INVASÃO
Como saber se seu PC foi invadido

Para entender o procedimento o especialista em segurança da Future Security, Denny Roger, exemplificou com a situação a baixo.  Um funcionário interno da empresa conseguiu ter acesso ao arquivo da folha de pagamento. O documento tem extensão .doc. Como o funcionário copiou o arquivo para sua máquina, ele terá que esconder a evidência do ataque dos administradores de rede.

Para isso ele vai executar os seguintes procedimentos de testes:

Roger alerta que antes de executar os procedimentos a baixo o usuário deve desmarcar a opção “Ocultar as extensões dos tipos de arquivo conhecido” em “Ferramentas”, “Opções de Pastas”, “Modo de exibição” do seu sistema operacional Windows.

1. Crie um arquivo com extensão .doc para a realização dos testes.
2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.
3. Clique em “Iniciar”, “Executar” e digite %windir%system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.
4. Copie o arquivo fopag.dll para este diretório.

O diretório %windir%system32 é um excelente local para esconder as informações”. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll, justifica o especialista. “É pouco provável que durante a busca das evidências de um ataque, o administrador de rede procure informações ocultas neste diretório.

Técnicas para detectar as informações escondidas:

1. Procure pela data e hora de criação/modificação do arquivo.
2. É possível realizar pesquisas específicas no Windows definindo data ou hora.
3. Você pode realizar um scan no seu computador a procura de arquivos modificados. A dica para realizar um scan nos arquivos protegidos do Windows é digitar no Command Prompt a seqüência “sfc /scannow”. Mais informações no link do site da Microsoft.

Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.

4. Uma ferramenta capaz de identificar a integridade dos arquivos do Windows é Samhain.  Outra forma mais simples é por meio da ferramenta de “Verificação de assinatura de arquivo”. Clique em “Iniciar”, “Executar”, digite “sigverif” e siga as orientações descritas. Mais informações no link do site da Microsoft.