|
Computação Forense / Análise Digital Forense é uma ciência que envolve a recuperação e investigação de itens encontrados em dispositivos eletrônicos em procedimento que, na maioria das vezes, é realizado como parte de uma disputa legal. Exames forenses podem ser realizados em praticamente qualquer dispositivo que contenha dados armazenados digitalmente, incluindo telefones celulares, laptops, discos rígidos, servidores, pen drives, cartões SD e até mesmo dados armazenados em nuvem. Uma imagem forense (também conhecida como cópia bit-a-bit ou imagem clonada) é uma cópia somente leitura de uma unidade de armazenamento inteira, qualquer que seja o tipo. Esta cópia contém todos os arquivos, bem como o espaço não alocado ou não usado na mídia de armazenamento original. O objetivo de criar uma imagem forense ou uma cópia de uma unidade é garantir que a evidência no dispositivo original permaneça inalterada. Todo e qualquer exame é realizado apenas nesta cópia garantindo a produção de provas legalmente admissíveis. Uma imagem forense pode ser feita com duplicadores baseados em hardware ou em software. Em mídia ou material original criptografado, a clonagem pode exigir o procedimento conhecido como imagem forense ao vivo, que consiste na obtenção da imagem forense do dispositivo enquanto ele ainda está ligado e conectado a uma rede ou em uso. Uma cópia forense é usada para coletar e preservar arquivos ativos e é uma cópia precisa e inalterada dos dados, incluindo metadados de arquivos originais, mas não é uma imagem completa da unidade original, ao contrário da imagem forense ou clonagem. Uma cópia forense pode ser necessária para preservar dados de um servidor compartilhado ou armazenamento em nuvem, em que uma unidade possui vários usuários ou quando a unidade deve permanecer em uso. A desvantagem de uma cópia forense é que, por não incluir espaço não alocado ou não utilizado, seu uso impede a recuperação de arquivos ou informações excluídos. A criptografia é um processo digital no qual os dados são convertidos em um formato que não pode ser lido sem uma senha ou chave. Sem esta senha ou chave, todas as informações permanecem embaralhadas e incompreensíveis. Quando está sendo usada criptografia em material sob análise, a senha ou chave de decodificação deve ser de conhecimento do examinador forense. Se a senha ou chave não for fornecida ou estiver indisponível, uma imagem forense ao vivo pode ser a única esperança de ler os dados, pois somente o processador ativo pode decriptografar os dados. A criptografia está se tornando cada vez mais comum para empresas que podem ter medo de violações de dados. Uma lista dos softwares de criptografia mais conhecidos inclui o SafeBoot Encryption da McAfee, o Endpoint Encryption da Symantec e o Whole Disk Encryption do PGP. O Windows tem um programa de criptografia embutido chamado Bit-locker. No sistema operacional da Apple, é chamado File Vault. A maioria dos dispositivos digitais contém arquivos excluídos. Um exame forense pode produzir uma lista de arquivos excluídos e, finalmente, recuperar alguns ou todos esses arquivos. Às vezes, arquivos excluídos, se forem sobrepostos por novos dados, não podem ser recuperados totalmente. Num disco rígido, quando um arquivo é excluído, o setor em que o arquivo está localizado é rotulado como excluída e é considerado “espaço não alocado” pelo sistema. No entanto, na maioria dos casos, os dados permanecem na unidade e simplesmente não estão visíveis para o sistema. Quando um dispositivo ou unidade de disco rígido sob análise não contém absolutamente nenhum arquivo excluído, isso pode ser uma indicação de que algum tipo de limpeza intencional de dados ocorreu ou que o sistema operacional foi reinstalado. Quando uma imagem forense de uma unidade é criada, a parte não utilizada da unidade, chamada de espaço não alocado, é incluída na cópia. Espaço não alocado pode conter partes de dados ou arquivos que foram excluídos. Quando um sistema operacional sobrescreve o espaço não alocado com novos dados, os arquivos originais excluídos podem não ser mais recuperáveis. Muitas vezes, no entanto, uma peculiaridade na maneira como os computadores armazenam dados permite que partes desses arquivos sobrescritos sejam recuperados. Como o armazenamento de dados é dividido em minúsculos setores, se um arquivo menor sobrescrever um arquivo maior, pode haver espaço de folga ou espaço não utilizado dentro desse setor, a partir do qual fragmentos de arquivos sobrescritos podem ser recuperados. Essa técnica é popularmente chamada de "escavar espaço não alocado". Metadados são dados sobre dados. Os metadados contêm informações como a data de criação de um arquivo, as datas em que ele foi acessado ou modificado e os horários. Usando software forense especializado, o autor ou criador dos dados, pode acessar informações como o número de revisões e a última vez que foi impresso um arquivo. Os metadados também podem, por exemplo, identificar onde e quando arquivos de mídia como fotos, áudios ou vídeos foram tirados ou gravados e em que tipo de câmera ou dispositivo. O exame forense permite, muitas vezes, saber quais dispositivos externos USB foram conectados a um equipamento específico e quando. A maioria dos dispositivos externos USB produz evidências de sua marca e modelo, e alguns podem incluir números de série de unidades. Isso pode fornecer um rastro a seguir para outros dispositivos em potencial a serem examinados durante uma investigação. Arquivos de link ou arquivos da Microsoft com a extensão .lnk, podem mostrar que um arquivo estava presente ou foi acessado em algum momento em um determinado sistema, mesmo quando esse arquivo tenha sido apagado ou não exista mais no local original. Um arquivo de link é um arquivo de atalho que aponta para um aplicativo ou um arquivo. Um link geralmente é criado pelo sistema operacional e contém informações importantes, incluindo o local original do arquivo, seus metadados, datas de modificação e tamanho. O custo de um exame forense depende de muitos fatores, desde a quantidade de horas de laboratório e os requisitos de hardware e software, até o escopo dos dados ou arquivos que estão sendo procurados. Como a perícia forense digital é uma ciência, os examinadores e engenheiros altamente qualificados devem executar uma série de etapas para produzir um relatório forense. Isso pode levar tempo e uma quantidade significativa de trabalho. Para evitar a incerteza do faturamento por hora, oferecemos aos clientes preços específicos para cada caso. Quando o cliente fornece os parâmetros e o escopo da investigação e disponibiliza para avaliação a totalidade do material a ser examinado, calculamos uma taxa fixa que será mantida até o final dos trabalhos a menos que o escopo das necessidades do cliente seja alterado. |
|
 |
 |