A análise forense digital, às vezes chamada de computação forense, é a aplicação de técnicas de investigação científica a crimes e ataques digitais. É um aspecto crucial do direito e dos negócios na era da Internet e pode ser uma carreira recompensadora e lucrativa.
Jason Jordaan, principal cientista forense da DFIRLABS, da África do Sul, define análise forense digital como “a identificação, preservação, exame e análise de evidências digitais, usando processos cientificamente aceitos e validados, e a apresentação final dessa evidência em um tribunal para responder a algumas exigências legais”.
Essa é uma ótima definição, embora haja uma ressalva: o termo às vezes é usado para descrever qualquer tipo de investigação de ataques cibernéticos, mesmo que a aplicação da lei ou o sistema judiciário não estejam envolvidos.
Especialistas em análise forense digital trabalham nos setores público e privado. O Champlain College, nos EUA, que tem seu próprio programa forense digital, tem uma descrição mais generalizada: “Profissionais forenses digitais são chamados a entrar em ação assim que uma violação ocorre e trabalham para identificar o hack, entender a fonte e recuperar os dados comprometidos.”
História
A aplicação da lei foi um pouco lenta para entender a necessidade de aplicar técnicas forenses a computadores e equipamentos de alta tecnologia. Em sua maior parte, nos anos 1970 e 1980, os primeiros pioneiros forenses digitais eram pessoas que trabalhavam na polícia ou em agências policiais federais e que também mexiam em computadores como hobby.
Uma das primeiras áreas que chamou a atenção da polícia foi o armazenamento de dados, uma vez que os investigadores trabalharam durante muito tempo para apreender, reter e analisar documentos de suspeitos – começaram a perceber que grande parte dessa documentação não estava mais comprometida com o papel. Em 1984, o FBI lançou o Magnet Media Program para se concentrar nesses registros digitais, o primeiro programa forense digital oficial em uma agência policial.
Enquanto isso, muitas das técnicas usadas para rastrear e identificar hackers quando se intrometiam em sistemas de computadores foram desenvolvidas no setor privado.
Um momento importante foi em 1986, quando Cliff Stoll, administrador de sistemas do Lawrence Berkeley National Laboratory, tentou descobrir uma discrepância de US$ 0,75 em um registro contábil e acabou rastreando um hacker alemão que estava invadindo sistemas sensíveis e vendendo dados para o KGB, Comitê de Segurança do Estado – serviço secreto da antiga União das Repúblicas Socialistas Soviéticas (URSS), então inimiga dos EUA. Ao longo das pesquisa, Stoll criou o que provavelmente foi a primeira armadilha do honeypot ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor.
Grande parte da especialização e profissionalização da perícia digital nos anos 90 e 00 surgiu em reação a duas realidades desagradáveis: a disseminação da pornografia infantil on-line, que levou à tomada de enormes volumes de evidências digitais; e as guerras no Afeganistão e no Iraque, nas quais as tropas norte-americanas frequentemente acabavam capturando laptops e telefones de insurgentes inimigos e precisavam extrair informações úteis deles. Outro marco foi em 2006, quando as Regras do Processo Civil dos Estados Unidos foram revisadas para implementar um regime obrigatório de descoberta eletrônica.
Como a perícia digital é usada em investigações
Existem vários modelos de processos para análise forense digital, que definem como os examinadores forenses devem proceder em sua busca para coletar e entender as evidências. Embora estes possam variar, a maioria dos processos segue quatro etapas básicas:
Coleção, na qual a evidência digital é adquirida. Isso geralmente envolve a apreensão de ativos físicos, como computadores, telefones ou discos rígidos; É preciso ter cuidado para garantir que nenhum dado seja danificado ou perdido. A mídia de armazenamento pode ser copiada ou gravada nesta etapa para manter o original em um estado original como referência.
Exame, no qual vários métodos são usados para identificar e extrair dados. Esta etapa pode ser dividida em preparação, extração e identificação. Decisões importantes a serem tomadas neste estágio são: lidar com um sistema que esteja ativo (por exemplo, ligar um laptop apreendido) ou morto (por exemplo, conectar um disco rígido apreendido a um computador de laboratório). Identificação significa determinar se os dados individuais são relevantes para o caso em questão – particularmente quando os mandados estão envolvidos, os examinadores da informação podem aprender podem ser limitados.
Análise, na qual os dados coletados são usados para provar (ou desmentir!) o caso que está sendo construído pelos examinadores. Para cada item de dados relevante, os examinadores responderão às perguntas básicas sobre ele – quem o criou? quem editou? como foi criado? quando tudo isso aconteceu? – e tentar determinar como isso se relaciona com o caso.
Fonte: Computerworld
27 de janeiro de 2019
