Computação forense

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

A Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. A aplicação desses métodos nem sempre se dá de maneira simples, uma vez que encontrar uma evidência digital em um computador pode ser uma tarefa muito árdua. Atualmente, com os discos rígidos atingindo a capacidade de TeraBytes de armazenamento, milhões de arquivos podem ser armazenados. Logo, é necessário a utilização de métodos e técnicas de Computação Forense para encontrar a prova desejada que irá solucionar um crime, por exemplo.

Esta nova e multidisciplinar sub-área de atuação na computação utiliza uma série de conceitos e metodologias de outras sub-áreas, como, Engenharia de Software, Banco de Dados, Redes de Computadores, Sistemas Distribuídos, Arquitetura e Organização de Computadores, Programação, entre outras.

Evidência digital entende-se pela informação armazenada ou transmitida em formatos ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o que requer a atenção de um especialista certificado ou bastante experiente, a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como parte de um laudo pericial.

Nas últimas décadas, tem-se notado uma explosão do uso da tecnologia em todas as áreas da indústria, bem como no dia-a-dia das pessoas. Não é surpresa que os criminosos acompanham e até, evoluem o emprego da tecnologia no planejamento e prática de crimes.

Nomenclatura[editar | editar código-fonte]

Uma série de termos são utilizados para descrever a mesma área da computação que cuida do levantamento de evidências digitais. Termos como Computação Forense, Forense computacional e Informática Forense são alguns dos sinônimos dessa nova área da computação.

O Profissional[editar | editar código-fonte]

Dentro do âmbito criminal, cabe ao perito criminal a tarefa de analisar os materiais digitais em busca das provas. Tal profissional, especialista em Computação, irá aplicar métodos e técnicas cientificamente comprovadas em busca de evidências digitais, levando-as, através do laudo pericial, até o julgamento. O perito criminal deve sempre se atentar para a correta preservação da prova.

Fases do Exame Forense em Computação[editar | editar código-fonte]

Para examinar um dispositivo computacional, como um disco rígido, é necessário a realização de quatro fases do exame[1] : Preservação, Extração, Análise e Formalização.

- A fase de Preservação consiste em uma série de procedimentos para garantir que os dados no dispositivo questionado jamais sejam alterados, incluindo a duplicação de conteúdo através de técnicas como espelhamento ou imagem de disco.

- A fase de Extração é executada para recuperar toda e qualquer informação presente no dispositivo questionado, recuperando arquivos apagados e realizando a indexação do disco, por exemplo.

- Uma vez recuperado, cabe ao Perito Criminal realizar a fase de Análise, coletando as evidências digitais necessárias para o caso. Para isso, diversas técnicas podem ser utilizadas, além de tentar superar eventuais desafios, como a existência de senhas e criptografia.

- Por fim, a fase de Formalização consiste na elaboração do Laudo Pericial, explicando e apresentando as provas digitais coletadas com garantia de integridade.

Principais Ferramentas[editar | editar código-fonte]

Para auxiliar o perito criminal nessa difícil tarefa de encontrar as evidências digitais, uma série de ferramentas foram desenvolvidas. As mais utilizadas no meio forense são a Forensic ToolKit (FTK), EnCase e a WinHex, alem de outros pequenos aplicativos e utilitários de código aberto, disponíveis na internet, tais como visualizadores de arquivos dotados de compactação especial. Diversos equipamentos forenses também foram desenvolvidos para auxiliar na preservação e obtenção das provas, como bloqueadores de escrita de discos e duplicadores forenses, como o Talon, Quest, Dossier e Solo III. Esses últimos, realizam a duplicação de discos rígidos sem o uso de computadores, garantindo a preservação do disco rígido original. Um sistema bastante avançado denominado F.R.E.D, sigla para Forensic Recovery Evidency Device, (www.digitalintelligence.com)tem sido amplamente utilizado. Trata-se de um computador cujas especificações de hardware são voltadas para a área forense computacional, contando com bloqueadores de escrita e baias onde podem ser conectados os discos rígidos a serem examinados. Uma vez conectados, os discos são copiados com proteção de escrita, de forma a manter a integridade dos dados ali armazenados. A cópia é então analisada com o uso dos softwares acima citados.

Desafios futuros[editar | editar código-fonte]

A tecnologia está em constante evolução e com ela novos tipos de crimes surgem e desafios novos aparecem a computação forense. Dentre os desafios do futuro a computação forense, podemos citar:

- Cloud Computing: O Acesso a físico a dispositivos, sobretudo em plataformas IAAS, pode não ser franqueado ao perito, sobretudo se este dispositivo físico estiver em localidades extremas ou fora da jurisdição local.

- Dispositivos com capacidade crescente de armazenamento: Em que pese dados possam persistir em dispositivos com grande capacidade de armazenamento, não restam dúvidas que tais dispositivos, com alta capacidade de armazenamento, dificultam as fases de coleta e análise, sendo sabido que o perito comumente dispõe de pouco tempo para apresentar conclusões sobre o que realmente ocorreu em um ativo informático.

- Inteligência artificial

- Dispositivos móveis com cada vez mais recursos e funcionalidades: Tal característica demandará do perito atualização constante em padrões, tecnologias e protocolos.

- Dispositivos virtualizados: Em que pese a coleta de discos virtualizados possa ser facilitada, em verdade, a exclusão maliciosa destes "discos virtuais" pode ser realizada com maior facilidade pelo suspeito, o que pode prejudicar o trabalho de recuperação de dados por parte do perito.

- BYOD (Bring Your Own Device): Autorizações adicionais e revisão do mandado judicial ou política da empresa serão medidas necessárias, para que o perito possa avaliar dispositivos que não pertencem à empresa, mas sim ao colaborador, que os utiliza para finalidades laborais.

Computação Forense e Informática Forense[editar | editar código-fonte]

Computação Forense:

- Inspeção científica e sistemática em ambientes computacionais com a finalidade de angariar evidências digitais para que seja possível a reconstituição dos eventos.

- Investigação dos dispositivos de armazenamento e de processamento de dados (computadores, portáteis, servidores, etc) e meios de armazenamento removíveis (CD, disquetes, pendrives, etc) para determinar se foi utilizado para atividades ilegais, não autorizadas ou irregulares.

Informática Forense:

- É a ciência da investigação dos processos que geram informação.

- Processos automáticos utilizam de forma generalizada as tecnologias informáticas e de comunicações para capturar, processar, armazenar e transmitir dados.

- Processos manuais complementam os sistemas em todos os níveis de processos. Exemplo: entrada de dados, verificação de cálculos, relatórios, etc

Referências[editar | editar código-fonte]

  1. (em português) ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. São Paulo: Novatec Editora, Jan/2011 (ISBN: 978-85-7522-260-7).

Ligações externas[editar | editar código-fonte]