Pericia Forense Digital

1 de outubro de 2023 Daniel Donda DFIR 0

Neste artigo quero compartilhar um pouco dessa incrível área da computação que está em constante evolução e que exige habilidades técnicas e conhecimentos especializados.

Uma perícia forense digital pode ser solicitada em diversas situações em que há a necessidade de investigar e analisar evidências digitais. Alguns dos cenários mais comuns:

  • Investigações de Crimes Cibernéticos
  • Disputas Empresariais
  • Casos de Violação de Dados e Proteção de Dados
  • Casos de Fraude e Lavagem de Dinheiro
  • Investigações Internas em Empresas
  • Incidentes de Ransomware

Os passos da perícia forense digital envolvem uma série de procedimentos cuidadosos para coletar, preservar, analisar e relatar evidências digitais de forma apropriada e legal.

Mas antes é necessário entender

  • Evidências são os fatos, objetos ou informações coletadas durante uma investigação.
  • Provas são as conclusões ou resultados tirados a partir dessas evidências, que ajudam a provar ou refutar um ponto em um caso.

Muito difícil para nós técnicos mas é importante ressaltar que a perícia é uma declaração técnica de um elemento de prova, até mesmo porque a produção exige o domínio de determinado saber. Sabemos que profissional de perícia computacional é uma pessoa com conhecimentos técnicos-científicos. Entretanto a prova técnica não pode ser assumida como verdade absoluta, ela deve ser comparada e avaliada em relação ao contexto em que foi produzida e principalmente com outros meios de prova.

Faremos uma investigação minuciosa por evidencias em logs, e-mails, arquivos, redes sociais, transações financeiras, navegação de web, metadados e em vários outros recursos e locais. Depois vamos produzir as provas fazendo a análise e interpretação das evidências digitais coletadas para chegar a conclusões que sustentem sua investigação ou caso.[1]

Preparação e Planejamento

Obter autorização legal ou permissão para conduzir a perícia, quando necessário. Pode ser diretamente na empresa e esse é o mais simples dos cenários, salvo quando extrapolam o limite e necessitam de recursos providos por terceiros que geralmente é o caso de peritos policiais ou especialistas que irão executar investigação e pericia forense para crimes mais complexos.
Neste caso compete as autoridades policiais ou de estado (Delegados da Polícia Civil, Federal, Judiciaria, MP estadual ou federal).

As leis relacionadas a pericia que devem ser observada;

Inicio da pericia

  • Cadeia de custodia;
  • Coleta e aquisição;
  • Analise de artefatos;
  • Correlação e estudo;
  • Laudo pericial.

Cadeia de custódia

A cadeia de custódia (Chain of custody (CoC)) é um processo que garante a integridade e a autenticidade das evidencias e esse processo se dá desde o início da pericia.
É um documento que apresenta detalhes da posse, manuseio e controle de evidências físicas ou digitais desde o momento em que são coletadas até a apresentação no tribunal como prova.

Este documento deve conter data, hora, local, quem coletou e uma descrição detalhada do que foi coletado. Como foi identificada a evidencia, deve conter detalhes de onde que está armazenada em locais seguros e que seja preservada evitando contaminação, pois se a cadeia de custódia for comprometida, a evidência pode ser considerada inadmissível.

Aquisição

A aquisição é um dos primeiros passos em uma investigação digital.

Em alguns casos a aquisição requer autorização legal, como um mandado de busca, intimação ou consentimento (em caso de empresa privada).

Durante a aquisição, é fundamental garantir que os dados originais não sejam modificados de forma alguma e por isso a aquisição deve seguir procedimentos rigorosos de modo que possa ser deita uma cópia de informações específicas ou de todo o conteúdo de um dispositivo, como um computador, smartphone, servidor, disco rígido, pen drive, ou qualquer outro meio de armazenamento eletrônico.

A cópia forense deve ser uma representação exata do conteúdo original.

O maior desafio é nesse momento e deixo um link para um PDF da Interpol sobre os guias de aquisição de dispositivos [2]

“Diagrama de Fluxo para Procedimento de Aquisição de Evidências em Dispositivos Android”

Hashes

O uso de hashes em forense digital é uma prática crucial para verificar a integridade, autenticidade e confiabilidade dos dados durante o processo de investigação. Os algoritmos de hash comuns são o MD5, SHA-1, SHA-256 entretanto existem muitos outros, cada um com diferentes níveis de segurança e comprimento de hash.
Existem vários softwares de forense já executam a verificação de hash automaticamente. Entretanto é necessário muitas vezes aplicar manualmente, podemos usar a linha de comando ou usar um software como o hashcalc.

Downloadhttp://www.slavasoft.com/zip/hashcalc.zip

No linux é muito simples gerar e consultar hashes de arquivos:

md5sum nome_do_arquivo

sha256sum nome_do_arquivo

Analise de artefatos

A análise de artefatos em perícia forense computacional é fundamental para investigações e exige conhecimentos específicos de determinadas tecnologias e não se limita a :

  • Análise de Imagens
  • Análise de Logs
  • Análise de Arquivos Excluídos
  • Análise de Arquivos com Esteganografia
  • Análise de Comunicações Criptografadas
  • Recuperação de Dados em Dispositivos Móveis
  • Análise de Transações Financeiras Digitais
  • Análise de Malware e Ataques Cibernéticos
  • Análise de Ameaças Internas

A perícia forense computacional requer conhecimento técnico avançado e em muitos casos ferramentas especializadas.

Correlações

Muitas vezes uma informação leva a outra por alguma conexão ou relação entre os dados que estão sendo analisados.

Podemos identificar padrões entre pessoas, eventos, locais ou atividades.

Correlacionar dados no tempo ajuda a reconstruir a sequência de eventos em um caso, permitindo entender melhor como algo aconteceu.

Porém nem sempre é necessário cruzar todas as informações. Depende da natureza da investigação, da quantidade de evidências disponíveis e dos objetivos da investigação. Em alguns casos, pode ser mais eficiente e relevante focar em correlações específicas que têm maior probabilidade de fornecer insights cruciais para a investigação.

Laudo Pericial

Ao termino da pericia e com todos os recursos coletados você deve escrever um Laudo Pericial ou um Parecer Técnico sobre o resultado e aqui será necessário entender quem é que vai receber essa informação. Não podemos ser muito técnico e nem muito superficial. O laudo deve ser claro de fácil compreensão pois provavelmente será lido por um magistrado, advogados, executivos e pessoas que não irão entender tecnicamente o que acontece no meio computacional.

Referências

Anúncio

About Daniel Donda 549 Articles
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube LinkedIn

Related Articles

Be the first to comment

Leave a Reply

Your email address will not be published.


*