O que é perícia digital?

A computação forense digital é um campo da ciência forense. É utilizado para investigar crimes cibernéticos, mas também pode ajudar em investigações criminais e civis. As equipes de cibersegurança podem usar a computação forense digital para identificar os cibercriminosos por trás de um ataque de malware, enquanto as agências policiais podem usá-la para analisar dados dos dispositivos de um suspeito de assassinato.

A perícia digital tem amplas aplicações porque trata as evidências digitais como qualquer outra forma de evidência. Os funcionários seguem procedimentos específicos para coletar evidências físicas de uma cena de crime. Da mesma forma, os investigadores forenses digitais aderem a um processo forense rigoroso (conhecido como cadeia de custódia) para garantir o tratamento adequado e a proteção contra adulterações.

A computação forense digital e a computação forense são dois nomes frequentemente utilizados para a mesma coisa. No entanto, a computação forense tecnicamente envolve a coleta de evidências de qualquer dispositivo digital, enquanto a computação forense envolve a coleta de evidências especificamente de dispositivos de computação, como computadores, tablets, telefones celulares e dispositivos com CPU.

A perícia digital e resposta a incidentes (DFIR) é uma disciplina emergente de cibersegurança que combina computação forense e resposta a incidentes para aprimorar as operações de cibersegurança. Ele ajuda a acelerar a remediação de ameaças cibernéticas, garantindo que qualquer evidência digital relacionada permaneça sem comprometimentos.

A computação forense digital, ou ciência forense digital, surgiu pela primeira vez no início da década de 1980 com o surgimento dos computadores pessoais e ganhou destaque na década de 1990.

No entanto, só no início do século XXI é que países como os Estados Unidos formalizaram as suas políticas de análise forense digital. A mudança em direção à padronização resultou do aumento dos crimes informáticos na década de 2000 e da descentralização da segurança pública em todo o país.

À medida que os crimes envolvendo dispositivos digitais aumentaram, mais indivíduos se envolveram na prática de processar esses crimes. Para garantir que as investigações criminais tratassem as provas digitais de forma admissível no tribunal, os funcionários estabeleceram procedimentos específicos.

Hoje, a perícia digital está se tornando mais relevante. Para entender o porquê, considere a enorme quantidade de dados digitais disponíveis sobre praticamente tudo e todos.

Com a sociedade dependendo cada vez mais de sistemas de computador e tecnologias de computação em nuvem, as pessoas estão conduzindo mais de suas vidas online. Essa mudança abrange um número crescente de dispositivos, incluindo telefones móveis, tablets, dispositivos IoT, dispositivos conectados e muito mais.

O resultado é uma quantidade de dados sem precedentes de diversas fontes e formatos. Os investigadores podem usar essas evidências digitais para analisar e entender uma gama crescente de atividades criminosas, incluindo ataques cibernéticos, violações de dados e investigações criminais e civis.

Como todas as evidências, físicas ou digitais, os investigadores e as agências de segurança pública devem coletá-las, manipulá-las, analisá-las e armazená-las corretamente. Caso contrário, os dados poderão ser perdidos, adulterados ou considerados inadmissíveis em juízo.

Os especialistas forenses são responsáveis por realizar investigações forenses digitais e, à medida que a demanda por esse campo cresce, as oportunidades de trabalho também aumentam. O Bureau of Labor Statistics estima que as vagas de emprego em computação forense aumentarão em 31% até 2029.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) descreve quatro etapas no processo de análise forense digital. Essas etapas são:

Quando a perícia digital surgiu no início dos anos 80, havia poucas ferramentas formais de perícia digital. A maioria das equipes forenses dependia da análise ao vivo, uma prática notoriamente complicada que apresentava um risco significativo de adulteração.

No final da década de 1990, a crescente demanda por evidências digitais levou ao desenvolvimento de ferramentas mais sofisticadas, como EnCase e toolkit forense (FTK). Essas ferramentas permitiram que os analistas forenses examinassem cópias de mídias digitais sem depender de análises forenses ao vivo.

Atualmente, os especialistas forenses empregam uma ampla gama de ferramentas forenses digitais. Essas ferramentas podem ser baseadas em hardware ou software e analisam fontes de dados sem adulterar os dados. Exemplos comuns são ferramentas de análise de arquivos, que extraem e analisam arquivos individuais, e ferramentas de registro que coletam informações de sistemas de computação baseados no Windows que catalogam a atividade do usuário em registros.

Alguns provedores também oferecem ferramentas de código aberto dedicadas para fins forenses específicos, com plataformas comerciais, como Encase e CAINE, que oferecem funções abrangentes e recursos de geração de relatórios. O CAINE, especificamente, possui uma distribuição Linux inteira adaptada às necessidades das equipes forenses.

A perícia digital contém ramificações distintas com base nas diversas fontes de dados forenses.

Alguns dos ramos mais populares da análise forense digital são:

• Computação forense (ou forense cibernética): combinando ciência da computação e forense legal para reunir evidências digitais de dispositivos de computação.

• Análise forense de dispositivos móveis: investigação e avaliação de evidências digitais em smartphones, tablets e outros dispositivos móveis.

• Análise forense de banco de dados: exame e análise de bancos de dados e seus metadados relacionados para descobrir evidências de crimes cibernéticos ou violações de dados.

• Análise forense de rede: monitoramento e análise de dados encontrados no tráfego de rede de computadores, incluindo navegação na web e comunicações entre dispositivos.

• Análise forense de sistemas de arquivos: exame de dados encontrados em arquivos e pastas armazenados em dispositivos de endpoint, como desktops, notebooks, telefones celulares e servidores.

• Perícia de memória: análise de dados digitais encontrados na memória de acesso aleatório (RAM) de um dispositivo.

Quando os dados da computação forense e a resposta a incidentes (a detecção e mitigação de ataques cibernéticos em andamento)são conduzidos de forma independente, podem interferir uns nos outros e afetar negativamente uma organização.

As equipes de resposta a incidentes podem modificar ou destruir evidências digitais enquanto eliminam uma ameaça da rede. Os investigadores forenses podem atrasar a resolução da ameaça enquanto perseguem e coletam evidências.

A perícia digital e resposta a incidentes, ou DFIR, integra computação forense e resposta a incidentes em um fluxo de trabalho unificado para ajudar as equipes de segurança da informação a combater as ameaças cibernéticas com mais eficiência. Ao mesmo tempo, garante a preservação de evidências digitais que, de outra forma, poderiam se perder em virtude da urgência de mitigação das ameaças.

• Coleta de dados forenses acontecendo juntamente com a mitigação de ameaças: as equipes de resposta a incidentes usam técnicas de computação forense para coletar e preservar os dados enquanto contêm e erradicam a ameaça. Elas garantem que a cadeia de custódia adequada seja seguida, evitando que provas valiosas sejam alteradas ou destruídas.

• Avaliação pós-incidente, incluindo exame de provas digitais: além de preservar provas para ações legais, as equipes de DFIR as utilizam para reconstruir incidentes de cibersegurança do início ao fim. Esse processo os ajuda a determinar o que aconteceu, como ocorreu, a extensão dos danos e como evitar ataques semelhantes no futuro.
  

A DFIR pode levar a uma atenuação mais rápida das ameaças, a uma recuperação mais robusta das ameaças e a evidências aprimoradas para a investigação de casos criminais, crimes cibernéticos, reclamações de seguros e outros incidentes de segurança.