Computação Forense
Conheça as técnicas utilizadas para rastrear invasores
Este artigo, o primeiro de uma série, fará uma introdução sobre um assunto extremamente interessante e delicado dentro da área de segurança da informação. Trata-se da Computação Forense. A análise de sistemas comprometidos por intrusos ou a busca por provas digitais, que incriminem um determinado indivíduo por alguma atividade ilegal, tais como pornografia infantil e roubo de informações confidenciais de uma empresa, são tarefas comuns de um especialista em análise forense.
A computação forense está relacionada ao trabalho de investigação, em sistemas e/ou redes de computadores, em busca de evidências criminais que possam ser levadas a um tribunal ou que permitam reconstruir toda a seqüência de eventos de um ato criminoso, usando computador. Isto permite, entre outras coisas, que falhas de segurança sejam corrigidas e atacantes identificados.
Um perito em computação forense deve fazer um trabalho semelhante ao que é feito por policiais. A “cena do crime” deve ser preservada para a recuperação das pistas deixadas pelo criminoso, evitando laudos incorretos e a destruição de provas vitais. Em computação, isto é equivalente a dizer que a integridade das informações deve ser preservada. De fato, em diversos lugares do mundo, a polícia conta com subdivisões especializadas em computação forense. Um bom exemplo disto é o FBI, com o seu NIPC (National Infrastructure Protecion Center).
O trabalho investigativo deve ser feito com extremo cuidado para evitar que eventuais provas sejam destruídas acidentalmente, durante análise. Uma prática bastante utilizada, como será visto, é fazer uma cópia bit a bit do objeto a ser investigado (disquete, disco rígido, logs do sistema, etc.), montar a imagem resultante em um sistema perfeitamente controlado pelo investigador e usar as ferramentas de análise forense mais adequadas.
Uma analogia também pode ser feita com o trabalho de um médico legista. Uma