Computação forense

A análise forense computacional não se limita apenas à mídias de computador

Computação forense (também conhecida como ciência forense computacional)^[1] é um ramo da ciência forense digital pertencente às evidências encontradas em computadores e em mídias de armazenamento digital. O objetivo da computação forense é examinar a mídia digital de uma maneira forense, com o propósito de identificar, preservar, recuperar, analisar e apresentar fatos e opiniões sobre a informação digital.

Embora seja mais frequentemente associado à investigação de uma ampla variedade de crimes de informática, a computação forense também pode ser usada em processos civis. A disciplina envolve técnicas e princípios semelhantes à recuperação de dados, mas com diretrizes e práticas adicionais projetadas para criar uma trilha de auditoria legal.

Evidências de investigações forenses computacionais são geralmente submetidas às mesmas diretrizes e práticas de outras evidências digitais. Ela tem sido usada em vários casos importantes e está se tornando amplamente aceita como confiável nos sistemas de tribunais dos EUA e da Europa.

Visão geral[editar | editar código-fonte]

No início dos anos 80, os computadores pessoais tornaram-se mais acessíveis aos consumidores, levando ao aumento do seu uso em atividades criminosas (por exemplo, para ajudar a cometer fraudes). Ao mesmo tempo, vários novos "crimes computacionais" foram reconhecidos (como o cracking). A disciplina de computação forense surgiu durante este tempo como um método para recuperar e investigar evidências digitais para uso em tribunais. Desde então, o crime informático e o crime relacionado com computadores cresceram e saltaram 67% entre 2002 e 2003.^[2] Hoje, a computação forense é usada para investigar uma ampla variedade de crimes, incluindo pornografia infantil, fraude, espionagem, cyberstalking, assassinato e estupro. A disciplina também se apresenta em processos civis como forma de coleta de informações (por exemplo, descoberta eletrônica).

Técnicas forenses e conhecimento especializado são usados para explicar o estado atual de um artefato digital, como um sistema de computador, meio de armazenamento (por exemplo, disco rígido ou CD-ROM) ou um documento eletrônico (por exemplo, uma mensagem de e-mail ou imagem JPEG).^[3] O escopo de uma análise forense pode variar desde a simples recuperação de informações até a reconstrução de uma série de eventos. Em um livro de 2002, Computer Forensics, os autores Kruse e Heiser definem computação forense como envolvendo "a preservação, identificação, extração, documentação e interpretação de dados de computador".^[4] Eles descrevem a disciplina como "mais uma arte do que uma ciência", indicando que a metodologia forense é apoiada pela flexibilidade e extenso conhecimento do domínio. No entanto, embora vários métodos possam ser usados para extrair evidências de um determinado computador, as estratégias usadas pela aplicação da lei são bastante rígidas e carecem da flexibilidade encontrada no mundo civil.^[5]

Uso como evidência[editar | editar código-fonte]

No tribunal, a evidência forense de computadores está sujeita aos requisitos usuais de evidências digitais. Isso requer que as informações sejam autênticas, obtidas com confiabilidade e admissíveis.^[6] Diferentes países têm diretrizes e práticas específicas para a recuperação de evidências. No Reino Unido, os examinadores costumam seguir as diretrizes da Association of Chief Police Officers, que ajudam a garantir a autenticidade e a integridade das evidências. Embora voluntárias, as diretrizes são amplamente aceitas nos tribunais britânicos.

A computação forense tem sido usada como prova no direito penal desde meados da década de 1980, sendo que alguns exemplos notáveis incluem:^[7]

BTK Killer: Dennis Rader foi condenado por uma série de assassinatos em série que ocorreram durante um período de dezesseis anos. No final desse período, Rader enviou cartas para a polícia em um disquete. Metadados dentro dos documentos implicaram um autor chamado "Dennis" em "Christ Lutheran Church". Essa evidência ajudou a levar à prisão de Rader.
Joseph E. Duncan III: Uma planilha recuperada do computador de Duncan continha evidências que o mostraram planejando seus crimes. Os promotores usaram isso para mostrar premeditação e garantir a pena de morte.^[8]
Sharon Lopatka: Centenas de e-mails no computador de Lopatka levaram os investigadores a seu assassino, Robert Glass.^[7]
Grupo Corcoran: Este caso confirmou as obrigações das partes em preservar as evidências digitais quando o litígio começasse ou fosse razoavelmente antecipado. Os discos rígidos foram analisados por um especialista em computação forense que não encontrou e-mails relevantes que os réus deveriam ter tido. Embora o especialista não tenha encontrado nenhuma evidência de exclusão nos discos rígidos, foram encontradas provas de que os réus destruíram intencionalmente e-mails, e enganaram e não divulgaram os fatos relevantes aos demandantes e ao tribunal.
Dr. Conrad Murray: O Dr. Conrad Murray, o médico do falecido Michael Jackson, foi condenado parcialmente por evidências digitais em seu computador. Esta evidência incluiu documentação médica mostrando quantidades letais de propofol.

O processo forense[editar | editar código-fonte]

As investigações forenses computacionais geralmente seguem o processo ou fases padrões da forense digital que são aquisição, exame, análise e relatório. As investigações são realizadas em dados estáticos (ou seja, imagens adquiridas) em vez de sistemas "vivos". Esta é uma mudança das práticas forenses iniciais, em que a falta de ferramentas especializadas levou os pesquisadores a trabalharem com dados "vivos".

Técnicas[editar | editar código-fonte]

Algumas técnicas são usadas durante investigações de computação forense e muito tem sido escrito sobre as muitas técnicas usadas pela aplicação da lei em particular. Veja, por exemplo, "Defendendo Casos de Pornografia Infantil".

Análise entre-unidades[editar | editar código-fonte]

Uma técnica forense que correlaciona informações encontradas em vários discos rígidos. O processo, ainda em pesquisa, pode ser usado para identificar redes sociais e realizar a detecção de anomalias.^[9]^[10]

Análise viva[editar | editar código-fonte]

É o exame de computadores de dentro do sistema operacional usando ferramentas forenses ou ferramentas de administração de sistemas existentes para extrair evidências. A prática é útil quando se lida com Encrypting File System, por exemplo, onde as chaves de criptografia podem ser coletadas e, em alguns casos, o volume lógico do disco rígido pode ser visualizado (conhecido como aquisição viva) antes de o computador ser desligado.

Arquivos excluídos[editar | editar código-fonte]

Uma técnica comum usada na computação forense é a recuperação de arquivos excluídos. Softwares forenses modernos têm suas próprias ferramentas para recuperar ou escanear dados excluídos.^[11] A maioria dos sistemas operacionais e sistemas de arquivos nem sempre apagam dados de arquivos físicos, permitindo que os investigadores os reconstruam a partir dos setores de discos físicos. O esculpimento de arquivos envolve a pesquisa de cabeçalhos de arquivos conhecidos na imagem de disco e a reconstrução de materiais excluídos.

Forense estocástica[editar | editar código-fonte]

Um método que usa propriedades estocásticas do sistema de computador para investigar atividades sem artefatos digitais. Seu principal uso é investigar o roubo de dados.

Esteganografia[editar | editar código-fonte]

Uma das técnicas usadas para ocultar dados é através da esteganografia, o processo de esconder dados dentro de uma foto ou imagem digital. Um exemplo seria esconder imagens pornográficas de crianças ou outras informações que um determinado criminoso não queira que sejam descobertas. Os profissionais de computação forense podem combater isso examinando o hash do arquivo e comparando-o com a imagem original (se disponível). Embora a imagem pareça exatamente igual, o hash muda conforme os dados são alterados.^[12]

Dados voláteis[editar | editar código-fonte]

Ao apreender provas, se a máquina ainda estiver ativa, qualquer informação armazenada somente na memória RAM que não seja recuperada antes de ser desligada pode ser perdida.^[8] Uma aplicação de "análise viva" é recuperar dados da RAM (por exemplo, usando a ferramenta COFEE, windd, WindowsSCOPE da Microsoft) antes de remover uma exibição. O Gateway CaptureGUARD ignora o login do Windows para computadores bloqueados, permitindo a análise e a aquisição de memória física em um computador bloqueado.

A RAM pode ser analisada quanto ao conteúdo anterior após a perda de energia, porque a carga elétrica armazenada nas células de memória leva tempo para se dissipar, um efeito explorado pelo ataque de inicialização a frio. O período de tempo em que os dados são recuperáveis é aumentado pelas baixas temperaturas e pelas altas voltagens das células. Manter a RAM sem energia abaixo de -60 °C ajuda a preservar os dados residuais em uma ordem de magnitude, melhorando as chances de recuperação bem-sucedida. No entanto, pode ser impraticável fazer isso durante um exame de campo.^[13]

Algumas das ferramentas necessárias para extrair dados voláteis, no entanto, exigem que um computador esteja em um laboratório forense, tanto para manter uma cadeia legítima de evidências quanto para facilitar o trabalho na máquina. Se necessário, a execução da lei aplica técnicas para mover um computador de mesa ativo e em execução. Estes incluem um mouse jiggler, que move o mouse rapidamente em pequenos movimentos e evita que o computador entre acidentalmente em modo de hibernação. Normalmente, uma fonte de alimentação ininterrupta (UPS) fornece energia durante o trânsito.

Portanto, uma das maneiras mais fáceis de capturar dados é salvando os dados da RAM no disco. Vários sistemas de arquivos que possuem recursos de registro no diário (journaling), como NTFS e ReiserFS, mantêm uma grande parte dos dados de RAM na mídia de armazenamento principal durante a operação, e esses arquivos de página podem ser reagrupados para reconstruir o que estava na RAM naquele momento.^[14]

Ferramentas de análise[editar | editar código-fonte]

Existem várias ferramentas comerciais e de código aberto para investigação forense computacional. A análise forense típica inclui uma revisão manual do material na mídia, analisando o registro do Windows em busca de informações suspeitas, descobrindo e decifrando senhas, pesquisando palavras-chave para tópicos relacionados ao crime e extraindo e-mails e fotos para revisão.^[7]

Certificações[editar | editar código-fonte]

Há várias certificações de computação forense disponíveis, como a ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) e a IACRB Certified Computer Forensics Examiner.

A certificação mais alta independente de fornecedor (especialmente dentro da UE) é considerada a [CCFP - Certified Cyber Forensics Professional[1]].^[15]

Outros, dignos de menção para os EUA ou APAC são: a IACIS (a International Association of Computer Investigative Specialists - Associação Internacional de Especialistas em Investigação em Computadores) oferece o programa Certified Computer Forensic Examiner (CFCE).

A Asian School of Cyber Laws oferece certificações em nível internacional em Digital Evidence Analysis e em Digital Forensic Investigation. Esses cursos estão disponíveis no modo on-line e sala de aula.

Muitas empresas de software forense com base comercial agora também estão oferecendo certificações proprietárias em seus produtos. Por exemplo, a Guidance Software oferece a certificação (EnCE) em sua ferramenta EnCase, a certificação AccessData (ACE) em sua ferramenta FTK, a certificação PassMark Software (OCE) oferece em sua ferramenta OSForensics e a X-Ways Software Technology (X-PERT) oferece a certificação para seu software, X-Ways Forensics.^[16]

Referências

↑ Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (Outubro de 2000). «Recovering and examining computer forensic evidence». Consultado em 26 de julho de 2010
↑ Leigland, R (Setembro de 2004). «A Formalization of Digital Forensics» (PDF)
↑ A Yasinsac; RF Erbacher; DG Marks; MM Pollitt (2003). «Computer forensics education». IEEE Security & Privacy. CiteSeerX 10.1.1.1.9510 Em falta ou vazio |url= (ajuda); |acessodata= requer |url= (ajuda)
↑ Warren G. Kruse; Jay G. Heiser (2002). Computer forensics: incident response essentials. [S.l.]: Addison-Wesley. p. 392. ISBN 0-201-70719-5. Consultado em 6 de dezembro de 2010
↑ Gunsch, G (Agosto de 2002). «An Examination of Digital Forensic Models» (PDF)
↑ Adams, R. (2012). «'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice»
↑ ^a ^b ^c Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. [S.l.]: Elsevier. ISBN 0-12-163104-4
↑ ^a ^b Various (2009). Eoghan Casey, ed. Handbook of Digital Forensics and Investigation. [S.l.]: Academic Press. p. 567. ISBN 0-12-374267-6. Consultado em 27 de agosto de 2010
↑ Garfinkel, S. (Agosto de 2006). «Forensic Feature Extraction and Cross-Drive Analysis» (PDF)
↑ «EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis»
↑ Aaron Phillip; David Cowen; Chris Davis (2009). Hacking Exposed: Computer Forensics. [S.l.]: McGraw Hill Professional. p. 544. ISBN 0-07-162677-8. Consultado em 27 de agosto de 2010
↑ Dunbar, B (Janeiro de 2001). «A detailed look at Steganographic Techniques and their use in an Open-Systems Environment»
↑ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (21 de fevereiro de 2008). «Lest We Remember: Cold Boot Attacks on Encryption Keys». Princeton University. Consultado em 20 de novembro de 2009
↑ Geiger, M (Março de 2005). «Evaluating Commercial Counter-Forensic Tools» (PDF)
↑ «CCFP Salaries surveys». ITJobsWatch. Consultado em 15 de junho de 2017
↑ «X-PERT Certification Program». X-pert.eu. Consultado em 26 de novembro de 2015

Leitura complementar[editar | editar código-fonte]

A Practice Guide to Computer Forensics, Primeira Edição (brochura) de David Benton (autor), Frank Grindstaff (autor)
Casey, Eoghan; Stellatos, Gerasimos J. (2008). «The impact of full disk encryption on digital forensics». Operating Systems Review. 42 (3): 93–98. doi:10.1145/1368506.1368519
YiZhen Huang; YangJing Long (2008). «Demosaicking recognition with applications in digital photo authentication based on a quadratic pixel correlation model» (PDF). Proc. IEEE Conference on Computer Vision and Pattern Recognition: 1–8. Consultado em 4 de outubro de 2018. Arquivado do original (PDF) em 17 de junho de 2010
Incident Response and Computer Forensics, segunda edição (brochura) de Chris Prosise (autor), Kevin Mandia (autor), Matt Pepe (autor) "Truth is stranger than fiction..." (mais)
Ross, S.; Gow, A. (1999). Digital archaeology? Rescuing Neglected or Damaged Data Resources (PDF). Bristol & London: British Library and Joint Information Systems Committee. ISBN 1-900508-51-6
George M. Mohay (2003). Computer and intrusion forensics. [S.l.]: Artech House. p. 395. ISBN 1-58053-369-8
Chuck Easttom (2013). System Forensics, Investigation, and Response. [S.l.]: Jones & Bartlett. p. 318. ISBN 1284031055

Ligações externas[editar | editar código-fonte]

[noblett-1] Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (Outubro de 2000). «Recovering and examining computer forensic evidence». Consultado em 26 de julho de 2010

[leigland-2] Leigland, R (Setembro de 2004). «A Formalization of Digital Forensics» (PDF)

[cf-education-3] A Yasinsac; RF Erbacher; DG Marks; MM Pollitt (2003). «Computer forensics education». IEEE Security & Privacy. CiteSeerX 10.1.1.1.9510 Em falta ou vazio |url= (ajuda); |acessodata= requer |url= (ajuda)

[kruse-4] Warren G. Kruse; Jay G. Heiser (2002). Computer forensics: incident response essentials. [S.l.]: Addison-Wesley. p. 392. ISBN 0-201-70719-5. Consultado em 6 de dezembro de 2010

[gunsch-5] Gunsch, G (Agosto de 2002). «An Examination of Digital Forensic Models» (PDF)

[theadam-6] Adams, R. (2012). «'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice»

[casey-7] Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. [S.l.]: Elsevier. ISBN 0-12-163104-4

[handbook-8] Various (2009). Eoghan Casey, ed. Handbook of Digital Forensics and Investigation. [S.l.]: Academic Press. p. 567. ISBN 0-12-374267-6. Consultado em 27 de agosto de 2010

[garfinkel-9] Garfinkel, S. (Agosto de 2006). «Forensic Feature Extraction and Cross-Drive Analysis» (PDF)

[nsf-10] «EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis»

[exposed-11] Aaron Phillip; David Cowen; Chris Davis (2009). Hacking Exposed: Computer Forensics. [S.l.]: McGraw Hill Professional. p. 544. ISBN 0-07-162677-8. Consultado em 27 de agosto de 2010

[dunbar-12] Dunbar, B (Janeiro de 2001). «A detailed look at Steganographic Techniques and their use in an Open-Systems Environment»

[ColdBoot-13] J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (21 de fevereiro de 2008). «Lest We Remember: Cold Boot Attacks on Encryption Keys». Princeton University. Consultado em 20 de novembro de 2009

[geiger-14] Geiger, M (Março de 2005). «Evaluating Commercial Counter-Forensic Tools» (PDF)

[15] «CCFP Salaries surveys». ITJobsWatch. Consultado em 15 de junho de 2017

[16] «X-PERT Certification Program». X-pert.eu. Consultado em 26 de novembro de 2015

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]