Investigação Forense, Fluxo de Trabalho e Dispositivos Móveis
De acordo com seus ensinamentos e suposições dentro da área em referência, vamos dizer que estamos olhando para uma cena de crime cibernético formada por vários computadores interligados, bem como smartphones confiscados.
Quando o investigador forense chega, o que ele observa como fluxo de trabalho?
"Os dispositivos móveis são tipicamente os mais voláteis de todas as evidências, porque estão constantemente estabelecendo uma troca de dados (via wi-fi, 3G, Bluetooth, chamadas, envios de SMS, etc...)", disse Garcia. "O passo mais importante, é isolar esses dispositivos que utilizam as medidas apropriadas (tais como Gaiolas de Faraday), para impedir uma técnica de limpeza remota ou potencial alternativa voltada para alterar ou destruir evidências no dispositivo".
Outras medidas de precaução também devem ser levadas em conta, como a incapacitação de senhas de acesso ou PINs, no caso do dispositivo ser desbloqueado (para prevenir um novo bloqueio), ligando-o a uma fonte de energia (para evitar o esgotamento da bateria); medidas semelhantes devem ser tomadas com computadores (no caso de estarem ligados à rede). Depois disso, um processo forense tradicional pode ser realizado: no local da triagem e caso seja necessário, realizar uma análise prévia, aquisição forense de memória, discos rígidos, preservação de provas, entre outros fatores importantes para o trabalho forense.
Jess Garcia aborda com muita clareza, todos os fatores que compõem o cenário investigativo digital
Os dispositivos móveis podem às vezes ser adquiridos no próprio laboratório forense, onde é possível trabalhar em um ambiente mais amigável, com um melhor isolamento de sinal. Nesse caso, é preciso ter certeza de que o dispositivo seja mantido ligado a uma fonte de energia em todos os momentos, desde o isolamento de sinal, que irá drenar rapidamente as baterias.
Ferramentas Forenses e Sistemas Operacionais
Quais ferramentas forenses você prefere e por quê?
Garcia disse que tem, literalmente, centenas de ferramentas forenses, dentre ferramentas de código aberto e comerciais, que podem ser executadas em Windows, Linux e Mac. Cada caso, tipicamente, requer ferramentas e técnicas diferentes, e às vezes um pequeno utilitário específico pode poupar o profissional forense de muitas horas de trabalho. É importante estar atualizado com as últimas versões, manter-se atento ao lançamento de novas ferramentas e sobre as novas funcionalidades implementadas em suas ferramentas atuais. "Se eu tiver que mencionar apenas uma ferramenta, vou mencionar o SIFT SANS, que é open source e está disponível para download no site da SANS", diz Garcia. Além disso, SIFT SANS vem com uma infinidade de ferramentas forenses, todas elas prontas para usar em um ambiente bastante amigável.
Nesse cenário, que conselho você daria para um investigador forense que precisa apresentar seus resultados na frente de um júri no tribunal?
"No tribunal, as coisas funcionam de maneira confusa e às vezes de forma bastante hostil para os profissionais técnicos". Garcia também acrescenta que, "no mundo da segurança da informação os elementos são binários, tudo é muito evidenciado. A lei gira em torno da interpretação".
Se você precisa testemunhar em um tribunal apenas para traduzir as palavras normais de qualquer pessoa não-técnica, você pode entender suas descobertas e conclusões, de uma forma profissional e científica. Garcia também recomenda fortemente um excelente livro, intitulado "Um Guia para Testemunho Forense", do qual ele gosta muito e sempre recomenda aos seus alunos. É uma leitura obrigatória, caso a pessoa esteja indo testemunhar em um tribunal, pois ela vai ver realmente como as coisas funcionam. A partir daí, a pessoa tem a noção de que "um caso perfeito pode tornar-se um caso perdido", caso o perito não seja capaz de traduzir corretamente, para o público, as descobertas por ele realizadas.
Direito de Privacidade dos Usuários
Como pode um investigador forense ter certeza que ele estabelece um equilíbrio entre seu trabalho e o direito dos usuários à privacidade?
"Em um ambiente corporativo, deve haver políticas que cuidam disso, definindo o que um investigador forense pode ou não pode fazer. No entanto, em muitos casos eles não estão realmente no lugar, e você terá que usar seu bom senso", disse Garcia. O profissional ainda acrescentou "que é necessário tomar cuidado, porque os limites a e interpretação do direito não são fáceis de entender para um examinador forense, e nosso senso comum às vezes não é válido". Nesse contexto, ele recomenda verificar essa questão com um advogado, conforme necessário.
Garcia fala sobre a necessidade de um certo conservadorismo e pedir conselhos de especialistas, em caso de dúvida. Dito isso, as ferramentas forenses também podem ajudar, porque elas permitem fazer pesquisas "cegas" sobre as provas que, com as palavras corretas, podem ser provas suficientes de que algo seja considerado suspeito.
Saiba Mais:
[1] Help Net Security http://www.net-security.org/article.php?id=1741&p=2