À medida que avança a tecnologia, as telecomunicações também dão um passo
adiante. Há anos, para comunicar-nos com outras pessoas, devíamos fazê-lo
através da telefonia fixa ou por correio aéreo. Porém este tempo passou...
Agora existem os telefones sem fio, os telefones celulares com tecnologia de ponta.
Ao invés de ir aos correios podemos enviar cartas ou mensagens por intermédio
dos telefones celulares ou computadores... e mais: se desejarmos podemos entrar
em contato com as pessoas, dentro ou fora do país, vendo-a do outro lado da
tela, numa conversação formal ou informal. Tudo isso se deve à evolução da
tecnologia que se aprimora a cada dia.
Ditas conversações se podem estabelecer através do Skype, um
cliente VolP, desenvolvido por Kasaa que também é uma rede P2P; Skype permite que os usuários realizem chamadas de
voz, enviem mensagens de texto e compartam arquivos a outros usuários clientes
de Skype.
Essencialmente é muito similar às aplicações MSN e Yahoo IM, pois tem capacidade para chamadas de voz, mensagens instantâneas, áudio-conferência e listas de contatos. Para investigações ou auditorias esta é uma grande fonte de informação. É certo também que a encriptação de dados que Skype utiliza AES (Advanced Encryption Standard) é usada pelas organizações de proteção de dados. Esta encriptação utiliza 256 bits que permitem um total de 1.1x 1077 possíveis chaves para cifrar cada chamada ou mensagem instantânea. Mas ao estar examinando um disco e encontrarmos que tem instalado Skype, os expertos forenses podem obter grande informação das marcas que ficam em alguns arquivos nos dispositivos de armazenamento digital das comunicações estabelecidas por Skype. Isso se logra com a ajuda do Software para investigação especializada EnCase Enterprise ou EnCase Forensics, o qual permite identificar evidência como a que a continuação se expõe:
Essencialmente é muito similar às aplicações MSN e Yahoo IM, pois tem capacidade para chamadas de voz, mensagens instantâneas, áudio-conferência e listas de contatos. Para investigações ou auditorias esta é uma grande fonte de informação. É certo também que a encriptação de dados que Skype utiliza AES (Advanced Encryption Standard) é usada pelas organizações de proteção de dados. Esta encriptação utiliza 256 bits que permitem um total de 1.1x 1077 possíveis chaves para cifrar cada chamada ou mensagem instantânea. Mas ao estar examinando um disco e encontrarmos que tem instalado Skype, os expertos forenses podem obter grande informação das marcas que ficam em alguns arquivos nos dispositivos de armazenamento digital das comunicações estabelecidas por Skype. Isso se logra com a ajuda do Software para investigação especializada EnCase Enterprise ou EnCase Forensics, o qual permite identificar evidência como a que a continuação se expõe:
Para as pequenas
organizações ou empresas que têm caso de investigações ou auditorias de rotina,
um lugar para averiguar proativamente é examinar os arquivos que gera a
aplicação Skype. O examinador ou auditor deve centrar-se em alguns
arquivos que lhe proporcionarão informação que unida a outra se convertem em
provas máximas, como ,por exemplo, o registro que deixa o histórico do Skype
e estabelecer dados das sessões de chat, datas e horas ,arquivos
transferidos de uma máquina a outra e outros dados, analisando os seguintes
arquivos:
Primeiro para estabelecer se no dispositivo de armazenamento digital está
instalado o programa Skype, este armazena o cachê de cliente em um arquivo XML
na seguinte rota para
XP: C: \ Documents and
Settings \ <nombre \Aplicación \ Skype \
<skype-name>
Win7: C: \ Users \ <nombre \ AppData \ Roaming \Skype \ <skype-name>
Win7: C: \ Users \ <nombre \ AppData \ Roaming \Skype \ <skype-name>
Também para estabelecer a localização de buddy lista ou lista de
contatos se deve revisar o arquivo config.xml
o qual está encriptado ,mas ao
revisá-lo através de EnCase Enterprise V7.08, se pode estabelecer informação
importante como: arquivos enviados ou
recebidos, se houve mudança na fotografia do perfil de Skype e a localização da
mesma dentro do dispositivo, expulsando rotas dentro do arquivo config.xml...Assim:
C:\Users\nombre
user\AppData\Roaming\Skype\My Skype Received Files\ (identifica qué archivo fue recibido)
C:\Users\nombre user
\AppData\Roaming\Skype\Pictures\Mi instantánea 2.png (identifica imagen cambiada perfil)
C:\Users\nombre user\AppData\Roaming\Skype\Pictures\
(identifica lugar donde almacena imágenes)
Outro site importante para encontrar evidência dos movimentos que uma
pessoa faz dentro do Skype é revisar o arquivo queue.db ,grande base de dados.Através desse arquivo se pode
estabelecer quando foi criado o usuário de Skype, posto que aí guarda as datas
de criação, acesso e última escritura (esta última permite estabelecer a última
vez em que esteve aberta uma sessão de Skype):
Igualmente, na base de dados
queue.db se pode estabelecer o nome da rede da pessoa que está sendo
investigada; ademais, averiguar se é uma conexão WiFi, dados como a MAC do
equipamento, direção de IP e as diferentes sessões que haja tido com seus
erros,como se observa na seguinte captura:
Para complementar uma
auditoria ou análise forense, se deve levar em conta outras pastas: chared_httpfe
e chatsync, as quais guardam arquivos .dat que contêm logs de
sessões de conversas como conferências entre diferentes usuários de Skype,
mostrando datas e horas de cada arquivo e dados importantes como a
identificação dos demais usuários de Skype.
C:\Users\user
name\AppData\Roaming\Skype\shared_httpfe\Q1376001962M838135428.dat
C:\Users\user
name\AppData\Roaming\Skype\user skype\chatsync\04\Q1376001962M838135428.dat
C:\Users\\user
name\AppData\Roaming\Skype\shared_httpfe\queue.db-journal
Concluyendo cada dispositivo de almacenamiento digital examinados o auditados en las Pequeñas Organizaciones o Empresas y analizados con EnCase Enterprise ou EnCase Forensic, los examinadores deben aprovechar al máximo cada proceso que éstos proporcionan, permitiendo encontrar evidencia de lo que hace un empleado al utilizar la aplicación Skype. El presente artículo es sólo una muestra de lo que se puede encontrar en los registros contenidos en los sistemas operativos como Windows.
RELACIONADOS
No comments :
Post a Comment