EnCase ao Resgate: Guidance Software 101: As Bases – A Ciência da Coleção de Arquivos (#3)

Este é o terceiro artigo duma serie de 101 artigos que darão ao leitor uma visão geral ou uma referência sobre como os produtos da Guidance Software podem ajudar uma organização e as vantagens que nossos produtos oferecem. Ainda estamos no começo desta série, por tanto, estamos cobrindo “as bases”. No nosso último artigo, abordamos a arte da busca de arquivos. Neste artigo, daremos uma visão global da ciência da coleção de arquivos, uma parte central da execução de auditorias ou investigações acionáveis por auditores, investigadores e assessores legais.

O QUE É A COLEÇÃO DE ARQUIVOS

Geralmente, quando os dados digitais são coletados como parte duma investigação, os auditores de TI ou investigadores digitais estão tentando compreender se os computadores, recursos de rede ou recursos na nuvem duma organização tem sido acessados ou usados como (1) um objetivo para atos criminais, intrusões ou violações às políticas internas; (2) como um instrumento para o crime, intrusões ou violações de políticas internas ou (3) como um repositório de evidência associada a um crime o a uma violação de alguma política interna. Isto descobre-se graças ao resultado da análise dos resultados duma auditoria de TI proativa ou duma investigação digital. Os arquivos identificados como suspeitos ou como evidência são uma parte integral da análise geral.

A coleção de arquivos consiste em criar uma réplica digital dum arquivo ou dum conjunto de arquivos no seu estado original. Estes arquivos podem ser identificados mediante uma busca de arquivos relacionada a uma auditoria proativa ou a uma investigação reativa. Os tipos de arquivo que devem ser coletados como parte duma auditoria ou investigação podem incluir qualquer um dos seguintes elementos:

    •    Documentos, comunicações e imagens criadas, modificadas, acessadas, escondidas ou cacheadas em qualquer parte do endpoint ou em pastas compartilhadas.
    •    Documentos, comunicações e imagens criadas, modificadas, acessadas, escondidas ou cacheadas em recursos de rede como Exchange ou Sharepoint, ou em recursos da nuvem como Office365, Google Apps, Dropbox, Box ou Amazon S3
    •    Comunicações enviadas mediante email, chat ou mensagens instantâneas
    •    Documentos, comunicações e imagens que não tenham sido guardados mas que residem na memória
    •    Arquivos e outros dados eliminados que não tenham sido sobrescritos no endpoint, recursos de rede ou recursos da nuvem (p. ex. documentos eliminados, imagens, arquivos de link ou de atalho e mensagens de email)
    •    Arquivos acessados ou eliminados mediante processos automatizados do computador
    •    Arquivos temporários de armazenamento automático (auto-save)
    •    Artefatos de internet como arquivos descarregados (intencionalmente ou involuntariamente), transações de internet de caráter financeiro, cookies ou outros artefatos
    •    O histórico de sites visitados, até quando o histórico do navegador e seu cache têm sido eliminados
    •    A informação da data e hora dos arquivos (p. ex. quando os arquivos foram criados, acessados, modificados, instalados, eliminados ou descarregados)
    •    Dados dum disco que tenha sido desfragmentado ou reformatado

Os arquivos podem ser coletados in situ na mesma máquina ou remotamente e coletar tanto máquinas que tenham sido apagadas como máquinas ao vivo. Os arquivos podem ser coletados de máquinas com qualquer sistema operacional, como Linux, Mac, AIX, UNIX, Solaris e outros.

POR QUE A COLEÇÃO DE ARQUIVOS É IMPORTANTE?

Os investigadores ou auditores precisam examinar, analisar ou investigar arquivos em múltiplas máquinas remotas. As máquinas, dados ou arquivos podem estar localizados em qualquer lugar. As ferramentas que os investigadores ou auditores usem têm que produzir toda a evidência potencial disponível sem importar sua localização ou tipo de arquivo. O crime, a intrusão ou política de violação examinada poderia envolver a coleção de discos inteiros, volumes de discos, subconjuntos de arquivos, arquivos únicos ou todo tipo de artefatos forenses que se tenham determinado que residem em una ou em múltiplas máquinas. Após identificar a evidência potencial, os auditores ou investigadores poderiam precisar provar que um arquivo foi produzido nos endpoints examinados ou obtido de outro lugar.

Devido aos grandes perigos relacionados a uma coleção executada de forma incorreta, o processo de coleção de arquivos pode representar um risco para a organização. A coleção de arquivos significa mais que simplesmente copiar arquivos para a análise, também representa a preservação da evidência.
Os arquivos coletados precisam ser tratados como evidência…porque são evidencia. Seu departamento jurídico, equipe de R.H. ou assessores legais poderiam não poder prosseguir com um caso se a evidência não fosse coletada de forma pericialmente correta. Adicionalmente, o processo de coleção de um arquivo pode ser questionado durante um julgamento. Como discutimos no artigo inicial desta série, as ferramentas de administração de TI podem não ser suficientes para a coleção de evidência no padrão necessário para que a evidência seja acionável.

A VANTAGEM DA GUIDANCE SOFTWARE DURANTE A COLEÇÃO DE ARQUIVOS

Durante muito tempo a Guidance Software têm servido às necessidades dos investigadores e advogados com o legado de produtos da família EnCase Forensic. Há anos, a Guidance Software foi a pioneira no desenvolvimento do conjunto de tipos de arquivo de evidência que são o padrão da indústria e representam uma perfeita cópia forense ao nível do bit dum disco completo (.E01 o .Ex01) ou copias forenses de arquivos coletados individualmente (.L01 o .Lx01).

Qualquer tipo de arquivo ou dato pode ser preservado junto com seus metadados originais dentro destes arquivos de evidência. Atualmente todos os produtos da Guidance Software, sejam para auditorias proativas ou investigações reativas, podem usar estes mesmos arquivos de evidência de forma nativa como parte de suas capacidades de coleção. Como prova do padrão de excelência destes arquivos de evidência, muitos produtos dos nossos competidores também usam os formatos de arquivos de evidência da Guidance Software.

Como os arquivos de evidência podem verificar a integridade de qualquer arquivo que contenham, um arquivo coletado por uma organização dentro dum arquivo de evidência da Guidance Software pode ser enviado a outras partes, como agências de aplicação da lei, sem a necessidade de quebrar a cadeia de custódia. Os arquivos de evidência opcionalmente também podem ser cifrados de forma que só possam ser abertos por pessoas que possuam a chave de decifrado correta.

Espero que este artigo do blog tenha ajudado você a entender as bases da coleção de arquivos, o que é que potencialmente teria que ser coletado e os riscos que a coleção de evidência representam para uma organização. O seguinte artigo que postaremos discutirá como a Guidance Software pode aplicar facilmente um nível de visibilidade forense dentro de centenas ou milhares de endpoints remotos para ajudá-lo a encontrar de forma fácil e proativa as anomalias que estão dentro desses endpoints sem que você precise o treinamento dum investigador forense.

Tony Grey
Guidance Software
América Latina

Para maiores informações sobre os produtos da Guidance Software, entre em contato com nossos revendedores locais ou escreva a sales-latam@guidancesoftware.com.

TEMAS RELACIONADOS

Guidance Software 101: Conceitos Fundamentais

Faça Parte do Nosso Grupo do LinkedIn para Usuários do EnCase em Português

Guidance Software 101: As Bases – A Arte de Buscar Arquivos

Curta a Nossa Página em Português no Facebook

EnCase ao Resgate

Guidance Software 101: As Bases – A Ciência da Coleção de Arquivos (#3)

No comments :

Post a Comment

We're Here to Help

Connect With Us

Tags

Popular

Archive