Em março de 2015, o diretor da CIA, John Brennan, anunciou o estabelecimento de uma nova Diretoria de Inovação Digital da CIA, a primeira nova diretoria da CIA em cerca de cinco décadas. A nova divisão foi criada com o objetivo de aprimorar técnicas em ciência forense digital, um pilar da ciência forense relacionada às atividades de investigação e recuperação de dados e metadados (dados sobre os dados) encontrados em dispositivos digitais e melhorar a capacidade da CIA de rastrear “Poeira digital” deixada para trás durante as atividades cibernéticas de rotina. Como Brennan explicou em 28 de abril em um discurso em um jantar de liderança da Aliança de Inteligência e Segurança Nacional: "Em todos os lugares que vamos, tudo o que fazemos, deixamos um pouco de poeira digital e é realmente difícil operar clandestinamente, muito menos secretamente, quando você ' está deixando poeira digital no seu rastro."
O principal objetivo da análise forense digital é a avaliação do estado de um artefato digital que potencialmente poderia ser usado em qualquer investigação em um sistema de computador. Usando as técnicas da análise forense digital, um investigador pode adquirir evidências digitais, analisá-las e relatar as descobertas dessa análise. O desenvolvimento de ferramentas forenses digitais e outras técnicas ainda mais avançadas deve permitir que governos e empresas privadas estudem com êxito a poeira digital deixada por aqueles - um suspeito ou outra pessoa de interesse - conectados com suspeitas de ciberatividades ilegais.
Metodologias.
As metodologias forenses digitais são aplicadas em uma variedade de situações, principalmente pelos membros da aplicação da lei ou por outras autoridades oficiais para coletar evidências em um processo judicial criminal ou civil ou por empresas privadas para ajudar na busca de uma investigação interna. O termo forense digital é extremamente geral e pode ser usado para caracterizar inúmeras especializações, dependendo do campo específico da investigação. Por exemplo, a análise forense de rede está relacionada à análise do tráfego de rede de computadores, enquanto a análise forense de dispositivos móveis se preocupa principalmente com a recuperação de evidências digitais de smartphones e tablets. Existem metodologias potencialmente infinitas para análise forense digital, mas as técnicas mais usadas incluem a realização de pesquisas por palavras-chave na mídia digital, recuperação de arquivos excluídos, análise de espaço não alocado e extração de informações do registro (por exemplo, usando dispositivos USB conectados).
Ao lidar com evidências digitais, é essencial garantir que a integridade e autenticidade dos dados e metadados não sejam afetadas durante as fases da investigação. Portanto, é crucial evitar qualquer alteração das evidências causadas pelo trabalho dos investigadores e garantir que os dados coletados sejam "autênticos" - ou seja, idênticos em todos os aspectos às informações originais. Embora os combatentes do crime cibernético nos filmes e na televisão possam identificar de maneira inteligente a senha de uma pessoa de interesse e, em seguida, entrar diretamente no computador ou outro dispositivo inteligente do alvo, no mundo real essa ação direta pode alterar o original de maneira a fazer com que tudo seja encontrado o dispositivo inutilizável ou pelo menos inadmissível em tribunal.
A fase de aquisição, também chamada de “geração de imagens de exposições”, consiste em obter uma imagem do conteúdo do computador ou outro dispositivo. O principal problema das mídias digitais é que elas são prontamente modificadas; mesmo a tentativa de obter acesso aos arquivos ou ao conteúdo da memória de um computador pode alterar seu estado. Portanto, é necessário evitar o acesso direto, criando uma imagem exata da memória volátil e dos discos do sistema em análise. Isso pode ser obtido com a obtenção de uma “cópia bit” (uma reprodução exata bit a bit) da mídia, usando ferramentas especializadas de bloqueio de gravação que “espelham” os dados e impedem qualquer modificação no conteúdo original da mídia.
O crescimento no tamanho da mídia de armazenamento e a difusão de paradigmas, como a computação em nuvem, exigem a adoção de novas técnicas de aquisição que permitem aos investigadores fazer uma cópia "lógica" dos dados, em vez de uma imagem completa do dispositivo de armazenamento físico. Em um esforço concentrado para garantir a integridade dos dados, os pesquisadores usam mecanismos de "hash" que geram valores mais curtos e de comprimento fixo que representam o original mais longo ou mais complexo. Os valores de hash permitem pesquisas mais rápidas e possibilitam que os pesquisadores avaliem cada momento quanto à consistência no conteúdo digital sob investigação. Qualquer modificação no conteúdo causaria uma alteração no hash do artefato digital, que poderia ser facilmente detectado sem a necessidade de pesquisar em todo o banco de dados.
