Descobrindo Fraude Através Do Arquivo Index.dat



Hoje em dia, o uso da internet nas organizações é algo extremadamente comum. A internet é uma excelente ferramenta para certas tarefas e completamente essencial para outras. O que não é normal é que certos empregados a usem para cometer fraude em beneficio próprio ou de terceiros: consultando sites não apropriados, descarregado informação sem autorização ou infringindo normas e políticas estabelecidas dentro da organização.

Muitas organizações podem monitorar os dispositivos da empresa com a finalidade de estabelecer o que é que estão fazendo os empregados durante o horário laboral na internet. Esta tarefa pode ser realizada revisando os arquivos index.dat. Estes arquivos são criados por Windows e são encarregados de manter uma base de dados para aumentar a velocidade de uso do Internet Explorer. Os empregados normalmente acham que eliminando o histórico do navegador e os arquivos temporários da internet podem eliminar todo traço do que fazem na internet. Porém, isto não é certo, sempre permanecem rastros das atividades nos arquivos index.dat, disponíveis para ser examinados em trabalhos de auditoria ou trabalhos de investigação. Além de sites, estes arquivos também podem armazenar informação dos documentos que tenham sido abertos recentemente.

Os arquivos index.dat são arquivos escondidos que guardam os sites, arquivos acessados e endereços de e-mail de destinatários. Estes arquivos estão guardados em diferentes lugares dependendo da versão do sistema operativo, e geralmente estão guardados nos seguintes lugares predeterminados:

Windows XP
Documents and Settings\ [nome do usuário]\Local Settings\History\History.IE5\

Windows Vista, 7, 8
%userprofile%\AppData\Local\Microsoft\Windows\History\History.IE5
%userprofile%\AppData\Local\Microsoft\Windows\History\Low\ History.IE5


Com a ajuda de EnCase Enterprise ou EnCase Forensic os auditores podem realizar conexões remotas com a finalidade de monitorar que seus empregados estejam cumprindo com as políticas da organização. Esta ferramenta permite prévisualizar os arquivos index.dat e de uma maneira rápida verificar o uso da internet em qualquer dispositivo. A seguir veremos como estes arquivos são mostrados através do EnCase Enterprise ou EnCase Forensic v7.08.01:




Nos arquivos index.dat também encontramos informação dos documentos que os empregados têm acessado recentemente. Permitem identificar o tipo de arquivos consultados e a sua localização, como mostrado na seguinte imagem: 






Para complementar a pesquisa de arquivos recentes através de index.dat, também podemos investigar o caminho %userprofile%\AppData\Roaming\Microsoft\Office\Recent\index.dat.  Encontrando desta maneira um log que mostra os arquivos que tenham sido abertos, caraterizados pela extensão .lnk. Ao revisar o arquivo dentro do dispositivo auditado teremos algo assim:









Outra maneira de estabelecer o que é que estão fazendo os empregados duma organização na internet é identificar os arquivos temporários da Internet (TIF) de cada usuário (estes arquivos ficam guardados na memória cachê). Dentro destes TIF também existem arquivos index.dat. Os auditores devem analisar a subárvore do registro para cada usuário. A seguir mostramos a estrutura de pastas que você encontrará para cada usuário numa instalação típica do Internet Explorer:




Dentro da auditoria revisa-se a pasta raiz dos arquivos temporários da internet, seguindo com a pasta Content.IE5. Ali encontraremos um número mínimo de 4 pastas do cachê do Internet Explorer. Os nomes destas pastas de cachê são gerados randomicamente e tem uma extensão de 8 caracteres. Enquanto cresce a necessidade de espaço no cachê, Internet Explorer adiciona pastas em múltiplos de 4. A seguinte imagem mostra a pasta Content.IE5, subpastas e o conteúdo de um dos arquivos index.dat vistos através do EnCase Enterprise ou EnCase Forensic:








Cabe mencionar que este arquivo é muito importante dentro das investigações de fraudes cometidas dentro de pequenas empresas. Ali encontramos armazenados todos os sites visitados pelo usuário e as imagens contidas nestes sites. 
 
Além do mencionado anteriormente, também podemos formar uma ideia dos sites que foram visitados pelos empregados e das atividades que realizaram investigando a pasta Cookies correspondente a cada usuário:

Localização para Internet Explorer
Windows XP
%userprofile%\Cookies
Vista, 7, 8
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies\ Low
Localização para Firefox
Windows XP
%userprofile%\Application Data\Mozilla\Firefox\Profiles\[caracteres randômicos].default \cookies.sqlite
Windows Vista, 7, 8
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\[caracteres randômicos].default\cookies.sqlite








Outra vantagem de revisar os arquivos index.dat é a identificação de que não somente o histórico do Internet Explorer armazena os arquivos relacionados com a navegação ou visitas a páginas na internet.  Estes arquivos também registram o acesso a arquivos locais e remotos (recursos compartilhados através da rede). Isto permite ao auditor ou ao examinador determinar que aplicações são acessadas no sistema durante a rotina de trabalho dentro duma pequena organização, localizando os seguintes caminhos:

Localização para Internet Explorer
Windows XP
%userprofile%\Local Settings\History\History.IE5
Windows Vista, 7, 8
%userprofile%\AppData\Local\Microsoft\Windows\History\History.IE5
%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE5

Existem muitas coisas no histórico da internet além dos sites visitados. É importante revisar os arquivos que se abrem desde localizações remotas e que são descarregados pelos empregados nos dispositivos da empresa localmente. O histórico mostrará o acesso a través de um link. Para encontrar maior informação, podemos revisar o arquivo index.dat da pasta places.sqlite do navegador Firefox, localizado em:


Windows XP
%userprofile%\Application Data\Mozilla\Firefox\Profiles\[caracteres randômicos].default \places.sqlite
Windows Vista, 7, 8
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\[caracteres randômicos].default\places.sqlite








Com os avances tecnológicos e o constante acesso à Internet por parte dos empregados, as pequenas empresas sempre vão ter dispositivos expostos a atividades ilícitas e criminais: ataques internos, ataques externos, fraude financeiro, acesso não autorizado aos sistemas, roubo de dados pessoais de clientes, roubo de propriedade intelectual, transferência de arquivos indevidos (como imagens com conteúdo explícito) ou realização de atividades mal-intencionadas, entre outros. 

Por isso é importante que este tipo de organizações monitore constantemente os dispositivos dos empregados. Mediante a exploração de arquivos como o index.dat, podemos saber que sites estão visitando, que arquivos estão descarregando e estabelecer se estes tem relação com o trabalho ou se os empregados estão perdendo a visão da empresa em atividades ilícitas ou vãs. Com a ajuda de auditorias realizadas com EnCase Enterprise ou EnCase Forensics podemos facilitar a  descoberta de atividades que põem em risco à organização com inconvenientes éticos, financeiros e legais.



RELACIONADOS


No comments :

Post a Comment