A perícia forense digital é aplicada em casos como crimes de computador, fraudes, invasões de sistemas, roubo de dados e trilhas de auditoria, entre outros. Ela se baseia em um conjunto de técnicas abrangentes de coleta e análise de dados que podem ser aplicadas para responder a um incidente - um evento em que as políticas de segurança de um sistema são corrompidas - a fim de entender a natureza do ataque.
Esse procedimento de técnicas de recuperação de dados em meios digitais tem crescido rapidamente nos últimos anos, intimamente relacionado a estudos de caso de crimes financeiros, evasão fiscal, investigação de seguros, perseguição ou pedofilia, roubo de propriedade intelectual, vazamento de informações e terrorismo cibernético ou defesa cibernética.
Para entender isso, no contexto das Ciências Criminalísticas, podemos resumir a análise forense digital em cinco passos que facilitam a verificabilidade e a reprodutibilidade da análise.
1. Aquisição e coleta de evidências
Neste passo, são obtidas cópias de informações suspeitas de estarem vinculadas a um incidente. É necessário evitar modificar qualquer tipo de dados, usando sempre cópias bit a bit com as ferramentas e os dispositivos adequados.
Esse tipo de cópia é essencial, pois nos permitirá recuperar arquivos excluídos ou partições ocultas, resultando em uma imagem do mesmo tamanho do disco estudado.
Rotuladas com data, hora e fuso horário, as amostras devem ser isoladas em recipientes que não permitam a deterioração ou o contato com o ambiente. Em muitos casos, essa etapa é complementada com o uso de fotografias para capturar o estado do equipamento e de seus componentes eletrônicos.
Todo esse processo deve ser realizado considerando o uso de luvas, bolsas antiestáticas e gaiolas de Faraday para dispositivos que possam interagir com ondas eletromagnéticas, como celulares, para garantir a integridade e evitar alterações acidentais ou maliciosas.
A aquisição de amostras deve respeitar uma regra fundamental que está ligada à volatilidade das amostras: da mais volátil para a menos volátil. Poderíamos indicar, por exemplo, que o primeiro passo é coletar dados relevantes para a memória, o conteúdo do cache e, como última etapa, coletar o conteúdo de documentos ou informações disponíveis no suporte de armazenamento.
Como já sabemos, as RFCs são um conjunto de documentos que servem de referência para padronizações, normalizações em comunicações e tecnologia. Dessa forma, ao verificar a RFC 3227, é importante estudar com mais profundidade tudo o que diz respeito a esse passo.
2. Preservação
Nesse passo, as informações coletadas devem ser garantidas para que não sejam destruídas ou transformadas. Uma análise nunca deve ser realizada na amostra apreendida, mas sim copiada e a perícia deve ser realizada na cópia.
É aqui que entra o conceito de cadeia de custódia, que é um registro do local, da data, do analista e de outros agentes que manipularam a amostra.
Em muitos casos, teremos que usar técnicas de hashing para identificar exclusivamente determinados arquivos que podem ser muito úteis para a investigação.
3. Análise
Por fim, uma vez que as informações tenham sido obtidas e preservadas, passamos para a parte mais complexa, o passo mais técnico, em que são usados hardware e software especificamente projetados para análise forense.
Embora existam métricas e metodologias que ajudam a estruturar o trabalho de campo, haverá grandes diferenças dependendo das ferramentas usadas, dos recursos e da experiência do analista.
Além disso, é muito importante ter clareza sobre o que está procurando, pois isso proporcionará um foco mais preciso na busca de evidências. No entanto, o estudo da linha do tempo, dos registros de acesso e de um despejo de RAM será muito útil para a maioria das perícias.
É muito importante avaliar a criticidade do incidente encontrado e os atores envolvidos nele.
4. Documentação
Embora esta seja um passo final, recomendamos que documentar todas as ações, na medida do possível, à medida que elas ocorrem. Nesse estágio, nossa análise deve deixar claro o que aconteceu, e é necessário enfatizar as questões críticas relevantes para a causa.
Nessa etapa, devemos citar e anexar todas as informações obtidas, estabelecendo uma relação lógica entre as evidências obtidas e as tarefas executadas, garantindo a repetibilidade da investigação.
5. Apresentação
Normalmente, vários modelos são usados para a apresentação dessa documentação. Primeiro, é fornecido um relatório executivo que mostra os recursos mais importantes de forma clara, precisa e concisa e que pondera a criticidade da investigação, sem entrar em detalhes técnicos.
Em seguida, um segundo documento, chamado de "Relatório Técnico", detalha com mais precisão todas as análises realizadas, destacando técnicas e resultados, deixando de lado as opiniões.
Esta é apenas uma forma de apresentar a documentação e não devemos nos esquecer de que ela deve ser capaz de resistir ao escrutínio legal, por isso é importante ser guiado pelo método processual estabelecido na teoria da criminalística.
Conclusões
Ao auditar um incidente de segurança, é necessário ter muita clareza sobre sua natureza, ser meticuloso, estruturado, muito claro nas observações e detalhar com a maior precisão possível.
Ao garantir que a amostra seja preservada em seu estado original e ao trabalhar sempre com cópias feitas pouco a pouco, poderemos nos alinhar com metodologias padronizadas internacionais, o que nos permite apresentar os resultados com respaldo legal a qualquer instituição que o exija.
