Queira o Sr. Perito explicar o que é Cadeia de Custódia

1221951_27660008Cadeia de Custódia (CdC) é um conceito básico utilizado por todas as ciências forenses e consiste, em termos gerais, em um registro documental e cronológico sobre o manuseio de uma evidência ou prova.

A literatura relacionada ao tema, normalmente jurídica, atribui à CdC a propriedade de garantir a idoneidade de uma evidência. Entretanto, embora a CdC seja fundamental para a constituição de uma prova pericial, não existe uma definição ou citação clara sobre ela na legislação brasileira. Existem apenas algumas referências relacionadas ao tratamento da prova e ao trabalho pericial em si.

Devido a essa ausência de definição, na maioria das vezes a CdC é representada na forma de um formulário onde são registradas informações a respeito da peça coletada e/ou examinada, e informações sobre os profissionais que interagiram com a peça.

Especificamente em Computação Forense, esse formulário geralmente consiste em um conjunto de informações de identificação do equipamento original (normalmente um computador), informações de identificação de seu suporte de armazenamento (geralmente um disco rígido) e informações sobre o método de captura e duplicação de dados (geralmente procedimentos para geração de imagem forense). Além dessas informações, a CdC de uma evidência digital, assim como a CdC de qualquer outra natureza de prova, contém informações para rastreamento da evidência, tais como nome do custodiante, data do recebimento e motivo.

Mas o que a CdC de Computação Forense tem de diferente das demais? A resposta desta pergunta é bastante simples, principalmente se considerarmos uma CdC com as informações indicadas no parágrafo anterior. Nesse caso destaco o seguinte trecho […] informação sobre o método de captura e duplicação de dados […]. Note que ao contrário das demais ciências forenses, a análise de uma evidência digital não precisa (e nem deve) ser realizada em seu suporte original, pois é possível realizar uma duplicação completa e idêntica desse suporte. Essa possibilidade tornou-se uma premissa metodológica de análise forense computacional. Outras ciências forenses não apresentam essa possibilidade, tal como a balística onde o exame deve ser feito a partir da arma suspeita e com balas presentes e restante no cartucho suspeito.

Mas voltemos ao início. Afinal, para que serve a CdC? Como indicamos, a literatura relacionada afirma que seu objetivo é garantir, vejam: GARANTIR a idoneidade de uma prova. Então lhes faço uma nova pergunta: – Apenas as informações de identificação da evidência e dos seus custodiantes dá ao judiciário essa GARANTIA? A resposta é não, pois quando tratamos de evidência digital outras propriedades devem ser observadas.

Evidências digitais têm natureza altamente volátil (são modificadas com facilidade). Ainda mais grave que isso é o fato de que qualquer, até a menor interação acidental com um sistema de arquivos digitais, pode causar centenas de modificações. É principalmente por esse motivo que os exames forenses computacionais devem ser realizados apenas em cópias do suporte de dados original. O conceito de análise sobre cópias, praticamente exclusivo da Computação Forense, faz com que uma prova digital tenha sua idoneidade garantida apenas quando for comprovadamente íntegra, ou seja, idêntica ao original.

Essa necessidade é facilmente resolvida com a utilização de algoritmos criptográficos (hash) comumente utilizados para verificação de integridade de dados (o hash é inclusive a base da tecnologia de assinaturas digitais). Mas quando o hash deve ser utilizado? Essa resposta também é bastante simples. Se a função dele é permitir a verificação da integridade de uma cópia, ele deve ser utilizado durante o procedimento de cópia. Assim, o código hash gerado nesse momento, referente ao suporte original, será o recurso que permitirá verificar, em qualquer tempo, se a cópia é e continua idêntica ao original. Apenas se o código hash da cópia for idêntico ao código do original é que os dados relevantes e extraídos dessa cópia poderão ser considerados íntegros.

Outra propriedade importante de uma CdC de evidências digitais é a descrição da metodologia de exames. Não basta apenas registrar na CdC quem manuseou a evidência, quando e porquê. Para que uma prova tenha garantida a sua idoneidade é importante que sejam registradas também informações detalhadas sobre todos os exames aos quais os dados foram submetidos. Do contrário não seria possível a repetição do exame e, portanto, se não é possível verificar as conclusões alcançadas, a prova é fraca ou até mesmo imprestável.

Podemos simplificar a CdC de evidência digital como o conjunto de informações que atenda a três propriedades: Procedência, Integridade e Repetibilidade. Sendo assim, a CdC em Computação Forense não pode ser apenas um registro documental e cronológico de uma evidência, ela deve ser um conjunto de documentos e métodos que visa de fato garantir, sob todos os aspectos, a idoneidade da evidência.

Veja também a apresentação de minha palestra sobre cadeia de custódia e a evidência digital no II Congresso de Computação Forense no Mackenzie.

No próximo post relacionado a este tema iremos trazer uma sugestão de formulário de CdC de evidências eletrônicas para discussão. Até lá!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s