De maneira a tentar padronizar as atividades relacionadas a investigação forense, diversos modelos são propostos, apresentando técnicas e procedimentos para a análise de dispositivos e sistemas digitais. A seguir, podemos acompanhar um pouco dos modelos existentes.
Modelo de análise forense digital, o NIJ-DoD foi desenvolvido pelo Instituto Nacional de Justiça (National Institute of Justice - NIJ) americano, como um dos primeiros do seu gênero, servindo de base para muitos outros que vieram posteriormente.
Sua metodologia consiste na divisão do processo forense de evidência digital em Avaliação, Aquisição, Exame e Documentação, este último presente em todas as etapas do processo. Além delas, o modelo prevê um estágio inicial de desenvolvimento de procedimento.
Por ser um processo bastante dividido e subdivido, em grande parte será descrito a seguir de forma semelhante, para se evitar perder muito da natureza metódica que possui.
Antes de entrar em atividade, uma unidade de exame forense deve definir sua política e desenvolver seus meios de ação. Primeiramente é preciso que o grupo decida suas principais funções e em qual das partes já citadas do processo vai atuar.
O modelo sugere uma série de protocólos que deveriam ser seguidos na formação dessa unidade de análise. Cabe destacar:
A Avaliação de evidência é a primeira etapa a se lidar em um caso. Consiste em uma análise das informações iniciais sobre o caso - detalhes adquiridos até o momento , local onde se encontram as máquinas a serem avaliadas com suas epecificações, mandato de busca e suas limitações - a partir da qual são feitas as primeiras suposições, objetivando definir a natureza das evidências procuradas e a tomada das primeiras medidas.
Durante essa etapa do processo, devem ser considerados:
Após a aquisição de evidências, vem o processo de examiná-las, que se resume na inspeção dos dispositivos digitais encontrados no local em que o suspeito estava e na tentativa de se identificar evidências que comprovem que o crime ocorreu e que o conectem a esse suspeito. O modelo sugere dividir o exame em passos, que são:
No caso físico, são feitas buscas por posíveis palavras e arquivos específicos conectados ao crime, que pudessem não estar visíveis ao sistema operacional. No caso lógico os recursos do sistema operacional – recuperação de arquivos deletados, datas de modificação, detalhes dos arquivos contendo informações de quem os criou e os acessou - são usados para ajudar na apreensão de informações e evidências.
A comprovação de ligação com o crime pode vir de várias indícios, tais como: horas e datas de modificação e criação de arquivos que se interceptam com intervalos de tempo relevantes da investigação; arquivos escondidos que por si só já demonstram a inteção de conciliar informações e cujo conteúdo pode ser incriminador; informações de programas ou arquivos como nome, conteúdo e a quem foram registrados podem ligar o suspeito ao crime.
A partir do que foi obtido pelos meios sugeridos, pode-se fazer as conexões com o caso e buscar conclusões sobre a existência de prova ou não do crime.
A última parte da análise forense prevista pelo modelo é a documentação, que, na verdade, é um processo contínuo ao longo de todas as etapas anteriores. Devido à importância do detalhamento e da qualidade da documentação, o modelo sugere uma série de padrões, que podem ser resumidos em:
Devido a seu caráter pouco específico, o NIJ-DoD serve como guia válido para uma grande variedade de casos, mas ao mesmo tempo, pode se tornar uma referência muito vaga para alguns outros.
Carrier no trabalho [2] aponta que diversos modelos de investigação forense contam com problemas associados a incompletude. Assim, ele propõe uma abordagem similar, utilizando o método científico para a obtenção e análise das evidências da investigação. Ele propões 4 fases, sendo elas:
O propósito desse modelo parece ser associar o método científico das hipóteses com a forense digital, de modo a auxiliar em questões como a validade e a impugnação jurídica das evidências encontradas. Isso é possível através da aplicação de princípios científicos de forma mais trasnparente nos processos de investigação digital.
Embora o modelo facilite a identificação de suposições em uma hipótese, a complexidade dos sistemas envolvidos não permite a prova formal. Há casos em que a defesa alega que a evidência obtida foi plantada por meio de uma invasão ou malware.
Breno propôs em 2008[3] uma alternativa para os modelos existentes, usando camadas para diminuir a complexibilidade e facilitando a integração das informações entre elas. O modelo é fundamento na criação de estruturas de metadados e abstrações do ambiente digital, veremos mais detalhes a seguir.
Uma camada de abstração seria uma função que processaria a entrada aplicando um conjunto de regras, de forma a gerar um saída normalizada com uma margem de erro.
Nesse modelo, buscaremos interpretar a forense digital somente como mais uma camada do processo de interpretação dos dados, desta vez objetivando a prática da forense digital.
As ferramentas forenses serão tidas como programas para automatizar esse processo. O maior problema das ferramentas forenses é que não há um meio comum de troca de dados entre elas. Ou seja, a saída de uma ferramenta dificilmente servirá como entrada para outra. Assm, foi formalizado o Princípio da Homogeneização.
Todo processo forense em ambientes digitais pode ser reduzido a dados de entrada e saída esperados, independente de seu formato ou camada que atue.
Com base nesse princípio, Breno em seu trabalho criou mais uma camada no processo de forense digital, esta sendo chamada de Camada de Tradução, sendo ela responsável por transformar os dados disponíveis em dados de entrada em uma ferramenta forense qualquer.
Para estabelecer o modelo foram criados 15 microprocessos. Na imagem a seguir, pode ser visto o plano para o modelo de microprocessos.
iPara finalizar, Breno em seu trabalho utiliza uma especificação em XML Schema de modo a sustentar a idéia de normalização, onde ele fornece diversos exemplos e até plugins de transformação para diversas ferramentas.
Por fim, essa abordagem é muito interessante por possibilitar o amazenamento em todas as etapas de todos os dados já encontrados, já que cada ferramenta passaria a usar somente as informações pertinentes para ela, deixando as outras sem modificação.
Outro ponto importante é que uma normalização dos dados permitiria uma maior facilidade na confecção do relatório forense. No caso apresentado, uma normalização em XML Schema permitiria inclusive a confecção de forma automatizada, assim diminuindo ainda mais a complexidade do processo de análise forense.