Quando trabalhamos com segurança da informação, inevitavelmente vamos nos deparar com situações complexas onde se exige uma investigação de uma determinado ataque ou até mesmo de um crime.
Nessa momento se faz necessário o profissional chamado “Perito Forense Computacional”. Nesse artigo quero compartilhar alguns recursos importantes que podem ajudar no processo investigativo e também ao conhecer o que faz um perito ajuda a evitar a perda de vestígios que foram deixados na cena do crime.
Uma perícia computacional deve seguir um conjunto de passos e regras:
Preservar e Coletar evidências
A análise forense é feita em cópias e nunca nos originais, portanto nunca deve ser realizada a pericia na mídia original.
Integridade da evidência deve ser preservada e é vital que a integridade não possa ser questionada. Isso geralmente é feito criando hashes em evidências copiadas. MD5, SHA1, SHA256 entre outras
Para isso existem muitos recursos de hardware e software que permite um copia fiel da mídia.
Regra da melhor evidência – Os tribunais preferem a melhor evidência possível. As evidências devem ser precisas, completas, relevantes, autênticas e convincentes.
O que deve ser investigado?
Depende do crime e vamos ver alguns pontos importante de investigação que podem ter potenciais evidenciais segundo o “Best Practices For Seizing Electronic Evidence”:
Fraudes Comerciais
- Address Books
- Softwares e arquivos de contabilidade
- Calendário
- Logs de bate-papo
- Banco de dados
- Softwares de câmera digital
- E-mails
- Registros financeiros e de ativos
Abuso e pornografia infantil
- Logs de bate-papo
- Softwares de câmera digital
- E-mails
- Softwares de visualização e edição de imagens
- Imagens
- Atividades de acesso a internet
- Arquivos de filmes
- Diretórios e arquivos ocultos
Invasão de rede
- Arquivos de configuração
- Programas executáveis
- Informações de Cache (DNS, Histórico de acessos)
- Conexões de rede
- Atividades de acesso a internet (usuários e senhas)
- Internet Protocol Address
Cadeia de custódia
Este processo garante a integridade das evidências rastreando como elas são gerenciadas. Tudo deve ser documentado cronologicamente a fim de criar um histórico da investigação e da integridade das evidencias coletadas, assim como toda a manipulação que tenha ocorrido. Isso evita em uma corte que seja contestada de ter sido “plantada” de forma fraudulenta para fazer alguém parecer culpado.
Desafio da Pericia Forense Computacional
O perito deve conhecer profundamente o ambiente de investigação. Para ter a capacidade de investigar e coletar evidencias ele deve entender muito sobre os sistemas operacionais, sistemas de arquivos e suas estruturas, comunicação em diversos protocolos, conhecimento de criptografia e esteganografia, uso de ferramentas e até mesmo táticas de hacking.
Outro desafio é sobre a apreensão de equipamentos. Desligar ou não? Fazer uma pericia forense das informações na memoria volátil pode ser interessante, mas em casos específicos podem ter desencadeado uma sequencia de destruição.
Desligar como? Iniciar, Shutdown ou Puxar o cabo ? Segundo o documento “Best Practices For Seizing Electronic Evidence” o melhor é desligar de modo normal, pois um desligamento forçado pode danificar o disco e assim destruir evidencias.
Fontes de pesquisa:
Seja o primeiro a comentar