Em 2015, uma rede de corrupção israelense integrada por policiais e promotores como Ruti David foi descoberta enquanto retirava e apresentava acusações falsas contra cidadãos que pagaram ou se recusaram a pagar propina. Quando um policial importante, Ronal Fisher, foi detido, seu telefone celular foi confiscado para pesquisas futuras, o telefone de Fisher foi criptografado e a polícia israelense foi incapaz, por um longo tempo, de descriptografar o conteúdo que prejudicava a investigação e resultou na rápida liberação de documentos corruptos oficiais. É aqui que a computação forense entra em jogo para analisar e recuperar qualquer informação compatível com as evidências.
O objetivo da computação forense é reconstruir eventos em um dispositivo, a fim de coletar evidências ou vestígios deles para apoiar ou negar uma reclamação perante um tribunal. É por isso que a principal tarefa dos agentes forenses de computador é recuperar dados, também excluídos ou criptografados. A diferença entre o software usado por um agente de computação forense e um usuário normal que recupera dados perdidos é o registro de auditoria que documenta o procedimento e os eventos em um formato legalmente aceitável; em alguns casos, os agentes gravam todo o processo em vídeo, mas a tarefa em si está entre o mais fácil, pois quando apagamos informações de um disco rígido, não estamos removendo os dados, mas marcando o setor como livre para armazenar novas informações, até que as novas informações não cheguem ao setor do disco, as informações podem ser restauradas, para evitar isso, devemos limpar nossos dados em vez de apenas removê-los.
A perícia computacional é ainda capaz de recuperar dados não salvos armazenados na memória RAM, por isso existem ferramentas para trabalhar em imagens de dispositivos e em sessões ao vivo, este segundo método é conhecido como Análise ao Vivo e é a primeira etapa quando o dispositivo de pesquisa é ligado.
Métodos mais modernos como Forense estocástico nos permitem saber se houve vazamento de dados identificando timestaps relacionados a uma atividade como copiar um arquivo, algo impossível antes, pois instruções como copiar não deixam rastros no sistema.
Na prática, a análise forense de computadores trata principalmente de recuperar e descriptografar dados, mas também permite detectar elementos comprometedores em um sistema, como malwares, códigos maliciosos ou ataques de hackers contra um dispositivo.
Quando o promotor argentino Alberto Nisman foi assassinado horas antes de ser esperado que apresentasse acusações contra o ex-presidente, agentes forenses de informática encontraram conexões remotas intrusivas em seu computador pessoal, liderando a investigação contra seu assessor de informática.
Kali Linux, a distribuição Linux mais popular para tarefas de segurança vem com as ferramentas mais poderosas e populares para realizar tarefas de computação forense sem a necessidade de conhecimento prévio. Uma vez que Kali pode ser lançado como live cd / usb, é uma ótima opção para explorar essas ferramentas que apresentarei no próximo artigo.
Espero que você tenha achado esta introdução à computação forense útil. Continue seguindo LinuxHint para mais tutoriais e atualizações no Linux.