Forense Digital
Fundamentos de Forense Digital
O que é?
Forense digital é a ciência de identificar, preservar, analisar e apresentar provas digitais de forma admissível legalmente. Aplica metodologia científica à investigação de incidentes.
Porque é importante?
Após um incidente, é crucial entender o que aconteceu, como, quando e por quem. Provas digitais podem ser usadas em processos legais ou simplesmente para prevenir futuros ataques.
Como funciona?
1. Identificação de fontes de evidência. 2. Preservação com cadeia de custódia. 3. Aquisição de cópias forenses. 4. Análise com ferramentas especializadas. 5. Documentação e apresentação.
Exemplo do dia a dia
É como a investigação de uma cena de crime. A polícia não mexe em nada até fotografar, recolhe provas em sacos selados, documenta tudo e analisa em laboratório.
Caso real
Na investigação do hack à Sony Pictures (2014), forenses digitais recuperaram logs, malware e artefactos que ajudaram a atribuir o ataque à Coreia do Norte.
Erros comuns
- Não preservar provas antes de investigar
- Trabalhar em sistemas originais em vez de cópias
- Não documentar a cadeia de custódia
- Contaminar provas com ações do investigador
Como te proteger
- Ter plano de resposta que inclui forense
- Formar equipa em procedimentos básicos
- Usar write blockers para aquisição
- Documentar cada ação meticulosamente
Mini atividade prática
analiseCrie uma Timeline
Imagine que um laptop foi comprometido. Liste todas as fontes de evidência que verificaria (filesystem, logs, memória, rede) e a ordem em que as adquiriria. Porquê essa ordem?
Sabias que...?
Um disco rígido pode reter dados mesmo após formatação. Técnicas forenses conseguem recuperar ficheiros "apagados" se não foram sobrescritos.