Por Thiago Alvarenga
ALGUMAS PRÁTICAS DA PERÍCIA DOS CRIMES DE INFORMÁTICA
A perícia forense de informática envolve algumas particularidades, é necessário manter as provas materiais preservadas e neste quesito, em uma busca e apreensão os equipamentos e as mídias precisam estar preservadas afim de garantir a integridade das informações.Uma inicialização não controlada sem as devidas "duplicações periciais" pode comprometer todos os dados. As informações contidas nestas mídias, sejam Discos Rígidos, Unidades Removíveis ou outros, podem ser duplicadas mantando a total integridade dos dados, visto que o exame direto em um determinado dado pode alterar metadado¹, a data de acesso, data de modificação e entre outros.
TIME LINE (LINHA DO TEMPO)
A linha do tempo e a cronologia dos eventos na COMPUTAÇÃO FORENSE é um dos objetos de estudos mais sensível, denominada de: "time line". Decorre sobre estabelecer uma linha do tempo para alcançar determinado autor ou corroborar outros fatos para chegar ao responsável de determinada ação criminosa. Ela evidencia toda a trajetória de um ação delitiva, desde seu início até a consumação do crime e isto pode demonstrar a premeditação, metodologia e organização de uma quadrilha especializada em crimes digitais. Por exemplo.
IMAGENS PERICIAIS
Ao que tange as imagens abordada nos parágrafos anteriores, elas podem ser reproduzidas de diferentes formas, três formas mais habituais podem ser abordadas:
- Remoção da mídia do equipamento para devida estação de duplicação;
- Reprodução de imagem no próprio equipamento a ser examinado;
- Clonagem via rede utilizando um canal criptografado até uma central de perícia;
Tratando-se de uma cópia de uma mídia, quase sempre é utilizada uma técnica denominada "bit-a-bit", ela é capaz de copiar todos os dados incluindo os que foram apagados, ainda que um arquivo já não faça parte da tabela de alocação de arquivos.
Em alguns casos em uma ação judicial é feita a soma de verificação, a parte acusada pode questionar a veracidade dos dados e como esses dados chegou até a conclusão do parecer técnico da perícia. Desta feita, a pericia utiliza métodos para garantir que às características e geometria dos discos sejam equiparados no momento da duplicidade (clonagem). Em um disco rígido, é observado o tamanho, o número de cilindros, cabeças e setores de forma que a nova mídia tenha compatibilidade técnicas para receber a duplicação. Por exemplo!
Por outro lado, quando levamos para o disco rígido do estado sólido (SSD - solid state disk) podemos ler a citação abaixo para entender melhor:
Os SSDs apresentam, no entanto, diversos desafios à forense computacional, no que se refere à recuperação de dados excluídos e à forense digital, quando comparados com os discos rígidos: mecanismos internos que podem dificultar ou até inibir a recuperação de dados excluídos nessas mídias, podendo levar à perda, intencional ou não, de informações que poderiam, num âmbito judicial, constituir potenciais evidências. São dois os principais mecanismos de um SSD que podem levar a essa perda: processo de coleta de lixo e o comando TRIM. RIBEIRO, João Vitor Assis. Os discos de estado sólido e a forense computacional. Conteudo Juridico, Brasilia-DF: 06 abr. 2017
Segundo Ribeiro 2017, o uso por si só de um SSD já pode ser considerado, até certo ponto, como uma medida antecipada de anti-forense.
Voltando ao assunto da Soma de verificação, é sábio explanar que trata-se de uma assinatura digital resultante da utilização de um algoritmo sobre a mídia de prova e sobre a mídia de destino, um análogo a função hash², isto resultará em uma identificação única que qualquer alteração sobre a assinatura original invalidará a prova. Para alcançar essa verificação é feita uma verificação de assinatura (soma de verificação MD5) antes e depois de cada dado coletado, neste caso, a mídia.
O algoritmo MD5 tem uma aceitação muito grande na comunidade computacional, em abril de 1992 foi publicada a RFC 1321 (ftp://ftp.isi.edu/in-notes/rfc1321.txt) por Ron Rivest do MIT Laboratory for Computer Scienci and RSA Data Security, Inc., ela descreve suas características e modos de utilização. Softwares como MD5Summer de Luke Pascoe é um exemplo que pode ser citado.
É importante ainda citar alguns hardwares utilizados nas pericias, veja logo abaixo:
• Câmera fotográfica;
• HD externo de leitura e escrita;
• HD externo protegido contra escrita (Talon, Solo-III ou Dossier,
por exemplo);
• CDs de inicialização ou equivalentes com softwares forenses, tais
como: Helix, DEFT, CAINE, BackTrack, Encase LinEn;
• CDs de inicialização ou equivalentes contendo softwares forenses,
tais como: Microsoft COFEE, FTK Imager Lite, NUDETECTIVE,
etc;
• CDs e DVDs virgens;
• Conjunto de cabos IDE, PATA, SATA, SCSI, SAS;
• Discos rígidos de capacidade de armazenamento adequada;
• Equipamento computacional portátil equipado com softwares forenses.
(SENASP, 2013, p. 99).
Além das ferramentas de hardware citadas acima, há também os softwares utilizado nas perícias, o Safeback (http://forensic-intl.com), por exemplo, é um dos softwares de duplicação mais utilizado.
A principal preocupação é a de invalidar a prova digital, qualquer tipo de ação que leve a dívida em um processo judicial pode invalidar tal laudo. Por este motivo todo o processo de perícia deve ser feita obedecendo certos padrões e ferramentas.
¹Metadados - são dados dos arquivos. Indicam status dos dados como data de criação, data de acesso, data de modificação, tamanho e outros.
² Uma função hash é um algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo. Os valores retornados por uma função hash são chamados valores hash, códigos hash, somas hash (hash sums), checksums ou simplesmente hashes. Fonte: Wiki
Bibliografia
https://www.dfrws.org/sites/default/files/session-files/paper-empirical_analysis_of_solid_state_disk_data_retention_when_used_with_contemporary_operating_systems.pdf acesso: às 12:50 do dia 22 de Junho de 2019.
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.173.7020&rep=rep1&type=pdf acesso: às 11:49 do dia 22 de Junho de 2019.
https://repositorio.ufpe.br/bitstream/123456789/15966/1/Mestrado%20-%20CIn-UFPE%20-%20Jos%C3%A9%20Paulo.pdf acesso: às 11:32 do dia 22 de junho de 2019.
https://br.easeus.com/data-recovery-solution/free-hard-drive-data-recovery-software.html acesso: às 12:55 do dia 22 de junho de 2019.
https://br.easeus.com/data-recovery-solution/free-hard-drive-data-recovery-software.html acesso: às 12:55 do dia 22 de junho de 2019.
Marcelo Antonio, Sampaio Lemos Costa. Computação Forense - Millennium 2003
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.