Por Mário Antunes (*)

A análise digital forense é uma área da cibersegurança cuja face mais visível é a extração e análise da informação armazenada em dispositivos digitais, com vista à identificação de evidências que comprovem a existência de crimes cibernéticos. Contudo, as técnicas de recuperação de dados usadas na análise digital forense, levadas a cabo pelos órgãos de polícia criminal, são igualmente bem-sucedidas na recuperação de ficheiros removidos (por exemplo, acidentalmente) de dispositivos com capacidade de armazenamento, como discos ou smartphones. Além destes dispositivos, a análise digital forense tem também relevância na extração e análise de tráfego para deteção de comportamentos anómalos e maliciosos numa rede de computadores.

A associação da análise digital forense com a cibersegurança é crucial, tendo em conta o volume de atividades e informações digitais que ocorrem no ciberespaço. O crime tradicional, como o roubo ou o tráfico de droga, passou a utilizar dispositivos eletrónicos, como smartphones e computadores para troca de mensagens. Estes crimes passaram igualmente a consumar-se no ciberespaço, onde os criminosos deixam um lastro digital que é passível de ser analisado por técnicas de análise forense.

Relativamente ao perfil dos técnicos, é necessariamente interdisciplinar, já que combina conhecimentos de diversas áreas, nomeadamente engenharia informática, ciências da computação, direito e criminologia. Os peritos em análise digital forense adquirem normalmente várias certificações específicas e utilizam uma miríade de tecnologias e técnicas de investigação para garantir que as evidências são recolhidas e analisadas seguindo as normas e boas práticas internacionais.

Numa perspetiva de investigação, a análise digital forense comporta quatro etapas principais, ilustradas na Figura 1: preparação, aquisição, análise e apresentação. A preparação consiste na identificação física da origem da prova digital, com vista a eleger a melhor abordagem de análise a utilizar. A aquisição consiste na extração dos dados armazenados no equipamento que está a ser alvo de perícia, seguindo todos os procedimentos que assegurem a preservação da prova digital, como a duplicação dos dados originais para uma cópia. Na fase de análise são investigados todos os dados existentes na duplicação efetuada anteriormente, para a identificação de evidências interessantes para a investigação. Por fim, na fase de apresentação são produzidos os relatórios técnicos, onde estejam presentes a identificação dos equipamentos, os resultados da investigação efetuada e as respetivas conclusões obtidas da análise das provas. O objetivo desta fase é a demonstração probatória dos incidentes que estão em investigação.

imagem artigo de opinião
imagem artigo de opinião

Figura 1 – Principais fases do processo de análise digital forense.

Embora as atividades de análise digital forense estejam intrinsecamente associadas à investigação criminal, são cada vez mais as empresas a incorporarem estes conhecimentos e competências nos seus departamentos de TI. Entre outras tarefas, considero como mais relevantes a recuperação de dados perdidos ou apagados e a investigação de atividade maliciosa que possa ter sido efetuada na infraestrutura de TI (PC, servidores e outros equipamentos) na empresa. Trata-se de uma área onde os desafios são imensos, onde destaco os seguintes: o custo ainda elevado das estações de análise digital forense e das aplicações utilizadas; a complexidade de algumas aplicações e técnicas, o que implica uma atualização constante e multidisciplinar dos técnicos; o elevado tempo de processamento envolvido na extração e análise dos dados, bem como os requisitos de processamento computacional envolvidos.

Para fazer face a estes desafios, destaco os seguintes tópicos emergentes para esta área, quer do ponto de vista operacional, quer de investigação. Em primeiro lugar, a integração de técnicas de inteligência artificial e de aprendizagem computacional estão gradualmente a ser integradas nas aplicações de análise digital forense, com vista a melhorar a eficiência e a precisão dos resultados obtidos. A quantidade crescente dos dados gerados e armazenados digitalmente implica necessariamente a adoção de mecanismos de automatização para reduzir o tempo de extração e análise dos dados. Por fim, a utilização massiva de dispositivos IoT em ciberataques é um desafio emergente para a análise digital forense, não apenas devido ao seu elevado número, mas também devido à sua interação com outros sistemas, nomeadamente alojados na nuvem.

É inquestionável a necessidade de avaliar o risco de exposição da infraestrutura de TI a ciberataques, com vista à adoção de medidas eficientes de cibersegurança. Quando as barreiras de segurança que são implementadas falham e o ciberataque é consumado, a análise digital forense e de recuperação de dados é crucial para perceber o que originou o ciberataque.

(*) professor e co-autor do livro “Introdução à Cibersegurança - A Internet, os Aspetos Legais e a Análise Digital Forense”