Forense Digital: descubra a sua importância!

Renan Cavalheiro

Forense Digital: descubra a sua importância!

Você sabe o que é Forense Digital? E para que ela serve?

Forense digital é um ramo da Computação Forense, utilizada por Peritos Digitais, para recuperar e investigar materiais encontrados em dispositivos digitais, com o objetivo de identificar evidências digitais, que podem estar relacionados a crimes cibernéticos.

Neste patamar, o trabalho de um profissional de forense digital exige alguns conhecimentos específicos.

Você sabe como o perito digital atua? E como entrar neste nicho? Para saber mais, continue a leitura!

O que é Forense Digital?

Primeiramente, é válido ressaltar que a chegada dos computadores pessoais no fim do século XX, especialmente em meados dos anos 1970 e início dos anos 1980, é considerado o ponto de origem dessa matéria.

A forense digital é uma ciência que tem como propósito investigar crimes cibernéticos, a qual emergiu e se propagou a partir de conhecimentos científicos, oriundos da ciência forense, já mais antiga.

O campo da ciência forense denominado “forense digital’, tem como objeto primordial realizar a recuperação, investigação, exame e análise de informações coletadas em dispositivos digitais, de cunho particular ou corporativo, oriundos de um ataque cibernético ou pela prática de cibercrimes.

A frase “digital forensics” foi usada pela primeira vez como sinônimo de “computer forensics“, tendo seu significado recendente ampliado para incluir a análise de todo em qualquer dispositivo que seja capaz de armazenar dados digitais, quais sejam, tablets, smartphones, GPS e etc.

A extensão acima citada, se deu tendo em vista que os referidos dispositivos, atualmente são versões compactas dos computadores.

No entanto, dotados de alta capacidade de mobilidade, funcionalidades aperfeiçoadas e alta capacidade de armazenamento de dados particulares e em tempo real.

A Forense Digital caracteriza-se pela utilização de métodos cientificamente desenvolvidos, visando a coleta, preservação, validação, identificação, análise, interpretação, documentação e apresentação de evidências digitais, oriundas de fontes digitais, com o propósito de facilitar ou expandir a reconstrução de eventos de origem criminosa, ou ajudar a antecipar ações não autorizadas que prejudiquem operações planejadas. [1]

Em outras palavras, o propósito da Forense Digital é promover e ampliar a reconstrução de eventos criminosos, praticados no mundo virtual, adotando técnicas procedimentais especificas, com o fito de identificar o autor do crime e/ou objetivando evitar novos ataques cibernéticos.

A Forense Digital estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia digital.

Quais são os principais aspectos da Forense Digital?

Citamos, a seguir, os principais aspectos da Forense Digital[2]:

Suprir as necessidades das instituições legais no que se refere ao manuseio das novas formas de evidências eletrônicas;
Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional;
Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato de um evento criminoso.

Diante do avanço da tecnologia, aumentou-se, proporcionalmente, o número de dados pessoais que são armazenados nas mídias digitais e que trafegam em redes e dispositivos de qualquer espécie diariamente, acarretando no aumento do número de incidentes na quebra de segurança destes meios.

É por isso que o objetivo da Forense Digital pode ser resumidamente definido como um caminho para prevenir e solucionar incidentes digitais, oriundos da segurança de dados, os quais emergem da Computação Forense, ciência que proporciona técnicas, metodologias e ferramentas periciais, com o fito de promover a produção de evidências digitais.

Mas afinal, o que são Evidências Digitais?

Evidência Digital, segundo disciplina a ABNT/ISO 27037, é definida como “informações ou dados, armazenados ou transmitidos em forma binária, que podem ser invocados como evidência. ”

Uma “evidência” procede de um vestígio, o qual, após realizadas as devidas investigações e análises pelo profissional de alçada, o Perito Digital, conseguiu demonstrar conexão direta com o evento criminoso investigado.

Uma vez constatado pelo profissional competente e comprovado o vínculo entre o vestígio digital e o crime cibernético investigado, referido vestígio é tecnicamente denominado de fato uma evidência digital.

Em complemento a definição supra, convém citar o conceito de evidência digital proposto por Casey[3]:

“Uma evidência digital pode ser entendida como qualquer dado armazenado ou transmitido utilizando-se um computador, de maneira que com este dado seja possível demonstrar ou refutar uma hipótese acerca de um evento; ou ainda que este forneça elementos críticos determinantes num caso investigado, tal como premeditação, dolo, álibi etc.” (grifo nosso)

O que é a ABNT NBR ISO/IEC 27037:2013?

As normas nacionais “NBR ISO/IEC” da “família” 27000, são traduções idênticas em conteúdo técnico, estrutura e redação das normas “ISO/IEC” e se baseiam, basicamente, em catorze elementos que tangem e norteiam o uso dos computadores e da internet de uma maneira geral, a saber[4] :

política de segurança;
organização da segurança;
segurança em recursos humanos;
gestão de ativos da informação;
controle de acesso; criptografia;
segurança física e do ambiente;
segurança nas operações;
segurança nas comunicações;
aquisição, desenvolvimento e manutenção de sistemas;
relacionamento na cadeia de suprimento; gestão de incidentes;
gestão da continuidade do negócio;
conformidade com as legislações vigentes.

A Associação Brasileira de Normas Técnicas – ABNT, publicou, em 2014, a norma técnica ABNT NBR ISSO/IEC 27037:2013, a qual tem como finalidade estabelecer diretrizes e orientações para a realização de atividades específicas no manuseio das evidências digitais

A finalidade da ISO 27037 é padronizar as orientações para identificação, coleta, aquisição e preservação de uma evidência digital.

Deste modo, o estudo da ISO 27037 é indispensável para todos os profissionais que pretendem atuar na área de investigação cibernética e forense digital.

A ISO 27037 entrou em vigor para ser utilizada por organizações de todas as naturezas e portes, bem como para ser o alicerce e referência nessa área, objetivando determinar e implementar controles, visando o tratamento de riscos de segurança da informação de um sistema de gestão de segurança da informação.

No nosso Blog você encontra um artigo completo sobre a ABNT NBR ISSO/IEC 27037:2013, não deixe de conferir!

Principais conceitos da ISO 27037

Com o efeito de complementar o que acima foi dito, vale citar o processo de manuseio de evidências digitais, preconizado pela norma ABNT NBR ISO/IEC 27037:2013.

A ISO 27037 dispõe que o processo de tratamento de evidências digitais a ser realizado pelo Perito Digital, ou seja, o processo inicial de manuseio digital, é composto pelas etapas de identificação, coleta, aquisição e preservação.

A fase de identificação contempla a pesquisa, a assimilação e a documentação da potencial evidência digital, considerando também a priorização da coleta baseada na volatilidade da evidência.

Uma vez identificadas as evidências, estas estão aptas para a fase de coleta, que é a etapa do processo na qual as possíveis evidências digitais são retiradas de sua localização original e transferidas para um ambiente controlado pelo perito digital.

Na etapa de coleta dos dados digitais, métodos de abordagens diferentes, como a intervenção de ferramentas apropriadas, por exemplo, podem ser necessários, a depender do estado do dispositivo investigado.

A terceira etapa é a aquisição das evidencias digitais, a qual compreende a extração da evidência digital e a documentação dos métodos utilizados nesse ofício.

Especificações como a situação da evidência, custo de execução da etapa e tempo dispensado para realizar a aquisição, devem ser observados pelo perito digital, bem como devem ser registrados os motivos de cada decisão.

A derradeira etapa é a de preservação da evidência, e, neste sentido, a norma ABNT NBR ISO/IEC 27037, ressaltar o seguinte: “[…] evidência digital seja preservada para garantir sua utilidade na investigação”.

Essa fase envolve o armazenamento da possível evidência digital, tendo como objetivo primordial de protegê-la contra extravio ou alteração.

Neste sentido, a idoneidade e a legitimidade da evidência digital deve satisfizer, rigorosamente, aos requisitos da integridade, autenticidade e da cadeia de custódia, nos termos precedidos pela NBR ISO/IEC 27037.

Além disso, um ponto crucial citado na ISO 27037 e que merece ênfase é que “recomenda-se que o processo de preservação seja iniciado e mantido durante o processo de manuseio da evidência digital, começando da identificação do dispositivo digital que contém a potencial evidência digital”.

Ademais, ainda segundo a norma técnica ABNT NBR ISO/IEC 27037:2013, é indicado que a pessoa autorizada para atuar no local de incidente, na execução de coleta e aquisição da evidência digital, seja capaz de descrever todas as aquisições de dados e dispositivos custodiados.

Tudo isso também deve ser reduzido a termo, num documento chamado registro de cadeia de custódia, também conhecido como Laudo Pericial, que é o registro da cronologia de movimento e do manuseio da potencial evidência.

Aqui a intenção é de manter o registro de cadeia de custódia para possibilitar a identificação do acesso e movimento da potencial evidência digital a qualquer tempo.

Segundo a ISO 27037, é aconselhado que todos os métodos adotados para obter as evidencias digitais identificadas em determinado ambiente virtual, que foi objeto de cibercrimes, diante da vulnerabilidade e volatilidade das evidências, sejam processados por profissionais independentes e capacitados, cuja a fase é habitualmente denominada de “Processado de Relatório”.

De mais a mais, a ISO 27037 pondera quatro principais aspectos para manusear a evidência digital, de acordo com as particularidades de cada uma, são elas: auditabilidade, repetibilidade, reprodutibilidade e justificabilidade (ABNT, 2013, p. 19).

Auditabilidade: Aqui o objetivo é determinar se o método científico, técnica ou o procedimento adotado foram devidamente obedecidos. É altamente recomendado que os processos realizados sejam documentados para uma avaliação nas atividades realizadas;
Repetibilidade: É estabelecida quando os mesmos resultados de testes conseguem ser reproduzidos, considerando as seguintes condições: Utilizando os mesmos processos e métodos de medição; aplicando os mesmos instrumentos e mesmas condições; e pode ser repetido a qualquer tempo depois do teste original;
Reprodutibilidade: Para haver reprodutibilidade os testes subsequentes precisam ser realizados sob as seguintes condições: Utilizando os mesmos métodos de medição; aplicando diferentes instrumentos e sob diferentes condições; e ser reproduzido a qualquer tempo depois do teste original, como por exemplo, comparando as strings de Hash; e
Justificabilidade: Aqui o perito deve ter a aptidão necessária para justificar todas as ações e métodos utilizados para o manuseio da possível evidência digital.

Como se tonar um forense digital?

Para atuar como forense digital, você deve ter conhecimentos de segurança da informação e também das ciências forenses.

Para iniciar, que tal assistir ao nosso Webinar sobre “Forense Digital – Tudo que você precisa saber para iniciar na área”, ministrado pelo nosso Professor Renan Cavalheiro, Founder CEO da Academia de Forense Digital.

Lembrando que o ideal mesmo é você consumir o máximo de conteúdo sobre a área, se tornando um especialista no assunto.

E para isso ser possível, a Academia de Forense Digital preparou um conteúdo intenso sobre essa matéria, no Treinamento de Fundamentos da Forense Digital, que contempla absolutamente TODOS os conceitos desse ramo.

No nosso Treinamento de Fundamento de Forense Digital você aprenderá as metodologias e técnicas utilizadas pelos profissionais que trabalham para a Justiça Cível, Trabalhista, Criminal ou ainda em áreas do setor privado, auxiliando a solucionar ativamente casos que envolvam evidências digitais.

Com uma abordagem didática e muitos estudos de caso práticos, você vai dar seu primeiro passo para uma grande mudança na sua vida profissional.

Esse treinamento é o ponto de partida para uma ampla gama de possibilidades de aprendizados, pois além de apresentar os primeiros conceitos de Forense Digital, também aborda temas como mercado de trabalho, legislações e metodologias aplicáveis e uma breve introdução a cada subárea da Forense Digital.

O treinamento em tela possibilita que você vislumbre as possibilidades de estudos e atuação profissional dentro desta área.

Fique de olho no nosso blog, pois aqui você confere vários artigos sobre segurança cibernética em geral.

Referências:

[1] G. Palmer. A road map for digital forensic research. Technical Report – First Digital Forensic , Research Workshop. Disponível em: <http://www.dfrws.org/2001/dfrws-rm-final.pdf>. Acesso em 28 de fev. de 2023.
[2] NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.; Recovering and Examining Compu-ter Forensic Evidence; Forense Science Communications. Disponível em: <https://sol.sbc.org.br/index.php/sbseg/article/view/21294/21119>. Acesso em: 28 de fev. de 2023.
[3] NERES, Winícius Ferraz. A cadeia de custódia dos vestígios digitais sob a ótica da Lei n. 13.964/2019: aspectos teóricos e práticos. Disponível em <file:///C:/Users/DELL/Downloads/14.%20A%20cadeia%20de%20custodia%20dos%20vestigios%20(5).pd>. Acesso em: 28 de fev. de 2023.
[4] RODRIGUES, Marcio Affonso. Segurança da Informação em Empresas. Disponível em: <https://app.uff.br/riuff/bitstream/handle/1/5692/TCC_MARCIO_AFFONSO_RODRIGUES.pdf?sequence=1&isAllowed=y>. Acesso em 28 de fev. de 2023.