Forense na nuvem - Google Apps for Work

Atualmente a área da perícia forense é a área que cuida de levantar provas digitais para provar a ação criminosa de algum indivíduo.

Entretanto, até determinados tempos, não existia nada em nuvem e todos os dados eram relativamente fáceis de serem encontrados: No disco rígido do computador do criminoso.

Entretanto hoje o cenário é muito diferente pois o criminoso cibernético pode utilizar inúmeros cloud computers na Amazon e pode realizar seus crimes. Até que uma auditoria de sistemas interrompa a utilização destes servidores, ele já poderia ter utilizado a infraestrutura gigante desta empresa e ter obtido informações de toda a Internet e/ou enviado spam para todos os usuários em segundos.

E como ter permissão de um serviço na nuvem para realizar a perícia forense?

Verificamos o Google Apps for Work, e identificamos algumas formas de analisar de fato um sistema de "auditoria", que permite que clientes (empresas) possam realizar auditoria de seus funcionários.

Como funciona a auditoria para Forense no Google Apps for Work

O Google Apps for Work foi desenvolvido pelo Google para ser a ferramenta de trabalho das empresas, sendo esta certificada em ISO 27001, garante confidencialidade, integridade e disponibilidade mas não somente isto; também permite que o cliente configure suas regras e suas políticas de uso de sua organização e faça auditoria dos recursos utilizados.

Na versão mais simples, o Google Apps for Work, no serviço de E-mail corporativo, é possível analisar todos os e-mails de onde veio e para onde foi, mas não é possível ver o conteúdo da mensagem, entretanto serve para auditoria para certificar que a mensagem realmente passou pelos servidores do Google.

Usando o item "Relatórios" no Google Apps for Work, temos acessos à diversos relatórios.

Para a perícia forense, o mais interessante são os relatórios do grupo "Auditoria".

Utilizando o menu "Pesquisa de registro de e-mail", podemos pesquisar e-mail de origem ou destino e verificar se houve mensagem.

Neste caso se buscou por um e-mail não existente na organização, que enviou SPAM.

No mesmo nível de relatórios de auditoria, temos vários outros como log de atividades dos administradores da conta do Google Apps e suas ações no painel de controle.

Existe também o relatório de "login", para saber qual funcionário se autenticou no Google Apps.

Também é possível definir alguns gatilhos para notificar os super administradores da conta em qualquer ação suspeita.

Com estes relatórios, é possível obter informações para investigação mais que suficientes mesmo sendo um serviço na nuvem. 

Para uma perícia completa, o Google sugere o Google Apps Valut, onde armazena também as mensagens de e-mails de usuários e faz pesquisa por cruzamento de informações relevantes, mas para isto, o cliente tem que adquirir o serviço antes do incidente ter ocorrido. 

O custo para este serviço aumenta, de US$ 5,00 por usuário para US$ 10,00 por usuário / mês.