Computação Forense
A forense computacional foi criada com o objetivo de suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.
A forense computacional pode produzir informações diretas, que por sua vez, podem ser decisivas em um dado caso.
É importante salientar que a veracidade dessas informações também são passíveis de validação como em qualquer outro tipo de análise forense, pois dependendo das circunstâncias, as informações coletadas podem ter sido manipuladas de forma a induzir o perito a tirar conclusões erradas sobre o caso.
Para resolver um mistério computacional nem sempre é fácil; deve se analisar o sistema como um detetive que examina a cena de um crime, e não como um usuário comum. Muitas das habilidades necessárias para se procurar um erro em um código fonte são também necessárias para uma análise forense, tais como: raciocínio lógico, entendimento das relações de causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta.
Perícia em um computador suspeito envolve uma série de conhecimentos técnicos e a utilização de ferramentas adequadas para a análise, que é justificado pela necessidade indiscutível de não alterar o sistema que está sendo analisado. Tais alterações, se efetuadas, podem ser traduzidas como mudanças nos tempos de acesso aos arquivos, prejudicando assim uma das mais poderosas formas de se reconstituir o que aconteceu na máquina em um passado próximo. Geralmente as ferramentas convencionais não têm a preocupação de manter a integridade dos tempos de acesso.
Alguns procedimentos devem ser seguidos pelo perito para garantir que a evidência não seja comprometida, substituída ou perdida, pois, se estes não forem seguidos, num tribunal, os juízes poderão considerar que essas evidências são inválidas e os advogados de defesa poderão contestar sua legitimidade, prejudicando assim o caso. Em muitos casos, as únicas evidências disponíveis são as existentes em formato digital. Isto poderia significar que a capacidade de punição a um invasor pode estar diretamente relacionada com a competência do perito em identificar, preservar, analisar e apresentar as evidências.
Sendo assim, é notória a importância do perito e a responsabilidade a ele confiada. Tal postura, se seguida, produzirá um trabalho revestido de incontestabilidade diante do tribunal. A perícia forense possui quatro procedimentos básicos: identificação, preservação, análise e apresentação. As tarefas envolvidas em uma investigação se enquadram em um desses grupos, como podem ser realizadas através da maioria ou de todos eles.
Identificando as evidências
Dentre as várias tarefas envolvidas no caso, é necessário estabelecer quais são as informações mais relevantes, como datas, horários, nomes de pessoas, empresas, endereços eletrônicos, nome do responsável ou proprietário pelo computador e etc.
Diferentes crimes resultam em diferentes tipos de evidência, e, por este motivo, cada caso deve ser tratado de forma específica. Por exemplo, em um caso de acesso não autorizado, o perito deverá procurar por arquivos log, conexões e compartilhamentos suspeitos; já em casos de pornografia, buscará por imagens armazenadas no computador, histórico dos sites visitados recentemente, arquivos temporários e etc. A velocidade do perito em identificar as evidências vai depender do seu conhecimento sobre o tipo de crime que foi cometido e dos programas e Sistemas Operacionais envolvidos no caso. Para encontrar possíveis evidências deve se:
- Procurar por dispositivos de armazenamentos (hardware): laptops, HDs, disquetes, CDs, DVDs, drives Zip/Jaz, memory keys, pendrives, câmeras digitais, MP3 player, fitas DAT, Pocket PC, celulares, dispositivos de backup ou qualquer equipamento que possa armazenar evidências;
- Procurar por informações relacionadas ao caso como: anotações, nomes de pessoas, datas, nomes de empresas e instituições, números de telefones, documentos impressos etc.;
- Distinguir entre evidências relevantes e irrelevantes em uma análise.
Cadeia de custódia
Segundo o princípio de Locard, através do contato entre dois itens, irá haver uma permuta. Este princípio é aplicável nas cenas do crime, no qual o interveniente da cena do crime entra em contato com a própria cena onde o crime foi executado, trazendo algo para este. Cada contato deixa o seu rastro.
Sendo assim, todo contato entre quaisquer pessoas ou objetos com a cena do crime pode produzir vestígios, que por mínimos que sejam, poderão servir como base para elucidação dos fatos de um crime. A regra número um em uma investigação é não destruir ou alterar as provas, ou seja, as evidências precisam ser preservadas de tal forma que não haja qualquer dúvida sobre a sua veracidade. A inobservância de certos procedimentos no momento da coleta de dados e no transcorrer da análise forense pode significar a diferença entre o sucesso e o fracasso de uma perícia, pois, além de comprometer a veracidade de uma prova, o que a colocaria em dúvida perante o tribunal, poderia também comprometer a sua integridade.
Devido ao uso do contraditório, num tribunal, a defesa pode questionar a legitimidade dos resultados de uma investigação, alegando que as evidências foram alteradas ou substituídas por outras.
Devido a essa possibilidade, é de total importância que o perito faça uso da cadeia de custódia, que, é utilizada para provar onde as evidências estavam em um determinado momento e quem era o responsável por elas durante o curso da perícia. Tal documentação é de suma importância para garantir que as evidências não foram comprometidas e para mapear individualmente os responsáveis num dado momento.
Para que as evidências não sejam comprometidas, substituídas ou perdidas durante o transporte ou manuseio no laboratório, é recomendável que sejam seguidos os seguintes passos:
- Criar imagens do sistema investigado, também conhecido como duplicação pericial, para que as evidências digitais possam ser analisadas posteriormente;
- Se o caso necessitar de uma análise ao vivo, salvar as evidências em um dispositivo externo e bloqueálos contra regravação;
- Todas as evidências físicas deverão ser lacradas em sacos e etiquetadas;
- A etiqueta deverá conter um número para a identificação das evidências, o número do caso, a data e o horário em que a evidência foi coletada, e o nome da pessoa que está manuseandoa;
- Etiquetar todos os cabos e componentes do computador, para que depois possam ser montados corretamente quando chegar ao laboratório;
- Os HDs deverão ser armazenados em sacos antiestáticos, para evitar danos e corrompimento dos dados;
- Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto, sujeira, calor excessivo, eletricidade e estática;
- Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e trancadas para evitar a adulteração até o momento em que poderão ser examinadas e analisadas;
- Todas as mudanças feitas durante esta fase deverão ser documentadas e justificadas no documento referente à cadeia de custódia.
Analisando as evidências
O propósito desta fase é tentar identificar quem fez, quando fez, que dano causou e como foi realizado o crime. Mas, para isso, o perito deverá saber o que procurar, onde procurar e como procurar. Após analisar as evidências o perito poderá responder às seguintes questões:
- Qual a versão do Sistema Operacional que estava sendo investigado?
- Quem estava conectado ao sistema no momento do crime?
- Quais arquivos foram usados pelo suspeito?
- Quais portas estavam abertas no Sistema Operacional?
- Quem logou ou tentou logar no computador recentemente?
- Quem eram os usuários e a quais grupos pertenciam?
- Quais arquivos foram excluídos?
Esta fase será a pesquisa propriamente dita, em que praticamente todos os filtros de informação já foram executados. A partir deste ponto o perito poderá focalizar se nos itens realmente relevantes ao caso em questão. É nesta fase que os itens farão sentido e os dados e fatos passarão a ser confrontados.
Apresentando a análise
O laudo pericial é um relatório técnico sobre a investigação, no qual são apontados os fatos, procedimentos, análises e o resultado. O perito faz o laudo, e, a partir das evidências, a decisão é da Justiça.
- O laudo deve ser claro, conciso, estruturado e sem ambigüidade, de tal forma que não deixe dúvida alguma sobre a sua veracidade;
- Deverão ser informados os métodos empregados na perícia, incluindo os procedimentos de identificação, preservação e análise, e o software e hardware utilizados;
- O laudo pericial deve conter apenas afirmações e conclusões que possam ser provadas e demonstradas técnica e cientificamente.
Abraços,
Ranieri Marinho de Souza
Segurança da Informação
