Segundo uma pesquisa realizada pela RSA Anti-Fraud Command Center, o Brasil se encontra na quarta posição entre os países com o maior número de ataques cibernéticos. Esses números são alarmantes e nada é mais importante para a segurança da sua empresa do que a aplicação da perícia forense digital.
Com a evolução da tecnologia sendo uma constante, esses ataques também se tornam mais agressivos e se diferenciam com velocidade. Portanto, as tecnologias em segurança da informação também precisam estar cada dia mais sofisticadas para estar sempre um passo à frente ou mitigar os problemas ao máximo.
Sendo uma das ciências mais utilizadas para a detecção de possíveis fraudes, litígios ou cibercrime — e uma parte importante da segurança da informação — vamos descobrir nesse artigo o que é perícia forense digital, como ela funciona, seus objetivos e qual a sua relevância para as empresas modernas. Continue a leitura e confira!
O que é perícia forense digital?
Sabemos que forense significa “algo referido à competência judicial”, enquanto perícia corresponde à prática que um profissional qualificado exerce em vistoriar ou examinar alguma coisa de forma técnica e especializada.
Sendo assim, os forenses são conhecidos como profissionais altamente especializados em investigação e apuração de resultados, por meio de pistas que só são confirmadas após testes realizados em laboratórios — já que os criminosos não têm a intenção de deixar vestígios em seus delitos, concorda?
Resumindo, ela opera para descobrir crimes e encontrar seus responsáveis — que, em geral, não deixam pistas que possam ser vistas a olho nu.
Dado esse contexto, a perícia forense computacional atua da mesma forma, mas na área de tecnologia e segurança da informação, buscando qualquer tipo de pista virtual que possa identificar o autor de uma ação ilícita.
Podemos afirmar, então, que a computação forense (como também é conhecida) é a ciência responsável pela coleta de provas nos meios eletrônicos que sejam aceitas em juízo, adquirindo, identificando, extraindo e analisando dados em formato digital ou armazenados em alguma espécie de mídia computacional.
Qual o principal objetivo da perícia forense digital?
Como mencionado anteriormente, a perícia forense digital tem como intuito determinar a materialidade, dinâmica e autoria de ilícitos associados ao âmbito da computação, tendo a identificação e o processamento de evidências como provas materiais do crime.
Por isso, é muito importante que o profissional que atua como perito forense computacional averígue e investigue os fatos de uma ocorrência digital propondo sempre um laudo técnico, para que o episódio seja compreendido e comprovado.
Isso significa que a abordagem para a investigação digital deve ser definida na etapa de planejamento, para que as atividades ilícitas sejam descobertas e a coleta de dados realizada sem que o criminoso descubra que está sendo investigado.
Como a empresa se protege com a perícia forense?
Não é novidade alguma que vivemos em um mundo digitalizado e que estamos a cada dia mais conectados, certo? Pois bem, o aumento na integração entre servidores em nuvem, computadores, smartphones e tablets tem contribuído diretamente com a vulnerabilidade desses sistemas, principalmente quando nos referimos às empresas.
Qualquer empresa moderna, atualmente, trabalha com softwares de automação de tarefas e integração de departamentos, mantendo todos os seus dados — e de seus clientes — armazenados em servidores digitais.
Ao mesmo tempo em que essa prática torna o ambiente operacional mais produtivo e ágil, também aumenta os riscos de ataques, invasões, fraudes e todo o tipo de ameaça virtual. Os hackers, por exemplo, utilizam o seu conhecimento para penetrar nos sistemas, sites e bancos de dados, roubando informações confidenciais e trazendo sérios prejuízos para as empresas.
Além disso, estima-se que 62% dos funcionários aproveitam seus conhecimentos internos a respeito da segurança das informações da organização para realizar roubos de dados corporativos.
Nesse contexto, a perícia forense computacional tem um papel fundamental. Ao ter uma política de segurança da informação rígida implementada em seu modelo de negócios, não somente a equipe de TI passa a trabalhar com parâmetros mais elevados, como também todo o tipo de ação criminosa em potencial é coibido antes mesmo de acontecer.
Isso acontece porque o perito digital é eficiente não apenas em descobrir o autor do crime, mas também em reunir provas para que ele seja punido judicialmente.
Como atua a perícia forense na segurança da informação?
Antes do processo de investigação ser iniciado, há uma série de práticas que tornam a coleta de dados mais objetiva. O processo é dividido em algumas etapas, sobre as quais abordaremos a seguir.
Registro de informações
- esterilização de mídias: consiste na formatação ou substituição das mídias utilizadas na empresa;
- certificação do uso de ferramentas licenciadas e aptas para o trabalho: o perito detém conhecimento preciso de todos os equipamentos e recursos que a companhia utiliza para realizar suas funções (nada pode ser alterado sem o seu consentimento);
- registro operacional: todos os detalhes do local são previamente registrados por fotografias ou vídeos.
O armazenamento correto de informações é peça-chave para assegurar a veracidade e a integridade das provas. Ele deve ser realizado em uma localidade segura, que só pode ser acessada por profissionais extremamente éticos. Cada acesso às informações deve ser registrado e controlado, de modo a evitar que qualquer dado caia em mãos erradas.
Coleta de dados
A coleta de dados é iniciada somente quando o estado do equipamento é constante — ou seja, se estiver ligado, não poderá ser desligado para que não ocorram modificações nas evidências. Ela consiste basicamente em:
- isolar a área;
- coletar evidências;
- garantir sua integridade;
- identificar equipamentos;
- embalar evidências;
- categorizar e etiquetar evidências;
- cadeia de custódia.
Ata Notarial
A Ata Notarial é um instrumento público pelo qual uma pessoa autorizada no cartório ou tabelião, por solicitação de um indivíduo interessado, constata fielmente fatos, pessoas ou situações, comprovando sua existência ou seu estado.
Em outras palavras, ao coletar os dados, é possível solicitar a Ata Notarial para que o tabelião, em razão da fé pública, confirme a existência das informações obtidas que caracterizam o fato.
Análise ou processo de investigação
Após a extração dos dados e registros presentes no armazenamento dos equipamentos e dispositivos, as informações são duplicadas em outro local para serem preservadas. Inicia-se então o processo de investigação, que consiste em:
- identificar locais, eventos ou pessoas;
- correlacionar locais eventos ou pessoas;
- reconstituir a cena;
- documentar.
Por fim, a perícia forense transforma os resultados obtidos em evidências por meio da redação de um laudo — com anexos de evidências e documentos — que, posteriormente, possibilitará que a empresa acione a justiça para tomar as medidas cabíveis contra o infrator.
Como funciona a preservação de logs?
Uma ferramenta de extrema importância para a segurança da sua empresa, é implementar uma política de preservação de logs. É a melhor forma de tornar o trabalho de um perito forense digital mais eficiente, já que não é incomum que os registros das ocorrências se percam e o profissional não tenha como realizar sua devida função.
Com a preservação das logs torna-se possível analisar os dados e conhecer a sequência real dos fatos para detectar padrões e encontrar o responsável pela ocorrência em questão.
Realizar o rastreamento e armazenamento de toda a movimentação sistêmica exige um trabalho difícil no momento da implementação, já que todos os processos devem ser levantados e os procedimentos para rastreabilidade devem ser desenvolvidos para serem armazenados e atualizados constantemente, com backup diário — e as informações precisam ser facilmente disponibilizadas para a perícia quando solicitadas. Vamos descrever agora as melhores práticas para conseguir realizar essa ação com êxito.
Backups de e-mails, documentos e bancos de dados
As informações geradas pelos funcionários pertencem à corporação e, portanto, precisam passar por processos de backups diários para diminuir os riscos existentes em fraudes e movimentações ilícitas.
Todos os e-mails e todos os documentos de todos os funcionários, bem como as aplicações e os bancos de dados, devem ter um backup diário realizado e armazenado por determinado período — que pode variar, de acordo com o ramo da empresa, questões legislativas ou tributárias.
Monitoramento dos documentos
Para garantir algumas das vulnerabilidades existentes e possíveis fraudes, é crucial que a movimentação dos documentos fique armazenada. Mas, quais são os detalhes dos documentos que precisam estar em repositórios de logs?
- prevenção de alterações em datas e horas, dados de localização e outros dados associados;
- aplicação da capacidade de pesquisa e indexação para localizar conteúdos privados;
- números de cartões de contatos e endereços de e-mail, que não sejam da corporação ou de clientes;
- recuperação e processamento diligente de arquivos compostos, como documentos parados no Rascunho;
- identificação e proteção da autenticidade, juntamente com a detecção de falsificação digital;
- adoção de perspectiva contextual com a captura não apenas de objetos digitais individuais, mas discos inteiros e de uma coleção inteira de mídia pessoal.
Arquivar as movimentações dos documentos empresariais sempre será uma tarefa minuciosa e deve-se ter em mente que essas logs devem ser agrupadas de uma forma inteligente para que qualquer dado seja facilmente encontrado por meio de pesquisas. E, para que esse processo não seja tão traumático, existem boas ferramentas de análise de logs.
Ferramentas de análise de logs
Vários sistemas digitais foram projetados para auxiliar na criação de documentação e dados, rastreamento de evidências, cadeia de custódia e gerenciamento de casos. Vamos citar alguns:
- Rsyslog: software open source que implementa o protocolo syslog, e utiliza o protocolo TCP para transporte de mensagens de logs locais para um servidor remoto numa rede IP — é mais indicado para pequenas empresas, pois não gerencia muito bem o armazenamento dos arquivos em disco;
- Fluentd: outro software de código aberto que centraliza a coleta e o consumo para melhorar o uso e compreensão dos dados — apresenta ótimo desempenho e um plugin flexível;
- LogPacker: oferece solução nas nuvens e standalone, e utiliza agentes e servidores no cluster, permitindo enorme quantidade de servidores na rede que podem ser integrados em diversas plataformas — como funciona em cluster, os dados podem ser agrupados e agregados com uma velocidade incrível.
Terceirização da preservação das logs
O mundo ideal é em que um sistema já nasça com a rastreabilidade implantada, mas é muito raro — ou dispendioso — pensar nessa solução no início de um projeto. A gestão e armazenamento de informação digital é um requisito chave para a pesquisa na ciência forense.
Algumas empresas especializadas em Segurança da Informação oferecem soluções para custódia de logs e correlação de eventos, bem como podem oferecer consultoria para a implementação de sistemas e ferramentas de segurança que melhor se adéquem à sua organização.
Ainda mais, é possível a terceirização parcial ou total da área de segurança da informação de sua empresa, com proteção e suporte 24×7. Como exemplo, as consultorias podem centralizar os logs numa ferramenta de SIEM — Gerenciamento e Correlação de Eventos de Segurança — e usar técnicas de Security Analytics para identificar e responder a possíveis incidentes.
Com todas essas informações, agora você já está por dentro do que é perícia forense, sua importância, seu principal objetivo, a importância de coletar dados, realizar backups e preservar logs. E, claro, como a sua empresa pode ficar segura se você adotar essa solução para o seu negócio.
E aí? Quer saber ainda mais? Então não deixe de ler este outro artigo que explica como sua empresa pode obter um diferencial, ao investir em Cibersegurança. Esperamos que tenha gostado do post!
