Forense Digital: conceitos e procedimentos básicos
O que, exatamente, é a Análise Forense Digital?
Computação Forense / Análise Digital Forense é uma ciência
que envolve a recuperação e investigação de itens
encontrados em dispositivos eletrônicos em procedimento que,
na maioria das vezes, é realizado como parte de uma disputa
legal. Exames forenses podem ser realizados em praticamente
qualquer dispositivo que contenha dados armazenados
digitalmente, incluindo telefones celulares, laptops, discos
rígidos, servidores, pen drives, cartões SD e até mesmo
dados armazenados em nuvem.
O que é uma imagem forense ou clonagem?
Uma imagem forense (também conhecida como cópia bit-a-bit ou
imagem clonada) é uma cópia somente leitura de uma unidade
de armazenamento inteira, qualquer que seja o tipo. Esta
cópia contém todos os arquivos, bem como o espaço não
alocado ou não usado na mídia de armazenamento original. O
objetivo de criar uma imagem forense ou uma cópia de uma
unidade é garantir que a evidência no dispositivo original
permaneça inalterada. Todo e qualquer exame é realizado
apenas nesta cópia garantindo a produção de provas
legalmente admissíveis.
Uma imagem forense pode ser feita com duplicadores baseados
em hardware ou em software. Em mídia ou material original
criptografado, a clonagem pode exigir o procedimento
conhecido como imagem forense ao vivo, que consiste na
obtenção da imagem forense do dispositivo enquanto ele ainda
está ligado e conectado a uma rede ou em uso.
O que é uma cópia forense?
Uma cópia forense é usada para coletar e preservar arquivos
ativos e é uma cópia precisa e inalterada dos dados,
incluindo metadados de arquivos originais, mas não é uma
imagem completa da unidade original, ao contrário da imagem
forense ou clonagem. Uma cópia forense pode ser necessária
para preservar dados de um servidor compartilhado ou
armazenamento em nuvem, em que uma unidade possui vários
usuários ou quando a unidade deve permanecer em uso. A
desvantagem de uma cópia forense é que, por não incluir
espaço não alocado ou não utilizado, seu uso impede a
recuperação de arquivos ou informações excluídos.
O que é criptografia?
A criptografia é um processo digital no qual os dados são
convertidos em um formato que não pode ser lido sem uma
senha ou chave. Sem esta senha ou chave, todas as
informações permanecem embaralhadas e incompreensíveis.
Quando está sendo usada criptografia em material sob
análise, a senha ou chave de decodificação deve ser de
conhecimento do examinador forense. Se a senha ou chave não
for fornecida ou estiver indisponível, uma imagem forense ao
vivo pode ser a única esperança de ler os dados, pois
somente o processador ativo pode decriptografar os dados. A
criptografia está se tornando cada vez mais comum para
empresas que podem ter medo de violações de dados. Uma lista
dos softwares de criptografia mais conhecidos inclui o
SafeBoot Encryption da McAfee, o Endpoint Encryption da
Symantec e o Whole Disk Encryption do PGP.
O Windows tem um programa de criptografia embutido chamado
Bit-locker. No sistema operacional da Apple, é chamado File
Vault.
É possível recuperar arquivos excluídos?
A maioria dos dispositivos digitais contém arquivos
excluídos. Um exame forense pode produzir uma lista de
arquivos excluídos e, finalmente, recuperar alguns ou todos
esses arquivos. Às vezes, arquivos excluídos, se forem
sobrepostos por novos dados, não podem ser recuperados
totalmente. Num disco rígido, quando um arquivo é excluído,
o setor em que o arquivo está localizado é rotulado como
excluída e é considerado “espaço não alocado” pelo sistema.
No entanto, na maioria dos casos, os dados permanecem na
unidade e simplesmente não estão visíveis para o sistema.
Quando um dispositivo ou unidade de disco rígido sob análise
não contém absolutamente nenhum arquivo excluído, isso pode
ser uma indicação de que algum tipo de limpeza intencional
de dados ocorreu ou que o sistema operacional foi
reinstalado.
O que é espaço não alocado?
Quando uma imagem forense de uma unidade é criada, a parte
não utilizada da unidade, chamada de espaço não alocado, é
incluída na cópia. Espaço não alocado pode conter partes de
dados ou arquivos que foram excluídos. Quando um sistema
operacional sobrescreve o espaço não alocado com novos
dados, os arquivos originais excluídos podem não ser mais
recuperáveis. Muitas vezes, no entanto, uma peculiaridade na
maneira como os computadores armazenam dados permite que
partes desses arquivos sobrescritos sejam recuperados. Como
o armazenamento de dados é dividido em minúsculos setores,
se um arquivo menor sobrescrever um arquivo maior, pode
haver espaço de folga ou espaço não utilizado dentro desse
setor, a partir do qual fragmentos de arquivos sobrescritos
podem ser recuperados. Essa técnica é popularmente chamada
de "escavar espaço não alocado".
O que são metadados?
Metadados são dados sobre dados. Os metadados contêm
informações como a data de criação de um arquivo, as datas
em que ele foi acessado ou modificado e os horários. Usando
software forense especializado, o autor ou criador dos
dados, pode acessar informações como o número de revisões e
a última vez que foi impresso um arquivo. Os metadados
também podem, por exemplo, identificar onde e quando
arquivos de mídia como fotos, áudios ou vídeos foram tirados
ou gravados e em que tipo de câmera ou dispositivo.
É possível identificar o uso de dispositivos externos USB?
O exame forense permite, muitas vezes, saber quais
dispositivos externos USB foram conectados a um equipamento
específico e quando. A maioria dos dispositivos externos USB
produz evidências de sua marca e modelo, e alguns podem
incluir números de série de unidades. Isso pode fornecer um
rastro a seguir para outros dispositivos em potencial a
serem examinados durante uma investigação.
Como os arquivos de link são úteis?
Arquivos de link ou arquivos da Microsoft com a extensão
.lnk, podem mostrar que um arquivo estava presente ou foi
acessado em algum momento em um determinado sistema, mesmo
quando esse arquivo tenha sido apagado ou não exista mais no
local original. Um arquivo de link é um arquivo de atalho
que aponta para um aplicativo ou um arquivo. Um link
geralmente é criado pelo sistema operacional e contém
informações importantes, incluindo o local original do
arquivo, seus metadados, datas de modificação e tamanho.
Qual é o custo de uma análise forense digital?
O custo de um exame forense depende de muitos fatores, desde
a quantidade de horas de laboratório e os requisitos de
hardware e software, até o escopo dos dados ou arquivos que
estão sendo procurados. Como a perícia forense digital é uma
ciência, os examinadores e engenheiros altamente
qualificados devem executar uma série de etapas para
produzir um relatório forense. Isso pode levar tempo e uma
quantidade significativa de trabalho. Para evitar a
incerteza do faturamento por hora, oferecemos aos clientes
preços específicos para cada caso. Quando o cliente fornece
os parâmetros e o escopo da investigação e disponibiliza
para avaliação a totalidade do material a ser examinado,
calculamos uma taxa fixa que será mantida até o final dos
trabalhos a menos que o escopo das necessidades do cliente
seja alterado.
|