Forense digital

Origem: Wikipédia, a enciclopédia livre.

Forense Digital (algumas vezes conhecida como ciência forense digital) é um ramo da ciência forense que abrange a recuperação e investigação de material encontrado em dispositivos digitais, geralmente em relação a crimes computacionais.[1][2] Ela não tem nenhum propósito absoluto em qualquer circunstância, pois consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. A aplicação desses métodos nem sempre se dá de maneira simples, uma vez que encontrar uma evidência digital em um computador pode ser uma tarefa muito árdua. Atualmente, com os discos rígidos atingindo a capacidade de TeraBytes de armazenamento, milhões de arquivos podem ser armazenados. Logo, é necessário a utilização de métodos e técnicas de Computação Forense para encontrar a prova desejada que irá solucionar um crime, por exemplo.

O termo forense digital foi originalmente usado como um sinônimo para forense computacional mas expandiu-se para cobrir a investigação de todos os dispositivos capazes de armazenar dados digitais.[1] Com raízes na revolução da computação pessoal no final dos anos 70 e início dos anos 80, a disciplina evoluiu de uma maneira desordenada durante a década de 90, e foi somente no início do século 21 que surgiram as políticas nacionais.

Investigações de computação forense possuem várias aplicações. A mais comum é suportar ou refutar uma hipótese diante de um tribunal criminal ou civil. Os casos criminais envolvem a alegada violação de leis que são definidas pela legislação e que são aplicadas pela polícia e processadas pelo Estado, como homicídio, roubo e agressão contra a pessoa. Casos civis, por outro lado, lidam com a proteção dos direitos e propriedade de indivíduos (geralmente associados a disputas familiares), mas também podem estar relacionados a disputas contratuais entre entidades comerciais onde uma forma de perícia digital referida como descoberta eletrônica (ediscovery) pode estar envolvida.

A perícia também pode aparecer no setor privado, como durante investigações corporativas internas ou investigação de intrusão (uma investigação especializada sobre a natureza e extensão de uma invasão de rede não autorizada).

O aspecto técnico de uma investigação é dividido em várias sub-ramificações, relacionadas ao tipo de dispositivos digitais envolvidos: computação forense, forense de rede, análise forense de dados e análise forense de dispositivos móveis. O processo forense típico engloba a apreensão, a aquisição de imagens forenses e a análise de mídia digital e a produção de um relatório sobre as evidências coletadas.

Além de identificar evidências diretas de um crime, a perícia digital pode ser usada para atribuir evidências a suspeitos específicos, confirmar álibis ou declarações, determinar a intenção, identificar fontes (por exemplo, em casos de direitos autorais) ou autenticar documentos.[3] As investigações são muito mais abrangentes do que outras áreas da análise forense (onde o objetivo usual é fornecer respostas a uma série de perguntas mais simples), muitas vezes envolvendo linhas de tempo ou hipóteses complexas.[4]

É uma nova e multidisciplinar sub-área de atuação na computação, que utiliza uma série de conceitos e metodologias de outras sub-áreas, como, Engenharia de Software, Banco de Dados, Redes de Computadores, Sistemas Distribuídos, Arquitetura e Organização de Computadores, Programação, entre outras.

História[editar | editar código-fonte]

Nas últimas décadas, tem-se notado uma explosão do uso da tecnologia em todas as áreas da indústria, bem como no dia-a-dia das pessoas. Não é surpresa que os criminosos acompanham e até, evoluem o emprego da tecnologia no planejamento e prática de crimes.

Nomenclatura[editar | editar código-fonte]

Uma série de termos são utilizados para descrever a mesma área da computação que cuida do levantamento de evidências digitais. Termos como Computação Forense, Perícia Digital, Forense computacional e Informática Forense são alguns dos sinônimos dessa nova área da computação.

Considerações legais[editar | editar código-fonte]

Evidência digital entende-se pela informação armazenada ou transmitida em formatos ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o que requer a atenção de um especialista certificado ou bastante experiente, a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como parte de um laudo pericial.

O Profissional[editar | editar código-fonte]

Dentro do âmbito criminal, cabe ao perito criminal a tarefa de analisar os materiais digitais em busca das provas. Tal profissional, especialista em Computação, irá aplicar métodos e técnicas cientificamente comprovadas em busca de evidências digitais, levando-as, através do laudo pericial, até o julgamento. O perito criminal deve sempre se atentar para a correta preservação da prova.

Fases do Exame Forense em Computação[editar | editar código-fonte]

Para examinar um dispositivo computacional, como um disco rígido, é necessário a realização de quatro fases do exame[5]: Preservação, Extração, Análise e Formalização.

- A fase de Preservação consiste em uma série de procedimentos para garantir que os dados no dispositivo questionado jamais sejam alterados, incluindo a duplicação de conteúdo através de técnicas como espelhamento ou imagem de disco.

- A fase de Extração é executada para recuperar toda e qualquer informação presente no dispositivo questionado, recuperando arquivos apagados e realizando a indexação do disco, por exemplo.

- Uma vez recuperado, cabe ao Perito Criminal realizar a fase de Análise, coletando as evidências digitais necessárias para o caso. Para isso, diversas técnicas podem ser utilizadas, além de tentar superar eventuais desafios, como a existência de senhas e criptografia.

- Por fim, a fase de Formalização consiste na elaboração do Laudo Pericial, explicando e apresentando as provas digitais coletadas com garantia de integridade.

Segundo Della Vecchia,[6] seriam cinco fases: Identificação, Coleta, Exame, Análise e Resultado, muito semelhantes às quatro já mencionadas, porém com um grau de detalhamento maior.

Principais Ferramentas[editar | editar código-fonte]

Para auxiliar o perito criminal nessa difícil tarefa de encontrar as evidências digitais, uma série de ferramentas foram desenvolvidas. As mais utilizadas no meio forense são a Forensic ToolKit (FTK), EnCase, Nuix e a WinHex, além de outros pequenos aplicativos e utilitários de código aberto, disponíveis na internet, tais como visualizadores de arquivos dotados de compactação especial. Diversos equipamentos forenses também foram desenvolvidos para auxiliar na preservação e obtenção das provas, como bloqueadores de escrita de discos e duplicadores forenses, como o Talon, Quest, Dossier, Solo III e a linha Tableau. Esses últimos, realizam a duplicação de discos rígidos sem o uso de computadores, garantindo a preservação do disco rígido original. Um sistema bastante avançado denominado F.R.E.D, sigla para Forensic Recovery Evidency Device, (www.digitalintelligence.com) tem sido amplamente utilizado. Trata-se de um computador cujas especificações de hardware são voltadas para a área forense computacional, contando com bloqueadores de escrita e baias onde podem ser conectados os discos rígidos a serem examinados. Uma vez conectados, os discos são copiados com proteção de escrita, de forma a manter a integridade dos dados ali armazenados. A cópia é então analisada com o uso dos softwares acima citados. As ferramentas de análise de dispositivos móveis também são extremamente importantes nas investigações digitais, com destaque para a linha de produtos UFED, da Cellebrite, além do XRY, da Micro Systemation. No Brasil, a empresa TechBiz Forense Digital (www.forensedigital.com.br) é a maior integradora das tecnologias de computação forense e possui um amplo portfólio de ferramentas, que são fornecidas para órgãos públicos e privados e forças da lei de todo o Brasil.

Certificações na área de investigação forense[editar | editar código-fonte]

O mercado de tecnologia é certamente um dos mercados que mais exigem preparação técnica e acadêmica. A exigência vai muito além da formação acadêmica tradicional como cursos de graduação e pós-graduação, atualmente um profissional que não é certificado está perdendo grandes oportunidades de se destacar.

Certificações são documentos formais emitidos por instituições sérias, que possuam credibilidade legal ou social para garantir que determinado profissional possui a respectiva gama de conhecimentos.

Elas são muito comuns na área de tecnologia, levando diversos profissionais até a se questionarem se devem se submeter a um curso de pós-graduação ou se devem se preparar para uma certificação, pois tal é sua importância que as empresas podem dar mais valor à certificação do que à formação tradicional.

ACE (Acess Data)[editar | editar código-fonte]

Empresa de Certificação[editar | editar código-fonte]

A Access Data é uma das principais empresas no ramo de Forense Digital, ela é responsável pelo desenvolvimento da suíte Forensic Tool Kit e do FTK Imager, além de outras ferramentas extremamente eficazes na coleta, processamento e análise de evidências digitais. Profissionais que desejam entrar para área de computação forense tem por obrigação de conhecer estas ferramentas.

EnCE[editar | editar código-fonte]

Empresa de Certificação: Guidance Software[editar | editar código-fonte]

A Guidance Software é uma das principais empresas no ramo de Forense Digital, ela é responsável pelo desenvolvimento da suíte EnCase e EnCase Imager.

CCE[editar | editar código-fonte]

Empresa de Certificação: International Society of Forensic Computer Examiners (ISFCE) – Exames em Computação Forense[editar | editar código-fonte]

A International Society of Forensic Computer Examiners (ISFCE) é uma organização estadunidense dedicada exclusivamente a promover a certificação de profissionais, tendo como principal certificação a Certified Computer Examiner (CCE).

GCFE[editar | editar código-fonte]

Empresa de Certificação: SANS / GIAC[editar | editar código-fonte]

A SANS/GIAC é uma das maiores instituições de focadas em certificar profissionais de segurança da informação. A GCFE é a certificação inicial da SANS no quesito de Forense Digital, ela é recomendada para o profissional que deseja ter foco em artefatos de sistemas Microsoft.

Desafios futuros[editar | editar código-fonte]

A tecnologia está em constante evolução e com ela novos tipos de crimes surgem e desafios novos aparecem a computação forense. Dentre os desafios do futuro a computação forense, podemos citar:

- Cloud Computing: O Acesso a físico a dispositivos, sobretudo em plataformas IAAS, pode não ser franqueado ao perito, sobretudo se este dispositivo físico estiver em localidades extremas ou fora da jurisdição local.

- Dispositivos com capacidade crescente de armazenamento: Em que pese dados possam persistir em dispositivos com grande capacidade de armazenamento, não restam dúvidas que tais dispositivos, com alta capacidade de armazenamento, dificultam as fases de coleta e análise, sendo sabido que o perito comumente dispõe de pouco tempo para apresentar conclusões sobre o que realmente ocorreu em um ativo informático.

- Inteligência artificial

- Dispositivos móveis com cada vez mais recursos e funcionalidades: Tal característica demandará do perito atualização constante em padrões, tecnologias e protocolos.

- Dispositivos virtualizados: Em que pese a coleta de discos virtualizados possa ser facilitada, em verdade, a exclusão maliciosa destes "discos virtuais" pode ser realizada com maior facilidade pelo suspeito, o que pode prejudicar o trabalho de recuperação de dados por parte do perito.

- BYOD (Bring Your Own Device): Autorizações adicionais e revisão do mandado judicial ou política da empresa serão medidas necessárias, para que o perito possa avaliar dispositivos que não pertencem à empresa, mas sim ao colaborador, que os utiliza para finalidades laborais.

Computação Forense e Informática Forense[editar | editar código-fonte]

Computação Forense:

- Inspeção científica e sistemática em ambientes computacionais com a finalidade de angariar evidências digitais para que seja possível a reconstituição dos eventos.

- Investigação dos dispositivos de armazenamento e de processamento de dados (computadores, portáteis, servidores, etc) e meios de armazenamento removíveis (CD, disquetes, pendrives, etc) para determinar se foi utilizado para atividades ilegais, não autorizadas ou irregulares.

Informática Forense:

- É a ciência da investigação dos processos que geram informação.

- Processos automáticos utilizam de forma generalizada as tecnologias informáticas e de comunicações para capturar, processar, armazenar e transmitir dados.

- Processos manuais complementam os sistemas em todos os níveis de processos. Exemplo: entrada de dados, verificação de cálculos, relatórios, etc

Referências[editar | editar código-fonte]

  1. a b M Reith; C Carr; G Gunsch (2002). «An examination of digital forensic models». International Journal of Digital Evidence. Consultado em 2 de agosto de 2010. Cópia arquivada em 15 de outubro de 2012 
  2. Carrier, B (2001). «Defining digital forensic examination and analysis tools». Digital Research Workshop II. Consultado em 2 de agosto de 2010. Cópia arquivada em 15 de outubro de 2012 
  3. Various (2009). Eoghan Casey, ed. Handbook of Digital Forensics and Investigation. [S.l.]: Academic Press. p. 567. ISBN 0-12-374267-6 
  4. Carrier, Brian D (7 de junho de 2006). «Basic Digital Forensic Investigation Concepts». Cópia arquivada em 26 de fevereiro de 2010 
  5. (em português) ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. São Paulo: Novatec Editora, Jan/2011 (ISBN: 978-85-7522-260-7).
  6. (em português) DELLA VECCHIA, Evandro. Perícia Digital - da investigação à análise forense. Campinas: Millennium, 2014 (ISBN: 978-85-7625-310-5).

Ligações externas[editar | editar código-fonte]