Aula - 07_10 - Pericia Forense Digital

Prévia do material em texto

Investigação - Crimes Cibernéticos e Computação Forense / Aula 7 - Perícia forense digital
· Introdução
Nesta aula, estudaremos o conceito de perícia forense digital e como esta é realizada para concluir o que antes foi estudado e levantado como hipóteses.
A perícia forense digital irá estudar os fatos que realmente são relevantes e realizar a conclusão do que ocorreu para que o evento estudado através da computação forense tenha completado os levantamentos dos dados e saia das hipóteses, chegando ao término.
Como toda perícia dados são cruzados e através destes dados e da análise da trilha de auditoria chega-se à conclusão, eliminado hipóteses e entregando através da documentação não fatos relevantes mas resultados precisos e concretos.
Bons estudos!
· Objetivos
Compreender conceitos e fundamentos da perícia forense digital.
Identificar, analisar, avaliar e validar ocorrências que vão construir a conclusão de como ocorreu o evento.
Realizar o estudo, pesquisa e caso concreto com base em fatos relevantes.
· Créditos
Jarcélen Ribeiro
Redator
Laís Silva
Designer Instrucional
Vívian Nunes
Web Designer
Rostan Luiz
Desenvolvedor
· INTRO
· OBJETIVOS
· CRÉDITOS
· IMPRIMIR
ondemand_videoVídeo.
Perícia forense digital
Na perícia forense digital, a prática é toda realizada de acordo com as evidências, observações, levantamento de dados e análise de hipóteses.
Ela usa o cruzamento de dados para a construção da forma macro do mapa de evidências. Após ser compilada, chegará à conclusão com a indicação dos fatos relevantes e as possíveis causas.
O trabalho do profissional que vai tratar da perícia forense conta com um relatório em que todos os pontos mais relevantes estão destacados. Não se despreza nem a trilha de auditoria realizada anteriormente para fomentar a teoria dos fatos que gerou a ocorrência.
Portanto, um trabalho de perícia forense digital é minucioso e depende de um histórico que venha monitorando os fatos e evidências bem como o ambiente e o usuário.
Torna-se impossível chegar a uma conclusão sem que antes tenha ocorrido um monitoramento ou análise de evidências. Despreza-se as evidências superficiais e hipóteses infundadas porque estas é que vão compor o mapa de hipóteses.
Exercício!
O trabalho da perícia forense digital identifica em sua atuação na camada mais alta que os dados estão mais protegidos e isso ocorre porque o perfil de acesso dos usuários é dado como:
Permitido
Autorizado
Acessado
Auditado
Protocolado
Corrigir
ondemand_videoVídeo.
Fluxo das ações da perícia forense digital
Observe o fluxo:
Coleta -> Exame -> Análise -> Resultados Obtidos
Com base no fluxo, podemos observar que:
É preciso avaliar todo o ambiente e as possibilidades de riscos e as brechas da segurança da informação para que a perícia forense digital, que acontece diretamente na fonte, não tenha desvio e não trace um “percurso” equivocado.
Caso a perícia forense digital fique tendenciosa ao engano (não precisa chegar ao erro), acarretará prejuízos incalculáveis.
A perícia forense digital na sua prática terá que observar as falhas, as ameaças e as vulnerabilidades e, caso as encontre, corrigir o percurso para que não mais aconteça e sugerir que a governança de TI faça uma nova análise e proposta de segurança e política de privacidade.
Análise de lacuna
Uma das técnicas trabalhadas é o que chamamos de análise de lacuna, em que se observa se os gaps estão fora do escopo da política de segurança. É realizada uma comparação entre os controles e acessos e as possibilidades das vulnerabilidades.
Na realidade, o trabalho da perícia forense digital vai buscar na raiz do problema as causas que indicaram o erro. Com isso, é possível partir do princípio que não só a trilha de auditoria foi suficiente para enxergar a causa como também os ocorridos para uma ameaça ou execução do próprio crime cibernético.
O que acontece após as ocorrências e a análise da perícia forense digital?
Após as ocorrências e a análise da perícia forense digital, fica como alerta que as vulnerabilidades precisam ser tratadas para não mais darem brechas na segurança.
Quando essas vulnerabilidades não existem e mesmo assim houve a ocorrência de um crime cibernético, a perícia forense digital vai apontar fatores extras e inesperados, indicando que em algum momento a falha foi encontrada e que a vulnerabilidade foi provocada, mas que os testes dos controles não correram tratando todas as hipóteses e possibilidades.
A análise de lacuna é indicada justamente por ser um método efetivo que não observa um fato isolado e sim a visão geral do ambiente e de toda a política de segurança (com foco nas práticas do dia a dia).
Com essa técnica, é possível observar inclusive todas as ameaças de forma prévia, configurando um trabalho de prevenção.
· QUAIS AS ROTINAS QUE SERÃO APLICADAS?
• Identificar elementos;
• Preparar documentos e questionários para levantamento de dados;
• Observar padrões e procedimentos;
• Identificar as diretrizes e cruzar com dados levantados para criar o mapa de evidências;
• Coletar informações de históricos de hardware;
• Coletar informações de software;
• Entrevistar usuários que tenham relevâncias para avaliar conhecimento e conformidade sobre a política de segurança;
• Entrevistar usuários que tenham autorizações e permissões diferenciadas para checar procedimentos e possíveis vulnerabilidades;
• Comparar os ambientes e as diretrizes e normas;
• Identificar as lacunas;
• Observar as indicações de cumprimento para solução de lacunas;
• Documentar os reparos ocorridos na identificação das lacunas;
• Estudar os reparos implementados nas lacunas previamente identificadas em períodos passados;
• Fazer o estudo das conformidades com política de segurança.
Essa técnica estuda inclusive as causas que geraram essas lacunas e as possíveis vulnerabilidades. Não deixando de observar que as rotinas serão aplicadas para qualquer situação e usuário.
SAIBA MAIS
Para saber mais sobre esse assunto, leia o texto “Investigação Digital ou Perícia Forense Digital”.
ondemand_videoVídeo.
Integridade e confidencialidade
Outra técnica que pode ser trabalhada é o tratamento de dados confidenciais que tem foco na integridade e confidencialidade.
O objetivo é identificar as brechas que permitiram a violação dessa integridade, sendo necessário ter muita atenção para identificar o que ocorreu e como ocorreu.
Fonte: Eny Setiyowati / Shutterstock
Para a perícia forense digital, a quebra de confidencialidade é um problema muito grave e com alto risco e impacto de atingir mais áreas e rotinas do que o previsto e a probabilidade pode mensurar.
Nesse caso, protocolos são implantados e muitas das vezes há necessidade de ter um acompanhamento jurídico.
Mais uma vez, vamos alertar que para o trabalho da perícia forense digital é importante eliminar suposições abstratas (dados não relevantes) para a ocorrência do evento, sendo fundamental registrar todos os eventos ocorridos para que o refinamento realizado aponte para a causa correta sem deixar dúvidas.
Lembre-se de que, em níveis mais altos, os dados e informações sempre estarão mais seguros devido às autorizações.
Exercício!
A detecção de vulnerabilidade através da trilha de auditoria identifica que os riscos de crimes cibernéticos foram possibilitados. Marque a opção que indica as brechas para essa vulnerabilidade:
Política de segurança
Projeto de controle
Mapa de acesso
Análise de risco
Relatório de auditoria
Corrigir
Autorização x permissão e modelo espiral de detalhamento
AUTORIZAÇÃO ≠ PERMISSÃO
É importante entender que autorização é diferente de permissão e isso faz toda a diferença na hora da construção da hipótese e da tomada de decisão para elaborar a conclusão dos fatos.
A investigação de incidentes por parte da perícia forense digital vai abrir em camadas as ações identificadas, vindo o âmbito abrangente para o detalhamento, como se fosse o modelo espiral.
Para alguns especialistas, a visão é cônica. O que nos dá maior detalhamento e profundidade.
Espiral do círculo vicioso de problemas e modelodo cone
Outro esquema que será estudado é o espiral do círculo vicioso de problemas:
Como estamos analisando, a perícia forense digital tem o foco nas ocorrências, nos fatos que provocaram os problemas e nos usuários afetados e participantes, já que os crimes cibernéticos atingem tanto o todo, quanto o indivíduo e seu ambiente.
Para identificar as evidências, fechar hipóteses e gerar conclusões, há necessidade de um maior nível de detalhamento. É por isso que a perícia forense digital usa a o cone como referência.
Na primeira possibilidade, partiremos dos menores detalhes da base até chegar na abrangência.
Já na segunda possibilidade, vamos partir da base mais abrangente até o menor detalhamento possível.
Em ambos os casos, existe a necessidade da visão abrangente e da mais detalhada no nível de maior profundidade.
Vamos analisar uma situação:
Recentemente Titi, filha dos atores Bruno Gagliasso e Giovanna Ewbank, sofreu injúrias raciais em uma rede social feitas por uma usuária da rede.
Leia a reportagem completa.
Qual a vulnerabilidade apresentada para que tal crime cibernético tenha ocorrido? E para qual abrangência e detalhamento aprofundado?
Corrigir
GABARITO
Como o perfil foi de uma pessoa pública que sofreu este crime, o profissional de perícia forense digital precisa ver a escala e o impacto que isso causará para indicar os protocolos adequados.
Isso não significa que um crime como esse causaria menor impacto se fosse uma pessoa comum. Ambas sofreram crimes cibernéticos e ambas receberão tratativas. Contudo, não podemos deixar de observar que o impacto é diferente e que o profissional atuante no caso tomará decisões para solucionar o problema de acordo com esses impactos.
Protocolos de segurança
VectorsMarket / Shutterstock
Como estamos vendo, vamos sempre ter que garantir a disponibilidade, integridade e confidencialidade dos dados e informações.
Manter a confidencialidade vai depender de protocolos liberados para usuários autorizados — no maior nível e dos permitidos em níveis intermediários.
Para prevenção, serão indicados protocolos para segurança ao bloquear o uso indevido de recursos protegidos, sugerindo o uso de autenticação e senhas com formatos mais bem elaborados.
SUGESTÕES DE PREVENÇÃO COM MELHORES RESULTADOS
• Senhas;
• Cartões inteligentes;
• Tokens;
• Certificados digitais;
• Assinaturas digitais;
• Desafio-resposta;
• Autenticações;
• Senhas únicas;
• Regras;
• Permissões;
• Controles de acessos virtuais;
• Detecção e prevenção de intrusos;
• Controle de acessos físicos;
• Biometria;
• Filtros de acesso;
• Filtros de conexões;
• Filtro de tráfego de dados;
• Detalhamento de perfil.
Assim, para a perícia forense digital, os controles de acessos ficam protegidos, garantindo que a ocorrência não foi causada por vulnerabilidade e sim por um real crime cibernético. Portanto, não houve estímulos provocados e sim ações maliciosas.
Portanto, são esses controles que ajudarão a garantir a integridade e a segurança será premissa de importância para todo o trabalho do profissional especializado. Dessa forma, o trabalho realizado através da perícia forense digital será de qualidade e garantirá a segurança.
SAIBA MAIS
Para saber mais sobre esse assunto, leia a matéria “A Atuação do Perito Forense Computacional na Investigação de Crimes Cibernéticos”.
Atividade
Em um hospital, temos os registros que todos os funcionários possuem usuário e senha para logar/acessar/entrar na rede administrativa.
Essa rede identifica, em todos os departamentos, quando o funcionário faz o acesso e tem uma trilha de auditoria que registra tudo que foi realizado.
Imaginemos hipoteticamente que um determinado médico está em seu horário de atendimento. Porém, comunicou que não poderia estar presente por uma necessidade particular, mas estaria online. Caso necessitassem, poderiam fazer contato com ele via e-mail ou celular corporativo.
Surge, então, a necessidade de um laudo. Contudo, por não ser tão urgente, apenas o chefe do departamento médico foi comunicado dessa demanda, o médico não ficou ciente.
Ao final do dia, ao gerar o relatório de pendências e demandas, percebeu-se que este médico não entrou na lista. Porém, não puderam acusá-lo de ter feito o acesso, já que este sistema só é acessado via intranet (internet da empresa; no caso, do hospital).
Este caso gerou um alerta de auditoria e foi solicitada uma análise criteriosa por meio da equipe de Governança de TI, acionando uma perícia forense digital.
Como solucionar este caso?
Corrigir
GABARITO
Inicialmente deve-se observar o perfil de acesso deste usuário. Depois, solicitar um relatório de acessos daquele dia.
Se esse usuário tiver acessado a intranet de alguma das filiais do hospital, deverá ser solicitado o registro da entrada e saída do mesmo, indicando ponto de alerta. Deve-se observar ao médico que em situações como essa, ele só poderá repetir a atuação se for autorizado por algum superior.
Se esse usuário tiver acessado da Unidade, inicialmente deverá ser verificada se a hora de acesso corresponde ao horário que o mesmo informou estar ausente. Se sim, é importante entender como fez o procedimento se estava ausente. Se não mais estava ausente, deve-se informá-lo que deveria ter comunicado ao seu superior direto.
Se o acesso foi feito fora do horário, porém do seu local origem, não há necessidade de advertência. Porém, a indicação do perito forense digital é um alerta de monitoramento nos acessos e solicitação da busca da entrada física do médico.
Em uma terceira hipótese, se não há o registro do médico no ambiente físico, o acesso foi feito por um outro computador de um outro departamento médico ou outro departamento do hospital. Será importante, então, monitorar e rastrear através da trilha de auditoria quem estava logado nesse computador.
Por meio dessa análise, o perito forense vai identificar se esta é uma rotina comum do médico. Em caso positivo, será gerado um relatório que faz a “construção” de hipóteses para colocar o funcionário em monitoria e alerta.
O perito computacional juntará esses fatos para concluir se os sistemas estão sendo operados por terceiros através do repasse de usuário e senha de forma indevida, gerando um protocolo de advertência que será encaminhado ao departamento responsável pelo código de ética e política de privacidade da empresa.
Fazer uso de sistemas através de usuário e senha por empréstimo sem autorização prévia faz parte da linha de crimes cibernéticos. Tanto é advertido e punido quem faz o acesso como quem cede o usuário e a senha sem autorização prévia.
Referências
desta aula
Referências desta aula
· CLARKE, Richard A. Guerra Cibernética: a próxima ameaça à segurança e o que fazer a respeito. 1. ed. Rio de Janeiro: Brasport, 2015.
· KIM, David. Fundamentos de Segurança de Sistemas de Informação. 1. ed. Rio de Janeiro: Gen-LTC, 2014.
· SCUDERE, Leonardo. Risco digital na web 3.0: Criando estratégias de defesas cibernéticas. 1. ed. Rio de Janeiro: Campus, 2016.
Próximos
passos
Próximos passos
· Teste de invasão;
· Técnicas e procedimentos;
· Critérios de identificação e documentação.
Explore +
Explore +
· • Leia o texto:
·    - Conheça as Áreas da Perícia.