Queira o Sr. Perito tratar sobre as principais fontes de informação para reconstituição de eventos

O procedimento que define com maior fidelidade o que é Computação Forense é a Reconstituição de Eventos ocorridos em ambientes digitais ou em função deles. Saber o que um usuário fez utilizando um computador pode parecer uma tarefa simples, mas na verdade trata-se de uma tarefa extremamente complexa e que exige elevados conhecimentos técnicos e constante atualização.

O sistema operacional Microsoft Windows, por exemplo, não é conhecido por ter muitos recursos de armazenamento de logs. É verdade que ele tem como finalidade principal a usabilidade e, por isso, em alguns aspectos, foi desenvolvido sem grandes recursos de controle. Por outro lado, é equivocado pensar que esse ambiente não dispõe de recursos que permitam saber como um usuário utilizou o computador.

Em uma série anterior de duas postagens, mostrei os principais recursos do sistema Windows que, embora não tenham sido desenvolvidos com a intenção de monitorar as ações do usuário, acabam executando essa tarefa. (Parte 01 e Parte 02 dessa postagem). A postagem de hoje mostra como o conhecimento sobre os recursos do sistema operacional é de fundamental importância para que um examinador forense possa desempenhar adequadamente a sua função.

Acontece que, embora existam bons artigos sobre computação forense e documentos bastante relevantes, há pouca informação que auxilie examinadores durante uma reconstituição de eventos realizados em um ambiente informático.

Pensando nisso, há algum tempo, criei um mapa conceitual com os principais passos que, ao menos de maneira geral, devem ser realizados por qualquer examinador quando for necessário saber  o que foi realizado em um computador. (clique aqui para ver outro post com mapa conceitual, desta vez sobre análise para detecção de desvios de informação)

Reconstituição de Eventos

Clique na imagem para vê-la ampliada.

Como pode ser observado nesse mapa conceitual, a reconstituição de eventos de sistema pode ser realizada com base em diversas fontes. Note, também, que essas fontes não se restringem apenas aos registros do próprio computador utilizado pelo usuário, podendo ser consideradas, ainda, outras fontes como o controle de acesso com catraca, pontos eletrônicos, câmeras de vigilância, entre outros. Essas informações agregam muito valor às evidências encontradas em registros de computador, pois apoiam a determinar se o usuário de fato estava utilizando-o.

Em relação às informações armazenadas no computador, existem algumas fontes importantes que devem ser consideradas, como mostra o mapa. Trataremos aqui sobre as principais.

Eventos e registros de sistemas são velhos conhecidos de quem deseja saber o que aconteceu em um computador e, obviamente, não podem ser deixados de fora durante a reconstituição de fatos. Os eventos de sistema nos ajudam a entender as últimas ações do usuário e do sistema, enquanto os registros de sistema, a conhecer as configurações do computador e preferências do usuário. Esse deve ser o ponto de partida de qualquer análise, pois, na maioria das vezes, o que se procura são justamente as informações mais manipuladas pelo usuário e, portanto, as ações procuradas terão deixado rastros visíveis em eventos e registros.

Um recurso também importantíssimo, porém, pouco explorado, é o conjunto de propriedades de arquivos. Através da data, remente e destinatário de e-mails, por exemplo, é possível determinar o que um usuário realizou em determinado dia ou momento. Nesse sentido, a verificação de propriedades de arquivos também ajuda sobremaneira a entender as principais ações do usuário e, principalmente, as ações que destoam de seu comportamento padrão, tal como acesso a determinado arquivo sempre em horário de almoço ou durante o final de semana, o que pode caracterizar um forte indício de que esse arquivo representa algo que o usuário desejava esconder.

Áreas livres do disco (onde estão os dados de arquivos apagados), arquivos de paginação (swap) e arquivos de hibernação também são excelentes fontes de informação para reconstituição de eventos. Nelas, muitas vezes, é possível recuperar registros e propriedades técnicas que foram apagados pelo usuário, deliberadamente ou não, apoiando a esclarecimento completo de fatos relevantes.

Por fim, o mais importante é saber que para criar uma linha de tempo completa, de forma a reconstituir um evento o mais verdadeiramente possível, é necessário que o examinador forense se desprenda da análise apenas dos sistemas de arquivos e dos principais logs de um sistema operacional, e inclua como verificação obrigatória, tantos recursos do sistema quanto forem possíveis. Isso demanda do examinador a atualização constante de suas ferramentas e a reciclagem constante de seu conhecimento, pois do contrário, muitas informações relevantes podem ser perdidas.

Esse mapa conceitual que eu trouxe hoje, por exemplo, contêm informações bastante relevantes, mas como ele foi desenhado há alguns meses, certamente há muito mais para ser analisado nos sistemas atualizados.

2 comentários sobre “Queira o Sr. Perito tratar sobre as principais fontes de informação para reconstituição de eventos

    • Obrigado Luiz, temos trabalhado bastante para trazer informaçoes uteis e atualizadas. É muito bom receber feedbacks como o seu.

      Continue acompanhando o nosso blog.

      Everson Probst

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s