Thursday, January 7, 2010

Forense Digital - ferramentas e metodologias

Ok.... Já sabemos o que faz um perito de computação forense. Agora nos resta descobrir como ele faz. Para explicar o "como", Raffael Vargas escreve dois excelentes artigos para sua coluna no iMasters, disponíveis pelos links http://imasters.uol.com.br/artigo/6485/forense/pericia_forense_computacional_ferramentas_periciais/
e http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_e_metodologias_para_obtencao_de_evidenvias/ e alguns trechos que eu tomo a liberdade de transpor neste blog:

 Mas para trabalhar com forense computacional é bom ter, não somente, uma visão superficial e sim uma visão mais profunda das armas reais e das armas hipotéticas possíveis, permitindo supor o que pode ter acontecido, estar acontecendo ou vir a acontecer. Pode-se ter um melhor entendimento do poder do agressor se puder comparar e entender o que ele fez com uma determinada arma e o que ele poderia ter feito, principalmente se for necessário saber como ele age, como pode agir, como ele é, quem ele é, onde ele está e, mais ainda, como pegá-lo.

enCase: padronização de laudos, recuperação de dados, banco de dados de evidências, analisa hardwares, analisa logs, permite a perícia das evidências sem alterá-las, dentre outras funcionalidades.  


A ferramenta EnCase é uma das ferramentas mais completas no que se refere a perícia forense, pois além de auxiliar recuperação de arquivos deletados, padroniza laudos periciais, organiza um Banco de Dados com as evidências, faz o encryption (fornece senhas) e o decryption (quebra as senhas) dos arquivos, analisa hardwares, analisa logs, analisa formatos e tipos de e-mails e fornece uma opção de se manusear a evidência sem danificá-la, além de outras características mais avançadas.

Na Figura abaixo, foi feita uma verificação na caixa de entrada de e-mail de um suposto infrator, utilizando métodos de busca e investigação da ferramenta EnCase em e-mails e Internet.


Interface do EnCase E-mail e Internet


Exemplo: foi recebido por uma suposta vítima um e-mail chantageandoa. Após ter sido verificada através de outras ferramentas a localização do infrator, houve uma apreensão do maquinário, mas o infrator formatou sua máquina e instalou um novo sistema operacional e novas aplicações. Nesta situação, a ferramenta pode auxiliar o perito na busca de dados nos setores não utilizados (apagados) do HD e logo após fazer uma busca em todos os e-mails enviados a esta suposta vítima, mesmo o HD tendo sido formatado, podendo com esta ferramenta recuperar os e-mails, que também foram formatados.

Falarei mais sobre a ferramenta EnCase e algumas dicas para certificação EnCE neste blog futuramente.

Obrigado!

No comments:

Post a Comment