Home  >  Carreira

Forense digital: por que você deve considerar essa promissora carreira

Entenda as principais técnicas, tendências e como se certificar para ser um profissional da área

Josh Fruhlinger | CSO (EUA), com redação Computerworld Brasil

27/01/2019 às 10h33

Foto: Shutterstock

A análise forense digital, às vezes chamada de computação forense, é a aplicação de técnicas de investigação científica a crimes e ataques digitais. É um aspecto crucial do direito e dos negócios na era da Internet e pode ser uma carreira recompensadora e lucrativa.

Jason Jordaan, principal cientista forense da DFIRLABS, da África do Sul, define análise forense digital como "a identificação, preservação, exame e análise de evidências digitais, usando processos cientificamente aceitos e validados, e a apresentação final dessa evidência em um tribunal para responder a algumas exigências legais".

Essa é uma ótima definição, embora haja uma ressalva: o termo às vezes é usado para descrever qualquer tipo de investigação de ataques cibernéticos, mesmo que a aplicação da lei ou o sistema judiciário não estejam envolvidos.

Especialistas em análise forense digital trabalham nos setores público e privado. O Champlain College, nos EUA, que tem seu próprio programa forense digital, tem uma descrição mais generalizada: "Profissionais forenses digitais são chamados a entrar em ação assim que uma violação ocorre e trabalham para identificar o hack, entender a fonte e recuperar os dados comprometidos."

História

A aplicação da lei foi um pouco lenta para entender a necessidade de aplicar técnicas forenses a computadores e equipamentos de alta tecnologia. Em sua maior parte, nos anos 1970 e 1980, os primeiros pioneiros forenses digitais eram pessoas que trabalhavam na polícia ou em agências policiais federais e que também mexiam em computadores como hobby. Uma das primeiras áreas que chamou a atenção da polícia foi o armazenamento de dados, uma vez que os investigadores trabalharam durante muito tempo para apreender, reter e analisar documentos de suspeitos - começaram a perceber que grande parte dessa documentação não estava mais comprometida com o papel. Em 1984, o FBI lançou o Magnet Media Program para se concentrar nesses registros digitais, o primeiro programa forense digital oficial em uma agência policial.

Enquanto isso, muitas das técnicas usadas para rastrear e identificar hackers quando se intrometiam em sistemas de computadores foram desenvolvidas no setor privado. Um momento importante foi em 1986, quando Cliff Stoll, administrador de sistemas do Lawrence Berkeley National Laboratory, tentou descobrir uma discrepância de US$ 0,75 em um registro contábil e acabou rastreando um hacker alemão que estava invadindo sistemas sensíveis e vendendo dados para o KGB, Comitê de Segurança do Estado - serviço secreto da antiga União das Repúblicas Socialistas Soviéticas (URSS), então inimiga dos EUA. Ao longo das pesquisa, Stoll criou o que provavelmente foi a primeira armadilha do honeypot ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor.

Grande parte da especialização e profissionalização da perícia digital nos anos 90 e 00 surgiu em reação a duas realidades desagradáveis: a disseminação da pornografia infantil on-line, que levou à tomada de enormes volumes de evidências digitais; e as guerras no Afeganistão e no Iraque, nas quais as tropas norte-americanas frequentemente acabavam capturando laptops e telefones de insurgentes inimigos e precisavam extrair informações úteis deles. Outro marco foi em 2006, quando as Regras do Processo Civil dos Estados Unidos foram revisadas para implementar um regime obrigatório de descoberta eletrônica.

Como a perícia digital é usada em investigações

Existem vários modelos de processos para análise forense digital, que definem como os examinadores forenses devem proceder em sua busca para coletar e entender as evidências. Embora estes possam variar, a maioria dos processos segue quatro etapas básicas:

Coleção, na qual a evidência digital é adquirida. Isso geralmente envolve a apreensão de ativos físicos, como computadores, telefones ou discos rígidos; É preciso ter cuidado para garantir que nenhum dado seja danificado ou perdido. A mídia de armazenamento pode ser copiada ou gravada nesta etapa para manter o original em um estado original como referência.

Exame, no qual vários métodos são usados ​​para identificar e extrair dados. Esta etapa pode ser dividida em preparação, extração e identificação. Decisões importantes a serem tomadas neste estágio são: lidar com um sistema que esteja ativo (por exemplo, ligar um laptop apreendido) ou morto (por exemplo, conectar um disco rígido apreendido a um computador de laboratório). Identificação significa determinar se os dados individuais são relevantes para o caso em questão - particularmente quando os mandados estão envolvidos, os examinadores da informação podem aprender podem ser limitados.

Análise, na qual os dados coletados são usados ​​para provar (ou desmentir!) o caso que está sendo construído pelos examinadores. Para cada item de dados relevante, os examinadores responderão às perguntas básicas sobre ele - quem o criou? quem editou? como foi criado? quando tudo isso aconteceu? - e tentar determinar como isso se relaciona com o caso.

Reportar, na qual os dados e análises são sintetizados em um formato que pode ser entendido pelos leigos. Ser capaz de criar tais relatórios é uma habilidade absolutamente crucial para qualquer pessoa interessada em análise forense digital.

Ferramentas forenses digitais

Qualquer profissional forense digital terá uma grande variedade de ferramentas em seu kit. Em uma extremidade do espectro, você tem ferramentas de código aberto de finalidade única, como o sniffer de pacotes Wireshark ou o HashKeeper, um programa gratuito que pode acelerar o exame de arquivos de banco de dados. No outro extremo, você tem poderosas plataformas de software comercial com múltiplas funções e capacidades de relatórios inteligentes, como o Encase, ou o CAINE, uma distribuição Linux inteira dedicada ao trabalho forense.

Programas de graduação forense digital e certificações

Tradicionalmente, os profissionais forenses digitais vinham de uma formação mais geral em ciência da computação, e frequentemente eram administradores de sistemas experientes que já estavam confortáveis ​​com muitas das ferramentas básicas usadas na análise forense digital. No entanto, em consonância com a especialização crescente dentro da indústria, algumas escolas agora oferecem graus ou concentrações específicas para forense digital.

No Brasil, algumas opções de cursos são a Academia de Forense Digital, 4Linux, LegalTech e Daryus.

Trabalhos na área

Os trabalhos em análise forense digital tendem a ter títulos como "investigador", "técnico" ou "analista", dependendo de seu nível de antiguidade e especialização. A maioria dos empregos no campo forense digital está no setor público - na aplicação da lei, em agências estaduais ou nacionais, ou em laboratórios criminais, embora o último possa ser privado e contratar agências públicas.

No entanto, com os laboratórios públicos de cibercrime sobrecarregados - e menos ágeis do que poderiam ser devido à burocracia - as grandes empresas estão começando a administrar seus próprios laboratórios, criando outro caminho lucrativo para os profissionais forenses digitais. A partir de 2017, havia seis laboratórios forenses digitais credenciados pela Sociedade Americana de Diretores de Laboratórios Criminais em empresas privadas, incluindo Target, Walmart e American Express.

Que tipo de salário um profissional forense digital pode esperar? De acordo com a PayScale, o analista de computação forense médio ganha cerca de US$ 70 mil por ano nos EUA (cerca de R$ 280 mil, ou R$ 23 mil por mês), embora haja uma faixa bastante ampla que pode ir de cerca de US$ 45 mil a cerca de US$ 115 mil.

Carreira 

Com tudo isso dito, você pode decidir que a computação forense é o caminho da carreira para você. E é fascinante! Mas talvez demore um pouquinho na decisão: como qualquer plano de carreira na aplicação da lei, isso pode colocá-lo em contato com alguns dos piores aspectos da natureza humana. John Irvine tem um post sombrio no lado mais sombrio da computação forense. Lembre-se de como dissemos que grande parte do campo forense computacional se profissionalizava na busca por pornógrafos infantis e terroristas? Bem, como descreve Irvine, isso pode custar muito aos investigadores, já que eles precisam examinar e observar muito do material que encontram. É um pensamento difícil, mas necessário, ao considerar uma carreira forense digital.