Hoje
em dia nas pequenas empresas e com o auge da implementação do uso de novas
tecnologias e das comunicações através
da Internet, portas se estão abrindo
para cometer delitos informáticos e
este tipo de organizações não são
a exceção para que seus empregados sintam-se
tentados a realizar fraudes e incidentes informáticos.
Um
tema culminante no momento das investigações ou auditorias de pequenas
organizações que fornecem uma grande fonte de informações valiosas em uma
investigação, é o achado de informação
em arquivos apagados que foram eliminados acidentalmente ou
intencionalmente por funcionários para ocultar os vestígios de atos maliciosos
contra a empresa.
Há funcionários que cometem fraudes ou roubo de informações e uma maneira fácil de esconder suas más ações para não deixar nenhum vestígio de rastreamento é eliminado, mas o que não sabem esses empregados é que nos computadores existem vários sites onde permanece a evidencia dos arquivos que se eliminam , não sabem que estão permanentemente apagados dos computadores e simplesmente deixam de ser visíveis para o usuário, pois o espaço que ocupavam é marcado como disponível para ser usado novamente. Se nada utilizou esse espaço desde que se apagou um arquivo , então ele pode ser recuperado a partir de dispositivos de armazenamento, como discos duros , memórias USB, cartões SD , em unidades de discos duros externos , câmaras fotográficas , entre outros dispositivos . Este procedimento é conseguido através de ferramenta especializada como EnCase Enterprise ou EnCase Forensic. A continuação, alguns exemplos de como encontrar vestígios de possíveis fraudes ou roubo de informação ocasionados por empregados em pequenas empresas ou organizações:
Através de EnCase Enterprise V 7.08 , permite-se aos examinadores ou auditores facilidades para encontrar evidências quando um funcionário comete esses atos , no sistema operacional Windows , já que ficam vestígios dentro dos dispositivos , como discos duros , por exemplo, para as versões Windows NT/XP/2003, existe o arquivo INFO2 e se o encontra no diretório : C: \ Recycler \ <User SID> \ INFO2 , para o Windows Vista e Windows 7 , os arquivos são guardados na pasta C: \ $ Recycle . Bin . Esses arquivos são gerados para cada usuário em ambos os casos… aqui um exemplo de como EnCase os visualiza :
Há funcionários que cometem fraudes ou roubo de informações e uma maneira fácil de esconder suas más ações para não deixar nenhum vestígio de rastreamento é eliminado, mas o que não sabem esses empregados é que nos computadores existem vários sites onde permanece a evidencia dos arquivos que se eliminam , não sabem que estão permanentemente apagados dos computadores e simplesmente deixam de ser visíveis para o usuário, pois o espaço que ocupavam é marcado como disponível para ser usado novamente. Se nada utilizou esse espaço desde que se apagou um arquivo , então ele pode ser recuperado a partir de dispositivos de armazenamento, como discos duros , memórias USB, cartões SD , em unidades de discos duros externos , câmaras fotográficas , entre outros dispositivos . Este procedimento é conseguido através de ferramenta especializada como EnCase Enterprise ou EnCase Forensic. A continuação, alguns exemplos de como encontrar vestígios de possíveis fraudes ou roubo de informação ocasionados por empregados em pequenas empresas ou organizações:
Através de EnCase Enterprise V 7.08 , permite-se aos examinadores ou auditores facilidades para encontrar evidências quando um funcionário comete esses atos , no sistema operacional Windows , já que ficam vestígios dentro dos dispositivos , como discos duros , por exemplo, para as versões Windows NT/XP/2003, existe o arquivo INFO2 e se o encontra no diretório : C: \ Recycler \ <User SID> \ INFO2 , para o Windows Vista e Windows 7 , os arquivos são guardados na pasta C: \ $ Recycle . Bin . Esses arquivos são gerados para cada usuário em ambos os casos… aqui um exemplo de como EnCase os visualiza :
Além
disso, a lixeira (papeleira de reciclagem)
é um lugar importante, pois fornece informações para o pesquisador para
saber a data exata de quando se colocou por primeira vez dentro dela, através do arquivo oculto INFO2
que contém o tempo dos eliminados, a ordem cronológica de sua eliminação e o nome do arquivo original. Também fornece
informações como o nome do arquivo em ASCII e Unicode. Também através de EnCase Forensics mediante procedimentos podem ser vistos os arquivos INFO2
para cada usuário e mostrando arquivos eliminados com as respectivas
propriedades, data da eliminação, entre outros, como mostrado na imagem a
seguir:
Também se pode estabelecer para a Lixeira em Win7 o arquivo C: \ $ Recycle.Bin e encontrar para cada usuário a
data de quando se cometeu a fraude
dados como tempo de eliminados e nome do
arquivo original contidos em arquivos separados e para cada arquivo de
recuperação apagado. Pode-se observar
para cada arquivo em Win 7 desta forma:
Além disso, como mostrado na imagem a seguir,
cada usuário tem uma identificação SID
que é estabelecida por meio da análise do Registro para Windows 7. Os arquivos
precedidos por $ I # # # # # # contêm
(rota e nome original ) supressão de
data / hora e arquivos Precedido R $ # # # # # # contêm ( recuperação de dados) , como
mostrado a seguir a rota de um arquivo excluído :
Outra opção para descobrir informações de fraude é
examinar os arquivos Thumbs.db , que é um arquivo oculto no
diretório onde as imagens eliminadas ou não estiveram , o qual
é um pequeno banco de dados que contém cópias de fotografias na thumbnail.
Para os investigadores ou auditores é importante rever esse arquivo, já que
você com eles pode estabelecer fraudes como assistir a pornografia durante o expediente , haver escaneado informação de documentos e deixá-los em jpg ou descarregar de suas
câmaras fotográficas nos computadores da
empresa, muitas vezes, sem
necessidade de descarregá-las …apenas fazer uma conexão da
câmara para o computador e visualizá-las … se
auto gera um Thumbs.db ,
deixando rastro de dados como:
Miniatura imagem do
original, a hora da ultima modificação ,
o nome original do arquivo , etc , como mostrado na imagem seguinte , um
empregado eliminou a fotografia de um documento:
Seguem exemplos abaixo de onde encontrar a informação
excluída que é de domínio de
examinadores forenses que têm um pouco mais de experiência :
Outra possibilidade para os pesquisadores é poder ler através de EnCase Forensics ou EnCase Enterprise e recuperar dados do slack das entradas de registro $ MFT (Master File Table) ou tábua mestra de arquivos. Lá você pode encontrar a informação que fica residente na entrada do registro $ MFT , quando esta passa de ser residente a não- residente ( quando os dados são em grande quantidade se armazenam em vários clusters dentro do volume e já não estão mais no registro de $MFT). Por exemplo, em uma fraude onde um funcionário revisou, sem autorização, a listas de clientes , fornecedores, clientes sem pagar , entre muitos outros , que tem um tamanho inicial de 485 bytes , mas , em seguida, o modifica para 1465 bytes; neste caso fica o registro na $ MFT como residente mas por sobrepassar seu tamanho básico tornar-se não-residente após a modificação . O examinador pode ver traços dessa lista no registro $ MFT slack, mas quando se excede o tamanho , o conteúdo move-se inteiramente a um ou mais clusters.Mas aí também se pode encontrar muita informação do que revisou o empregado e deve ser entendido que quando se exclui informação em um volume NTFS , a entrada $MFT é alterada para indicar que agora se esta referindo a um objeto excluído (seja pasta ou arquivo ) .
Outro exemplo , quando os funcionários cometem fraude em empresas se encontram vestígios e pode ser estabelecido via EnCase Forensics , montando a evidência no módulo Sistema de Arquivos Virtual ( VFS) e examinar o disco duro através do Windows Explorer, facilitando a visualização de todo o disco , verificando espaço não alocado , a área livre do disco duro , a revisão de arquivos apagados e pastas eliminadas.
Também para encontrar vestígios de que se um funcionário estava cometendo fraude ou um vazamento de informação fraudulenta é revisar os arquivos . SPL ou . SHD, arquivos que são gerados durante o envio de trabalhos de impressão e ficam como fila de impressão .No caso de um empregado que estava filtrando informação confidencial através de impressões como a lista de clientes da empresa ou a fórmula de algum produto , e este ao tentar imprimir a informação enviou várias impressões e houve uma queda de energia ou rede , estando em memória a evidência nestes arquivos que faltaram por imprimir , os examinadores devem procurar esses arquivos no computador muitas vezes também como eliminados; lá você pode encontrar descobertas importantes verificando o que o empregado estava fazendo.
Finalmente, as pequenas empresas não podem evitar sofrer qualquer tipo de roubo ou fraude, já que onde ha tecnologia e comunicação se está em constante risco. O que pode ser evitado e que o fato permaneça impune e tomar medidas para proteger este tipo de empresas, bem como a reputação da mesma , com a ajuda de análise ou de auditorias constantes, através de ferramentas especializadas, como EnCase Forensics ou EnCase Enterprise usados por especialistas que podem determinar quando , como e porquê se cometeu a fraude informática e ter melhor controle do que fazem os funcionários internos dentro da organização e assim evitar fraudes ou incidentes informáticos.
RELACIONADOS
No comments :
Post a Comment