Por Thiago A. Salvatico para o Pplware Perícia Forense Digital é uma técnica que está a ganhar campo com o aumento do cyber-crime, no entanto ainda são poucos os especialistas na área, existe por isso um mercado a crescer nesta especialidade.
Esta técnica é fundamental no processo de condenação de suspeitos envolvidos em crimes, tanto pela Internet como no seu quotidiano. Levanta de maneira concisa uma gama de evidências que podem levar o indivíduo a pagar pelo seu crime. Para isso é necessário uma ferramenta que além de capturar informações importantes, esta ferramenta gera um relatório com os dados mais relevantes.
Esta é uma aplicação que trabalha como outras ferramentas “.pcap”, contudo o seu interpretador é muito interessante, conseguindo formar padrões de pesquisa e regras que facilitam a vida ao investigador forense digital.
Exemplificando o processo:
- “Um cliente solicita a pesquisa de dados que estão a circular na sua rede. No entanto, este solicita que pesquisem conversas de VoIP, além disso, ele quer ouvi-lo, sem alterar o ficheiro e aplicando processos de Cadeia de Custódia e sem Contaminação de dados”
Como actua o investigador neste cenário? Claro que existem milhões de ferramentas que trabalham com este tipo de ficheiros, ‘.pcap’, tendo em conta que esta é um ferramenta de investigação e não ferramenta de acessos indevido a dados, mas nem todos interpretam e apresentam relatórios forenses como esta ferramenta.
Seguem, ao longo do artigo, alguns vídeos que mostram técnicas com a ferramenta, apresentados pelos sues criadores.
Como no nosso exemplo, este processo pode iniciar inserindo a máquina do investigador na rede e, logo após, varre todos os pacotes que estão em transito na rede, onde há tráfego a passar pela sua placa. Após esta recolha, seja ela diária, semanal etc., tudo depende de como será feito este tipo de colecta, pois podem ser accionados alarmes de acordo com o ficheiro em rede, com a placa conectada na rede, com a porta “XYZ”, em utilização. Como disse, tudo depende da configuração a ser feita na ferramenta.
Após esta recolha e a interpretação da mesma, feita automaticamente pela ferramenta, é necessário somente seleccionar o pacote VoIP que foi identificado na rede e ouvi-lo.
Uma das maiores promessas desta ferramenta é a parceria com o Google Earth, que informa ao investigador o local exacto, como endereço físico, local de acesso e local de destino dos pacotes que estão em transito na rede. Esta prática de LOCATION é muito utilizada no EUA, para localização de restaurantes, bares, pessoas, endereços, transportes e agora IPs, pois, com um simples click, esta ferramenta informa o local de um determinado IP no mundo.
Esta ferramenta apresenta hardware e demais softwares complementares, mas o Netwitness Investigator é uma boa ferramenta para iniciarmos as nossa incursões Forenses na redes.
Mais adiante, mostrarei como aplicar Investigação Forense Digital em:
- Computadores apreendidos;
- Telemóveis;
- Pendrives e Cartões de Memória
- Uso da Internet do Suspeito