Thursday, September 23, 2010

Treinamento sobre soluções AccessData é sucesso no ICCyber


Luiz Sales Rabelo e Adrian Culley no treinamento AccessData
Luiz Sales Rabelo e Adrian Culley no treinamento AccessData
Consultor da Forense Luiz Sales e Adrian Culley da AcessData mostraram na prática os benefícios do FTK e ADLab
 A TechBiz Forense Digital permitiu que o público do ICCyber tirasse a prova dos nove dos equipamentos desenvolvidos por sua parceira norte-americana AccessData, em treinamentos hands on realizados nos dias 16 e 17 de setembro com o  FTK e o ADLab.  As soluções permitem que peritos e examinadores investiguem um caso, detectando incidentes, analisando dados, relatando as ocorrências e preservando judicialmente as evidências coletadas. No caso do ADLab, a investigação pode ser feita de forma colaborativa, dividindo simultaneamente o trabalho entre os diversos profissionais envolvidos no caso.
De posse de um notebook com os softwares instalados, profissionais das forças policiais, Ministérios Públicos e empresas privadas presentes no ICCyber simularam a busca por conteúdo suspeito nas máquinas. A primeira constatação foi a de que não é preciso ser um bom entendedor de tecnologia para lidar com os programas, que têm interfaces altamente intuitivas.
“Você pode deixar 40 Discos Rígidos sendo processados pelo FTK ao mesmo tempo durante um fim de semana, por exemplo, e, mesmo que ocorra algum erro em um dos HD, o processamento das demais máquinas não será interrompido”, explicou Luiz Sales Rabelo, consultor da TechBiz Forense Digital. “À medida que o software vai processando, ele aloca os arquivos encontrados na seção Evidência. Na segunda-feira, o arquivo vai estar todo processado e é só digitar uma palavra-chave para encontrar uma informação desejada”, completou Rabelo, que ministrou o treinamento ao lado de Adrian Culley, da AcessData. 
Os participantes comprovaram a facilidade de encontrar os dados digitando no Data Search a palavra “Money”, referente ao caso de estudo. A busca ocorreu no tempo do clique do mouse porque o índex da ferramenta interage diretamente com o banco de dados Oracle, o que torna a operação muito mais rápida.
Para cada palavra pesquisada, o programa apresenta o número de hits e documentos encontrados, como em uma pesquisa do Google. Também é possível trabalhar com os operadores lógicos ‘and’ e ‘or’. Por exemplo, no caso de se juntar à palavra money containing, o software realiza a pesquisa com containing and money ou containingor money e especifica os arquivos em que cada dupla aparece.
As ferramentas da AccessData também importam o arquivo de palavras-chaves recebido pelo perito para realizar a investigação. Após a importação, o contador da ferramenta alerta a quantidade de itens encontrados no HD contendo as keywords solicitadas. No treinamento prático, o FTK apontou mais de 17 mil hits.
Clicando no botão Overview é possível ver os arquivos em divisões e cabe ao examinador especificar o que deseja ver: apenas arquivos .docx, ou só .doc, ou .txt. E o programa obedece apontando, no caso da prática realizada no ICCyber, 169 arquivos encontrados, entre eles,cookies. “O FTK traz toda a estrutura do disco, todas as partições, incluindo aquele finalzinho do disco, os espaços não particionados, que podem conter informações relevantes para a investigação”, informa Rabelo.
No caso do ADLab, que é a versão laboratório do FTK, o grande diferencial é o processamento distribuído, que permite centralizar as evidências e, ao mesmo tempo, compartilhar os recursos com infinitas máquinas. “O ADLab tem uma interface totalmente web que permite que os revisores dividam as tarefas do caso. Durante a investigação, tudo o que eu achar que é responsivo, que mereça atenção, eu marco com um bookmark, que compila as informações em um relatório. De forma mais clara e prática, se você possui um caso para gerenciar, que envolve fraude dentro da empresa, por exemplo, você dá permissão para que os demais investigadores acessem determinadas informações e já indica no programa: isso é possivelmente uma evidência. Por favor, investigue”, conta Rabelo.

fonte: http://www.forensedigital.com.br/new/treinamento-sobre-solucoes-accessdata-e-sucesso-no-iccyber/

No comments:

Post a Comment