É sempre a mesma história, coloca-se uma cerca de arame e o ladrão usará um alicate. Então, coloca-se uma cerca de arame farpado e o ladrão usará um alicate e uma luva. Coloca-se uma cerca elétrica e...
Não importa o quanto nos protegemos, sempre haverá alguém ousado para testar essas defesas e sempre haverá aqueles que mostrarão às autoridades como o crime foi praticado.
Vejamos como funcionou com a criptografia. Desde o império romano a história a criptografia foi uma das tecnologias que evoluiu com as necessidades de sigilo nas comunicações da humanidade e sempre que foi criado um método de cifragem mais moderno ele foi mais cedo ou mais tarde quebrado, em seguida surgia um novo método mais seguro e uma estratégia de quebrar mais eficiente e assim continua a acontecer. A criptografia quântica existe em teoria e os estudos para suas vulnerabilidades e quebra também já existem.
A Forense Computacional
Ramo da criminalística que compreende a descoberta, preservação, restauração e análise de evidências computacionais. O termo forense origina-se do meio policial, onde peritos investigadores procuram analisar de forma minuciosa tudo o que encontram na cena do crime, desde um cadáver até um minúsculo fio de cabelo ou pequena mancha de tinta e com um isolamento adequado da área, procurando preservar as evidências seguem ao passo seguinte de examinar com as técnicas adequadas, como balística e exames laboratoriais.
A contaminação ou incorreção na aplicação das metodologias pode invalidar as provas para um tribunal. A mesma analogia pode ser dada à forense computacional.
Cada crime de computador deixa rastros e é preciso saber encontrá-los. Os computadores sempre foram suscetíveis aos ataques e intrusões, mas assim como cresce a sofisticação da tecnologia dos computadores, também é crescente a necessidade de antecipar e se resguardar diante da taxa de crescimento da atividade de crimes de computador.
A análise forense está se tornando uma parte integrada à resposta a incidentes de segurança juntamente com o crescimento do número de investigadores treinados em forense computacional e da disponibilidade de kits de ferramentas de forense computacional.
São etapas fundamentais na forense computacional a coleta de informações, a identificação de evidências, a obtenção e coleta das evidências e a reconstrução dos eventos.
O objetivo da forense computacional é conduzir uma investigação estruturada com uma metodologia que permita determinar o que aconteceu, quem foi responsável e, a investigação deve ser executada de uma forma que os resultados sejam úteis em um processo criminal.
Forense computacional é a aplicação de técnicas de análise e investigação em computadores com o interesse de determinar evidências legais em potencial. Enquanto a evidência em forense computacional essa é muito freqüentemente procurada em um vasto número de crimes de computador ou no emprego inaceitável, incluindo roubo de segredos comerciais, roubo ou destruição de propriedade intelectual e fraudes.
Os especialistas em forense computacional usam uma ampla gama de métodos para “garimpar” dados escondidos dentro de um sistema computacional e freqüentemente recuperar arquivos que foram propositalmente deletados, cifrados ou danificados, em algumas raras vezes, de muitos anos atrás.
As evidências colhidas por um especialista em forense computacional são úteis e muito freqüentemente necessárias durante a buscas, depoimentos e disputas judiciais.
Os profissionais que atuam na área de forense computacional podem ser chamado de perito ou investigador.
São características interessantes para esse tipo de investigador especializado, a aplicação de técnicas de forense computacional:
- Conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores;
- Familiaridade com as ferramentas, técnicas, estratégias e metodologia de ataques conhecidos, inclusive as que não se tem registro de ter ocorrido, mas que já são vistas como uma exploração em potencial de uma determinada vulnerabilidade de um sistema.
- Faro investigativo para perceber rastros sutis de ações maliciosas - Esmero pela perfeição e detalhes. Sempre deve haver rastros, mesmo que muito sutis.
- Entendimento sobre o encadeamento de causas e conseqüências em tudo o que ocorre num sistema para construir a história lógica formada por ações maliciosas ou normais que já tenham ocorrido, que estejam em curso e que possam vir a acontecer;
- Conhecimento da legislação envolvida;
- Conhecimento das diretivas internas das empresas einstituições envolvidas no processo investigativo, com especial atenção às limitações como diretivas de privacidade, sigilo e escopo ou jurisdição de atuação;
- Cuidado com a manipulação e preservação de provas legais em potencial, inclusive com uma metodologia de cadeia de custódia. O que não é visto como prova hoje pode vir a ser uma prova e então é bom ter sido preservada o suficiente para ser aceita em um tribunal.
- Noções sobre a psicologia dos atacantes em potencial a respeito de perfis de comportamento e motivações.
- Experiência ao examinar os rastros em um incidente perceber o nível de sofisticação e conhecimento de um atacante, especialmente interessante se o atacante usa subterfúgios para parecer menos capaz, como deixar rastros óbvios e parecer um ataque simples para ocultar ações maliciosas muito mais perigosas e muito mais escondidas.
Outro assunto interessante relacionado está na padronização e na quantidade de metodologias na área de forense computacional são ainda insuficientes considerando-se a grande demanda de aplicabilidade. É crescente o número de incidentes que transpõe os níveis de escopo de atuações de empresas, instituições, jurisdições policiais e até países.
Para uma perfeita adequação das práticas e procedimentos da forense computacional às legislações pertinentes a cada um dos envolvidos em um caso de incidente de segurança, é crescente a necessidade de metodologias com padrões internacionalmente aceitos para a forense computacional.
Algumas questões que dificultam a padronização e definição de metodologias estão relacionadas à grande diversidade de equipamentos, programas de computador e sistemas existentes. A cada dia surgem novas versões de sistemas operacionais, novos ativos de rede e novas mídias portáteis ou não. Isto aumenta a necessidade e ao mesmo tempo torna mais difícil a padronização de procedimentos e a criação e implementação de metodologias.
Os Princípios Internacionais para Evidência Computacional e Organização Internacional de Evidência Computacional - IOCE), foi estabelecida em 1995 para prover às agências internacionais da lei um fórum para troca de informação a respeito de investigações de crimes de computadores e outras matérias de forense computacional.
Comprometida com as agências, com credibilidade do governo dos EUA, envolvidas em investigação forense computacional, a IOCE identifica e discute temas de interesse em seus continentes, facilita a disseminação internacional da informação e desenvolve recomendações por consideração de suas agências membro. Também para formular padrões de evidência de computador a IOCE desenvolve comunicações entre agências membro e mantém conferências engrenadas para o estabelecimento de relações de trabalho.
Em resposta ao Plano de ação e comunicação do G8 de 1997 a IOCE recebeu a tarefa de desenvolver padrões internacionais para a troca e recuperação de evidência eletrônica. Grupos de trabalho no Canadá, Europa, Reino Unido e nos Estados Unidos foram formados para sediar estes padrões de evidência computacional.
Durante a IHCFC Conferência Internacional de Crimes de Alta Tecnologia e Forense de Outubro de 1999, a IOCE realizou reuniões e "workshops" nos quais revisaram o United Kingdom Good Practice Guide e o Rascunho de Padrões do SWGDE. O grupo de trabalho propôs os seguintes princípios apresentados com aprovação unânime:
Alguns Princípios Internacionais da IOCE Os princípios internacionais desenvolvidos pela IOCE para recuperação padronizada de evidências baseadas em computador têm como centro os seguintes atributos:
- Consistência com todos os sistemas legais;
- Permissão para o uso de uma linguagem comum;
- Durabilidade;
- Habilidade de cruzar limites internacionais;
- Habilidade de dar confiança em relação à integridade da evidência;
- Aplicabilidade de toda a evidência forense;
- Aplicabilidade em todos os níveis inclusive do indivíduo, agência e país.
Tais princípios são:
- Ao se apreender uma evidência digital, as ações não devem mudar aquela evidência;
- Quando for necessário para uma pessoa acessar a evidência digital original aquela pessoa deve ser legalmente e tecnicamente competente;
- Toda atividade relacionada à obtenção (apreensão), acesso, armazenagem ou transferência de uma evidência digital deve ser completamente documentada, preservada e disponível para revisão;
- Um indivíduo é responsável por todas as ações tomadas a respeito de uma evidência digital enquanto a evidência digital estiver em seu poder;
- Qualquer agência que é responsável por obter, acessar, armazenar ou transferir uma evidência digital é responsável em acordo com estes princípios;
Outros itens recomendados pela IOCE para debate futuro e/ou facilitação incluem:
- Competência forense e a necessidade de gerar adesão na aceitação internacional e na validação de ferramentas, técnicas e treinamento;
- Permissão para o uso de uma linguagem comum;
- Durabilidade;
- Habilidade de cruzar limites internacionais;
- Habilidade de dar confiança em relação à integridade da evidência;
- Aplicabilidade de toda a evidência forense;
- Aplicabilidade em todos os níveis inclusive do indivíduo, agência e país.
O SWGDE é focado na prática de forense de evidências digitais primeiramente em laboratório. Entretanto, os documentos gerados por ele são úteis para executar procedimentos em um laboratório não tradicional ou em campo. Trace Evidence, Drogas, Fogo e Explosivos, Impressões digitais e imagem.
Alguns dos trabalhos do SWGDE exploraram os princípios da forense digital e desenvolveram definições básicas. Em 1999, o SWGDE adotou uma série de princípios e definições que o grupo sentiu que eram tão universais o quanto possível. Estes princípios foram publicados no "Forensic Science Communications" e submetidas em outubro de 1999 ao "International Organization on Computer Evidence.
A reunião da IOCE foi feita em conexão com uma conferência maior, a International High Tech Crime and Computer Forensics Conference".
Os delegados na reunião usaram o material da SWGDE assim como o material contido no Guia de Boas Práticas da Associação de Chefes de Polícia do Reino Unido para formar os princípios da IOCE. Os princípios da IOCE adotaram as definições do SWGDE.
O SWGDE e o ASCLD/LAB. - Associação Americana de Diretores de Laboratórios de Criminalística propuseram colocar a evidência digital como uma disciplina amplamente aceita. Foi gerado um documento, o ASCLD/LAB Manual, importante para reconhecer que evidência digital inclui exame de vídeo/imagem digital e áudio digital. Cada item no ASCLD/LAB Manual é marcado com um E, I ou D.
O documento, em discussão, de boas práticas é projetado para prover diretrizes para laboratórios os quais tenham ou visam ter unidades de evidência digital, seja um computador, áudio, vídeo ou imagem digital aceitas como confiáveis. Este documento pode e deve ser usado de forma personalizada, sendo que certos itens podem ser documentados como sendo inaplicáveis em um determinado caso. Partes do documento foram deixadas propositalmente vagas para permitir às agências a habilidade de determinar internamente as especificidades.
Há muita discussão a respeito dos termos de credibilidade, certificação e qualificação. Deve ser observado que o SWGDE não determina credibilidade, certificação, aprovação ou qualificação a indivíduos ou laboratórios. Para evitar este tipo de confusão o nome do documento foi dado como "Best Practices for Digital Evidence Laboratory Programs".
Mais informações técnicas sobre esse assunto pode ser consultada nos seguintes links:
Em março de 1998 nos princípios propostos pelo G8 para procedimentos relativos às evidências digitais, a IOCE direcionou-se para esboçar princípios internacionais relativos a evidências digitais, para assegurar a harmonização dos métodos e práticas entre nações e garantir a habilidade de usar uma evidência digital coletada em um estado em um tribunal em um outro estado.
Em março de 2000, o primeiro relatório da IOCE foi apresentado ao sub-grupo, propondo uma série de definições e princípios em seguida à International high-tech crimes and forensics conference em Londres em outubro de 1999.
Depois de revistas pelos especialistas do sub-grupo, foram feitas as seguintes RECOMENDAÇÔES :
1. Cada estado membro é encorajado a considerar os seguintes princípios ao estabelecer procedimentos para coleta, preservação e uso de evidência digital, de acordo com sua legislação nacional, padrões institucionais e para estar ciente das potenciais diferenças ao coletar evidências conforme o exigido em outros estados.
2. Estes princípios devem ser submetidos a IOCE ou outro padrão nacional, regional ou internacional tornando instituições e organizações responsáveis pela promoção de procedimentos relativos a evidência digital para revisão.
3. A IOCE deve desenvolver em consulta com as instituições acima mencionadas um guia de boas práticas genérico para coleta, preservação e uso de evidência digital, abrangendo a vastidão de fontes existentes de evidências digitais;
4. O sub-grupo de crimes de alta tecnologia deve revisar regularmente o trabalho da IOCE.
Os padrões desenvolvidos pelo SWGDE seguem um único princípio: o de que todas as organizações que lidam com a investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidências.
Esse nível de qualidade pode ser atingido através da elaboração de Procedimentos Padronizados de Operação, que devem conter os procedimentos para todo tipo de análise conhecida e prever a utilização de técnicas, equipamentos e materiais largamente aceitos na comunidade científica internacional.
Conclusão
A grande chave dos trabalhos no Campo da Forense Computacional está na observação das recomendações e normas técnicas de trato das evidências estabelecidas além de uma atenção redobrada quanto A Proteção da evidência, A Cadeia de custódia e a Obtenção e Coleta de dados. Sobre estes três temas distintos cabem os seguintes comentários:
A proteção da evidência é algo muito crítico. Um investigador de forense computacional experiente vai procurar ter certeza de que um sistema de computador seja cuidadosamente manuseado para se assegurar de que:
- Nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos procedimentos usados na investigação;
- Nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense.
- A evidência extraída seja adequadamente manuseada e protegida de danos mecânicos, elétricos ou eletromagnéticos.
- Uma cadeia de custódia seja estabelecida e mantida;
- Se for necessário interromper ou interferir nas atividades normais da rede ou sistema computacional, que seja por uma porção reduzida e limitada de tempo;
- Qualquer informação sigilosa e privativa que seja inadvertidamente obtida durante uma análise forense e que não fizer parte do objetivo da investigação será eticamente e legalmente respeitada e não divulgada.
Na forense computacional existe uma regra basilar sobre a Cadeia de custódia, uma arte de obter, guardar e analisar dados a respeito de uma possível atividade criminal de forma a poder usar as provas obtidas em um tribunal com aceitação jurídica.
Os cuidados na manipulação das provas vem ao mesmo tempo que, a necessidade fundamental de documentar adequadamente toda a investigação.
Todas essas precauções devem ser consideradas e implementadas para se ter a certeza de que os dados coletados são precisos, verdadeiros, confiáveis e que não foram modificados desde a sua obtenção e coleta. A coleta de dados eletrônicos que possam ser usados como provas em atividades ilegais ou inaceitáveis deve ser feita com grande atenção.
Devem ser registradas as informações a fim de identificar cada pessoa que lidar com as provas, assim como, cada pessoa que tiver acesso às provas e quando as provas são repassadas de uma pessoa a outra.
Documentar cada passo dado na coleta e processamento dos dados e seguir seus movimentos, ou seja, identificar cada vez que a mídia de prova mudar de um responsável para outro, com nome, data, hora, local, motivo e observações. Isto é a cadeia de custódia.
Uma boa prática é usar ferramentas confiáveis, salvar os dados em mídia removível e garantir que estes dados possam ser autenticados desde a sua obtenção e coleta, com métodos de cálculo de "hash", assinaturas e testemunhas.
Quanto a Obtenção e Coleta de dados, mesmo que não haja a intenção de usar em um tribunal as provas obtidas. Os procedimentos adotados na coleta de dados devem ser formais e devem ser seguindo toda uma metodologia da mesma forma que a dada às provas obtidas que serão usadas em um tribunal. Durante todo o andamento do caso outros acontecimentos podem provocar mudanças na intenção de levar o caso a um tribunal.
Todas as informações relevantes devem ser coletadas. Em determinadas ocasiões essas informações obtidas, levarão à descoberta de novas provas e até de novos crimes e haverá a necessidade de iniciar os procedimentos referentes ao fato novo descoberto.
Muitas vezes é necessário restaurar informações de arquivos apagados ou de mídias danificadas. Hoje em dia existem vários softwares específicos para esta tarefa. E as fontes de informações em potencial podem ser a CPU e seus dispositivos internos de registro (cachê e registradores); a memória de componentes, tais como placas; a Memória RAM; o tráfego de rede; e as informações voláteis de estado do sistema tais como os processos, os usuários logados e as conexões de rede abertas.
A Forense Computacional é das Normas Técnicas recomendadas pela IOCE, e a boa observâncias das Normas de Conduta de Obtenção, Custódia e Proteção dada a evidência eletrônica.
Nenhum comentário:
Postar um comentário