Queira o Sr. Perito explicar o que é uma cópia forense

Sempre que você ouvir falar de computação forense ouvirá também um famoso termo: “Cópia ou Imagem Forense”. Essa terminologia geralmente aparece nas explicações de que não devemos analisar dados eletrônicos em suas mídias originais e sim em cópias delas. Mas o que de fato é uma cópia forense? E o que a diferencia de uma cópia comum de arquivos.

É bastante comum encontrar na internet e até mesmo em alguns livros sobre esse tema uma definição vaga ou incorreta para cópia forense. Na maioria das vezes a definição limita-se a:

Cópia integral de uma mídia para outra ou cópia bit a bit de todas as áreas de um suporte de armazenamento.

Essa definição não está absolutamente correta e vamos explicar o motivo.

Se considerarmos que uma cópia forense tem como finalidade reproduzir um conjunto de dados que será ou é indicado como prova em um processo judicial, podemos afirmar então que sua característica fundamental deve ser a integridade, ou seja, ela deve ser absoluta e comprovadamente idêntica ao conjunto de dados original.

O conceito de que uma cópia forense deve abranger o conteúdo integral de uma mídia não traz consigo riscos metodológicos, ao invés disso permite que um conjunto muito maior de dados seja eventualmente analisado. Entretanto, é incorreto afirmar que apenas a cópia integral de uma mídia preserva as características originais de seus arquivos. E se a evidência ou prova de uma ação judicial é um arquivo de e-mail, o que mais além do próprio e-mail e dos arquivos relacionados a ele é obrigatoriamente necessário copiar? Devemos lembrar, ainda, que na maioria dos casos uma perícia deve limitar-se ao acesso e a análise aos dados relacionados ao tema litigioso.

Há ainda situações modernas onde o perito não terá acesso físico às mídias e dispositivos de armazenamento e, portanto, a mera tentativa de realizar uma cópia completa dele pode causar enormes prejuízos. É o caso de buscas e apreensões de dados em empresas que possuem servidores não redundantes ou que por qualquer outra razão não podem ser interrompidos. Nesse caso, se o que motivou a busca foi a suspeita de desvio de informação por e-mail, podemos, portanto, coletar apenas os e-mails.

O conceito de cópia completa está tão distante de limitar o trabalho pericial que as principais normas e recomendações não impõem essa necessidade. Ao invés disso, tratam sobre a importância da identificação daquilo que foi coletado, do uso de ferramentas adequadas que não alteram a evidência durante o procedimento de coleta e da importância da verificação de integridade. Citamos a seguir algumas dessas normas, sobre as quais detalharemos mais profundamente em postagens específicas:

  • ISO/IEC 27037:2012 – Guideline for identification, acquisition, collection and preservation of digital evidence;
  • RFC 3227 – Guidelines for evidence collection and archiving;
  • ASTM E1188.6997 – Collection and preservation of information and physical items by a technical investigator;

Além das normas indicadas acima, temos hoje no Brasil o Comitê de Normalização de Ciências Forenses – ABNT/CEE 137. Esse comitê, em andamento, está realizando estudos, pesquisas e discussões públicas para definição das normas brasileiras relacionadas às ciências forenses.

Mas retornemos ao tema principal: – Como fazer para que uma cópia parcial de um conjunto de dados tenha a mesma qualidade de uma cópia forense. Isso é bastante simples! As principais ferramentas utilizadas para realização de cópias forense integrais de mídias também permitem fazer cópias parciais com as mesmas características. Veja alguns exemplos a seguir:

Encase: O software desenvolvido pela Guidance e utilizado pelos mais avançados órgãos de perícia e inteligência no mundo, possui um formato forense para preservação de conteúdo parcial de uma mídia. O nome desse formato é Logical Evicende File e dentre suas características está a preservação da estrutura completa de arquivos, a preservação do conteúdo e dos metadados de arquivos, a proteção contra adulteração de dados e a verificação de integridade. Clique Aqui para tutorial sobre como fazer cópia forense com EnCase

DD: Programa nativo das principais distribuições Linux e muito utilizado no Brasil por Peritos judiciais e Peritos dos Institutos de Criminalística. Ele permite que cópias parciais, ou seja, de arquivos ou diretórios previamente selecionados, sejam feitas com as mesmas características de uma cópia integral. Clique Aqui para tutorial sobre como fazer cópia forense com Software Livre

Com uso das tecnologias indicadas acima é possível gerar cópias forenses de vários arquivos, sem que haja qualquer tipo de alteração que deponha contra sua integridade e sua fidedignidade. Sendo assim, resta claro que não há relação direta, a não ser de conveniência, entre uma cópia forense e uma cópia integral de uma mídia de armazenamento.

Para finalizarmos há ainda outra pergunta lá do inicio do post que está sem resposta: – Mas afinal, qual a diferença de uma cópia forense e uma cópia simples? Agora que já sabemos que uma cópia forense não tem que ser obrigatoriamente uma cópia integral da mídia original, há ainda alguma diferença? A resposta é SIM, há uma diferença fundamental.

A cópia forense por definição deve preservar os dados sob todos os aspectos, ou seja, nem seu conteúdo, nem suas propriedades, nem sua estrutura ou organização podem ser alterados. O fato é que quando um usuário de computador faz uma cópia simples de um arquivo ou de um conjunto de arquivos de um local para outro, não só a estrutura organizacional original foi alterada como também o recurso mais utilizado por examinadores forenses na reconstituição de eventos computacionais, as propriedades dos arquivos ou metadados.

Com suas propriedades alteradas fica impossível determinar com precisão quando um arquivo foi modificado pela última vez, criado ou até mesmo quem realizou interações com ele. Assim, arquivos copiados sem métodos forenses não podem ser considerados evidências, uma vez que sua integridade fica completamente comprometida.

Além de um procedimento correto para realização da cópia forense, é fundamental a utilização de metodologia adequada para controle de cadeia de custódia. Se você se interessa mais por esse assunto leia nosso post sobre cadeia de custódia clicando Aqui!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s