Categoria: Cibercrime

Mais de 25% dos funcionários roubam dados proprietários quando deixam uma empresa ou organização, de acordo com um estudo recente da Biscom . Para esse fim, nossa experiência mostra que os funcionários que saem têm um senso de propriedade sobre os dados que eles copiam. A propriedade intelectual comumente roubada inclui listas de clientes, fórmulas secretas, código-fonte, documentos estratégicos e outros segredos comerciais. As informações costumam ser usadas contra a organização quando o ex-funcionário vai trabalhar para um concorrente ou decide abrir uma nova empresa. Roubo de dados de funcionários

Quando surgem suspeitas de roubo de dados por funcionários, é importante contratar um perito em computação forense para realizar uma aquisição do material para análise, a fim de preservar os dados eletrônicos e descobrir evidências importantes. Usando um técnicas e software especializado, o especialista pode revelar rastros digitais como:

  • Atividade USB
  • Arquivos abertos recentemente
  • Uso de armazenamento em nuvem
  • Arquivos enviados para contas de e-mail pessoais
  • Atividade na Internet
  • Documentos recentemente impressos

Os resultados da análise podem fornecer a base para a ação legal, assim como a produção antecipada de provas e prestando o devido esclarecimento.

Quando o roubo de dados de funcionários é suspeito

O roubo de dados por funcionários ocorre com maior frequência imediatamente antes ou imediatamente após a rescisão ou demissão de um indivíduo de uma organização. Os sinais indicadores de que uma investigação é garantida incluem atividades incomuns do funcionário, como:

  • Conectando um pen drive USB pessoal ou disco rígido em um computador
  • Chegando ao trabalho em horários estranhos ou estabelecendo conexões remotas de área de trabalho durante as horas de folga
  • Transferindo grandes quantidades de dados na rede da empresa
  • Visitar sites de compartilhamento de arquivos como o Dropbox ou o Google Drive
  • Enviando e-mails com anexos para contas pessoais

Se houver preocupações de que um colaborador demitido tenha roubado dados, é importante tomar medidas para não excluir evidências eletrônicas importantes localizadas em seu computador. Se o computador estiver ligado, deixe-o ligado, porque evidências importantes podem estar armazenadas na memória RAM do computador e podem ser excluídas se o computador estiver desligado. Além disso, certifique-se de que o computador não possa ser acessado remotamente, desconectando-o da rede.

Se o computador já estiver desligado, coloque-o em um armazenamento seguro. Além disso, confirme se as credenciais de login do funcionário estão desativadas ou foram alteradas, mas não permita que a equipe de TI reinstale o sistema operacional ou disponibilize o computador a outro funcionário. Tais ações podem destruir ou substituir qualquer as evidências. Por fim, resista à tentação de “espiar” o que está armazenado no computador, ligando-o e acessando os arquivos, pois isso poderia alterar os dados, tornando a investigação mais complexa.

Se o funcionário suspeito possuísse um telefone celular da empresa, coloque-o também em um armazenamento seguro, de preferência em modo avião e embalado em uma “gaiola de faraday” (quando puder). Os smartphones contêm uma grande quantidade de informações úteis, como mensagens de texto, e-mails, registros de chamadas, atividades na Internet e muito mais. O simples ato de redefinir o telefone, no entanto, pode destruir permanentemente esses dados.

Investigações sobre roubo de Propriedade Intelectual

Preservando e analisando evidências eletrônicas

A primeira etapa de um roubo de investigação de Propriedade Intelectual é preservação forense dos dados no (s) dispositivo (s) do funcionário. O especialista em computação forense criará documentação sobre a cadeia de custódia, fotografará o hardware e verificará a integridade dos dados preservados, entre outras coisas. Essas etapas garantem que as provas eletrônicas sejam admissíveis no tribunal.

Cadeia de custódia

Depois que os dados são preservados, a próxima etapa da investigação é realizar uma análise para identificar software e artefatos que possam ser indicativos de roubo de Propriedade Intelectual. Essas áreas em uma instalação típica do Windows incluem:

  • Atividade USB
  • Arquivos recentemente abertos ou excluídos
  • Armazenamento na núvem
  • Contas de email pessoais
  • Relatório de histórico da Internet
  • Documentos impressos

Análise de Atividade USB

Muitos dos dispositivos USB atuais, como pen drives e discos rígidos externos, têm capacidade de armazenamento suficiente para salvar uma cópia inteira do disco rígido de um usuário. Como tal, eles são uma das ferramentas mais comuns usadas para roubar dados. A boa notícia é que usar um dispositivo USB deixa para trás uma trilha de evidências digitais que podem ser inestimáveis ​​para uma investigação.

A análise da atividade USB de um usuário pode revelar vários fatos importantes sobre o que estava conectado ao computador e quando. Na maioria dos casos, especialistas forenses podem determinar o número de série e/ou a marca do dispositivo USB, bem como a primeira e a última vez em que o dispositivo foi conectado ao computador. Em alguns casos, eles também podem verificar cada vez que um dispositivo USB específico foi conectado.

Análise USB

Muitas vezes, a análise revela que um disco rígido USB externo ou unidade flash foi conectado pela primeira vez durante a última semana de trabalho de um funcionário. Enquanto a maioria das análises revelam uma nova conexão USB, também é possível que um dispositivo usado durante toda a duração do trabalho do suspeito nunca tenha sido devolvido. Um dispositivo como esse provavelmente conteria vários documentos e arquivos relacionados às atividades diárias do funcionário e poderiam conter valor para um concorrente. Se for um requisito que os funcionários devolvam unidades USB de propriedade da empresa ao final do seu emprego, os especialistas forenses têm a capacidade de verificar se essa política foi ou não mantida.

Arquivos abertos recentemente

Embora seja importante confirmar que um dispositivo USB estava conectado a um computador, é ainda mais importante saber quais arquivos foram acessados ​​e potencialmente transferidos para o dispositivo. O sistema operacional Microsoft Windows cria vários artefatos quando um usuário abre um arquivo ou pasta. Esses artefatos indicam o que foi aberto, quando foi aberto e de onde foi aberto. Uma bandeira vermelha clássica é se o funcionário estava abrindo arquivos durante a última semana de trabalho que não estavam relacionados ao trabalho que estava sendo executado durante esse período.

Outra consideração é a política de acesso a dados da organização. Se não houver restrições de acesso a dados, o funcionário poderá acessar os arquivos da empresa não relacionados ao trabalho atual armazenado na rede. A existência desses artefatos quando combinada com um cronograma de atividade USB pode indicar uma alta probabilidade de que os dados foram copiados do sistema.

Por último, os artefatos também podem conter informações específicas sobre onde o arquivo estava. Se um arquivo foi aberto a partir de uma unidade USB, o artefato indicará isso, fornecendo evidências factuais de que o suspeito está em posse de uma unidade USB que contém arquivos específicos. Por exemplo, a combinação de uma análise de USB e arquivos abertos recentemente pode mostrar que em 7 de outubro de 2016, às 07:22:08, um pen drive da SanDisk não-empresa com número de série 851450 foi conectado ao computador pela primeira vez. hora e um arquivo intitulado “Client Contact List.xlsx” foi aberto.

Armazenamento na núvem Nuvem

Se a análise mostrar que alguns arquivos foram acessados, mas nenhuma atividade USB foi detectada, a próxima etapa da investigação é identificar evidências de que um provedor de armazenamento em nuvem, como o Dropbox, o Google Drive ou o Microsoft OneDrive, foi acessado. O objetivo desses aplicativos é compartilhar e sincronizar dados em vários computadores. Por exemplo, o Dropbox pode ter sido instalado clandestinamente no computador de trabalho do funcionário, bem como em seu computador doméstico. Consequentemente, o simples ato de sincronizar um arquivo da empresa com o Dropbox instantaneamente também torna esse arquivo disponível no computador doméstico do funcionário.

A boa notícia é que os aplicativos de armazenamento em nuvem geralmente têm arquivos de log e bancos de dados correspondentes que registram quais arquivos o usuário acessa e quais atividades são executadas. Esses registros podem significar que os arquivos foram carregados para a nuvem no passado, mesmo que já tenham sido excluídos da pasta compartilhada. Alguns desses aplicativos até salvam dados excluídos em uma pasta “oculta” separada no próprio computador, da qual os usuários normalmente não estão cientes. Como resultado, um roubo de análise de Propriedade Intelectual pode mostrar que o Dropbox foi instalado no computador de trabalho do usuário e que no início da manhã de 7 de outubro de 2016, cinquenta arquivos foram excluídos e a pasta “oculta” revelou que eram arquivos da empresa.

Contas de Email Pessoal

Algumas pessoas podem usar o e-mail da empresa para enviar anexos para sua conta de e-mail pessoal, como Yahoo ou Gmail. Nesses casos, os especialistas forenses podem realizar uma preservação do e-mail de trabalho do funcionário para identificar e documentar as evidências de conduta imprópria.

Relatório de histórico da Internet

Pode ser gerado um relatório de histórico da Internet que mostre, pesquisas recentes na Internet, sites da Web e páginas visitadas, cookies de sites e downloads da Internet que ocorreram. Essa informação é útil para estabelecer o que um indivíduo pensava ser importante ou até mesmo seu estado de espírito. Por exemplo, os analistas descobriram que os indivíduos pesquisaram sobre como excluir dados ou copiar dados e revisaram sites que eram, em essência, “como se orientar” para realizar determinados atos deletérios.

Documentos em papel

Finalmente, indivíduos que são um pouco menos conscientes de técnicas mais modernas para copiar dados simplesmente imprimirão os documentos que desejam tirar da empresa. Nesses casos, os especialistas forenses podem determinar a última data de impressão conhecida dos documentos do Microsoft Office.

Este artigo é uma tradução e adaptação de https://www.tcdi.com/computer-forensics-whitepaper-trevor-tucker-joe-anguilano-tim-opsitnick/