O avance da tecnologia move e facilita a maior parte
das atividades cotidianas dentro de uma organização. Contudo, é usada também
para atos delitivos e para obter benefícios pessoais por parte de alguns
funcionários que atuam de maneira inescrupulosa. Esta atividade tem gerado perdas
econômicas consideráveis, tanto no setor empresarial como no âmbito particular nos
últimos anos.
Para os examinadores e/ou auditores o grande reto é
identificar o delito que está cometendo um determinado empregado dentro de uma empresa,
através da Internet, como por exemplo, quando se comete uma ameaça e/ou uma fraude.
Para lidar com esse problema, há uma fonte de muita importância que fornece suficiente
informação identificando de maneira clara em que atividade estava involucrado o
usuário, o que estava fazendo, quando e porquê estava fazendo: analisar a grande
base de dados que subministra o arquivo NTUSER.DAT.
Em seguida, revisaremos alguns exemplos de fraude e como poderemos solucionar os
problemas com os quais se enfrentam os examinadores e/ou auditores diante de um
incidente cibernético.
Uma fraude pode ser realizada por meio de computadores
e com ajuda do uso da Internet, como por exemplo, roubo de propriedade intelectual, espionagem industrial, fraude e roubo
eletrônico, pornografia infantil, pedofilia, entre muitos outros; para resolver
esta problemática, uma grande ajuda para os examinadores e auditores mediante o uso das ferramentas que permite
fazer uma correlação e estabelecer um padrão
de comportamento é EnCase Forensics ou
EnCase Enterprise , a qual visualiza seu conteúdo como um arquivo composto
de modo fácil e ordenado, facilitando a análise ao registro de Windows, em
especial ao arquivo NTUSER.DAT, com a finalidade de identificar que empregados
ingressaram ao computador interceptado e determinar quem é o autor desse tipo
de delitos.
No caso de ser roubo de propriedade intelectual,
podemos analisar a execução de programas através de NTUSER.DAT revisando o Assistente
de Usuário, já que este permite visualizar os programas baseados em GUI
lançados desde o escritório, fazendo seguimento aos programas de execução em um
sistema Windows; para isso podemos ver a chave NTUSER.DAT \ Software \ Microsoft
\ Windows \ CurrentVersion \ Explorer \ UserAssist \
{GUID} \ Conde. Através desta chave
podemos ter uma ideia de quando um usuário executou um programa objeto de
fraude, também saber que programas estavam no escritório; assim mesmo se
realizou descargas de programas ou documentos, entre outros dados... Assim:
Todos os valores são ROT-13 codificados
• GUID para XP - 75048700 Active Desktop • GUID para Win7 - CEBFF5CD execução de arquivos executáveis - F4E57C4B Shortcut execução de arquivos • Lugares Programa para Win7 UserAssist - ProgramFilesX64 6D809377-... - ProgramFilesX86 7C5A40EF-... - Sistema 1AC14E77-... - SystemX86 D65231B0-... - Escritório B4BFCC3A-... - Documentos FDD39AD0-... - Descargas 374DE290-... - UserProfiles 0762D272-... |
Outro tipo de análise que se pode realizar quando o
tipo de fraude é de propriedade intelectual é estabelecer a instalação de
programas não autorizados, mediante a chave OpenSaveMRU, identificando o último programa executável utilizado e
adicionalmente determinar a localização do diretório acedido da aplicação; este
dato está no código:
XP NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU y
Win7 NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
Por
conseguinte, a chave OpenSaveMRU contribui a estabelecer em nossa
auditoria a análise forense , os arquivos executáveis das aplicações utilizadas
e sua última rota utilizada.
Outra
informação que proporciona a chave OpenSave
é identificar que arquivos foram descarregados dentro de Windows, através de
OpenSaveMRU, conhecer os arquivos descarregados, abertos e guardados. Em termos
mais simples, esta chave rastreia este tipo de arquivos deixando-o em una caixa
de diálogo de Windows Shell, a qual também inclui informação dos navegadores
como Internet Explorer e Firefox, e outras aplicações de uso comum, deixando-os
na seguinte chave:
XP NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \
Explorer \ Comdlg32 \ OpenSaveMRU
Win7 NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \ Comdlg32 \OpenSavePIDlMRU
Win7 NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \ Comdlg32 \OpenSavePIDlMRU
Assim mesmo, a
informação encontrada na chave OpenSave serve para realizar seguimento aos arquivos
guardados ou abertos recentes de qualquer entrada de extensão desde o diálogo
de OpenSave por extensão específica (por exemplo: Excel).
Outra forma de observarem-se sinais de fraude quando
alguém está fazendo espionagem industrial (roubo de documentos para entregar à competência)
é determinar através da chave NTUSER.DAT \ Software \Microsoft Office \ VERSION os
últimos arquivos usados ou arquivos recentes. Também se pode determinar em que
versão de Microsoft Office foi editada ou modificada, identificadas dentro da
chave assim: 14.0 =
Office 2010, 12.0 = Office 2007, 11.0 = Office
2003, 10.0 = Office XP.
Esta utilidade
permite determinar neste tipo de fraudes como fazer seguimento dos últimos arquivos que estavam abertos na aplicação
MS Office. A última entrada completada pela MRU (é a abreviatura de
'most-recently-used'), será o tempo do último arquivo que foi aberto por uma
específica aplicação de MS Office.
Igualmente outra
informação que proporciona NTUSER.DAT é identificar no equipamento auditado que
tipo de buscas realizou (Search Asistente), sobretudo se o equipamento é Windows XP interpretando através da chave NTUSER.DAT \ Software \ Microsoft \
Search Asistente \ ACMru \ # # # #.
Aí
se pode encontrar grande fonte de informação e orientar a investigação do tipo
de buscas e o tipo de informação que estava monitorando nosso suspeitoso. Posto
que através desta chave podemos
encontrar se se estava buscando equipamentos e impressoras que estivessem em uma rede, nome de
arquivos ou palavras contidas em arquivos. Este é um exemplo onde se pode encontrar
o " Historial de Busca " no sistema de Windows e os resultados ficariam assim:
Buscar em Internet - # # # # = 5001, Tudo ou
parte do nome de um documento - # # # # = 5603, Uma palavra ou frase dentro de
um arquivo - # # # # = 5604, Impressoras, Computadores e Gente - # # # # =
5647.
Quando se têm ameaças e/ou fraude na empresa ou organização, e se tenham indícios da pessoa que os está cometendo, os encarregados de responder a estes incidentes devem focar-se nesta grande base de dados que deixa cada usuário no arquivo NTUSER,DAT; desde aí se logra a relação de que, quem, como e quando se cometeu a fraude. Assim mesmo, mediante a análise ou auditoria se pode conseguir um controle e checagem para evitar estes muitos tipos de fraudes que podem ser daninhos a uma empresa ou organização; há fraudes de muitos tipos, algumas mais prejudiciais que outras.
Quando se têm ameaças e/ou fraude na empresa ou organização, e se tenham indícios da pessoa que os está cometendo, os encarregados de responder a estes incidentes devem focar-se nesta grande base de dados que deixa cada usuário no arquivo NTUSER,DAT; desde aí se logra a relação de que, quem, como e quando se cometeu a fraude. Assim mesmo, mediante a análise ou auditoria se pode conseguir um controle e checagem para evitar estes muitos tipos de fraudes que podem ser daninhos a uma empresa ou organização; há fraudes de muitos tipos, algumas mais prejudiciais que outras.
Como podemos dar-nos conta de como as fraudes informáticas estão com maior incremento?
Pela
grande quantidade de usuários que existem dentro deste ramo, e como estes
exemplos são uma parte mínima do que podemos encontrar dentro do registro de
Windows, então, através das bondades que possui EnCase Enterprise ou EnCase Forensics, podemos apresentar
conclusões evidenciando excelentes resultados de cada análise ou auditoria
referente a fraudes.
RELACIONADOS
No comments :
Post a Comment