O campo da investigação forense é crescente, especialmente como a aplicação da lei e entidades legais perceber o quão valiosa de tecnologia da informação (TI) são quando se trata de procedimentos de investigação. Com o advento do crime cibernético, o rastreamento de atividades on-line maliciosas tornou-se crucial para proteger os cidadãos privados, bem como preservar as operações on-line em Segurança Pública, Segurança Nacional, Governo e aplicação da lei. O rastreamento de atividades digitais permite que os investigadores conectem comunicações cibernéticas e informações armazenadas digitalmente a evidências físicas de atividades criminosas; a computação forense também permite que os investigadores descubram intenções criminosas premeditadas e podem ajudar na prevenção de futuros crimes cibernéticos. Para aqueles que trabalham no campo, existem cinco etapas críticas na computação forense, todas contribuindo para uma investigação completa e reveladora.
desenvolvimento de políticas e procedimentos
seja relacionado a atividades cibernéticas maliciosas, conspiração criminosa ou a intenção de cometer um crime, as evidências digitais podem ser delicadas e altamente sensíveis. Os profissionais de segurança cibernética entendem o valor dessas informações e respeitam o fato de que elas podem ser facilmente comprometidas se não forem tratadas e protegidas adequadamente. Por esse motivo, é fundamental estabelecer e seguir diretrizes e procedimentos estritos para atividades relacionadas a investigações forenses por computador. Tais procedimentos podem incluir instruções detalhadas sobre quando a computação forense investigadores estão autorizados a recuperar potencial de evidências digitais, como preparar adequadamente para os sistemas de provas de recuperação, onde armazenar qualquer página visitada em evidência, e como documentar essas atividades para ajudar a garantir a autenticidade dos dados.As agências de aplicação da lei estão se tornando cada vez mais dependentes de departamentos de TI designados, que são formados por especialistas experientes em segurança cibernética que determinam protocolos de investigação adequados e desenvolvem programas de treinamento rigorosos para garantir que as melhores práticas sejam seguidas de maneira responsável. Além de estabelecer procedimentos rígidos para processos forenses, as divisões de segurança cibernética também devem estabelecer regras de governança para todas as outras atividades digitais dentro de uma organização. Isso é essencial para proteger a infraestrutura de dados das agências de aplicação da lei, bem como de outras organizações.Uma parte integrante das políticas e procedimentos investigativos para organizações de aplicação da lei que utilizam departamentos forenses de Informática é a codificação de um conjunto de ações explicitamente declaradas sobre o que constitui evidência, onde procurar essas evidências e como lidar com isso uma vez que foi recuperado. Antes de qualquer investigação digital, devem ser tomadas medidas adequadas para determinar os detalhes do caso em questão, bem como para entender todas as ações investigativas permitidas em relação ao caso; isso envolve ler resumos de casos, entender mandados e autorizações e obter quaisquer permissões necessárias antes de prosseguir com o caso.
avaliação de evidências
um componente-chave do processo investigativo envolve a avaliação de evidências potenciais em um crime cibernético. Central para o processamento eficaz de evidências é uma compreensão clara dos detalhes do caso em questão e, portanto, a classificação do crime cibernético em questão. Por exemplo, se uma agência procura provar que um indivíduo cometeu crimes relacionados ao roubo de identidade, os investigadores forenses de computadores usam métodos sofisticados para vasculhar discos rígidos, contas de E-mail, sites de redes sociais e outros arquivos digitais para recuperar e avaliar qualquer informação que possa servir como evidência viável do crime. Isso é, é claro, verdadeiro para outros crimes, como se envolver em comportamento criminoso online, como postar produtos falsos no eBay ou Craigslist destinados a atrair vítimas para o compartilhamento de informações de cartão de crédito. Antes de conduzir uma investigação, o investigador deve definir os tipos de evidências buscadas (incluindo plataformas específicas e formatos de dados) e ter uma compreensão clara de como preservar os dados pertinentes. O investigador deve então determinar a fonte e a integridade de tais dados antes de inseri-los em evidências.
aquisição de evidências
talvez a faceta mais crítica da investigação forense de computador bem-sucedida seja um plano rigoroso e detalhado para adquirir evidências. É necessária uma documentação extensa antes, durante e após o processo de aquisição; informações detalhadas devem ser registradas e preservadas, incluindo todas as especificações de hardware e software, quaisquer sistemas usados no processo de investigação e os sistemas que estão sendo investigados. Esta etapa é onde as políticas relacionadas à preservação da integridade de evidências potenciais são mais aplicáveis. As diretrizes gerais para preservar evidências incluem a remoção física de dispositivos de armazenamento, o uso de discos de inicialização controlados para recuperar dados confidenciais e garantir a funcionalidade, e tomar as medidas apropriadas para copiar e transferir evidências para o sistema do investigador.
a aquisição de evidências deve ser realizada de maneira deliberada e legal. Ser capaz de documentar e autenticar a cadeia de evidências é crucial na busca de um caso judicial, e isso é especialmente verdadeiro para a computação forense, dada a complexidade da maioria dos casos de segurança cibernética.
exame de evidências
para investigar efetivamente evidências potenciais, os procedimentos devem estar em vigor para recuperar, copiar e armazenar evidências em bancos de dados apropriados. Os investigadores normalmente examinam dados de arquivos designados, usando uma variedade de métodos e abordagens para analisar informações; isso pode incluir a utilização de software de análise para pesquisar arquivos massivos de dados para palavras-chave ou tipos de arquivos específicos, bem como procedimentos para recuperar arquivos que foram excluídos recentemente. Os dados marcados com horários e datas são particularmente úteis para os investigadores, assim como arquivos suspeitos ou programas que foram criptografados ou intencionalmente ocultos.Analisar nomes de arquivos também é útil, pois pode ajudar a determinar quando e onde dados específicos foram criados, baixados ou carregados e pode ajudar os investigadores a conectar arquivos em dispositivos de armazenamento a transferências de dados on-line (como armazenamento baseado em nuvem, e-mail ou outras comunicações da Internet). Isso também pode funcionar na ordem inversa, pois os nomes dos arquivos geralmente indicam o diretório que os abriga. Arquivos localizados on-line ou em outros sistemas geralmente apontam para o servidor e o computador específicos a partir dos quais foram carregados, fornecendo aos investigadores pistas sobre onde o sistema está localizado; combinar nomes de arquivos on-line com um diretório no disco rígido de um suspeito é uma maneira de verificar evidências digitais. Nesta fase, os investigadores forenses de computador trabalham em estreita colaboração com investigadores criminais, advogados e outros funcionários qualificados para garantir uma compreensão completa das nuances do caso, ações investigativas Permitidas e quais tipos de informações podem servir como evidência.Além de documentar totalmente informações relacionadas a especificações de hardware e software, os investigadores forenses de computador devem manter um registro preciso de todas as atividades relacionadas à investigação, incluindo todos os métodos usados para testar a funcionalidade do sistema e recuperar, copiar e armazenar dados, bem como todas as ações tomadas para adquirir, examinar e avaliar evidências. Isso não apenas demonstra como a integridade dos dados do usuário foi preservada, mas também garante que políticas e procedimentos adequados tenham sido cumpridos por todas as partes. Como o objetivo de todo o processo é adquirir dados que possam ser apresentados como evidências em um tribunal, a falha de um investigador em documentar com precisão seu processo pode comprometer a validade dessa evidência e, finalmente, o próprio caso.
para investigadores forenses de computador, todas as ações relacionadas a um caso particular devem ser contabilizadas em um formato digital e salvas em arquivos devidamente designados. Isso ajuda a garantir a autenticidade de quaisquer descobertas, permitindo que esses especialistas em segurança cibernética mostrem exatamente quando, onde e como as evidências foram recuperadas. Ele também permite que os especialistas confirmem a validade das evidências, combinando a documentação gravada digitalmente do investigador com as datas e horários em que esses dados foram acessados por possíveis suspeitos por meio de fontes externas.Agora, mais do que nunca, os especialistas em segurança cibernética neste papel crítico estão ajudando agências governamentais e policiais, corporações e entidades privadas a melhorar sua capacidade de investigar vários tipos de atividades criminosas on-line e enfrentar uma crescente variedade de ameaças cibernéticas. Os profissionais de TI que lideram investigações forenses por computador têm a tarefa de determinar necessidades específicas de segurança cibernética e alocar efetivamente recursos para lidar com ameaças cibernéticas e perseguir os perpetradores do mesmo. Um mestrado em segurança cibernética tem inúmeras aplicações práticas que podem dotar os profissionais de TI de uma forte compreensão da computação forense e práticas para manter a cadeia de custódia enquanto documenta evidências digitais. Indivíduos com talento e educação para gerenciar com sucesso investigações forenses por computador podem se encontrar em uma posição altamente vantajosa dentro de um campo de carreira dinâmico.
Saiba mais
como a mais antiga faculdade militar privada do país, a Norwich University é líder em educação inovadora desde 1819. Através de seus programas on-line, Norwich oferece currículos relevantes e aplicáveis que permitem que seus alunos tenham um impacto positivo em seus locais de trabalho e em suas comunidades.Na Norwich University, estendemos uma tradição de educação baseada em valores, onde estudos estruturados, disciplinados e rigorosos criam uma experiência desafiadora e gratificante. Programas on-line, como o Mestrado em segurança cibernética, disponibilizaram nosso currículo abrangente para mais alunos do que nunca.A Norwich University foi designada como um centro de excelência acadêmica em Educação de Defesa Cibernética pela Agência de segurança nacional e pelo Departamento de Segurança Interna. Por meio de seu programa, você pode escolher entre cinco concentrações projetadas exclusivamente para fornecer um exame aprofundado das políticas, procedimentos e estrutura geral de um programa de garantia de informações.
Leituras Recomendadas:
Roubo de Identidade nos Estados Unidos
5 Significativas Violações de Dados de 2017 & Como Aconteceu
Deep Web Crime Requer Novas Forense Abordagens