Leonardo Bustamante Terça-feira, 11 de julho de 2006
Computação Forense - Preparando o ambiente de trabalho
Em qualquer atividade profissional, o uso de recursos e ferramentas é necessário para o desempenho de suas funções. Hoje, é difícil imaginar um Contabilista sem uma planilha eletrônica, um Engenheiro sem uma calculadora ou um Médico sem os aparelhos de medição e diagnóstico. Não é diferente para o profissional em Forense Computacional.
A preparação do ambiente de trabalho inclui softwares, procedimentos documentados além do amparo legal para o início do exame. Deve-se ter em mente que os ambientes computacionais são bastante heterogêneos, com diversas tecnologias interligadas, inúmeras versões de software e o acesso aos dispositivos de armazenamento são realizados através de conexão com especificações variadas, ou seja, nem sempre terá disponível uma entrada USB, uma unidade de CD-ROM ou até mesmo uma unidade de disquete.
São inúmeras as ferramentas disponíveis. Vários softwares com funcionamentos distintos, mas com idênticos objetivos: Coletar evidências, rastrear acessos, identificar comportamentos, entre outros relacionados a segurança, riscos e privacidade.
F. I. R. E. – First and Incident Response Environment
Talvez fosse um dos kits mais usados no mundo. Traz em um CD “bootável” uma coleção de softwares capazes de coletar evidências em diversos ambientes computacionais. No entanto, já faz um bom tempo que não sofre atualizações e, a medida do surgimento de novas versões de sistemas operacionais e aplicativos, se tornou um kit aquém de sua proposta inicial.
Embora o projeto não sofra atualizações, seus 196 pacotes são de bastante utilidade distribuídos em softwares baseados em licenças publicas ou equivalentes. Para preparar seu próprio kit, entre no site do projeto cujo site é http://fire.dmzs.com, faça o download do arquivo ISO e grave em um CD-ROM neste formato.
Alguns pacotes disponíveis:
. Base de Sistemas Operacionais
. Forensics/Recuperação de Dados
. Resposta a incidentes
. Testes de penetração
. Diversos compilados estaticamente
. Detecção de Vírus
Entre os pacotes do Kit, há desde programas que permitem recuperar senhas perdidas, até o conhecido VNC que possibilita o controle de uma estação remotamente.
EnCase® Forensic
O EnCase (www.encase.com) é uma ferramenta que desde 1998 é a preferida entre os examinadores. Suas características não invasivas realizam uma perícia sem alteração da evidência além de propiciar vários relatórios detalhados do conteúdo periciado. Possui suporte a diversos tipos de tabelas de alocações de arquivos como FAT, NTFS, HFS e CDFS, permitindo o exame na maioria dos sistemas operacionais.
Mesmo sabendo que o uso de uma ferramenta não substitui o conhecimento científico, a cada dia surgem ferramentas que permitem ao examinador a otimização de seu trabalho e, segundo o fabricante do EnCase, o uso desta ferramenta ajuda a reduzir o tempo de investigação em até 65%.
Diria que é uma ferramenta perfeita para localização de arquivos excluídos e de acessos a caixa postais de programas como Outlook e Notes. Algumas telas do programa:
Permite ao examinador arrastar e soltar um arquivo em particular de interesse no EnCase para análise.
Fonte: EnCase.com
Clique na imagem para ampliar.
O cabeçalho do e-mail pode ser exibido ou não com a opção "Show Header."
Fonte: EnCase.com
Nos EUA, o EnCase é largamente usado por agências governamentais, polícia, fisco, e em investigações militares e corporativas.
Embora o uso de ferramentas como o EnCase auxilie o examinador na coleta e análise dos dados, o conhecimento científico e tecnológico é fator primordial para o sucesso da tarefa. Pouco adianta saber manusear o software sem conhecimento de sistemas de arquivos, protocolos de rede, arquitetura TCP/IP, logs, dispositivos de armazenamento, algoritmos, esteganografia, criptografia, topologias, banco de dados, dentre outros. Além disso, este profissional deve possuir conhecimento em Direito para executar suas atividades de acordo com o que determina a lei.
Technorati Tags: Computação Forense, Atividade Profissional, Amparo Legal, Coletar evidências, rastrear acessos, identificar comportamentos, segurança, riscos, privacidade,
Powered by ScribeFire.
Como posso obter uma copia do encase?
ResponderExcluir