Queira o Sr. Perito explicar a importância da coleta e preservação de dados digitais

Dispositivo de armazenamentoO sucesso ou o fracasso de uma análise forense computacional depende diretamente dos procedimentos realizados em todas as suas etapas. Portanto, a metodologia de trabalho é um tema muitíssimo importante e deve ser considerada desde a coleta até o testemunho na corte. – Sim! O Perito poderá ser convocado a comparecer à corte para explicar como os exames foram realizados e, ainda, para esclarecer eventuais dúvidas sobre as evidências encontradas. Mas, isso é comum no Brasil?  – De fato não, mas pode acontecer, e você não gostaria de ter que explicar o porquê daquele arquivo indicado como relevante no Laudo ter em seus metadados uma data que indica que ele foi modificado após o último dia de trabalho do acusado na empresa…

Ao longo desses anos muitos clientes nos contataram com o seguinte discurso: “Nossa equipe de TI já deu uma olhada no computador do suspeito e não achamos nada relevante, gostaríamos que dessem uma nova olhada. Mas não se preocupem o funcionário investigado já está afastado há 02 semanas”. Essa informação seria cômica se não fosse trágica.

É extremamente importante esclarecer que nunca, e digo novamente – NUNCA, deve-se submeter uma mídia original (computador ou disco rígido) a qualquer tipo de análise ou revisão direta, ou seja, o original SEMPRE deve ser preservado intacto e inalterado. Não sabendo desse conceito e quase sempre com intuito idôneo de apoiar a própria empresa no esclarecimento imediato de um incidente, muitas vezes os profissionais de TI são envolvidos no exame despreparado de possíveis evidências de uma futura ação judicial. Esse acesso inapropriado e desprotegido pode ser catastrófico e resultar na imprestabilidade absoluta da evidência.

Para garantir a validade legal dos dados analisados, deve-se sempre fazer uma cópia forense (cópia bit-a-bit) com recursos que protejam a mídia original contra acessos ou modificações indevidas, como um bloqueador de escrita. A análise, por sua vez, deve ser realizada sobre a cópia. Cabe definir que uma cópia forense não é uma cópia simples dos arquivos de um computador, tampouco é uma cópia backup como usualmente gerada com o famoso software ghost, muito utilizado pelas áreas de TI. Existem ferramentas e bloqueadores de escrita específicos, testados por órgãos internacionais competentes e disponíveis no mercado. Trataremos mais detalhadamente sobre eles em postagens específicas.

Mas voltemos ao processo de cópia forense. No momento da aquisição de uma cópia forense, os equipamentos e mídias deverão ser identificados, catalogados e corretamente armazenados para que a rastreabilidade das mídias seja completa. A cadeia de custódia é fundamental e deve conter, em princípio, todas as informações a respeito da mídia (como a marca, modelo, número de série do equipamento e seu disco rígido), além de identificação do custodiante do equipamento. Todas as ocorrências de manuseio da mídia original ou da imagem forense devem ser registradas (data, hora e pessoa que realizou determinada ação). Veja informações complementares sobre Cadeia de Custódia em nossa postagem específica sobre o tema – clique aqui!

PlanejamentoÉ muito importante que logo no início dos trabalhos seja feito o planejamento do que será coletado, qual o escopo dos exames, prazo etc. O planejamento ajuda a prever situações delicadas de coleta e preservação, além de reforçar a manutenção da integridade dos processos realizados.

Assim, podemos simplificar as etapas iniciais do trabalho forense computacional da seguinte maneira:

  • Planejamento
    • Definição do objetivo
    • Definição de escopo
    • Ações necessárias
    • Isolamento inicial
  • Coleta
    • Identificação das evidências
    • Coletas com bloqueio de escrita
    • Cálculo de HASH e verificação de integridade
  • Preservação
    • Cadeia de Custódia
    • Duplicação – A importância de trabalhar com cópias
    • Atentar para a rastreabilidade
    • Armazenagem em local seguro

Dica importante: Deve-se ter muito cuidado com a timezone. Os principais tipos de eventos em um computador são representados com fuso horário universal (timezone Z ou UTC 0000) e você não vai querer gerar uma timeline com os horários incorretos. Portanto, a data, hora e o fuso horário configurados no BIOS do computador devem ser verificados no momento da coleta, assim como a data, hora e o fuso horário vigente no local onde o computador era utilizado. Mas atenção nesse ponto, pois o computador não deve ser ligado em hipótese alguma, especialmente antes da geração da imagem forense. Portanto, apenas o BIOS deve ser acessado, não sendo necessário nem desejado que o sistema operacional seja iniciado.

Como já esclarecido, os mais diversos tipos de análises técnicas possíveis devem ser realizadas somente na imagem das mídias originais. Após a etapa de análise ainda há a apresentação, que é, em síntese, a produção do Laudo ou Parecer, e o eventual testemunho.

Em breve falaremos no detalhe sobre cada um desses procedimentos e falaremos de algumas metodologias internacionais. Até lá!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s