Estudo de Caso Fictício aplicado a Perícia Forense de navegadores de Internet
Por: exuhardcore • 6/5/2018 • Artigo • 946 Palavras (4 Páginas) • 479 Visualizações
4 - Estudo de caso Fictício
Este estudo de caso tem como objetivo mostrar como as ferramentas apresentadas neste trabalho podem ser usadas na obtenção de evidências na Perícia Forense em navegadores de Internet e ser úteis no cumprimento de quesitos essenciais para uma investigação.
Para a apresentação deste estudo de caso, será utilizado o sistema operacional Windows XP, os navegadores Internet Explorer 8, Mozilla Firefox e softwares específicos.
4.1 – Relato do Incidente
Recentemente a empresa FATLOG tem sido alvo de tentativas de ataque aos servidores de seu web site, que estão localizados dentro da empresa. No dia 10/10/2010 o web site www.fatlog.com.br ficou indisponível devido um ataque bem sucedido os seus servidores.
A FATLOG através de um rastreamento do IP 200.207.105.44, o IP que originou o ataque, descobriu que o acesso foi proveniente do estado de São Paulo e o provedor responsável, após um pedido judicial, informou o nome e endereço do usuário que estava utilizando este IP no dia do ataque. O usuário que estava utilizando o IP que originou o ataque se chama Augusto Neto e reside no centro de São Paulo.
A partir dessas informações, a FATLOG contratou a empresa Breakdown Security, uma empresa especializada em perícia forense, que iniciará uma investigação onde o principal suspeito é o Augusto, que estava utilizando o endereço IP que originou o ataque aos servidores do web site. Entre as análises que serão feitas, será necessária uma análise dos dados de navegação, com a finalidade de coletar evidências que possam mostrar se o ataque foi proveniente do computador utilizado por Augusto.
4.2 - Laudo Pericial
Objetivo
O objetivo desta perícia é identificar e apresentar evidências em dados de navegação que comprovem ou não o envolvimento do Sr. Augusto Neto na Invasão ao web site da empresa FATLOG.
A análise será restrita a dados de navegação, não abordando análise de log de sistemas, sistema de arquivos, arquivos excluídos, entre outras análises.
A perícia forense do disco rígido já foi realizada, arquivos relacionados com o caso foram encontrados, porém ainda faltam evidências concisas sobre os dados de navegação de Augusto.
Objetos submetidos aos exames periciais
Foi submetido:
- 2 Clones físicos de 1 (um) disco rígido com as seguintes características técnicas:
Capacidade: 120Gb
Fabricante: Seagate
Hash: 3a436fa8935dd5c98335d2d263bd7a6c
Das 2 cópias entregues, uma será analisada pela equipe de perícia forense da empresa Breakdown Security.
- 1 computador utilizado por Augusto com as seguintes características:
Sistema Operacional: Windows XP Professional, Service Pack 2;
2Gb de Memória RAM DDR II;
Processador Intel Dual Core 1.6 GHz ;
Nome do Computador: Augusto;
Navegadores: Mozilla Firefox 3.6.10 e Internet Explorer 8.
O computador foi encontrado desligado na residência de Augusto e levado para o laboratório da Breakdown Security.
Procedimentos Periciais
O clone do disco rígido será periciado em busca de indícios e evidências em dados de navegação. Uma das cópias do disco será instalada no mesmo computador utilizado por Augusto e a outra instalada em outro computador no laboratório da empresa Breakdown Security para outras análises.
A cópia original foi devidamente documentada e mantida em cadeia de custódia.
Quesitos
- Buscar por indícios ou evidências nos dados de navegação.
- Identificar evidências que indiquem quem foi o responsável pela invasão ao web site.
- Identificar eventuais envolvidos nas ações relatadas que motivou esta investigação.
- Identificar eventuais motivações para que fosse feito o ataque ao web site da empresa FATLOG.
Identificação de Evidências
Para identificar as evidências serão utilizados softwares específicos para análise de dados de navegação.
Área de trabalho do computador
[pic 1]
Análise de histórico de navegação do Internet Explorer 8 com o IE History View v1.50
[pic 2]
O histórico do Internet Explorer não trouxe evidências relevantes, o que significa que provavelmente Augusto não o utilizava como seu navegador padrão.
Análise do Histórico do Mozilla Firefox com o Mandiant Web Historian 2.0
[pic 3][pic 4][pic 5]
O histórico do Mozilla Firefox mostra acessos a sites hackers, e como pode-se ver em “PageTitle” foram visitadas páginas com informações sobre como “hackear” um web site.
...