Guia do iniciante para informática forense

      No Comments on Guia do iniciante para informática forense
informática

Introdução
Computer forensics é a prática de coletar, analisar e informar informações digitais de forma legalmente admissível. Ele pode ser usado na detecção e prevenção de crimes e em qualquer disputa onde a evidência é armazenada digitalmente. Computer forensics tem estágios de exame comparáveis ​​para outras disciplinas forenses e enfrenta problemas semelhantes computador.

Sobre este guia
Este guia discute o forense informático sob uma perspectiva neutra. Não está vinculado a legislação específica ou destinado a promover uma empresa ou produto em particular e não está escrito em preconceito tanto de aplicação da lei como de forense de informática comercial. Destina-se a uma audiência não técnica e fornece uma visão de alto nível da informática forense. Este guia usa o termo “computador”, mas os conceitos se aplicam a qualquer dispositivo capaz de armazenar informações digitais. Onde as metodologias foram mencionadas, elas são fornecidas apenas como exemplos e não constituem recomendações ou conselhos. Copiar e publicar a totalidade ou parte deste artigo é licenciado exclusivamente sob os termos da licença Creative Commons – Atribuição Não Comercial 3.0

Usos da informática forense
Existem poucas áreas de criminalidade ou disputa em que o forense informático não pode ser aplicado. As agências de aplicação da lei foram os primeiros e mais pesados ​​usuários de informática forense e, consequentemente, muitas vezes estiveram na vanguarda dos desenvolvimentos no campo. Os computadores podem constituir uma “cena de um crime”, por exemplo, com ataques de pirataria [1] ou de negação de serviço [2] ou podem ter evidências sob a forma de e-mails, histórico da internet, documentos ou outros arquivos relevantes para crimes como assassinato , seqüestro, fraude e tráfico de drogas. Não é apenas o conteúdo de e-mails, documentos e outros arquivos que podem ser de interesse para os pesquisadores, mas também os “meta-dados” [3] associados a esses arquivos. Um exame forense de computador pode revelar quando um documento apareceu pela primeira vez em um computador, quando foi editado pela última vez, quando foi salvo pela última vez ou impresso e que o usuário realizou essas ações.

Mais recentemente, as organizações comerciais usaram a medicina forense em benefício de uma variedade de casos, tais como;

Roubo de propriedade intelectual
Espionagem industrial
Disputas de emprego
Investigações de fraude
Forgeries
Problemas matrimoniais
Inquéritos de falência
Uso inapropriado de e-mail e internet no local de trabalho
Conformidade regulatória
Diretrizes
Para que a evidência seja admissível deve ser confiável e não prejudicial, o que significa que, em todas as etapas deste processo, a admissibilidade deve estar na vanguarda da mente do examinador forense. Um conjunto de diretrizes que foi amplamente aceito para ajudar neste é o guia de boas práticas da Associação de Diretores de Polícia para Evidência Eletrônica Baseada em Computador ou Guia ACPO para breve. Embora o Guia ACPO se destine à aplicação da lei no Reino Unido, seus principais princípios são aplicáveis ​​a todos os meios forenses em qualquer legislatura. Os quatro princípios principais deste guia foram reproduzidos abaixo (com as referências à aplicação da lei removidas):

Nenhuma ação deve alterar os dados mantidos em um computador ou mídia de armazenamento que pode ser posteriormente confiado no tribunal.

Nos casos em que uma pessoa considere necessário acessar dados originais mantidos em um computador ou mídia de armazenamento, essa pessoa deve ser competente para fazer isso e ser capaz de fornecer evidências que explicam a relevância e as implicações de suas ações.

Uma fuga de auditoria ou outro registro de todos os processos aplicados a evidências eletrônicas baseadas em computador devem ser criados e preservados. Um terceiro independente deve poder examinar esses processos e alcançar o mesmo resultado.

A pessoa encarregada da investigação tem a responsabilidade geral de garantir que a lei e esses princípios sejam cumpridos.
Em resumo, nenhuma alteração deve ser feita no original, no entanto, se o acesso / mudanças forem necessárias, o examinador deve saber o que está fazendo e gravar suas ações.

Aquisição ao vivo
O princípio 2 acima pode levantar a questão: em que situação as mudanças no computador de um suspeito por um examinador forense de computador serão necessárias? Tradicionalmente, o examinador forense do computador faria uma cópia (ou adquira) informações de um dispositivo que está desligado. Um bloqueador de escrita [4] seria usado para fazer um bit exato para bit copy [5] do meio de armazenamento original. O examinador trabalharia então a partir desta cópia, deixando o original demonstradamente inalterado.

No entanto, às vezes não é possível ou desejável desligar o computador. Pode não ser possível desligar o computador, se o fizer resultaria em perda financeira considerável ou outra para o proprietário. Pode não ser desejável desligar o computador se o fazer significaria que evidências potencialmente valiosas podem ser perdidas. Em ambas as circunstâncias, o examinador forense do computador precisaria realizar uma “aquisição ao vivo”, que envolveria a execução de um pequeno programa no computador suspeito para copiar (ou adquirir) os dados no disco rígido do examinador.

Leave a Reply

Your email address will not be published. Required fields are marked *