EnCase ao Resgate: As Bases Da Investigação Forense: Os Arquivos Cifrados E Sua Identificação Dentro De Uma Evidência

Uma grande interrogante para os investigadores forenses é saber interpretar quando uma evidência contém arquivos cifrados, mas é mais importante saber com qual ferramenta decifra-las e conhecer suas senhas. Hoje em dia é comum encontrar mídia de armazenamento digital e especialmente e-mails cifrados com o programa PGP, um programa muito seguro porque requer que um investigador conheça duas senhas para abrir os dados cifrados: uma senha pública (mais fácil de encontrar porque geralmente está guardada no computador onde achamos os dados) e uma senha privada (raramente encontrada).

A identificação da existência de arquivos cifrados dentro da evidência pode ser feita rapidamente a traves do software especializado EnCase Forensic. EnCase Forensic permite encontrar dentro da evidência a presença dos arquivos PUBRING.PKR e SECRING.SKR, arquivos que contêm respetivamente as chaves públicas e privadas. Ademais, permite achar arquivos com extensões .PGP ou .ASC, indicadores diretos de arquivos cifrados no dispositivo digital.

Outro desafio para os investigadores forenses é identificar diferentes tipos de arquivos cifrados. As pessoas mal-intencionadas dentro de uma organização acostumam guardar nestes arquivos qualquer informação que possa aponta-los. Lembro-me de um caso no qual um funcionário de uma prestigiosa organização de venda de imóveis na Colômbia conseguia vender muitos apartamentos, porém, fazia que os clientes depositassem o dinheiro em contas que não pertenciam à organização. Este funcionário conseguiu de maneira abusiva a base de dados da imobiliária e estava fazendo negócios em nome da empresa, mas para o seu próprio lucro. Ele estava envolvido com outras duas pessoas no delito e todos os implicados decidiram retirar-se da empresa simultaneamente, não sem antes roubar mais informação confidencial para continuar com a fraude. Tudo foi descoberto quando um dos compradores chamou para organização pedindo certa informação sobre seu apartamento logo após a retirada dos empregados. Isto disparou um sinal de alerta e os diretores da organização descobriram o desfalque.

Eles se comunicavam dentro da organização mediante mensageria instantânea e cifravam suas conversas em arquivos com a extensão .PLE. EnCase Forensic descobriu os arquivos, quando foram decifrados foram descobertas conversas nas quais os delinquentes mencionavam a necessidade de retirar mais informação da base de dados de clientes e da base de dados de imóveis que estavam em venda e a necessidade de ser precavidos com conversas por telefone porque poderiam ser interceptadas por terceiras partes.

Um Investigador Forense não deve subestimar nenhuma evidência por menor que seja. Se você é um usuário do EnCase Forensic, aconselho usar todas as ferramentas providenciadas pelo programa com a finalidade de evidenciar todo tipo de provas.

RELACIONADOS

Investigações Forenses: Sistema de Arquivos Resilientes (ReFS) em Windows

Como Obter Evidencia Em Ajustes De Discos

O Reto Forense Em Discos De Estado Sólido (SSD)

Grupo de LinkedIn: Usuários do EnCase - Português

EnCase ao Resgate

As Bases Da Investigação Forense: Os Arquivos Cifrados E Sua Identificação Dentro De Uma Evidência

No comments :

Post a Comment

We're Here to Help

Connect With Us

Tags

Popular

Archive