Modelos Forenses

Li um excelente artigo sobre modelos forenses, assinado por Venansius Baryamureeba e Florence Tushable, ambos da Universidade Makerere, de Uganda.

O artigo analisa alguns modelos forenses atuais e propõe um novo modelo, que seria a extensão do já conhecido modelo IDIP.

Vou listar resumidamente algumas informações sobre os modelos, mas a minha intenção ao comentar o artigo deles aqui é ilustrar algo que comentei no post anterior, sobre termos definido e bem documentado todos os procedimentos a serem utilizados não apenas durante a aquisição da imagem forense, mas também dos procedimentos de análise e até dos procedimentos anteriores ao incidente. A busca de modelos estruturados para Forense Computacional ajuda, na prática, a separar cada etapa do processo de resposta e investigação de incidentes computacionais. Dessa forma, a atividade fica devidamente documentada e estruturada, e as conclusões finais se tornam mais embasadas.

É fundamental que esses modelos sejam estudados e aplicados. Forense Computacional chama para si o status de ciência, mas ainda estamos há quilômetros de distância disso. Ainda assim, não custa dar passos na direção de corrigir isso. Adotar procedimentos estruturados através de modelos é um bom passo nesse sentido.

Mas vamos aos modelos ...

Modelo de Processo Forense
- Modelo de 4 fases publicado pelo Departamento de Justiça americano: Coleta, Exame, Análise e Reporte.
- Algumas críticas são feitas pela forma como as fases de Exame e Análise foram definidas.

Modelo Abstrato de Forense Digital
- Bom modelo composto de 9 fases: Identificação, Preparação, Estratégia de Abordagem, Preservação, Coleta, Exame, Análise, Apresentação e Retorno das evidências.
- Bem mais completo que o anterior, mostra a preocupação com procedimentos mesmo antecedentes ao incidente. Também dedica uma fase para o retorno das evidências ao proprietário.
- De certa forma, esse modelo espelha muito bem as etapas envolvidas no processo de Forense Computacional. Há algumas críticas envolvendo a definição das fases de montagem da estratégia de abordagem e da preparação. Há quem diga que elas poderiam ser transformadas em apenas uma fase com o objetivo de preparar a resposta ao incidente e analisar qual a melhor abordagem para o mesmo. Há quem sugira que o termo Preparação estaria mais ligado a preparar o time de resposta a incidentes para estar pronto para atuar. Seria uma fase anterior a Identificação, e envolveria atividades de conscientização e treinamento da equipe (ou do Investigador, que seja).

Modelo Integrado de Investigação Digital (IDIP)
- Proposto por Brian Carrier, é muito parecido com o modelo anterior.
- Organiza os processos em 5 grupos e 17 fases.
- Dá maior atenção aos processos anteriores à identificação do incidente, detalhando ainda mais o que chamamos de Preparação nos comentários acima.
- O coração do modelo é o grupo de fases Investigação da Cena do Crime Digital. É composta por 6 fases muito parecidas com o modelo Abstrato de Forense Digital.
- É o único que especifica uma fase para revisão da investigação, de forma a estabelecer pontos de melhoria.

Aaron Walters comentou sobre o IDIP e outros aspectos de Live Forensics em sua apresentação para a Black Hat. Vale a pena dar uma lida nisso também.

Seria interessante receber comentários sobre os modelos adotados pelos colegas, se adotam algum, é claro !

Aguardo os comentários. Até o próximo post !