Home Livros LIVRO: Executing Windows Command Line Investigations

LIVRO: Executing Windows Command Line Investigations

por - TI Forense

Garantir a integridade das evidências é uma das partes mais importantes do processo de investigação forense digital e, ainda assim, de acordo com alguns relatórios, é um dos mais negligenciados nos cursos sobre o assunto.

O título do livro de Hosmer, Bartolomie & Pelli é Executando Investigações de Linha de Comando do Windows Garantindo a Integridade Evidencial e, até onde posso dizer, é o único livro que fornece um guia passo a passo para a linha de comando do Windows para profissionais de DFIR.

Sensivelmente, o livro começa com uma discussão sobre o impacto das investigações de linha de comando do Windows. Isso não apenas define o motivo pelo qual o assunto do livro é importante, mas também ajuda os pesquisadores a entender algumas das situações nas quais as investigações da linha de comando podem ser necessárias e algumas das vulnerabilidades que podem encontrar.

Vários crimes cibernéticos são discutidos, do hacktivismo à extorsão, crimes contra crianças a botnets. Tendo fornecido uma visão geral dos tipos mais comuns de cibercrime observados hoje, o livro fornece alguns exemplos diretos de atividade recente, incluindo a vulnerabilidade Heartbleed OpenSSL e a vulnerabilidade de ataque POODLE.

A maioria dos ataques cibernéticos ocorre através da linha de comando do Windows, o que provavelmente se deve à saturação do mercado da Microsoft. Isso não quer dizer, é claro, que outros sistemas sejam livres de vírus (ao contrário da opinião pública popular), mas sublinha como é importante incluir ferramentas de linha de comando como parte de seu arsenal no campo da investigação forense digital.

O primeiro capítulo do livro descreve os porquês e os ataques de linha de comando: o que o torna tão tentador para os cibercriminosos? Em grande parte, é o quão prolíficos são os dispositivos Windows, mas também é a facilidade com que a linha de comando pode ser explorada e o quão difícil certos elementos – como fazer alterações na RAM – podem ser detectados.

No final de cada capítulo, há um breve parágrafo de revisão que mostra o que foi discutido, seguido de algumas perguntas resumidas. Isso não é útil apenas para o leitor individual que quer testar suas habilidades, mas também o torna útil como auxílio de ensino.

O capítulo dois descreve a importância da integridade das evidências digitais. A validação – e particularmente a padronização – é um importante assunto de discussão na comunidade forense digital no momento, mas independentemente de onde você esteja em certificações como a ISO 17025, é importante garantir que sua evidência seja suficientemente confiável para ser aceita em um Tribunal de Justiça.

Uma parte significativa do segundo capítulo é dedicada à discussão de técnicas de hashing para evidências digitais, o que é útil porque, novamente, isso é algo que muitas vezes não vemos explorado em grandes profundidades mesmo em livros sobre coleta de evidências.

Os timestamps são importantes, mas às vezes extravagantes e difíceis de definir. Para lidar com isso, os autores, antes de mais nada, orientam seus leitores por meio de um histórico de tempo, a fim de sublinhar como o fato de nosso tempo hoje ser mais preciso, em geral, não leva necessariamente a uma identificação mais fácil nas investigações.

Os registros de data e hora são discutidos em mais detalhes, seguidos pelo resumo do capítulo e pelas perguntas de revisão. Há também uma lista útil de recursos adicionais no final de cada capítulo, caso o leitor deseje descobrir mais sobre o tópico em discussão.

Tendo definido a cena, no capítulo três, mergulhamos na interface de linha de comando do Windows. Após uma breve discussão sobre o que é a interface de linha de comando e quando e por que ela é usada, o leitor recebe uma tela de instruções passo a passo útil para mostrar como configurar sua interface de linha de comando para trabalhar nelas.

A segunda parte do capítulo se resume aos negócios com uma demonstração de como dividir os comandos do Windows pelos processos de investigação, descrevendo algumas das opções que os investigadores podem usar ao trabalhar em casos reais. Os passos são suficientemente bem descritos, mesmo para os tecnicamente não iniciados, para poder segui-los; o livro detalha exatamente quais comandos usar, e onde o investigador deve seguir prompts externos à linha de comando (por exemplo, em caixas de pop-up), estes são mostrados em tela para facilitar a identificação e uso.

O PIRCS (Proactive Incident Response Command Shell) fornece mais opções para coletar e proteger evidências, e é isso que constitui o assunto do capítulo quatro. Considerações operacionais são discutidas, juntamente com um guia passo-a-passo para preparar o PIRCS para mídia portátil. O restante do capítulo segue basicamente o mesmo formato do capítulo três: delineando o básico, depois falando sobre configuração e uso diário do PIRCS, com exemplos de código e capturas de tela, quando necessário.

Gostei particularmente da próxima seção do livro, que foi um capítulo substancial dedicado a casos de uso das técnicas e ferramentas descritas nos capítulos anteriores. Frequentemente, os livros forenses digitais se concentram fortemente no processo e não tanto no aplicativo, o que pode dificultar o entendimento dos alunos e dos iniciantes na indústria quando e por que é apropriado usar seu novo conhecimento no campo.

Após uma breve discussão sobre algumas diretrizes gerais para a coleta de evidências – o princípio da Locard e seleção de ferramentas entre elas – o capítulo cinco fala aos leitores sobre algumas categorias fundamentais em evidências digitais, desde conexões de rede até pré-busca de arquivos e coleta de dados. O capítulo termina com alguns exemplos de casos de uso: primeiro, um cenário de ataque de pesca submarina e, em seguida, uma demonstração de como as técnicas aprendidas podem ser aplicadas a um caso envolvendo exfiltração de dados internos.

Uma das alegrias e desafios da investigação forense digital é que ela está mudando o tempo todo. Embora seja bom manter-se atento, a velocidade com que cada dispositivo ou aplicativo é atualizado e a proliferação de itens a serem considerados em qualquer investigação podem ser esmagadores. Com isso em mente, o capítulo seis dá uma olhada em algumas considerações futuras para o setor, incluindo o Windows 10, a tecnologia embarcada, os veículos conectados, a tecnologia vestível e o Raspberry Pi. Em seguida, ele discute alguns novos aplicativos de linha de comando que estão atualmente disponíveis.

Os apêndices oferecem algumas ferramentas úteis para a interface de linha de comando e alguns pontos de referência para qualquer um que queira examinar o assunto mais detalhadamente.

Em resumo, então, eu recomendaria este livro a todos os investigadores, não apenas porque a linha de comando do Windows é algo que todos encontraremos em nosso trabalho, mas devido à sua facilidade de uso e perguntas úteis de revisão que mantêm os leitores envolvidos. Eu posso ver isso como uma ajuda de ensino útil para estender as próprias habilidades e na sala de aula forense digital.

Fonte: https://www.forensicfocus.com/c/aid=266/reviews/2018/executing-windows-command-line-investigations/

 

Artigos Similares

Deixe seu comentário