0

TCC - NMAP

#Produto Digital
Edicleia Souza
Edicleia Souza
            Nmap o Mapeador de Redes na Perícia Digital    

     Edicléia Martins Reis Souza – edicleia.martins87@gmail.com
               Computação Forense e Perícia Digital
                Instituto de Pós-Graduação – IPOG
                São Paulo, SP, 30 de maio de 2019.

Resumo


O objetivo deste artigo é apresentar a ferramenta de software NMAP, Mapeador de Rede (“Network Mapper”) de uma forma simples e abrangente de como ela funciona e quais suas funcionalidades dentro da perícia digital e para quais situações ela é usada no cotidiano de um perito. O perito necessita de ferramentas capazes de identificar possíveis ataques em sistemas, capturar e analisar evidências que possam ser utilizadas em processos judiciais a favor ou contra um indivíduo, seja empresa ou não. Através de softwares como o NMAP e entre outras o trabalho de um perito torna-se mais abrangente possibilitando-o encontrar mais informações como: verificar rapidamente as portas abertas em determinados hosts, seja numa rede local ou na internet, detectar características de hardware e de dispositivos de rede, identificar os serviços de rede que estejam ativos, identificar os computadores da rede fornecendo uma lista e etc. Conclui-se dessa forma que o trabalho do perito torna-se ágil e eficaz tornando a ferramenta uma parte importante na prática pericial, porém não esgota o uso de outros meios e de outros tipos de softwares que possibilitem coletar mais informações quanto ao caso em análise pericial.


Palavras-chave: Nmap, Funcionalidades do Nmap, Perícia forense de rede, Scanner Nmap.


1. Introdução

Percebe-se que a segurança das informações, principalmente com relação às empresas, vem crescendo no âmbito computacional e isso requer tratamentos para proteger os dados de uma determinada organização e até mesmo os dados pessoais de um indivíduo. A Lei Geral de Proteção de Dados (LGPD) n°13.709/2018, ainda não entrou em vigor, estará vigente a partir de agosto de 2020, e regulará todo o tratamento de dados pessoais, desde a coleta até a eliminação, visando assim os direitos fundamentais à intimidade, privacidade e à punição das empresas/organizações ou pessoas que os violarem.

Com tamanho impacto e mudança, o desafio das organizações é se adequarem em curto prazo para que não sejam responsabilizadas.

Com os avanços tecnológicos é possível que softwares como o Nmap, por exemplo, cruzem e interpretem dados com muito mais eficiência do que os feitos manualmente. O vazamento e o uso indevido dessas informações não se limitam às questões de consumo somente, são muito importantes no meio político, na administração pública e podem impactar fortemente as relações de trabalho e negócios, quando exposta, nesse caso, algum direito individual.

É preciso mapear os dados coletados em uma determinada perícia, entender os riscos envolvidos na gestão das informações e proteger seus arquivos, digitais ou não, com recursos tecnológicos e operacionais, bem como com instrumentos jurídicos alinhados à legislação.

De acordo com o Relatório de Ameaças à Segurança na Internet (ISTR – em inglês), publicado em 2018, o Brasil é o sétimo país que gerou mais ataques cibernéticos no mundo. O trabalho do perito é bem complexo e exige paciência e foco no que diz respeito às buscas das informações necessárias para avaliação do caso em questão, muita das vezes são utilizadas diversas ferramentas diferentes ao mesmo tempo para chegar a um dado importante e isso pode levar dias, meses e até anos para solucionar um caso.

O Nmap é um desses recursos, ele possibilita que seja feito um mapeamento da rede, seja ela local ou não, além de identificar portas abertas, identificar OS (Sistema Operacional) operando no host, quais hosts estão operando (através do Ping Scan), verificar tráfego de pacotes enviados/recebidos entre outras funções. Nesse caso o artigo aborda a importância do software Nmap na perícia digital forense, pois é através de softwares como esse que é possível obter evidências capazes de solucionar crimes e combater o crime cibernético no mundo.  Esse software foi criado por Gordon “Fyodor” Lyon, que ainda participa ativamente do desenvolvimento da mesma.

O Nmap é um software versátil muito utilizado em testes de invasões, auditorias, testes de conformidade e testes de firewalls. Dessa forma foi possível mostrar a importância e a eficácia do Nmap e como ele pode contribuir na perícia digital, especificamente no mapeamento de rede, evitando assim ataques de hackers que infelizmente é muito comum nos dias atuais. Em relação aos ataques existem hoje em dia vários tipos de testes que através desses softwares são capazes de garantir bons resultados.

Engebretson (2014) diz que uma das atividades que podem ser realizadas e é considerada uma das primeiras é o scanning de portas, após concluir o scanning de portas teremos uma lista de portas abertas e de serviços em potencial sendo executados em cada um dos alvos.  A segunda atividade da fase de scanning é o scanning de vulnerabilidade, o scanning de vulnerabilidades corresponde ao processo de localizar e identificar pontos fracos e específicos nos softwares e nos serviços presentes em nosso alvo. Depois que soubermos exatamente quais portas estão abertas, que serviços estão executando nessas portas e quais vulnerabilidades estão associadas a esses serviços, podemos impedir o ataque.

Essa fase e suas ferramentas, que os iniciantes associam ao hacking “de verdade” possibilitam a exploração em massa com um simples aperto de botão, a exploração pode envolver diversas técnicas, ferramentas e códigos diferentes. O objetivo final da exploração consiste em obter o acesso ao administrador (ter controle completo) sobre o computador - alvo.

Justamente por isso o Nmap é um software muito importante na área da perícia digital, já que com ele é possível que um perito chegue até seu objetivo, o de encontrar seu alvo (hacker) e assim evitar invasões e garantir evidências eficazes, capazes de incriminar ou absolver alguma pessoa, instituição e afins.


2. Metodologia

O estudo bibliográfico a ser concluído no ramo da perícia digital contribui para o uso das ferramentas de perícia e suas funcionalidades, de maneira que não se esgotem todas as questões colocadas em uma perícia e sem dúvida contribuam para a elucidação dos delitos que se utilizam numa rede dentro das condições explicitadas para a captura de evidências.

Com isso é possível realizar, organizar e apresentar ideias referentes ao método bibliográfico de pesquisa utilizado na construção deste artigo.


Gil (2008: 72), esclarece que:

O primeiro procedimento adotado numa pesquisa bibliografia, como em qualquer outro tipo de pesquisa, consiste na formulação do problema que se deseja investigar. Como as ciências são pródigas no oferecimento de assuntos para pesquisa, pode-se ser tentado a admitir que a formulação do problema poderá ser desenvolvida sem maiores dificuldades. Não é qualquer assunto, entretanto, que possibilita a formação de um problema de pesquisa. A escolha de um assunto capaz de conduzir uma pesquisa bibliográfica digna desse nome requer que considerem alguns critérios, tais como:

a)   O assunto deve ser do interesse do pesquisador;

b)   O assunto deve relevância teórica e prática;

c)    O assunto de ser adequado à qualificação do pesquisador;

d)   Deve haver material bibliográfico suficiente e disponível;

e)   O pesquisador deve dispor de tempo e outras condições de trabalho necessárias ao desenvolvimento da pesquisa.

Escolher um assunto por si só não é o suficiente para iniciar uma pesquisa bibliográfica. É necessário que esse assunto seja colocado em termos de um problema a ser solucionado.

Essa problematização, por sua vez, não constitui tarefa simples. Requer experiência, leitura, reflexão e debate. É algo que decorre da vivência intelectual do pesquisador (GIL 2008: 72)

 

 

Dessa forma foram coletadas informações utilizadas para a realização deste trabalho que foram produzidas através da leitura de livros e conteúdos de sites específicos. A partir dessas buscas foi possível obter e capturar informações necessárias para o desenvolvimento deste artigo.


3. O trabalho do perito forense no mundo tecnológico   

Kit de perícia criminal (Foto: Assessoria SENASP)

Figura 1. Fonte: http://www.usp.br/aun/antigo/exibir?id=5525&ed=978&f=18


Devido ao crescimento e ao desenvolvimento tecnológico, as empresas e as pessoas tornaram-se muito dependentes quanto aos sistemas informatizados e aos equipamentos digitais como: celulares, tablets, notebooks, relógios digitais e etc. Dessa forma o mundo tornou-se mais propicio a crimes cibernéticos e com o avanço dessas tecnologias os delitos aumentaram e evoluíram rapidamente.  A partir desses eventos o trabalho da perícia tem se tornado cada vez mais presente no mundo digital, e com isso surge à necessidade de profissionais capacitados nesse ramo como, por exemplo, o Perito forense. Porém como toda e qualquer profissão, existe certa dificuldade em encontrar um perito, já que essa área ainda esta em crescimento e por isso são poucos os profissionais capacitados. A Perícia forense Digital ou Computacional tem como definição: a ciência multidisciplinar onde são aplicadas técnicas investigativas no intuito de determinar e analisar evidências, sua finalidade é auxiliar na solução de casos onde são cometidos crimes com o auxilio de dispositivos móveis (computacionais). Com o rápido progresso tecnológico, essas áreas estão convergindo rapidamente e são cada vez menores as diferenças entre coleta, transporte, armazenamento e processamento de informações. À medida que cresce nossa capacidade de colher, processar e distribuir informações torna-se ainda maior a demanda por formas de processamento de informações ainda mais sofisticadas (Tanenbaum, 4°edição: 18).

O trabalho do perito é obter o máximo de informações possíveis e coletar as evidências relacionadas ao delito.


Segue um exemplo baseado em quatro etapas onde o perito executa o procedimento de forma prática:

 Figura 2 – Ciclo de vida da Perícia Forense.

Fonte: https://periciacomputacional.com/pericia-forense-computacional-2/. Acesso em 13 de junho de 2019.


Basicamente esse é o trabalho do perito: Coletar, Examinar, Analisar e obter os resultados. O perito forense é o profissional responsável por analisar ambientes digitais (sistemas, hardwares, softwares e mídias) com o intuito de detectar fraudes, fragilidades e invasões a fim de levantar evidências que possam servir como provas de possíveis crimes e delitos. Por isso muitos utilizam de diversos meios para chegar a uma conclusão, como por exemplo, as ferramentas periciais já mencionadas. Aprendemos um pouco do que o perito faz, e agora vamos ao que mais nos interessa que é conhecer um pouco mais do software Nmap.


4. Nmap


O Nmap (“Network Mapper”) é uma ferramenta de código aberto para exploração de rede e auditoria de rede. Ela escaneia redes amplas, assim como também, funciona muito bem contra hosts individuais. Essa ferramenta é muito conhecida pelo fato de ser um famoso scanner de rede (usado em modo terminal) livre e de código aberto, escrito e mantido por Fyodor. 

De fácil e simples instalação, ela possui binários prontos para rodar em qualquer plataforma operacional. Este software já até apareceu em cenas de diversos filmes, como, por exemplo, o famoso Matrix, Quarteto Fantástico, Dredd, Elysium entre outros.

Figura 3: Fonte: HTTPS://linuxpentest.com.br/2017/04/23/pentest-todos-os-comandos-do-poderoso-nmap/


O Nmap é uma ferramenta muito útil e também um dos mais poderosos scanners de portas existentes, para que um administrador fique por dentro do que acontece em sua rede o Nmap pode ser usado para identificar vulnerabilidades, rastreio dentro da sub-rede, detectar ativos, tráfego e no momento de fazer um escaneamento em seu aparelho descobrir que a porta do número X ou Y foi aberta e provavelmente ela pode ter sido infectada por algum malware, e com isso ela pode estar servindo como um servidor de e-mail para spam, nesse caso seria a identificação das portas que possam estar abertas, e tudo isso pode ser realizado interna e externamente.

Por isso o Nmap ajuda nessa questão, pois ele mapeia a rede, além de, verificar sistemas e serviços nas máquinas, incluindo as portas vulneráveis.


5. Funções do Nmap


Identificação do IP do computador

MAC do computador

Sistema Operacional que esta sendo rodado

Serviços que estão sendo rodados e estejam ativos

Identificar portas que estão abertas

Filtros de pacotes que estão sendo usados (firewall e afins)

Detectar características de hardware de dispositivos na rede

Identificar computadores da rede, fornecendo uma lista

Que computadores estão ligados na rede local?

Que Ips se encontram na rede?

Qual sistema operativo do alvo?

Descobrir se o sistema esta infectado com vírus ou malware

Pesquisar por computadores ou serviços não autorizados na rede entre outros.


O Nmap pode ser usado através de linha de comando ou graficamente, a sua saída será uma lista contendo alvos/ dispositivos rastreados com informações adicionais de cada um. Uma das informações obtidas pelo rastreamento é uma tabela de portas, que exibe o número de portas, protocolo, nome do serviço e estado que pode ser aberto, filtrado, não filtrado ou fechado. Se o estado for aberto, indica que a aplicação na máquina escaneada esta em execução.

Quando o estado é filtrado, indica que o firewall está bloqueando a porta e não permite que o Nmap diga se ela esta aberta ou fechada. Quando o estado consta como fechado, quer dizer que a aplicação não esta executando na porta. Já as portas classificadas como não filtradas indicam que elas respondem o Nmap, mas o Nmap por sua vez não consegue determinar se a porta encontra-se no estado aberto ou fechado.


6. Comandos do Nmap       


“Scan Simples

Nmap Www.google.com

Nmap 192.268.15.1”


“Scannear todos os alvos dentro da sub-rede

Nmap 192.168.0.0/24”

   

“Verificar hosts online dentro da sub-rede

     Nmap -sP 192.168.0.0/24”


“Verificando o tráfego de pacotes enviados/recebidos

Nmap --packet-trace 192.168.15.1

          Nmap --packet-trace google.com”


“Analisando portas específicas

Nmap –p 80 192.168.15.1 *Analisa a porta 80 do IP 192.168.15.1

Nmap –p T: 80 192.168.15.1*Analisa a porta 80 do IP 192.168.15.1 por TCP

Nmap –p U: 80 192.168.15.1 *Analisa a porta 80 do IP 192.168.15.1 por UDP”


“Detectar as versões do host

Nmap -sV 192.168.15.1 *Detecta os serviços rodando nas portas

Nmap -A 192.168.15.1 *Detecta a versão dos serviços rodando nas portas

          Nmap -O 192.168.15.1*Detecta a versão do sistema”


“Detectar quais portas estão sendo mais utilizadas com Syn Scan

          Nmap -sS 192.168.15.1* Analise em modo Syn

          Nmap -sT 192.168.15.1”


“Salvar o resultado do scan em um arquivo

Nmap 192.168.15.1 >output.txt”


7. Testes Manuais – (Modo Terminal)


Pelo fato de o Nmap ser uma ferramenta em modo terminal, muitas pessoas pensam que ela é de difícil manuseio, pelo contrário, constata-se que o Nmap é bem simples e intuitivo. Nada que um pouco de estudo e prática não resolva. 

Contudo o NMap é uma ferramenta imprescindível, muito importante e fortemente recomendada para profissionais da Segurança Ofensiva, que precisam auditar um alvo em busca de vulnerabilidades e para Administradores de Rede e Sistemas, que precisam verificar as configurações de sua rede antes que pessoas mal intencionadas descubram algo errado primeiro. É muito recomendada para entusiastas de TI e estudantes de Redes de Computadores que querem sentir na prática os conceitos teóricos vistos em sala

Veja os exemplos abaixo:



  Análise do IP -> 192.168.15.1

 Análise do Domínio -> Nmap teste.com

 Análise com mais informações -> Nmap -v 192.168.15.1

 Nmap --iflist (Mostra as saídas instaladas e os caminhos percorridos).

Figura 4. Exemplo teste de análise do IP - Fonte: O autor (2019)


Figura 5. Exemplo teste de análise do domínio - Fonte: O autor (2019)