A perícia é o trabalho de investigar as evidências e estabelecer os fatos de interesse vinculados a um incidente. Neste artigo, apenas discutimos algo sobre Digital Forensics. Aqui tentamos dar uma introdução ao forense digital, pois acreditamos que é necessário ter um plano de reação quando um de nossos ativos, como um servidor ou aplicativo da web, é comprometido. Também recomendamos pesquisar outras fontes para um treinamento mais completo, pois esse tópico se estende além das ferramentas disponíveis no Kali Linux. A análise forense digital é uma área de interesse em segurança cibernética em rápido crescimento, com muito poucas pessoas que a conhecem bem.
Antes de entrar no mundo do James Bond Digital, precisamos lembrar algumas regras. Não muito, acreditamos que essas três regras devem ser seguidas por um especialista forense digital. Se não seguirmos essas regras, podemos não ter resolvido o caso.
1. Nunca toque nas provas
Agora não é como o toque de evidência física. Significa “nunca trabalhe com dados originais”, sempre use uma cópia das evidências para testes forenses. Também precisamos garantir que não modificamos os dados ao criar uma cópia. No momento em que tocamos ou modificamos os dados originais, nosso caso se torna inútil. Provas adulteradas nunca podem ser usadas em qualquer processo legal, independentemente do que for encontrado. O motivo é que, uma vez que um original é modificado, existe a possibilidade de identificar evidências falsas que podem deturpar o incidente real. Um exemplo é fazer uma alteração que ajusta o carimbo de data/hora nos logs do sistema. Não haveria como distinguir essa mudança do erro de um analista novato ou de um invasor tentando encobrir seus rastros.
A maioria dos analistas forenses digitais usará dispositivos especializados para copiar dados bit a bit. Existem também softwares muito conceituados que farão a mesma coisa. É importante que nosso processo seja muito bem documentado. A maioria das cópias digitais em processos legais que foram descartadas foram removidas devido a um hash de um meio de armazenamento, como um disco rígido, não correspondendo aos dados copiados. O hash de um disco rígido não corresponderá a uma cópia contaminada, mesmo que apenas um único bit seja modificado. Uma correspondência de hash significa que é extremamente provável que os dados originais, incluindo logs de acesso ao sistema de arquivos, informações de disco de dados excluídas e metadados, sejam uma cópia exata da fonte de dados original.
2. Procure tudo
A segunda regra vital para a perícia digital é que qualquer coisa que possa armazenar dados deve ser examinada. Em casos famosos envolvendo mídia digital, evidências críticas foram encontradas em uma câmera, gravadores DVR, consoles de videogame, telefones, iPods e outros dispositivos digitais aleatórios. Se o dispositivo tiver qualquer capacidade de armazenar dados do usuário, é possível que o dispositivo possa ser usado em uma investigação forense. Não descarte um dispositivo apenas porque é improvável. Um sistema de navegação de carro que armazena mapas e músicas em cartões SD pode ser usado pelos criminosos para ocultar dados, além de fornecer evidências de uso da Internet com base em tags de download de músicas.
3. Documentação do Poço
Esta é a última regra crucial da perícia digital. A maioria dos recém-chegados o ignora, mas DEVEMOS garantir a documentação de nossas descobertas. Todas as evidências e etapas usadas para chegar a uma conclusão devem ser fáceis de entender para que sejam confiáveis. Mais importante, nossas descobertas devem ser recriáveis. Investigadores independentes devem chegar à mesma conclusão que nós, usando nossa documentação e técnicas. Também é importante que nossa documentação estabeleça uma linha do tempo de eventos específicos sobre quando e como ocorreram. Todas as conclusões do cronograma devem ser documentadas.
Uma investigação forense tem tudo a ver com a percepção de ser um especialista em segurança validando evidências relacionadas a um incidente. É fácil ser pego procurando por bandidos e tirando conclusões sobre o que pode ter acontecido com base na opinião. Essa é uma das formas mais rápidas de desacreditar nosso trabalho.
Como especialista forense, devemos apenas declarar os fatos. A pessoa que Tony roubou os arquivos de Steve ou a conta que estava conectada com o nome de usuário Tony iniciou uma cópia da conta de usuário do diretório inicial de Steve para uma unidade USB com número de série XXX no registro de data e hora XXX na data XXX? Veja a diferença? O verdadeiro vilão pode ter roubado as credenciais de login de Tony (usando os métodos abordados neste livro) e roubado os dados de Steve enquanto se fazia passar por Tony. O momento em que você chega a uma conclusão é o momento em que seu caso se torna inconclusivo com base em interferência pessoal. Lembre-se, como especialista forense, podemos ser solicitados sob juramento a testemunhar exatamente o que aconteceu. Quando qualquer coisa fora dos fatos entrar no registro, nossa credibilidade será questionada.
Palestras Extras
Essas são as regras básicas da perícia digital que precisamos lembrar e seguir o tempo todo. A perícia digital não é tão fácil e é muito potencial como uma opção de carreira. Como base, precisamos coletar as informações cuidadosamente e minuciosamente analisadas com o objetivo de extrair evidências relacionadas ao incidente para ajudar a responder às perguntas, conforme mostrado no diagrama a seguir:
Isso é por hoje, se seguirmos o básico e usarmos nosso cérebro e olhos, podemos resolver casos e nos tornar um James Bond digital. O mundo precisa de um herói.
