se você assistiu a programas de crime suficientes na televisão, provavelmente já viu um ator ou atriz retratando um investigador forense. Em programas como CSI: Miami, os investigadores forenses parecem ser capazes de digitar algumas chaves em um terminal e boom— eles têm todas as informações de que precisam.
na vida real, no entanto, a computação forense não é tão simples. Na verdade, investigadores forenses de computador podem levar dias para dissecar todas as informações necessárias para um caso.
neste artigo, discutiremos a computação forense e como esses tipos de investigações são conduzidos.
o que é Computação Forense?
para aqueles que não estão familiarizados com a computação forense, é a arte e a ciência de descobrir evidências armazenadas em computadores e armazenamento digital.
engenheiros forenses de computação extraem evidências de maneira legal para garantir sua usabilidade em processos judiciais criminais ou civis. Para garantir que as evidências não sejam adulteradas e admissíveis no tribunal, os investigadores forenses de computador usam uma cadeia documentada de Custódia e ferramentas como bloqueadores de gravação e selos de violação.
quando ocorre uma atividade criminosa envolvendo um computador, como um ataque de negação de serviço (DoS) ou hacking, o sistema usado contém uma infinidade de evidências sobre o crime. Mesmo em casos criminais que não estão explicitamente relacionados à segurança cibernética, como tráfico de drogas, fraude ou mesmo assassinato, os dispositivos do suspeito provavelmente contêm evidências do crime em E-mails, histórico da internet, documentos e imagens.
Exemplos da Vida Real de computação Forense em Ação
Em 2010, um pastor Batista chamado Matt Baker foi condenado a 65 anos de prisão pelo assassinato de sua esposa. O relatório inicial afirmou que a esposa cometeu suicídio por overdose de pílulas para dormir. Após uma investigação mais aprofundada, um analista forense descobriu que Baker havia pesquisado “overdose de pílulas para dormir” e visitou vários sites farmacêuticos antes da morte de sua esposa. Sem essas informações do computador de Baker, ele pode nunca ter sido levado à justiça.
as corporações comerciais também usam Computação Forense por uma miríade de várias razões. Roubo de propriedade intelectual, fraude, falsificações e disputas trabalhistas podem resultar no uso de computação forense para fornecer evidências para casos civis. Imagine um cenário em que um funcionário afirma ter sofrido assédio sexual ou preconceito por um empregador. Os dispositivos de propriedade da empresa provavelmente serão um dos locais mais úteis para encontrar evidências.
quando um indivíduo trabalha para uma organização, qualquer trabalho realizado nos dispositivos corporativos normalmente pertence a essa organização, mesmo que esse funcionário estivesse trabalhando em um “projeto pessoal” ao usar este dispositivo. As empresas podem optar por usar computação forense para provar que o produto pertence a elas como foi criado em um dispositivo da empresa. A computação forense pode ser usada para encontrar essa evidência, mesmo que o funcionário acredite que excluiu todos os arquivos aplicáveis naquele computador.
passos em uma investigação forense de computador
para indivíduos que trabalham em computação forense, existem cinco etapas essenciais para uma investigação bem-sucedida.
desenvolvimento de políticas e procedimentos
como em qualquer função, manter políticas e procedimentos adequadamente definidos é crucial. Na computação forense, esses procedimentos podem descrever como preparar adequadamente os sistemas para a recuperação de evidências e as etapas para garantir a autenticidade dos dados.
avaliação de evidências
os computadores podem armazenar muitas informações, às vezes terabytes de dados, nem todas se aplicam a um caso específico para o qual um investigador está coletando evidências. Os investigadores precisam de um conhecimento do caso em questão e um entendimento de quais evidências se aplicam ao caso.
aquisição de evidências
simplesmente localizar as evidências não é suficiente. As evidências devem ser coletadas e adquiridas, seguindo diretrizes rígidas para garantir sua admissibilidade no tribunal. As instruções típicas para preservar evidências incluem a remoção física de dispositivos de armazenamento, o uso de bloqueadores de gravação para evitar adulterações e documentação completa, como uma cadeia de Custódia.
exame de evidências
ao avaliar e adquirir evidências, o próximo passo é examinar as evidências potenciais. Os investigadores usam vários métodos, técnicas e ferramentas para revisar dados digitais. Arquivos intencionalmente ocultos e quaisquer dados marcados com uma data e carimbo de data / hora são particularmente úteis para os investigadores. Documentando e relatando
documentar todas as etapas ao longo da investigação é um aspecto crítico das funções de qualquer investigador forense de computador. Como o objetivo de coletar esses dados é normalmente apresentá-los em um tribunal, qualquer falha em documentar e relatar com precisão as medidas tomadas pode resultar na inadmissibilidade das evidências.
Continue sua pesquisa forense de computador
se você estiver interessado em aprender mais sobre forense digital, visite nossa página de Serviços de Forense Digital aqui.