computer forensics(Cyber forensics)

Posted on

o que é computer forensics?

computer forensics é a aplicação de técnicas de investigação e análise para reunir e preservar evidências de um determinado dispositivo de computação de uma forma adequada para apresentação em um tribunal. O objetivo da computação forense é realizar uma investigação estruturada e manter uma cadeia documentada de evidências para descobrir exatamente o que aconteceu em um dispositivo de computação e quem foi responsável por isso.

computer forensics-que às vezes é referido como ciência forense da computação-essencialmente é a recuperação de dados com diretrizes de conformidade legal para tornar as informações admissíveis em processos judiciais. Os Termos forense digital e forense cibernética são frequentemente usados como sinônimos para Forense Computacional.

Forense Digital começa com a coleta de informações de uma forma que mantém sua integridade. Os investigadores analisam os dados ou o sistema para determinar se foram alterados, como foram alterados e quem fez as alterações. O uso de computação forense nem sempre Está ligado a um crime. O processo forense também é usado como parte dos processos de recuperação de dados para coletar dados de um servidor travado, unidade com falha, Sistema Operacional reformatado (SO) ou outra situação em que um sistema parou de funcionar inesperadamente.

por que a computação forense é importante?No sistema de justiça civil e criminal, a computação forense ajuda a garantir a integridade das evidências digitais apresentadas em processos judiciais. À medida que os computadores e outros dispositivos de coleta de dados são usados com mais frequência em todos os aspectos da vida, as evidências digitais-e o processo forense usado para coletar, preservar e investigar-tornaram-se mais importantes na resolução de crimes e outras questões legais.

a pessoa média nunca vê muitas das informações que os dispositivos modernos coletam. Por exemplo, os computadores nos carros coletam continuamente informações sobre quando um motorista freia, muda e muda de velocidade sem que o motorista esteja ciente. No entanto, essas informações podem ser críticas na solução de um assunto legal ou crime, e a computação forense geralmente desempenha um papel na identificação e preservação dessas informações.Evidências digitais não são apenas úteis na solução de crimes do mundo digital, como roubo de dados, violações de rede e transações on-line ilícitas. Também é usado para resolver crimes do mundo físico, como roubo, assalto, acidentes de atropelamento e assassinato.

as empresas costumam usar uma estratégia de gerenciamento de dados, governança de dados e segurança de rede de várias camadas para manter as informações proprietárias seguras. Ter dados bem gerenciados e seguros pode ajudar a simplificar o processo forense, caso esses dados sejam investigados.

6 maneiras de proteger ativos digitais
Descubra as seis etapas para criar proteção resiliente de ativos digitais.

as empresas também usam computação forense para rastrear informações relacionadas a um compromisso de sistema ou rede, que podem ser usadas para identificar e processar invasores cibernéticos. As empresas também podem usar especialistas e processos forenses digitais para ajudá-los na recuperação de dados em caso de falha do sistema ou da rede causada por um desastre natural ou outro.À medida que o mundo se torna mais dependente da tecnologia digital para as principais funções da vida, o cibercrime está aumentando. Como tal, os especialistas forenses em informática não têm mais o monopólio do campo. Veja como a polícia no Reino Unido está adotando técnicas forenses de computador para acompanhar as taxas crescentes de cibercrime.

tipos de computação forense

existem vários tipos de exames forenses de computador. Cada um lida com um aspecto específico da tecnologia da informação. Alguns dos principais tipos incluem o seguinte:

  • banco de dados forense. O exame das informações contidas em bancos de dados, dados e metadados relacionados.
  • e-mail forense. A recuperação e análise de E-mails e outras informações contidas em plataformas de E-mail, como horários e contatos.
  • análise forense de Malware. Peneirar o código para identificar possíveis programas maliciosos e analisar sua carga útil. Tais programas podem incluir cavalos de Tróia, ransomware ou vários vírus.
    tipos de malware
    Veja toda a gama de tipos de malware que as empresas devem enfrentar hoje.
  • forense de memória. Coletando informações armazenadas na memória de acesso aleatório (RAM) e no cache de um computador.
  • forense móvel. O exame de dispositivos móveis para recuperar e analisar as informações que eles contêm, incluindo contatos, mensagens de texto recebidas e enviadas, imagens e arquivos de vídeo.
  • forense de rede. Procurando evidências monitorando o tráfego da rede, usando ferramentas como um firewall ou sistema de detecção de intrusão.

como funciona a computação forense?Os investigadores forenses normalmente seguem procedimentos padrão, que variam dependendo do contexto da investigação forense, do dispositivo que está sendo investigado ou das informações que os investigadores estão procurando. Em geral, esses procedimentos incluem as três etapas a seguir:

  1. coleta de dados. As informações armazenadas eletronicamente devem ser coletadas de forma a manter sua integridade. Isso geralmente envolve isolar fisicamente o dispositivo sob investigação para garantir que ele não possa ser acidentalmente contaminado ou adulterado. Os examinadores fazem uma cópia digital, também chamada de imagem forense, da mídia de armazenamento do dispositivo e, em seguida, bloqueiam o dispositivo original em uma instalação Segura ou outra segura para manter sua condição original. A investigação é realizada na cópia digital. Em outros casos, informações publicamente disponíveis podem ser usadas para fins forenses, como postagens no Facebook ou cobranças públicas de Venmo pela compra de produtos ou serviços ilegais exibidos no site da Vicemo.
  2. análise. Os investigadores analisam cópias digitais de mídia de armazenamento em um ambiente estéril para coletar as informações de um caso. Várias ferramentas são usadas para auxiliar nesse processo, incluindo a autópsia da Basis Technology para investigações de discos rígidos e o analisador de Protocolo de rede Wireshark. Um jiggler de mouse é útil ao examinar um computador para evitar que ele adormeça e perca dados de memória voláteis que são perdidos quando o computador dorme ou perde energia.
  3. apresentação. Os investigadores forenses apresentam suas conclusões em um processo legal, onde um juiz ou júri as usa para ajudar a determinar o resultado de uma ação judicial. Em uma situação de recuperação de dados, os investigadores forenses apresentam o que conseguiram recuperar de um sistema comprometido.

freqüentemente, várias ferramentas são usadas em investigações forenses por computador para validar os resultados que produzem. Saiba como um pesquisador da Kaspersky Lab na Ásia criou uma ferramenta forense de código aberto para coletar evidências de malware remotamente sem comprometer a integridade do sistema.

técnicas os investigadores forenses usam

os investigadores usam uma variedade de técnicas e aplicativos forenses proprietários para examinar a cópia que fizeram de um dispositivo comprometido. Eles pesquisam pastas ocultas e espaço em disco não alocado para cópias de arquivos excluídos, criptografados ou danificados. Qualquer evidência encontrada na cópia digital é cuidadosamente documentada em um relatório de descoberta e verificada com o dispositivo original em preparação para procedimentos legais que envolvam descoberta, depoimentos ou litígios reais.

investigações forenses por computador usam uma combinação de técnicas e conhecimentos especializados. Algumas técnicas comuns incluem o seguinte:

  • esteganografia reversa. A esteganografia é uma tática comum usada para ocultar dados dentro de qualquer tipo de Arquivo digital, mensagem ou fluxo de dados. Especialistas forenses em Informática revertem uma tentativa de esteganografia analisando o hash de dados que o arquivo em questão contém. Se um cibercriminoso esconde informações importantes dentro de uma imagem ou outro arquivo digital, ele pode parecer o mesmo antes e depois para o olho não treinado, mas o hash subjacente ou string de dados que representa a imagem mudará.
  • forense estocástica. Aqui, os investigadores analisam e reconstroem a atividade digital sem o uso de artefatos digitais. Artefatos são alterações não intencionais de dados que ocorrem a partir de processos digitais. Os artefatos incluem pistas relacionadas a um crime digital, como alterações nos atributos de arquivo durante o roubo de dados. A análise forense estocástica é freqüentemente usada em investigações de violação de dados em que o invasor é considerado um insider, que pode não deixar para trás artefatos digitais.
  • análise Cross-drive. Essa técnica correlaciona e faz referências cruzadas de informações encontradas em várias unidades de computador para procurar, analisar e preservar informações relevantes para uma investigação. Eventos que levantam suspeitas são comparados com informações sobre outras unidades para procurar semelhanças e fornecer contexto. Isso também é conhecido como detecção de anomalias.
  • análise ao vivo. Com essa técnica, um computador é analisado de dentro do sistema operacional enquanto o computador ou dispositivo está em execução, usando ferramentas do sistema no computador. A análise analisa dados voláteis, que geralmente são armazenados em cache ou RAM. Muitas ferramentas usadas para extrair dados voláteis exigem que o computador esteja em um laboratório forense para manter a legitimidade de uma cadeia de evidências.
  • recuperação de arquivos excluídos. Essa técnica envolve a busca de um sistema de computador e memória por fragmentos de arquivos que foram parcialmente excluídos em um só lugar, mas deixam vestígios em outro lugar na máquina. Isso às vezes é conhecido como escultura de arquivo ou escultura de dados.

Saiba mais sobre análise forense de computadores neste capítulo do livro Python Forensics: a Workbench for Inventing and Sharing digital Forensic Technology, de Chet Hosmer. Ele mostra como usar Python e Tecnologia de segurança cibernética para preservar evidências digitais.

como a computação forense é usada como evidência?

a computação forense tem sido usada como evidência por agências de aplicação da lei e no Direito Penal e civil desde a década de 1980. alguns casos notáveis incluem o seguinte:

  • roubo de segredos comerciais da Apple. Um engenheiro chamado Xiaolang Zhang, da Divisão de carros autônomos da Apple, anunciou sua aposentadoria e disse que voltaria para a China para cuidar de sua mãe idosa. Ele disse a seu gerente que planejava trabalhar em um fabricante de carros eletrônicos na China, levantando suspeitas. De acordo com um depoimento do Federal Bureau of Investigation (FBI), a equipe de segurança da Apple revisou a atividade de Zhang na rede da empresa e descobriu, nos dias anteriores à sua renúncia, que ele baixou segredos comerciais de bancos de dados confidenciais da empresa aos quais tinha acesso. Ele foi indiciado pelo FBI em 2018.
  • Enron. Em um dos escândalos de fraude contábil mais citados, a Enron, uma empresa norte-americana. empresa de energia, commodities e serviços, relatou falsamente bilhões de dólares em receita antes de falir em 2001, causando danos financeiros a muitos funcionários e outras pessoas que investiram na empresa. Analistas forenses de computador examinaram terabytes de dados para entender o complexo esquema de fraude. O escândalo foi um fator significativo na aprovação da Lei Sarbanes-Oxley de 2002, que estabeleceu novos requisitos de Conformidade contábil para empresas públicas. A empresa declarou falência em 2001.
  • roubo de segredos comerciais do Google. Anthony Scott Levandowski, ex-executivo da Uber e do Google, foi acusado de 33 acusações de roubo de segredos comerciais em 2019. De 2009 a 2016, Levandowski trabalhou no Programa de carros autônomos do Google, onde baixou milhares de arquivos relacionados ao programa de um servidor corporativo protegido por senha. Ele partiu do Google e criou a Otto, uma empresa de caminhões autônomos, que a Uber comprou em 2016, de acordo com o New York Times. Levandowski confessar-se culpado de uma acusação de roubo de segredos comerciais e foi condenado a 18 meses de prisão e us $851,499 em multas e restituição. Levandowski recebeu um perdão presidencial em janeiro de 2021.
  • Larry Thomas. Thomas atirou e matou Rito Llamas-Juarez em 2016 Thomas foi posteriormente condenado com a ajuda de centenas de postagens no Facebook que fez sob o nome falso de Slaughtaboi Larro. Um dos posts incluía uma foto dele usando uma pulseira que foi encontrada na cena do crime.
  • Michael Jackson. Os investigadores usaram metadados e documentos médicos do iPhone do médico de Michael Jackson que mostraram que o médico, Conrad Murray, prescreveu quantidades letais de medicação para Jackson, que morreu em 2009.
  • Mikayla Munn. Munn afogou seu bebê recém-nascido na banheira de seu dormitório da Universidade de Manchester em 2016. Os investigadores encontraram pesquisas no Google em seu computador contendo a frase “aborto em casa”, que foram usadas para condená-la.

o assassinato é apenas um dos muitos tipos de crimes que a computação forense pode ajudar no combate. Saiba como o software de análise financeira forense é usado para combater fraudes.

computer forensics carreiras e certificações

computer forensics tornou-se sua própria área de especialização científica, com cursos e certificação de acompanhamento. O salário médio anual para um analista forense de computadores de nível básico é de cerca de US $65.000, de acordo com Salary.com. alguns exemplos de carreiras forenses cibernéticas incluem o seguinte:

  • engenheiro Forense. Esses profissionais lidam com a etapa de coleta do processo Forense Computacional, coletando dados e preparando-os para análise. Eles ajudam a determinar como um dispositivo falhou.
  • contador forense. Esta posição trata de crimes envolvendo Lavagem de dinheiro e outras transações feitas para encobrir atividades ilegais.
  • Analista de segurança cibernética. Esta posição lida com a análise de dados depois de coletados e o desenho de insights que podem ser usados posteriormente para melhorar a estratégia de segurança cibernética de uma organização.

um diploma de bacharel-e, às vezes, um mestrado-em Ciência da computação, segurança cibernética ou um campo relacionado são exigidos de profissionais forenses de informática. Existem várias certificações disponíveis neste campo, incluindo as seguintes:

  • analista forense de cibersegurança do CyberSecurity Institute. Esta credencial é projetada para profissionais de segurança com pelo menos dois anos de experiência. Os cenários de teste são baseados em casos reais.
  • International Association of Computer Investigative Specialists’ Certified Forensic Computer Examiner. Este programa se concentra principalmente na validação das habilidades necessárias para garantir que os negócios sigam as Diretrizes forenses de computadores estabelecidas.
  • investigador forense de Hacking de computador do EC-Council. Esta certificação avalia a capacidade do requerente de identificar intrusos e coletar evidências que podem ser usadas no tribunal. Abrange a busca e apreensão de sistemas de informação, trabalhando com prova digital e outras habilidades forenses cibernéticas.
  • International Society of Forensic Computer Examiners’ (ISFCE) Certified Computer Examiner. Este programa examinador forense requer treinamento em um centro de treinamento autorizado bootcamp, e os candidatos devem assinar o código de Ética e Responsabilidade Profissional ISFCE.

Saiba mais sobre uma carreira forense cibernética a partir desta entrevista com Amanda Rousseau, pesquisadora sênior de malware da Endgame (agora no Facebook), que começou sua carreira realizando investigações forenses por computador no centro de crimes cibernéticos do Departamento de Defesa.

Deixe uma resposta

O seu endereço de email não será publicado.