Quase toda a gente que usa a internet tem pelo menos uma conta de e-mail baseada na web (webmail).
Dito isto, a probabilidade de um investigador forense se cruzar com um caso envolvendo comunicações via webmail é muito elevada.
Enquanto examinadores governamentais têm a capacidade de pedir aos fornecedores dados de contas e conteúdos através de ordens judiciais, examinadores cooperativos e não governamentais ficam dependentes das provas deixadas no computador ou dispositivo móvel.
Os três maiores fornecedores de webmails são Google Gmail, Microsoft Hotmail/Outlook.com e Yahoo Mail, em conjunto têm mais de um bilião de utilizadores.
Cada um dos fornecedores oferecem características únicas, mas na generalidade têm todos uma implementação similar no ponto de vista de análise forense.
Browsers:
Num PC, maioria da atividade webmail é realizada através do browser, por isso não é nenhuma surpresa que maioria das provas serão composta por dados recolhidos do browser.
Dependendo do browser utilizado os dados são armazenados de formas diferentes, mas normalmente as melhores fontes de provas estão em cache, histórico ou em cookies de navegação.
O histórico e os cookies fornecem datas, horários e locais visitados, mas os dados com relevância podem ser encontrados em cache.
A cache armazena componentes de páginas em disco para que em futuras visitas o processo seja mais rápido.
Muitos e-mails lidos podem ser encontrados nas pastas de cache, essas pastas variam conforme o sistema operativo e o browser utilizado.
Internet Explorer:
Uma vez que o Internet Explorer (IE) vem por defeito na maioria das instalações do sistema operativo Windows, é provável que seja o browser mais utilizado e que deve ser sempre pesquisado na busca de webmails ou outro tipo de dados de navegação.
Dependendo da versão do Windows e do IE, os dados estão guardados em locais diferentes:
WinXP – %root%/Documents and Settings/%userprofile%/Local Settings/Temporary Internet Files/Content.IE5
Win Vista/7 – %root%/Users/%userprofile%/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5
Win Vista/7 – %root%/Users/%userprofile%/AppData/Local/Microsoft/Windows/Temporary Internet
Files/Low/Content.IE5
Win8/IE10 – %root%/Users/%userprofile%/AppData/Local/Microsoft/Windows/History
Nota: O IE10 também está disponível para o Windows 7. Se o IE9 tiver sido instalado e posteriormente atualizado para o IE10, haverá duas fontes de dados (o ficheiro index.dat do IE9 e a base de dados dentro da pasta webcache para o IE10).
Mozilla Firefox:
O Firefox é outro browser bastante popular que tal como o IE guarda a cache em vários locais dependendo do sistema operativo utilizado. O Firefox vem instalado por defeito em muitas distribuições Linux e também está disponível para MacOS-X.
WinXP – %root%/Documents and Settings/%userprofile%/Local Settings/Application Data/Mozilla/Firefox/Profiles/*.default/Cache
Win7/8 – %root%/Users/%userprofile%/AppData/Local/Mozilla/Firefox/Profiles/*.default/Cache
Linux – /home/%userprofile%/.mozilla/firefox/$PROFILE.default/Cache
MacOS-X – /Users/%userprofile%/Library/Caches/Firefox/Profiles/$PROFILE.default/Cache/
Google Chrome:
O Google Chrome é outro dos 3 principais browsers utilizados atualmente. Está disponível para download para as plataformas Windows, Linux e MacOS-X.
WinXP – %root%/Documents and Settings/%userprofile%/Local Settings/Application Data/Google/Chrome/User Data/Default/Cache
Win7/8 – %root%/Users/%userprofile%/AppData/Local/Google/Chrome/User Data/Default/Cache
Linux – /home/%userprofile%/.config/google-chrome/Default/Application Cache/Cache/
MacOS-X – /Users/%userprofile%/Caches/Google/Chrome/Default/Cache/
As pastas da cache mostram o conteúdo real de páginas e mensagens visitadas, que é muito importante quando se lida com dados provenientes de webmails.
Ressalva: Normalmente não se encontra em cache mensagens enviadas, mas sim lidas, uma vez que a mensagem é escrita e de seguida enviada sem haver visualização da mensagem fora da caixa de texto. A única vez que as mensagens enviadas são guardadas em cache é quando o utilizador visualiza a mensagem em HTML na pasta de "Mensagens Enviadas" após o envio.
É importante ter em consideração que estes não são os únicos locais para procurar dados de webmail.
Memória de sistema e o pagefile.sys são por vezes os locais únicos onde se encontram dados de Gmail, também copias sombra, pontos de restauro e ficheiros de hibernação contêm dados históricos valiosos que podem ser utilizados em conjunto com os dados encontrados nos locais atrás descritos.
Artigo retirado do: http://www.magnetforensics.com/webmail-forensics-digging-deeper-into-the-browser/
