Hoje vamos falar um pouco sobre computação forense.
Este é um tópico muito interessante, esta ciência permite a investigadores e pesquisadores descobrir evidências de que um computador ou dispositivo electrónico (por exemplo uma pen drive) tenha sido utilizada como ferramenta para cometer um crime.
Os especialistas desta área têm como objectivo fazer a colecta, extracção, analise e documentação de dados que possam ser usados como evidencia para uma investigação em curso.
Colecta
Fase em que o perito recolhe todos os dispositivos que são alvos da investigação ou que possam conter informações relevantes relacionadas a investigação em curso.
Nesta fase o perito analisa o ambiente da investigação e identifica todos os possíveis componentes que possam ser úteis a mesma. Após a identificação o perito procede com a colecta dos mesmos.
Cada dispositivo possui os seus procedimentos recomendados de manuseio para evitar a perca de informação.
Extracção
Nesta fase o perito recolhe todas a informações necessárias e possíveis dos dispositivos identificados no passo anterior. Técnicas como imagem de discos byte-a-byte ou ainda captura do estado actual de memória são frequentes. Elas permitem que o investigador consiga replicar com mais exactidão o estado da máquina no momento da aquisição.
Nesta fase também é comum se desligar o computador desconectado o mesmo da tomada. Deste modo o pesquisador tem uma garantia maior de que ficheiros não serão perdidos, pois alguns procedimentos de desligamento do computador envolvem a limpeza de dados como cache ou ficheiros temporários.
Analise
Nesta fase o perito analisa toda a informação que foi recolhida e começa a procurar por evidencias que possam estar relacionadas a investigação em curso.
Procedimentos como recuperação de ficheiros apagados, analise de ficheiros com dump hexadecimal, reconstrução de ficheiros, analise de logs e registros, etc, são utilizados pelo investigador para localizar as evidencias que ainda puderem ser recuperadas.
Documentação
Apesar de neste caso ser apresentado como o ultimo passo, a documentação é procedimento continuo em que o investigador vai documentar todos os passos que tomou durante a investigação, o uso incorrecto de uma ferramenta ou manuseio indevido das evidencias pode invalidar uma investigação e por consequente as provas encontradas.
Nesta fase o investigador tem que mostrar que procedeu de forma correcta e evidenciar que todos os dados colhidos são validos e que qualquer outro investigador, caso siga os mesmos passou ou equivalentes, vai chegar a mesma conclusão.
Neste post não é possível cobrir tudo sobre computação, então deixo aqui um livro que li e recomendo porque me ajudou a entender melhor os procedimentos desta área e a sua utilidade. O livro “Desvendando a Computação Forense” de Pedro Eleutério e Marcio Machado foi uma óptima introdução a esta área que vai se tornando cada vez mais relevante a medida que os computadores vão se tornando cada vez mais omnipresentes.
Espero que o artigo tenha sido útil, até a próxima…
One comment