Falando sobre Forense Computacional

A forense digital, é uma ciência ou técnica relativamente recente no campo da segurança digital, pois poucas décadas no separam do surgimento do computador de demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais.

Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê as informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir até mesmo como base para uma decisão judicial.

Investigação digital

Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um foro de uma forma coerente e formato inteligível”. – Dr. H. B. Wolf

A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder algumas questões à respeito de uma ocorrência digital.

As informações utilizadas durante a recriação do cenário são coletadas ao longo do processo de investigação em uma de suas fases iniciais. Com tais informações, é possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás das ações do responsável pelo comprometimento do artefato digital. E a investigação digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma análise inicial, e muitas vezes superficial, do cenário comprometido.

Investigação digital X Forense digital

Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital em inúmeros pontos do processo – apesar de o objetivo central ser praticamente o mesmo.

A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois em um processo de análise forense existe uma preocupação legal, não só uma preocupação técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas operações. A análise forense procura chegar numa conclusão final, que permita apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso.

Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente diferente, com artefatos diferentes, objetivos e métodos diversos.

Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em demasia com os aspectos legais de todo o processo.

Problemas concernentes à Forense computacional

Como a forense computacional é uma área relativamente nova, até mesmo por conta do pouco tempo da popularização dos computadores, não há possibilidade de perfeição em seus métodos e formas de atuação.
Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo certamente serão melhorados:

  • Ainda, é mais uma arte do que ciência;
  • Ainda está em seus estados iniciais de desenvolvimento;
  • Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas;
  • Há falta de treinamento apropriado;
  • Não há padronização de ferramentas.

Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na área, em pouco tempo, resolverão os mesmos.

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima ”. – James Borek

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atualmente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em quatro ou cinco anos, todos os casos judiciais envolverão a análise forense computacional.

E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha conhecimento suficiente para realizar a análise forense de um sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado está baseado em metodologias que definem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo.

Crime cibernético

Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:

  • Ferramentas do crime;
  • Alvo do crime;
  • Tangente do crime.

E o mesmo deve ser de duas categorias diferentes:

  • Ataque interno
  • Ataque externo

Exemplos de crimes cibernéticos

Alguns exemplos de crimes cibernéticos incluem:

  • Roubo de propriedade intelectual;
  • Avaria na rede de serviço das empresas;
  • Fraude financeira;
  • Invasão de crackers;
  • Distribuição e execução de vírus ou worm.

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência.

E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:

  • Testes, ou tentivas de aprender na prática, por script kiddies
  • Necessidade psicológica;
  • Vingança ou outras razões maliciosas;
  • Desejo de causar problemas para o alvo;
  • Espionagem – corporativa ou governamental.

Papel do investigador

O principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial.

Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado.

Fonte: iMasters (Luiz Vieira)

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

2 Responses to “Falando sobre Forense Computacional”

  1. Sergio Sousa disse:

    Prezados,

    Gostaria de esclarecer algumas dúvidas, caso seja possível:

    Determinada vitima sofreu um ataque DDOS e na lista de LOGs identificou-se um em especifico que pertencia a um host americano. Ocorre que neste host havia um endereço eletrônico vinculado e com registro .BR. Ao analisar o responsável por este domínio descobriu-se que tal profissional também era o responsável por inúmeros outros registros no Brasil e TODOS relacionados a empresas concorrentes da vitima.Acredita-se que o responsável pelo ataque seja esta pessoa e que deixou escapar esse IP por descuido, aparentemente para testar se o resultado do ataque teria sido bem sucedido, e não acreditou que no meio de milhões de acesso acharíamos esse IP ligado a ele. Enfim, um mandado de busca e apreensão será executado e então vem minha dúvida, quando da pericia nos seus equipamentos o que exatamente deverá ser procurado e existe alguma ferramenta que varra o HD em busca de evidências e de forma automática? Sei que talvez a pericia saiba disso mas como nossa cidade possivelmente não tem estes recursos é que estou pesquisando. Agradeceria se pudesse esclarecer alguns destes pontos.
    Grato

    Sergio Sousa
    Investigador de Polícia.

    • Diego Macêdo disse:

      Sergio, a resposta para as suas perguntas é bem complexa, mas vou tentar ser bem objetivo. No momento da execução da busca e apreensão, a coleta do equipamento deve ser feita com muito cuidado devido a preservação das evidências e precisam de equipamento adequado. O simples ato de ligar o computador no local do crime pode acabar com a cadeia de custódia.Entenda mais aqui sobre aquisição e preservação dos dados. Basicamente, o perito vai buscar por softwares/ferramentas hackers para a execução do crime fim, no caso o ataque DDoS. Outra sugestão que eu posso dar é a quebra de sigilo da conexão de internet do investigado, para coletar os sites que estão registrados no nome dele e ver se tem algo que possa evidenciar que ele causou o ataque. Ferramentas para fazer isto de forma automática é complicado, pois você vai procurar por softwares instalados na máquina dele. Lembrando que nenhuma alteração pode ser feita no HD dele, pois isto quebrará a cadeia de custódia, consequentemente as evidências não estarão mais válidas. Sugiro o acompanhamento de um perito qualificado e com os devidos equipamentos. Grande abraço!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *