21 de set. de 2010

Procedimentos para a Perícia Digital

Introdução

A cada dia que passa é cada vez maior o número de casos judiciais e investigações administrativas onde filmagens, fotos, ligações, e-mails e outras formas digitais são levantadas para melhor esclarecer a questão apresentada a ser investigada. Dentro de alguns anos é esperado que a maioria das questões judiciais envolvam a forense computacional, pois evidências digitais estarão diretamente ou indiretamente ligadas aos casos, como hoje estão na vida de todos nós. Porém, como em todas as novas técnicas e descobertas, o mercado está escasso de profissionais nesta área e mais carente de profissionais certificados em forense digital.

Dentro da empresa uma maneira de coletar informações é procurar em históricos de navegadores de internet, que armazenam dados dos usuários, como também outros aplicativos, que mesmo sem o conhecimento do usuátio, usam algum tipo de armazenamento de dados.


Novas formas de invadir e interferir com os computadores são desenvolvidas a cada dia. Com um mínimo de conhecimento de redes de computadores, praticamente qualquer um pode conseguir ferramentas de graça na Internet e utilizá-las para explorar vulnerabilidades em sistemas, e consequentemente invadi-los e provocar todo tipo de estrago. A intrusão de sistemas tem sido considerada um risco à segurança nacional em muitos países, de modo que a compreensão acerca dos objetivos e métodos empregados nesses incidentes tem se tornado alvo de muitos estudos.

Passos básicos para uma investigação forense:
  •      ter em mãos a autorização para fazer a investigação;
  •      fazer a investigação em local seguro e isolado;
  •      registrar a cena sempre;
  •      conduzir a procura sistemática das evidências;
  •      coletar e empacotar as evidências;
  •      manter uma cadeia de custódia.
Processo de busca por evidências pode ser resumido:
  •      identificar tipos de arquivos;
  •      listar os arquivos, apagados, criados e gravados;
  •      buscar palavras-chave;
  •      buscar evidências de acesso à internet (e-mails, chat, fórum, sites de relacionamento, entre outros);
  •      buscar lista de imagens;
  •      buscar usuários identificados;
  •      buscar softwares e hardwares instalados e apagados;
  •      buscar arquivos escondidos (criptografia, esteganografia, partições escondidas, entre outros)
Ao considerar somente o processo de coleta de dados, adote uma ordem, como, por exemplo:
  1. Criar imagens dos equipamentos e sistemas investigados.
  2. Capturar os dados na memória principal.
  3. Capturar os dados na memória dos dispositivos secundários.
  4. Fazer um registro sequencial (journal).
  5. Obter todo o estado transitório.
  6. Capturar todas as informações em anotações.
  7. Lacrar todas as evidências em sacos etiquetados, com especial atenção para os dispositivos de armazenamento de dados que devem ser armazenados em sacos antiestáticos.
  8. Etiquetar os periféricos, cabos e componentes do computador analisado.
  9. Armazenar as evidências em local seguro.
  10. Documentar e justificar (Cadeia de custódia) todas as mudanças feitas durante esta fase.
Basicamente, as questões a serem respondidas ao realizar uma perícia computacional passam por:
  • Quem estava usando o equipamento investigado?
  • Quem estava conectado ao equipamento investigado?
  • Quais arquivos foram usados pelo suspeito?
  • Quais hardwares foram usados pelo suspeito?
  • Qual a versão do Sistema Operacional (SO) que está sendo investigado?
  • Quais softwares, além do SO foram usados pelo suspeito?
  • Quais portas estavam abertas no equipamento?
  • Quais arquivos foram excluídos ou transmitidos pelo suspeito?
  • Quem logou ou tentou logar no equipamento investigado recentemente?
Todo profissional de forense computacional deve possuir conjunto de ferramentas de hardware ou software que o auxiliem no seu processo investigativo. O conjunto de ferramentas deve ter no mínimo os seguintes itens:
  • Um computador, com ferramentas e programas específicos de análise.
  • Um computador portátil, com diversos sistemas operacionais e suas atualizações.
  • Mídia ou unidade removível com ferramentas e programas específicos de análise.
  • Leitoras de diversos tipos de mídia.
  • Mídias vazias de vários tipos.
  • Sistema de cópia de segurança.
  • Cabos de diversos tipos.
  • Dispositivos de rede, etc.
 Exemplos de ferramentas:
  1. Attacker v3.0
  2. EnCase
  3. eMailTrackerPro
  4. Forensic Replicator
  5. Forensic Toolkit
  6. Helix
  7. ILook Investigator 
Conclusão

Todo crime deixa evidências, por mais escondidas que elas estejam, é necessário um maior investimento em técnicas de análise forense, para que os crimes praticados através de sistemas digitais possam ser solucionados e os seus respectivos idealizadores possam ser devidamente punidos.

Entender a motivação e o comportamento de um intruso é um ponto chave para orientar a investigação, pois essa compreensão fornece pistas sobre onde e o que procurar durante a análise forense. Quanto maior a consciência acerca dos objetivos e o método de operação de um atacante, maior o preparo do investigador para analisar e responder à um incidente.
Enviado por às
Tags:

Um comentário:

  1. Unknown22/04/2011, 04:34

    Olá Álvaro, como sempre um bom material esse que você postou como tantos outro que tenho acompanhado, continue fazendo sempre esse bom trabalho, gostaria que postasse também links de download dessas ferramentas que deixou como exemplo, e mais algumas que são gratuitas.valeu
    Abs
    Robson

    ResponderExcluir

Assinar: Postar comentários (Atom)