## O que é Forense Digital? **Forense Digital** é a aplicação de métodos científicos para coleta, preservação, análise e apresentação de evidências digitais de forma legalmente admissível. É a disciplina que investiga incidentes de segurança, crimes cibernéticos e violações de dados através da análise de dispositivos eletrônicos, sistemas computacionais e dados digitais, mantendo a integridade probatória das evidências. ## Princípios Fundamentais ### 1. Preservação da Evidência - **Chain of Custody**: Manter cadeia de custódia ininterrupta - **Integridade**: Garantir que evidências não sejam alteradas - **Autenticidade**: Comprovar origem e veracidade dos dados - **Completude**: Coletar evidências de forma abrangente ### 2. Metodologia Científica - **Reprodutibilidade**: Procedimentos devem ser replicáveis - **Documentação**: Registrar todas as ações realizadas - **Verificação**: Validar achados através de múltiplas fontes - **Objetividade**: Manter imparcialidade na análise ### 3. Conformidade Legal - **Admissibilidade**: Evidências devem ser legalmente válidas - **Proporcionalidade**: Métodos apropriados ao caso - **Privacidade**: Respeitar direitos e proteção de dados - **Jurisdição**: Considerar leis locais e internacionais ## Tipos de Forense Digital ### 1. Forense de Computador - Análise de discos rígidos e SSDs - [[File Carving|Recuperação de arquivos deletados]] - Investigação de sistemas operacionais - Análise de logs do sistema ### 2. Forense de Rede - Análise de tráfego de rede capturado - Investigação de comunicações maliciosas - Reconstrução de sessões de rede - Análise de protocolos e payloads ### 3. Forense de Memória - [[Análise de Memória RAM|Análise de dump de memória RAM]] - Identificação de malware em execução - Recuperação de senhas e chaves de criptografia - Análise de processos e conexões ativas ### 4. Forense Mobile - Extração de dados de smartphones e tablets - Análise de aplicativos móveis - Recuperação de mensagens e mídias - Investigação de localização GPS ### 5. Forense Cloud - Análise de logs de serviços cloud (AWS, Azure, GCP) - Investigação de containers e VMs - Análise de APIs e acessos - Forense de dados distribuídos ## Metodologias de Investigação ### NIST Cybersecurity Framework 1. **Identify** - Identificar escopo e recursos 2. **Protect** - Proteger evidências de alteração 3. **Detect** - Detectar artefatos relevantes 4. **Respond** - Responder com coleta e análise 5. **Recover** - Recuperar dados e reconstruir eventos ### Processo ACPO 1. **Preparation** - Preparação da investigação 2. **Identification** - Identificação de evidências 3. **Preservation** - Preservação e isolamento 4. **Collection** - Coleta forense adequada 5. **Examination** - Exame técnico detalhado 6. **Analysis** - Análise e correlação 7. **Presentation** - Apresentação de resultados ### RFC 3227 - Guidelines for Evidence Collection - **Ordem de Volatilidade**: Coletar dados mais voláteis primeiro - **Minimizar Impacto**: Evitar alterações no sistema - **Documentar Tudo**: Registrar cada ação executada - **Hash Verification**: Verificar integridade com hashes ## Ferramentas Essenciais ### Distribuições Forenses - **CAINE**: Computer Aided Investigative Environment - **DEFT**: Digital Evidence & Forensics Toolkit - **Kali Linux**: Distribuição com ferramentas forenses - **SIFT Workstation**: SANS Investigative Forensics Toolkit ### Imaging e Aquisição - **dd**: Cópia bit-a-bit de dispositivos - **dc3dd**: Versão melhorada do dd com verificação - **FTK Imager**: Ferramenta comercial de imaging - **Guymager**: Interface gráfica para aquisição forense ### Análise de Disco - **Autopsy**: Plataforma open source de análise forense - **TSK (The Sleuth Kit)**: Ferramentas de linha de comando - **EnCase**: Solução comercial líder de mercado - **X-Ways Forensics**: Ferramenta comercial avançada ### Análise de Memória - **Volatility**: Framework para análise de memória - **Rekall**: Análise avançada de memória - **LiME**: Linux Memory Extractor - **Dumpit**: Aquisição rápida de memória Windows ### Análise de Rede - **Wireshark**: Análise de protocolo de rede - **NetworkMiner**: Análise forense de rede - **TCPDump**: Captura de pacotes em linha de comando - **Nfcapd**: Coleta e análise de NetFlow ### Recovery e Carving - **PhotoRec**: Recuperação de arquivos por assinatura - **Scalpel**: File carving baseado em headers - **Foremost**: Recuperação de arquivos deletados - **Bulk Extractor**: Extração em massa de informações ## Técnicas de Análise ### 1. Timeline Analysis ```bash # Criar timeline usando Sleuth Kit fls -r -m / /dev/sda1 > timeline.txt mactime -b timeline.txt > timeline_readable.txt # Análise de logs com timestamp grep "2024-06-01" /var/log/auth.log | sort ``` ### 2. File Signature Analysis ```bash # Verificar assinatura real do arquivo file suspicious_file.exe hexdump -C suspicious_file.exe | head # Buscar por magic numbers grep -a "MZ" /dev/sda1 # Executáveis Windows grep -a "ELF" /dev/sda1 # Executáveis Linux ``` ### 3. Hash Analysis ```bash # Calcular hashes para verificação de integridade md5sum evidence.img > evidence.md5 sha256sum evidence.img > evidence.sha256 # Verificar integridade md5sum -c evidence.md5 sha256sum -c evidence.sha256 ``` ### 4. Log Analysis ```bash # Análise de logs de sistema Linux grep -i "failed" /var/log/auth.log grep -i "sudo" /var/log/secure journalctl --since "2024-06-01" --until "2024-06-02" # Análise de logs AWS CloudTrail aws logs filter-log-events --log-group-name CloudTrail/APIGateway ``` ### 5. Network Artifact Analysis ```bash # Análise de conexões ativas netstat -antp ss -tulpn # Análise de cache ARP arp -a ip neighbor show ``` ## Análise Forense em Ambientes Cloud ### AWS Forensics #### CloudTrail Analysis ```bash # Buscar eventos de login suspeitos aws logs filter-log-events \ --log-group-name CloudTrail \ --filter-pattern '{ $.eventName = "ConsoleLogin" && $.sourceIPAddress != "192.168.*" }' # Analisar criação de usuários aws logs filter-log-events \ --log-group-name CloudTrail \ --filter-pattern '{ $.eventName = "CreateUser" }' ``` #### VPC Flow Logs ```bash # Analisar tráfego suspeito aws logs filter-log-events \ --log-group-name VPCFlowLogs \ --filter-pattern '[timestamp, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT"]' ``` #### EC2 Instance Analysis ```bash # Criar snapshot forense da instância aws ec2 create-snapshot --volume-id vol-1234567890abcdef0 \ --description "Forensic snapshot - Incident IR-2024-001" # Criar AMI forense aws ec2 create-image --instance-id i-1234567890abcdef0 \ --name "Forensic-Image-$(date +%Y%m%d)" --no-reboot ``` ## Artefatos Forenses Importantes ### Sistema Linux - **/var/log/auth.log**: Logs de autenticação - **/var/log/syslog**: Logs gerais do sistema - **/home/user/.bash_history**: Histórico de comandos - **/etc/passwd** e **/etc/shadow**: Informações de usuários - **/var/log/apache2/access.log**: Logs de acesso web - **/tmp** e **/var/tmp**: Arquivos temporários suspeitos ### Sistema Windows - **Windows Event Logs**: Security, System, Application - **Registry Hives**: SYSTEM, SOFTWARE, SAM, SECURITY - **Prefetch Files**: Evidência de execução de programas - **LNK Files**: Arquivos de atalho com metadados - **Browser Artifacts**: Histórico, cookies, downloads - **MFT (Master File Table)**: Metadados do sistema de arquivos ### Artefatos de Rede - **DHCP Logs**: Atribuição de IPs - **DNS Logs**: Consultas e resoluções - **Firewall Logs**: Tráfego permitido/bloqueado - **Proxy Logs**: Navegação web - **Email Headers**: Metadados de comunicação - **Certificate Logs**: Uso de certificados SSL/TLS ## Procedimentos de Coleta ### 1. Preparação ```bash # Preparar mídia forense dd if=/dev/zero of=/dev/sdb bs=1M count=1000 fdisk /dev/sdb # Criar partição mkfs.ext4 /dev/sdb1 ``` ### 2. Aquisição de Disco ```bash # Aquisição forense com verificação dc3dd if=/dev/sda of=evidence.img hash=md5 hash=sha256 log=acquisition.log # Aquisição com compressão dc3dd if=/dev/sda | gzip > evidence.img.gz ``` ### 3. Aquisição de Memória ```bash # Linux Memory Acquisition sudo ./lime-$(uname -r).ko "path=memory.lime format=lime" # Usando dd para memória sudo dd if=/dev/mem of=memory.dump bs=1M ``` ### 4. Verificação de Integridade ```bash # Verificar hashes após aquisição md5sum evidence.img sha256sum evidence.img # Comparar com hashes originais echo "hash_original evidence.img" | md5sum -c ``` ## Aspectos Legais e Compliance ### Requisitos Legais - **Autorização Judicial**: Mandados de busca quando necessário - **LGPD/GDPR**: Conformidade com proteção de dados - **Chain of Custody**: Documentação completa da cadeia de custódia - **Retention Policy**: Políticas de retenção de evidências ### Documentação Essencial - **Incident Report**: Relatório detalhado do incidente - **Evidence Log**: Log de todas as evidências coletadas - **Procedure Documentation**: Documentação de todos os procedimentos - **Analysis Report**: Relatório técnico da análise - **Executive Summary**: Resumo executivo para gestão ### Apresentação de Evidências - **Technical Report**: Relatório técnico detalhado - **Visual Evidence**: Screenshots e diagramas - **Timeline Reconstruction**: Reconstrução cronológica dos eventos - **Expert Testimony**: Testemunho especializado quando necessário ## Desafios na Forense Digital ### Técnicos - **Criptografia**: Dados criptografados dificultam análise - **Anti-Forensics**: Técnicas para ocultar evidências - **Volume de Dados**: Big Data e análise em escala - **Volatilidade**: Dados voláteis podem ser perdidos - **Cloud Forensics**: Evidências distribuídas geograficamente ### Legais - **Jurisdição**: Leis diferentes em países distintos - **Privacy Laws**: Regulamentações de privacidade - **Admissibility**: Padrões de admissibilidade legal - **Cross-Border**: Cooperação internacional necessária ### Organizacionais - **Skills Gap**: Falta de profissionais qualificados - **Tool Costs**: Ferramentas comerciais caras - **Time Constraints**: Pressão por resultados rápidos - **Resource Allocation**: Recursos limitados para investigação ## Melhores Práticas ### Durante a Investigação - **Imutabilidade**: Nunca alterar evidências originais - **Documentação**: Registrar cada ação executada - **Verification**: Verificar integridade constantemente - **Backup**: Manter múltiplas cópias das evidências - **Isolation**: Isolar sistemas comprometidos ### Análise Técnica - **Multiple Tools**: Usar diferentes ferramentas para validação - **Correlation**: Correlacionar evidências de múltiplas fontes - **Hypothesis Testing**: Testar hipóteses sistematicamente - **Peer Review**: Revisão por outros especialistas - **Continuous Learning**: Atualização constante de conhecimentos ### Aspectos Organizacionais - **Incident Response Plan**: Plano de resposta a incidentes - **Forensic Readiness**: Preparação prévia para investigações - **Training**: Treinamento regular da equipe - **Tool Maintenance**: Manutenção e atualização de ferramentas - **Legal Consultation**: Consultoria jurídica quando necessário ## Conclusão A Forense Digital é uma disciplina crítica na segurança cibernética moderna, combinando conhecimento técnico profundo, rigor científico e conformidade legal. O sucesso de uma investigação forense depende da preservação adequada de evidências, uso de metodologias científicas comprovadas e documentação meticulosa de todos os procedimentos. A evolução constante da tecnologia, especialmente em ambientes cloud e mobile, exige atualização contínua de conhecimentos e ferramentas. Profissionais de forense digital devem manter-se atualizados com as últimas técnicas de investigação, regulamentações legais e ferramentas disponíveis para conduzir investigações eficazes e legalmente válidas.