Informática Forense

O que é a Informática Forense?

Informática Forense: técnicas de análise

Em português não existe uma expressão concreta para definir informática forense, sendo que em inglês é utilizado o termo Computer Forensic. Entenda-se informática forense como um ramo da ciência forense relacionado com provas digitais descobertas em suportes de armazenamento digital.

É descrita como a utilização de várias técnicas de análise e investigação – forense – para identificar, recolher, examinar e preservar algum tipo de informação digital, sendo que tem como objectivo descobrir provas de determinado tipo de actividade e reportar essas provas, para que finalmente, possam ser utilizadas para diferentes fins, judiciais ou não, para explicar o estado actual de determinada prova digital.

Essa informação digital pode ser proveniente de vários meios como discos rígidos, dispositivos USB, PDA’s, telemóveis, CD’s e DVD’s, etc. A Data Recover Center, como empresa com larga experiência na área da recuperação de dados perdidos, tem amplos conhecimentos práticos e um laboratório especializado, que lhe asseguram os melhores resultados finais em investigação forense dentro da informática forense.

Porquê recorrer à Informática Forense?

Nos dias de hoje, a grande maioria das comunicações é efectuada através do mundo digital, bem como a grande maioria das informações é armazenada em formato digital. Dificilmente alguém guarda arquivos de informação sem ser em digital.

Quando existem problemas relacionados com a segurança, crimes ou qualquer outra situação ou incidente, é necessário:

– Entender o que se passou;

– O que motivou a situação;

– Como foi permitido chegar à situação;

– Que consequências existiram;

– O que se pode fazer para evitar que aconteçam novamente.

Uma vez que cada situação é específica e está inerente a condições diversas, não existe um método único ou uma única aplicação para analisar todos os casos que existem. Tudo depende do cenário. Cenários ou circunstâncias diferentes exigem abordagens e métodos diferentes, incluindo a utilização de diferentes aplicações.

Problemas Comuns

  • Intrusões na rede empresarial
  • Malware
  • Espionagem Industrial
  • Actividades indevidas por parte colaboradores
  • Roubo de informação
  • Roubo de dados bancários
  • Roubo de identidade
  • Crimes informáticos (ex: pirataria)

Metodologia

Metodologia de investigação forense

Um processo de informática forense segue uma determinada metodologia específica, sendo que normalmente é dividido em 4 fases:

  1. Análise do incidente (entendimento do cenário ou circunstâncias).
  2. Recolha das provas.
  3. Análise das provas.
  4. Preparação de relatórios e conclusões.

Através do serviço de informática forense da Data Recover Center, o cliente poderá ter acesso a relatórios especializados sobre problemas relacionados com perda de dados e outras questões ligadas à segurança da sua informação.

Colocamos à disposição do cliente estudos em profundidade de qualquer incidente relacionado com suportes informáticos: uso fraudulento de equipamentos, pirataria, informação apagada por colaboradores, ocultação de ficheiros e muitos outros.

Com o uso da mais avançada tecnologia ao serviço da informática forense, a Data Recover Center certifica o conteúdo de um disco rígido ou a ausência do mesmo, bem como o motivo que provocou essa variação.

Este serviço pode também ser-lhe útil também em caso de suspeita de delitos informáticos que levaram à perda de informação, ou em caso de planeamento de medidas cautelares, para prevenir a ocorrência destas perdas.

1. Análise do incidente

Numa primeira fase, para o início da investigação forense, é analisado o incidente que ocorreu. É recebida a informação sobre um determinado incidente (pode ser por várias formas, como através dos sistemas de gestão de segurança, por aviso directo, etc.), e existe uma verificação do mesmo, sendo importante comprovar as fontes de informação. Deve ser estabelecida uma linha temporal da ocorrência, pois é importante saber o que aconteceu entre o momento do incidente e o momento da aquisição das provas. Deve ser gerado o cenário e as respectivas circunstâncias.

2. Recolha das provas digitais

Numa segunda fase, são recolhidas as provas digitais. Normalmente associa-se prova digital, a informação recuperada de um computador, mas este conceito vai muito além desta associação. Entenda-se por provas digitais, todo o tipo de dispositivos que contenham informação digital.

Como em qualquer outro tipo de investigação, é necessário apresentar provas para comprovar o que pretendemos. Para um caso de investigação de informática forense, é importante garantir a credibilidade e integridade das provas digitais, tornando-se crítico saber como manuseá-las.

Para uma prova digital ser validada, é necessário demonstrar que a mesma é válida e não foi previamente manipulada, porque as conclusões de um caso dependerão muito das provas.

No que respeita a provas digitais, a preservação das mesmas de acordo com métodos específicos, é uma regra importante, porque uma das primeiras coisas que acontecerá é a tentativa de desacreditar as provas apresentadas. Para todo o processo de investigação forense existem alguns actos que devem ser evitados, para que as provas digitais não sejam comprometidas.

Por exemplo:

  • Não executar nenhum tipo de aplicação que possa alterar datas dos ficheiros;
  • Não utilizar aplicações de clonagem / imagem convencionais;
  • Não utilizar o disco rígido sem bloqueadores de escrita.

Em casos apresentados em tribunal, a cadeia de custódia é fundamental. O termo, cadeia de custódia, torna-se bastante importante para entender todo o processo de investigação forense. A cadeia de custódia determina como se utilizaram as provas digitais e o seu armazenamento.

Este conceito determina:

  • Quem recolheu, quando recolheu e onde foram recolhidas as provas;
  • Quem analisou, quando analisou e como se analisaram as provas;
  • Quem teve posse e durante quanto tempo tivemos posse das provas;
  • Quando e entre quem foram transmitidas as provas.

3. Análise das provas digitais

Numa terceira fase, para a análise das provas digitais existem alguns procedimentos a seguir que dependem muito do tipo de cenário que foi desenhado anteriormente ou do tipo de provas que se procura.

Algumas das análises que poderão ser efectuadas são:

  • Definição de uma linha temporal;
  • Análise de palavras-chave;
  • Análise de headers de ficheiros;
  • Análise de valores Hash;
  • Análise de informação escondida ou apagada;
  • Análise de Malware (ex. rootkit, cavalo de Tróia, spyware, etc.)
  • Análise de processos;
  • Análise de Logs;
  • Análise do registo de sistema;
  • Esteganografia; – Análise de correio electrónico;
  • Análise de páginas Web;
  • Análise da modificação de informação – Entre outros.

4. Conclusões

Por último, são preparados os relatórios com as conclusões obtidas do conjunto de análises efectuadas. Nesta fase todo o relatório é trabalhado em conjunto com o cliente ou com o advogado do mesmo, de forma a fundamentar da melhor maneira possível as provas encontradas, e assim apoiar a resolução do processo.

Noutros casos, a Data Recover Center poderá efectuar uma contra-peritagem, com o objectivo de refutar argumentos ou meios de prova num determinado processo. Por outro lado poderá também ser solicitada a colaboração de consultores técnicos para esclarecer diversas questões relacionadas com as tecnologias de informação, ao longo de todo o caso.

Para concluirmos e, uma vez que na actualidade a informação digital assume um carácter crítico, será necessária uma análise e documentação das provas digitais, sendo que se torna útil recorrer aos serviços de uma empresa com know-how especializado, a fim de ter o apoio necessário na resolução destes processos.