Computação Forense é a aplicação de um conjunto de técnicas científicas para coletar e analisar informações de um dispositivo ou meio eletrônico
Antes de definir o que é a “Computação Forense” é necessário definir o que é “Ciência Forense”. Embora não seja a única definição, a que recebe maior destaque define “Ciência Forense” como a aplicação de um conjunto de técnicas científicas para tentar desvendar um crime.
A Ciência Forense se aplica à várias áreas, como: Computação, Biologia, Química, Psicologia, Medicina, Documentos, entre diversas outras; na prática, a Ciência Forense nada mais é que a coleta e análise, por peritos especialistas, de vestígios/evidências encontrados em um computador, corpo, documento, cena de um crime, etc.
Portanto “Computação Forense” é a aplicação de um conjunto de técnicas científicas utilizadas para coletar e analisar informações de um equipamento ou meio eletrônico, seja celular, computador, tablet, e-mails, redes sociais, entre outros; bem como informações de logs de acessos, servidores e redes físicas, e wireless.
Não existe formação específica para área de investigações forenses, porém é fácil encontrar informações sobre cursos de pós-graduação em segurança da informação, análise de dados, forense digital ou ainda perícia forense computacional.
Tipos de Peritos
Existem, basicamente, três tipos de peritos: Perito Oficial, Perito Judicial e Perito Particular. Segue uma breve descrição de cada um deles:
Perito Oficial
Perito Oficial é o perito que prestou um concurso, federal ou estadual, e trabalha para alguma força da lei. Os peritos oficiais podem fazer parte da Polícia Federal, ou trabalhar em algum laboratório da Polícia Científica distribuídos entre as cidades e estados.
Perito Judicial
Não existem Peritos Oficiais suficientes para atender a demanda de perícias pendentes, sejam em investigações policiais, sejam em ações cíveis. Para tentar equilibrar a quantidade de Peritos com a quantidade de Perícias os juízes têm que atribuir algumas perícias à Peritos Judiciais. Perito Judicial é o perito que não faz parte de nenhuma força da lei, mas é considerado especialista em sua área de atuação. Existe um cadastro estadual para que esses especialista se cadastrem junto aos tribunais e possam ser nomeados para periciais.
Perito Particular
É direito de qualquer das partes de um processo, realizar e apresentar a perícia e apresentar o seu laudo. Para esse fim, a parte deve contratar um Perito Particular, que como o perito judicial, não deve fazer parte de nenhuma força da lei.
Todos os peritos são responsáveis pelos laudos que apresentam, e podem ser chamados ao tribunal para responder aos questionamentos do juiz e dos representantes legais das partes, podendo até em alguns casos, responder criminalmente.
Principais Processos da Computação Forense
Coleta
O processo de coleta e preservação está entre os mais importantes aspectos da Computação Forense, pois é desse passo que se origina toda a investigação que será feita a procura de evidências digitais para a conclusão de um caso. Os artefatos gerados nessa fase vão desde imagens de celulares, tablets, dispositivos móveis, discos rígidos internos de um equipamento, imagem da memória RAM (caso o equipamento esteja ligado), imagem dos dispositivos externos de armazenamento e/ou comunicação, e até captura do tráfego de rede, entre outros.
Preservação
É essencial para a perícia forense computacional garantir a integridade dos dados que estão sendo coletados. Duplicar, ou fazer a imagem, de discos rígidos, normalmente leva tempo e precisa de uma quantidade muito grande de mídias de armazenamento dado que os discos atuais já ultrapassam a capacidade de Terabytes. Formatos padrão de imagens forenses tem a capacidade de compactar as imagens durante a captura, sem alterar o arquivo original, e para garantir a integridade, durante o processo de captura deve ser calculado o HASH para cada arquivo e ao final o HASH da imagem forense gerada. Esses HASHES devem ser adicionados ao processo para que seja criada a cadeia de custódia, e cada perito ou parte que tiver acesso à essas imagens forenses deve ser incluído no controle da cadeia de custódia.
Dessa forma é possível rastrear todo caminho que o material coletado percorreu, antes de chegar ao final do processo.
Análise
Após a coleta e preservação vem a fase de análise. De posse do material preservado o perito pode fazer suas análise buscando obter informações, evidências ou vestígios de ações através de ferramentas e técnicas que analisam o sistema operacional, sistema de arquivos, históricos de navegação na internet, log de eventos do sistema operacional, etc.; É responsabilidade do perito, garantir que o material não seja alterado durante o exame, sob pena de invalidar a prova e assim afetar o caso.
O perito inicia sua análise tendo como norte quesitos que foram passados pela parte que requisitou a perícia, juntamente com quesitos que o juiz pode ou não adicionar. Quanto mais específicos e claros os quesitos apresentados, mais focada e assertiva será a perícia, pois o perito saberá de antemão por onde começar e o que buscar durante a análise. Quesitos muito genéricos necessitam de um tempo muito maior para que a análise seja feita.
Durante a análise pode-se recuperar dados excluídos ou arquivos apagados, analisar tráfego da rede, programas que estavam em execução ou que eram executados com frequência, encontrar qualquer tipo de evidência para responder aos itens questionados ao perito. Como em outras perícias, na computação forense, apenas é considerado válido, como evidência, artefatos obtidos de forma que se é possível refazer todo o procedimento aplicado pelo perito que encontrou, recuperou ou descobriu o artefato, e chegar ao mesmo resultado. Se não for possível, a partir do material original, coletado e preservado, aplicar a mesma metodologia e chegar ao mesmo artefato, este não é válido como evidência.
Laudo
Após a análise, o perito elaborará um laudo mostrando todas as evidências encontradas, ou se manifestando sobre não ter encontrado nenhuma evidência, e quais métodos e ferramentas foram utilizadas durante (incluindo Sistema Operacional e versões das ferramentas) a análise, para que em caso de contestação, outro perito seja capaz de reproduzir exatamente o método que está descrito no laudo e chegar ao mesmo resultado.