Como capturar um cibercriminoso: histórias do laboratório forense digital
Muitas pessoas me perguntam como foi trabalhar para a aplicação da lei. Mais frequentemente, no entanto, eles estão realmente perguntando sobre como o crime de computador é realmente investigado. Sejam perguntas sobre a precisão com que é exibida na TV, as restrições sentidas pela polícia, os mitos associados ou sobre como encontrar táticas e segredos bem guardados, as pessoas parecem ter um fascínio mórbido pelo mundo sombrio da ciência forense digital. Antes de ingressar na ESET, fui examinador forense de computadores da polícia do Reino Unido por quase uma década. Meu trabalho era realizar análises forenses profundas de computadores, discos rígidos, telefones e outros dispositivos que foram fundamentais para crimes, incluindo assassinato, abuso infantil e fraude. Com algumas das melhores ferramentas forenses à minha disposição, investiguei não apenas esses dispositivos, mas, metaforicamente, a vida dos suspeitos que haviam sido presos ou libertados sob fiança. A realização dessa análise pode levar de um dia a alguns meses, dependendo do necessário, do estado e da segurança do meio de armazenamento ou, mais importante, da magnitude do caso. De poder localizar o histórico de pesquisa no Google de um suspeito, suas galerias de fotos, bate-papos on-line e até mesmo itens excluídos, quando entrei nos dispositivos, pude ver muito mais do que apenas os dados nas unidades. Passar pelo computador ou telefone de uma pessoa é como passar por suas mentes - é intenso. E as pessoas me perguntavam coisas como "é como nos filmes?" Ou "você pode realmente recuperar algo que eu apaguei"? Bem, "sim e não" é a verdadeira resposta para ambas as perguntas. Nunca é tão rápido quanto nos filmes, mas a maior parte do que você vê é geralmente possível - mas não para todos os casos. Os arquivos excluídos podem ser recuperados desde que não tenham sido substituídos. Ao excluir qualquer dado, é efetivamente como extrair a página de conteúdo de um livro - as informações ainda estão lá, você simplesmente não sabe em que página está. Restrições Além das dificuldades surgidas na forma de aumentar a atividade da Web escura, causando dor de cabeça para a polícia, a verdadeira restrição no laboratório veio na forma de criptografia de disco completo. É o maior obstáculo para os examinadores de computador e existem apenas algumas medidas para superá-lo. Primeiro, existe o Centro Nacional de Assistência Técnica (NTAC), parte do GCHQ do Reino Unido, que estaria disponível para unidades criptografadas de força bruta para a polícia. Isso pode levar algum tempo, dependendo da senha. No entanto, eles tiveram uma incrível taxa de sucesso com a energia do computador por trás deles. Seria sempre mágico devolver um disco rígido de conteúdo criptografado anteriormente com acesso total agora, depois que um suspeito não fez nenhum comentário ou, melhor ainda, um suspeito que diria que não encontraríamos nada ilegal. Normalmente, os telefones bloqueados nunca foram um problema. Normalmente, eles poderiam ser desbloqueados internamente com o melhor software fornecido pela polícia, que a polícia do Reino Unido ainda usa. Isso foi facilitado em telefones que não foram atualizados imediatamente para o sistema operacional mais recente. O lado sombrio da ciência forense digital Nenhum trabalho vem sem suas desvantagens, mas ser capaz de ver absolutamente qualquer tipo de material em um dispositivo traz efeitos colaterais prejudiciais para qualquer pessoa. Felizmente, qualquer pessoa que trabalhe na polícia forense digital recebe aconselhamento a cada 6 meses. Isso é essencial para quem entra em contato com dispositivos suspeitos e certos materiais que afetam a vida. Algumas pessoas podem ter imagens ou vídeos repulsivos e horríveis em seus dispositivos, e isso precisa ser tratado por qualquer pessoa que testemunhe isso. Embora no meu trabalho eu pudesse ver algo em potencial, eu estava lá para localizar as evidências antes que uma equipe de especialistas, a Equipe de Investigação de Pedófilos On-Line (POLIT), classificasse qualquer material indecente em um sub-intervalo de categorias. O pior material encontrado naturalmente daria sentenças mais duras, mas caberia aos tribunais determinar o tempo de prisão. Isso foi perturbador, Certa vez, fui chamado para ajudar a investigar um assassinato em que a equipe de crimes graves já possuía muitas evidências, mas, como na maioria dos assassinatos ou mortes suspeitas, havia evidências digitais que exigiam exame forense. Depois de receber um laptop manchado de sangue, fiz uma cópia digital (imagem) do disco rígido e mergulhei no que estava acontecendo nos arquivos de log perto de quando ocorreu a suposta ofensa. Eu não esperava encontrar nada, muito menos que o suspeito tivesse pesquisado no Google "como faço para me livrar de um cadáver" logo após o crime. Claro, alguém poderia ter pesquisado isso no Google, certo? Fui regularmente chamado ao tribunal para discutir as evidências digitais que havia descoberto em toda uma gama de casos. Em 2014, fui convocado para o tribunal por um caso de posse de imagens indecentes. O réu não fez nenhum comentário a todas as perguntas anteriores durante o interrogatório e, em seguida, apresentou uma alegação de culpa. No entanto, apenas aparecendo como testemunha profissional com minha experiência digital forense, ele se declarou culpado com base nas evidências que apresentei ao juiz, júri e equipe de defesa. A defesa esperaria para ver quais evidências a promotoria poderia produzir. De fato, eles tentariam atacar ou se declarar culpados apenas uma vez que soubessem que um examinador forense digital tinha evidências sólidas e inquestionáveis, além de qualquer dúvida razoável do júri. Nesse caso em particular, eu tinha o histórico completo de pesquisas no Google que remonta há muitos anos, Condenação Muitos criminosos condenados não tiveram tempo de prisão ou apenas sentenças curtas por alguns delitos que, aos olhos do público, não combinavam com o crime que estava sendo julgado. O trabalho da polícia é fornecer as melhores evidências disponíveis e ajudar a mostrar que um acusado é culpado. O Serviço de Promotoria da Coroa, CPS, é o órgão de governança que profere a sentença. Mas o que tiraria um suspeito? Este é o trabalho da defesa e eles foram muito bons nisso. Normalmente, o advogado de defesa esperaria para ver todas as evidências que a promotoria tem a oferecer e tentaria atacá-la sempre que possível. Tais ataques podem ocorrer em depoimentos de testemunhas ou, melhor ainda, por meio de um examinador forense independente, trabalhando para a defesa, a fim de tentar confundir as evidências. Uma resposta típica a uma ofensa seria a "defesa contra cavalos de Tróia", na qual o suspeito alegaria não ter idéia do que estava no dispositivo e deve ter sido o trabalho de malware. Às vezes, seria preciso muito trabalho para refutar esse contra-argumento específico. Em alguns casos, isso até interromperia completamente o processo judicial até que eu tivesse tempo de trabalhar com a imagem forense e provar o contrário. Enquanto me preparava para o tribunal, recebi intenso treinamento no tribunal por um advogado incrível que trabalha tanto para a acusação quanto para a defesa. Ele me ensinou os pontos fortes e fracos que um julgamento enfrenta dia após dia e as táticas usadas para tentar vencer ou rejeitar um processo judicial. Foi-me mostrado os truques que um advogado poderia usar, além de aprender onde admitir a derrota. Esses truques para obter uma absolvição ainda são usados nas salas dos tribunais ingleses hoje. No Reino Unido, o juiz geralmente deseja uma votação unânime (12-0) ou uma maioria (11-1 ou 10-2), além de qualquer dúvida razoável, para condenar o réu. Isso abre, portanto, o fato de que o advogado de defesa precisa apenas derrubar três jurados para conseguir o que quer e ganhar um júri pendurado, o que pode ou não levar a um novo julgamento. Isso pode ser feito usando psicologia, manipulação e habilidade, e usando táticas como colocar os jurados do lado da defesa e depois concordar com a defesa. Por que fazê-lo? Então, por que os examinadores forenses digitais fazem o que fazem? Como o que eles executam ajuda a afastar os criminosos e sem essas evidências forenses, a maioria dos casos teria dificuldades apenas com as evidências clássicas do CSI, como impressões digitais, etc. Os examinadores forenses do CSI fazem um trabalho fabuloso, mas a avaliação das evidências digitais está crescendo nas forças policiais em todo o mundo e está ampliando o financiamento policial mais do que nunca. Há mais dispositivos digitais chegando do que a polícia pode lidar e os registros em atraso estão aumentando diariamente - alguns trabalhos podem levar mais de 12 meses para serem examinados. Estou feliz por estar fora disso? Essa é outra pergunta que recebo muitas vezes e, para ser sincero, sinto falta da comunidade dentro da polícia, que é como uma família. O que não sinto falta é dos resultados “não culpados” em casos em que eu tinha certeza de que deveriam ser diferentes. Também não sinto falta das restrições quanto ao aumento da criptografia e do uso da dark web, e agora tenho satisfação no trabalho ajudando pessoas e empresas a se protegerem contra ataques cibernéticos. | |
Mais informações: | https://www.welivesecurity.com/2020/02/05/how-catch-cybercriminal-tales-digital-forensics-lab/ |
---|
Comentários
Postar um comentário