Forense Digital aplicada em Redes

Por Thiago A. Salvatico para o Pplware
Perícia Forense Digital é uma técnica que está a ganhar campo com o aumento do cyber-crime, no entanto ainda são poucos os especialistas na área, existe por isso um mercado a crescer nesta especialidade.

Esta técnica é fundamental no processo de condenação de suspeitos envolvidos em crimes, tanto pela Internet como no seu quotidiano. Levanta de maneira concisa uma gama de evidências que podem levar o indivíduo a pagar pelo seu crime. Para isso é necessário uma ferramenta que além de capturar informações importantes, esta ferramenta gera um relatório com os dados mais relevantes.

Esta é uma aplicação que trabalha como outras ferramentas “.pcap”, contudo o seu interpretador é muito interessante, conseguindo formar padrões de pesquisa e regras que facilitam a vida ao investigador forense digital.

Exemplificando o processo:

• “Um cliente solicita a pesquisa de dados que estão a circular na sua rede. No entanto, este solicita que pesquisem conversas de VoIP, além disso, ele quer ouvi-lo, sem alterar o ficheiro e aplicando processos de Cadeia de Custódia e sem Contaminação de dados”

Como actua o investigador neste cenário?
Claro que existem milhões de ferramentas que trabalham com este tipo de ficheiros, ‘.pcap’, tendo em conta que esta é um ferramenta de investigação e não ferramenta de acessos indevido a dados, mas nem todos interpretam e apresentam relatórios forenses como esta ferramenta.

Seguem, ao longo do artigo, alguns vídeos que mostram técnicas com a ferramenta, apresentados pelos sues criadores.

Como no nosso exemplo, este processo pode iniciar inserindo a máquina do investigador na rede e, logo após, varre todos os pacotes que estão em transito na rede, onde há tráfego a passar pela sua placa. Após esta recolha, seja ela diária, semanal etc., tudo depende de como será feito este tipo de colecta, pois podem ser accionados alarmes de acordo com o ficheiro em rede, com a placa conectada na rede, com a porta “XYZ”, em utilização. Como disse, tudo depende da configuração a ser feita na ferramenta.

Após esta recolha e a interpretação da mesma, feita automaticamente pela ferramenta, é necessário somente seleccionar o pacote VoIP que foi identificado na rede e ouvi-lo.

Uma das maiores promessas desta ferramenta é a parceria com o Google Earth, que informa ao investigador o local exacto, como endereço físico, local de acesso e local de destino dos pacotes que estão em transito na rede. Esta prática de LOCATION é muito utilizada no EUA, para localização de restaurantes, bares, pessoas, endereços, transportes e agora IPs, pois, com um simples click, esta ferramenta informa o local de um determinado IP no mundo.

Esta ferramenta apresenta hardware e demais softwares complementares, mas o Netwitness Investigator é uma boa ferramenta para iniciarmos as nossa incursões Forenses na redes.

Mais adiante, mostrarei como aplicar Investigação Forense Digital em:

• Computadores apreendidos;
• Telemóveis;
• Pendrives e Cartões de Memória
• Uso da Internet do Suspeito

Licença: Freeware (registo no site)
Sistemas Operativos Windows 2k/XP/Vista/Win7
Download: Free NetWitness Investigator [88.30MB]
Homepage: NetWitness