Fundamentos da Forense Digital
5. Identificação e análise de informação nos Sistemas Operativos
5.3. Análise de sistemas Linux Based
A digital forense em sistemas operativos MS Windows, estão amplamente divulgados, quer através de cursos e artigos científicos, quer através de novos meios como vídeos. A digital forense em sistemas operativos Linux, não são tão divulgados, principalmente por a análise destes ser também muito menor número.
Sistema de Ficheiros
O sistema de ficheiros padrão atualmente em Linux é o Ext4 apesar de suportar diferentes tipos de sistemas de ficheiros.
Linux
File |
Data |
|
Ext |
1992 |
Significando “Extended file system”, foi o primeiro sistema de ficheiros criados para o linux em 1992 |
Ext2 |
1993 |
Suportava discos com até 2 TB e não suportava journaling. Por não usar journaling pode ser usado em pendrives. |
Ext3 |
1999 |
Igual ao Ext2, mas com a vantagem de ter journaling. |
Ext4 |
2006 |
A atual versão dos tipos Ext. possui várias funções vantajosas quando comparada com as suas antecessoras, como redução na fragmentação do sistema, funciona com ficheiros de grande dimensão, entre outras. EXT4 suporta 1EB (1 Exabyte) de tamanho máximo de sistema de ficheiros e 16TB de tamanho máximo de ficheiros. É possível ter um número ilimitado de subdiretórios |
Considerações Gerais
- Não existem ficheiros de registo como no SO Windows
- A informação deve ser recolhida em localizações dispersas
- Diferentes estruturas de ficheiros de Sistema em diferentes distribuições
A estrutura de ficheiros e pastas do sistema Linux pode ser resumida como apresentado na Figura 67.
Figura 67 - Estrutura de ficheiros do Sistema Linux
Fonte: The Linux Foundation – https://linuxfoundation.org/blog/classic-sysadmin-the-linux-filesystem-explained/
5.3.1. Points of Interest em Sistemas Linux
A análise da atividade do utilizador em sistemas Linux Ubuntu devem seguir uma sequência de validações e recolhas de informação, tal como a apresentada na Figura 68.
Figura 68 - Proposta de recolha de informação em Linux
Autorun de programas em funcionamento no sistema:
Tendo em conta que muitos programas são configurados para inicializaram automaticamente no arranque do sistema. As informações sobre os programas que devem ser executados no início estão no diretório "/etc/rc.local".
Documentos acedidos:
O examinador pode saber quais os documentos a que foram acedidos recentemente. O ficheiro que contém essa informação está em /home/user/.local/share/recently-used.xbel. O comando cat pode ser utilizado para ver o conteúdo do ficheiro. O ficheiro .xbel fornece informações detalhadas sobre os ficheiros que foram acedidos pelo utilizador, como exemplo, tempo de acesso e de modificação.
Aplicações Instaladas:
As informações sobre as aplicações está na pasta /usr/bin as blibiotecas necessárias para as aplicações está na pasta /usr/lib. A lista de aplicações pode ser obtida pelo comando ls –l /usr/bin/. Sendo possível perceber data de instalação, permissões, dimensão, etc.
Informação de Rede:
O Ubuntu mantém uma lista das redes conectadas ao sistema em: /etc/NetworkManager/system-connections
O ficheiro /var/log/syslog fornece a data e hora em que uma conexão de rede foi estabelecida.
Equipamentos conectados:
Na diretoria /dev fornece informação sobre o hardware conectado ao sistema.
O ficheiro /var/log/syslog tem também informação sobre os dispositivos que foram conectados ao sistema.
Último login e atividade do Utilizador:
A informação sobre o último login pode ser obtida em /var/log/lastlog
Atividade de navegação na Internet:
Apresenta-se a localização de pastas com informação de navegação, em dois dos principais browsers utilizados no sistema operativo Linux (Figura 69 e Figura 70). Após a extração destes conteúdos, torna-se possível a sua análise de igual modo que no sistema Windows.
Firefox Browser
Figura 69 - Localização de informações do Browser Firefox
Google Chrome
Figura 70 - Localização de informações do Browser Google Chrome