Forense Computacional

Forense Computacional -Introdução

Forense computacional é a ciência que estuda crimes praticados pela internet, ou fora dela, os chamados cyber-crimes.

Estudando como coletar evidências de crimes e violações, analisar e documentar casos, esta ciência, relativamente nova, segue as principais metodologias internacionais usadas e adotadas por todos os países do mundo na investigação de crimes e delitos comuns.

Forense Computacional -Introdução

A forense aplicada à tecnologia é muito recente, porém a ciência forense como um todo existe há muito tempo.

Historiador romano Virtrúvio relata que Arquimedes foi chamado pelo rei Hieron para atestar que a coroa encomendada junto a um artesão local não era composta pela quantidade de ouro combinada previamente entre as partes (teoria do peso específico dos corpos).

No século VII já eram utilizadas impressões digitais para determinar as identidades dos devedores. As impressões digitais dos cidadãos eram anexadas às contas que ficavam em poder dos credores.

Forense Computacional -Introdução

Século XX: evolução da ciência forense

Pesquisas que conduziram àidentificação do tipo sanguíneo e a análise e interpretação do DNA;

Publicação dos principais estudos referentes àaplicação de métodos e técnicas utilizadas na investigação de crimes;

Criado o “TheFederal Bureau of Investigation(FBI)”–uma referência no que tange àinvestigação de crimes e a utilização de técnicas forenses em diversas áreas

Forense Computacional -Introdução

Atualmente, existem peritos especializados em diversas áreas:

Análise de documentos (documentoscopia);

Balística;

Criminalística;

Genética;

Odontologia;

Química;

Computação (Forense Computacional);

Forense Computacional –Processo de investigação

O intuito é obter evidências relacionadas à realização dos eventos.

Evidências: peças utilizadas por advogados nos tribunais e cortes do mundo inteiro.

Para serem consideradas provas válidas, é muito importante que o perito realize o processo de investigação de maneira cuidadosa e sistemática.

Preservação das evidências

Documentação detalhada

Forense Computacional –Processo de investigação

Fases de um processo de investigação:

Forense Computacional –Coleta dos dados

Identificação de possíveis fontes de dados:

Computadores pessoais, laptops;

Dispositivos de armazenamento em rede;

CDs, DVDs;

Portas de comunicação: USB, Firewire, Flash card e PCMCIA;

Máquina fotográfica, relógio com comunicação via USB, etc.

Forense Computacional –Coleta dos dados

Os dados também podem estar armazenados em locais fora de domínios físicos da cena investigada.

Provedores de Internet

Servidores FTP (File TransferProtocol)

Servidores coorporativos

Nesses casos, a coleta dos dados somente será possível mediante ordem judicial.

Forense Computacional –Coleta dos dados

Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los.

Para a aquisição dos dados, é utilizado um processo composto por três etapas:

identificação de prioridade;

cópia dos dados;

garantia e preservação de integridade.

Forense Computacional –Coleta dos dados

Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade) na qual os dados devem ser coletados

Volatilidade: dados voláteis devem ser imediatamente coletados pelo perito. Ex.: o estado das conexões de rede e o conteúdo da memória

Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros, caso sejam necessários. Ex.: dados de um roteador da rede local x dados de um provedor de Internet

Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a seqüência na qual as fontes de dados serão investigadas

Forense Computacional –Coleta dos dados

Exemplo: investigação de invasão de rede, ordem da coleta de dados:

dados voláteis: conexões da rede, estado das portas TCP e UDP e quais programas estão em execução;

dados não-voláteis: a principal fonte de dados não-voláteis é o sistema de arquivos que armazena arquivos:

temporários;

de configuração;

De swap;

de dados;

de hibernação;

de log.

Forense Computacional –Coleta dos dados

Copiar dados: envolve a utilização de ferramentas adequadas para a duplicação dos dados

Ex.: utilitário dd(Linux) -pode ser usado para coletar os dados voláteis como os contidos na memória e para realizar a duplicação das fontes de dados não-voláteis.

Garantir e preservar a integridade

...