Baixe o app para aproveitar ainda mais
Prévia do material em texto
Computação Forense Aula 5: O Surgimento da Computação Forense Apresentação Não podemos negar que o avanço da tecnologia nos tornou totalmente dependentes do uso de meios eletrônicos. Sendo assim, a tecnologia elevou a capacidade de cometimento de crimes e a consequente obtenção de provas dos mesmos. A computação forense ainda é muito recente, carecendo de um aprofundamento nos estudos, nas técnicas aperfeiçoadas e de regulamentação legal. Com o intuito de apoiar o esclarecimento das investigações relacionadas aos ilícitos cometidos através de um dispositivo computacional, surgiu a disciplina da Computação Forense. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Objetivo Analisar os conceitos gerais da Computação Forense, seu nascimento e sua de�nição histórica; Descrever o processo da Computação Forense, apontando brevemente alguns aspectos acerca da matéria; Identi�car os fatores preponderantes que in�uenciam na complexidade dos exames periciais. Conceitos gerias da Computação Forense Os computadores apareceram pela primeira vez em meados da década de 1940, e o rápido desenvolvimento dessa tecnologia foi logo seguido por vários crimes informáticos . Em meados da década de 1960, Donn Parker, da SRI International, começou a pesquisar crimes de computador e atividades computadorizadas criminosas ou minimamente antiéticas. O trabalho de Parker continuou pelas duas décadas seguintes, sendo considerado um marco na história da ética da computação. 1 Saiba mais https://stecine.azureedge.net/webaula/estacio/go0687/aula5.html O primeiro caso conhecido de um crime de computador foi registrado no Texas, EUA, em 1966, e resultou em uma sentença de cinco anos. Nas décadas de 1970 e 1980, os computadores pessoais tornaram-se comuns, tanto em casa quanto no local de trabalho. Posteriormente, os tribunais e cortes de aplicação da lei perceberam o surgimento de uma nova classe de crime: O crime de computador. Como todos os crimes, essa nova classe exigia evidências con�áveis para processos judiciais bem-sucedidos. Assim surgiu a disciplina Informática Forense, que visa solucionar, documentar e viabilizar o processo dos crimes informáticos. - Paul Leland Kirk Na década de 1990, as cortes de aplicação da lei em todos os países tecnologicamente avançados estavam cientes dos crimes tecnológicos e tinham um sistema em vigor para inicializar sua investigação e processo. Muitos centros de pesquisa cientí�ca também foram formados, e a indústria de software passou a oferecer várias ferramentas especializadas para ajudar na investigação de crimes informáticos. Com o rápido progresso tecnológico, o crime informático �oresceu. No entanto, é interessante notar que muitas ofensas naquela época, e até mesmo agora, não são relatadas e, subsequentemente, nunca são processadas. Comentário A verdade é que muitas pessoas físicas que são alvos de ataques e roubo de informações sequer relatam a invasão de computador para as autoridades, principalmente por medo de efetuar uma denúncia em vão. Sugere-se que a incidência de crimes informáticos é muito maior do que as estatísticas que aparecem na mídia. Fonte: JESHOOTS-com / pixabay. Por que isso acontece? Não está claro por que há falta de con�ança na capacidade de aplicação da lei, mas é concebível que o amadurecimento da computação forense possa aumentar a capacidade de aplicação da mesma e, em última análise, levar a uma melhoria no comportamento das pessoas e organizações. Processo da Computação Forense Para os primeiros investigadores envolvidos em crimes computacionais, tornou-se óbvio que, para que as descobertas fossem úteis como provas judiciais, eles teriam de cumprir as mesmas regras das investigações convencionais. A primeira coisa que todo investigador deve estar ciente é o Princípio de Troca de Locard: “Qualquer pessoa ou coisa que entra na cena do crime leva consigo algo da cena ou deixa algo de si quando sai”. Também �cou claro que, ao investigar um crime computacional, as mesmas regras básicas se aplicam a qualquer outra investigação de cena de crime. Cena de crime. Fonte: David von Diemar / unsplash. O processo de investigação inclui fases de preservação da cena física, levantamento, busca e reconstrução usando evidências coletadas, todas as quais devem seguir um conjunto rígido de regras e ser formalmente documentadas. Comentário Este processo é detalhado, por exemplo, nos Procedimentos Operacionais Padrão do Ministério da Justiça como forma de auxiliar o ramo forense. O crime informático tem características que justi�cam um campo separado de conhecimento ou disciplina. Este campo é comumente conhecido como Computação Forense. Outros nomes também são usados, por exemplo, 'Forense Computacional’ ou 'Forense Digital'. Atenção O termo mais amplo, 'forense digital', refere-se a evidências digitais, entendidas como qualquer informação de valor probatório que seja armazenada ou transmitida em formato digital. Coleta de evidências Cada vez mais, quando a mídia noticia algo sobre investigações acerca de fraudes �nanceiras, suspeita de terrorismo e tantos outros crimes modernos que se desenvolvem através de um computador, é mencionada a importância de se achar o agente praticante de tal conduta e, para tanto, é muito importante a coleta de todas as evidências disponíveis para elucidar tal fato. O exame forense de um dispositivo computacional e de outros dados digitais tornou-se uma ferramenta indispensável para a aplicação da lei, da segurança corporativa e robustez da inteligência cibernética. Exame de evidência. Fonte: Pi Supply / unsplash. Uma de�nição que podemos utilizar para a computação forense é: Capacidade de adquirir, preservar, recuperar e apresentar dados processados eletronicamente e armazenados em mídia computacional. No entanto, diversos especialistas acham que uma de�nição precisa não é possível porque, cada vez mais, as evidências digitais são recuperadas de dispositivos que não são tradicionalmente considerados "computadores"; isso é extremamente cíclico. Alguns preferem expandir a de�nição de forma a incluir nesse rol a coleta e o exame de todas as formas de dados digitais, incluindo os encontrados em telefones celulares, PDAs, iPods e outros dispositivos eletrônicos. Mesmo que �que extremamente complexo traduzir uma de�nição que abarque todos os sistemas de computação tradicionais (PCs, servidores e outros), descobrimos que os computadores podem estar envolvidos em atividades criminosas de muitas maneiras diferentes devido à sua natureza ubíqua. Entre outras coisas, um computador pode: Ser alvo de um crime, incluindo-se o roubo de informações, fraude �nanceira, negação de serviço ou outro ataque direto; Ser usado para cometer crimes contra outros computadores; Ser usado para cometer crimes não relacionados a computadores, como a criação de documentos falsos ou a falsi�cação de moeda; Ser usado para copiar ou distribuir ilegalmente materiais protegidos por direitos autorais, como músicas ou �lmes; Ser usado para armazenar documentos ilegais, como pornogra�a infantil ou informações roubadas de agências governamentais ou corporações; Conter informações como listas de contato, cópias de documentos falsi�cados ou e-mail que documenta uma rede de espionagem, os quais os investigadores possam usar para prevenir ou solucionar crimes. Em crimes que envolvam informações armazenadas ou manipuladas através de um dispositivo computacional, técnicas forenses são necessárias para extrair e analisar esses dados. Controversamente, um computador pode conter informações que invariavelmente podem ser usadas para determinar a intenção de um indivíduo em cometer um crime. Podemos ignorar momentaneamente tais investigações porque esses pontos levantam questões jurídicas e sociais periféricas ao foco desta matéria. Outrossim, o intuito é apresentar uma visão geral acerca dos processos e problemas relacionados à computação forense. De certo modo, a computaçãoforense não é tão fácil quanto parece. Os especialistas forenses que trabalham com evidências físicas, como balística, genética, medicina legal, papiloscopia ou química forense, desenvolveram procedimentos investigativos testados em tribunais para coletá-las e processá-las sem que haja qualquer tipo de contaminação. - Paul Leland Kirk Esses padrões são geralmente baseados em décadas de pesquisa cientí�ca e análise empírica. Padrões equivalentes para computação forense ainda estão surgindo dia após dia, di�cultados pela quantidade limitada de pesquisas acadêmicas conduzidas, levando-se em consideração que o arcabouço telemático não possui qualquer tipo de fronteira. Fonte: Adaptado de freepik. Coletar e examinar dados digitais, portanto, apresentam vários problemas exclusivos em comparação com aqueles que surgem com outros tipos de evidência. Coleta de evidência física Os investigadores podem remover alguns tipos de evidências físicas (amostras de cabelo ou �bras, por exemplo) de cenas de crime para analisar em laboratórios. Outros tipos (como impressões digitais na parede ou marcas de derrapagem no pavimento) devem ser examinados no local e preservados fotogra�camente ou por outros meios. Coleta de evidência digital Ao coletar dados digitais, os investigadores podem fazer cópias exatas usando ferramentas de software que clonam discos em armazenamento removível ou outras unidades físicas. Isso pode ser muito útil quando existem evidências relacionadas a uma investigação que enfoca um único funcionário no único servidor de uma empresa. Embora os investigadores não pudessem apreender o hardware por causa do dano que ele in�igiria à empresa, a cópia dos dados permitiria o prosseguimento da investigação garantindo que a evidência digital permanecesse inalterada. De muitas maneiras, a evidência digital tem se mostrado mais difícil de analisar do que a evidência física. Muitos aplicativos de software comuns modi�cam os dados quando um arquivo é aberto, mesmo que o usuário não tenha feito qualquer intervenção ou alteração de conteúdo. A simples inicialização de um sistema operacional moderno causa alterações nos arquivos de registro e con�guração, o que pode alterar as evidências críticas. O log do sistema, por exemplo, é uma evidência vital que pode mostrar os tempos de login e logout de um suspeito. Quando um investigador efetua login para iniciar um exame, o sistema também registra essa atividade e altera o conteúdo e os vestígios relacionados à data e hora do arquivo. Funções criptografadas de hash Para minimizar os problemas associados a tais atividades e veri�car a integridade das evidências, os investigadores costumam usar funções criptográ�cas de hash (comumente MD5 ou SHA) para "fazer impressões digitais" das cópias, sejam de memórias ou mesmo discos inteiros, antes de copiar dados para outra unidade. Se descobrirmos evidências na cópia, podemos usar a função hash novamente para veri�car se a cópia é uma duplicata dos dados originais, provando assim que a mesma evidência existe no disco original. O que é Computação Forense? Clique no botão acima. De acordo com Franco et al. (2016, p. 2): A computação forense é [um ramo] da Criminalística que tem como objetivo [analisar os artefatos e] vestígios cibernéticos, englobando os elementos que os orbitam. Esse aspecto [peculiar] torna [essa] área multidisciplinar, que abrange diferentes áreas das Ciências Forenses. Isso pode ser visto diariamente nos Institutos de Criminalística, onde os peritos de informática interagem com os peritos da área de contabilidade audiovisual. Essa cooperação acompanha o próprio movimento de migração do analógico para o digital visto na sociedade moderna. Até pouco tempo atrás, os peritos daquelas áreas analisavam livros-caixa e �tas VHS. Atualmente, examinam relatórios eletrônicos extraídos a partir de sistemas contábeis e vídeos codi�cadas no formato H.264. A própria documentoscopia, que tradicionalmente lidava apenas com os documentos em papel, hoje já trata de arquivos assinados com certi�cados digitais e montagens feitas eletronicamente. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Exame forense Um exame forense em um dispositivo informático pode ajudar a mitigar a perda permanente de dados e indicar práticas de retenção de registros eletrônicos defeituosos. É extremamente importante conduzir uma investigação forense computacional no intuito de localizar e preservar as evidências eletrônicas ou recuperar informações excluídas. A perícia informática é normalmente um processo de duas fases: 1 A descoberta, recuperação, preservação e controle de dados ou documentos eletrônicos. 2 A análise, veri�cação e apresentação de provas em tribunal ou investigações. As investigações federais e estaduais de fraude, discriminação, roubo de propriedade intelectual, vírus e sabotagem incluem pesquisas forenses em computador. O resultado da grande maioria dos casos depende de evidências obtidas por meio da computação forense. As investigações forenses computacionais também revelaram tentativas deliberadas de obstruir a justiça ao destruir provas, o que é uma infração penal. A computação forense precisa ir além de sua preocupação com abordagens puramente mecanicistas de cópia bit a bit; ela deve abraçar tecnologias e métodos que permitirão a inclusão de dados transitórios e análise de sistemas ao vivo (live). Essa nova direção pode exigir uma mudança correspondente nas expectativas se quisermos desenvolver maneiras de coletar e analisar informações voláteis. Comentário A verdade é que existe uma lacuna no que diz respeito a uma literatura que explique e exempli�que a computação forense em termos não técnicos, pois nossa visão de futuro envolverá uma colaboração interdisciplinar. Exames Periciais Novas direções em computação forense À medida que a tecnologia computacional vem se desenvolvendo numa velocidade extraordinária, ela facilita o processamento de volumes cada vez maiores de dados, o que não é apenas transitório, mas também não se limita a um local especí�co. Nesse sentido, as evidências coletadas de sistemas computacionais não são como outras evidências físicas e não podem estar sujeitas às mesmas regras. Atenção Mesmo em casos simples, é enganoso tratar o disco rígido que armazena dados como um sinônimo desses dados. A computação forense já caminhou muito além da análise de imagens de disco rígido. A análise forense de memória em dispositivos móveis e a metodologia de investigação do sistema ao vivo estão se desenvolvendo tanto em termos de pesquisa quanto em ferramentas de software forense especí�cas. Por exemplo, o Cyber Forensic Field Triage Process Model é um modelo para identi�cação, análise e interpretação a ser utilizado no local de evidências digitais sem a obrigatoriedade de adquirir uma imagem forense completa. O modelo é projetado para ser útil em situações nas quais as investigações de todo o sistema precisam ser feitas no local em um curto espaço de tempo. Coleta e preservação de evidências A coleta de imagens de memória, invariavelmente, altera os dados que estão sendo coletados. Até agora, nenhum método universal foi descoberto para evitar isso, e talvez tal método nunca seja desenvolvido. Da mesma forma, a investigação ao vivo por sua própria natureza modi�ca os dados armazenados na memória, nos discos rígidos e outros dispositivos de armazenamento. Deve-se aceitar que isso é inevitável, e as evidências coletadas dessa maneira devem se tornar aceitáveis para os tribunais desde que todas essas alterações sejam devidamente apontadas em relatório. Os tribunais examinam as evidências cuidadosamente para garantir que as condenações sejam baseadas apenas nas evidências mais con�áveis. No entanto, isso não signi�ca que todas as evidências estão 100% preservadas. Isso é particularmente verdade para evidências circunstanciais. Uma combinação de evidências que sozinha não resistiriaa um percurso judicial pode ser muito convincente quando considerada em conjunto. Os tribunais aceitam prontamente evidências com exatidão inferior a 100%. Considere a evidência de impressão digital, que é bem reconhecida pelos tribunais. Uma comparação de impressão digital é uma opinião de especialista baseada em pontos de identidade entre as duas impressões. A análise de impressões digitais, como todos os tipos de evidências de correspondência a padrões (incluindo balística), não é uma ciência exata. A evidência de DNA, também amplamente aceita, é expressa em termos de probabilidade estatística, e novamente não possui 100% de certeza. O importante é que o perito possa explicar ao tribunal o efeito potencial de uma eventual falta de certeza, ou seja, se a incerteza é ou não fatal para a integridade dos dados como um todo. Comentário Com isso, podemos fazer uma analogia com o campo da computação forense: se os investigadores conseguem tirar uma imagem da memória indicando a presença de pornogra�a, o fato de a técnica de investigação ter modi�cado os dados da memória no processo pode não importar. Só importará para um tribunal se a modi�cação poderia possivelmente ter construído uma imagem pornográ�ca (ou fragmento de uma) onde não havia nenhuma originalmente. A probabilidade de tal evento espontâneo é tão mínima que os tribunais podem, no entanto, considerar os dados con�áveis. Sistemas computacionais Clique no botão acima. Os sistemas computacionais estão cada vez mais complexos, e a análise de suas partes, como o disco ou a imagem da memória, pode não revelar prontamente todas as informações disponíveis. Isso exige uma nova abordagem (novamente, uma que remova a expectativa de certeza), isto é, tentar recriar o sistema de computador e seu ambiente imediato, reproduzindo as imagens coletadas de forma controlada, e observar seu comportamento. Isso tem o potencial de fornecer um insight valioso sobre a relação dinâmica do sistema investigado com as redes externas de computadores, bem como as con�gurações e funções especí�cas do próprio sistema. A prova obtida dessa forma não é um objeto físico, como um disco rígido, mas se assemelha mais a uma visita à cena do crime. Propõe, então, a expansão da de�nição de Computação Forense de forma a incluir a coleção de detalhes de hardware e software do sistema/computador investigado, com o objetivo de recriar o ambiente o mais �elmente possível, ainda que não completamente. Há ferramentas de software disponíveis que permitem a criação de sistemas virtuais seguindo as especi�cações exigidas. Essas ferramentas podem ser desenvolvidas para criar software forense dedicado, tornando o processo de reconstrução mais adequado para uma investigação forense. Isso deve ocorrer em paralelo com a análise das imagens do disco rígido. A reconstrução do sistema pode fornecer pistas valiosas para a investigação convencional. Mesmo que as provas fornecidas pela reconstrução não sejam admissíveis em tribunal, pode acelerar signi�cativamente a obtenção de resultados pelos métodos convencionais. A complexidade e a evolução da computação “A ‘Internet das coisas’, segundo previsões, atribuirá endereços lógicos a todos os dispositivos do planeta, criando uma grande rede na qual tudo estará conectado, desde eletrodomésticos até veículos automotores, abrindo espaço para os temas a serem discutidos na presente obra e que beiram os limites da �cção cientí�ca. A reboque dessas revoluções tecnológicas, surgem novas práticas ilícitas e antiéticas que dependem de análises especializadas dos pro�ssionais de Computação Forense” (FRANCO et al., 2016, p. 3). Internet das Coisas. Fonte: TheDigitalArtist / pixabay. No cenário de 2020, agregado ao evento da pandemia do SARS-CoV-2, de janeiro a setembro, o Brasil sofreu mais de 3,4 bilhões de tentativas de ataque cibernético e, muito provavelmente, grande parte se deu por falta de educação tecnológica ou conhecimentos básicos de segurança computacional, sendo que aproximadamente 21% desses ataques são denunciados. (Imagem: Divulgação/Kaspersky). Disponível em: https://bit.ly/Ataquebrazil20 - Acesso em 06 de dezembro de 2020. Ataques de ransomware tiveram pico entre março e abril nos primeiros meses da pandemia. Especialistas a�rmam que as ameaças vieram para �car. Se focarmos nos sistemas governamentais, apenas o SERPRO (Serviço Federal de Processamento de Dados), maior empresa pública de processamento de dados do País, registra, por exemplo, uma média de 15 mil tentativas de ataques por mês. Esses ataques a sistemas governamentais sempre são pauta no Fórum Econômico Mundial; seus líderes colocam os ataques cibernéticos, a incidência massiva de fraude, o roubo de dados e a desinformação digital como os 10 maiores riscos às Nações. Chamam atenção as cifras envolvidas aos custos dos crimes cibernéticos. De acordo com esses números, veri�ca-se que esse tipo de crime é muito promissor para os pro�ssionais atuantes na prevenção, resposta a incidentes e remediação dos crimes cibernéticos. Disponível em: https://glo.bo/2Imlvve. De acordo com Franco et al. (2016, p. 3-4): Os avanços tecnológicos ampliaram signi�cativamente as possibilidades de comércio, comunicação e relacionamento interpessoal, porém a formação de pro�ssionais e a educação tecnológica não acompanharam o ritmo desse vertiginoso crescimento. O trabalho da Perícia Forense Computacional demanda, além de pro�ssionais capacitados e investimentos em soluções de TI, tempo para execução dos respectivos exames. Dessa forma, os pro�ssionais que atuam em Computação Forense terão de lidar com a variação das complexidades dos exames periciais. Nesse contexto, o autor apresenta alguns fatores que se mostram preponderantes. São eles: Clique nos botões para ver as informações. “Relaciona-se à capacidade humana de compreensão e tratamento da informação, dos vestígios e suas análises em nível de raciocínio, deduções e conclusões. O fator humano é afetado por diversas variáveis, como estado emocional, cansaço, sono, calor e outros” (FRANCO et. al, 2016). Fator humano Diz respeito às facilidades e di�culdades impostas pela tecnologia, principalmente no tocante à velocidade de processamento da informação (tempo) como também na limitação de tamanho das mídias de armazenamento atuais (espaço)” (FRANCO et. al, 2016). Fator tecnológico “Conecta-se aos parâmetros impostos pela legislação no tratamento do vestígio cibernético, já que a análise desse deve obedecer, além dos princípios cientí�cos, os ditames de ordem legal e processual” (FRANCO et. al, 2016). Fator legal Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Atividade 1. São fases do processo de investigação de uma cena de crime, exceto: a) Coleta b) Relatório c) Documentação d) Análise e) Exame 2. É a capacidade de adquirir, preservar, recuperar e apresentar dados que foram processados eletronicamente e armazenados em mídia computacional. a) Análise live b) Antiforense c) Perícia computacional d) Duplicação forense e) Computação forense 3. É afetado por diversas variáveis, como a limitação de tamanho das mídias e a velocidade do processamento das informações. a) Fator legal b) Fator tecnológico c) Fator humano d) Fator temporal e) Fator processual Notas Crimes informáticos1 O crime informático é amplamente entendido como atos criminosos em que um computador é objeto ou ferramenta para a sua prática. Referências ELEUTÉRIO, P.M.S. Desvendando a Computação Forense. São Paulo – SP: Novatec Editora, 2010. FRANCO, D.P. et al. Introdução à computação forense. In: VELHO, J. A. Tratado de computação forense. Campinas: Millenium Editora, 2016. cap. 0, p. 1-15. (Série Criminalística Premium). Hitchcock, b.e.m. Tiered forensic methodology model for Digital Field Triage by non-digital evidence specialists. Disponível em: https://bit.ly/Forensicmethodology. Acesso em: 05 dez. 2020. LI, J.X. Cyber Crime and Legal Countermeasures:A Historical Analysis. Tallinn University. Estônia. Disponível em: https://bit.ly/CybercrimeHistorical. Acessado em 04 dez. 2020. Próxima aula Auditoria de Sistemas. Explore mais Leia o texto Handbook of Computer Crime Investigaton Forensics – Tools and Technology, de Eoghan Casey. javascript:void(0); javascript:void(0);
Compartilhar