• Investigação Forense Criminal com Sleuth Kit e Autopsy Forensic

    Abrir um inquérito para a apuração da autoria de incidentes cometidos, contando com o auxílio da tecnologia, é um dos fortes pilares que rege a carreira de um perito forense digital, devido a quantidade de crimes cibernéticos que vem aumentando com o passar dos anos. Diante desses fatos, é necessário aprimorar-se nos métodos mais obscuros utilizados pelos criminosos digitais, desde saber como e qual é o seu modo de ação, até utilizar as ferramentas adequadas para realizar uma investigação bem sucedida.

    Dentro desse cenário, falaremos um pouco sobre a importância do The Sleuth Kit (TSK) e do Autopsy Forensic, duas ferramentas livres e de imensa utilidade em trabalhos de investigação forense digital. Isto é, elas podem ser executadas em sistemas Windows, Linux, BSD, OS X e Solaris. Essas ferramentas foram criadas para serem usadas em análise de sistemas de arquivos NTFS, FAT, HFS+, Ext2, Ext3 entre outros.

    Falando primeiramente do The Sleuth Kit (TSK), para os que não conhecem as suas utilidades: ele é classificado como um agrupamento de ferramentas forenses para linha de comando; já o Autopsy é uma interface gráfica voltada para estas ferramentas do TSK, ou seja, são ferramentas potencialmente complementares. É importante observar que, para acessar à interface do Autopsy, precisa-se da ajuda de um Web browser: dessa forma, o Autopsy projetará um Web server e seus scripts irão gerar as páginas da interface.

    Para os usuários de Linux, a instalação é bastante simples, devido à algumas distribuições liberarem pacotes compilados, enquanto em outras distribuições há a possibilidade de instalação através de pacotes fontes disponíveis em http://www.sleuthkit.org/.


    Analysis Modes:


    A dead analysis ocorre quando um sistema de análise dedicado é usado para examinar os dados de um sistema suspeito. Neste caso, o Authopsy e o Sleuth Kit são executados em um ambiente confiável, geralmente em um laboratório. Autopsy e TSK (support raw), Expert Witness, e formatos de arquivo AFF.

    Uma live analysis ocorre quando o sistema suspeito está a ser analisado enquanto ele está em execução. Neste caso, o Autopsy e o Kit Sleuth são executados a partir de um CD, em um ambiente não confiável. Esta técnica é frequentemente utilizada durante resposta à incidentes, enquanto este incidente está sendo confirmado. Depois que houver tal confirmação, o sistema pode ser adquirido e realizada uma analysis dead.


    Instalação dos Pacotes Fontes:


    A partir da instalação dos pacotes fontes, o conteúdo do Sleuth Kit deve ser retirado para um diretório aleatório e dentro dele, executar os comando padrões de compilação: ./configure, make, make install. Há a possibilidade de solicitações de dependências extras. Tudo o que estiver contido no Autopsy, deve ser movido para um diretório permanente, bastando executar os comandos ./configure e make.

    Enquanto estiver sendo instalado, o Autopsy Forensic solicita a determinação de um diretório base para onde serão armazenados os cases. Concluída a instalação, o servidor Web do Autopsy precisa ser iniciado e no navegador será digitado o endereço "http://localhost:9999/autopsy".

    Para enfatizar, o Sleuth Kit é escrito em C e Perl e usa alguns códigos e design de The Coroner's Toolkit (TCT). A ferramenta foi testada em Linux, Mac OS X, Windows (Visual Studio e mingw), CYGWIN, Open & FreeBSD e Solaris. O Autopsy Forensic Browser, é uma interface gráfica para uma linha de comando de ferramentas de investigação digital em The Kit Sleuth. Juntos, eles permitem que você investigue o sistema de arquivos e volumes de um computador.

    É essencial que todo o investigador forense demonstre um nível ético incontestável, assegurando a sua integridade e demonstrando a sua extrema habilidade para os trabalhos a serem desenvolvidos. A integridade moral é um fator relevante, sendo responsável pela autenticidade de um profissional forense gabaritado, empenhado e buscando realizar o melhor possível a cada trabalho que for colocado em prática. E que a segurança da informação, a confidencialidade dos peritos e a ética profissional, sejam as bases fortes no mundo forense computacional.


    Links de Interesse:

    -Sleuthkit and Autopsy
    -Autopsy Forensic Browser

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L