Forense Digital é uma área que envolve a ciência da computação como um todo. “Não se tem descanso nenhum dia, a cada atualização, novos artefatos gerados e precisa entender tudo de novo para ter algum insight do que está sendo analisado”, sinaliza.
Ela é voltada para aplicação de métodos e técnicas científicas com o fim de se obter, preservar e documentar evidências digitais, extraídas a partir de dispositivos eletrônicos digitais.
A nuance do trabalho de um perito é tentar entender o que está por trás, os bastidores do mundo digital. A rotina costumeira de um perito, consiste, em por exemplo, receber um disco de informação e fazer um trabalho de duplicação pericial, visando preservar a informação, para extrair a informação integralmente. “Ela é bem diferente das duplicações feitas por programas voltados pra isso, que geralmente ignoram a parte não usada do disco, mas ali para a perícia é importante, pois é onde pode ter informações apagadas”, explica Albernaz.
Depois da duplicação vem etapas mais delicadas, que demanda muita expertise, que é a extração e a análise de dados. “Aqui é importante o fato de estar atualizado, sempre. Por exemplo, o Windows agora traz uma timeline, o que ajuda a vida do perito”. Por fim, a etapa final é entregar o relatório sobre o achado, e mesmo que seja uma análise digital, ainda a maior parte dos processos judiciais exige que seja impresso.
Dentre os segmentos, existe a tradicional, a computacional, que tem bastante foco em discos. A forense live analisa artefatos em memória, como ransomware e outros malwares; forense em rede, focada em tráfego de dados; forense em banco de dados, e a mobile, uma das áreas que junto com a live está em pleno vapor.
Dentro da computação forense, há equipamentos e ferramentas específicas para ajudar na compactação de arquivos, e análises. As principais ferramentas com que se lida na computação forense trabalham no nível lógico.
Albernaz ainda citou alguns exemplos de casos para dar insights no tratamento. No caso de um pai que pediu para recuperar as fotos de um celular do filho adolescente que tinha morrido. O celular era um Android e tinha uma senha complexa. Para acessar o celular bloqueado, Rodrigo aproveitou que o celular se apresentava como um modem ao conectá-lo num computador e enviou um comando via modem para o Broadband Processor (BP) que ele descobriu ao listar as strings presentes no firmware do aparelho (baixado da internet). Sucesso!
Outro caso foi busca por similaridade em arquivos. Hoje, a maioria das buscas são feitas por hash, mas isso não é muito eficiente. Pequenas mudanças são imperceptíveis neste tipo de busca. Uma das formas de lidar com essa dificuldade, é fazer hashes parciais, conceito de janelamento de hash. Para arquivos não compactados, ainda melhor que o janelamento é o fuzzy hash. No entanto, para arquivos comprimidos, nada disso funciona.
“Hoje essas dificuldades estão sendo atacadas e resolvidas com machine learning, mas ainda é muito incipiente”, destaca Albernaz. "No caso de arquivos comprimidos, há outras técnicas, como a Normalized Compression Distance (NCD)", completa.
Sua paixão por sistema de arquivos o levou a resolver um terceiro caso, onde ferramentas de carving não se mostraram muito eficientes.
Rodrigo explicou que carving normalmente depende dos números mágicos, e de algum jeito pra encontrar o fim do arquivo, mas se o cabeçalho estiver corrompido ou tiver sido substituído por outros bytes, carving não ajuda muito. Aí que entra filesystem recovery.
Ele fez ainda uma demo ao vivo de uma forense a partir de uma imagem de disco, mostrando como listar os blocos (ext4) que um arquivo excluído ocupa.
Para acompanhar mais sobre o tema, ou quiser conhecer melhor essas técnicas, vale acompanhar o trabalho do Rodrigo nas redes. ☺️