Metodologia

Metodologia de investigação forense

Um processo de informática forense segue uma determinada metodologia específica, sendo que normalmente é dividido em 4 fases:

1. Análise do incidente (entendimento do cenário ou circunstâncias).

2. Recolha das provas.

3. Análise das provas.

4. Preparação de relatórios e conclusões.

Através do serviço de informática forense da Data Recover Center, o cliente poderá ter acesso a relatórios especializados sobre problemas relacionados com perda de dados e outras questões ligadas à segurança da sua informação.

Colocamos à disposição do cliente estudos em profundidade de qualquer incidente relacionado com suportes informáticos: uso fraudulento de equipamentos, pirataria, informação apagada por colaboradores, ocultação de ficheiros e muitos outros.

Com o uso da mais avançada tecnologia ao serviço da informática forense, a Data Recover Center certifica o conteúdo de um disco rígido ou a ausência do mesmo, bem como o motivo que provocou essa variação.

Este serviço pode também ser-lhe útil também em caso de suspeita de delitos informáticos que levaram à perda de informação, ou em caso de planeamento de medidas cautelares, para prevenir a ocorrência destas perdas.

Numa primeira fase, para o início da investigação forense, é analisado o incidente que ocorreu. É recebida a informação sobre um determinado incidente (pode ser por várias formas, como através dos sistemas de gestão de segurança, por aviso directo, etc.), e existe uma verificação do mesmo, sendo importante comprovar as fontes de informação. Deve ser estabelecida uma linha temporal da ocorrência, pois é importante saber o que aconteceu entre o momento do incidente e o momento da aquisição das provas. Deve ser gerado o cenário e as respectivas circunstâncias.

Numa segunda fase, são recolhidas as provas digitais. Normalmente associa-se prova digital, a informação recuperada de um computador, mas este conceito vai muito além desta associação. Entenda-se por provas digitais, todo o tipo de dispositivos que contenham informação digital.

Como em qualquer outro tipo de investigação, é necessário apresentar provas para comprovar o que pretendemos. Para um caso de investigação de informática forense, é importante garantir a credibilidade e integridade das provas digitais, tornando-se crítico saber como manuseá-las.

Para uma prova digital ser validada, é necessário demonstrar que a mesma é válida e não foi previamente manipulada, porque as conclusões de um caso dependerão muito das provas.

No que respeita a provas digitais, a preservação das mesmas de acordo com métodos específicos, é uma regra importante, porque uma das primeiras coisas que acontecerá é a tentativa de desacreditar as provas apresentadas. Para todo o processo de investigação forense existem alguns actos que devem ser evitados, para que as provas digitais não sejam comprometidas.

São eles:

- Não executar nenhum tipo de aplicação que possa alterar datas dos ficheiros;

- Não utilizar aplicações de clonagem / imagem convencionais;

- Não utilizar o disco rígido sem bloqueadores de escrita.

Em casos apresentados em tribunal, a cadeia de custódia é fundamental. O termo, cadeia de custódia, torna-se bastante importante para entender todo o processo de investigação forense. A cadeia de custódia determina como se utilizaram as provas digitais e o seu armazenamento.

Este conceito determina:

- Quem recolheu, quando recolheu e onde foram recolhidas as provas;

- Quem analisou, quando analisou e como se analisaram as provas;

- Quem teve posse e durante quanto tempo tivemos posse das provas;

- Quando e entre quem foram transmitidas as provas.

Numa terceira fase, para a análise das provas digitais existem alguns procedimentos a seguir que dependem muito do tipo de cenário que foi desenhado anteriormente ou do tipo de provas que se procura.

Algumas das análises que poderão ser efectuadas são:

- Definição de uma linha temporal;

- Análise de palavras-chave;

- Análise de headers de ficheiros;

- Análise de valores Hash;

- Análise de informação escondida ou apagada;

- Análise de Malware (ex. rootkit, cavalo de Tróia, spyware, etc.)

- Análise de processos;

- Análise de Logs;

- Análise do registo de sistema;

- Esteganografia; - Análise de correio electrónico;

- Análise de páginas Web;

- Análise da modificação de informação - Entre outros.

Por último, são preparados os relatórios com as conclusões obtidas do conjunto de análises efectuadas. Nesta fase todo o relatório é trabalhado em conjunto com o cliente ou com o advogado do mesmo, de forma a fundamentar da melhor maneira possível as provas encontradas, e assim apoiar a resolução do processo.

Noutros casos, a Data Recover Center poderá efectuar uma contra-peritagem, com o objectivo de refutar argumentos ou meios de prova num determinado processo. Por outro lado poderá também ser solicitada a colaboração de consultores técnicos para esclarecer diversas questões relacionadas com as tecnologias de informação, ao longo de todo o caso.

Para concluirmos e, uma vez que na actualidade a informação digital assume um carácter crítico, será necessária uma análise e documentação das provas digitais, sendo que se torna útil recorrer aos serviços de uma empresa com know-how especializado, a fim de ter o apoio necessário na resolução destes processos.

Conheça a história da informática forense.