Notícias Notícias

28.10.2013 | admin

Nuix divulga White Paper sobre Laboratório de Investigação Digital

Documento divulgado pela empresa, parceira da TechBiz Forense Digital, apresenta um modelo para investigações digitais colaborativas e eficientes. Veja a livre tradução abaixo ou acesse o documento original: White_Paper_The_Investigative_Lab_WEB_US

Sumário executivo

Neste documento vamos apresentar um modelo para estabelecer um laboratório de investigação digital que permita a especialistas em forense computacional, investigadores não técnicos e especialistas no assunto investigado colaborarem entre si na análise da evidência digital. O resultado final é um aumento expressivo no volume e na qualidade da evidência digital a ser analisada por um time investigativo em um período determinado de tempo.

Há muitos anos, os investigadores de forense digital fazem uso de ferramentas forenses que lhes permitem ir à fundo na análise de vários computadores e de outras fontes de evidência. Na maioria das vezes, as investigações centram-se em um único especialista em forense digital que analisa todas as fontes de evidências digitais. Essa abordagem, apoia-se no investigador, que geralmente não está familiarizado com todos os detalhes ou com o contexto do caso para extrair os dados realmente relevantes em cada dispositivo. Resultado: os investigadores que não são técnicos e os especialistas no assunto confiam em evidências incompletas ou subjetivas.

Em oposição, o modelo discutido neste documento permite que os times de investigação dividam-se na análise da evidência digital e compartilhem a avaliação do trabalho entre várias pessoas. Eles podem distribuir diferentes tipos de evidências aos profissionais mais qualificados ao entendimento de cada etapa da investigação e fornecer um contexto apurado do caso.

Essa metodologia também oferece oportunidades para se aplicar técnicas avançadas de investigação, incluindo a visualização de dados e as análises de quase-duplicatas, ou seja, de arquivos quase iguais que podem ser variações de um mesmo arquivo. Isso permite que os investigadores analisem a evidência sob diferentes ângulos.

Ao adotar o modelo colaborativo de investigação proposto neste documento, o escritório de fraudes do Reino Unido – United Kingdom’s Serious Fraud Office (SFO) – aumentou em 20 vezes o processamento do volume de dados a cada ano. Essa metodologia também permitiu que os times de investigação do SFO respondessem muito mais rapidamente às informações requeridas pelos tribunais.

O impasse da investigação digital

Investigadores digitais se deparam constantemente com o desafio de descobrir a verdade em evidências armazenadas em variados e complexos aparatos digitais. Ao mesmo tempo, eles precisam equilibrar-se com verbas e recursos reduzidos, atrasos em espiral e prazos cada vez mais reduzidos. Tudo se torna mais desafiador porque muitos investigadores confiam em fluxos de trabalho, processos e ferramentas que foram desenvolvidos antes da explosão de dados e de diferentes dispositivos digitais – na verdade, elas se referem a uma era pré-digital.

Com o crescimento do volume de dados esgarçando a capacidade das ferramentas tradicionais de forense, tona-se impossível examinar tudo o que é necessário. Consequentemente, investigadores de forense digital acabam tomando decisões arbitrárias sobre qual fonte de evidência analisar primeiro – ou no todo.
Muitas organizações especializadas em investigação não seguem processos padronizados para cada estágio do workflow da investigação. Investigadores podem não lidar com todas as fontes de dados consistentemente durante o processamento e a análise. Eles podem, por exemplo, entregar as informações relevantes em formatos diferentes: imprimindo, copiando em um CD ou flash drive, ou colocando-as em uma computador onde outros públicos de interesse possam pesquisar.

Uma investigação tradicional baseia-se em dois diferentes grupos de pessoas:

  • Investigadores do caso – como policiais, detetives e analistas de fraudes corporativas, que compreendem o contexto amplo da investigação e examinam crimes ou questões investigativas sob diferentes ângulos. Se uma investigação possui um componente digital, como a recuperação de um computador da cena do crime, um investigador pode acionar o suporte de um ou mais investigadores de forense digital que examinará o computador e reportará o que encontrou a eles.
  • Investigadores de forense digital – coletam, duplicam, processam e examinam os dados coletados. Eles geralmente identificam a evidência digital que consideram potencialmente relevantes ao caso.

Essa divisão de papeis é uma grande fonte de ineficiência. Mais preocupante, ela destaca a falta de conexão no processo de investigação. Muito frequentemente, os investigadores do caso veem o investigador de forense digital mais como um profissional de suporte, e não como alguém que irá trabalhar de forma colaborativa. Por exemplo, é comum para um único investigador de forense digital lidar com todos os dispositivos envolvidos em uma investigação. Este único investigador digital irá examinar cada equipamento por vez, extraindo a informação que acha que é relevante e depois irá preparar um relatório para o time de investigação menos técnico.

Essa abordagem fragmentada é muito ineficiente, especialmente em casos grandes. Investigadores de forense digital precisam tomar decisões críticas sobre a relevância de documentos, e-mails ou imagens – ou até mesmo de fontes inteiras de evidências – geralmente sem saber de detalhes mais amplos sobre o caso. É como a parábola dos seis homens com os olhos vendados que tentam descrever um elefante. Um está tocando a tromba do elefante e pensa que se trata de uma cobra. O outro está segurando a perna do elefante e pensa que é uma árvore, e assim por diante. Enquanto todos estão corretos sobre a sua própria parte, nenhum deles consegue dar conta do todo. Veja vídeo.

A inabilidade em entender a evidência em seu amplo contexto pode prejudicar a transmissão das informações a terceiros envolvidos na investigação, como promotores, profissionais da área de Recursos Humanos, departamentos jurídicos ou de auditorias internas. Esses stakeholders devem se basear nos pedaços do quebra-cabeça escolhidos pelo investigador forense como os mais importantes.

Lições sobre eDiscovery*

Algumas organizações que lidam com investigação simplificaram os seus processos para lidar com a evidência digital (veja o exemplo do escritório de fraudes do Reino Unido – United Kingdom Serious Fraud Office). Profissionais envolvidos com a Lei, que lidam com o chamado electronic discovery, que tipicamente envolve grandes volumes de evidências digitais, fornecem bons exemplos para processos investigativos.

Nos Estados Unidos, em muitas alçadas, os tribunais requerem que os litigantes colaborem nos processos e consideram o eDiscovery a primeira oportunidade para tal. Fazer isso pode ajudar a manter os custos do caso sob controle. Os responsáveis pelo processo de eDiscovery precisam rapidamente identificar materiais potencialmente relevantes em um volume massivo de evidências digitais. Depois, eles precisam disponibilizar esse material relevante aos especialistas, como advogados sênior, investigadores da área financeira ou outros experts de cada assunto.

Os times da lei geralmente usam um sistema de análise hierárquico, atribuindo à equipe júnior a realização de uma análise prévia para eliminar o material que é claramente não relevante. Antes de permitir que esses analistas tomem decisões arbitrárias, alguém que tenha um profundo conhecimento do caso cria um conjunto de direcionamentos para que eles sigam. Essa pessoa também precisa analisar, validar ou corrigir as ações dos juniors. Assim, menos e menos volume de materiais relevantes passam desapercebidos nessa cadeia. Esses especialistas altamente elegíveis – e geralmente muito bem pagos – precisam ver apenas os documentos importantes, sob a garantia de que alguém filtrou e classificou o outro material.

Esse processo é muito eficiente para classificar grandes volumes de material em pacotes relevantes e irrelevantes. Para isso funcionar, os times da lei precisam:

  • Dividir a evidência disponível em partes para múltiplas pessoas analisarem;
  • Garantir que cada revisor/analista entenda as regras primárias para definir o que é relevante;
  • Tornar os documentos mais relevantes disponíveis para que os especialistas os analisem e examinem.

Essa abordagem não é nova, mesmo em círculos de investigação. Por exemplo, em muitas questões criminais complexas, detetives fazem o trabalho de base, como identificar testemunhas e evidências, para repassar os dados à revisão dos oficiais seniors. No entanto, é raro que esse processo seja seguido pelos investigadores digitais que lidam com evidência eletrônica, geralmente porque as ferramentas tradicionais tornam difícil combinar informações de múltiplas fontes e torná-las disponíveis aos investigadores não-técnicos ou especialistas no assunto para análise.

* Electronic Discovery (definição Wikipedia) – também conhecida como e-discovery, refere-se a qualquer método de busca, pesquisa, localização e obtenção de dados e informações eletrônicos com a intenção de utilizá-los como evidências, em um processo judicial. Nos Estados Unidos, o assunto foi objeto de uma lei específica (E-Discovery Law), promulgada em 2006.

ESTUDO DE CASO: SERIOUS FRAUD OFFICE

O modelo colaborativo de investigação e o fluxo de trabalho em laboratório discutidos neste documento levam à experiência do diretor de soluções forense da Nuix, Paul Slater, no Escritório do Reino Unido para Combate a Fraudes Sérias (United Kingdom Serious Fraud Office – SFO). Ao adotar este modelo, o SFO aumentou o volume de dados que podia processar a cada ano em 20 vezes e tornou possível entregar respostas às solicitações de informações requeridas pelas cortes no tempo estipulado.

Como chefe interino da Unidade de Forense Digital do escritório entre 2009 e 2012, Slater ajudou a padronizar e simplificar os processos investigativos do SFO. O SFO reduziu o foco na análise forense em profundidade; criou e automatizou fluxos de trabalho investigativo; e desenvolveu uma abordagem mais colaborativa para as investigações. Essa mudança na abordagem ajudou a transformar a capacidade do SFO.

“Enquanto as técnicas tradicionais de computação forense mergulham profundamente em vários computadores, o SFO filtra rapidamente grandes volumes de dados capturados em nossas operações de busca e focar no material propenso a ter maior produção probatória”, escreveu o chefe executivo do SFO no Relatório Anual 2010-11. “Agora podemos lidar com mais de 100GB de novas informações a cada dia – um incremento de 2.000% ano a ano. Também nos permite responder rapidamente as requisições de tribunais. Em um caso em particular fomos capazes de identificar e produzir mais de 47 mil e-mails em uma noite para atender a uma ordem do juiz. Tanta celeridade na resposta seria impossível antes.”

Modelo de Workflow investigativo para um laboratório de investigação

O modelo de laboratório investigativo é uma forma de os examinadores combinarem a eficiência do processo de eDiscovery com o rigor forense e a proveniência da metodologia empregada na investigação digital tradicional. Ele oferece uma maneira mais eficiente de utilizar os recursos disponíveis ao tornar possível dividir o trabalho entre investigadores digitais e não digitais, além de especialistas em cada assunto, em vez de somente responsabilizar uma pessoa.

Também assegura que o investigador de forense digital irá lidar com cada parte da evidência usando um conjunto de processos previamente acordado e que possa ser repetido. Apesar de este modelo seja agnóstico do ponto de vista tecnológico, ele requer um número de capacidade que não está disponível em ferramentas de forense tradicionais, como:

  • Buscar e indexar os metados para acessar rapidamente o conteúdo que tenha valor para a investigação;
  • Combinar múltiplas fontes de evidências em um único conjunto de dados para a análise;
  • Processar múltiplos terabytes de evidências em um tempo razoável;
  • Suportar uma larga gama de formatos de arquivos, incluindo arquivos de imagem de várias tecnologias concorrentes;
  • Dividir um grande conjunto de dados em subcasos baseados em critérios como data, custodiante, formato de arquivo, localização ou linguagem e, depois, recombinar os resultados em um único caso.
Compartilhe o trabalho – uma metodologia para a linha de produção

Uma falha fundamental da abordagem tradicional da investigação forense é que os invetsigadores digitais examinam cada fonte de evidência separadamente. No entanto, os casos geralmente dependem de um tipo particular de evidência – como documentos, e-mails ou mensagens de texto – e da conexão entre elas por múltiplas fontes. Além disso, alguns tipos de evidência precisam ser analisados por pessoas que possuem uma especialidade em particular. Como resultado, o primeiro passo para essa metodologia é reunir todas as evidências disponíveis – imagens forense, comunicação por email ou telefones celulares, arquivos perdidos, documentos e o resto – tudo em em único local.

Buscar e indexar os metados de todas as fontes de evidência pode rapidamente ajudar os investigadores escolherem os itens que eles querem processar em grande profundidade. Isso faz parte do processo de triagem forense baseado em conteúdo discutido no White Paper da Nuix “Content-Based Forensic Triage: Managing Digital Investigations in the Age of Big Data.”

Uma vez que o time de investigação escolheu as fontes de evidência que mais lhe parece relevantes, ele pode depois processar esses dispositivos seguindo um conjunto de padrões e definições previamente acordados. Organizações que realizam investigações podem construir uma série de boas práticas ou fluxos de trabalho específicos ao caso, o que permitirá automatizar tarefas demoradas e propensas a erros. Entre elas filtragem de intervalo de dados, pesquisa por palavras-chaves, identificação e reconhecimento ótico de caracteres (Optical Character Recognition – OCR) para documentos que não tenham texto. O fluxo de trabalho também inclui atividades para filtrar informações irrelevantes como itens duplicados ou arquivos de sistemas.

Essa abordagem reduz significativamente as decisões em nível operacional e as inconsistências sobre quais arquivos são processados e como, levando a resultados consistentes e repetíveis. Ao utilizar essa metodologia, times investigativos podem rapidamente reduzir grandes volumes de evidências a um pequeno número de itens altamente relevantes para a análise dos especialistas.

Assegure-se de que os dados corretos estejam sendo revisados pelas pessoas certas

A próxima fase do fluxo de trabalho investigativo envolve dividir a evidência processada em conjuntos de dados a serem revisados. Da forma mais básica, pode ser uma maneira de compartilhar o trabalho entre múltiplos investigadores para completar a tarefa mais rapidamente.

Eles podem escolher dividir a evidência por extensão de tempo, custodiantes, localização, linguagem ou conteúdo. No entanto, existem muitas outras opções.
Em casos de fraude, por exemplo, os investigadores podem passar registros financeiros para contadores forenses e as atividades de internet para especialistas técnicos. Em investigações inapropriadas de imagens, detetives poderiam encaixotar imagens potencialmente relevantes e videos para especialistas em proteção à infancia, enquanto deixariam outros tipos de arquivos para os seus investigadores de forense digital.

Em investigações multijurisdicional, times de investigação podem produzir evidências ou pacotes de inteligência para terceiros revisarem, comentarem e retornarem.
Use ténicas investigativas avançadas Como mostramos, esse fluxo de trabalho faz uso de muitas ideias e procedimentos adotados em eDiscovery. Investigadores também podem usar analyses de tecnologia-assistida empregadas no ambiente legal para observar a evidência em seus múltiplos ângulos.

Por exemplo, algumas ferramentas investigativas oferecem formas de visualizar os dados e metadados. Visualizações comuns incluem linhas do tempo do documento ou do histórico do usuário; mapas de comunicação entre as pessoas; mapa de localização de fotos ou ligações telefônicas. Isso permite que os investigadores rapidamente entendam quem, onde, o que, quando e o porquê de uma evidência.

Outra técnica emergente é a habilidade de identificar documentos similares ou quase duplicados dentro de um conjunto de dados. Ao extrair e comparar listas de frases sobrepostas chamadas “shingles”, ferramentas investigativas podem identificar documentos com conteúdo similar e aferir o quão similares eles são. Isso pode ajudar os investigadores a identificar quam criou, recebeu ou enviou emails-chaves, documentos ou anexos, analisar como os documentos se transformaram ao longo do tempo, ou achar documentos relacionados que usam linguagem similar.

Essa tecnologia de identificação de quase duplicatas também pode acelerar o processo de identificação de evidências relevantes. Ela conecta fragmentos de arquivos e dados deletados a conteúdos similares encontrados dentro de arquivos em uso para construir a imagem dos eventos ao longo do tempo.

A lista de “shingles” usada para realizar as comparações de quase-duplicatas tem um outro uso poderoso: aumentar a relevância de pesquisas por palavras-chaves.
Por exemplo, o analista de fraudes pesquisa por palavras ou frases que indicam que um empregado teve motivação, oportunidade e planejamento para cometer uma fraude. Essa busca por palavras-chaves, no entanto, pode trazer também muitos resultados que não são relevantes. Em vez de procurar a lista de shingles que contenha palavras como “encobrir”, “eliminar”, “não ético”, por exemplo, investigadores podem rapidamente localizar frases longas que irão oferecer resultados altamente relevantes.

Análises forenses em profundidade só quando necessário

Muitos investigadores de forense digital ficam relutantes em mudar seus processos, mesmo lidando com a quantidade massiva de material digital a ser analisado. Uma razão para tal é que eles acreditam que a técnica antiga é a única maneira de se atingir o rigor forense e a análise técnica profunda que os tribunais e outras autoridades necessitam. Em nossa experiência, hoje em dia, as evidências-chaves são mais frequentemente encontradas “escondidas em lugares evidentes”- tipicamente em emails, documentos, planilhas ou imagens.

O grande impedimento para os investigadores de forense digital é que eles não podem atravessar o volume de evidências para achar os fatos que irá provar ou não o caso, especialmente se eles conduzirem investigações aprofundadas e que consomem muito tempo em cada fonte de dados. Como resultado, análises forenses em profundidade devem ser a exceção e não a regra.

Utilizando a abordagem colaborativa e a metodologia da revisão hierárquica, os investigadores podem rapidamente reduzir grandes volumes de dados a pedaços menores e mais facilmente gerenciáveis. Uma vez que essa técnica identifica o “elefante em uma sala, os investigadores podem passar esses pedaços de dados de volta aos especialistas em investigação forense digital para que agora sim eles examinem e forneçam proveniência, validem a autenticidade e produzam material relevante para os tribunais ou autoridades. De forma alternativa, o fluxo de trabalho de análise pode não localizar a evidência crucial mas pode prover dicas fortes sobre onde os investigadores de forense digital devem mergulhar para tentar encontrá-las.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653