EnCase para Pequenas Organizações: Auditoria para Identificar os Artefatos da Internet nos Dispositivos dos Empregados



Navegar pela internet é uma prática rotineira seja para tarefas laborais, intercâmbio de informação ou recreativamente. Atualmente, as pequenas organizações devem estar atentas à atividade que geram seus empregados no momento que ingressam a sites para revisar que sejam sites autorizados ou adequados à organização. 

Os auditores destas organizações têm a possibilidade de identificar e fazer seguimento à atividade dos empregados nos sites que visitem durante horário laboral. Em organizações que delegam responsabilidades a empregados facultados (autoridade descentralizada), é comum que não se cumpram as políticas de segurança e que a navegação pela Internet esteja aberta a sites não autorizados. Alias do risco causado pela navegação a sites infectados, devemos pensar na possibilidade de que alguns empregados estejam cometendo delitos através da internet.


Por estas e outras razões, apresentaremos alguns exemplos de como os auditores podem através dos artefatos da internet supervisar o que é que os empregados consultam na web. Estes dados se processam através do EnCase Enterprise V7, uma ferramenta que permite buscar e pré- visualizar os sites que ficam armazenados no computador do empregado. Quando falamos de artefatos da internet, nos referimos aos cookies, arquivos temporais da internet, arquivos descarregados, pastas de favoritos, histórico da internet, cachê, pesquisas realizadas e outros dados que podem ser de grande valor para os auditores na hora de monitorar sua organização ou investigar um incidente.

Começaremos com uma revisão manual da pasta de cookies. Nesta pasta são armazenadas as configurações de sites previamente visitados. O caminho desta pasta no Windows XP é: Documents and Settings\<Nombre de Usuario>\Local Settings. Caso o computador revisado use Windows Vista, 7 ou 8.X, devemos revisar todos os arquivos com um nome que comece com “cookie:<nome do usuário>@” na pasta: Users\<Nome do Usuário>\AppData\Local\Microsoft\Windows\INetCache





Outra opção para efetuar pesquisas manuais é explorar a pasta de arquivos temporais da internet no caminho Documents and Settings\<Nome do Usuário>\Local Settings\Temporary Internet Files (em Windows Vista, 7 y 8.X a pasta é a mesma que a dos cookies).  Ali podemos encontrar armazenados todos os arquivos que fazem parte de um site visitado previamente (texto, imagens, links), guardados no disco para que não precisem ser descarregados cada vez que um site é visitado. 

No seguinte exemplo vemos um arquivo temporal da internet que mostra que um usuário estava consultando sites correspondentes a pesquisa “como hackear redes Wi-Fi”, adicionalmente, podemos estabelecer a data da pesquisa e outros dados importantes para uma auditoria:






A pesar da importância em conhecer a localização destas pastas, EnCase Enterprise V7 permite efetuar este procedimento de maneira automatizada através da função “Artefatos da Internet”. Esta função permite reunir todos os artefatos da internet de vários navegadores em uma só janela e de uma maneira mais organizada.





Através dos resultados automatizados podemos correlacionar a informação encontrada e verificar a existência de spam ou spyware, revisar os cookies para obter informação do usuário, verificar que os usuários não estejam visitando sites que não sejam aptos num ambiente profissional, etc. Na seguinte imagem podemos observar tanto nos cookies como no cachê que o empregado tem consultado páginas de bancos, o que faz ao empregado susceptível à captura de informação pessoal. Além deste exemplo que apresenta problemas para as contas pessoais dos empregados, também existem casos nos quais o usuário ingressa a bases de dados com informação confidencial da organização usando credenciais de outros empregados, informação que pode ser capturada e usada posteriormente para efetuar ações impróprias ou ilegais.




Para processar os artefatos da internet também podemos analisar o histórico da internet. O Histórico nos mostra todas as páginas visitadas por um usuário. A partir desta informação também podemos encontrar as pesquisas efetuadas pelos empregados através de buscadores.

Na seguinte imagem mostramos que o empregado efetuou uma pesquisa com a palavra “recordatórios", mas lembre-se que poderíamos encontrar pesquisas que não estejam de acordo às políticas da organização:




Os artefatos da internet permitem identificar durante uma auditoria como os empregados estão usando os recursos tecnológicos de uma pequena organização. Se bem é certo que a internet pode contribuir a agilizar processos, a ter mais oportunidades de vendas, a facilitar a comunicação com clientes e provedores, alguns empregados usam este recurso com objetivos que não se alinham aos da organização ou que inclusive poderiam prejudicá-la. 

Fazer um bom uso da Internet é uma responsabilidade compartilhada entre o empregado e os responsáveis pela tecnologia na organização. Através do EnCase Enterprise, os donos de empresas ou chefes de TI podem tomar medidas corretivas agilmente, fazer auditorias durante o horário laboral sem interromper a atividade dos empregados e promover o uso correto da Internet. 

RELACIONADOS



 





 

No comments :

Post a Comment