A computação forense, também conhecidas como forense digitais, ciência forense da computação ou forenses cibernéticos, combina a ciência da computação e a forense legal para coletar evidências digitais de maneira admissível em um tribunal de justiça.
Da mesma forma que os agentes da lei examinam cenas de crime em busca de pistas, os investigadores de computação forense procuram em dispositivos digitais por evidências que os advogados podem utilizar em investigações criminais, casos civis, investigações de cibercrimes e outras questões relacionadas à segurança corporativa e nacional. E, tal como os seus homólogos policiais, os investigadores de computação forense têm de ser especialistas não só na procura de provas digitais, mas também na recolha, manuseamento e tratamento para garantir a sua fidelidade e a sua admissibilidade em tribunal.
A computação forense está intimamente relacionada à segurança cibernética. As descobertas da computação forense podem ajudar as equipes de segurança cibernética a acelerar a detecção e a resolução de ameaças cibernéticas e a evitar futuros ataques cibernéticos. Uma disciplina emergente de cibersegurança, forenses digitais e resposta a incidentes (DFIR), integra forenses de computação e atividades de resposta a incidentes para acelerar a correção de ameaças cibernéticas, ao mesmo tempo em que garante que qualquer evidência digital relacionada não seja comprometida.
A computação forense ganhou destaque pela primeira vez no início da década de 80 com a invenção do computador pessoal. Com a tecnologia tornando-se um elemento essencial na vida cotidiana, criminosos identificaram uma abertura e passaram a cometer crimes em dispositivos eletrônicos.
Logo depois, a internet conectou quase todos durante a noite, permitindo o acesso remoto e por e-mail a redes de computadores corporativas e organizacionais e abrindo portas para malware e cyberattacks mais complexos. Em resposta a essa nova fronteira de crime cibernético, as agências de aplicação da lei precisavam de um sistema para investigar e analisar dados eletrônicos e, portanto, nasceu a computação forense.
Inicialmente, a maioria das evidências digitais era encontrada em sistemas de computador e dispositivos de TI — computadores pessoais, servidores, telefones móveis, tablets e dispositivos de armazenamento eletrônico.Contudo, hoje em dia, um número crescente de dispositivos e produtos industriais e comerciais — desde dispositivos da Internet das Coisas (IoT) e tecnologia operacional (OT) até carros e eletrodomésticos, passando por campainhas e coleiras para cães — gera e armazena dados e metadados que podem ser coletados e explorados como evidências digitais.
Por exemplo, considere um acidente de carro. No passado, os policiais podem ter investigado a cena do crime em busca de evidências físicas, como marcas de desvio ou vidros estilhaçados; eles também podem ter verificado os telefones dos motoristas em busca de evidências de mensagens de texto enquanto dirigiam.
Atualmente, os automóveis mais recentes geram e armazenam uma variedade de dados digitais e metadados registrados no tempo, criando um registro detalhado da localização, velocidade e condição operacional de cada veículo a qualquer momento.Esses dados transformam os veículos modernos em ferramentas forenses poderosas adicionais, permitindo que os investigadores reconstruam eventos que antecederam, ocorreram durante e sucederam a um acidente; esses dados podem até mesmo ajudar a determinar quem foi responsável pelo acidente, mesmo na ausência de evidências físicas ou testemunhas oculares tradicionais.
Assim como as evidências físicas da cena do crime, as evidências digitais devem ser coletadas e tratadas corretamente. Caso contrário, os dados e metadados poderão ser perdidos ou considerados inadmissíveis em um tribunal.
Por exemplo, os investigadores e os procuradores têm de demonstrar uma cadeia de custódia adequada para as provas digitais – têm de documentar a forma como estas foram tratadas, processadas e armazenadas. E têm de saber como recolher e armazenar os dados sem os alterar – um desafio dado que ações aparentemente inofensivas, como abrir, imprimir ou guardar ficheiros, podem alterar os metadados permanentemente.
Por esse motivo, a maioria das organizações contrata ou contrata investigadores de computação forense (também conhecidos pelos cargos de especialista em computação forense, analista de computação forense ou analista de computação forense) para coletar e lidar com evidências digitais associadas a investigações criminais ou criminosas cibernéticas.
Os profissionais de computação forense normalmente possuem um diploma de bacharel em ciência da computação ou justiça criminal, e combinam um sólido conhecimento funcional dos fundamentos da tecnologia da informação (TI), por exemplo sistemas operacionais, segurança da informação, segurança de rede, linguagens de programação — além de uma experiência nas implicações legais de evidências digitais e crimes cibernéticos. Alguns podem se especializar em áreas como forenses móveis ou forenses do sistema operacional.
Os investigadores de computação forense são especialistas em caçar e preservar dados legalmente admissíveis. Eles sabem que coletar dados de fontes que a equipe de TI interna pode ignorar, como servidores externos e computadores domésticos. Eles podem auxiliar as organizações a desenvolver uma política de computação forense sólida que pode economizar tempo e dinheiro ao coletar evidências digitais, reduzir as consequências do cibercrime e contribuir para a proteção de suas redes e sistemas de informação contra futuros ataques.
Existem quatro etapas principais na computação forense.
A primeira etapa é identificar os dispositivos ou mídia de armazenamento que podem conter dados, metadados ou outros artefatos digitais relevantes para a investigação. Esses dispositivos são coletados e colocados no laboratório forense ou em outra instalação segura para seguir o protocolo e garantir a recuperação adequada dos dados.
Especialistas forenses criam uma imagem, ou cópia bit-for-bit dos dados a serem preservados. Em seguida, armazenam com segurança a imagem e o original para protegê-los de serem alterados ou destruídos. Especialistas coletam dois tipos de dados: dados persistentes, armazenados no disco rígido local de um dispositivo e dados voláteis, localizados na memória ou em trânsito (por exemplo, registros, cache e memória de acesso aleatório (RAM)). Os dados voláteis devem ser manuseados com atenção, pois são efêmeros e podem ser perdidos se o dispositivo desligar ou perder energia.
Em seguida, os investigadores forenses analisam a imagem para identificar evidências digitais relevantes. Isso pode incluir arquivos excluídos intencionalmente ou não, histórico de navegação na internet, e-mails e muito mais. Para descobrir dados "ocultos" ou metadados que outros podem perder, os investigadores usam técnicas especializadas, incluindo análise ao vivo, que avalia sistemas ainda em execução em busca de dados voláteis, e esteganografia reversa, que expõe dados ocultos usando esteganografia, uma técnica para ocultar informações confidenciais em mensagens comuns.
Como etapa final, os especialistas forenses criam um relatório formal que detalha sua análise e comunicam os resultados da investigação, incluindo quaisquer conclusões ou recomendações.Embora os relatórios variem de caso para caso, eles são frequentemente utilizados para apresentar evidências digitais em um tribunal de justiça.
Existem várias áreas em que organizações ou autoridades policiais podem iniciar uma investigação forense digital:
Investigações criminais: agências de aplicação da lei e especialistas em forenses de informática podem usar forenses de informática para resolver crimes relacionados ao computador, como cyberbullying, hackers ou roubo de identidade, bem como crimes no mundo físico, incluindo roubo, sequestro, assassinato e muito mais. Por exemplo, as autoridades policiais podem usar computação forense em um computador pessoal de um suspeito de assassinato para localizar possíveis pistas ou evidências ocultas em seus históricos de pesquisa ou arquivos excluídos.
Processo judicial civil: os investigadores também podem usar computação forense em casos de litígios civis, como fraude, disputas de emprego ou divórcios. Por exemplo, em um caso de divórcio, a equipe jurídica de um cônjuge pode usar computação forense em um dispositivo móvel para revelar a infidelidade de um parceiro e receber uma decisão mais favorável.
A proteção da propriedade intelectual: A computação forense pode ajudar as autoridades policiais a investigar roubo de propriedade intelectual, como roubo de segredos comerciais ou material protegido por direitos autorais. Alguns dos casos de computação forense de maior destaque envolvem a proteção de propriedade intelectual, especialmente quando funcionários que estão saindo roubam informações confidenciais para vendê-las a outra organização ou estabelecer uma empresa concorrente.Ao analisar evidências digitais, os investigadores podem identificar quem roubou a propriedade intelectual e responsabilizá-la.
Segurança corporativa: As empresas costumam usar a computação forense após um ataque cibernético, como uma violação de dados ou um ataque de ransomware, para identificar o que aconteceu e corrigir quaisquer vulnerabilidades de segurança. Um exemplo típico seria o de hackers que rompem uma vulnerabilidade no firewall de uma empresa para roubar dados confidenciais ou essenciais. O uso da computação forense para combater ataques cibernéticos continuará, à medida que os crimes cibernéticos continuam aumentando. Em 2022, o FBI estimou que os crimes de computador custaram aos americanos USD 10,3 bilhões em perdas anuais, um aumento em relação aos USD 6,9 bilhões do ano anterior (PDF; o link reside fora do ibm.com).
Segurança nacional: A computação forense tornou-se uma importante ferramenta de segurança nacional à medida que os crimes cibernéticos continuam aumentando entre as nações. Governos ou agências de aplicação da lei, como o FBI, agora usam técnicas de computação forense após ataques cibernéticos para descobrir evidências e reforçar vulnerabilidades de segurança.
Novamente, computação forense e segurança cibernética são disciplinas estreitamente relacionadas que muitas vezes colaboram na proteção das redes digitais contra ataques cibernéticos. A segurança cibernética abrange aspectos tanto proativos quanto reativos, enfocando a prevenção e detecção de ciberataques, além da resposta e correção a esses ataques cibernéticos.A forense informática é quase totalmente reativa, entrando em ação no caso de um ataque cibernético ou crime. Mas investigações forenses de computação muitas vezes fornecem informações valiosas que as equipes de segurança cibernética podem usar para evitar futuros ataques cibernéticos.
Quando os dados da computação forense e a resposta a incidentes— a detecção e mitigação de ataques cibernéticos em andamento — são conduzidos de forma independente, eles podem interferir uns com os outros, com resultados negativos para uma organização. As equipes de resposta a incidentes podem modificar ou destruir evidências digitais enquanto eliminam uma ameaça da rede.Os investigadores forenses podem atrasar a resolução da ameaça enquanto perseguem e coletam evidências.
A computação forense digital e a resposta a incidentes, ou DFIR (Digital Forensics and Incident Response), combinam a computação forense e a resposta a incidentes em um fluxo de trabalho integrado que pode auxiliar as equipes de segurança a interromper ameaças cibernéticas de maneira mais rápida, ao mesmo tempo em que preservam evidências digitais que podem ser perdidas na urgência da mitigação de ameaças.Em DFIR,
A coleta de dados forenses ocorre juntamente com a mitigação de ameaças. As equipes de resposta a incidentes usam técnicas de computação forense para coletar e preservar dados enquanto contêm e erradicam a ameaça, garantindo que a cadeia de custódia adequada seja seguida e que evidências valiosas não sejam alteradas ou destruídas.
A revisão pós-incidente inclui o exame de evidências digitais. Além de preservar evidências para ações legais, as equipes de DFIR as utilizam para reconstruir incidentes de cibersegurança do início ao fim, a fim de compreender o que ocorreu, como ocorreu, a extensão dos danos e como ataques semelhantes podem ser evitados.
A DFIR pode levar a uma atenuação mais rápida das ameaças, a uma recuperação mais robusta das ameaças e a evidências aprimoradas para a investigação de casos criminais, crimes cibernéticos, reclamações de seguros e muito mais.
Supere ataques com um conjunto de segurança conectado e modernizado. O portfólio da QRadar é incorporado com IA de nível empresarial e oferece produtos integrados para segurança de endpoints, gerenciamento de logs, SIEM e SOAR - todos com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
A caça proativa a ameaças, o monitoramento contínuo e uma profunda investigação de ameaças são apenas algumas das prioridades que um departamento de TI já está ocupado. Ter uma equipe confiável de resposta a incidentes em espera pode reduzir seu tempo de resposta, minimizar o impacto de um ataque cibernético e ajudá-lo a se recuperar mais rapidamente.
ara prevenir e combater as ameaças modernas de ransomware, a IBM utiliza informações provenientes de 800 TB de dados de atividades de ameaças, dados sobre mais de 17 milhões de ataques de spam e phishing, bem como dados de reputação de quase 1 milhão de endereços IP maliciosos a partir de uma rede de 270 milhões de endpoints.
O DFIR combina dois campos de segurança cibernética para agilizar a resposta a ameaças e, ao mesmo tempo, preservar evidências contra criminosos cibernéticos.
Ataques cibernéticos são tentativas indesejadas de roubar, expor, alterar, desativar ou destruir informações por meio de acesso não autorizado a sistemas de computador.
As informações de segurança e o gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como acompanhamento e registro de dados de segurança para fins de conformidade ou auditoria.