Por definição, a computação forense é a aplicação de metodologias de investigação e análise destinadas a coletar e preservar evidências de um determinado dispositivo computacional de maneira adequada para apresentação em um tribunal. Seu objetivo é realizar um processo de investigação estruturado, no qual mantém-se uma cadeia documentada de evidências para descobrir exatamente os fatos/ações ocorridos em um dispositivo computacional e quem foi ou foram responsáveis por esses fatos ou ações.
Neste contexto, podemos dizer que a computação forense é essencialmente a recuperação de dados com diretrizes de conformidade legal para tornar as informações admissíveis em procedimentos legais, podendo ainda ser denominada a computação forense como análise forense, forense digital ou forense cibernética.
A análise forense inicia-se com a coleta de dados ou informações de forma a manter toda a integridade destes dados ou informações. O analista forense ou perito forense é o profissional responsável por realizar a análise, buscando sempre analisar os dados, informações ou sistemas para determinar se foram alterados de forma não autorizada. Ou seja, se tais ativos de TI perderam a integridade. Além de buscar as respostas com relação a forma como a qual foram alterados e quem as fez.
É importante dizer que o uso da análise forense, nem sempre será associado a um crime. Pode ser também, utilizada como parte de um processo de recuperação de dados, visando recuperar dados de um banco de dados, servidor ou aplicação ou auditoria de segurança de TI.
Em um sistema de justiça civil e criminal, a análise forense ajuda a garantir a integridade das evidências digitais que fazem parte de um processo judicial. É importante relatar que as evidências digitais não são úteis apenas para solucionar crimes cibernéticos tais como: roubo de dados, vazamento de informações, violação de acessos a redes de computadores ou infraestruturas de TI e transações online ilícitas. Pode também ajudar a resolver crimes reais do mundo físico, como por exemplo: assalto, roubo, acidentes envolvendo vítimas e até assassinatos.
A análise forense também pode ser utilizada para rastrear informações relacionadas a um sistema, aplicação ou comprometimento de uma rede de computadores, podendo ser utilizada como um instrumento para identificar e processar criminosos cibernéticos.
Pode haver diversos tipos de análise forense. Sendo cada um deles preparado para lidar cum um ou mais aspectos específicos da TI. Como principais tipos, destacam-se:
(a) Análise forense em banco de dados – que realiza processos de investigação em estruturas de banco de dados, incluindo os sistemas de gerenciamento de banco de dados, ou simplesmente “SGDB”.
b) Análise forense em sistema de mensagens eletrônicas – destinada à investigação e análise das mensagens eletrônicas e seus respectivos sistemas que realizam o processo de enviar e receber as mensagens eletrônicas entre dois ou mais participantes.
c) Análise forense em códigos – destinada à investigação e análise de códigos maliciosos ou não, com o propósito de conhecer o código, prevenir-se de qualquer ação que possa ocorrer em decorrência da execução do código malicioso ou não;
d) Análise forense em dispositivos mobile – destina-se no processo de investigação e análise de informações contidas em dispositivos móveis (mobile) e, por fim;
e) Análise forense em redes de computadores – destina-se na busca de evidências que relatem a indisponibilidade, falha ou ausência de conexão na rede.
Seja qual for o tipo de análise forense que será realizada, o analista forense utilizará de ferramentas que proporcionarão o auxiliar na coleta de evidências e a integridade dos itens coletados durante todo o processo de análise forense.
Em geral, os analistas forenses normalmente seguem padrões, processos e procedimentos que podem variar de acordo com o contexto a ser investigado ou dos dados e/ou informações que se deseja encontrar. Mas seja qual for o padrão, processo ou procedimento realizado pelo analista de forense digital, segue três etapas básicas:
A primeira é a coleção de dados, onde o analista forense além de coletar os dados, mantém a integridade deles, por meio de ações tais como o isolamento físico do sistema ou dispositivo computacional investigado, a fim de se obter uma total e máxima integridade do item que está sendo investigado. No geral os analistas forenses, conduzem o processo de investigação com base em cópias digitais denominadas de imagens forenses dos itens a serem analisados, para que eles não possam vir a sofrer nenhum tipo de contaminação que provoque a perda da integridade ou invalide o processo de análise forense.
A segunda refere-se ao processo de análise – por si só! – nesta etapa o analista forense realiza a cópia das imagens e, utiliza essas cópias durante todo o processo de investigação, garantindo assim a integridade das imagens forenses totalmente seguras
Por fim a terceira, denominada de apresentação – nesta o analista forense apresenta todas as suas descobertas em um processo jurídico/legal, no qual o juiz utiliza os resultados fornecidos pela análise forense para auxiliá-lo em sua tomada de decisão