O que é a Informática Forense?
Informática Forense: técnicas de análise
Em português não existe uma expressão concreta para definir informática forense, sendo que em inglês é utilizado o termo Computer Forensic. Entenda-se informática forense como um ramo da ciência forense relacionado com provas digitais descobertas em suportes de armazenamento digital.
É descrita como a utilização de várias técnicas de análise e investigação – forense – para identificar, recolher, examinar e preservar algum tipo de informação digital, sendo que tem como objectivo descobrir provas de determinado tipo de actividade e reportar essas provas, para que finalmente, possam ser utilizadas para diferentes fins, judiciais ou não, para explicar o estado actual de determinada prova digital.
Essa informação digital pode ser proveniente de vários meios como discos rígidos, dispositivos USB, PDA’s, telemóveis, CD’s e DVD’s, etc. A Data Recover Center, como empresa com larga experiência na área da recuperação de dados perdidos, tem amplos conhecimentos práticos e um laboratório especializado, que lhe asseguram os melhores resultados finais em investigação forense dentro da informática forense.
Porquê recorrer à Informática Forense?
Nos dias de hoje, a grande maioria das comunicações é efectuada através do mundo digital, bem como a grande maioria das informações é armazenada em formato digital. Dificilmente alguém guarda arquivos de informação sem ser em digital.
Quando existem problemas relacionados com a segurança, crimes ou qualquer outra situação ou incidente, é necessário:
– Entender o que se passou;
– O que motivou a situação;
– Como foi permitido chegar à situação;
– Que consequências existiram;
– O que se pode fazer para evitar que aconteçam novamente.
Uma vez que cada situação é específica e está inerente a condições diversas, não existe um método único ou uma única aplicação para analisar todos os casos que existem. Tudo depende do cenário. Cenários ou circunstâncias diferentes exigem abordagens e métodos diferentes, incluindo a utilização de diferentes aplicações.
Problemas Comuns
- Intrusões na rede empresarial
- Malware
- Espionagem Industrial
- Actividades indevidas por parte colaboradores
- Roubo de informação
- Roubo de dados bancários
- Roubo de identidade
- Crimes informáticos (ex: pirataria)
Metodologia
Metodologia de investigação forense
Um processo de informática forense segue uma determinada metodologia específica, sendo que normalmente é dividido em 4 fases:
- Análise do incidente (entendimento do cenário ou circunstâncias).
- Recolha das provas.
- Análise das provas.
- Preparação de relatórios e conclusões.
Através do serviço de informática forense da Data Recover Center, o cliente poderá ter acesso a relatórios especializados sobre problemas relacionados com perda de dados e outras questões ligadas à segurança da sua informação.
Colocamos à disposição do cliente estudos em profundidade de qualquer incidente relacionado com suportes informáticos: uso fraudulento de equipamentos, pirataria, informação apagada por colaboradores, ocultação de ficheiros e muitos outros.
Com o uso da mais avançada tecnologia ao serviço da informática forense, a Data Recover Center certifica o conteúdo de um disco rígido ou a ausência do mesmo, bem como o motivo que provocou essa variação.
Este serviço pode também ser-lhe útil também em caso de suspeita de delitos informáticos que levaram à perda de informação, ou em caso de planeamento de medidas cautelares, para prevenir a ocorrência destas perdas.
1. Análise do incidente
Numa primeira fase, para o início da investigação forense, é analisado o incidente que ocorreu. É recebida a informação sobre um determinado incidente (pode ser por várias formas, como através dos sistemas de gestão de segurança, por aviso directo, etc.), e existe uma verificação do mesmo, sendo importante comprovar as fontes de informação. Deve ser estabelecida uma linha temporal da ocorrência, pois é importante saber o que aconteceu entre o momento do incidente e o momento da aquisição das provas. Deve ser gerado o cenário e as respectivas circunstâncias.
2. Recolha das provas digitais
Numa segunda fase, são recolhidas as provas digitais. Normalmente associa-se prova digital, a informação recuperada de um computador, mas este conceito vai muito além desta associação. Entenda-se por provas digitais, todo o tipo de dispositivos que contenham informação digital.
Como em qualquer outro tipo de investigação, é necessário apresentar provas para comprovar o que pretendemos. Para um caso de investigação de informática forense, é importante garantir a credibilidade e integridade das provas digitais, tornando-se crítico saber como manuseá-las.
Para uma prova digital ser validada, é necessário demonstrar que a mesma é válida e não foi previamente manipulada, porque as conclusões de um caso dependerão muito das provas.
No que respeita a provas digitais, a preservação das mesmas de acordo com métodos específicos, é uma regra importante, porque uma das primeiras coisas que acontecerá é a tentativa de desacreditar as provas apresentadas. Para todo o processo de investigação forense existem alguns actos que devem ser evitados, para que as provas digitais não sejam comprometidas.
Por exemplo:
- Não executar nenhum tipo de aplicação que possa alterar datas dos ficheiros;
- Não utilizar aplicações de clonagem / imagem convencionais;
- Não utilizar o disco rígido sem bloqueadores de escrita.
Em casos apresentados em tribunal, a cadeia de custódia é fundamental. O termo, cadeia de custódia, torna-se bastante importante para entender todo o processo de investigação forense. A cadeia de custódia determina como se utilizaram as provas digitais e o seu armazenamento.
Este conceito determina:
- Quem recolheu, quando recolheu e onde foram recolhidas as provas;
- Quem analisou, quando analisou e como se analisaram as provas;
- Quem teve posse e durante quanto tempo tivemos posse das provas;
- Quando e entre quem foram transmitidas as provas.
3. Análise das provas digitais
Numa terceira fase, para a análise das provas digitais existem alguns procedimentos a seguir que dependem muito do tipo de cenário que foi desenhado anteriormente ou do tipo de provas que se procura.
Algumas das análises que poderão ser efectuadas são:
- Definição de uma linha temporal;
- Análise de palavras-chave;
- Análise de headers de ficheiros;
- Análise de valores Hash;
- Análise de informação escondida ou apagada;
- Análise de Malware (ex. rootkit, cavalo de Tróia, spyware, etc.)
- Análise de processos;
- Análise de Logs;
- Análise do registo de sistema;
- Esteganografia; – Análise de correio electrónico;
- Análise de páginas Web;
- Análise da modificação de informação – Entre outros.
4. Conclusões
Por último, são preparados os relatórios com as conclusões obtidas do conjunto de análises efectuadas. Nesta fase todo o relatório é trabalhado em conjunto com o cliente ou com o advogado do mesmo, de forma a fundamentar da melhor maneira possível as provas encontradas, e assim apoiar a resolução do processo.
Noutros casos, a Data Recover Center poderá efectuar uma contra-peritagem, com o objectivo de refutar argumentos ou meios de prova num determinado processo. Por outro lado poderá também ser solicitada a colaboração de consultores técnicos para esclarecer diversas questões relacionadas com as tecnologias de informação, ao longo de todo o caso.
Para concluirmos e, uma vez que na actualidade a informação digital assume um carácter crítico, será necessária uma análise e documentação das provas digitais, sendo que se torna útil recorrer aos serviços de uma empresa com know-how especializado, a fim de ter o apoio necessário na resolução destes processos.