Auditoria e Investigação Forense

Informática Forense: técnicas de análise

Em português não existe uma expressão concreta para definir informática forense, sendo que em inglês é utilizado o termo Computer Forensic. Entenda-se informática forense como um ramo da ciência forense relacionado com provas digitais descobertas em suportes de armazenamento digital.

É descrita como a utilização de várias técnicas de análise e investigação - forense - para identificar, recolher, examinar e preservar algum tipo de informação digital, sendo que tem como objectivo descobrir provas de determinado tipo de actividade e reportar essas provas, para que finalmente, possam ser utilizadas para diferentes fins, judiciais ou não, para explicar o estado actual de determinada prova digital.

Essa informação digital pode ser proveniente de vários meios como discos rígidos, dispositivos USB, PDA’s, telemóveis, CD’s e DVD’s, etc. A Data Recover Center, como empresa com larga experiência na área da recuperação de dados perdidos, tem amplos conhecimentos práticos e um laboratório especializado, que lhe asseguram os melhores resultados finais em investigação forense dentro da informática forense.

O porquê da informática forense?

Nos dias de hoje, a grande maioria das comunicações é efectuada através do mundo digital, bem como a grande maioria das informações é armazenada em formato digital. Dificilmente alguém guarda arquivos de informação sem ser em digital.

Quando existem problemas relacionados com a segurança, crimes ou qualquer outra situação ou incidente, é necessário:

• Entender o que se passou; 
• O que motivou a situação; 
• Como foi permitido chegar à situação; 
• Que consequências existiram; 
• O que se pode fazer para evitar que aconteçam novamente. 

Uma vez que cada situação é específica e está inerente a condições diversas, não existe um método único ou uma única aplicação para analisar todos os casos que existem. Tudo depende do cenário. Cenários ou circunstâncias diferentes exigem abordagens e métodos diferentes, incluindo a utilização de diferentes aplicações.
Algumas circunstâncias comuns onde se pode aplicar a informática forense:

• Intrusões na rede empresarial 
• Malware 
• Espionagem 
• Industrial Actividades indevidas por parte colaboradores informação dados bancários 
• Roubo identidade 
• Crimes informáticos (ex: pirataria).

A Data Recover Center, como empresa com larga experiência na área da recuperação de dados perdidos, tem amplos conhecimentos práticos e um laboratório especializado, que lhe asseguram os melhores resultados finais. São utilizadas várias ferramentas tecnologicamente avançadas para a prática forense como por exemplo bloqueadores de escrita, workstations dedicadas e aplicações comerciais e desenvolvidas à medida.

Para uma investigação forense há que ter em atenção todos os procedimentos a seguir para que não exista violação da privacidade dos dados pessoais e porque existem alguns problemas relacionados com as provas digitais pois estas são muito voláteis, são facilmente manipuláveis e ocultáveis.

A Data Recover Center tem a preocupação de estar actualizada e utilizar tecnologia de ponta dado que a evolução na área de Tecnologias é muito rápida e constante produzindo-se com facilidade novos tipos de cenários ou circunstâncias. Metodologia de investigação forense

Um processo de informática forense segue uma determinada metodologia específica, sendo que normalmente é dividido em 4 fases:

1. Análise do incidente (entendimento do cenário ou circunstâncias).
2. Recolha das provas. 
3. Análise das provas. 
4. Preparação de relatórios e conclusões. 
5. Através do serviço de informática forense da Data Recover Center, o cliente poderá ter acesso a relatórios especializados sobre problemas relacionados com perda de dados e outras questões ligadas à segurança da sua informação.

Colocamos à disposição do cliente estudos em profundidade de qualquer incidente relacionado com suportes informáticos: uso fraudulento de equipamentos, pirataria, informação apagada por colaboradores, ocultação de ficheiros e muitos outros.

Com o uso da mais avançada tecnologia ao serviço da informática forense, a Data Recover Center certifica o conteúdo de um disco rígido ou a ausência do mesmo, bem como o motivo que provocou essa variação.

Este serviço pode também ser-lhe útil também em caso de suspeita de delitos informáticos que levaram à perda de informação, ou em caso de planeamento de medidas cautelares, para prevenir a ocorrência destas perdas.

Investigação forense | 1. Análise do incidente

Numa primeira fase, para o início da investigação forense, é analisado o incidente que ocorreu. É recebida a informação sobre um determinado incidente (pode ser por várias formas, como através dos sistemas de gestão de segurança, por aviso directo, etc.), e existe uma verificação do mesmo, sendo importante comprovar as fontes de informação. Deve ser estabelecida uma linha temporal da ocorrência, pois é importante saber o que aconteceu entre o momento do incidente e o momento da aquisição das provas. Deve ser gerado o cenário e as respectivas circunstâncias.

Investigação forense | 2. Recolha das provas digitais

Numa segunda fase, são recolhidas as provas digitais. Normalmente associa-se prova digital, a informação recuperada de um computador, mas este conceito vai muito além desta associação. Entenda-se por provas digitais, todo o tipo de dispositivos que contenham informação digital.

Como em qualquer outro tipo de investigação, é necessário apresentar provas para comprovar o que pretendemos. Para um caso de investigação de informática forense, é importante garantir a credibilidade e integridade das provas digitais, tornando-se crítico saber como manuseá-las.

Para uma prova digital ser validada, é necessário demonstrar que a mesma é válida e não foi previamente manipulada, porque as conclusões de um caso dependerão muito das provas.

No que respeita a provas digitais, a preservação das mesmas de acordo com métodos específicos, é uma regra importante, porque uma das primeiras coisas que acontecerá é a tentativa de desacreditar as provas apresentadas. Para todo o processo de investigação forense existem alguns actos que devem ser evitados, para que as provas digitais não sejam comprometidas.

São eles:

• Não executar nenhum tipo de aplicação que possa alterar datas dos ficheiros; 
• Não utilizar aplicações de clonagem / imagem convencionais; 
• Não utilizar o disco rígido sem bloqueadores de escrita. 

Em casos apresentados em tribunal, a cadeia de custódia é fundamental. O termo, cadeia de custódia, torna-se bastante importante para entender todo o processo de investigação forense. A cadeia de custódia determina como se utilizaram as provas digitais e o seu armazenamento.

Este conceito determina:

• Quem recolheu, quando recolheu e onde foram recolhidas as provas; 
• Quem analisou, quando analisou e como se analisaram as provas; 
• Quem teve posse e durante quanto tempo tivemos posse das provas; 
• Quando e entre quem foram transmitidas as provas.

Investigação forense | 3. Análise das provas digitais

Numa terceira fase, para a análise das provas digitais existem alguns procedimentos a seguir que dependem muito do tipo de cenário que foi desenhado anteriormente ou do tipo de provas que se procura.

Algumas das análises que poderão ser efectuadas são:

• Definição de uma linha temporal; 
• Análise de palavras-chave; 
• Análise de headers de ficheiros; 
• Análise de valores Hash; 
• Análise de informação escondida ou apagada; 
• Análise de Malware (ex. rootkit, cavalo de Tróia, spyware, etc.) 
• Análise de processos; 
• Análise de Logs; 
• Análise do registo de sistema; 
• Esteganografia; - Análise de correio electrónico; 
• Análise de páginas Web; 
• Análise da modificação de informação - Entre outros.

Investigação forense | 4. Conclusões

Por último, são preparados os relatórios com as conclusões obtidas do conjunto de análises efectuadas. Nesta fase todo o relatório é trabalhado em conjunto com o cliente ou com o advogado do mesmo, de forma a fundamentar da melhor maneira possível as provas encontradas, e assim apoiar a resolução do processo.

Noutros casos, a Data Recover Center poderá efectuar uma contra-peritagem, com o objectivo de refutar argumentos ou meios de prova num determinado processo. Por outro lado poderá também ser solicitada a colaboração de consultores técnicos para esclarecer diversas questões relacionadas com as tecnologias de informação, ao longo de todo o caso.

Para concluirmos e, uma vez que na actualidade a informação digital assume um carácter crítico, será necessária uma análise e documentação das provas digitais, sendo que se torna útil recorrer aos serviços de uma empresa com know-how especializado, a fim de ter o apoio necessário na resolução destes processos.