Loading AI tools
Da Wikipédia, a enciclopédia livre
Computação forense (também conhecida como ciência forense computacional)[1] é um ramo da ciência forense digital pertencente às evidências encontradas em computadores e em mídias de armazenamento digital. O objetivo da computação forense é examinar a mídia digital de uma maneira forense, com o propósito de identificar, preservar, recuperar, analisar e apresentar fatos e opiniões sobre a informação digital.
Embora seja mais frequentemente associado à investigação de uma ampla variedade de crimes de informática, a computação forense também pode ser usada em processos civis. A disciplina envolve técnicas e princípios semelhantes à recuperação de dados, mas com diretrizes e práticas adicionais projetadas para criar uma trilha de auditoria legal.
Evidências de investigações forenses computacionais são geralmente submetidas às mesmas diretrizes e práticas de outras evidências digitais. Ela tem sido usada em vários casos importantes e está se tornando amplamente aceita como confiável nos sistemas de tribunais dos EUA e da Europa.
No início dos anos 80, os computadores pessoais tornaram-se mais acessíveis aos consumidores, levando ao aumento do seu uso em atividades criminosas (por exemplo, para ajudar a cometer fraudes). Ao mesmo tempo, vários novos "crimes computacionais" foram reconhecidos (como o cracking). A disciplina de computação forense surgiu durante este tempo como um método para recuperar e investigar evidências digitais para uso em tribunais. Desde então, o crime informático e o crime relacionado com computadores cresceram e saltaram 67% entre 2002 e 2003.[2] Hoje, a computação forense é usada para investigar uma ampla variedade de crimes, incluindo pornografia infantil, fraude, espionagem, cyberstalking, assassinato e estupro. A disciplina também se apresenta em processos civis como forma de coleta de informações (por exemplo, descoberta eletrônica).
Técnicas forenses e conhecimento especializado são usados para explicar o estado atual de um artefato digital, como um sistema de computador, meio de armazenamento (por exemplo, disco rígido ou CD-ROM) ou um documento eletrônico (por exemplo, uma mensagem de e-mail ou imagem JPEG).[3] O escopo de uma análise forense pode variar desde a simples recuperação de informações até a reconstrução de uma série de eventos. Em um livro de 2002, Computer Forensics, os autores Kruse e Heiser definem computação forense como envolvendo "a preservação, identificação, extração, documentação e interpretação de dados de computador".[4] Eles descrevem a disciplina como "mais uma arte do que uma ciência", indicando que a metodologia forense é apoiada pela flexibilidade e extenso conhecimento do domínio. No entanto, embora vários métodos possam ser usados para extrair evidências de um determinado computador, as estratégias usadas pela aplicação da lei são bastante rígidas e carecem da flexibilidade encontrada no mundo civil.[5]
No tribunal, a evidência forense de computadores está sujeita aos requisitos usuais de evidências digitais. Isso requer que as informações sejam autênticas, obtidas com confiabilidade e admissíveis.[6] Diferentes países têm diretrizes e práticas específicas para a recuperação de evidências. No Reino Unido, os examinadores costumam seguir as diretrizes da Association of Chief Police Officers, que ajudam a garantir a autenticidade e a integridade das evidências. Embora voluntárias, as diretrizes são amplamente aceitas nos tribunais britânicos.
A computação forense tem sido usada como prova no direito penal desde meados da década de 1980, sendo que alguns exemplos notáveis incluem:[7]
As investigações forenses computacionais geralmente seguem o processo ou fases padrões da forense digital que são aquisição, exame, análise e relatório. As investigações são realizadas em dados estáticos (ou seja, imagens adquiridas) em vez de sistemas "vivos". Esta é uma mudança das práticas forenses iniciais, em que a falta de ferramentas especializadas levou os pesquisadores a trabalharem com dados "vivos".
Algumas técnicas são usadas durante investigações de computação forense e muito tem sido escrito sobre as muitas técnicas usadas pela aplicação da lei em particular. Veja, por exemplo, "Defendendo Casos de Pornografia Infantil".
Uma técnica forense que correlaciona informações encontradas em vários discos rígidos. O processo, ainda em pesquisa, pode ser usado para identificar redes sociais e realizar a detecção de anomalias.[9][10]
É o exame de computadores de dentro do sistema operacional usando ferramentas forenses ou ferramentas de administração de sistemas existentes para extrair evidências. A prática é útil quando se lida com Encrypting File System, por exemplo, onde as chaves de criptografia podem ser coletadas e, em alguns casos, o volume lógico do disco rígido pode ser visualizado (conhecido como aquisição viva) antes de o computador ser desligado.
Uma técnica comum usada na computação forense é a recuperação de arquivos excluídos. Softwares forenses modernos têm suas próprias ferramentas para recuperar ou escanear dados excluídos.[11] A maioria dos sistemas operacionais e sistemas de arquivos nem sempre apagam dados de arquivos físicos, permitindo que os investigadores os reconstruam a partir dos setores de discos físicos. O esculpimento de arquivos envolve a pesquisa de cabeçalhos de arquivos conhecidos na imagem de disco e a reconstrução de materiais excluídos.
Um método que usa propriedades estocásticas do sistema de computador para investigar atividades sem artefatos digitais. Seu principal uso é investigar o roubo de dados.
Uma das técnicas usadas para ocultar dados é através da esteganografia, o processo de esconder dados dentro de uma foto ou imagem digital. Um exemplo seria esconder imagens pornográficas de crianças ou outras informações que um determinado criminoso não queira que sejam descobertas. Os profissionais de computação forense podem combater isso examinando o hash do arquivo e comparando-o com a imagem original (se disponível). Embora a imagem pareça exatamente igual, o hash muda conforme os dados são alterados.[12]
Ao apreender provas, se a máquina ainda estiver ativa, qualquer informação armazenada somente na memória RAM que não seja recuperada antes de ser desligada pode ser perdida.[8] Uma aplicação de "análise viva" é recuperar dados da RAM (por exemplo, usando a ferramenta COFEE, windd, WindowsSCOPE da Microsoft) antes de remover uma exibição. O Gateway CaptureGUARD ignora o login do Windows para computadores bloqueados, permitindo a análise e a aquisição de memória física em um computador bloqueado.
A RAM pode ser analisada quanto ao conteúdo anterior após a perda de energia, porque a carga elétrica armazenada nas células de memória leva tempo para se dissipar, um efeito explorado pelo ataque de inicialização a frio. O período de tempo em que os dados são recuperáveis é aumentado pelas baixas temperaturas e pelas altas voltagens das células. Manter a RAM sem energia abaixo de -60 °C ajuda a preservar os dados residuais em uma ordem de magnitude, melhorando as chances de recuperação bem-sucedida. No entanto, pode ser impraticável fazer isso durante um exame de campo.[13]
Algumas das ferramentas necessárias para extrair dados voláteis, no entanto, exigem que um computador esteja em um laboratório forense, tanto para manter uma cadeia legítima de evidências quanto para facilitar o trabalho na máquina. Se necessário, a execução da lei aplica técnicas para mover um computador de mesa ativo e em execução. Estes incluem um mouse jiggler, que move o mouse rapidamente em pequenos movimentos e evita que o computador entre acidentalmente em modo de hibernação. Normalmente, uma fonte de alimentação ininterrupta (UPS) fornece energia durante o trânsito.
Portanto, uma das maneiras mais fáceis de capturar dados é salvando os dados da RAM no disco. Vários sistemas de arquivos que possuem recursos de registro no diário (journaling), como NTFS e ReiserFS, mantêm uma grande parte dos dados de RAM na mídia de armazenamento principal durante a operação, e esses arquivos de página podem ser reagrupados para reconstruir o que estava na RAM naquele momento.[14]
Existem várias ferramentas comerciais e de código aberto para investigação forense computacional. A análise forense típica inclui uma revisão manual do material na mídia, analisando o registro do Windows em busca de informações suspeitas, descobrindo e decifrando senhas, pesquisando palavras-chave para tópicos relacionados ao crime e extraindo e-mails e fotos para revisão.[7]
Há várias certificações de computação forense disponíveis, como a ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) e a IACRB Certified Computer Forensics Examiner.
A certificação mais alta independente de fornecedor (especialmente dentro da UE) é considerada a [CCFP - Certified Cyber Forensics Professional].[15]
Outros, dignos de menção para os EUA ou APAC são: a IACIS (a International Association of Computer Investigative Specialists - Associação Internacional de Especialistas em Investigação em Computadores) oferece o programa Certified Computer Forensic Examiner (CFCE).
A Asian School of Cyber Laws oferece certificações em nível internacional em Digital Evidence Analysis e em Digital Forensic Investigation. Esses cursos estão disponíveis no modo on-line e sala de aula.
Muitas empresas de software forense com base comercial agora também estão oferecendo certificações proprietárias em seus produtos. Por exemplo, a Guidance Software oferece a certificação (EnCE) em sua ferramenta EnCase, a certificação AccessData (ACE) em sua ferramenta FTK, a certificação PassMark Software (OCE) oferece em sua ferramenta OSForensics e a X-Ways Software Technology (X-PERT) oferece a certificação para seu software, X-Ways Forensics.[16]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.