Hoje em dia, o correio eletrônico corporativo é uma
das principais ferramentas de comunicação dentro das organizações, permitindo trocar
mensagens com facilidade dentro e fora da organização. Infelizmente, esta
facilidade de comunicação também o transforma em alvo de fraude ou outras ações
delitivas. Há organizações que contam com políticas de bom uso e normativas
internas para preveni-lo, mas muitos empregados simplesmente não as têm em
conta. Furto de correspondência, chantagem, calúnia, entre muitas outras ações
delitivas, podem ser cometidas através do correio eletrônico.
Os empregados de pequenas organizações sabem que ao
configurar o correio corporativo (Outlook) um arquivo com a extensão .pst é criado dentro dos seus
computadores. Muitos empregados mal-intencionados, que sempre estão pensando em
cometer algum fraude ou fazer alguma atividade delitiva através do correio eletrônico
corporativo, acham que eliminando o arquivo .pst estão desaparecendo
toda traço das mensagens enviadas o recebidas. O que estes empregados
desconhecem, é que a configuração pré-determinada do Outlook com o serviço de
informação do Microsoft Exchange Server guarda uma copia no disco rígido local com
o conteúdo da caixa postal. Esta cópia é armazenada em um arquivo de dados sem
conexão do Outlook, com extensão .ost
(Este arquivo funciona como um cachê para o Exchange).
Os arquivos com extensão .ost contém uma grande quantidade de informação para auditorias em
pequenas organizações. Ao analisar estes arquivos através do software
especializado EnCase Enterprise ou EnCase
Forensic, permitem recriar o que o empregado esteve mandando e/ou recebendo
como se estivéssemos explorando o arquivo original com extensão .pst. Dependendo da versão do sistema
operativo podemos encontrar os arquivos .ost
em:
Windows Vista, 7 e 8
%userprofile%\AppData\Local\Microsoft\Outlook
Windows XP
%userprofile%\AppData\Local\Microsoft\Outlook
Windows XP
%userprofile%\Local Settings\Application
Data\Microsoft\Outlook
O arquivo .ost também permite visualizar o conteúdo das mensagens, identificando o destinatário e o remetente. Permite estabelecer se uma mensagem foi reenviada e todas as mensagens relacionadas (fios de conversação):
Outra coisa que pode ser identificada no arquivo .ost é os endereços IP tanto de quem enviou como de quem recebeu a mensagem. Isto é importante em casos onde estão tentando cometer uma extorsão; por exemplo, enviando mensagens ao Gerente duma pequena organização. Outro exemplo é quando os empregados da mesma organização enviam mensagens com calúnia ou chantagem a outros empregados. Fazendo uma investigação podemos estabelecer de onde veio a mensagem através do seu cabeçalho:
Complementando o tema anterior, também podemos
visualizar os correios eletrônicos de todos que receberam a mensagem através do
mesmo arquivo de dados sem conexão:
EnCase Enterprise ou EnCase Forensic
também podem mostrar o arquivo .ost
como um arquivo composto. Isto permite visualizar o arquivo sem conexão com a
mesma estrutura dum arquivo .pst:
Ao visualizar um arquivo com extensão .ost,
o auditor pode diferenciar entre mensagens
na caixa de entrada (inbox) ou elementos enviados (sent items) e assim
identificar os movimentos que o empregado efetuou antes de eliminar a caixa no
arquivo .pst. Durante a auditoria ou exame, também podemos observar as mensagens
eliminadas (deleted items):
Outra funcionalidade que ajuda no
processo de investigação ou auditoria é poder revisar as mensagens com seus
respectivos arquivos anexados, como mostrado na seguinte imagem:
Como temos descrito, o arquivo de dados sem conexão do Outlook .ost é uma copia da caixa de correio eletrônico armazenada localmente no computador do empregado. Ele permite aceder duma maneira rápida aos dados, trabalhar sem conexão à internet e ver todo o conteúdo duma caixa proveniente dum arquivo .pst. O arquivo .ost também armazena uma pasta chamada Sync Issues, onde são armazenados os diferentes erros que podem acontecer ao sincronizar Outlook com o Servidor de Correio.
Por exemplo, ali poderia ficar guardado o log duma mensagem que o empregado
estava tentando enviar e que por erro de sincronização não foi enviado. O
arquivo guarda uma “pisada” da mensagem, incluindo o nome
do arquivo junto com sua data e hora. Outros exemplos do guardado nesta pasta
é a quantidade de vezes que a caixa postal ficou cheia e não pôde enviar-se uma
mensagem, dados que permitem estabelecer a eliminação de mensagens, mudanças
nas pastas de mensagens enviadas ou recebidas, etc. Estes dados são de grande
ajuda numa auditoria para enlaçá-las com outros dados recopilados:
Por último, este tipo de revisões é
importante numa auditoria ou investigação porque permite estabelecer através do
arquivo sem conexão .ost o que é que os empregados estavam
tentando esconder ao eliminar uma caixa de correio eletrônico .pst. É
importante mencionar que também podemos encontrar informação das caixas dos
empregados nos Servidores de Correio, mas dependo do servidor só encontraremos
o que está armazenado durante um momento dado. Nestes servidores, os arquivos
são eliminados após a visualização das mensagens, posteriormente guardados nos
arquivos .pst e .ost.
RELACIONADOS
No comments :
Post a Comment