Dell™ Digital Forensics Guia da Solução
Notas, Avisos e Advertências NOTA: uma NOTA indica informações importantes que ajudam a usar melhor o computador. AVISO: um AVISO indica um potencial de danos ao hardware ou de perda de dados caso as instruções não sejam seguidas. ADVERTÊNCIA: uma ADVERTÊNCIA indica possibilidade de danos à propriedade ou risco de lesões corporais ou morte. ____________________ As informações deste documento estão sujeitas a alteração sem aviso prévio. © 2011 Dell Inc. Todos os direitos reservados.
Sumário 1 Introdução . . . . . . . . . . . . . . . . . . . . . . . . . Ciclo de vida do Dell Digital Forensics . . . . . . . . . . A Solução da Dell facilita os pontos problemáticos do setor . . . . . . . . . . . . . . . . . . . . . . . . 11 . . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . 12 No data center . . . . . . . . . . . . . . . . . . . Sobre este documento . . . . . . . . . . . . . . . . . . Documentação e recursos relacionados 2 Triagem 9 . .
Como executar a Triagem usando a solução Dell Digital Forensics . . . . . . . . . . . . Ligar seu laptop reforçado da Dell . . . . . . 20 . . . . . . . . . 20 Gravar um CD de inicialização para procedimentos de Aquisição padrão . Registrar um Coletor ou Disco de armazenamento . . . . . . . . . . . . . . . . . 21 . . . . . . . . . 21 . . . 23 . . . . . . . . . . 23 Limpar um Coletor ou Disco de armazenamento Configurar um perfil de Coletor . Implantar ferramentas de Triagem . . . . . . . . .
Como executar a Ingestão usando a solução Dell Digital Forensics . . . . . . . . . . . . . . . . . . 51 . . . . . . . . . . . 51 . . . . . . . . . . . . 53 Ingestão usando o SPEKTOR . Ingestão usando o EnCase . Ingerir usando o FTK 1.8 e 3.0 habilitados para data center . . . . . . . . . . . . . . . . . . . . . 57 . . . . . . . . . 60 . . . . . . . . . . . . . . . . . . . 63 . . . . . . . . . . . . . . . . . . . . . . . . 63 Ingerir usando o FTK 3 Lab Edition 4 Armazenamento .
Como configurar a segurança do armazenamento usando a solução Dell Digital Forensics e o Active Directory . . . . . . . . . . . . . . . . Como criar e preencher grupos no Active Directory . . . . . . . . . . . . . . 69 . . . . . . . . 69 Como aplicar políticas de segurança usando Objetos de diretiva de grupo . . . . . . . . . . . . 70 Como criar e editar GPOs . . . . . . . . . . . . . . 70 Como editar um novo GPO (Windows Server 2008) . . . . . . . . . . . . . . .
Análise com o uso do EnCase . Abrir um caso existente . . . . . . . . . . . . . 82 . . . . . . . . . . . . . . 82 Criar um trabalho de análise . . . . . . . . . . . . Executar como trabalho de análise . . . . . . . . 84 . . . . . . . 84 . . . . . . . . . . . . . . . . . . . . . 85 Como exibir os resultados da análise de assinatura . . . . . . . . . . . . . Apresentação Como criar relatórios usando a solução Dell Digital Forensics . . . . . . . . . . . . . . . . . . . . 85 86 . . . . . . .
Solução de problemas . . . . . . . . . . . . . . Dicas gerais de solução de problemas . . . . . . . . . . . . . . . . 95 EnCase: o EnCase é iniciado no modo de Aquisição . . . . . . . . . . . . . . . . . . . . 95 FTK 1.8: mensagem de limite de 5000 objetos\versão de avaliação . . . . . . . . . . 96 . . . . . . . 96 FTK 1.8: erro Cannot Access Temp File (Não é possível acessar arquivo temporário) exibido na inicialização . . . . . . . . . . . . Problemas como o Citrix . . . . 96 . . . . .
Introdução Triage Ingest Store Analyze Present Archive Nos últimos anos, tem havido um aumento exponencial do volume, velocidade, variedade e sofisticação da atividade digital realizada por criminosos e grupos terroristas ao redor do mundo. Hoje, a maioria dos crimes tem um componente digital. Alguns já usaram o termo tsunami digital. Esse crescimento foi aumentado pelos imensos avanços do hardware eletrônico.
Tabela 1-1. Qual é o tamanho de um Zettabyte? Kilobyte (KB) 1.000 bytes 2 KB uma página digitada Megabyte (MB) 1.000.000 bytes 5 MB as obras completas de Shakespeare Gigabyte (GB) 1.000.000.000 bytes 20 GB uma boa coletânea das obras de Beethoven Terabyte (TB) 1.000.000.000.000 bytes 10 TB uma biblioteca de pesquisa acadêmica Petabyte (PB) 1.000.000.000.000.000 bytes 20 PB produção anual de discos rígidos Exabyte (EB) 1.000.000.000.000.000.
Usando o hardware escalável e acessível para servidor empresarial e armazenamento da Dell e – dependendo de seu ambiente de software – sistemas de banco de dados Oracle no back-end, uma combinação de laptops reforçados da Dell e software SPEKTOR em campo e o serviço e suporte completos da Dell, os investigadores podem conduzir, com rapidez e simplicidade, a triagem e coleta de dados forenses digitais, assegurando a cadeia de custódia desde o campo até o data center, e no tribunal.
Ingestão A Ingestão é o estágio do processo forense digital em que se cria uma imagem dos dados de destino (a menos que a imagem tenha sido criada em campo, como parte do estágio de Triagem) e uma cópia exata do dispositivo de armazenamento suspeito é criada, de modo que a integridade da duplicata possa ser assegurada pela comparação dos hashes das unidades de dados original e duplicada. De acordo com as práticas existentes, a imagem dos dados suspeitos é criada na solução Dell Digital Forensics.
Apresentação Usando a solução Dell Digital Forensics, as equipes e os investigadores que cuidam da visualização podem acessar evidências potenciais do caso com segurança e em tempo real, o que atenua a necessidade de liberar evidências em DVDs ou de solicitar o deslocamento de especialistas até o laboratório para fins de acesso aos arquivos.
• Uma solução de ponta a ponta que reduz significativamente a complexidade do planejamento, da implementação e do gerenciamento de um processo forense digital de nível empresarial • Uma solução acessível e flexível, modular, escalável e expansível pela qual você paga à medida que utiliza Componentes da Solução Em campo A parte móvel da solução cabe em um estojo rígido projetado para caber no compartimento de bagagens acima das poltronas de um avião.
Figura 1-2.
• NTP Software On-Demand Data Management (ODDM) • Symantec Enterprise Vault • Symantec Backup Exec 2010 • Switches Dell PowerConnect • Switches Extreme Networks Os servidores blade e de rack Dell PowerEdge podem desempenhar diversos papéis: servidor de arquivos, servidor de evidências, servidor de arquivamento, servidor de banco de dados, servidores de licenças do EnCase e do FTK, servidor de backup ou controlador de domínio.
Figura 1-3.
Sobre este documento Este documento abrange cada estágio do processo forense digital em seu próprio capítulo, com capítulos adicionais sobre solução de problemas e hardware e software compatíveis com a Solução.
Triagem Ingest Store Analyze Present Archive O que é Triagem? A Triagem permite ao investigador forense digital navegar pelos dados contidos em dispositivos suspeitos e tomar decisões quanto a quais dispositivos realmente constituem evidência e são dignos de confisco para criação imediata de imagem no local (se os dados representarem um pequeno volume) ou para criação posterior da imagem no data center.
Fácil de usar Os componentes de Triagem da Solução já estão prontos para usar diretamente do estojo rígido. O software pré-instalado oferece uma interface intuitiva com tela sensível ao toque. Perfis de coleta reutilizáveis definidos pelo usuário para diferentes cenários podem ser criados para implantação padrão.
Como coletar evidência forense digital Figura 2-1. Fluxo de trabalho da coleta cena protegida O dispositivo está ligado? Existe pessoal treinado disponível? O dispositivo está em um ambiente em rede? não desligar o dispositivo. Processos destrutivos estão em execução? A evidência está visível na tela? não ligar o dispositivo.
Aquisição padrão x Aquisição ao vivo A solução Dell Digital Forensics oferece dois tipos de aquisição: Standard (Padrão) e Live (Ao vivo). Durante um procedimento de aquisição padrão, o laptop reforçado da Dell usa o disco de inicialização do SPEKTOR para capturar dados de triagem de um dispositivo de armazenamento de destino já desativado.
Figura 2-2. Tela Home (Início) Gravar um CD de inicialização para procedimentos de Aquisição padrão 1 Na tela Home (Início), toque ou clique em Admin. Em seguida, toque ou clique em Burn Boot CD. Figura 2-3. Botão Burn Boot CD (Gravar CD de inicialização) na tela Home (Início) 2 Siga as instruções na tela e, em seguida, clique em Finish.
Figura 2-4. Indicador de Coletor ou Disco de armazenamento desconhecido 2 Toque ou clique no ícone Status Indicator (Indicador de status) correspondente ao Coletor ou disco de armazenamento conectado ao laptop reforçado da Dell. O ícone do dispositivo que foi registrado ficará verde (no caso de um Coletor) ou laranja (para um disco de armazenamento). 3 O Unknown Device Menu será exibido. Figura 2-5.
Figura 2-6. Ícones de Coletor e disco de armazenamento sujos NOTA: os Coletores e discos de armazenamento, independentemente de terem sido recém-registrados ou usados previamente em outras coletas de dados, precisam ser limpos para que possam ser usados no destino. 6 Somente no caso de um disco de armazenamento, insira o número de série do disco de armazenamento. Limpar um Coletor ou Disco de armazenamento NOTA: reservar aproximadamente duas horas para cada 100 GB de volume do Coletor.
Configurar um Coletor permite ao usuário determinar uma série de tipos de arquivo específicos ou arquivos criados entre um conjunto de datas específico que o Coletor extrairá do dispositivo de armazenamento suspeito para triagem. Quanto mais você puder restringir os parâmetros de coleta, mais rapidamente os dados de destino podem ser adquiridos para exame. A Dell recomenda estabelecer um conjunto de perfis de configuração padrão encontrados repetidamente por você ou por sua entidade.
2 Se você tiver criado previamente um perfil de configuração que deseje usar, selecione o perfil e toque ou clique em Configure using selected profile para iniciar a configuração do Coletor. Caso contrário, toque ou clique em New para criar um novo perfil. NOTA: a Figura 2-9 mostra a tela Selecionado Profile (Perfil selecionado) na primeira vez que o software é usado, antes que quaisquer perfis tenham sido definidos e salvos.
Figura 2-10. Etapa 1 da Configuração de perfil: Tipo de aquisição 4 Determine as configurações de carimbo de data e hora para seu novo perfil. Quanto mais específico você puder ser, menos tempo levará para processar os arquivos capturados. Figura 2-11.
5 Clique na seta para a direita no canto superior direito da tela. 6 Na tela File Extension Filter, selecione os tipos de arquivo que deseja coletar. Use a seta para a direita para mover os tipos de arquivo selecionados e as extensões a eles associados da caixa de listagem Not Selected para Currently Selected. Figura 2-12.
NOTA: a menos que seja especificamente necessário, sugere-se deixar o Quick Mode (Modo rápido) desligado. 8 Na tela Quick Mode, selecione o número de megabytes (1 MB, 5 MB, 10 MB ou Entire File) da primeira parte dos arquivos que você deseja capturar. Coletando apenas a primeira parte de arquivos muito grandes (geralmente arquivos multimídia), você poderá examinar uma parte suficiente dos arquivos para determinar o assunto, ao mesmo tempo em que minimiza o tempo de processamento necessário.
Figura 2-14. Etapa 5 da Configuração de perfil: Arquivos de sistema 11 Clique na seta para a direita no canto superior direito da tela.
12 Na tela Deleted File Filter, determine se deseja ou não incluir arquivos ao vivo e excluídos, somente arquivos ao vivo ou somente arquivos excluídos na coleta. Se você não selecionar nenhuma dessas opções, não coletará nenhum arquivo. Figura 2-15. Etapa 6 da Configuração de perfil: Filtro de arquivos excluídos NOTA: provavelmente, somente os arquivos excluídos que ainda não tiverem sido sobregravados no dispositivo de destino serão coletados com êxito.
14 Na tela Profile Name, insira um nome para o novo perfil e, em seguida, toque ou clique em Save Profile. Figura 2-16. Etapa 7 da Configuração de perfil: Nome do perfil 15 Clique na seta para a direita no canto superior direito da tela. Seu novo perfil será exibido na tela Selected Profile. A tela Collector Configuration exibirá o título do perfil (neste caso, 14 days all files) e relacionará os detalhes do perfil na parte principal da janela.
Figura 2-17. Perfil selecionado após a criação do perfil 16 Toque ou clique em Configure using selected profile para iniciar a configuração do Coletor.
Figura 2-18. Perfil selecionado após a criação do perfil 17 Toque ou clique em OK para iniciar a configuração do Coletor. Esse processo levará apenas um ou dois minutos. Quando a configuração do Coletor for concluída, o Coletor estará pronto para ser implantado em um computador ou dispositivo de armazenamento de destino. Consulte "Implantar ferramentas de Triagem" na página 33. 18 Clique na seta para a direita no canto superior direito da tela.
Implantar um Coletor para aquisição padrão em um computador de destino ADVERTÊNCIA: é preciso alterar a ordem de inicialização do sistema no BIOS do sistema do computador de destino antes de tentar uma aquisição padrão. Se o computador de destino estiver definido para inicialização a partir do disco rígido em vez da unidade ótica com o disco de inicialização do SPEKTOR inserido, o conteúdo da unidade do computador de destino será alterado.
AVISO: não remova o disco de inicialização do SPEKTOR da unidade ótica até que o computador de destino tenha sido completamente desligado. 8 Quando o processo de coleta for concluído, pressione para desligar o computador de destino. 9 Remova o disco de inicialização do SPEKTOR da unidade ótica, desconecte o Coletor da porta USB do computador de destino e conecte-o em uma porta USB disponível no laptop reforçado da Dell.
5 Clique com o botão direito do mouse em spektor-live.exe e, em seguida, selecione Run as administrator na caixa suspensa. Se uma mensagem for exibida solicitando permissão para que o aplicativo seja executado como administrador, clique em Continue (Continuar). Figura 2-20. Executar como administrador 6 Insira as informações solicitadas na tela SPEKTOR Live Collection e, em seguida, clique em Run. 7 Quando solicitado, clique em Close.
Figura 2-21. Gerar relatórios 3 Clique em OK quanto o processo de geração de relatórios for concluído para retornar ao menu Reporting. NOTA: consulte o Manual do usuário do SPEKTOR para obter mais informações sobre a criação e a exportação de relatórios usando critérios específicos. Consulte "Documentação e recursos relacionados" na página 16.
38 Triagem
Ingestão Triage Store Analyze Present Archive O estágio de Ingestão da solução Dell Digital Forensics consiste na criação de uma imagem do dispositivo de armazenamento de destino (caso isso ainda não tenha sido feito durante o estágio de Triagem) e, em seguida, na transferência da imagem para um local centralizado onde possa ser acessada para análise.
Solução com um único servidor Na solução com um único servidor EnCase 6, vários clientes podem se conectar a um servidor. Todos os clientes são direcionados a esse servidor e não podem se conectar a nenhum outro servidor EnCase 6. No caso de falha de um servidor, todas as conexões de clientes serão perdidas.
Figura 3-1. Esquema de cliente/servidor EnCase 6 habilitado para data center EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 No caso de falha de um servidor, o usuário precisaria clicar novamente no ícone do aplicativo EnCase na área de trabalho, e o sistema redirecionaria a conexão do usuário para o próximo servidor disponível que esteja hospedando o EnCase 6. Cada servidor EnCase pode oferecer suporte a x sessões de usuário, onde x = (número de núcleos x 2).
FTK 1.8 habilitado para data center Na solução FTK 1.8 habilitada para data center, o aplicativo FTK 1.8 é hospedado em um ou mais dispositivos de servidor da Dell no data center, proporcionando sessões multiusuário do FTK 1.8 (uma única sessão de usuário por servidor). Sessão única do FTK 1.8 por desktop Na solução do FTK 1.8 com um único servidor, vários clientes podem se conectar a um único servidor.
Figura 3-2. Esquema com vários clientes e servidores FTK 1.8 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 No caso de falha de um servidor, o usuário perderia o acesso à sessão de servidor correspondente do FTK 1.8. Nesse caso, o usuário precisaria continuar funcionando usando os outros servidores FTK. Todas as informações de casos e evidências ficam disponíveis em todas as sessões de servidor do FTK 1.
Solução de um único servidor FTK 3 Na solução de um único servidor FTK 3, um único cliente FTK 3 pode se conectar a um único servidor. O cliente é direcionado a esse servidor e não pode se conectar a nenhum outro servidor FTK 3. No caso de falha de um servidor, a conexão do cliente será perdida.
Figura 3-3. Esquema de cliente e servidor FTK 3 habilitado para data center EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 Usando o FTK Standard Edition, cada servidor precisa executar uma versão local do banco de dados Oracle incorporado ao FTK (uma versão do banco de dados Oracle por usuário simultâneo). Essa versão do aplicativo FTK e do banco de dados Oracle não oferece suporte à colaboração entre outros usuários do FTK nem outros bancos de dados Oracle do FTK.
Cada servidor FTK 3 pode oferecer suporte a uma sessão de usuário de cada vez. Cada sessão de usuário requer 64 GB de RAM de servidor (48 GB para o Oracle e 16 GB para o FTK), e 1000+ E/S por segundo para o armazenamento de arquivos, além de 600+ E/S por segundo para o banco de dados (configuração mínima). FTK 3 Lab Edition Na configuração do FTK 3 Lab Edition, o usuário se conectará a um servidor que hospeda o AccessData Lab e o banco de dados de caso centralizado.
Vários aplicativos forenses fornecidos a uma área de trabalho Na solução com vários fornecedores e aplicativos, todas as soluções de aplicativos individuais descritas anteriormente são combinadas para fornecer ao analista forense acesso a todos os aplicativos forenses (EnCase 6, FTK 1.8 e FTK 3, ou FTK 3 Lab Edition) a partir de uma única área de trabalho, em um único painel.
Recomendações sobre a configuração da rede Tabela 3-1. Estrutura de endereços IP recomendada Endereço IP Função do servidor Nome do servidor 192.168.1.1 Controlador de domínio 1 DF-DC1 192.168.1.2 Controlador de domínio 2 DF-DC2 192.168.1.3 Servidor de evidência DF-Evidência 192.168.1.4 Servidor de espaço de trabalho DF-Espaço de trabalho 192.168.1.5 Servidor Oracle FTK 10.1.0.0/24 Intervalo de endereços IP estáticos de 1 GB 10.1.1.0/24 Intervalo de endereços IP estáticos de 10 GB 10.1.2.
Tabela 3-3. Convenções de nomenclatura recomendadas para equipe de NIC Equipe de NIC 1 Rede pública Para servidores conectados uns aos outros iSCSI Equipe de NIC 2 Para servidores conectados a dispositivos de armazenamento EqualLogic Tabela 3-4. Estrutura de mapeamento de letras de unidades recomendada Nome de chamada Unidade Local RAID Notas ou SAN Unidade local CD-ROM C: Local D: Local RAID1 (2 discos SAS de 15.
Nome de chamada Unidade Local ou SAN RAID Evidência 8 T: SAN RAID50 Evidência 9 U: SAN RAID50 Espaço de trabalho 1 V: SAN RAID50 Espaço de trabalho 2 W: SAN RAID50 Espaço de trabalho 3 X: SAN RAID50 Espaço de trabalho 4 Y: SAN RAID50 Espaço de trabalho 5 Z: SAN RAID50 Figura 3-5. Notas Estrutura de arquivos recomendada Dell Forensics Domain XXXXX.&&& XXXXX.&&& XXXXX.&&& Export Encase6 V:\ CASE0001 XXXXX.&&& Temp Index XXXXX.&&& Workspace Share FTK3 \\Workspace\Share XXX
Como executar a Ingestão usando a solução Dell Digital Forensics Ingestão usando o SPEKTOR Registrar e limpar um dispositivo USB externo como disco de armazenamento 1 Conecte o dispositivo USB externo não registrado na porta do Coletor no laptop reforçado. 2 Clique ou toque no ícone do dispositivo quando for exibido e, em seguida, clique ou toque em Register the Device as a Store Disk→ Yes. Em seguida, insira as informações solicitadas.
Se estiver implantando localmente em um dispositivo de armazenamento de destino: a b c d e Toque ou clique em Target armazenamento Device (Dispositivo de armazenamento de destino). Conecte o dispositivo de armazenamento de destino na porta USB somente leitura ou na porta FireWire do lado direito do laptop reforçado. Selecione a unidade ou as partições cuja imagem deseja criar e, em seguida, clique na seta para a direita no canto superior direito da tela.
f Toque ou clique em Image Now→ Yes para iniciar o processo de criação de imagem. g Quando o processo de criação de imagem for concluído, toque ou clique em OK. h Desconecte o dispositivo de armazenamento de destino e o disco de armazenamento do laptop reforçado e, em seguida, retorne o disco de armazenamento para o data center para armazenamento e análise. NOTA: transferir uma imagem pode demorar muito tempo. Seis horas para a transferência de uma disco rígido típico de 60 GB é o comum.
a Clique em New e, em seguida, insira as informações solicitadas. b Na unidade W:\ (área de trabalho), crie pastas usando a seguinte estrutura: • W:\[NomedoCaso]\EnCase6\Export • W:\[NomedoCaso]\EnCase6\Temp • W:\[NomedoCaso]\EnCase6\Index c Clique em Finish. d Clique em Yes para cada solicitação para criar a pasta. e Na tela EnCase Acquisition, clique em na opção de menu Add Device. f Assegure-se de que a caixa de seleção Sessions esteja marcada.
Como trabalhar com os Bloqueadores de gravação da Tableau AVISO: não remova um disco rígido de uma ponte forense enquanto a eletricidade estiver ligada. AVISO: não use extensores de cabo USB com uma ponte forense. Como conectar o Bloqueador de gravação da Tableau a um disco rígido SATA 1 Assegure-se de que a entrada DC IN B da ponte T35es Forensic SATA/IDE esteja na posição B On. 2 Conecte a fonte de alimentação TP2 ou TP3 ao lado esquerdo da ponte T35es SATA usando o conector Mini-DIN de 5 pinos.
Como conectar o Bloqueador de gravação da Tableau a um disco rígido IDE 1 Assegure-se de que a entrada DC IN B da ponte T35es Forensic SATA/IDE esteja na posição B On. 2 Conecte a fonte de alimentação TP2 ou TP3 ao lado esquerdo da ponte T35es SATA/IDE usando o conector Mini-DIN de 5 pinos. NOTA: o plugue DIN de 7 pinos na fonte de alimentação TP3 não funciona com as pontes da Tableau.
Ingerir usando o FTK 1.8 e 3.0 habilitados para data center Na solução Dell Digital Forensics, o licenciamento do FTK é feito com o uso de um sistema de licenciamento pela rede. Normalmente, o Servidor de licenciamento pela rede do FTK é instalado em um dos servidores do data center e um dongle do FTK que contém várias licenças de usuário é conectado nesse servidor. Os clientes do FTK são configurados para acessar esse servidor para o licenciamento, sem a necessidade de dongles locais.
7 Clique em Start. A janela pop-up Creating Image . . . (Criando imagem) é exibida com uma barra de progresso da operação. NOTA: o processo de criação de imagem pode levar horas, dependendo do volume de dados que está sendo adicionado. 8 Se você tiver optado anteriormente por exibir um resumo dos resultados de imagem, a janela Drive/Image Verify Results será exibida quando o processo de criação de imagem for concluído. Examine os resultados e, em seguida, clique em Close.
• Store Thumbnails • Decrypt EFS Files • File Listing Database • HTML File Listing • Data Carve • Registry Reports 5 Clique em Next. 6 Na janela Refine Case, inclua ou exclua do caso os diferentes tipos de dados. As opções pré-configuradas incluem cinco requisitos comuns: • Include All Items • Optimal Settings • Email Emphasis • Text Emphasis • Graphics Emphasis 7 Clique em Next. 8 Na janela Refine Index, inclua ou exclua do processo de indexação os diferentes tipos de dados.
a A janela pop-up Select Local Drive será exibida. Selecione a unidade local a ser adicionada e, em seguida, selecione Logical Analysis ou Physical Analysis. Clique em OK. b Na janela Evidence Information, insira as informações solicitadas e, em seguida, clique em OK. Se tiver selecionado Contents of a Folder or Individual File selecione a pasta ou o arquivo que deseja adicionar ao caso e, em seguida, clique em Open. 4 Clique em Next. 5 Na janela New Case Setup is Now Complete, examine suas seleções.
Adicionar evidência a um caso 1 Na janela Manage Evidence, clique em Add. Em seguida, clique no botão de opção ao lado do tipo de evidência que você deseja adicionar: Acquired Image(s), All Images in Directory, Contents of a Directory, Individual File(s), Physical Drive ou Logical Drive. Em seguida, clique em OK. 2 Navegue até o diretório Evidence e selecione seu arquivo de evidência. Em seguida, clique em Open. 3 Escolha um fuso horário (obrigatório). 4 Clique em OK.
62 Ingestão
Armazenamento Triage Ingest Analyze Present Archive A abordagem tradicional ao armazenamento de evidências digitais começa com o trabalho independente dos investigadores em estações de trabalho individuais em uma configuração com vários silos. O arquivo de evidência é armazenado, com maior ou menor proteção, na estação de trabalho ou transferido diariamente de um servidor de armazenamento para a estação de trabalho, sobrecarregando a rede com a transferência contínua de arquivos muito grandes.
Quando os arquivos de evidências são mantidos no servidor em vez de ficarem na estação de trabalho, a análise fica livre para usar a estação de trabalho para iniciar e monitorar vários trabalhos em vez de ficar restrita ao tentar processar um único trabalho. Além disso, as análises podem ser concluídas ainda mais rapidamente porque vários analistas e especialistas em consultoria, como especialistas em línguas estrangeiras, podem trabalhar no mesmo arquivo *.
Camada de acesso físico Seus arquivos de servidor de evidência forense digital devem ser abrigados mais seguramente do que quaisquer outros arquivos em sua organização, o que inclui arquivos de Recursos Humanos. Considere as seguintes sugestões: • Coloque os servidores de exame e de armazenamento de dados dentro de um espaço laboratorial dedicado.
Camada de segurança baseada em computador e Active Directory O Active Directory também oferece o Kerberos, um protocolo de autenticação de rede que permite que nós de comunicação em redes não protegidas comprovem sua identidade uns aos outros de maneira segura.
Figura 4-1. Uso do armazenamento em camadas para arquivamento e recuperação A Figura 4-1 mostra o caminho sugerido para armazenamento de evidências digitais desde o momento em que a evidência é coletada até seu armazenamento em fita por períodos prolongados ou sua exclusão final.
Espera do julgamento (Arquivamento) – Depois que todas as evidências potenciais tiverem sido reunidas e o aso estiver em andamento, normalmente não existe necessidade de manter os dados do caso e as imagens da evidência no armazenamento online, onde possa ser acessado instantaneamente. Em casos normais, o laboratório conseguirá estar atento à necessidade de recuperação do caso, o que pode ser feito proativamente se um evento de encaminhamento conhecido criar a necessidade dos dados do caso.
Como configurar a segurança do armazenamento usando a solução Dell Digital Forensics e o Active Directory Como criar e preencher grupos no Active Directory Grupos são estabelecidos pelos Serviços de domínio Active Directory (Windows Server 2008). Como criar um novo grupo (Windows Server 2008) 1 Clique em Start→ Administrative Tools→ Active Directory Administrative Center (Iniciar - Ferramentas administrativas - Centro administrativo do Active Directory).
Como aplicar políticas de segurança usando Objetos de diretiva de grupo Depois de criar um grupo, você pode aplicar coletivamente configurações de segurança e outros atributos aos membros de um grupo criando e configurando um Objeto de diretiva de grupo (GPO). Fazer isso facilita a manutenção dos usuários e recursos à medida que a organização forense digital evolui.
Configurações sugeridas de senhas de alta segurança Os valores a seguir são sugeridos para a definição de configurações de senha: • Enforce password history (Impor histórico de senhas) - O número de senhas diferentes que precisa ser usado antes que uma senha possa ser reutilizada. Definido como 24. • Maximum password age (Idade máxima da senha) - As senhas precisam ser alteradas a cada x dias. Definido como 90.
Contas de usuário do Active Directory Como estabelecer contas de usuário para análise forense 1 Abra Active Directory Users and Computers (Usuários e computadores do Active Directory): a Clique em Start→ Control Panel (Iniciar - Painel de controle) b Clique duas vezes em Administrative Tools (Ferramentas administrativas) e, em seguida, clique duas vezes em Active Directory Users and Computers (Usuários e computadores do Active Directory).
Estabelecer uma conta de gerenciador de serviço do FTK NOTA: durante o curso da instalação do FTK, você será indagado sobre o nome da conta de usuário que planeja usar para gerenciar o recurso Distributed Processing (Processamento distribuído). Não o use. Se você estiver usando o recurso de processamento distribuído do FTK como uma de suas ferramentas forenses, deverá criar uma conta de Gerenciador de serviço do FTK no Active Directory para lidar com a atualização automática das senhas.
Criar uma conta de usuário não administrativo 1 Faça logon com uma conta de usuário administrativo em um computador que esteja executando o Windows Vista. 2 Abra o menu Start (Iniciar). Clique com o botão direito do mouse em Computer e, em seguida, clique em Manage (Gerenciar). 3 Clique na seta ao lado de Local Users and Groups (Usuários e grupos locais). 4 Clique com o botão direito do mouse em Users (Usuários) e, em seguida, clique em New User (Novo usuário).
Como configurar a segurança de casos individuais e arquivos de evidências 1 No Windows Explorer, navegue até o arquivo cujas permissões deseja definir. Clique com o botão direito do mouse no arquivo e, em seguida, selecione Properties (Propriedades). 2 Clique na guia Security (Segurança). 3 Desmarque a caixa de seleção ao lado de Everyone (Todos), se necessário. 4 Adicione somente os usuários que precisarão de acesso ao arquivo, conforme determinado pela política de seu local de trabalho.
76 Armazenamento
Análise Triage Ingest Store Present Archive Existem vários tipos diferentes de análise dos dados de evidências que o investigador precisa ser capaz de conduzir, inclusive análise de assinatura de arquivos e de hash, e extensa indexação e pesquisas de palavras-chave.
Análise de assinatura de arquivo Cada arquivo tem um tipo, geralmente indicado pela extensão de três ou quatro letras do nome do arquivo. Por exemplo, um arquivo de texto pode ter a extensão *.txt e um arquivo de imagem pode ter a extensão *.jpg. Não é incomum que essas extensões de arquivo tenham sido alteradas para algo aparentemente inofensivo – um arquivo de imagem, por exemplo, pode ter sido renomeado com uma extensão de arquivo de texto na tentativa de mascarar seu conteúdo pornográfico.
Considere o seguinte, que lhe dará uma ideia aproximada das vantagens do uso de uma instalação com processamento distribuído pela Solução da Dell: a conclusão de uma análise de cinco arquivos de 200 GB pode levar apenas 3,5 horas, enquanto o processamento de um único arquivo de 200 GB em uma estação de trabalho independente pode levar cerca de 7-8 horas para ser concluído. Mover o processamento dos dados de evidência da estação de trabalho do analista para o servidor não é tudo.
2 Insira o caminho até a pasta do caso na caixa de diálogo Create New Case no formato UNC: (\\[nomedocomputador_ou_endereço_IP]\[nomedocamin ho]\[nomedoarquivo]) 3 Clique em Detailed Options e selecione as opções que usaria normalmente. 4 Clique em OK para retornar à caixa de diálogo New Case Options e insira uma marca de verificação ao lado da opção Open the case. Clique em OK para criar o novo caso e abri-lo.
Como verificar a instalação Quanto tiver concluído a instalação, abra o Task Manager no computador remoto e mantenha-o aberto enquanto adiciona a evidência e dá início ao processamento. Essas etapas permitirão que você observe a atividade de ProcessingEngine.exe na guia Processes (Processos). O Mecanismo de processamento distribuído não é ativado até que um caso exceda aproximadamente 30.000 itens.
Análise usando o FTK Abrir um caso existente Como usar o menu File (Arquivo) 1 No FTK, selecione File e, em seguida, selecione Open Case. 2 Realce o caso que deseja abrir e clique nele pra iniciar o caso. NOTA: O nome de todos os arquivos de caso é case.ftk. O arquivo case.ftk de cada caso é armazenado na pasta do caso aplicável. Na Linha de comando Na linha de comando, digite: caminho_para_o_arquivo_de_programa_do_ftk\ftk.
Criar um trabalho de análise 1 Clique na guia Analysis Jobs (Trabalhos de análise) na caixa de diálogo Source Processor (Processador de origem). 2 Clique em New. A caixa de diálogo Create Analysis Job/Job Name é exibida. O nome padrão do trabalho é Job__[aaaa_mm_dd__hh_mm_ss] como, por exemplo: Job___2009_06_24__03_42_42_PM. O nome de um trabalho não pode conter espaços no começo ou no fim nem qualquer dos seguintes caracteres: \ / : * ? " < > | 3 Insira o nome de um trabalho e clique em Next.
2 Clique em Run Analysis. A caixa de diálogo Select Analysis to Run é aberta. 3 Selecione o trabalho de análise e, em seguida, clique em Run. O Processador de origem executa a análise na evidência selecionada. Quando a análise é concluída, o navegador de dados é exibido. Como executar uma análise de assinatura 1 Clique em Search. 2 Marque a caixa Verify file signatures (Verificar assinaturas de arquivo) na área Additional Options (Opções adicionais) no canto inferior direito e, em seguida, clique em Start.
Apresentação Triage Ingest Store Analyze Archive Elaborar relatórios dos resultados de sua análise é uma parte integral da solução Dell Digital Forensics, executada principalmente pelo software forense que você estiver usando como parte da Solução. Como criar relatórios usando a solução Dell Digital Forensics Criar e exportar relatórios usando o EnCase 6 1 Selecione os itens sobre os quais elaborar o relatório, sejam eles arquivos, marcadores, resultados de pesquisas ou outros dados.
d Se desejado, selecione Burn to Disc para ativar a caixa Destination Folder e, em seguida, clique com o botão direito do mouse em Archive Files para criar uma nova pasta e salvar um arquivo .iso no disco. e Clique em OK. Relatórios usando o FTK 1 Clique em File→ Report para iniciar o Report Wizard. 2 Insira as informações básicas do caso solicitadas pelo assistente. 3 Selecione as propriedades dos marcadores. 4 Determine se e como deseja exibir os gráficos do caso em seu relatório.
Arquivamento Triage Ingest Store Analyze Present Nenhuma solução forense digital estaria completa sem um componente escalável, seguro e abrangente de arquivamento e recuperação. Sua solução Dell Digital Forensics oferece isso e muito mais. Na estrutura da Solução da Dell, tentamos criar uma interface simples que funciona com todos os aplicativos forenses para controlar o ciclo dos arquivos de evidência e de casos.
Figura 7-1. Recursos de pesquisa entre diferentes mídias e diferentes casos da Solução Dell Um componente de pesquisa opcional muito poderoso permite a correlação de informações entre conjuntos de dados ingeridos. Esse componente oferece a capacidade de conduzir pesquisas semelhantes às da Internet em todo o armazenamento de dados do caso, tanto de conteúdo ativo e online quanto de material arquivado de casos anteriores.
Quando o processo em segundo plano tiver sido concluído, o ícone atribuído ao arquivo mudará para a cor cinza para identificar claramente ao usuário que o arquivo foi arquivado, mas a pasta e a estrutura de arquivos ainda ficarão visíveis, para que o usuário possa localizar o arquivo novamente no futuro com facilidade para fins de restauração.
• Banco de dados – Este tipo de arquivo é usado somente no FTK 3 (no momento), mas contém todos os vínculos entre os arquivos de caso e os arquivos de evidência, bem como todos os marcadores e notas da investigação. O backup dos tipos de arquivo de banco de dados precisa ser feito diariamente. A Figura 7-2 mostra a melhor prática sugerida para o backup de um laboratório forense digital.
Dois tipos de backup podem ser executados: na rede ou como um backup fora do host. • Em uma configuração na rede, todos os dados de backup são transmitidos pela rede para o servidor de backup por meio de um agente de backup que reside no servidor. • Em uma solução de backup fora do host, alguns dos servidores com os maiores armazenamentos de arquivos não fazem o backup de seus dados pela rede.
A figura a seguir mostra os agentes necessários por servidor para facilitar o backup: Figura 7-3.
Como arquivar usando a solução Dell Digital Forensics Arquivamento sob demanda O NTP Software ODDM e o NTP Software Right-Click Data Movement (RCDM) funcionam em conjunção com o Enterprise Vault para atenuar a necessidade de verificações de todo o sistema, como no caso do arquivamento convencional, por meio da implementação do arquivamento sob demanda. Os custos de armazenamento são reduzidos e a qualidade de arquivamento é aprimorada.
Como arquivar usando o NTP Software ODDM Arquivamento determinado pelo usuário 1 Quando o analista armazena arquivos de dados, o NTP Software QFS alerta o usuário quando à necessidade de arquivamento dos arquivos. 2 O analista seleciona os arquivos a serem arquivados usando o NTP Software Storage Investigator e, em seguida, clica em Archive. No entanto, se os suplementos do NTP RCDM estiverem instalados, ele poderá clicar com o botão direito nos arquivos.
Solução de problemas Triage Ingest Store Analyze Present Archive Dicas gerais de solução de problemas • Certifique-se de que todos os clientes e servidores estejam visíveis uns aos outros – que sejam capazes de executar ping uns dos outros, tanto pelo nome de NetBIOS quanto pelo endereço IP. • Certifique-se de que os firewalls permitam o tráfego.
FTK Lab: navegador iniciado pelo cliente não pode exibir a interface de usuário 1 Certifique-se de que o cliente tenha o MS Silverlight instalado. 2 Assegure-se de que os serviços Oracle tenham sido iniciados no servidor que hospeda o banco de dados Oracle. FTK 1.8: mensagem de limite de 5000 objetos\versão de avaliação Se você receber esta mensagem, o FTK não tem uma licença. Assegure-se de que o servidor de licença de rede esteja funcionando e de que as licenças do FTK 1.
5 Abra o Citrix Management Console (Start→ Programs→ Citrix→ Management Consoles→ Citrix Delivery services console). Em seguida, execute uma detecção para garantir que todos os servidores XenApp estejam presentes na farm. 6 Assegure-se de que o aplicativo tenha sido publicado em um servidor XenApp válido (que esteja incluído na farm). 7 Olhe no Citrix Delivery Services Console para se certificar de que o usuário que está iniciando o aplicativo está em um Grupo autorizado a iniciar o aplicativo.
98 Solução de problemas
Índice remissivo A B Análise, 9-10, 67, 77 EnCase, 82 tipos de análise, 77 Backup, 89 agentes, 92 fora do host, 91 fora do host x rede, 90 melhores práticas, 90 rede, 91 Análise de assinatura de arquivo, 78 Análise de hash, 77 Apresentação, 9, 11, 67-68, 85 aquisição ao vivo x aquisição padrão, 20 aquisição padrão x aquisição ao vivo, 20 Bloqueador de gravação da Tableau, 55 como conectar ao disco rígido IDE, 56 como conectar ao disco rígido SATA, 55 Armazenamento, 9-10, 63 Armazenamento em camadas, 6
Configuração de rede, 48 convenções de nomenclatura de equipe de NIC, 49 convenções de nomenclatura de servidor, 48 estrutura de arquivos, 50 estrutura de endereços IP, 48 mapeamento de letras de unidade, 49 F FTK 1.8 e 3.0 habilitados para data center, ingestão, 57 1.8, habilitado para data center, 42 3, habilitado para data center, 43 3, Lab Edition, 46 3.
P T Perfil de coletor como configurar, 23 Triagem, 9, 17, 87 como executar, 20 definição, 17 exame dos arquivos coletados, 36 Processamento distribuído comparado com o processamento paralelo, 78 definição, 78 usando o FTK 3.1, 79 S Solução de problemas, 95 Citrix, 96 dicas gerais, 95 EnCase, 95 FTK 1.
102 Índice remissivo
