Usar software livre já é muito comum para muitas organizações.
Este tipo de software usualmente se distribui através de uma Licencia Pública
Geral GNU que permite que seja copiado, distribuído e alterado livremente. O
software livre é muito útil para organizações que desejam minimizar o custo da
aquisição, instalação e implantação dos seus sistemas.
Estas são as razões pelas quais muitas organizações têm
começado a migrar ao sistema operacional Linux nos seus dispositivos. É um sistema
operacional grátis e fácil de usar, que permite realizar todas as funções de
sistemas operacionais pagos como Windows ou Macintosh.
Muitas empresas já têm transferido todos seus
dispositivos a uma plataforma Linux. Isto tem aumentado a necessidade no
mercado de encontrar ferramentas que permitam auditar estes sistemas para encontrar
malware, reconhecer sinais de fraude, verificar a conformidade com padrões e supervisar
o que é que os empregados estão fazendo com os recursos da organização. Perante
estas e outras necessidades de auditoria em sistemas Linux, as soluções do
EnCase oferecem funcionalidades inigualadas na indústria.
A seguir apresentaremos o primeiro artigo de uma série
na qual lhes mostraremos como as soluções da plataforma do EnCase permitem que as
organizações tenham uma visibilidade completa da atividade dos dispositivos que
funcionam com o sistema operacional Linux.
Mostraremos como a plataforma EnCase
pode capturar integralmente estes dispositivos e visualizar a estrutura de pastas,
metadados de arquivos, contas de usuário, permissões, identificar processos e
arquivos abertos e mostrar documentos e imagens, entre outras funcionalidades.
Neste artículo usaremos a ferramenta EnCase Enterprise
V7 para explorar um dispositivo com Ubuntu Linux, fazendo uma conexão remota através
do Agente EnCase desenvolvido para este sistema operacional.
Após estabelecer a conexão remota, o computador ao
qual nos temos conectado é mostrado para ser explorado. Vemos todos os diferentes
dispositivos de armazenamento do computador auditado e cada uma das suas partições.
Neste exemplo faremos uma conexão ao disco rígido primário do sistema, o disco sda.
Navegar pela estrutura de um dispositivo com sistema
Linux em EnCase Enterprise é tão simples como em um dispositivo com Windows. Os
investigadores poderão analisar todo o conteúdo de estes dispositivos em uma
estrutura distribuída em árvore que lembra ao explorador de Windows, como
observamos na seguinte imagem que mostra a estrutura de pastas desde o caminho raiz / :
A exploração de pastas nos ajuda a identificar o
perfil dos usuários do computador. Por exemplo, através da pasta /home podemos estabelecer as contas de usuários
que estão configuradas no dispositivo:
EnCase Enterprise também permite pré-visualizar vários
tipos de arquivos sem necessidade de exportá-los a outro programa. Neste exemplo
a seguir, mostramos a pré-visualização do conteúdo de um arquivo criado em um processador
de texto e como seu formato é visualizado de maneira intacta:
Outra opção de simples operação para explorar o conteúdo
de arquivos é a opção de galeria. A galeria nos mostra todas as imagens de uma pasta
selecionada para poder identificar rapidamente capturas de tela que poderiam
conter conteúdo sensitivo ou conteúdo inapto segundo as políticas de uma
organização. No exemplo a seguir, mostramos as imagens da pasta de um usuário no
caminho /Home/[Usuário]/Imagens:
Complementando as imagens anteriores, também podemos ver
os metadados dos documentos e imagens armazenados no dispositivo. A seguir
mostramos os metadados de uma foto, incluindo a câmera que capturou a imagem e a
data na qual a foto foi tirada:
Através do EnCase Enterprise também podemos realizar a
captura dos dados voláteis (snapshot) do sistema Linux usando a função Sweep Enterprise. Sweep Enterprise
permite capturar estes dados voláteis para revisar processos e arquivos abertos,
configurações de sistema, identificar programas instalados, endereços IP, MAC,
conexões de rede, portas abertas e muitos outros artefatos de sistema do dispositivo
examinado:
A seguinte imagem nos mostra como esta função do
EnCase Enterprise nos permite saber os processos que estão sendo executados durante
a investigação de um dispositivo:
Os tópicos abordados neste artigo mostram somente uma
vista geral da funcionalidade que as soluções do EnCase oferecem para
organizações que contam com dispositivos funcionando com o sistema operacional
Linux. Siga esta nova série de artigos e lhes mostraremos como as organizações
podem usar as soluções do EnCase para implementar um monitoramento periódico dos dispositivos com Linux instalado e identificar falhas na segurança
da sua plataforma, fraude, comportamento anormal que indique a possibilidade de
malware e outras ameaças internas ou externas que possam comprometer as
operações e a integridade da sua organização.
RELACIONADOS
No comments :
Post a Comment