Análise Forense
Costuma definir-se análise forense, na sua acepção mais ampla, como a “ciência aplicada a questões de interesse legal”. No contexto das T.I. e da Segurança da Informação, define-se como “a inspecção sistemática e tecnológica de um sistema informático e dos seus conteúdos para a obtenção de evidências de um crime ou qualquer outro uso que seja investigado”.
A análise forense é uma peça chave nos processos de resposta a incidentes de segurança e serve para estabelecer dados como o “quê”, “quem”, “quando”, “como” e, em alguns casos, o “porquê” de um incidente.
Nesta primeira parte do artigo vamos tratar da obtenção da evidência. Na segunda parte do artigo trataremos da análise da evidência, da demonstração da autenticidade da evidência e do método científico. Na terceira e última parte do artigo examinaremos as limitações da prática forense em ambientes corporativos complexos.
Obtenção da evidência
Nota: preferimos, no contexto informático, a utilização da palavra "evidência" a "amostra", mais adequada noutras áreas.
A obtenção da prova electrónica deve fazer-se sempre de modo a que o impacto no sistema examinado ou a modificação no seu estado seja o mínimo possível.
Num ambiente como o informático, em que o estado (conteúdo de registos, memória, estado do processador, etc.) dos sistemas muda continuamente, isto é difícil, se não mesmo impossível, de cumprir na prática.
Sempre que existe uma interacção (por leve e cuidadosa que seja) do investigador ou das suas ferramentas com o sistema examinado, produz-se uma alteração deste último.
Na prática forense moderna, considera-se que certos tipos de evidência são mais úteis ou importantes que outros e aceita-se a modificação do estado da evidência sempre que esta alteração seja conhecida e previsível.
Para isso é importante conhecer as ferramentas
...