O que é forense computacional?

Para compreendermos o que é a ciência forense, é interessante que saibamos um pouco de sua história, como surgiu e suas diversas utilizações ao longo dos períodos históricos.

História

No século 19, surge um dos primeiros pesquisadores, Francis Galton, que elabora um estudo complexo sobre as impressões digitais.
Tal estudo serve como base para as investigações que diferenciam um ser humano do outro, baseado em uma característica única que não se repete. O grande problema, é que após algumas décadas, descobriu-se que pelo menos 5% da população mundial não possui digitais, seja por problemas genéticos, seja por suas atividades profissionais que fazem com que as digitais de uma pessoa se desgaste com o tempo, tais como: professores(as), pedreiros, faxineiras(os) e pessoas que manipulam produtos químicos abrasivos…


Já no início do século 20, o cientista Leone Lattes descobre que os tipos sanguíneos podem ser divididos em grupos de acordo com características próprias. E a partir de sua pesquisa surgem os grupos A, B, AB e O. Isso auxilia na ciência forense quando há cenas de crimes envolvendo sangue, o que já permite diminuir a quantidade de suspeitos, puramente a partir de uma análise do tipo sanguíneo.
Também no início do século 20, Calvin Goddard desenvolve um estudo sobre a comparação entre projéteis de armas de fogo o que possibilita a detecção da arma que disparou o projétil existente em uma cena onde há a necessidade de uma análise forense. Esse estudo torna-se um marco para a solução de inúmeros casos julgados em um tribunal.
No mesmo período, Albert Osborn desenvolve uma pesquisa sobre as características e metodologias para análise de documentos, o que pode comprovar fraudes, falsificações e veracidade dos mesmos.
Outro cientista que nessa mesma época contribui com seus estudos para a área de forense é Hans Gross, que desenvolve o método científico para a realização de investigações criminalísticas.
E em 1932, no FBI, um laboratório foi organizado para prover serviços de análise forense a todos os agentes de campo e outras autoridades legais de todo os EUA.
Todos esses estudos, pesquisas e desenvolvimentos, se devem aos esforços de cientistas que atuavam na área da ciência forense ou não, mas que de alguma forma suas descobertas contribuíram para o avanço no trabalho dos profissionais de gerações posteriores.
Tanto que, mesmo após um século dos primeiros estudos, as bases e conceitos desenvolvidos por esses pioneiros continuam atuais e amplamente utilizadas ao longo de um processo de análise. A única diferença são os equipamentos utilizados.
No entanto, a maioria dos conceitos e métodos permanecem os mesmos.
Isso só começa a mudar com o advento da informática e o crescente nível de importância da informação no contexto da atualidade. Essas mudanças surgem, por conta de um novo paradigma, onde os crimes são realizados de uma outra maneira e as cenas não são mais aquelas tradicionais, com sangue, fios de cabelo e fluidos corporais. E as vítimas não são mais os corpos físicos dos denunciantes, mas suas identidades e vidas virtuais.
Definição. Uma excelente definição que pode esclarecer o que é a ciência forense é a que se segue, retirada do livro “Handbook of Forensic Pathology College of American Pathologists”, de 1990:
“Aplicação da ciência física à lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustiça seja feita à nenhum membro da sociedade”.
E ainda podemos acrescentar que o objetivo básico da mesma é a determinação do valor das evidências relacionadas à cena de um crime.
No entanto, com o passar do tempo, as cenas de crime mudaram e os objetos relacionados ao mesmo deixaram de ser capuzes, armas de fogo, carros em disparada e projéteis recolhidos no local comprometido.
Os artefatos utilizados em um crime tornaram-se mais sofisticados e um criminoso não precisa mais sair do conforto de seu lar para causar milhões de prejuízos às suas vítimas. Não temos mais sangue envolvidos numa cena de um crime, apenas 0’s e 1’s, ou seja, bits.

 

Forense Digital

As atividades que envolvem tecnologia tornaram-se parte de nossa vida diária, assim como de quase todas as pessoas ao redor do mundo inteiro.
A partir dessa percepção, podemos compreender o nível de importância da forense digital, pois de acordo com informações do FBI, 85% das empresas e governos, já detectaram falhas e vulnerabilidades em seus sistemas. E por conta dessa informação, entendemos o porque dos EUA sofrerem prejuízos de mais de 10 bilhões de dólares por causa do crime digital.

Definição

A forense digital, é uma ciência ou técnica relativamente recente no campo da segurança digital , pois poucas décadas no separam do surgimento do computador de demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais.
Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê  as informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir até mesmo como base para uma decisão judicial.

Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um foro de uma forma coerente e formato inteligível”. – Dr. H. B. Wolf

A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder algumas questões à respeito de uma ocorrência digital .
As informações utilizadas durante a recriação do cenário, são coletadas ao longo do processo de investigação, em uma de suas fases iniciais. Com tais informações, é possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás das ações do responsável pelo comprometimento do artefato digital.
E a investigação digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma análise inicial, e muitas vezes superficial, do cenário comprometido.

Investigação digital X Forense digital.

Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital em inúmeros pontos do processo. Apesar de o objetivo central ser praticamente o mesmo.
A principal diferença entre a investigação digital e a forense digital é a parte legal.  Pois em um processo de análise forense existe uma preocupação legal, não só uma preocupação técnica , ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas operações. A análise forense procura chegar numa conclusão final, que permita apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso.
Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente diferente, com artefatos diferentes, objetivos e métodos diversos.

Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em demasia com os apectos legais de todo o processo.

A origem da forense computacional, remonta à década de 80, quando os computadores tornam-se mais populares, principalmente em países de primeiro mundo.
Em 1984, o CART surgiu, como resposta do FBI aos incidentes computacionais cada vez mais frequentes com o surgimento da ARPA NET. O CART é o Computer Analysis and Response Team, o primeiro grupo de resposta a incidentes, surgido com o objetivo de lidar com crimes computacionais.
Em 1991, ocorre o primeiro encontro de International Law Enforcement, organizado para conduzir a discussão sobre forense computacional e a necessidade de padronizar uma metodologia de atuação.
Logo depois, em 1997, o Scientific Working Group on Digital Evidence (SWGDE) foi estabelecido, com o objetivo de desenvolver a padronização discutida no evente do 1994.
E em 2001, ocorreu o primeiro Digital Forensic Research Workshop, que atualmente possui uma periodicidade anual, e conta com palestrantes de diversos lugares, assim como desafios onde qualquer pessoa pode participar, para praticar e testar seus conhecimentos de forense computacional. Mais informações sobre as várias edições ocorridas podem ser encontradas em http://www.dfrws.org/  .

Definição

De acordo com Steve Hailey, do Cybersecurity Institute, forense computacional é:

Preservação, identificação, coleta, interpretação e documentação de evidências computacionais, incluindo as regras de evidência, processo legal, integridade da evidência, relatório factual da evidência e provisão de opinião de especialista em uma côrte judicial, ou outro tipo de processo administrativo e/ou legal com relação ao que foi encontrado”.

A área de forense computacional é completamente diferente de todas as áreas de segurança, e também de outras áreas da ciência forense, devido ao modo como uma investigação deve ser levada à cabo.
E diferentemente das outras áreas de segurança, presta muita atenção aos aspectos legais e as leis vigentes no país onde se conduz a investigação.
O mais interessante da forense computacional, é que além de poder ser utilizada no trabalho como consultor e perito, também pode ser utilizada para proteger sua organização, principalmente quando existe um grupo de resposta a incidentes, com profissionais preparados para atuar na linha de frente, como equipe de resposta à ataques digitais.

Problemas concernentes à Forense Computacional

Como a forense computacional é uma área relativamente nova, até mesmo por conta do pouco tempo da popularização dos computadores, não há possibilidade de perfeição em seus métodos e formas de atuação.

Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo certamente serão melhorados:

  • Ainda, é mais uma arte do que ciência;
  • Ainda está em seus estados iniciais de desenvolvimento;
  • Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas;
  • Há falta de treinamento apropriado;
  • Não há padronização de ferramentas.

Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na área, em pouco tempo, resolverão os mesmos.

Final

 

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima ”. – James Borek

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atulamente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em 4 ou 5 anos, todos os casos judiciais envolverão a análise forense computacional.

A forense computacional também pode atuar nas seguintes situações:

  • Buscar e identificar dados em um computador;
  • Recuperação de arquivos deletados, encriptados ou corrompidos em um sistema;
  • Fundamentar demissões de funcionários que desreiptam normas organizacionais;
  • Auxiliar na quebra de contratos que não são respeitados;
  • Provar fatos;
  • Fazer cumprir as leis de privacidade.

E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha conhecimento suficiente para realizar a análise forense deum sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado esta baseado em metodologias que defininem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo.

Crime Cibernético

Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:

  • Ferramentas do crime
  • Alvo do crime
  • Tangente do crime

E o mesmo deve ser de duas categorias diferentes:

  • Ataque interno
  • Ataque externo

 

Exemplos de crimes cibernéticos

Alguns exemplos de crimes cibernéticos incluem:

  • Roubo de propriedade intelectual
  • Avaria na rede de serviço das empresas
  • Fraude financeira
  • Invasão de crackers
  • Distribuição e execução de vírus ou worm

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência.

E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:

  • Testes, ou tentivas de aprender na prática, por script kiddies
  • Necessidade psicológica
  • Vingança ou outras razões maliciosas
  • Desejo de causar problemas para o alvo
  • Espionagem – corporativa ou governamental

 

Papel do Investigador

O principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial.

Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado.

Alguns dos aspectos que tem correlação com sua conduta, são os seguintes:

  • A conduta profissional determina a credibilidade de uma investigação forense
  • O profissional deve demonstrar o mais alto nível de integridade ética e moral
  • Confidencialidade é uma característica essencial que todo investigador deve possuir
  • Discutir o caso investigado apenas com as pessoas que possuem permissão para tomar conhecimento do processo

 

Fonte: http://segurancalinux.com

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s