Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Capítulo 5: Exemplo de cenário aplicado

Publicado em: 1 de novembro de 2007

Este cenário ilustra o acesso não autorizado a informações confidenciais internas em uma instituição financeira americana – o Woodgrove Bank. O cenário é fictício, assim como as pessoas e as organizações nele mencionadas.

Ele foi criado para fornecer uma visão geral das ferramentas e tecnologias usadas para a coleta e o exame de dados. Em uma situação real de violação de segurança, você deve procurar a gerência, os consultores jurídicos ou as autoridades competentes para saber que técnicas investigativas deve usar. Além disso, embora os autores reconheçam que a geração de imagens de uma unidade suspeita é importante no trabalho investigativo, esse assunto está além do escopo deste guia e será apenas citado durante a fase de obtenção de dados do cenário.

Nesta página

Cenário
Avaliar a situação
Obter evidências de acesso a dados confidenciais
Coleta remota de evidências
Coleta local de evidências
Analisar as evidências coletadas
Relatar as evidências
Configuração do laboratório do cenário aplicado

Cenário

Chegou ao conhecimento de Ray Chow, o administrador de sistema corporativo do Woodgrove National Bank, que alguém estava se exibindo contando que sabia o salário de muitos funcionários do banco. Ray descobriu o nome do funcionário que alegava saber essas informações: Mike Danseglio. Mike trabalha no departamento de empréstimos e não deveria ter acesso a nenhum arquivo do RH (Recursos Humanos).

O Woodgrove National Bank tem uma diretiva relacionada ao uso apropriado de computadores do banco. Esta diretiva estabelece que não há nenhuma expectativa de privacidade ao usar computadores da empresa para qualquer finalidade, inclusive serviços de email e acesso a sites da Web. A diretiva também determina que nenhum programa seja carregado em nenhum computador sem a permissão por escrito do diretor de TI e que qualquer tentativa de driblar senhas ou obter acesso não autorizado a arquivos do banco será razão para demissão ou ação penal. Além disso, a diretiva permite que a equipe de TI instale dispositivos de monitoramento de rede, como sniffers (farejadores) ou outros dispositivos de captura de pacotes, para manter a segurança da rede ou investigar possíveis abusos.

Ray quer assegurar-se de que usará procedimentos de investigação computacional aceitos para investigar essa questão e informar suas descobertas. Ele acredita que as informações podem ter sido originalmente obtidas do servidor de arquivos de RH e planeja seguir o modelo de investigação computacional em quatro fases, conforme mostra a figura a seguir:

Modelo de investigação computacional

Figura 5.1. Visão geral do modelo de investigação computacional

Cc162849.important(pt-br,TechNet.10).gifImportante:

Consulte a seção "Configuração do laboratório do cenário aplicado" no final deste capítulo para obter informações sobre como emular este cenário e acompanhar usando as ferramentas.

Avaliar a situação

Ray se reúne com a gerência para avaliar a situação. A gerência indica que o acesso não autorizado e a distribuição de informações confidenciais de folha de pagamento são razões para demissão, mas que a empresa não processará um funcionário por tais ações.

A diretiva do Woodgrove National Bank estabelece que a gerência deve consultar o departamento jurídico interno para verificar as leis locais e determinar se alguma outra diretiva afeta as investigações sobre acesso indevido de funcionário a sistemas de computador restritos.

O departamento jurídico do Woodgrove National Bank concede permissão por escrito a Ray para examinar o conteúdo do computador de Mike Danseglio na empresa. A gerência e o departamento jurídico pedem para serem informados sobre o resultado da investigação. Pedem também que Ray faça um acompanhamento das etapas para proteger os dados confidenciais de modo mais eficiente no futuro caso ele descubra que ocorreu uma violação.

A primeira tarefa de Ray é identificar os computadores envolvidos na investigação e documentar a configuração de hardware de cada um. Uma vez concluída a tarefa, Ray desenha um diagrama lógico desses computadores, conforme mostra a figura a seguir.

Diagrama lógico dos computadores envolvidos

Figura 5.2. Diagrama lógico dos computadores envolvidos na investigação

Ray então considera as diferentes opções para prosseguir com a investigação. Como algumas das informações que ele necessita obter são dados voláteis, Ray decide começar a investigação computacional interna analisando os dados dinâmicos. Em seguida, ele cria uma imagem da unidade de Mike Danseglio e examina a evidência estática.

Ray cria uma unidade USB com as ferramentas apropriadas para uma investigação dinâmica. (A seção "Ferramentas" no Apêndice: Recursos deste guia descreve as ferramentas mencionadas neste capítulo.)

A próxima tarefa de Ray é duplicar o disco rígido da parte suspeita de forma a proteger e preservar as evidências caso ele localize informações que precisem ser relatadas às autoridades competentes.

Ray anota itens de potencial interesse, documenta o que é necessário para conseguir identificar e autenticar as evidências coletadas posteriormente na investigação e cria um log de auditoria das ações executadas durante a investigação.

Obter evidências de acesso a dados confidenciais

A gerência do Woodgrove National Bank autoriza Ray a examinar a estrutura de diretório no servidor de arquivos do RH (WNB-HQ-FS1) e os arquivos de folha de pagamento a fim de determinar se um indivíduo não autorizado leu os arquivos. Ray poderia ir para o computador de Mike Danseglio imediatamente e procurar as evidências ou começar pelo servidor e tentar localizar as evidências nos logs de auditoria. Ele também quer saber quais os direitos de usuário que Mike Danseglio tem em relação às pastas de RH.

Ray decide usar a abordagem em duas etapas a seguir para obter as evidências:

  1. Examinar o servidor de arquivos de RH para procurar evidências de acesso não autorizado a pastas e arquivos confidenciais. Esse exame pode ou não confirmar a suspeita da gerência de que Mike Danseglio acessou esses arquivos sem a devida autorização.

  2. Examinar o conteúdo da unidade de Mike Danseglio local e remotamente em busca de dados confidenciais. Ray planeja usar uma combinação de ferramentas nativas do Microsoft® Windows® (como Ipconfig, Systeminfo e Netstat) com ferramentas do Windows Sysinternals (como AccessChk, PsLoggedOn e PsFile).

Ray entrevista membros da equipe de RH e examina o servidor de arquivos. Ele observa que os arquivos de folha de pagamento são resumidos uma vez por mês em arquivos de planilha que são mantidos na pasta HR\Internal\Payroll. O grupo RH MGRS é o único que deve ter permissão de leitura e gravação para essa pasta, e Mike Danseglio não faz parte dele. Ray precisa determinar se é possível alguém acessar a pasta do Departamento de RH que contém as informações salariais dos funcionários do banco.

Ray exibe os logs de eventos do servidor de arquivos de RH. Antes ele configurou a auditoria na pasta HR\Internal para poder rastrear êxitos e falhas de acesso. Ray anota todas as etapas realizadas para abrir e exibir o log de eventos de Segurança.

Diversas entradas no log se destacam, como a mostrada na captura de tela a seguir. Algumas entradas indicam que a conta de usuário mdanseglio acessou o arquivo HR\Internal\Payroll\090806PR-A139.xls.

Log de eventos de Segurança

Figura 5.3. Entradas do log de eventos de Segurança que indicam que a conta de usuário mdanseglio acessou o arquivo 090806PR-A139.xls na pasta HR\Internal\Payroll

Primeiro, Ray cria as pastas \evidence e \tools na unidade USB. Para garantir a integridade dos arquivos de evidências que criar, Ray executará um hash criptográfico MD5 em qualquer arquivo que copiar do computador de Mike para a pasta de evidências.

Os hashes criptográficos MD5 são criados por meio da execução de um algoritmo em um arquivo para criar uma “impressão digital” exclusiva de 128 bits do conteúdo do arquivo. Se alguém vier a questionar a integridade dos dados coletados por Ray (por exemplo, insinuar que o arquivo pode ter sido editado posteriormente), Ray poderá fornecer o valor da soma de verificação MD5 original para comparação e validação.

Ray exporta o conjunto de logs para uma unidade USB chamada HR01. Ele usará essa mesma unidade USB para a coleta de evidências.

Cc162849.note(pt-br,TechNet.10).gif Observação:

A conexão de uma unidade USB a um computador baseado no Windows adiciona uma entrada no arquivo Setupapi.log e altera a seguinte chave do Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Storage\RemovableMedia

Ray decide determinar quais permissões estão atribuídas à pasta HR\Internal executando a ferramenta AccessChk do Windows Sysinternals no servidor. Essa ferramenta mostra quais permissões o usuário ou grupo especificado possui para arquivos, chaves do Registro ou serviços do Windows. Ray executa a ferramenta na unidade USB, que aparece como unidade F:, digitando o seguinte em um prompt de comando:

f:\tools>accesschk mdanseglio c:\hr\internal

Cc162849.note(pt-br,TechNet.10).gif Observação:

A ferramenta AccessChk do Sysinternals requer um processo de instalação e deixará uma impressão digital na unidade local na seguinte chave do Registro: HKEY_CURRENT_USER\Software\Sysinternals\AccessChk

Ray observa que a conta de usuário mdanseglio tem permissões de leitura e gravação para as subpastas \Benefits, \Payroll e \Reviews da pasta \HR\Internal, conforme mostra a captura de tela a seguir:

Resultados de AccessChk

Figura 5.4. Resultados de AccessChk que indicam que a conta de usuário mdanseglio tem permissões de leitura e gravação para as subpastas de HR\Internal

Ray suspeita que erros na configuração das permissões do servidor de RH permitiram que Mike Danseglio acessasse a pasta HR\Internal. Ray gasta alguns minutos investigando os direitos de usuário de Mike Danseglio e observa que ele é membro de um grupo chamado branch01mgrs. Esse grupo tem permissões de leitura e gravação para as pastas de HR\Internal.

Ray quer saber se Mike Danseglio está conectado no momento a algum servidor na rede. Ele usa a PsLoggedOn, uma ferramenta que exibe usuários conectados localmente ou através de recursos a um computador local ou remoto. Ray insere o cartão USB nesse computador e digita o seguinte no prompt de comando:

f:\tools>psloggedon mdanseglio

Os resultados, mostrados na captura de tela a seguir, indicam que Mike Danseglio está conectado a WNB-HQ-FS1 neste momento.

Resultados de Psloggedon

Figura 5.5. Resultados de Psloggedon indicando que a conta de usuário mdanseglio está conectada a WNB-HQ-FS1

Ray remove Mike Danseglio do grupo branch01mgrs e verificar novamente os direitos de usuário dele para a pasta HR\Internal.

Depois de examinar detalhadamente os logs de eventos de Segurança e os resultados de AccessChk à procura de outras possíveis configurações de permissão incorretas para a pasta HR\Internal, Ray começa a investigar o conteúdo do computador de Mike Danseglio usando técnicas remotas.

Coleta remota de evidências

Ray decide reunir informações remotamente do computador de Mike Danseglio antes de fazê-lo localmente e vai ao escritório durante o final de semana para fazer uma cópia forensicamente legítima do disco rígido de Mike. Em uma situação real, Ray deveria executar toda a investigação forense em uma imagem do disco rígido do computador da parte suspeita. Entretanto, este cenário ilustra o uso de ferramentas e técnicas para reunir evidências voláteis local e remotamente.

Ray usa uma unidade USB conectada ao seu computador que contém diversas ferramentas. A unidade USB armazenará todas as evidências por ele coletadas e um registro em arquivo de texto de todos os comandos que ele digitar.

Ray usa o procedimento básico a seguir, que lhe permite marcar a hora de início do exame, coletar as evidências no computador de Mike Danseglio pela rede, registrar todas as etapas investigatórias e criar um hash MD5 das evidências que coletar.

Cc162849.important(pt-br,TechNet.10).gifImportante:

Algumas ferramentas do Sysinternals, como PsExec, PsFile e PsLogList, estão bloqueadas pela configuração padrão do Firewall do Windows. Para acompanhar este exemplo aplicado e usar essas ferramentas para examinar quais informações podem ser reunidas pela rede, você precisa clicar na guia Exceções no Firewall do Windows e habilitar Compartilhamento de Arquivos e Impressoras. Entretanto, você NÃO precisa compartilhar nada.

Em computadores de destino que tenham o Firewall do Windows habilitado e o Compartilhamento de Arquivos e Impressoras desabilitado (a configuração padrão), as ferramentas Systeminfo, Ipconfig, Arp, Netstat, Schtasks, PsFile, PsList e PsLogList devem ser executadas diretamente no computador de destino. Nesse caso, execute cada uma dessas ferramentas diretamente no sistema de destino e canalize os resultados para o arquivo evidence2.txt criado na seção "Coleta local de evidências", mais adiante neste capítulo.

  1. Acessar a unidade USB.

    Ray acessa a unidade USB e a pasta \tools que contém as ferramentas de linha de comando, como PsExec e FCIV (File Checksum Integrity Validator).

    
                j:
                cd tools
              
    
  2. Anotar a data e hora de início do exame.

    Ray canaliza os resultados dos comandos de data e hora para registrar a hora de início da investigação em um novo arquivo chamado mdevidence.txt, criado na pasta \evidence da unidade USB. (Ray obterá a hora do sistema no computador de Mike Danseglio na etapa 3.) Além disso, Ray procura qualquer discrepância entre a data e hora do BIOS e a data e hora atual.

    
                date /t > j:\evidence\mdevidence.txt
                time /t >> j:\evidence\mdevidence.txt
              
    
  3. Obter informações básicas sobre o computador de destino.

    Ray executa uma série de comandos nativos do Windows para obter informações sobre o computador de Mike.

    
                j:
                cd tools
                psexec \\hqloan164 systeminfo >> j:\evidence\mdevidence.txt
                psexec \\hqloan164 ipconfig /all >> j:\evidence\mdevidence.txt
                psexec \\hqloan164 arp -a >> j:\evidence\mdevidence.txt
                psexec \\hqloan164 netstat -b >> j:\evidence\mdevidence.txt
                psexec \\hqloan164 schtasks >> j:\evidence\mdevidence.txt
              
    

    Cc162849.note(pt-br,TechNet.10).gif Observação:

    A PsExec reúne informações remotamente usando serviços que já estão no computador de destino, como Cmd e Ipconfig. Ela também pode ser usada para carregar serviços pela rede para serem executados no computador de destino. Ray não deseja instalar nenhum aplicativo no computador de Mike; apenas executa serviços para os quais o sistema operacional Windows XP no computador de Mike tem suporte.

  4. Executar ferramentas remotas que usam APIs (interfaces de programação de aplicativo) locais.

    Agora Ray executa várias ferramentas para determinar se outros computadores têm arquivos abertos no computador de Mike, descobrir quais processos estão sendo executados no computador e obter os logs de eventos de Segurança e do Sistema no computador.

    
                psfile \\hqloan164 >> j:\evidence\mdevidence.txt
                pslist -t \\hqloan164 >> j:\evidence\mdevidence.txt
                psloglist -s \\hqloan164 >> j:\evidence\mdevidence.txt
                psloglist -s sec \\hqloan164 >> j:\evidence\mdevidence.txt
             
    
    • A PsFile mostra arquivos abertos remotamente. Essa ferramenta usa APIs remotas do Windows e não precisa ser carregada no computador de destino.

    • A PsList mostra informações sobre ameaças e processos em execução em um computador. Essa ferramenta usa APIs remotas do Windows e não precisa ser carregada no computador de destino.

    • A PsLogList esvazia o conteúdo do log de eventos do computador por padrão; não é necessário nenhum parâmetro adicional. Ray executa este comando com o parâmetro sec para obter o log de eventos de Segurança.

  5. Criar um registro de todas as tarefas.

    O Windows rastreia automaticamente todos os comandos executados em um prompt de comando. Ray usa o comando Doskey para capturar esse registro e canaliza as informações do histórico para um arquivo chamado mdevidence-doskey.txt.

    doskey /h > j:\evidence\mdevidence-doskey.txt
    
  6. Executar uma soma de verificação MD5 nos arquivos de evidências.

    Ray usa a ferramenta FCIV para executar uma soma de verificação MD5 nos arquivos de evidências.

    fciv j:\evidence\mdevidence.txt >> j:\evidence\md5mdevidence.txt
    

Cc162849.note(pt-br,TechNet.10).gif Observação:

Exibir limitações pode fazer com que o comando precedente seja exibido em mais de uma linha. Ele deve ser inserido como uma única linha no prompt de comando.

A ferramenta FCIV computa e verifica valores de hashes criptográficos. Essa ferramenta está disponível no artigo 841290 da Base de Dados de Conhecimento Microsoft.

Ray deseja examinar remotamente as pastas no computador de Mike Danseglio. Para fazer isso, ele usa a PsExec para abrir um prompt de comando no computador de Mike. No prompt de comando, Ray digita os seguintes comandos:


        psexec \\hqloan164 cmd
        cd c:\documents and settings\mdanseglio\my documents
        dir /s
      

Embora todos os usuários sejam obrigados a manter os documentos no servidor de rede, Ray observa que Mike Danseglio possui uma pasta chamada Personal em seu computador. Essa pasta inclui uma planilha e uma subpasta denominada \xxxpixset.

Depois de examinar remotamente as pastas no computador de Mike, Ray está pronto para informar suas descobertas e investigar o computador de Mike localmente.

Jill Shrader, gerente do departamento de RH, liga para o celular de Ray e pergunta sobre o status da investigação. Ray explica que coletou as seguintes informações:

  • A conta de usuário de Mike Danseglio tinha permissões de leitura e gravação para a pasta \HR\Internal porque ele foi adicionado incorretamente ao grupo branch01mgrs, que tem permissões para essa pasta e suas subpastas.

  • O computador de Mike tem uma pasta Personal no disco rígido que contém pelo menos uma planilha.

  • O computador de Mike contém dois programas não autorizados que lhe permitem monitorar o tráfego de rede e verificar a rede à procura de serviços e computadores.

  • O computador de Mike tem uma grande coleção de arquivos de imagem no disco rígido que Ray suspeita serem imagens pornográficas.

Coleta local de evidências

O ideal é que as investigações computacionais sejam conduzidas em imagens do disco rígido. Neste exemplo, porém, Ray executa uma série de ferramentas diretamente no computador de Mike Danseglio. Essas ferramentas são executadas a partir de uma unidade USB e não requerem instalação no computador local. No entanto, como mencionado anteriormente neste capítulo, a inserção da unidade USB deixará uma impressão digital no Registro.

Cc162849.important(pt-br,TechNet.10).gifImportante:

Se o computador de Mike Danseglio tivesse o Firewall do Windows habilitado com o Compartilhamento de Arquivos e Impressoras desabilitado, Ray executaria as ferramentas Systeminfo, Ipconfig, Arp, Netstat, Schtasks, PsFile, PsList e PsLogList localmente no computador de Mike. Ray digitaria os comandos listados na seção "Coleta remota de evidências", mencionada anteriormente neste capítulo, mas removeria a referência a \\hqloan164 antes de canalizar os resultados para o arquivo evidence2.txt criado por ele nesta seção.

Ray planeja executar as seguintes tarefas no computador de Mike:

  • Pesquisar evidências de arquivos confidenciais na unidade.

  • Obter cópias de qualquer arquivo suspeito.

  • Examinar os arquivos.

Ray faz logon no computador de Mike usando a conta de Administrador para acessar a pasta pessoal de Mike. Depois de conectar a unidade USB utilizada na coleta de evidências ao computador de Mike, Ray usa o seguinte procedimento básico:

  1. Acessar a pasta Personal de Mike Danseglio.

    Ray acessa a pasta Personal de Mike Danseglio com os comandos a seguir.

    
                c:
                cd "documents and settings\mdanseglio\my documents\personal"
              
    
  2. Anotar a data e hora de início do exame.

    Ray canaliza os resultados dos comandos Date e Time para registrar a hora de início da investigação. Ele canaliza os resultados em um novo arquivo chamado mdevidence2.txt, criado na pasta \evidence da unidade USB.

    
                date /t > f:\evidence\mdevidence2.txt
                time /t >> f:\evidence\mdevidence2.txt
              
    

    Cc162849.note(pt-br,TechNet.10).gif Observação:

    A unidade USB está designada como unidade F: no computador de Mike.

  3. Obter informações sobre a estrutura de diretório.

    Ray usa o comando Dir para examinar o conteúdo da pasta Personal de Mike. Primeiro, ele canaliza os resultados para a tela para exibi-los e observa um arquivo de planilha e a pasta \xxxpixset. Em seguida, Ray canaliza os resultados do comando Dir para o arquivo de evidências usando três parâmetros diferentes: /tc para mostrar a hora da criação, /ta para mostrar a hora do último acesso e /tw para mostrar a hora da última gravação.

    
                dir /ta >> f:\evidence\mdevidence2.txt
                dir /tc >> f:\evidence\mdevidence2.txt
                dir /tw >> f:\evidence\mdevidence2.txt
              
    
  4. Acessar a unidade USB.

    Ray acessa a unidade USB e a pasta \tools que contém as ferramentas de linha de comando.

    
                f:
                cd tools
              
    
  5. Reunir informações do arquivo de Mike Danseglio.

    Ray usa o utilitário Du para examinar o conteúdo da pasta Meus Documentos de Mike Danseglio e qualquer subpasta. Ele usa o parâmetro –l 5 para pesquisar em uma profundidade de cinco pastas. Primeiro, Ray examina os resultados na tela (mostrados na captura de tela a seguir) antes de canalizar as evidências para o arquivo mdevidence2.txt.

    
                du –l 5
                du –l 5 >> f:\evidence\mdevidence2.txt
              
    

    Resultados de Du

    Figura 5.6. Resultados da execução do utilitário Du
  6. Copiar arquivos suspeitos para a pasta \evidence_files.

    Embora tenha criado uma imagem da unidade inteira de Mike Danseglio, Ray decide copiar os arquivos da pasta Personal de Mike Danseglio para uma nova pasta chamada evidence_files, que ele cria na unidade USB. Ele examinará a pasta e os arquivos durante o processo de análise.

    Cc162849.note(pt-br,TechNet.10).gif Observação:

    Ray obteve uma cópia do arquivo original durante o processo de geração de imagens. Ele poderá executar um hash no arquivo original encontrado na unidade dinâmica se quiser comparar esse arquivo à cópia do arquivo na unidade USB.

    Ray usa o comando Xcopy com os seguintes parâmetros: /s para copiar subpastas, /e para copiar subpastas mesmo se elas estiverem vazias, /k para reter o atributo somente leitura em arquivos de destino se estiverem presentes nos arquivos de origem e /v para verificar cada arquivo à medida que ele for gravado no arquivo de destino, garantindo que os arquivos de destino são idênticos aos de origem.

    
                f:
                md evidence_files
                c:
                cd \documents and settings\mdanseglio\my documents\personal
                xcopy *.* f:\evidence_files /s /e /k /v
              
    
  7. Examinar o conteúdo da Lixeira.

    Ray examina rapidamente o conteúdo da Lixeira no computador de Mike Danseglio, que contém vários arquivos excluídos, conforme mostra a figura a seguir. Ray sabe que o processo de geração de imagens da unidade obteve uma cópia desses arquivos, caso ele queira analisar os arquivos mais tarde. Depois de observar o conteúdo da Lixeira, Ray está pronto para analisar as evidências coletadas remota e localmente.

    Lixeira

    Figura 5.7. Vários arquivos de imagem localizados na Lixeira

Analisar as evidências coletadas

Ray tem dois arquivos de evidências: mdevidence.txt e mdevidence2.txt. Ele também tem uma cópia da pasta Personal de Mike Danseglio. Ray usa o procedimento a seguir em seu computador para analisar as informações contidas nesses arquivos.

  1. Analisar as informações do processo.

    Ray examina o arquivo mdevidence.txt. Os resultados de PsList são muito interessantes, porque indicam que Mike Danseglio está executando alguns aplicativos não autorizados, como Wireshark e nMapWin, conforme mostra a captura de tela a seguir.

    Ray sabe que é comum encontrar violações não relacionadas ao executar uma investigação em um computador suspeito. Ele também entende que nem todos os aplicativos serão facilmente reconhecidos (como os listados neste cenário) e que é possível que eles tenham sido instalados sem o conhecimento de Mike.

    Resultados de PsList

    Figura 5.8. Resultados da execução de Pslist no computador de Mike Danseglio
  2. Acessar a unidade USB.

    Ray acessa a unidade USB e a pasta \tools que contém as ferramentas de linha de comando.

    
                j:
                cd tools
              
    
  3. Procurar cadeias de caracteres suspeitas no arquivo de planilha.

    Ray procura pela cadeia de caracteres “confidencial” nas cópias dos arquivos provenientes da pasta Personal de Mike. Para fazer isso, ele usa o comando Find com o parâmetro /I (que ignora o uso de maiúsculas e minúsculas nos caracteres ao pesquisar na cadeia) e o parâmetro /c (que fornece o número de linhas que contêm a cadeia de caracteres).

    Primeiro, Ray canaliza os resultados para a tela. Parece que o arquivo 090806PR-A139.xls contém uma correspondência, conforme mostra a captura de tela a seguir. Por isso, Ray executa o comando uma segunda vez para canalizar os resultados para um arquivo chamado mdevidence-review.txt.

    
    
                j:
                cd \evidence_files
                find /i /c "confidential" *.*
                find /i /c "confidential" *.* > j:\evidence\mdevidence-review.txt
              
    

    Cc162849.note(pt-br,TechNet.10).gif Observação:

    Exibir limitações pode fazer com que o comando precedente seja exibido em mais de uma linha. Ele deve ser inserido como uma única linha no prompt de comando.

    Resultados de Find

    Figura 5.9. Resultados da pesquisa de “confidencial”, localizada em 090806PR-A139.XLS
  4. Ray primeiro copia 090806PR-A139.xls para a pasta \evidence_files e depois usa a ferramenta Strings para listar as cadeias de caracteres ASCII e Unicode contidas no arquivo de planilha.

    strings j:\evidence_files\090806PR-A139.xls
    

    Os resultados (mostrados na captura de tela a seguir) indicam que o arquivo de planilha contém informações de folha de pagamento. Ray executa a ferramenta Strings novamente e canaliza os resultados para o arquivo mdevidence-review.txt.

    strings j:\evidence_files\090806PR-A139.XLS >> j:\evidence\mdevidence-review.txt
    

    Cc162849.note(pt-br,TechNet.10).gif Observação:

    Exibir limitações pode fazer com que o comando precedente seja exibido em mais de uma linha. Ele deve ser inserido como uma única linha no prompt de comando.

    Resultados de Strings

    Figura 5.10. Resultados da execução do utilitário Strings no arquivo de planilha

    Ray tem certeza de que localizou uma cópia não autorizada de um arquivo de folha de pagamento do RH no computador de Mike Danseglio.

Relatar as evidências

Ray analisa e correlaciona as evidências e depois escreve um relatório resumindo suas descobertas. Um relatório de exemplo está disponível no material que acompanha este guia, mencionado na seção "Planilhas" do Apêndice: Recursos. Nesse relatório, Ray inclui recomendações para proteger os dados confidenciais contra futuras violações. Ele também verifica a integridade dos dados nos arquivos de evidências e os armazena de forma apropriada, gravando os arquivos e o relatório final em um CD.

O relatório de Ray inclui as seguintes informações:

  • Objetivo do relatório.. O objetivo do relatório é avisar à gerência do Woodgrove Bank sobre o incidente e determinar como os resultados da investigação podem ser usados para impedir futuras violações de segurança.

  • Autor do relatório.. Ray se identifica, informa seu cargo e afirma que executou responsabilidades de chefe técnico.

  • Resumo do incidente.. Esta seção lista as suspeitas iniciais e o impacto do incidente nos negócios.

  • Evidência.. Esta seção inclui a lista de processos em execução, o diretório pessoal encontrado no computador de Mike Danseglio, as imagens explícitas encontradas, a lista de aplicativos inaceitáveis que estavam sendo executados e o local de um arquivo confidencial que contém informações de folha de pagamento.

  • Análise. Esta seção inclui os resultados das investigações local e remota, que provam que imagens pornográficas foram baixadas, permissões foram incorretamente configuradas e um arquivo confidencial contendo informações de folha de pagamento foi acessado.

  • Conclusão. Esta seção resume o resultado da investigação e inclui recomendações para evitar incidentes semelhantes no futuro.

  • Documentos probatórios.. Esta seção inclui diagramas da rede e uma lista dos procedimentos de investigação computacional e tecnologias usados na investigação.

Depois de enviar seu relatório, Ray aguarda autorização para executar etapas investigatórias adicionais ou quaisquer outras ações que a gerência deseje que ele realize.

Cc162849.note(pt-br,TechNet.10).gif Observação:

Cada investigação pode ser diferente. Você deve usar ferramentas que sejam apropriadas para a tarefa exigida e que o ajudem a obter as informações que procura, mas é sempre bom reunir mais evidências do que o necessário.

Configuração do laboratório do cenário aplicado

Para emular este cenário aplicado em um ambiente de laboratório de teste, você precisará concluir as seguintes etapas:

  1. Implantar computadores e criar um domínio no serviço de diretório Active Directory®.

  2. Criar usuários e grupos no Active Directory.

  3. Criar pastas e arquivos em determinados computadores.

  4. Atribuir compartilhamento e permissões.

  5. Configurar a auditoria.

Implantar computadores e criar domínio

A tabela a seguir lista os computadores e sistemas operacionais que serão necessários:

Tabela 5.1. Computadores e sistemas operacionais usados no laboratório do cenário aplicado

Nome do computador

Sistema operacional

WNB-HQ-DC

Windows Server® 2003 R2

WNB-HQ-FS1

Windows Server 2003 R2

HQ-IT-PC10

Windows XP Professional SP2

HQLOAN164

Windows XP Professional SP2

Depois de instalar o sistema operacional em cada computador, execute Dcpromo em WNB-HQ-DC para instalar o Active Directory e o DNS.

Criar usuários e grupos

A tabela a seguir lista os grupos e usuários que precisam ser definidos no MMC (Console de Gerenciamento Microsoft) Usuários e Computadores do Active Directory.

Tabela 5.2. Grupos e usuários mencionados no laboratório do cenário aplicado

Grupos

Usuários

Administrador de sistema corporativo

Ray Chow

Admins. do Domínio

Ray Chow

HR MGRS

Jenny Gottfried, Roland Winkler, Jill Shrader

Branch01Mgrs

Mike Danseglio, Nuria Gonzalez

No servidor de arquivos WNB-HQ-FS1, o grupo Admins. do Domínio é adicionado como membro do grupo Administradores local.

Criar pastas e arquivos

A tabela a seguir lista nomes de dispositivo, estruturas de diretório e arquivos incluídos que serão necessários:

Tabela 5.3. Dispositivos, pastas e arquivos usados no laboratório do cenário aplicado

Dispositivo (computador ou cartão USB)

Pastas

Arquivos

WNB-HQ-FS1 (servidor de arquivos)

\HR\Internal\Benefits

\HR\Internal\Payroll

\HR\Internal\Review

\Tools

090806PR-A139.xls

(Esta pasta contém todas as ferramentas do SysInternal e a ferramenta FCIV, conforme listado na seção "Ferramentas" do Apêndice: Recursos.)

HQLOAN164 (computador de Mike Danseglio)

\Documents and Settings\mdanseglio\Meus Documentos\Personal

\Documents and Settings\mdanseglio\Meus Documentos\Personal\xxxpixset

090806PR-A139.xls

(Esta pasta contém vários arquivos .jpg que contêm xxx no nome de arquivo. Vários arquivos xxx*.* foram excluídos dessa pasta e se encontram na Lixeira.)

HQ-IT-PC10 (computador de Ray Chow)

\Tools

(Esta pasta contém todas as ferramentas do SysInternal e a ferramenta FCIV, conforme listado na seção "Ferramentas" do Apêndice: Recursos.)

Cartão USB (cartão USB de Ray Chow)

\Evidence

\Evidence_Files

\Tools

(Esta pasta contém todas as ferramentas do SysInternal e a ferramenta FCIV, conforme listado na seção "Ferramentas" do Apêndice: Recursos.)

Atribuir compartilhamento e permissões

A tabela a seguir lista as pastas de arquivos e as permissões de compartilhamento necessárias para o servidor de arquivos WNB-HQ-FS1:

Tabela 5.4. Pastas e permissões de compartilhamento no laboratório do cenário aplicado

Pasta

Permissões de compartilhamento

\HR

Branch01Mgrs (Controle Total, Alterar, Ler)

HR MGRS (Controle Total, Alterar, Ler)

\Tools

Não compartilhada; somente para uso local por usuários que tenham credenciais administrativas no servidor.

Configurar a auditoria

No controlador de domínio WNB-HQ-DC, a diretiva Auditoria de acesso a objeto está configurada para fazer a auditoria tanto de Success como de Failure. Essa configuração foi definida por meio do MMC Diretiva de Segurança de Domínio e do MMC Diretiva de Segurança de Controlador de Domínio.

No servidor de arquivos WNB-HQ-FS1, a auditoria está configurada para o grupo Usuários do Domínio na pasta \HR\Internal. Para alcançar essa configuração, clique com o botão direito do mouse na pasta e selecione Propriedades, Segurança, Avançada e depois Auditoria. Em seguida, insira o grupo Usuários de Domínio.


Neste artigo

Download

Obtenha o guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft