Este módulo é um recurso para professores 

 

Standards e boas práticas em computação forense

 

A Organização Internacional de Normalização (ISO), uma organização não governamental internacional, e a Comissão Eletrotécnica Internacional (IEC), um organismo internacional sem fins lucrativos, desenvolvem e publicam padrões internacionais para harmonizar as práticas entre os países. Em 2012, a ISO e a IEC publicaram padrões internacionais para o tratamento de provas digitais (Diretrizes ISO/IEC 27037 para Identificação, Coleta, Aquisição e Preservação de Prova Digital). Essas diretrizes incluíam apenas o tratamento inicial de provas digitais. As quatro fases propostas para o tratamento de tais provas são as seguintes:

Identificação. Essa fase inclui a busca e o reconhecimento de provas relevantes, bem como sua documentação. Nesta fase, as prioridades para a coleta de provas são determinadas com base no valor e na volatilidade da prova (consulte o Módulo 6 sobre aspectos práticos das investigações de cibercrimes computação forense para obter mais informações).

Coleta. Essa fase envolve a coleta de todos os dispositivos digitais que possam conter dados de valor probatório. Esses dispositivos são levados a um laboratório forense ou a outra instalação para aquisição e análise das provas digitais. Esse procedimento é conhecido como aquisição estática. No entanto, há casos em que a aquisição estática é inviável. Em tais situações, a aquisição dinâmica ou ao vivo (live acquisition) de dados é realizada. Tomemos como exemplo os sistemas de infraestruturas críticas (como sistemas de controle industrial). Esses sistemas não podem ser desligados, pois prestam serviços essenciais. Por esse motivo, as aquisições para coletar dados voláteis e não voláteis desses sistemas ocorre quando estão em execução, ou seja, sem desligamento. Essas aquisições quentes ou “ao vivo”, no entanto, podem interferir nas funções normais desses sistemas de controle (por exemplo, diminuindo a velocidade dos serviços) (consulte o Módulo 6 sobre os aspectos práticos das investigações de cibercrimes e computação forense, para obter mais informações).

Nota

Antes de realizar uma aquisição a quente, as prioridades de obtenção de dados devem ser identificadas em termos de acessibilidade aos dados, bem como em termos de seu valor e volatilidade.

Aquisição. A prova digital deve ser obtida sem comprometer a integridade dos dados. Isso foi destacado pelo Conselho Nacional de Chefes de Polícia do Reino Unido (NPCC), anteriormente conhecido como Associação de Chefes de Polícia do Reino Unido, como um importante princípio da prática forense digital (Princípio 1: “Nenhuma ação tomada pela Polícia, seus empregados ou seus agentes deve alterar dados que possam ser posteriormente utilizados em juízo”) (Associação dos Chefes de Polícia do Reino Unido, 2012, p. 6). A obtenção de dados sem alterá-los é realizada através da criação de uma cópia do conteúdo do dispositivo digital (um processo conhecido como geração de imagens) mediante um dispositivo (bloqueador de gravação ) projetado para impedir a alteração de dados durante o processo de cópia. Para determinar se a duplicata é uma cópia exata do original, um valor de hash (ou valor resumo)é estipulado usando cálculos matemáticos; aqui, uma função criptográfica é usada para produzir um valor de hash. Se os valores de hash do original e da cópia corresponderem, o conteúdo da duplicata é exatamente o mesmo que o original. Compreendendo que existem certas “circunstâncias nas quais se considera necessário acessar dados originais [ou seja, durante aquisições dinâmicas]”, o Conselho Nacional de Chefes de Polícia do Reino Unido observa que a pessoa responsável pelo acesso “deve ser competente para fazê-lo e ser capaz de explicar e comprovar a relevância e as implicações de suas ações” (Princípio 2) (Associação dos Chefes de Polícia do Reino Unido, 2012, p. 6) (consulte o Módulo 6 sobre os aspectos práticos de investigações de cibercrimes e computação forense, para obter mais informações).

Nota

Certas funções de hash criptográfico têm vulnerabilidades.

Quer saber mais?

Preservação. A integridade dos dispositivos digitais e das provas digitais pode ser determinada por meio da cadeia de custódia (discutida no Módulo 3 sobre marcos normativos e direitos humanos), definida como “o procedimento por meio do qual os investigadores preservam o local e as provas do crime (ou incidente) durante todo o caso). Na cadeia de custódia, deve-se preservar as informações sobre quem coletou as provas, onde e como tais provas foram coletadas, quais indivíduos se tiveram acesso a elas e quando isto ocorreu” (Maras, 2014, p. 377). A documentação meticulosa em cada estágio da perícia forense digital é essencial para garantir que as provas sejam admissíveis em juízo (consulte o Módulo 6 sobre aspectos práticos de investigações de cibercrimes computação forense, para obter mais informações). 

As demais fases de investigação forense digital (a análise e o laudo) não estão incluídas na norma ISO/IEC 27037. A fase de análise (ou exame) exige o uso de ferramentas e métodos forenses digitais apropriados para a descoberta de dados eletrônicos. Existem inúmeras ferramentas forenses digitais no mercado de qualidades variadas, entre elas a Encase, FTK e X-Ways Forensics. O tipo de ferramentas periciais digitais varia de acordo com o tipo de perícia a ser realizada (por exemplo, para perícia forense em dispositivos móveis e perícia na nuvem de dispositivos móveis, pode-se usar o Oxygen Forensics Suite; para perícia forense em redes, o que envolve “o uso de técnicas cientificamente comprovadas para investigar [crimes cometidos por meio de] redes de computadores e contra estas” (Maras, 2014, p. 305), pode-se usar o Wireshark. As ferramentas periciais digitais existentes (como EnCase, FTK e NUIX) foram projetadas para funcionar com ambientes de computação tradicionais. São necessárias ferramentas periciais digitais especializadas para perícias em redes, interfaces e sistemas operacionais de infraestrutura crítica (tema discutido no Módulo 2 sobre espécies gerais de cibercrimes).

O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos possui um banco de dados pesquisável com ferramentas periciais digitais. Esta base inclui várias funcionalidades, como ferramentas parabanco de dados, para a nuvem, drones e veículos autônomos). Os órgãos de persecução penal de cada país têm diferentes preferências quanto ao uso de ferramentas para perícias digitais.

Perícia de veículos inteligentes

A perícia em veículos inteligentes é uma área ainda pouco estudada da computação forense (Parkinson e McKay, 2016). A implantação em massa de veículos inteligentes com funções de Internet (e o desenvolvimento de veículos autônomos) deu impulso à necessidade de criar procedimentos, normas e ferramentas forenses para periciar de forma adequada veículos inteligentes (Le-Khac et al., 2018). Esses veículos podem fornecer uma grande quantidade de informações (como lugares visitados e frequentados, endereço residencial e comercial, números discados, chamadas recebidas etc) que podem ser usadas na investigação de crimes praticados contra veículos inteligentes ou autônomos (por exemplo, por hackers) ou outros crimes nos quais as informações obtidas a partir desses veículos possam ser usadas como provas de um crime (De La Torre, Rad e Choo, 2018.

Quer saber mais?

  • De La Torre, Gonzalo, Paul Rad, and Kim-Kwang Raymond Choo. (2018). Driverless vehicle security: Challenges and future research opportunities. Future Generation Computer Systems, disponível online desde 11 de janeiro de 2018. 
  • Le-Khac, Nhien-An, Daniel Jacobs, John Nijhoff, Karsten Bertens, Kim-Kwang, and Raymond Choo. (2018). Smart vehicle forensics: Challenges and case study. Future Generation Computer Systems, disponível online desde 7 de junho de 2018.

As ferramentas utilizadas devem ser adequadas ao uso forense. Para isto, a “aquisição e a subsequente análise de dados [eletrônicos]” com essas ferramentas deve ser capaz de preservar tais dados “no estado em que foram descobertos pela primeira vez” e “de forma alguma diminuir o valor probatório desses dados devido a erros técnicos, procedimentais ou interpretativos” (McKemmish, 2008, p. 6). Simplificando, os dados adquiridos não devem ser modificados de forma alguma - ou seja, sua integridade deve ser mantida. O Programa de Testes de Ferramentas Forenses Computacionais do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos:

estabeleceu [uma] metodologia para testar softwares de computação forense [mediante o] estabelecimento de especificações gerais dessas ferramentas, procedimentos de teste, critérios de teste, conjuntos de testes e hardware de testagem. Os resultados oferecem as informações necessárias para os fabricantes de ferramentas as melhorarem, para os usuários fazerem escolhas informadas sobre a compra e uso de tais ferramentas e para os demais interessados entenderem os recursos de que dispõem.

Perícia forense de IoT

A Internet das Coisas (IoT) é uma rede interconectada e interoperável de dispositivos conectáveis à Internet (como câmeras, televisões, geladeiras, fornos, luzes, medidores de energia, roupas, brinquedos e acessórios) que facilitam o monitoramento de objetos, pessoas, animais e plantas, e uma vasta coleta, armazenamento, exame e disseminação de dados sobre eles (Maras, 2015). Como a IoT pode fornecer uma quantidade significativa de informações sobre os usuários desses dispositivos (consulte o Módulo 10 sobre privacidade e proteção de dados para saber as informações que esses dispositivos revelam), dados obtidos a partir desses aparelhos tem sido usados como prova em juízo (Maras e Wandt, 2018). Nos Estados Unidos, por exemplo, os dados de um FitBit, um dispositivo de IoT que monitora a saúde e a atividade física do usuário, foram usados como prova do homicídio de Connie Dabate (Altimari, 2018). Considerado a utilização de dados da IoT nos processos judiciais, é imperativo que sejam instituídos procedimentos, padrões e ferramentas forenses sobre IoT (Maras e Wandt, 2018).

Deseja saber mais?                            

  • Conti, Mauro, Ali Dehghantanha, Katrin Franke, and Steve Watson. (2018). Internet of Things security and forensics: Challenges and opportunities. Future Generation Computer Systems, Vol. 78(2), 544-546.
  • MacDermott, Aine, Thar Baker, and Qi Shi. (2018). IoT Forensics: Challenges for the IoA Era. 9th IFIP International Conference on New Technologies, Mobility and Security (NTMS) (2 April 2018). 
  • Watson, Steve and Ali Dehghantanha. (2016). Digital forensics: The missing piece of the Internet of Things promise. Computer Fraud & Security, Vol. 6, 5-8.

O objetivo da fase de análise é determinar a importância e o valor probatório da prova. Essa determinação é feita, por exemplo, examinando-se se a prova em questão "tende a tornar a existência de qualquer fato resultante da ação mais ou menos provável do que o seria sem essa prova" (Regra 401, das Regras Federais de Prova dos EUA) (consulte o Módulo 6 sobre aspectos práticos de investigações de cibercrimes cibernéticos e computação forense, para obter mais informações). 

Na fase do laudo há a descrição detalhada das etapas percorridas ao longo do procedimento de perícia digital, das provas digitais descobertas e das conclusões a que se chegou com base nos resultados do procedimento pericial e nas evidências reveladas (consulte o Módulo 6 sobre aspectos práticos das investigações de cibercrimes computação forense, para mais informações). A inteligência artificial, que compreende os “modelos computacionais de comportamento humano e de processos de pensamento projetados para operar racional e inteligentemente”; Maras, 2017, p. 7) pode ser usada para produzir resultados confiáveis. No entanto, o uso da inteligência artificial pode apresentar problemas nas fases de análise e apresentação do procedimento de perícia digital, porque os peritos podem não ser capazes de explicar como esses resultados foram obtidos (Maras e Alexandrou, 2018). 

A ISO e a IEC publicaram outras diretrizes sobre o procedimento forense digital que abrangem a validade e confiabilidade de ferramentas e métodos de computação forenses (ISO/IEC 27041: 2015, Diretrizes sobre garantia de adequação e adequação dos métodos de investigação de incidentes) e o exame (ou análise) e fases de interpretação do procedimento de perícia digital (ISO/IEC 27042: 2015, Diretrizes para análise e interpretação de provas digitais.

Nota

Tais padrões não foram projetados para perícia de sistemas de computação não tradicionais – como a computação em nuvem. No entanto, a Cloud Security Alliance publicou um documento intitulado “Mapeando a Norma Forense ISO/IEC 27037 para Computação em Nuvem” para “reinterpretar a orientação da ISO 27037 para um contexto de nuvem” (CSA, 2013, p. 130).

Para mais informações veja aquí.

Os guias de melhores práticas servem para identificar e promover procedimentos e resultados digitais forenses válidos e confiáveis. Citem-se as melhores práticas do Grupo de Trabalho Científico em Prova Digital, dos EUA, para perícia forense em computadores, coleta de provas digitais e apreensão de dados forenses em computadores, e o manual de boas práticas da Rede Europeia de Institutos de Ciências Forenses para perícias forenses de tecnologias digitais. 

Esses padrões e melhores práticas buscam estabelecer a validade e a confiabilidade dos resultados das perícias digitais. Primeiro, para serem admissíveis, as ferramentas e técnicas utilizadas no procedimento de perícia digital devem ser "cientificamente válidas", isto é, comprovadamente devem ser capazes de fornecer resultados precisos através de testes empíricos. Segundo, os resultados periciais devem ser confiáveis, isto é, os mesmos resultados devem ser obtidos em diferentes ocasiões, usando-se os mesmos dados, ferramentas e técnicas (Maras, 2014; p. 48). Particularmente, os resultados devem ser repetíveis e reproduzíveis. Os resultados são repetíveis quando os mesmos resultados forenses são obtidos usando-se os mesmos itens de teste, equipamentos, laboratório e operador (Maras, 2014, p. 48). Os resultados são reproduzíveis quando os mesmos resultados forenses digitais são obtidos usando-se os mesmos itens de teste, mas diferentes equipamentos, laboratórios e operadores (Maras, 2014, p. 49). Como observou o Conselho Nacional de Chefes de Polícia do Reino Unido, um princípio importante da prática forense digital é a possibilidade de “[um] terceiro independente (…) examinar esses processos e obter o mesmo resultado” (Princípio 3) (Associação Britânica de Chefes de Polícia , 2012, p. 6).

Técnicas contraforenses

Técnica contraforense (ou antiperíciadigital) é uma expressão usada para identificar as “ferramentas e técnicas [usadas] para remover, alterar, interromper a prova de atividades criminosas em sistemas digitais ou interferir sobre ela, de natureza semelhante às usadas pelos criminosos para a remoção de provas dos locais de crime no mundo físico” (Conlan, Baggili e Brietinger, 2016, p. 67). Entre essas técnicas estão a ocultação de dados (por criptografia, por exemplo, tema discutido mais adiante no Módulo 10 sobre privacidade e proteção de dados; e por esteganografia, a prática de ocultar informações, imagens, gravações de áudio, vídeos e outros conteúdos em informações não secretas, como imagens, áudios, vídeos e outros conteúdos), a limpeza de artefatos ou dispositivos digitais (por meio, por exemplo, de software desenvolvido para excluir dados específicos ou todos os dados ou todo o conteúdo de um dispositivo), e a eliminação de rastros digitais (por exemplo, por meio de táticas de falsificação, discutidas no Módulo 2 sobre espécies gerais de cibercrimes; desnaturação de dados, alteração de informação ou adulteração de dados; e o uso de servidores proxy, que funcionam como um gateway ou intermediário de solicitações de dispositivos digitais conectados à Internet a outros servidores (Shanmugam, Powell e Owens, 2011; Maras, 2014; Brunton e Nissenbaum, 2016; Liskiewicz, Reischuk e Wolfel, 2017). O uso de técnicas contraforenses aumenta as dificuldades da perícia digital (Caviglione, Wendzel e Mazurczyk, 2017).

Quer saber mais?

  • Conlan, Kevin, Ibrahim Baggili, and Frank Breitinger. (2016). Anti-forensics: Furthering digital forensic science through a new extended, granular taxonomy. Digital Investigation Vol. 18, 66-75.
 
Seguinte: Conclusão
Regressar ao início