Um tema muito interessante para auditores ou
examinadores forenses ao momento de analisar dispositivos de armazenamento
digital no sistema operacional Linux é identificar os arquivos que estão na
lixeira. Os arquivos muitas vezes são eliminados pelos usuários intencionalmente
com a finalidade de suprimir todos os traços de ações indevidas que hajam sido cometidas.
Continuando nossa série sobre como efetuar auditorias nos
dispositivos com Linux, vamos expor exemplos simples que mostram como auditores
e examinadores podem recuperar arquivos eliminados neste sistema operacional de
diferentes maneiras com a ajuda das soluções do EnCase.
O linux, tal
como o Windows, fornece lixeiras para cada partição e uma na pasta home de cada
usuário. Por tanto, se um usuário elimina um arquivo que está na mesma partição
que sua pasta home, este arquivo será transferido à lixeira do usuário no caminho
home/<nome do usuário>/.local/share/Trash. Esta pasta deveria ser a primeira opção que o auditor ou examinador deveria
explorar manualmente quando está buscando arquivos eliminados:
Esta pasta armazena duas subpastas que guardam todos os
dados referentes à lixeira. Primeiro, localizaremos a subpasta File, encarregada de armazenar os arquivos
enviados à lixeira, como mostramos na seguinte imagem:
Logo após, localizaremos a subpasta Info, uma pasta que também é de grande
valor para uma investigação. Em esta pasta se guardam metadados relacionados
aos arquivos eliminados. Mediante uma pré-visualização dos arquivos incluídos na
pasta com a função de visualização hexadecimal do EnCase Enterprise, podemos
observar a localização original dos arquivos eliminados e a data e hora na qual
foram eliminados. Podemos identificar estes arquivos porque eles têm o mesmo
nome do arquivo eliminado, com a extensão .trashinfo
adicionada ao nome (<nome do arquivo>.<extensão
original>.trashinfo):
Dados como a data de eliminação são de vital importância
para estabelecer a cronologia de uma investigação. Além da data e da
localização original do arquivo eliminado, através de estes arquivos também
podemos ver a extensão original do arquivo eliminado, como mostramos em esta
visualização em estilo transcrição do EnCase Enterprise:
Com as soluções EnCase também podemos encontrar os
documentos eliminados de uma maneira um pouco mais automatizada. Criando uma
condição que filtre arquivos com extensão .trashinfo,
poderemos ver rapidamente todos os arquivos eliminados em todas as unidades de
vários dispositivos de armazenamento no computador de um usuário, evitando uma
revisão manual de cada lixeira em cada partição:
Temos visto como organizações de diferentes tamanhos podem
utilizar as soluções do EnCase para monitorar os dispositivos com sistema operacional
Linux e buscar indicativos de mal uso de uma maneira simples. As soluções
EnCase também podem recuperar arquivos eliminados e entregar reportes imediatos
que permitam que sua organização possa tomar decisões sobre o que é que poderia
estar falhando nas políticas e procedimentos relacionados à segurança dos seus
dispositivos. Para ver estas e outras funcionalidades, acompanhe-nos no próximo artículo de esta série.
RELACIONADOS
No comments :
Post a Comment