Hoje
em dia, o uso da internet nas organizações é algo extremadamente comum. A
internet é uma excelente ferramenta para certas tarefas e completamente essencial para outras. O que não é normal é que certos empregados
a usem para cometer fraude em beneficio próprio ou de terceiros: consultando sites
não apropriados, descarregado informação sem autorização ou infringindo normas
e políticas estabelecidas dentro da organização.
Muitas
organizações podem monitorar os dispositivos da empresa com a finalidade de
estabelecer o que é que estão fazendo os empregados durante o horário laboral na
internet. Esta tarefa pode ser realizada revisando os arquivos index.dat. Estes arquivos são criados
por Windows e são encarregados de manter uma base de dados para aumentar a
velocidade de uso do Internet Explorer. Os empregados normalmente acham que
eliminando o histórico do navegador e os arquivos temporários da internet podem
eliminar todo traço do que fazem na internet. Porém, isto não é certo, sempre permanecem
rastros das atividades nos arquivos index.dat, disponíveis para ser examinados em
trabalhos de auditoria ou trabalhos de investigação. Além de sites, estes arquivos
também podem armazenar informação dos documentos que tenham sido abertos recentemente.
Os
arquivos index.dat são arquivos escondidos que guardam os sites, arquivos acessados
e endereços de e-mail de destinatários. Estes arquivos estão guardados em diferentes
lugares dependendo da versão do sistema operativo, e geralmente estão guardados
nos seguintes lugares predeterminados:
Windows XP
Documents and Settings\ [nome do usuário]\Local
Settings\History\History.IE5\
Windows Vista, 7, 8
%userprofile%\AppData\Local\Microsoft\Windows\History\History.IE5
%userprofile%\AppData\Local\Microsoft\Windows\History\Low\ History.IE5
%userprofile%\AppData\Local\Microsoft\Windows\History\Low\ History.IE5
Com a ajuda de EnCase Enterprise
ou EnCase Forensic os auditores podem realizar conexões remotas com a finalidade de monitorar que
seus empregados estejam cumprindo com as políticas da organização. Esta
ferramenta permite prévisualizar os arquivos index.dat e de uma maneira rápida verificar o uso da internet em
qualquer dispositivo. A seguir veremos como estes arquivos são mostrados
através do EnCase Enterprise ou EnCase Forensic v7.08.01:
Nos arquivos index.dat também encontramos informação dos documentos que os
empregados têm acessado recentemente. Permitem identificar o tipo de arquivos consultados
e a sua localização, como mostrado na seguinte imagem:
Para complementar a pesquisa de arquivos recentes através de index.dat,
também podemos investigar o caminho %userprofile%\AppData\Roaming\Microsoft\Office\Recent\index.dat. Encontrando desta maneira um log que mostra os
arquivos que tenham sido abertos, caraterizados pela extensão .lnk. Ao revisar o arquivo dentro do
dispositivo auditado teremos algo assim:
Outra maneira de estabelecer o que é que estão fazendo os empregados
duma organização na internet é identificar os arquivos temporários da Internet (TIF) de cada usuário (estes arquivos ficam guardados na memória
cachê). Dentro destes TIF também existem arquivos index.dat. Os auditores devem analisar a subárvore do registro para
cada usuário. A seguir mostramos a estrutura de pastas que você encontrará para
cada usuário numa instalação típica do Internet Explorer:
Dentro
da auditoria revisa-se a pasta raiz dos arquivos temporários da internet, seguindo
com a pasta Content.IE5. Ali
encontraremos um número mínimo de 4 pastas do cachê do Internet Explorer. Os
nomes destas pastas de cachê são gerados randomicamente e tem uma extensão de 8
caracteres. Enquanto cresce a necessidade de espaço no cachê, Internet Explorer
adiciona pastas em múltiplos de 4. A seguinte imagem mostra a pasta Content.IE5,
subpastas e o conteúdo de um dos arquivos index.dat vistos através do EnCase Enterprise ou EnCase Forensic:
Cabe
mencionar que este arquivo é muito importante dentro das investigações de fraudes
cometidas dentro de pequenas empresas. Ali encontramos armazenados todos os
sites visitados pelo usuário e as imagens contidas nestes sites.
Além
do mencionado anteriormente, também podemos formar uma ideia dos sites que foram
visitados pelos empregados e das atividades que realizaram investigando a pasta
Cookies correspondente a cada usuário:
Localização para Internet Explorer
Windows XP
%userprofile%\Cookies
Vista, 7, 8
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies\ Low
Windows XP
%userprofile%\Cookies
Vista, 7, 8
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies\ Low
Localização para Firefox
Windows XP
%userprofile%\Application Data\Mozilla\Firefox\Profiles\[caracteres randômicos].default \cookies.sqlite
Windows Vista, 7, 8
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\[caracteres randômicos].default\cookies.sqlite
Windows XP
%userprofile%\Application Data\Mozilla\Firefox\Profiles\[caracteres randômicos].default \cookies.sqlite
Windows Vista, 7, 8
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\[caracteres randômicos].default\cookies.sqlite
Outra
vantagem de revisar os arquivos index.dat é a identificação de que não somente
o histórico do Internet Explorer armazena os arquivos relacionados com a
navegação ou visitas a páginas na internet.
Estes arquivos também registram o acesso a arquivos locais e remotos
(recursos compartilhados através da rede). Isto permite ao auditor ou ao examinador
determinar que aplicações são acessadas no sistema durante a rotina de trabalho
dentro duma pequena organização, localizando os seguintes caminhos:
Localização para
Internet Explorer
Windows XP
%userprofile%\Local Settings\History\History.IE5
Windows Vista, 7, 8
%userprofile%\AppData\Local\Microsoft\Windows\History\History.IE5
%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE5
Windows XP
%userprofile%\Local Settings\History\History.IE5
Windows Vista, 7, 8
%userprofile%\AppData\Local\Microsoft\Windows\History\History.IE5
%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE5
Existem
muitas coisas no histórico da internet além dos sites visitados. É importante
revisar os arquivos que se abrem desde localizações remotas e que são descarregados
pelos empregados nos dispositivos da empresa localmente. O histórico mostrará o
acesso a través de um link. Para encontrar maior informação, podemos revisar o
arquivo index.dat da pasta places.sqlite do navegador Firefox, localizado em:
Windows XP
%userprofile%\Application Data\Mozilla\Firefox\Profiles\[caracteres randômicos].default \places.sqlite
Windows Vista, 7, 8
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\[caracteres randômicos].default\places.sqlite
Com
os avances tecnológicos e o constante acesso à Internet por parte dos empregados,
as pequenas empresas sempre vão ter dispositivos expostos a atividades ilícitas
e criminais: ataques internos, ataques externos, fraude financeiro, acesso não
autorizado aos sistemas, roubo de dados pessoais de clientes, roubo de propriedade
intelectual, transferência de arquivos indevidos (como imagens com conteúdo explícito)
ou realização de atividades mal-intencionadas, entre outros.
Por
isso é importante que este tipo de organizações monitore constantemente os dispositivos
dos empregados. Mediante a exploração de arquivos como o index.dat, podemos
saber que sites estão visitando, que arquivos estão descarregando e estabelecer
se estes tem relação com o trabalho ou se os empregados estão perdendo a visão
da empresa em atividades ilícitas ou vãs. Com a ajuda de auditorias realizadas
com EnCase Enterprise ou EnCase Forensics podemos facilitar a descoberta de atividades que põem em risco à organização
com inconvenientes éticos, financeiros e legais.
RELACIONADOS
Que Papel Desempenham Os Metadados Dentro De Uma Evidência?
Como Obter Evidencia Em Ajustes De Discos
O Reto Forense Em Discos De Estado Sólido (SSD)
Grupo de LinkedIn: Usuários do EnCase - Português
Como Obter Evidencia Em Ajustes De Discos
O Reto Forense Em Discos De Estado Sólido (SSD)
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment