Home 01 - Conceitos 07 - Forense e Antiforense

Video Explicativo

Podcast

A Computação Forense é definida nas fontes como um ramo da Criminalística que utiliza métodos científicos para a aquisição, preservação, recuperação e apresentação de dados processados eletronicamente e armazenados em mídias computacionais. Seu objetivo primordial é coletar e analisar evidências digitais de forma que sejam admissíveis em juízo, permitindo a perseguição da autoria e da materialidade de crimes cibernéticos. Esta disciplina é considerada uma extensão formal da investigação digital, devendo ser conduzida com todo o rigor da lei para que os resultados possam ser apresentados em tribunais.

A prática forense baseia-se em princípios e procedimentos estruturados, tais como:

  • Princípio de Troca de Locard: Adaptado ao mundo digital, dita que um infrator sempre deixará vestígios (lógicos ou físicos) ao interagir com sistemas computacionais.
  • Cadeia de Custódia: É o procedimento indispensável para garantir a integridade, autenticidade e rastreabilidade da prova, registrando cronologicamente todos os passos e pessoas que manipularam a evidência.
  • Fases da Investigação: O processo geralmente compreende as etapas de identificação, isolamento, coleta, preservação, exame, análise e apresentação dos resultados.
  • Tipos de Análise: A perícia pode ser Live (com o sistema em execução, focando em dados voláteis como a memória RAM) ou Post-mortem (com o equipamento desligado, utilizando cópias “bit a bit” para preservar o estado original do disco).

Por outro lado, a Antiforense é descrita como o conjunto de ferramentas, métodos e procedimentos aplicados com o objetivo claro de impedir, dificultar ou subverter a investigação forense. Conceitualmente, ela atua como uma contramedida para comprometer a disponibilidade ou a utilidade das evidências para o perito. As fontes ressaltam que o crime e a defesa andam de mãos dadas: à medida que novas técnicas de perícia surgem, novos métodos criminais são desenvolvidos para se opor a elas.

As principais técnicas antiforense mencionadas incluem:

  • Ocultação de Dados: Inclui a esteganografia (esconder a existência de uma mensagem dentro de outro arquivo) e o uso de fluxos de dados alternativos (ADS) no sistema NTFS para esconder arquivos maliciosos em locais indetectáveis por ferramentas nativas.
  • Criptografia: O uso malicioso da “ciência da escrita em segredo” para tornar os dados ilegíveis para investigadores que não possuam a chave de acesso.
  • Sanitização de Discos (Wipe): Diferente da exclusão simples, esta técnica sobrescreve os dados intencionalmente para torná-los irrecuperáveis por softwares forenses.
  • Manipulação de Metadados: Alteração de carimbos de tempo (MAC Times) de arquivos para confundir a linha do tempo da investigação.
  • Ataques contra Ferramentas Forenses: Exploração de vulnerabilidades nos próprios softwares do perito, como o uso de “Zips da morte” (bombas de compressão que travam o sistema de análise) ou ataques de negação de serviço via expressões regulares (ReDoS).

Em suma, enquanto a Computação Forense busca a verdade dos fatos através dos vestígios digitais, a Antiforense busca a obliteração desses vestígios ou o ataque à credibilidade das ferramentas e do examinador. Para o profissional da área, o conhecimento profundo das técnicas antiforense é tão importante quanto o das técnicas periciais, pois permite identificar quando uma prova foi manipulada ou escondida.

Referências:
Faculdade - Computação Forense
Pos-Grad - Forense em Sistemas Linux