EnCase Para Organizações Pequenas: A Evidência Que Se Encontra Em Skype



À medida que avança a tecnologia, as telecomunicações também dão um passo adiante. Há anos, para comunicar-nos com outras pessoas, devíamos fazê-lo através da telefonia fixa ou por correio aéreo. Porém este tempo passou... Agora existem os telefones sem fio, os telefones celulares com tecnologia de ponta. Ao invés de ir aos correios podemos enviar cartas ou mensagens por intermédio dos telefones celulares ou computadores... e mais: se desejarmos podemos entrar em contato com as pessoas, dentro ou fora do país, vendo-a do outro lado da tela, numa conversação formal ou informal. Tudo isso se deve à evolução da tecnologia que se aprimora a cada dia.

Ditas conversações se podem estabelecer através do Skype, um cliente VolP, desenvolvido por Kasaa que também é uma rede P2P; Skype  permite que os usuários realizem chamadas de voz, enviem mensagens de texto e compartam arquivos a outros usuários clientes de Skype. 


Essencialmente é muito similar às aplicações MSN e Yahoo IM, pois tem capacidade para chamadas de voz, mensagens instantâneas, áudio-conferência e listas de contatos. Para investigações ou auditorias esta é uma grande fonte de informação. É certo também que a encriptação de dados que Skype utiliza AES (Advanced Encryption Standard)  é usada pelas organizações de proteção de dados. Esta encriptação utiliza 256 bits que permitem um total de 1.1x 1077 possíveis chaves para cifrar cada chamada ou mensagem instantânea. Mas ao estar examinando um disco e encontrarmos que tem instalado Skype, os expertos forenses podem obter grande informação das marcas que ficam em alguns arquivos nos dispositivos de armazenamento digital das comunicações estabelecidas por Skype. Isso se logra com a ajuda do Software para investigação especializada EnCase Enterprise ou EnCase Forensics, o qual permite identificar evidência como a que a continuação se expõe:

  
Para as pequenas organizações ou empresas que têm caso de investigações ou auditorias de rotina, um lugar para averiguar proativamente é examinar os arquivos que gera a aplicação Skype. O examinador ou auditor deve centrar-se em alguns arquivos que lhe proporcionarão informação que unida a outra se convertem em provas máximas, como ,por exemplo, o registro que deixa o histórico do Skype e estabelecer dados das sessões de chat, datas e horas ,arquivos transferidos de uma máquina a outra e outros dados, analisando os seguintes arquivos:


Primeiro para estabelecer se no dispositivo de armazenamento digital está instalado o programa Skype, este armazena o cachê de cliente em um arquivo XML na seguinte rota para



XP:          C: \ Documents and Settings \ <nombre \Aplicación \ Skype \ <skype-name>
Win7:      C: \ Users \ <nombre \ AppData \ Roaming \Skype \ <skype-name>


 


Também para estabelecer a localização de buddy lista ou lista de contatos  se deve revisar o arquivo config.xml  o qual está encriptado ,mas ao revisá-lo através de EnCase Enterprise V7.08, se pode estabelecer informação importante como: arquivos enviados ou recebidos, se houve mudança na fotografia do perfil de Skype e a localização da mesma dentro do dispositivo, expulsando rotas dentro do arquivo config.xml...Assim:


C:\Users\nombre user\AppData\Roaming\Skype\My Skype Received Files\ (identifica qué archivo fue recibido)

 C:\Users\nombre user \AppData\Roaming\Skype\Pictures\Mi instantánea 2.png (identifica imagen cambiada perfil)

 C:\Users\nombre user\AppData\Roaming\Skype\Pictures\ (identifica lugar donde almacena imágenes)


Outro site importante para encontrar evidência dos movimentos que uma pessoa faz dentro do Skype é revisar o arquivo queue.db ,grande  base de dados.Através desse arquivo se pode estabelecer quando foi criado o usuário de Skype, posto que aí guarda as datas de criação, acesso e última escritura (esta última permite estabelecer a última vez em que esteve aberta uma sessão de Skype):



Igualmente, na base de dados queue.db se pode estabelecer o nome da rede da pessoa que está sendo investigada; ademais, averiguar se é uma conexão WiFi, dados como a MAC do equipamento, direção de IP e as diferentes sessões que haja tido com seus erros,como se observa na seguinte captura:



Para complementar uma auditoria ou análise forense, se deve levar em conta outras pastas: chared_httpfe e chatsync, as quais guardam arquivos .dat que contêm logs de sessões de conversas como conferências entre diferentes usuários de Skype, mostrando datas e horas de cada arquivo e dados importantes como a identificação dos demais usuários de Skype.
 
C:\Users\user name\AppData\Roaming\Skype\shared_httpfe\Q1376001962M838135428.dat

C:\Users\user name\AppData\Roaming\Skype\user skype\chatsync\04\Q1376001962M838135428.dat

C:\Users\\user name\AppData\Roaming\Skype\shared_httpfe\queue.db-journal


Concluyendo cada dispositivo de almacenamiento digital examinados o auditados en las Pequeñas Organizaciones o Empresas y analizados con EnCase Enterprise ou EnCase Forensic,  los examinadores deben aprovechar al máximo cada proceso que éstos proporcionan, permitiendo encontrar evidencia de lo que hace un empleado al utilizar la aplicación Skype. El presente artículo es sólo una muestra de lo que se puede encontrar en los registros contenidos en los sistemas operativos como Windows.

RELACIONADOS




 

No comments :

Post a Comment