Um estudo sobre a Computação Forense – Parte 3

Nos dois primeiros artigos vimos o porque de estudar sobre a computação forense, a sua importância, vimos também o que é um perito forense e as outras 3 áreas onde o perito pode atuar. Neste artigo veremos as etapas que um perito forense computacional deve cumprir desde a coleta das evidencias na cena do crime até a apresentação do laudo ao contratante. Boa leitura!

Como coletar as evidencias?

Os crimes na área da computação podem ser feitos através de vários meios, e são esses meios que definem como realizar a coleta de dados e cada coleta usa um tipo de ferramenta. Parece ser obvio, mas será explicado melhor nas próximas linhas. Na hora de coletar os dados o perito em computação forense pode ter que coletar os dados no local do crime como foi o caso de uso relatado no livro Desvendando a Computação Forense 2010, onde os peritos tiveram que realizar a perícia em uma lan house, como também o perito pode levar o equipamento para um local específico, separado para coletar os dados.

Os dados a serem coletados podem ser encontrados em diferentes tipos de locais e equipamentos como Mídias de Armazenamento, Locais de Internet, Redes, Dados de Interceptação Telemática, Imagens Digitais, Constatação de Pornografia Infanto-juvenil, Computação Embarcada, Equipamentos Portáteis, Telefonia Móvel, Computação na Nuvem, Detecção de Intrusão, Malwares, Dados Criptografados e etc. O foco deste artigo não é avaliar o uso das ferramentas de software livre em cada um desses casos e sim apenas o uso das ferramentas na coleta e análise de dados em mídias de armazenamento, porém nas próximas linhas será falado sobre a forma geral de coletar os dados na cena do crime  e ou no primeiro contato com o equipamento usado para cometer o crime.

Ao ser chamado o perito computacional avalia o ambiente, por exemplo o cômodo de uma casa ou empresa a procura de equipamentos que possam conter dados a serem analisados, o perito não faz isso de forma aleatória, antes ele planeja de acordo com a investigação e o tipo de crime cometido. Como já foi dito tais equipamentos podem ser analisados no local do possível crime ou podem ser coletados para a análise em outro local, durante a coleta dos dados procedimentos de segurança são realizados para maior segurança dos equipamentos e dados contidos neles, tais como o isolamento da área, a coleta de evidências, o cuidado em garantir a integridade da evidência encontrada, a identificação de equipamentos, a etiquetação e embalagem da ou das evidências.

Como analisar as evidências?

Realizado os procedimentos descritos no subtítulo anterior, o próximo passo que o forense computacional deve realizar é a análise das evidências que foram coletadas. Cada um dos equipamentos e locais já ditos neste artigo pedem um tipo diferente de ferramenta e analise a ser feito pelo perito. Segundo o livro aqui já citado Desvendando a Computação Forense 2010, ferramentas como Fast Block 3 FE, Logicube Forensic Quest, Intelligent Computer Solutions Solo III, Project-a-Phone, Device  Seizure Toolbox, entre outras, eram usadas para coletar e analisar os dados dos equipamentos coletados. Nas pesquisas feitas para este trabalho nenhumas dessas ferramentas foram encontradas em uso atualmente, porém novas ferramentas foram criadas com funcionalidades mais abrangentes e precisas.

Além das ferramentas em hardware, programas gráficos foram criados com a finalidade de analisar os dados. Sistemas Operacionais como kali Linux, FDTK, Caine, Deft são alguns dos exemplos, já os programas temos o BlackLight usado em computadores Mac, o EnCase Forensic Software, a Magnet Forensics e a X-Ways são alguns dos exemplos.

Relatório Final

Feito todas as etapas até aqui, a coleta e a análise dos equipamentos e outras informações encontradas na investigação de algum crime, é hora do perito fazer o laudo criminal e apresenta-lo ao seu cliente, seja ele o advogado ou o juiz, dependendo do caso o próprio perito precisara depor. O laudo deve ser preenchido de forma clara e concisa sendo imparcial ao caso, o seu conteúdo deve conter a finalidade da investigação, o autor do laudo, um resumo do incidente, a relação de evidências analisadas e seus detalhes, a conclusão, os anexos e o rodapé. Ainda sobre os anexos, ele deve conter todos os dados que por ele (perito) foram encontrados e seus detalhes, envolvendo todas as anotações feitas durante a perícia, seja essas anotações relatando a condição das provas encontras, a forma como foram coletadas e analisadas, como forma de mostrar a sua integridade, ou seja, que tal evidencia não foi violada. Os dados podem ser apresentados através da digitalização ou contido em um pen drive, CD, SD ou alguma outra mídia de forma que não viole a integridade dos dados.

Um estudo sobre a Computação Forense – Parte 1

Um estudo sobre a Computação Forense – Parte 2

Um estudo sobre a Computação Forense – Parte 4

Um estudo sobre a Computação Forense – Parte 5

Um estudo sobre a Computação Forense – Parte 6

Um estudo sobre a Computação Forense – Final

Junte-se a nós e esteja sempre atualizado com as últimas novidades e dicas