Saturday, March 5, 2011

Mudança nos Cenários em Computação Forense 2005-2010

Neste feriadão de carnaval, tomo a liberdade de replicar aqui no blog o excelente texto do meu amigo Rodrigo Antão:


Desde 2005 eu não havia observado um ano de crescimento de demandas para a área de forense computacional como neste ano de 2010. Este aumento de movimentação no mercado nos traz questionamentos por parte de clientes, estudantes e parceiros sobre pra onde estamos caminhando. 
Escrevo este artigo para expor algumas opiniões sobre o que vem pela frente na área da forense computacional. Apesar de o assunto futuro, sob ponto de vista tecnológico, deva ser algo medido em períodos de 2 anos tamanha inovação existente neste meio. É pouco provável que se possa antever o que podem surgir de novas tecnologias que demandem novas técnicas de coletas forenses.

ARTIGO
Em uma análise de alguns cenários de investigação de meios digitais de 2005 a 2010 torna-se claro o tamanho do problemas que empresas e governos terão para processar grandes massas de dados em investigações e perícias. 
Estes dados não são científicos, eles partem de experiências de campo e dados de mercado sobre crescimento dos discos no tempo. 
A Lei de Moore incide sobre o crescimento da capacidade dos discos, mais informações aqui
Abaixo seguem alguns números que ilustram um ambiente de investigação corporativa envolvendo uma pequena área de negócios. Esse cenário é comum em situações onde há alguma denúncia envolvendo um fato e um grupo de pessoas que poderia ter acesso ao mesmo. 
O escopo comparativo tem 10 máquinas como alvo de análise, considerando o tempo de processamento médio de 1,5 GB por hora e considerando 24 horas úteis de trabalho por dia.
Cenário de investigação - 2005
•10 máquinas X [40 ~ 80] GB (média 60 GB) = 600 GB
•Duplicações acontecendo a 4 GB/min = 150 Min = 2:30 hs
•Tempo para análise + relatório = Média 1,5 GB/Hora = 400 Horas
•Tempo total entre a coleta + análise + relatório = 402 horas = 17 dias
Cenário de investigação - 2010
•10 máquinas X [500 ~ 1000] (média 750 GB) = 7500 GB = 7,5 TB
•Duplicações acontecendo a 6 GB/min = 1250 Min = 20 hs
•Tempo para análise + relatório = Média 1,5 GB/Hora = 5000 Horas
•Tempo total entre a coleta + análise + relatório = 5020 horas = + 6 meses
Notem que o tempo para análise e relatório mantém a mesma média. O motivo é simples: esta tarefa precisa de contextualização, interação humana. Por mais automatizadas que as ferramentas hoje estejam, a revisão dos resultados ainda precisa ser feita por um analista que saiba dados do caso em questão.
O aumento do esforço total para entrega de um relatório forense aumentou 1.150% em 5 anos.
Seguindo esta mesma média, para 2015 teremos o seguinte cenário:
Cenário de investigação Hipotético - 2015
•10 máquinas X [6250 ~ 12500] (média 9375 GB) = 93750 GB = 93,7 TB
•Duplicações acontecendo a 9 GB/min = 1041 Min = 17 hs
•Tempo para análise + relatório = Média 1,5 GB/Hora = 62500 Horas
•Tempo total entre a coleta + análise + relatório = 63541 horas = + 87 meses = 7,5 anos 
Obviamente estes números consideram pesquisas massivas com complexidade de palavras-chave, consultas por hash e assinaturas de arquivos e discos com bastante informações. 
Investigações mais simples, com escopo bem dimensionado, gastariam muito menos tempo. 
Uma pesquisa recente da FEBRABAN (http://bit.ly/cFL3uW) nos retorna dados sobre o ambiente computacional dos bancos do Brasil que nos levam na mesma direção: o volume de dados passíveis de investigação está beirando o INADMINISTRÁVEL. 
De acordo com os números da Febraban o ambiente de discos dos bancos aumentou no período de 2005-2009:
•Discos: 576%.
•Estações de Trabalho: 29,7%
•PDA/Blackberry/Assemelhados: 859% 
A pesquisa da Febraban também ilustra outro paradigma que as áreas de investigação estão enfrentando, e que começou apenas em 2005: o aumento da mobilidade de conexão, com o uso de Smartphones e co-relatos. 
O uso de Smartphones está levando mais informações passíveis de análise para o meio remoto. 
Profissionais que ficam grande parte do tempo fora dos escritórios utilizam seus telefones como o meio primário de interação com o mundo virtual. Logo se torna cada vez mais inócuo procurar apenas em estações de trabalho ou notebooks. Um email que foi lido e apagado durante o trânsito de um profissional não estará em nenhum disco rígido sob posse deste usuário. 
Estes novos pontos de coleta precisam ser contemplados em todo mapeamento de investigação.  
Um usuário médio hoje possui como fontes de dados os seguintes locais: 
Notebook pessoal
•Email offline/online Pessoal
•Navegação na Internet
•Redes Sociais (mensagens, emails, chat e video) 
Estação de Trabalho Corporativa
•Caixa de Email Corporativa
•Navegação na Internet
•Redes Sociais (mensagens, emails, chat e video) 
Telefone Celular/Smartphone
•Acessando caixas postais corporativas e pessoais
•Navegação na Internet
•SMS e Ligações Telefônicas armazenadas na Operadora de Telefonia
•Video Mensagens (3g, 4g, Wimax)
•Redes Sociais (mensagens, emails, chat e video) 
O mais assustador é que empresas ainda buscam investimentos em forense computacional baseado nos cenários estáticos de 2005! 
Num excelente artigo escrito pelo senhores José Helano Matos Nogueira e Joaquim Celestino Júnior entitulado “Autonomic Forensics a New Frontier to Computer Crime Investigation Management”, em tradução livre Forense Autônoma uma Nova Fronteira para o Gerenciamento de Investigação de Crimes Computacionais, são citados como desafios que acometem profissionais de computação forense:
1.Falhas de software frequentes e recorrentes das aplicações críticas para computação forense, devido à incompatibilidade dos dados, arquivos, erros ou protocolos de rede. 
2.Prazos mais longos para o pessoal forense para resolver os problemas listados no item 1. 
3.Aumento significativo dos orçamentos de TI/Forense, incluindo hardware, software, custos homem/hora, treinamento e suporte. 
4.Aumento do nível do outsourcing de aplicações. 
5.A alta rotatividade de pessoal forense crítica devido à frustração, longas horas, e burnout. 
6.Surpresas inesperadas em novas tecnologias, novas linguagens, ou aplicação, levando ao aumento do tempo necessário na compreensão e gestão de projetos que envolvem estas soluções 
7.Prazos mais longos para testar e instalar de forma satisfatória novos aplicativos ou pacotes de software. 
8.Crescimento do custo e hardware e software em TI/Forensics. 
9.Incompatibilidade entre fornecedores concorrentes de pacotes de software, por exemplo: estrutura de arquivo, bancos de dados e parâmetros, devido à falta de normas. 
10.Freqüentes, mas necessárias atualizações de software, para ferramentas forenses e sistemas operacionais, resultando em mais uma rodada de erros e problemas com incompatibilidade. 
Com o aumento do volume aliado ao aumento da complexidade temos a hecatombe que acomete os profissionais da área: até quando vamos permanecer sem times estruturados para cuidar de investigações digitais. Estruturados com as pessoas certas, os processos corretos e os sistemas mais eficazes para estas tarefas hercúleas.

Rodrigo Antão - http://www.rodrigoantao.com - É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).

No comments:

Post a Comment