nowhere.com - - [23/Jan/2001:04:40:09 -0200] quot;GET
        /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..%
        c0%af/winnt/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1th+Grup+We
        bQu33R+>c:inetpubwwwrootDefault.htm HTTP/1.0quot; 502 215
    25-) atacker6.nowhere.com - - [23/Jan/2001:04:40:30 -0200] quot;GET
        /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..%
        c0%af/winnt/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1th+Grup+We
        bQu33R+>c:inetpubwwwrootmyweb.dll HTTP/1.0quot; 502 215



       Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
6                                     http://waltercunha.com/blog/
QUESTÃO 36 - Com base no texto CE, julgue os itens abaixo, referentes aos ataques ao
    servidor http mencionado nesse texto.                                              ..
    4) Os logs foram gerados pelo MS IIS.




       Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
7                                     http://waltercunha.com/blog/
QUESTÃO 36 - Com base no texto CE, julgue os itens abaixo, referentes aos ataques ao
    servidor http mencionado nesse texto.                                              ..
    4) Os logs foram gerados pelo MS IIS.
       Afirmativa errada. Para um melhor entendimento segue descrição de
       alguns formatos mais usados.
       Segundo a Microsoft, “Quando o log do IIS está ativado, o IIS usa o
       Formato de Arquivo de Log Estendido W3C para criar logs das atividades
       diárias no diretório especificado para o site no Gerenciador do IIS.”
       O Formato de Arquivo de Log Estendido W3C, segundo Andrey Rodrigues
       de Freitas, é um formato ASCII personalizável com vários campos
       diferentes. Pode-se incluir campos importantes, ao mesmo tempo em que
       limita o tamanho do log omitindo campos indesejáveis. Os campos são
       separados por espaços. O horário é registrado como UTC (Hora de
       Greenwich). Para visualizar o formato W3C, temos um exemplo abaixo ,
       que mostra as linhas de um arquivo gerado com os respectivos campos.
       Hora, Endereço IP do cliente, Método, Tronco URI, Status do HTTP e
       Versão do HTTP.
       #Software: Microsoft Internet Information Services 5.0
       #Version: 1.0
       #Date: 2002-03-27 17:42:15
       #Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
       17:42:15 172. 16.255.255 GET /default.asp 200 HTTP/1.0
       Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
8                                     http://waltercunha.com/blog/
Podemos observar no exemplo do slide anterior que a entrada anterior
    indica que no dia 27 de março de 2002 às 17:42, UTC, um usuário com a
    versão 1.0 do HTTP e o endereço IP 172.16.255.255 emitiu um comando
    GET do HTTP para o arquivo Default.asp. A solicitação foi atendida sem
    erro. O campo #Date: indica quando a primeira entrada do log foi feita;
    essa entrada é feita quando o log é criado. O campo #Version: indica que
    foi usado o formato de log do W3C.
    Já, o Formato do Arquivo de Log do Microsoft IIS é um formato ASCII fixo
    (não personalizável). Andrey Rodrigues de Freitas, explica que este
    formato registra mais informações que o formato comum do NCSA( será
    descrito a seguir) .
    O formato do Microsoft IIS inclui itens básicos como o endereço IP do
    usuário, o nome do usuário, a data e o horário da solicitação, o código de
    status do HTTP e o número de bytes recebidos. Além disso, ele inclui itens
    detalhados como o tempo decorrido, o número de bytes enviados, a ação
    (por exemplo, um download efetuado por um comando GET) e o arquivo de
    destino. Os itens são separados por vírgulas, tornando o formato mais fácil
    de ler que os outros formatos ASCII, que usam espaços como separadores
    e o horário é registrado na hora local.
    Temos abaixo um exemplo de um arquivo no formato do Microsoft IIS :

    192.168.114.201, —, 03/27/2002, 7:55:20, W3SVC2, VENDAS1, 192.168.114. 201,
    4502, 163, 3223, 200, 0, GET, DeptLogo.gif

    Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
9                                  http://waltercunha.com/blog/
No exemplo acima, as entradas são interpretadas nas tabelas a seguir. A
     linha superior nas duas tabelas é da segunda instância do site da Web (que
     aparece na coluna quot;Serviçoquot; como W3SVC. NO exemplo é apresentado em
     duas tabelas devido às limitações de largura da página.




     Na primeira entrada indica que um usuário anônimo com o endereço IP
     192.168.114.201 emitiu um comando GET do HTTP para o arquivo de
     imagem DeptLogo.gif às 7:55 em 27 de março de 2002, de um servidor
     chamado VENDAS1 no endereço IP 172.21.13.45. A solicitação HTTP de 163
     bytes gastou um tempo de processamento de 4502 milisegundos (4,5
     segundos) para ser concluída e retornou, sem erro, 3223 bytes de dados
     para o usuário anônimo. No arquivo de log, todos os campos terminam
     com uma vírgula (,). Um hífen agirá como um marcador de posição se não
     houver valor válido para um determinado campo.
     No arquivo de Log apresentado nesta prova encontra-se no Formato NCSA.

     Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
10                                  http://waltercunha.com/blog/
No Formato de Arquivo de Log Comum do NCSA, que é um formato ASCII
     fixo (não personalizável), disponível para sites da Web mas não para sites
     FTP, registra informações básicas sobre solicitações de usuários, como o
     Nome do Host Remoto, Log Remoto do Usuário, o Nome de Usuário, a
     Data, o Horário, o Tipo de Solicitação, o Código de Status do HTTP e o
     Número de Bytes Recebidos pelo servidor. Os itens são separados por
     espaços; o horário é registrado na hora local.
     Vejamos um exemplo retirado do próprio Log da prova: Log (10)
     atacker4.nowhere.com - - [22/Jan/2001:21:19:27 -0200] quot;GET
     /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0
     %af..%c0%af/winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0quot; 200 607




     No quadro acima, os dois campos LOG REMOTO do USER e NOME do
     USUÁRIO estão vazios, ou seja, no log analisado aparecem com hifen.
     Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
11                                  http://waltercunha.com/blog/
No campo “Horário e desvio de GMT” O arquivo de log entrada foi criado
       em 22 de janeiro de 2001 às 21:19:17 (21 horas, 39 minutos e 17 segundos)
       com a diferença entre a hora local e do GMT é de oito horas.
       No campo “Tipo de solicitação” O cliente (invasor) emite um comando
       GET para obter uma listagem do diretório raiz using HTTP version 1.0.
       No campo “Código de status de serviço”                A solicitação retornou, com
       sucesso (200).
       Portanto o formato usado nos LOGs desta prova foram no formato NCSA e
       não MS-IIS.
       No próximo slide há uma tabela que ajudará muito a nível de estudos e
       conhecimento da matéria.
       Fontes:
       - Computação Forense – 2ª Ed. 2003 – Editora Millenium
           Marcelo Antonio Sampaio Lemos Costa
       -   Perícia Forense Aplicada em Ambiente Windows
           Andrey Rodrigues de Freitas
       -   Microsof Corporation - Analyzing Log Files
           - http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/
     Libra ry/IIS/be22e074-72f8-46da-bb7e-e27877c85bca.mspx?mfr=true


        Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
12                                     http://waltercunha.com/blog/
No




      Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime
13                                   http://waltercunha.com/blog/

Mais conteúdo relacionado

Semelhante a PCF03 - 2001 Comentada

Prova Da Dataprev 2006 Jaime Correia Amostra
Prova Da Dataprev 2006   Jaime Correia   AmostraProva Da Dataprev 2006   Jaime Correia   Amostra
Prova Da Dataprev 2006 Jaime Correia Amostra
Walter Cunha
 
LabMM3 - Aula teórica 04
LabMM3 - Aula teórica 04LabMM3 - Aula teórica 04
LabMM3 - Aula teórica 04
Carlos Santos
 
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Dhion C. Hedlund
 
(A04 e A05) LabMM3 - JavaScript
(A04 e A05) LabMM3 - JavaScript(A04 e A05) LabMM3 - JavaScript
(A04 e A05) LabMM3 - JavaScript
Carlos Santos
 
Coletanea Hardware e Arquitetura (ESAF) - Walter Cunha
Coletanea Hardware e Arquitetura (ESAF) - Walter CunhaColetanea Hardware e Arquitetura (ESAF) - Walter Cunha
Coletanea Hardware e Arquitetura (ESAF) - Walter Cunha
Walter Cunha
 

Semelhante a PCF03 - 2001 Comentada (20)

Prova Da Dataprev 2006 Jaime Correia Amostra
Prova Da Dataprev 2006   Jaime Correia   AmostraProva Da Dataprev 2006   Jaime Correia   Amostra
Prova Da Dataprev 2006 Jaime Correia Amostra
 
LabMM3 - Aula teórica 04
LabMM3 - Aula teórica 04LabMM3 - Aula teórica 04
LabMM3 - Aula teórica 04
 
TechEd 2011: Raio-X do SQL Server: Arquitetura Interna do Gerenciador de Ban...
TechEd 2011: Raio-X do SQL Server: Arquitetura Interna do Gerenciador de Ban...TechEd 2011: Raio-X do SQL Server: Arquitetura Interna do Gerenciador de Ban...
TechEd 2011: Raio-X do SQL Server: Arquitetura Interna do Gerenciador de Ban...
 
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaTécnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
 
Fatec sbc lpbd-php_completo_como_programar
Fatec sbc lpbd-php_completo_como_programarFatec sbc lpbd-php_completo_como_programar
Fatec sbc lpbd-php_completo_como_programar
 
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
 
Curso de Desenvolvimento Web - Módulo I - HTML.pdf
Curso de Desenvolvimento Web - Módulo I - HTML.pdfCurso de Desenvolvimento Web - Módulo I - HTML.pdf
Curso de Desenvolvimento Web - Módulo I - HTML.pdf
 
Cacti
CactiCacti
Cacti
 
(A04 e A05) LabMM3 - JavaScript
(A04 e A05) LabMM3 - JavaScript(A04 e A05) LabMM3 - JavaScript
(A04 e A05) LabMM3 - JavaScript
 
Treinamento de Performance and tuning
Treinamento de Performance and tuningTreinamento de Performance and tuning
Treinamento de Performance and tuning
 
Provas de Informática Comentadas para o Concurso do INSS
Provas de Informática Comentadas para o Concurso do INSSProvas de Informática Comentadas para o Concurso do INSS
Provas de Informática Comentadas para o Concurso do INSS
 
Apostila html2
Apostila html2Apostila html2
Apostila html2
 
10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS
 
Encet 2008-ajax java
Encet 2008-ajax javaEncet 2008-ajax java
Encet 2008-ajax java
 
PAF: Alexandre Francisco
PAF: Alexandre FranciscoPAF: Alexandre Francisco
PAF: Alexandre Francisco
 
PAF: Alexandre Franscisco
PAF: Alexandre FransciscoPAF: Alexandre Franscisco
PAF: Alexandre Franscisco
 
Forefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteForefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamente
 
TechEd 2010: SQL Server com Foco em Diagnóstico de Desempenho
TechEd 2010: SQL Server com Foco em Diagnóstico de DesempenhoTechEd 2010: SQL Server com Foco em Diagnóstico de Desempenho
TechEd 2010: SQL Server com Foco em Diagnóstico de Desempenho
 
Design Patterns para Tuning Pentaho com Ctools
Design Patterns para Tuning Pentaho com CtoolsDesign Patterns para Tuning Pentaho com Ctools
Design Patterns para Tuning Pentaho com Ctools
 
Coletanea Hardware e Arquitetura (ESAF) - Walter Cunha
Coletanea Hardware e Arquitetura (ESAF) - Walter CunhaColetanea Hardware e Arquitetura (ESAF) - Walter Cunha
Coletanea Hardware e Arquitetura (ESAF) - Walter Cunha
 

Mais de Walter Cunha

Coletanea Redes de Computadores (ESAF) - Walter Cunha
Coletanea Redes de Computadores (ESAF) - Walter CunhaColetanea Redes de Computadores (ESAF) - Walter Cunha
Coletanea Redes de Computadores (ESAF) - Walter Cunha
Walter Cunha
 
Coletanea Governanca (Esaf) - Walter Cunha
Coletanea Governanca (Esaf) - Walter CunhaColetanea Governanca (Esaf) - Walter Cunha
Coletanea Governanca (Esaf) - Walter Cunha
Walter Cunha
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) -  Walter CunhaColetanea Segurança e Auditoria (Esaf) -  Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Walter Cunha
 
Coletanea UML e OO (ESAF) - Jaime Correia
Coletanea UML e OO (ESAF) - Jaime CorreiaColetanea UML e OO (ESAF) - Jaime Correia
Coletanea UML e OO (ESAF) - Jaime Correia
Walter Cunha
 
Coletanea BD e BI (ESAF) - Jaime Correia
Coletanea BD e  BI (ESAF) - Jaime CorreiaColetanea BD e  BI (ESAF) - Jaime Correia
Coletanea BD e BI (ESAF) - Jaime Correia
Walter Cunha
 
Supercombo Serpro - Amostra
Supercombo Serpro - AmostraSupercombo Serpro - Amostra
Supercombo Serpro - Amostra
Walter Cunha
 
Coletanea PMBoK Esaf
Coletanea PMBoK Esaf  Coletanea PMBoK Esaf
Coletanea PMBoK Esaf
Walter Cunha
 
MPOG2008 - Walter Cunha
MPOG2008 - Walter CunhaMPOG2008 - Walter Cunha
MPOG2008 - Walter Cunha
Walter Cunha
 
MPOG - TI - Jaime (Amostra)
MPOG - TI - Jaime (Amostra)MPOG - TI - Jaime (Amostra)
MPOG - TI - Jaime (Amostra)
Walter Cunha
 
TRFB 2006 - TI - Jaime
TRFB 2006 - TI - JaimeTRFB 2006 - TI - Jaime
TRFB 2006 - TI - Jaime
Walter Cunha
 
TRFB - TI - Prof Walter Cunha
TRFB - TI - Prof Walter CunhaTRFB - TI - Prof Walter Cunha
TRFB - TI - Prof Walter Cunha
Walter Cunha
 
STN-TI-2005 - Walter Cunha
STN-TI-2005 - Walter CunhaSTN-TI-2005 - Walter Cunha
STN-TI-2005 - Walter Cunha
Walter Cunha
 

Mais de Walter Cunha (20)

Desmistificando o Gerenciamento por Projetos - Walter Cunha
Desmistificando o Gerenciamento por Projetos - Walter Cunha Desmistificando o Gerenciamento por Projetos - Walter Cunha
Desmistificando o Gerenciamento por Projetos - Walter Cunha
 
Gestão Estratégica de Recursos (CGU)
Gestão Estratégica de Recursos (CGU) Gestão Estratégica de Recursos (CGU)
Gestão Estratégica de Recursos (CGU)
 
Técnicas e Ferramentas da Gestão de Projetos Aplicadas às Contratações Públicas
Técnicas e Ferramentas da Gestão de Projetos Aplicadas às Contratações PúblicasTécnicas e Ferramentas da Gestão de Projetos Aplicadas às Contratações Públicas
Técnicas e Ferramentas da Gestão de Projetos Aplicadas às Contratações Públicas
 
Seminário Melhores Práticas em Contratações de TI (ENAP) - Walter Cunha
Seminário Melhores Práticas em Contratações de TI (ENAP) -  Walter CunhaSeminário Melhores Práticas em Contratações de TI (ENAP) -  Walter Cunha
Seminário Melhores Práticas em Contratações de TI (ENAP) - Walter Cunha
 
Panorama dos Concursos Públicos de TI - Senacoo 2014 (Amostra)
Panorama dos Concursos Públicos de TI - Senacoo 2014 (Amostra)Panorama dos Concursos Públicos de TI - Senacoo 2014 (Amostra)
Panorama dos Concursos Públicos de TI - Senacoo 2014 (Amostra)
 
Terceirização no Desenvolvimento de Sistema
Terceirização no Desenvolvimento de SistemaTerceirização no Desenvolvimento de Sistema
Terceirização no Desenvolvimento de Sistema
 
Panorama dos Concurso Públicos de TI (USP, 2012) - Walter Cunha
Panorama dos Concurso Públicos de TI (USP, 2012) - Walter CunhaPanorama dos Concurso Públicos de TI (USP, 2012) - Walter Cunha
Panorama dos Concurso Públicos de TI (USP, 2012) - Walter Cunha
 
Coletanea Redes de Computadores (ESAF) - Walter Cunha
Coletanea Redes de Computadores (ESAF) - Walter CunhaColetanea Redes de Computadores (ESAF) - Walter Cunha
Coletanea Redes de Computadores (ESAF) - Walter Cunha
 
Coletanea Governanca (Esaf) - Walter Cunha
Coletanea Governanca (Esaf) - Walter CunhaColetanea Governanca (Esaf) - Walter Cunha
Coletanea Governanca (Esaf) - Walter Cunha
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) -  Walter CunhaColetanea Segurança e Auditoria (Esaf) -  Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
 
Coletanea UML e OO (ESAF) - Jaime Correia
Coletanea UML e OO (ESAF) - Jaime CorreiaColetanea UML e OO (ESAF) - Jaime Correia
Coletanea UML e OO (ESAF) - Jaime Correia
 
Coletanea BD e BI (ESAF) - Jaime Correia
Coletanea BD e  BI (ESAF) - Jaime CorreiaColetanea BD e  BI (ESAF) - Jaime Correia
Coletanea BD e BI (ESAF) - Jaime Correia
 
Supercombo Serpro - Amostra
Supercombo Serpro - AmostraSupercombo Serpro - Amostra
Supercombo Serpro - Amostra
 
Coletanea PMBoK Esaf
Coletanea PMBoK Esaf  Coletanea PMBoK Esaf
Coletanea PMBoK Esaf
 
MPOG2008 - Walter Cunha
MPOG2008 - Walter CunhaMPOG2008 - Walter Cunha
MPOG2008 - Walter Cunha
 
MPOG 2008 TI - Resolução - Jaime Correia
MPOG 2008 TI - Resolução - Jaime CorreiaMPOG 2008 TI - Resolução - Jaime Correia
MPOG 2008 TI - Resolução - Jaime Correia
 
MPOG - TI - Jaime (Amostra)
MPOG - TI - Jaime (Amostra)MPOG - TI - Jaime (Amostra)
MPOG - TI - Jaime (Amostra)
 
TRFB 2006 - TI - Jaime
TRFB 2006 - TI - JaimeTRFB 2006 - TI - Jaime
TRFB 2006 - TI - Jaime
 
TRFB - TI - Prof Walter Cunha
TRFB - TI - Prof Walter CunhaTRFB - TI - Prof Walter Cunha
TRFB - TI - Prof Walter Cunha
 
STN-TI-2005 - Walter Cunha
STN-TI-2005 - Walter CunhaSTN-TI-2005 - Walter Cunha
STN-TI-2005 - Walter Cunha
 

PCF03 - 2001 Comentada

  • 1. DEPARTAMENTO DA POLÍCIA FEDERAL PERITO CRIMINAL FEDERAL COMPUTAÇÃO CIENTIFICA Material elaborado por Juliano Ramalho Revisão Técnica: Professores Walter e Jaime http://waltercunha.com/blog/
  • 2. Notas dos Professores É fundamental à aprovação, terem pelo menos o domínio introdutório de cada assunto, a fim de que não percam as questões mais fáceis. É sabido, que o ideal é LERMOS TUDO sobre CADA matéria. Porém a escassez de tempo é uma constante em nossos estudos, portanto acabamos tendo que conjugar seleção e abrangência. No presente Material, cada QUESTÃO está posta na íntegra, como na prova, para que possam interarem-se no assunto e testarem seus conhecimentos. Encorajamos todos a responderem sem prévia consulta em materiais de estudo. Após as respostas certas ou erradas, vejam as dissertativas sobre cada altenativa respectivamente e revisem cada tópico. Esperamos que seja de muito proveito e ajuda para chegarem em seus OBJETIVOS e que a estratégia citada os ajude! Bons Estudos. Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 2 http://waltercunha.com/blog/
  • 3. O material... São 30 (trinta) questões de conhecimentos específicos cada uma com 5 (cinco) ítens. As questões estão numeradas como na prova e cada item da questão precede com o respectivo cabeçalho. Sempre virá o cabeçalho com o item para vocês tentarem resolver e testar seus conhecimentos. Em seguida novamente a referida questão/item com a conclusão da resposta Como sempre, as provas que a Cespe aplica requerem uma minusciosa atenção e concentração na leitura. Bons Estudos... Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 3 http://waltercunha.com/blog/
  • 4. Referências... Livros consultados: Fundamentos de Computadores Digitais 4ª Ed. Thomas C Bartee. Organização Estruturada de Computadores A. S. Tanenbaum, 5ª Ed. Sistemas Operacionais com Java – 7Ed Sistemas Distribuidos Conceitos e Projetos 4ª Ed Manual de Administração do Sistema UNIX 3º Ed. Sistema de Banco de Dados – 4Ed. Elmasri Navathe Java – Como Programar 6ª Ed. Deitel C Completo e Total 3ª Ed. Engenharia de Software – 6ª Ed. Pressman Criptografia e segurança - O guia Oficial RSA Criptografia e Segurança de Redes. 4ª Ed. William Stalling Comunicação de Dados e Redes de Computad. Behrouz A. Forouzan Redes de Computadores e Internet. Douglas E. Comer 2ª Ed Redes De Computadores Andrew Tanenbaum 4ª Ed. Redes de Computador e a Internet - Uma abordagem top-down 3ª Ed. Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 4 http://waltercunha.com/blog/
  • 5. Referências... Sites Consultados Microsoft – www.microsoft.com/br Debian GNU/Linux www.debian.com FreeBSD – www.freebsd.org NetBSD – www.netbsd.org OpenBSD – www.openbsd.org W3C - www.w3c.br/ Programação de Sistemas: Prof.º Ivan Luiz Marques Ricarte . http://www.dca.fee.unicamp.br/cursos/EA876/apostila/HTML/node1.html Boas práticas em Segurança da Informação 2ª Ed. http://portal2.tcu.gov.br/portal/pls/portal/docs/683820.PDF Objetos Distribuidos: Conceitos e Padrões http://mtc-m05.sid.inpe.br/col/sid.inpe.br/deise/2001/04.24.14.21/doc /pdfs/Capitulo3.pdf Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 5 http://waltercunha.com/blog/
  • 6. Texto CE – QUESTÕES DE 36 A 38 . Os trechos abaixo foram retirados de um arquivo de log referente a acessos a um servidor http. . . 22-) atacker6.nowhere.com - - [23/Jan/2001:04:35:55 -0200] quot;GET /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..% c0%af/winnt/system32/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1t h+Grup+WebQu33R+>c:inetpubwwwrootDefault.htm HTTP/1.0quot; 404 461 23-) atacker6.nowhere.com - - [23/Jan/2001:04:37:34 -0200] quot;GET /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..% c0%af/winnt/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1th+Grup+We bQu33R+>c:inetpubwwwrootDefault.htm HTTP/1.0quot; 502 215 24-) atacker6.nowhere.com - - [23/Jan/2001:04:40:09 -0200] quot;GET /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..% c0%af/winnt/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1th+Grup+We bQu33R+>c:inetpubwwwrootDefault.htm HTTP/1.0quot; 502 215 25-) atacker6.nowhere.com - - [23/Jan/2001:04:40:30 -0200] quot;GET /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..% c0%af/winnt/s3.exe?/c+echo+H4ck3d+by+Gund3R0th+thanks+Gund3R1th+Grup+We bQu33R+>c:inetpubwwwrootmyweb.dll HTTP/1.0quot; 502 215 Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 6 http://waltercunha.com/blog/
  • 7. QUESTÃO 36 - Com base no texto CE, julgue os itens abaixo, referentes aos ataques ao servidor http mencionado nesse texto. .. 4) Os logs foram gerados pelo MS IIS. Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 7 http://waltercunha.com/blog/
  • 8. QUESTÃO 36 - Com base no texto CE, julgue os itens abaixo, referentes aos ataques ao servidor http mencionado nesse texto. .. 4) Os logs foram gerados pelo MS IIS. Afirmativa errada. Para um melhor entendimento segue descrição de alguns formatos mais usados. Segundo a Microsoft, “Quando o log do IIS está ativado, o IIS usa o Formato de Arquivo de Log Estendido W3C para criar logs das atividades diárias no diretório especificado para o site no Gerenciador do IIS.” O Formato de Arquivo de Log Estendido W3C, segundo Andrey Rodrigues de Freitas, é um formato ASCII personalizável com vários campos diferentes. Pode-se incluir campos importantes, ao mesmo tempo em que limita o tamanho do log omitindo campos indesejáveis. Os campos são separados por espaços. O horário é registrado como UTC (Hora de Greenwich). Para visualizar o formato W3C, temos um exemplo abaixo , que mostra as linhas de um arquivo gerado com os respectivos campos. Hora, Endereço IP do cliente, Método, Tronco URI, Status do HTTP e Versão do HTTP. #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2002-03-27 17:42:15 #Fields: time c-ip cs-method cs-uri-stem sc-status cs-version 17:42:15 172. 16.255.255 GET /default.asp 200 HTTP/1.0 Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 8 http://waltercunha.com/blog/
  • 9. Podemos observar no exemplo do slide anterior que a entrada anterior indica que no dia 27 de março de 2002 às 17:42, UTC, um usuário com a versão 1.0 do HTTP e o endereço IP 172.16.255.255 emitiu um comando GET do HTTP para o arquivo Default.asp. A solicitação foi atendida sem erro. O campo #Date: indica quando a primeira entrada do log foi feita; essa entrada é feita quando o log é criado. O campo #Version: indica que foi usado o formato de log do W3C. Já, o Formato do Arquivo de Log do Microsoft IIS é um formato ASCII fixo (não personalizável). Andrey Rodrigues de Freitas, explica que este formato registra mais informações que o formato comum do NCSA( será descrito a seguir) . O formato do Microsoft IIS inclui itens básicos como o endereço IP do usuário, o nome do usuário, a data e o horário da solicitação, o código de status do HTTP e o número de bytes recebidos. Além disso, ele inclui itens detalhados como o tempo decorrido, o número de bytes enviados, a ação (por exemplo, um download efetuado por um comando GET) e o arquivo de destino. Os itens são separados por vírgulas, tornando o formato mais fácil de ler que os outros formatos ASCII, que usam espaços como separadores e o horário é registrado na hora local. Temos abaixo um exemplo de um arquivo no formato do Microsoft IIS : 192.168.114.201, —, 03/27/2002, 7:55:20, W3SVC2, VENDAS1, 192.168.114. 201, 4502, 163, 3223, 200, 0, GET, DeptLogo.gif Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 9 http://waltercunha.com/blog/
  • 10. No exemplo acima, as entradas são interpretadas nas tabelas a seguir. A linha superior nas duas tabelas é da segunda instância do site da Web (que aparece na coluna quot;Serviçoquot; como W3SVC. NO exemplo é apresentado em duas tabelas devido às limitações de largura da página. Na primeira entrada indica que um usuário anônimo com o endereço IP 192.168.114.201 emitiu um comando GET do HTTP para o arquivo de imagem DeptLogo.gif às 7:55 em 27 de março de 2002, de um servidor chamado VENDAS1 no endereço IP 172.21.13.45. A solicitação HTTP de 163 bytes gastou um tempo de processamento de 4502 milisegundos (4,5 segundos) para ser concluída e retornou, sem erro, 3223 bytes de dados para o usuário anônimo. No arquivo de log, todos os campos terminam com uma vírgula (,). Um hífen agirá como um marcador de posição se não houver valor válido para um determinado campo. No arquivo de Log apresentado nesta prova encontra-se no Formato NCSA. Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 10 http://waltercunha.com/blog/
  • 11. No Formato de Arquivo de Log Comum do NCSA, que é um formato ASCII fixo (não personalizável), disponível para sites da Web mas não para sites FTP, registra informações básicas sobre solicitações de usuários, como o Nome do Host Remoto, Log Remoto do Usuário, o Nome de Usuário, a Data, o Horário, o Tipo de Solicitação, o Código de Status do HTTP e o Número de Bytes Recebidos pelo servidor. Os itens são separados por espaços; o horário é registrado na hora local. Vejamos um exemplo retirado do próprio Log da prova: Log (10) atacker4.nowhere.com - - [22/Jan/2001:21:19:27 -0200] quot;GET /IISADMPWD/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af...%c0%af..%c0 %af..%c0%af/winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0quot; 200 607 No quadro acima, os dois campos LOG REMOTO do USER e NOME do USUÁRIO estão vazios, ou seja, no log analisado aparecem com hifen. Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 11 http://waltercunha.com/blog/
  • 12. No campo “Horário e desvio de GMT” O arquivo de log entrada foi criado em 22 de janeiro de 2001 às 21:19:17 (21 horas, 39 minutos e 17 segundos) com a diferença entre a hora local e do GMT é de oito horas. No campo “Tipo de solicitação” O cliente (invasor) emite um comando GET para obter uma listagem do diretório raiz using HTTP version 1.0. No campo “Código de status de serviço” A solicitação retornou, com sucesso (200). Portanto o formato usado nos LOGs desta prova foram no formato NCSA e não MS-IIS. No próximo slide há uma tabela que ajudará muito a nível de estudos e conhecimento da matéria. Fontes: - Computação Forense – 2ª Ed. 2003 – Editora Millenium Marcelo Antonio Sampaio Lemos Costa - Perícia Forense Aplicada em Ambiente Windows Andrey Rodrigues de Freitas - Microsof Corporation - Analyzing Log Files - http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/ Libra ry/IIS/be22e074-72f8-46da-bb7e-e27877c85bca.mspx?mfr=true Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 12 http://waltercunha.com/blog/
  • 13. No Material elaborado por Juliano Ramalho - Revisão Técnica: Professores Walter e Jaime 13 http://waltercunha.com/blog/