Publicado em: 16 de fevereiro de 2024
Colaboradores: Annie Badman, Amber Forrest
A perícia digital é o processo de coleta e análise de evidências digitais de forma a manter sua integridade e admissibilidade em tribunal.
A computação forense digital é um campo da ciência forense. É utilizado para investigar crimes cibernéticos, mas também pode ajudar em investigações criminais e civis. Por exemplo, as equipes de cibersegurança podem utilizar a computação forense digital para identificar os cibercriminosos por trás de um ataque de malware , enquanto as agências policiais podem utilizá-la para analisar dados dos dispositivos de um suspeito de assassinato.
A perícia digital tem amplas aplicações porque trata as evidências digitais como qualquer outra forma de evidência. Assim como as autoridades utilizam processos específicos para coletar evidências físicas da cena do crime, os investigadores forenses digitais seguem um processo forense rigoroso (também conhecido como cadeia de custódia) ao lidar com evidências digitais para evitar adulterações.
A computação forense digital e a computação forense são dois nomes frequentemente utilizados para a mesma coisa. No entanto, a computação forense tecnicamente envolve a coleta de evidências de qualquer dispositivo digital, enquanto a computação forense envolve a coleta de evidências especificamente de dispositivos de computação, como computadores, tablets, telefones celulares e dispositivos com CPU.
O Digital forensics and incident response (DFIR) é uma disciplina emergente de cibersegurança que integra atividades forenses de computação e resposta a incidentes para acelerar a remediação de ameaças cibernéticas e, ao mesmo tempo, garantir que qualquer evidência digital relacionada não seja comprometida.
A computação forense digital, ou ciência forense digital, surgiu pela primeira vez no início da década de 1980 com o surgimento dos computadores pessoais e ganhou destaque na década de 1990.
No entanto, só no início do século XXI é que países como os Estados Unidos formalizaram as suas políticas de análise forense digital. A mudança em direção à padronização resultou do aumento dos crimes informáticos na década de 2000 e da descentralização nacional das agências policiais.
Com mais crimes envolvendo dispositivos digitais e mais indivíduos envolvidos na acusação desses crimes,as autoridades precisavam de procedimentos para garantir que as investigações criminais tratassem as provas digitais de forma admissível num tribunal.
Hoje, a perícia digital está se tornando cada vez mais relevante. Para entender o porquê, considere a enorme quantidade de dados digitais disponíveis sobre praticamente tudo e todos.
Enquanto a sociedade continua dependendo mais de sistemas de computador e tecnologias de computação em nuvem, os indivíduos continuam conduzindo mais de suas vidas online em um número cada vez maior de dispositivos, incluindo telefones celulares, tablets, dispositivos IoT, dispositivos conectados e outros.
O resultado são mais dados, de mais fontes e em mais formatos do que nunca, que os investigadores podem usar como evidência digital para analisar e entender uma gama crescente de atividades criminosas, incluindo ataques cibernéticos, violações de dados e investigações criminais e civis.
Além disso, como todas as evidências físicas ou digitais, os investigadores e as agências de aplicação da lei devem coletá-las, manipulá-las, analisá-las e armazená-las corretamente. Caso contrário, os dados poderão ser perdidos, adulterados ou considerados inadmissíveis em juízo.
Os especialistas forenses são responsáveis por realizar investigações forenses digitais e, à medida que a demanda por esse campo cresce, as oportunidades de trabalho também aumentam. O Bureau of Labor Statistics estima que as vagas de emprego em computação forense aumentarão 31% até 2029 (link fora do ibm.com).
O Instituto Nacional de Padrões e Tecnologia (NIST) (link fora do site ibm.com) descreve quatro etapas no processo de análise forense digital.
Essas etapas são:
Identificar os dispositivos digitais ou mídias de armazenamento que contêm dados, metadados ou outras informações digitais relevantes para a investigação forense digital.
Para casos criminais, as agências policiais apreenderão as evidências de uma cena de crime em potencial para garantir uma cadeia de custódia rigorosa.
Para preservar a integridade das evidências, as equipes forenses fazem uma duplicata forense dos dados com um duplicador de disco rígido ou uma ferramenta de imagem forense.
Após o processo de duplicação, protegem os dados originais e conduzem o restante da investigação nas cópias para evitar adulterações.
Os investigadores vasculham dados e metadados em busca de sinais de atividade cibernética.
Os examinadores forenses podem recuperar dados digitais de várias fontes, incluindo históricos de navegadores da web, logs de bate-papo, dispositivos de armazenamento remoto, espaço excluído, espaços em disco acessíveis, caches do sistema operacional e praticamente qualquer outra parte de um sistema computadorizado.
Os analistas forenses utilizam diversas metodologias e ferramentas forenses digitais para extrair dados e percepções de evidências digitais.
Por exemplo, para descobrir dados ou metadados "hidden", eles podem utilizar técnicas forenses especializadas, como análise ao vivo, que avalia sistemas ainda em execução em busca de dados voláteis, ou esteganografia reversa, que expõe dados ocultos usando esteganografia(um método para ocultar informações confidenciais em mensagens de aparência comum).
Os investigadores também podem consultar ferramentas proprietárias e de código aberto para vincular as descobertas a agentes de ameaças específicos.
Após o término da investigação, os especialistas forenses criam um relatório formal que descreve sua análise, incluindo o que aconteceu e quem pode ser o responsável.
Os relatórios variam de acordo com o caso. Para crimes cibernéticos, podem ter recomendações para corrigir vulnerabilidades para evitar futuros ataques cibernéticos. Os relatórios também são frequentemente utilizados para apresentar evidências digitais em um tribunal e compartilhadas com agências policiais, seguradoras, reguladores e outras autoridades.
Quando a perícia digital surgiu no início dos anos 80, havia poucas ferramentas formais de perícia digital. A maioria das equipes forenses dependia da análise ao vivo, uma prática notoriamente complicada que apresentava um risco significativo de adulteração.
No final da década de 1990, o aumento da demanda por evidências digitais levou ao desenvolvimento de ferramentas mais sofisticadas, como EnCase e FTK, que permitiram que analistas forenses examinassem cópias de mídias digitais sem recorrer a análises forenses ao vivo.
Atualmente, os especialistas forenses empregam uma ampla gama de ferramentas forenses digitais. Essas ferramentas podem ser baseadas em hardware ou software e analisam fontes de dados sem adulterar os dados. Exemplos comuns são ferramentas de análise de arquivos, que extraem e analisam arquivos individuais, e ferramentas de registro que coletam informações de sistemas de computação baseados no Windows que catalogam a atividade do usuário em registros.
Alguns provedores também oferecem ferramentas de código aberto dedicadas para fins forenses específicos, com plataformas comerciais, como Encase e CAINE, que oferecem funções abrangentes e recursos de geração de relatórios. O CAINE, especificamente, possui uma distribuição Linux inteira adaptada às necessidades das equipes forenses.
A perícia digital contém ramificações distintas com base nas diversas fontes de dados forenses.
Alguns dos ramos mais populares da análise forense digital são:
Quando os dados da computação forense e a resposta a incidentes—a detecção e mitigação de ataques cibernéticos em andamento—são conduzidos de forma independente, podem interferir uns nos outros e afetar negativamente uma organização.
As equipes de resposta a incidentes podem modificar ou destruir evidências digitais enquanto eliminam uma ameaça da rede.Os investigadores forenses podem atrasar a resolução da ameaça enquanto perseguem e coletam evidências.
A forense digital e a resposta a incidentes, ou DFIR (Digital Forensics and Incident Response), combinam a forense da computação e a resposta a incidentes em um fluxo de trabalho integrado que pode ajudar as equipes de segurança da informação a interromper ameaças cibernéticas de forma mais rápida, preservando evidências digitais que podem ser perdidas na urgência da mitigação de ameaças.
Dois principais benefícios do DFIR:
A DFIR pode levar a uma atenuação mais rápida das ameaças, a uma recuperação mais robusta das ameaças e a evidências aprimoradas para a investigação de casos criminais, crimes cibernéticos, reclamações de seguros e outros incidentes de segurança.
O DFIR combina dois campos de segurança cibernética para agilizar a resposta a ameaças e, ao mesmo tempo, preservar evidências contra criminosos cibernéticos.
A computação forense envolve a coleta de evidências digitais de dispositivos de computação para garantir sua admissibilidade no tribunal.