à medida que mais e mais usuários se tornam móveis e utilizam dispositivos interconectados, os computadores geralmente estão no centro de incidentes e investigações. As evidências para discussão em um tribunal são frequentemente coletadas graças às habilidades de especialistas forenses digitais que podem extrair dados cruciais de dispositivos eletrônicos pertencentes às partes afetadas. Os funcionários da lei às vezes dependem do testemunho de analistas forenses especializados em e-discovery; esses especialistas são chamados a trabalhar diretamente com policiais e detetives para ajudar na identificação, preservação, análise e apresentação de evidências digitais para ajudar a resolver casos de crimes.
o objetivo do artigo é fornecer uma visão geral da computação forense e os métodos aplicados na aquisição de evidências digitais de sistemas de computador e dispositivos móveis para análise de informações envolvidas em investigações criminais. Também aborda os mais recentes desafios forenses: forense móvel, forense em nuvem e anti-forense.
especialistas forenses em Informática
o trabalho dos especialistas forenses é “ajudar a identificar criminosos e analisar evidências contra eles”, diz Hall Dillon em um post do career outlook para o Bureau of Labor Statistics dos EUA.
indivíduos treinados e qualificados trabalham para a aplicação da lei pública ou no setor privado para realizar tarefas relacionadas à coleta e análise de evidências digitais. Eles também são responsáveis por escrever relatórios significativos para uso em ambientes investigativos e legais. Além de trabalhar em laboratórios, especialistas forenses aplicam técnicas de Investigação digital no campo, descobrindo metadados que têm importância em um tribunal.Os analistas forenses de computadores de hoje são capazes de recuperar dados que foram excluídos, criptografados ou estão escondidos nas dobras da tecnologia de dispositivos móveis; eles podem ser chamados para testemunhar em tribunal e relacionar as evidências encontradas durante as investigações. Eles podem estar envolvidos em casos desafiadores, para incluir a verificação dos álibis dos infratores, exame de abuso na Internet, uso indevido de recursos de computação e uso da rede na criação de ameaças relacionadas ao computador. Especialistas forenses podem ser chamados para apoiar casos importantes envolvendo violações de dados, intrusões ou qualquer outro tipo de incidente. Ao aplicar técnicas e aplicativos forenses de software proprietário para examinar dispositivos ou plataformas do sistema, eles podem ser capazes de fornecer descobertas importantes ao pin que foi/foi responsável por um crime investigado.
a disciplina de computação forense em rápido crescimento tornou-se sua própria área de especialização científica, com treinamento e certificações de acompanhamento (CCFE, CHFI). De acordo com a Computer Forensics World, uma comunidade de profissionais envolvidos na indústria forense digital, os indivíduos certificados neste campo são responsáveis pela identificação, coleta, aquisição, autenticação, preservação, exame, análise e apresentação de evidências para fins de acusação.
o processo forense de computador
o objetivo de um exame forense de computador é recuperar dados de computadores apreendidos como evidência em investigações criminais. Os especialistas usam uma abordagem sistemática para examinar evidências que poderiam ser apresentadas em tribunal durante o processo. O envolvimento de especialistas forenses precisa ser iniciado em uma investigação, pois eles podem ajudar na coleta adequada de material técnico de uma forma que permita restaurar o conteúdo sem nenhum dano à sua integridade.
os esforços de investigação forense podem envolver muitas (ou todas) das seguintes etapas:
- Coleção de busca e apreensão de evidências digitais, e aquisição de dados
- Exame – aplicação de técnicas para identificar e extrair dados
- Análise – utilização de dados e de recursos para provar um caso
- Relatórios – apresentar as informações recolhidas (por exemplo, escrito relato de caso)
Bill Nelson, um dos autores do Guia para a computação Forense e investigação (terceira ed.) livro, destaca a importância dos Três a’s da Computação Forense: adquirir, autenticar e analisar. Ele diz que o processo Forense Computacional, de fato, envolve a adoção de uma abordagem sistemática, que inclui uma avaliação inicial, obtenção de evidências e análise, para concluir um relato de caso (2008, pp. 32-33).Casos forenses variam muito; alguns lidam com intrusos de computador roubando dados; Outros envolvem hackers que invadem sites e lançam ataques DDoS, ou tentam obter acesso a nomes de usuários e senhas para roubo de identidade com intenções fraudulentas, diz O FBI. Alguns casos envolvem perseguição Cibernética ou malfeitores que visitam sites proibidos (por exemplo, sites de pornografia infantil). Um examinador forense pode explorar a trilha cibernética deixada pelo agressor.Seja qual for o motivo da investigação, os analistas seguem procedimentos passo a passo para garantir que as descobertas sejam sólidas. Uma vez que um processo criminal esteja aberto, computadores e outros equipamentos e softwares de mídia digital serão apreendidos e/ou investigados para obter evidências. Durante o processo de recuperação, todos os itens essenciais são coletados para dar ao analista forense o que ele precisa para prestar depoimento em tribunal.
então é hora de extrair e analisar dados. Um investigador forense de computador leva em consideração o 5Ws (quem, o que, quando, onde, Por que) e como ocorreu um crime ou incidente de computador. Usando critérios de avaliação padrão, o examinador pode identificar lapsos relacionados à segurança em um ambiente de rede em busca de tráfego suspeito e qualquer tipo de intrusão, ou pode coletar mensagens, dados, imagens e outras informações a serem atribuídas exclusivamente a um usuário específico envolvido em um caso.
o processo forense inclui também a redação de relatórios. Os examinadores forenses de computador são obrigados a criar tais relatórios para que o advogado discuta as evidências factuais disponíveis. É importante preparar evidências forenses para testemunho, especialmente quando os casos são julgados e o examinador é chamado de testemunha técnica/científica ou testemunha especializada.
maneiras de obter evidências forenses
tradicionalmente, investigações forenses por computador eram realizadas em dados em repouso, por exemplo, explorando o conteúdo de discos rígidos. Sempre que um cientista forense exigia uma análise mais aprofundada (como realizar imagens—a cópia de discos rígidos, unidades flash, discos, etc.), foi feito normalmente em um ambiente controlado do laboratório. Análise morta (também conhecida como aquisição forense morta ou apenas aquisição estática) é posse de dados que é realizada em computadores que foram desligados. Em outras palavras, envolve exames do sistema (e partes dele) em repouso (morto). A técnica de análise ao vivo, em vez disso, envolve a coleta de dados de um sistema antes de desligá-lo. Uma análise morta é considerada necessária para ter tempo também para recuperar evidências físicas como DNA (impressões digitais em equipamentos); no entanto, é a aquisição ao vivo no campo que atualmente é o foco da atenção de especialistas forenses.
realizar uma “análise ao vivo” no campo fornece evidências rápidas e antecipadas; pode ser realizado graças a ferramentas analíticas que agora são portáteis e podem ser transportadas pelos analistas na cena do crime para começar a investigar imediatamente.
mesmo que um examinador forense possa precisar do laboratório criminal para análise posterior ou para realizar um processo repetitivo (algo que não é possível com aquisições ao vivo), nem todos os casos exigem isso. No entanto, é importante que o examinador forense colete informações suficientes para determinar o próximo passo apropriado na investigação. Essa abordagem não garante perda ou dano de evidências digitais, perda de dados voláteis ou necessidade de um mandado para a apreensão do equipamento.
investigações ao vivo já foram realizadas há anos. Na era digital de hoje e no aumento do crime informático, não é nenhuma surpresa por que há uma necessidade de empregar analistas forenses para a análise e interpretação de evidências digitais (por exemplo, sistemas de computador, mídia de armazenamento e dispositivos), explica Marcus K. Rogers, Departamento de Informática e Tecnologia da Informação da Universidade de Purdue. Em um artigo sobre o Cyber Forense Campo de Triagem Modelo de Processo (CFFTPM) em 2006, ele observou que “CFFTPM propõe uma no local ou campo de abordagem para fornecer a identificação, análise e interpretação de evidências digitais em um curto espaço de tempo, sem a necessidade de ter que levar o sistema(s)/mídia de volta para o laboratório para uma análise aprofundada, ou a obtenção de uma completa forense imagem(s).”
algumas ferramentas forenses de computadores
ferramentas abrangentes de software forense (como Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD, etc.) são usados por investigadores da cena do crime para fornecer sua coleta, indexação e análise detalhada.
Uma investigação forense consiste na coleta de computador informações forenses; o processo pode começar por analisar o tráfego de rede com um analisador de pacote ou uma ferramenta sniffer como o Wireshark, que é capaz de interceptar o tráfego e o log para posterior análise. NetworkMiner, outra ferramenta de análise forense de rede (NFAT), é uma alternativa ao Wireshark para extrair ou recuperar todos os arquivos. Snort, em vez disso, é uma ferramenta valiosa no rastreamento de intrusos de rede em tempo real.
o software NFAT também contém recursos forenses realizando análises no tráfego de rede armazenado, como o próprio nome sugere. Quanto à resposta e identificação de Incidentes, um kit de ferramentas forense, ou FTK, pode ser usado para identificar arquivos excluídos e recuperá-los; enquanto o EnCase é adequado para uso forense, de segurança cibernética e de Descoberta Eletrônica.
A necessidade de novas ferramentas de análise forense
a implementação e O rápido crescimento das novas tecnologias tem criado alguns problemas forenses analistas que são agora confrontados com a tarefa de ter que olhar para informações não apenas em computadores pessoais e laptops, mas também (e mais freqüentemente) em tablets e smartphones.
“mobile device forensics é a ciência de recuperar evidências digitais de um dispositivo móvel sob condições forenses usando métodos aceitos”, afirma o NIST em suas “diretrizes sobre forense de dispositivos móveis.”O guia destaca como os analistas forenses devem ter um entendimento firme, hoje, da singularidade do mundo móvel e entender a maioria dos recursos de tecnologia por trás de qualquer modelo e tipo de dispositivo que possa ser encontrado em uma cena de crime.A proliferação de sistemas operacionais proprietários, tecnologias de criptografia e ferramentas de proteção desenvolvidas por empresas de smartphones como Nokia, Samsung, LG, Huawei, Apple e muito mais obriga os analistas a acompanhar os desenvolvimentos mais recentes em um ritmo mais rápido do que nunca. Os novos dispositivos avançados de hoje são produzidos a taxas mais altas e extraem informações deles, mesmo depois de ignorar os recursos de segurança óbvios que os protegem, oferecem desafios únicos.
trabalhando com computadores autônomos, um analista sabia onde procurar dados (RAM, BIOS, HHD…). Em um armazenamento de dispositivo móvel, não é tão claro, e informações relevantes podem ser encontradas em vários locais, de NAND a nem memória flash para a RAM de um cartão SIM, por exemplo.
é importante trabalhar de maneiras que preservem dados considerando, por exemplo, questões como os efeitos da drenagem de energia na memória volátil do dispositivo que poderiam revelar informações importantes sobre execuções de programas no dispositivo. Além disso, ” os sistemas operacionais fechados dificultam a interpretação de seu sistema de arquivos e estrutura associados. Muitos dispositivos móveis com o mesmo sistema operacional também podem variar amplamente em sua implementação, resultando em uma infinidade de permutações de Sistema de arquivos e estrutura. Essas permutações criam desafios significativos para fabricantes e examinadores de ferramentas forenses móveis.”(Publicação especial NIST 800-101, Revisão 1)
como explica o Instituto Nacional de padrões e Tecnologia (NIST), muitas são as técnicas que os analistas podem empregar para coletar dados forenses de dispositivos móveis, desde a extração manual menos intrusiva até a micro leitura invasiva, sofisticada e cara. Extração Manual significa obter informações simplesmente usando a interface do Usuário e a tela do dispositivo. O segundo passo ainda é básico e envolve extração lógica. O terceiro nível envolve métodos de extração Hex / JTAG; requer uma abordagem de coleta de dados mais difícil – realizada através da aquisição física da memória do dispositivo. O quarto nível é o método de chip-off que envolve a remoção real da memória e o quinto, o método mais difícil e sofisticado é a técnica de Micro leitura na qual os analistas usam um microscópio sofisticado para visualizar o estado físico de todos os portões.
NIST não está apenas trabalhando em uma abordagem comum para forense móvel, mas também no fornecimento de um fórum para reunir ideias sobre forense em nuvem. A computação em nuvem é uma tecnologia de rápido crescimento agora usada pela maioria dos usuários de dispositivos móveis e muitas empresas. Sua flexibilidade e escalabilidade o tornam uma escolha atraente para a maioria dos usuários, mas também apresenta desafios forenses exclusivos.
além dos desafios técnicos, na verdade, a computação em nuvem apresenta jurisdição e problemas legais. Os dados, de fato, podem ser armazenados e acessados em qualquer lugar e pode ser problemático para os investigadores acessar dados em diferentes países ou de maneiras que preservem os direitos de privacidade de outros usuários da nuvem.Além disso, às vezes é difícil atribuir dados e ações a um usuário específico. A recuperação de dados também pode ser problemática devido à substituição e reutilização do espaço em um ambiente de nuvem.Os investigadores também precisam estar cientes das técnicas, ferramentas e práticas anti-forenses que podem tornar a análise forense inconclusiva, especialmente em um ambiente de nuvem. Certos tipos de malware e técnicas de ofuscação podem comprometer a integridade das evidências coletadas e podem dificultar a apresentação de conclusões no tribunal.
conclusão
como a Infosec explica em seu site, ” especialistas em Computação Forense são necessários pelas empresas de hoje para determinar a causa raiz de um ataque de hackers, coletar evidências legalmente admissíveis em tribunal e proteger ativos corporativos e reputação.”
com crimes cibernéticos (ou seja,, qualquer ato criminoso lidando com computadores e redes) em ascensão e ameaçando dados organizacionais, bem como o aumento do uso de dispositivos digitais pela população em geral, a análise de evidências digitais torna-se um elemento crucial em muitas cenas de crime.A computação forense é agora uma profissão empolgante que coloca ênfase no elemento humano, mas também apresenta desafios devido à necessidade de descobrir evidências digitais em um ambiente em constante mudança. Os avanços tecnológicos e a mudança para ambientes em rede e em nuvem, onde os métodos anti-forenses podem facilmente entrar em jogo, obrigam os profissionais nas áreas a se manterem atualizados e revisarem procedimentos operacionais continuamente padrão.Rebecca T. Mercuri, fundadora da Notable Software, Inc., observou em um artigo acadêmico sobre Desafios na computação forense que “a maturidade contínua desse campo invariavelmente trará alguma estabilização nas melhores práticas, treinamento, certificação e conjuntos de ferramentas, mas novos desafios sempre surgirão devido à natureza dinâmica da tecnologia em sua raiz.”No entanto, como afirma o FBI em seu site, “esta disciplina forense emergente é permanecer uma ferramenta eficaz e confiável no sistema de justiça criminal.”
Fontes
Orientações no Dispositivo Móvel Forense
Esculpindo a Diferença entre a computação Forense e E-Discovery
Racionalização Digital Forense Fluxo de trabalho: Parte 3
mais Seguro Viver Forense Aquisição
inspeção de Segurança – Desafios em Computação Forense
Guia para a computação Forense e Investigação. (3ª ed.). Boston, MA
modelo de processo de triagem de campo forense de computador.
blog de inovações: o impulso para a Forense ao vivo.
Forense Digital não é apenas como, mas por que