Análise forense de informática

[joomlamz]

A disciplina forense adaptada ao domínio das novas tecnologias, surge como resposta ao aumento da criminalidade que utiliza quaisquer meios eletrónicos como suporte ou meio.

Actualmente, são muitos os casos em que diferentes meios de prova, vitais para o sucesso de uma investigação, são obtidos a partir de discos rígidos, telemóveis, PDAs e sistemas GPS.


Ou esqueçamos que o objectivo das técnicas forenses aplicadas ao meio digital não é outro senão contribuir para a prisão e a acusação dos culpados de um acto e para obter as provas adequadas de acusação que resultem numa condenação ou, no caso contrário, , exonerar uma pessoa inocente.

Uma definição apropriada poderia ser "A preservação, recuperação e análise de informações armazenadas em computadores ou outros meios eletrónicos".

Para isso, o pesquisador dispõe de diversas ferramentas que facilitarão a tarefa; é preciso ter em mente a enorme quantidade de dados a serem examinados e o desafio que isso representa, ainda mais em uma especialidade relativamente recente, que carece de um consenso padrão em relação a meios e técnicas.

Portanto, via de regra, o sucesso do processo depende do interesse, determinação e habilidade do pesquisador.


O que pode ser alcançado usando a computação forense?


1. Recuperação de ficheiros ocultos, excluídos ou danificados
2. Identificação de rotas, modificações e autoria de documentos e dados
3. Acesso a informações protegidas ou criptografadas, divulgação de senha
4. Rastreie transferências de arquivos, e-mails, sessões de bate-papo, comunicações em rede (Internet) e VoIP
5. Identificação de origem e destino. Rastreamento de ficheiros na computação em nuvem
6. Posicionamento e histórico de dispositivos equipados com GPS
7. Auditoria de atividade em computadores e dispositivos eletrônicos.
8. Testes de penetração e certificação de segurança de rede e sistema
9. Estudo de vírus, trojans... back orifice, rootkits. Engenharia reversa

Aplicações práticas ?


As técnicas forenses em ambiente digital têm um amplo horizonte de aplicação, desde a recuperação de informação em suportes informáticos intercetados, por exemplo em casos de terrorismo, fraude fiscal, peculato, espionagem industrial ou civil. Até geolocalização e monitoramento do histórico de dispositivos GPS, móveis e VoIP, que podem ser decisivos em qualquer investigação policial.

Ferramentas principais

Kit de ferramentas forenses.-
De referir esta suite, criação de Farmer e Venema, pioneiros da informática forense, fundamentalmente focada no tratamento de suportes sólidos, em termos de recuperação de informação.

Café Microsoft.-
A Microsoft desenvolveu e disponibilizou o programa Coffee para diversas agências de segurança. É um utilitário leve, que pode ser transportado em um dispositivo USB com mais de 150 funções automatizadas, que facilitam a obtenção de provas no local de forma rápida e eficiente.

EnCase.-
Líder no setor, Guidance Software, comercializa diversas soluções integradas sob o nome EnCase; Empresa, descoberta eletrônica, segurança cibernética. Eles cobrem todo o espectro possível na área de segurança especializada e corporativa, desde o estudo de mídias e memórias temporárias até a investigação de pacotes de rede, roteamento e cadeias de dados.

OSForensics.-
Atualmente em fase Beta e distribuição gratuita, é um conjunto completo para realizar a maioria das tarefas habituais; Clonagem DD, comparação de strings, cálculo de hash... Incorpora um poderoso gerenciador que discrimina efetivamente arquivos não relacionados, facilitando o trabalho do pesquisador.

Hélice.-
É um liveCD baseado na distribuição Ubuntu Linux, modificado para uso como ferramenta forense, que incorpora uma grande variedade de programas úteis.



Estas são apenas algumas das aplicações disponíveis para a prática forense.Se, por exemplo, a nossa intenção é realizar uma auditoria de segurança, podemos utilizar a distribuição BlackUbuntu Linux, especialmente preparada para realizar ações de penetração.

Com o surgimento das redes P2P e o uso malicioso do seu suporte para distribuição de arquivos que poderiam ser considerados pornografia infantil, surge um novo desafio, principalmente quando se trata de identificar e rastrear arquivos ou partes deles. O programa Dissector pode ser de grande ajuda para conseguir isso, pois permite decodificar quaisquer quadros de dados parciais capturados.

Aplicativos que facilitam o rastreamento de e-mail também são muito necessários. Emailtracker e Visualware são alguns dos mais notáveis, eles rastrearão a origem de qualquer e-mail com uma eficiência surpreendente.

Por último, é imprescindível ter um ou mais programas de recuperação e descodificação de palavras-passe, a sua utilidade é mais do que evidente, John the Ripper, SnadBoy's Revelation e Cain são alguns dos mais conhecidos.

Porém, se em vez das típicas senhas de Windows, Bios, aplicações comerciais e arquivos do tipo Office, nos depararmos com um maior nível de segurança, com hashes MD4, MD5 e NTLM1, será necessário recorrer a ferramentas mais especializadas como MDcrack ou o conjunto PenTBox (RIPemd-160).

Conclusões
Esta é uma disciplina em constante mudança, todos os dias, a cada minuto, surgem novas formas de violar sistemas de segurança, logaritmos de encriptação mais poderosos e meios para evitar a monitorização por investigadores forenses.

Um bom exemplo disto, especialmente devido à sua implicação na actual situação social em alguns países do Médio Oriente, é o programa multiplataforma TOR.




O TOR protege a identidade do usuário, evitando que suas comunicações e atividades na rede sejam monitoradas ou rastreadas por qualquer meio, é uma das aplicações mais eficazes neste sentido.

Seu uso em combinação com técnicas tradicionais de ocultação, camuflagem MAC, múltiplos saltos de proxy, conexões através de redes públicas ou grampeadas, transformam o rastreamento de origem e a identificação completa do autor em uma utopia.

O especialista em segurança ou investigador forense deve dedicar grande parte de seu tempo ao aprendizado, reciclagem e experimentação de qualquer nova ferramenta que caia em suas mãos.

Actualmente não existe nenhum tipo de formação regulamentada que possa servir de base à sua actividade, no entanto, graças à rede, é possível obter informação constantemente actualizada, nos diferentes grupos dedicados à matéria, principalmente a nível internacional. nível.