No último post (confira aqui) abordamos inicialmente um pouco das principais ferramentas para computação forense; como são muitas, não couberam num único post. Hoje daremos continuidade, falando sobre outras que consideramos bastante necessárias para o bom desempenho das atividades investigativas. Cabe aqui lembrar que, em seu ambiente de laboratório, espaço de armazenamento não deve ser problema.
Citamos estas ferramentas, mas a escolha de equipamento para trabalho é uma questão muito pessoal, pois há uma série de fatores que se leva em conta na hora de escolher. Basicamente, nos concentramos em quatro fatores, listados a seguir.
- Usabilidade – capacidade do sistema em fazer com que se tenha sucesso na execução de suas ações. Fácil aprendizagem, utilização eficiente e gestão de erros são pontos fundamentais para que percebamos a boa usabilidade.
- Custo – puramente o famoso custo x benefício da solução.
- Confiabilidade – relacionada à precisão eficiência e segurança. Fazemos sempre uma busca na internet antes de começar a utilizar o software. Vários são Open Source (de código aberto) e é importante saber como e quem o desenvolveu.
- Desempenho – esse item é importantíssimo. Ao fazer o processamento de imagens forenses, um gigantesco volume de dados será recuperado, processado e indexado. Nessa situação tem-se de centenas de gigabytes a muitos terabytes em informações, como resultado. Logo, desempenho é muito importante, pois em vários casos, apenas na fase de processamento, leva-se dias.
Há diversos outros atributos que uma ferramenta forense precisa ter, mas esses são os mais importantes para nós. Cada um desses atributos citados tem um peso na escolha do equipamento de trabalho, a exemplo: pacote Office da Microsoft ou algum livre – Library Office ou Open Office? Enfim, há apaixonados e xiitas por todas as soluções.
Após abordar quais atributos devemos levar em consideração na escolha de ferramental de tecnologia, apresentamos parte do rol de uso corriqueiro.
Para começar, vamos falar do Oracle VM VirtualBox, um software de virtualização que permite criar ambientes para instalação de sistemas operacionais. É uma ferramenta fácil de instalar e utilizar, com a qual não tivemos problemas até hoje. A criação de ambientes para análise de imagens forenses em máquinas virtuais torna o processo de computação forense mais seguro e controlado, por isso recomendamos veementemente a virtualização de ambientes antes de começar quaisquer perícias, para evitar riscos.
FTK Forensic Toolkit, ou FTK. Vamos falar pouco a respeito desse software que, assim como o IPED, exige um post só sobre ele. Extremamente funcional, é um programa de computação forense desenvolvido pela AccessData que contém diversos módulos (toolkit). Ele escaneia a imagem procurando por várias informações já definidas no início do processamento, é comum localizarmos até e-mails apagados. Um dos recursos interessantes é que ele indexa todas palavras encontradas, o que poderá ser utilizado como um dicionário de senhas para quebrar encriptação.
O queridinho quando se fala da necessidade em realizar análise de tráfego de rede. As funcionalidades do Wireshark são parecidas com o Tcpdump, mas cuja interface gráfica (sofrer pra que, né?), dispõe de recursos que facilitam obtenção de informações, utilização e criação de filtros, e visualização de diversos outros relatórios específicos para análise de tráfego de rede.
Podemos controlar o tráfego de uma rede e monitorar entrada e saída de dados do computador, de servidores, da rede à qual tudo está ligado ou de links de internet, em diferentes protocolos. Também é possível controlar o tráfego de determinado dispositivo de rede numa máquina que pode ter um ou mais dispositivos. Se você estiver em rede local, com micros ligados por um hub ou switch, outro usuário pode usar o Wireshark para capturar todas as suas transmissões. Agora se prepare, o volume de dados gerados será gigantesco.
Utilizamos muito essa ferramenta para investigações empresariais, nas quais há suspeita de roubo ou divulgações indevidas de informações negociais.
Parecido com Wireshark, de código aberto também, tem como objetivo extrair dados de aplicativos do tráfego da internet (por exemplo, pode extrair uma mensagem de e-mail do tráfego POP, IMAP ou SMTP). Os recursos incluem suporte para vários protocolos (como HTTP, SIP, IMAP, TCP, UDP), remontagem de TCP e capacidade de gerar dados para um banco MySQL ou SQLite, entre outros. É uma ferramenta de análise forense de rede; com ele pode-se reconstruir o conteúdo de aquisições realizadas “sniffando” os pacotes. Esse software é bem interessante, porém não temos o hábito de utilizá-lo. Apresenta interface mais fácil que o Wireshark.
Distribuição Linux que contém uma grande quantidade de ferramentas forenses digitais. Os recursos incluem interface gráfica fácil de usar, criação de relatórios semiautomáticos, análise forense de rede, recuperação de dados e muito mais. Esse é o sistema operacional dos peritos: é um ambiente completo, organizado para integrar software existentes, fornecendo uma interface gráfica amigável.
Os principais objetivos que o CAINE visa garantir são: ambiente interoperável que suporte a investigação digital durante as fases de recuperação, processamento, indexação e ferramentas de fácil utilização.
Dentre as diversas distribuições Linux existentes no mundo, o Kali é uma das mais avançadas. Ele foi desenvolvido para fins específicos, como testes de intrusão e auditoria de segurança, e conta com uma gama de ferramentas para hackers éticos.
Para finalizarmos, a cereja do bolo de hoje: o Autopsy, um dos mais completos instrumentos para computação forense.
Plataforma forense digital, interface gráfica para o Sleuth Kit® e para outras ferramentas forenses digitais.
Consideramos o software de usabilidade intuitiva e fácil instalação, os “next next next” guiam em todas as etapas. Como dizia um professor, “Não precisamos sofrer”: todos os resultados são encontrados em uma única árvore.
Um dos recursos mais interessantes do Autopsy é executar tarefas em segundo plano e em paralelo, usando vários núcleos e fornecendo os resultados assim que são encontrados, isso o torna muito rápido para processamento de evidências. Sabemos que para uma imagem forense ser processada completamente, pode levar horas e até dias, mas você saberá em minutos se suas palavras-chave foram encontradas na pasta pessoal do usuário.
Além de executar as tarefas em segundo plano, o próximo recurso é o que mais chama a atenção. A linha do tempo, no Autopsy, é a forma como é apresentado o resultado do processamento: uma ordem cronológica das ações num determinado dispositivo. De interface avançada, a visualização de eventos permitirá filtrar por hora, dia, mês, ano, tudo de forma rápida. Imagine você querendo ver quais foram as ações que um usuário fez no dia 10 de outubro de 2012 e depois no dia 20 de dezembro de 2018? Com essa ferramenta, você fará isso tudo de maneira rápida.
Além dessas características citadas, há outras bem interessantes:
- Filtragem de hash – sinalize e ignore arquivos com problemas.
- Pesquisa indexada – pesquise por palavras-chave para encontrar arquivos que mencionam termos relevantes.
- Artefatos da web – extraia histórico, favoritos e cookies do Firefox, Chrome e Internet Explorer.
- Estrutura de dados – recupere arquivos excluídos do espaço não alocado usando o PhotoRec.
- Multimídia – extraia EXIF de fotos e assista a vídeos.
- Indicadores de compromisso – digitalize um computador usando STIX.
A grande vantagem do Autopsy é que ele oferece os mesmos recursos principais das ferramentas forenses digitais (Cellebrite e FTK, por exemplo) e disponibiliza outros, gratuitamente, como análise da linha do tempo.
Para finalizar este artigo, deixaremos um bônus, porém falaremos mais sobre ele num post específico para processamento de imagens.
O ImageJ foi feito para ser um programa de arquitetura aberta que pode ser expandido via Java por meio de plugins e macros. Por ser Java, pode rodar em Microsoft Windows, Classic MacOS, Linux, e Sharp Zaurus PDA. O código fonte é de livre acesso e, por ser de domínio público, permite o desenvolvimento compartilhado por pessoas de todo o mundo.
Possibilita exibição, edição, análise e processamento, além da facilidade em salvar e imprimir imagens de 8, 16 e 32 bits. Com ele também é possível fazer leitura de vários formatos de imagem, como TIFF, GIF, JPEG, BMP, DICOM, FITS e “crus”. O programa suporta “pilhas” com uma série de imagens que compartilham uma única janela. Como o software tem vários segmentos, operações classificadas como demoradas, como a leitura de um arquivo de imagem, podem ser executadas em paralelo com outras operações.
Em razão de sua grande adaptabilidade — uma das pedras fundamentais de sua elaboração —, encontra-se atualmente na internet diversas variações sendo utilizadas para os mais variados propósitos, que adotam características únicas e muito úteis para profissionais e entusiastas do processamento de imagem. Entre algumas finalidades estão retirar ruídos e realizar medições de objetos em cena.
Conclusão
Fechando este artigo, apresentamos mais 8 ferramentas essenciais para o bom desempenho da computação forense, seja com perícias judiciais ou como assistente técnico, devem estar sempre prontas para serem utilizadas. Destacamos ainda que de nada adianta ter o recurso se não houver o conhecimento técnico para saber o que exatamente ela está fazendo, processando, analisando.
Conte com a expertise de peritos e assistentes técnicos especializados para proteger seus direitos e interesses
Se você precisa de ajuda para proteger sua empresa de ameaças cibernéticas ou se está envolvido em litígios ou investigações criminais que envolvem tecnologia, nós podemos ajudar. Oferecemos serviços de perícia em computação forense realizados por uma equipe de especialistas altamente qualificados e experientes em lidar com questões técnicas complexas.
Nossos serviços de perícia em computação forense incluem análise de dispositivos de armazenamento de dados, recuperação de dados, identificação de possíveis invasões em sistemas e redes, além de outras soluções personalizadas para atender às suas necessidades específicas. Nós utilizamos técnicas avançadas de análise e ferramentas especializadas para garantir a coleta e análise de dados íntegros e confiáveis.
Ao escolher nossos serviços de perícia em computação forense, você terá a garantia de que estará trabalhando com uma equipe altamente qualificada e comprometida em fornecer soluções personalizadas para as suas necessidades. Além disso, oferecemos um atendimento de excelência e um processo de trabalho transparente, e com profundo conhecimento nas melhores ferramentas forenses do mercado, com laudos e pareceres técnicos.
Entre em contato conosco para mais informações sobre nossos serviços e descubra como podemos ajudá-lo a proteger seus ativos digitais e resolver seus problemas de perícia em computação forense de forma rápida, eficiente e confiável.
4 respostas
Parabéns pelo artigo, facilitou minha vida.
Obrigado pelo feedback. Ficamos contentes em saber.