Seu Curso

  • Full Screen
  • Wide Screen
  • Narrow Screen
  • Increase font size
  • Default font size
  • Decrease font size

Roteiro Investigativo em Perícia Forense Computacional de Redes

Imprimir
Avaliação do Usuário: / 4
PiorMelhor 

Perícia Forense Computacional

 

A perícia forense computacional é uma coleta, preservação, análise e apresentação de evidências relacionadas a ambientes computacionais. As evidências recolhidas podem ser úteis em investigações de crimes cibernéticos ou até mesmo relacionadas ao campo da computação. Podem ser utilizadas como instrumentos de análise de vulnerabilidade em sistemas, bem como verificar o nível de utilização dos recursos computacionais pelos usuários. Em outras palavras, é o processo de análise metódica de dados, equipamentos e mídias, em busca de evidências que possam melhor detalhar atividades realizadas em determinado meio computacional.

o termo “perícia” significa “sabedoria, prática, experiência, habilidade em alguma ciência ou arte”, já o termo “forense” refere-se ao que vem “do foro judicial; dos tribunais ou a eles relativo”. Sob essa perspectiva, pode-se afirmar que “perícia forense” refere-se à utilização de conhecimentos e habilidades em determinada ciência aplicados em caráter judicial.

Com base nestas definições, podemos caracterizar perícia computacional forense como um ramo que combina elementos jurídicos e da ciência da computação. Esta junção visa coletar e analisar dados em sistemas, redes, bancos de dados e dispositivos móveis e dispositivos de armazenamento, possibilitando a apresentação de evidências em ambientes jurídicos, sindicâncias e processos de elucidação de práticas lesivas ao ambiente computacional, de forma geral.

Processo Forense

 

O processo pericial seja realizado baseando-se em quatro fases: coleta, extração, análise e documentação. Este processo básico aplica-se à perícia forense computacional de maneira geral, assim cabe sua utilização em perícia aplicada a redes.

Na fase da "Coleta", é adquirido dados que podem potencialmente conter evidências digitais, seguindo procedimentos que visem preservar a integridade dos dados e dispositivos.

Na fase da "Extração", é separado os dados adquiridos na fase da "Coleta", podendo ser informações de interesse particular, para isso é utilizado métodos forenses dos quais visam preservar a integridade da informação.

Na fase da "Análise", é viabilizado as informações adquiridas determinar adequadamente as raízes do incidente ou a impossibilidade de quaisquer conclusões face aos dados obtidos.

Na fase da "Documentação", é elaborar relatório técnico, com a finalidade de documentar e apresentar os resultados obtidos nas fases anteriores.

Tipos de Perícia Forense Computacional

 

A análise realizada em perícia forense computacional divide-se em dois tipos ou metodologias, que estão diretamente ligadas à volatilidade dos dados periciais.

Análise Post-Mortem

Análise realizada sobre dados não voláteis, localizados nas diferentes fontes. Esta análise prevê a cópia dos dados em mídia distinta, preservando-se as evidências originais, como forma de manter a integridade das provas, bem como permitir a eventual repetição da análise.

Análise em Tempo Real (Live)

Este tipo de análise consiste na coleta e análise de dados com alto índice de volatilidade, tais que o eventual desligamento da fonte de dados ocasione a perda destas informações. Como exemplos, pode-se citar a captura de estado da memória, lista de processos ativos, usuários conectados e conexões de rede, entre outros.

Perícia Forense Computacional Aplicada a Redes

A perícia computacional forense aplicado a rede é a ação utilizada para capturar, gravar e analisar auditoria de redes, com o intuito de descobrir brechas de segurança e outras informações relacionadas a problemas de segurança de redes.

O conceito básico de perícia forense em redes de computadores é trabalhar com dados encontrados em uma conexão de rede, analisando entradas e saídas de tráfego entre hosts e redes distintas. Mediante utilização de equipamentos de proteção, tais como firewalls e sistemas de detecção de intrusão (IDS), bem como dispositivos de rede, como roteadores, são gerados registros de dados trafegados (logs), que são utilizados em análises e procedimentos de perícia forense em redes.

Os objetivos destes procedimentos periciais são encontrar fontes de eventuais ataques e indícios de atos ilícitos na rede de dados, em caráter interno ou externo a esta, possibilitando envidar os devidos esforços necessários em âmbito jurídico e/ou administrativo.

Técnicas e Ferramentas

 

Sistemas de Perícia Forense de Redes

Os sistemas de perícia de redes em dois tipos: catch-it-as-you-can e stop-look-and-listen.

Os sistemas Catch-It-As-You-Can são aqueles onde todos os pacotes passam por um ponto de tráfego comum, sendo capturados e armazenados. Sua análise é realizada em sequência, em modo de lote. Esta forma de tratamento requer maior espaço de armazenamento.

Os sistemas Stop-Look-and-Listen são sistemas onde os pacotes sofrem uma espécie de triagem ou análise prévia, e somente algumas informações são salvas para análise futura. Este método requer maior poder de processamento para alcançar melhores resultados, vez que sua análise prévia ocorre em tempo real, conforme prevê o tipo de análise em tempo real (live), citado anteriormente.

Ferramentas de Análise Forense de Redes (NFAT)

As ferramentas de análise forense de redes (Network Forensic Analysis Tools - NFAT) permitem o monitoramento de redes, visando reunir informações sobre tráfego, auxiliando na investigação e colaborando na elaboração de respostas aos incidentes de segurança, de forma adequada. Auxiliam, ainda, na análise de intrusões e má utilização de recursos de rede, prevenção a possíveis ataques, avaliação de riscos, avaliação de desempenho da rede e proteção de propriedade intelectual.

Existem três funções básicas que as NFAT devem desempenhar, sendo elas: captura de tráfego, análise do tráfego capturado e interação entre o analista e a ferramenta.

Em conjunto com o firewall e o IDS, as NFAT viabilizam a preservação de registros de tráfego, possibilitando efetuar o levantamento de evidências, bem como caracterizar repetições e similaridades em momentos de ataques. Facilitando a organização dos dados capturados possibilitando descobrir padrões de tráfegos na rede.

Proposta de Roteiro de Investigação Pericial em Redes

 

Atualmente existem diversas propostas para os modelos investigativos utilizados na perícia forense de redes, o que pode ocasionar uma certa confusão nos iniciantes da área quanto à utilização dos modelos.

A investigação forense é composta por 5 passos, sendo eles: Início dos Trabalhos, Entradas, Processamento, Saídas e pôr fim a Finalização dos Trabalhos.

Na fase do Início dos Trabalhos, será efetuada a solicitação da investigação forense, logo em seguida será necessário a autorização e a preparação do ambiente para que a investigação seja iniciada.

Na fase das Entradas, é efetuada a extração dos dados, seja através de dispositivos móveis, dispositivos de armazenamento, etc., esses dados serão copiados de maneira que não possam ser alterados, mantendo a integridade das informações obtidas.

Na fase do Processamento, os dados obtidos serão analisados, passando por um cruzamento de informações, dos quais possibilitaram obter o máximo de informações relevantes para a investigação.

Na fase das Saídas, será apresentado os resultados do processamento, gerando laudos e documentos que validem a investigação.

Na fase de Finalização dos Trabalhos, a perícia estará validando os resultados da investigação forense, devolvendo os equipamentos e materiais recolhidos para efetuar a extração de informações e gerando um documento de encerramento da investigação forense.

Adicionar comentário


Código de segurança
Atualizar

You are here: