Saiba o que é Computação Forense, como ela funciona na investigação de crimes digitais e o que é um perito computacional.
A computação forense é um campo de estudo da tecnologia da informação que utiliza técnicas investigativas para identificar e armazenar evidências obtidas de um dispositivo.
É frequentemente usada para descobrir evidências em um tribunal de justiça. Às vezes, os investigadores forenses podem ser solicitados a recuperar dados perdidos de unidades que falharam, como servidores ou sistemas operacionais (SOs) que foram reformatados.
A computação Forense é a ciência que trata dos crimes que ocorrem com o uso ou se utilizam de recursos computacionais.
“Ciência Forense” e “Computação Forense”
Ciência estudo focado em qualquer área do conhecimento. Forense é relativo a próprio de foro ou relativo à justiça e aos tribunais.
Em Ciência Forense podemos usar métodos ou conhecimentos científicos para investigar crimes ou examinar evidências que podem ser apresentadas em tribunal.
A ciência da Computação Forense estuda a aquisição, preservação, recuperação e análise de dados em formato eletrônico e armazenados em algum tipo de mídia computacional. Isso é realizado por meio de métodos científicos e sistemáticos, para que, dessa forma, as informações sejam caracterizadas como evidências e, após, como provas legais, pois, na criminalística, a Computação Forense trata o incidente computacional na esfera penal, determinando as causas do incidente, os meios utilizados, quem foi o autor e as consequências causadas.
A Computação Forense e Crimes Digitais
A computação Forense trabalha com a análise e investigação de crimes digitais. Considera-se crime digital qualquer ato delituoso que use um dispositivo que contenha recursos de tecnologia em seu
funcionamento.
Segundo alguns escritores, o recurso tecnológico pode ser:
- agente: aquele ou aquilo que é usado para cometer o crime digital.
- facilitador: quando a tecnologia é usado como algo que facilita a ocorrência do crime digital.
- alvo: quando a tecnologia é o alvo ou aquilo que está sendo atacado.
Podemos separar crimes digitais em:
- Crimes cibernético próprio: dependem do uso de recursos tecnológicos para sua realização, sendo este o objeto do crime, como invasão de dispositivo informático;
- Crimes cibernético impróprio: recursos tecnológicos são usados como meio para realização do crime, que poderia ser realizado sem o uso da tecnologia, como calúnia e injúria.
Crime cibernético é todo crime que é executado online ou principalmente online. Isso pode incluir desde os roubos de identidade e outras violações de segurança a crimes do tipo pornografia de vingança, cyberstalking, assédio, bullying e até mesmo exploração sexual infantil. Os terroristas colaboram cada vez mais pela internet, transferindo esses terríveis crimes para o espaço cibernético.
(NORTON, 2020, p. 1)
Etapas do trabalho da computação forense
Geralmente, no trabalho prático da computação forense há uma padronização da metodologia usada pelos profissionais que fazem a análise forense. São, no geral, por quatro etapas:
- coleta: coletar dados e informações que podem conter evidências digitais ou possuir alguma relação com o evento investigado, e realizar cópias seguras deste material.
- exame: buscar a informação contida nas cópias e extrair dados úteis para a investigação.
- análise: realizar a análise dos dados filtrados na etapa anterior, para buscar informações úteis e relevantes respondendo às perguntas que deram origem à investigação.
- apresentação dos resultados obtidos: gerar um relatório em que devem estar descritos os procedimentos realizados e os resultados obtidos.
Após a ocorrência de um incidente, não desligue os equipamentos que sofreram os ataques ou os relacionados à esses. Coletar dados voláteis(que se perdem ao desligar o dispositivo) é essencial para a investigação.
Categoria outros
Computação Forense em Investigações e Recuperação de Dados
A computação forense também abrange áreas fora das investigações e é usada principalmente para dois propósitos separados: investigação e recuperação de dados.
Em Investigações
Quando uma pessoa suspeita que foi vítima ou ela mesma é tida como a praticante do ato malicioso, seu computador pessoal ou celular é levado à prova, para averiguação, um profissional de computação forense sai em busca de dados relevantes para a investigação. Ao buscar informações, eles precisam ter o cuidado de seguir procedimentos detalhados que permitam que suas descobertas sejam usadas como evidência. As informações que eles descobrem, sejam documentos, informações de navegação do usuário ou mesmo metadados, podem ser usadas pela acusação para criar um caso convincente contra o suspeito.
As pessoas que os profissionais de computação forense investigam nem sempre são cibercriminosos, visto que todo mundo usa dispositivos de informática, seja usuário comum ou não.
Os especialistas forenses apenas detectam como os protocolos de segurança foram quebrados.
Em um ambiente corporativo ou pessoal, A detecção de ataques são, normalmente, realizada por meio de ferramentas de análise de ambiente da organização, logs e alertas de sistemas. Por meio destes, é possível verificar a extensão do dano causado e montar uma estratégia de análise de um exemplar para entender o modus operandi do atacante. Assim que um ataque for identificado, uma ação é exigida, mesmo que seja apenas isolar o equipamento da estrutura para evitar maiores danos. Ao coletar a amostra para investigação, esta deve ser realizada com o maior cuidado para não contaminar os vestígios. A investigação nunca deve ser realizada no material original coletado, então uma cópia deste material deve sempre ser feita e é nesta cópia que ocorrerá a análise completa. A análise é realizada por meio do uso de ferramentas, como Autopsy, por exemplo. Neste ponto, dados apagados podem ser recuperados, históricos e registros são analisados, conexões de redes e portas abertas podem ser verificadas, serviços em execução e processos do sistema operacional são analisados.
Em Recuperação de Dados
Quando se trata de recuperação de dados, os profissionais forenses podem pegar discos rígidos quebrados, servidores travados e outros dispositivos comprometidos e recuperar os dados que foram perdidos anteriormente.
Podem ocorrer, ainda, casos em que a quantidade encontrada de evidências é tão insignificante que faltam dados suficientes para a montagem de uma sequência lógica dos eventos. Neste caso, é extremamente importante que o investigador tenha conhecimento para realizar uma análise mais aprofundada em determinadas evidências, como dump de memória e sistema, arquivos executáveis, análise de código-fonte e espaços desperdiçados no fim dos blocos de dados para ocultar evidências (slack space). Dump é um programa Unix para realização de cópia de segurança de sistemas de arquivos.
Veja também: Segurança: Casos Reais de Investigação que Usaram Slack Space
Ao analisar um executável, deve-se utilizar uma máquina separada na rede, e de preferência isolada, pois mesmo que o arquivo pareça inofensivo, pode ser que contenha código malicioso escondido e, neste caso, prejudicar toda a sua estrutura de rede. O indicado é nunca utilizar a sua máquina para testar o programa. Pode-se criar uma máquina virtual (VM), desde que esta esteja com um ambiente totalmente isolado da sua máquina e da rede local. A análise de executável é bem importante para entender como o arquivo malicioso funciona e que informações ele pode comprometer na sua rede.
Após conseguir o máximo de informações, deve-se transformar o executável em código-fonte. Fazendo isso, é possível realizar a engenharia reversa por meio da leitura e do reconhecimento do código, bem como a execução do sistema, passo a passo, utilizando breakpoint (ponto de parada). Este processo proporcionará mais respostas sobre o funcionamento do sistema.
Outro detalhe bem importante pode ser a busca por evidências escondidas intencionalmente ou pelo próprio sistema operacional durante a sua execução.
Não Confunda Computação Forense com Cibersegurança
Computação forense é focada principalmente na recuperação de dados. Ás vezes é recuperado para empresas após um incidente de perda de dados.
A segurança cibernética está mais preocupada com a defesa. Os profissionais de segurança cibernética trabalham em uma variedade de cargos, mas quase todos trabalham para construir redes e sistemas seguros contra possíveis invasores.
Desafios que dificultam a investigação forense
Há diversos fatores que podem impactar ou dificultar a análise dos dados em uma investigação forense:
- falta de evidências armazenadas pelas organizações, como logs em geral;
- recuperação de arquivos deletados, encriptados ou corrompidos pelo computador;
- falta de cooperação internacional para coleta de evidências em ambientes de nuvem de forma correlacionada;
- equipamentos IoT que não armazenam logs por maior prazo.
- perda da memória volátil do equipamento, que se apaga quando este é desligado, causando a perda dessas informações.
- dados na deep web. A deep web não está indexada nos buscadores, por exemplo, o Google, ou seja, a parte anônima da internet.
Esses itens podem dificultar a vida de um perito digital na realização da perícia/investigação.
Só por curiosidade, o termo perito que dizer “Particularidade de quem demonstra habilidade, destreza e maestria.” ou “Avaliação minuciosa e, geralmente, feita por especialista(s).” veja, dicio.com
Veja também:
- O que É IDS e IPS em Informática?
- pfSense: Conhecendo e Configurando o Snort(IDS/IPS)
- O que é SIEM em Informática?
- Use o Wazuh para Análise de segurança, Detecção de intrusão, Análise de dados de registro, Monitoramento da integridade do arquivo, Vulnerability Detection, Avaliação de configuração, Resposta a incidentes e Compliance
- Samba: Logs para Criação, Exclusão e Renomeação de Arquivos
Comments on “Segurança: O que é Computação Forense? Como Funciona?”