Fundamentos da Forense Digital

Cada investigador forense tem o seu método e metodologia de trabalho no decorrer de uma análise forense, não existindo um modelo standard de atuação em cada tipo de investigação, sendo habitualmente orientada pela experiência passada de cada investigador.

Ao longo do tempo, têm surgido diversas metodologias que definem a necessidade de uma sequência de etapas genéricas numa investigação forense, sendo habitualmente definidas por “evidence collection, preservation or examination, analysis”.

Têm sido propostos diversos modelos de investigação, também designados por “Digital Forensics Investigation Frameworks”(Figura 4), sendo estes alguns dos mais populares:

·       DFRWS model - Digital Forensic Research Workshop (Palmer et al. 2001)

·       ADFM - Abstract digital forensics model (Reith et al. 2002)

·       IDIP - Integrated Digital Investigation Process (Carrier et al. 2003)

·       EIDIP - Enhanced Integrated Digital Investigation Process (Baryamureeba & Tushabe 2004)

·       CFFTPM - Computer Forensics Field Triage Process Model (Rogers et al. 2006)

·       SRDFIM - Systematic Digital Forensic Investigation Model (Agarwal et al. 2011)

·       IDFPM - Integrated Digital Forensic Process Model (Kohn et al. 2013)

·       EDRM - Electronic Discovery Reference Model (https://edrm.net, 2014)

 

Figura 4 - Digital Forensics Investigation Frameworks

Fonte: Figura 2 do artigo https://arxiv.org/ftp/arxiv/papers/1708/1708.01730.pdf

 

Em 2001, a investigação decorrente do Digital Research Workshops propôs uma framework composta por 6 etapas, como apresentado na Figura 5.

Figura 5 - DFRWS Framework

Esta é ainda hoje uma das principais metodologias de investigação forense digital, sendo a que iremos seguir. Descreve-se em seguida, cada uma das etapas:

Identification – Quando o investigador necessita de identificar todas as informações relevantes e definir a estratégia para adquirir essa informação. O investigador pode estar a lidar com um dispositivo de armazenamento típico, como um disco rígido, um cartão de memória, ou então pode ser necessário recolher dados digitais a partir de dados de tráfego de rede, dados voláteis como dados de memória, dispositivos móveis ou IoT, ou qualquer outro dispositivo de armazenamento de dados digitais. Nesta fase, a preparação prévia à utilização de técnicas e ferramentas, é extremamente importante para garantir a autenticidade, integridade e não-repúdio de todos os indícios em tribunal.

Preservation – Esta é a etapa que procura envolver tarefas como a criação de uma gestão adequada dos casos e a garantia de uma cadeia de custódia aceitável em tribunal. Esta fase é crucial para garantir que os dados são recolhidos sem qualquer contaminação externa e analisados de forma correta.

Collection – Este passo refere-se à aquisição de provas digitais, e tradicionalmente isso pode ser feito através da clonagem ou imagem forense do dispositivo de armazenamento. É necessário recolher e preservar dados através de técnicas e ferramentas previamente testadas, garantindo a Cadeia de Custódia. A aquisição de dados voláteis ou outros dados relevantes e voláteis, poderia ser decisivo para a fase de investigação, principalmente quando os dados relativos ao armazenamento adquirido são encriptados. Os dados recolhidos nesta fase são os dados de entrada ou a fonte de dados para fase de análise.

Examination – Esta é a fase de pesquisa dos dados pretendidos, envolvendo técnicas de pesquisa, recuperação de dados eliminados, decifra de dados, quebra de palavras-passe, análise de malware, análise de padrões, entre outras. Esta fase está interligada com a fase de análise, já que, por exemplo, após a identificação de documentos será necessário a sua análise, tendo em conta a resposta aos quesitos solicitados.

Analysis – Análise de todos os dados recolhidos. Esta é a fase mais demorada, devido à necessidade de fazer uma pesquisa minuciosa e identificar todos os artefactos relevantes. É comum, na maioria dos casos, que os dados recolhidos provenham sob a forma de dados não estruturados, requerendo ferramentas específicas e análises mais morosas para identificar potenciais dados de evidência digital, onde estão incluídos os dados estruturados, tais como registos, bases de dados, ficheiros de dados, ficheiros de sistema, páginas web e outros.

Presentation – Esta é a última fase do processo de análise forense digital, onde um relatório final com todos os dados relevantes a submeter ao juiz. Este relatório deve ser apresentado em cópia impressa, com todos os artefactos considerados importantes. Em caso de dúvidas sobre as informações presentes no relatório apresentado, é necessário o testemunho do perito no tribunal prestar os respetivos esclarecimentos.