2. Luiz Sales Rabelo
2
• Consultor TechBiz Forense Digital desde 2009
• Certificações internacionais EnCE e ACE
• Membro Comissão Crimes Alta Tecnologia OAB/SP
• Membro HTCIA - Chapter Brasilia
• NÃO SOU ADVOGADO!!
3. Conceitos Básicos
3
Reconhecendo um incidente (ISO 17799:2005)
• Perda de serviço
• Mal funcionamento ou sobrecarga de sistema
• Falha humana
• Vulnerabilidades no controle do acesso físico
• Violação de Acesso
4. Ciência Forense
Metodologia científica aplicada, que atua em conjunto com o
Investigador e é utilizada para esclarecer questionamentos
jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
4
6. Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam
muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS (data, origem/destino,
templates)
6
17. “Efeito” CSI
• Adaptação livre do tema para televisão
• Relata fatos no formato de série de TV
• Diferença quanto a métodos, organização e tempos
17
25. Início do Caso
• Fotografar e/ou filmar o ambiente
• Realizar ata notarial ou documento que ateste o
acautelamento de informações
• Elaboração do documento de custódia
• Preservação das Evidências
• Duplicação (Coleta)
25
26. Notificação a Agentes da Lei
Obrigatória quando envolver:
• Pornografia infantil
• Crimes contra vida (assassinato, estupro...)
• Crimes de ódio (racismo, homofobia...)
• Perigo a Segurança Nacional (terrorismo...)
26
30. Coleta
• Não é recomendável realizar perícia
diretamente na prova.
• Devem ser realizadas cópias forenses
de forma a preservar a evidência.
• Organização!
• Cautela!
30
32. Integridade de Dados
• Algoritmos de Hash
• MD5
• SHA-1
• SHA-256
• Softwares para Pericia
• Bloqueadores de Escrita
• Técnicas para proteção contra gravação
32
34. Objetivo da Análise
Extrair de um universo de dados coletados, informações que
direta ou indiretamente associem um indivíduo a uma
determinada atividade.
34
35. File Systems
Arquivos localizados no computador periciado devem ser
avaliados minuciosamente. Alguns dos pontos a serem
analisados são:
• Assinatura de arquivos
• Imagens de dispositivos
• ADS (Alternate Data Streams)
35
37. Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
37
38. Data Carving
38
Esculpir informações a partir
dos dados disponíveis no
disco rígido suspeito
40. Relatório
40
• Oficializar encerramento do caso
• Preenchimento dos documentos de
controle
41. Geração de Relatório
Bookmarking
• Seleção de informações relevantes, realizada durante o
processo de análise
Geração de relatórios
• Correlação das hipóteses com as evidências coletadas,
agrupamento de todos os aspectos avaliados e conclusão.
41
42. Linguagem Utilizada
Dependendo do tipo de
investigação, a linguagem dos
relatórios pode, ou não, ser
técnica. O acerto de expectativas e
objetivos é realizado no início do
processo de investigação.
42
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
Desde que os celulares passaram a fazer parte da vida dos cidadãos, tornaram-se também uma riquíssima fonte de informações sobre as ações executadas por estes. Mesmo os celulares mais antigos (com exceção dos enormes rádios da década de 80) guardavam informações importantes, como por exemplo as últimas chamadas realizadas, as últimas mensagens enviadas e recebidas, assim como data e hora desses eventos. Não podemos nos esquecer também das ricas agendas de contatos, que constituem por si só um banco de dados pronto para ser utilizado.
Com a convergência de tecnologias, os celulares da atualidade possuem processamento e funcionalidade superiores aos computadores de alguns anos atrás, sendo amplamente utilizados para navegação na web, troca de mensagens eletrônicas (e-mail), troca de mensagens instantâneas, fotos e filmes.
Outro ponto comprometedor nos celulares da atualidade é que os mesmos podem estar infectados (vírus) ou possuir conteúdo não licenciado como jogos, ringtones, temas, etc.
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.
Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
Durante um processo legal, as evidências digitais apresentadas devem ser sempre autênticas e obtidas de forma confiável. Para tanto, deve-se garantir que o processo de obtenção e análise não altere nenhum dado armazenado num computador ou dispositivo de armazenamento. Garantindo-se a confiabilidade dos dados coletados e analisados, pode-se garantir também que os resultados encontrados serão corretos e confiáveis. Outro fator importante para uma análise de qualidade diz respeito à preservação dos dados. Quanto mais completa for a informação disponível, maior será o potencial para encontrar informação relevante no conjunto de dados.
Todas as mídias de armazenamento temporário das evidências, utilizadas no processo de investigação, devem ser saneadas no encerramento do caso, possibilitando sua reutilização para casos futuros.
Tal medida é absolutamente essencial para evitar problemas de cross-contamination: contaminação das evidências pelo perito, no processo de investigação.
Isso significa que não basta apenas apagar os dados, ou mesmo excluir as partições . Como visto anteriormente, tal procedimento apenas desaloca os cluster nos quais os dados estão armazenados. É preciso executar um wipe completo para garantir a remoção de todas as informações.
Wipe: Técnica de remoção de informações que apaga e sobrepõe os dados presentes nos clusters alocados para os arquivos alvo, objetivando impossibilitar a recuperação das informações originais.
Existem diversos produtos (free e comerciais) para realizar o wipe de mídias, tais como: EnCase, Axcrypt, Dban, Sdelete (Sysinternals). A maioria dos hardwares de duplicação de disco também possuem a funcionalidade de wipe.
A maioria das soluções usa como referência a norma 5220.22-M, do Departamento de Defesa dos Estados Unidos, que define o método para o processo de wipe.
Nesta imagem é possível visualizar o resultado do processo de wipe em uma mídia, realizado pela ferramenta EnCase.
Pela visualização em hexadecimal, verifica-se que o disco está “zerado” (0, no caso, foi o caractere escolhido para sobrescrever os dados no wipe).
Deve-se documentar o ambiente da melhor maneira possível, para que seja possível em outra ocasião remontá-lo, caso necessário. Incluindo assim fotos, vídeos e inventário escrito das evidências encontradas na cena.
Em casos específicos quando a investigação será levada a juízo, deve-se fazer uso, como boa prática, da ata notarial feita por um tabelião para dar fé ao procedimento e provas que serão acauteladas ao processo.
O documento de custódia mapeia o caminho realizado pela evidência ou prova durante seu trâmite desde a coleta a geração do relatório ou laudo.
Os vestígios ( evidências ) devem ser preservados para preservar a integridade e autenticidade dos dados que serão coletados.
Inicia-se então a coleta dos dados, que comumente chamamos na área computacional de duplicação forense, espelhamento ou clonagem.
Caso haja rompimento da cadeia de custódia ou até mesmo falha em algum dos procedimentos que serão mostrados a frente, principalmente no momento de coleta, pode invalidar a utilização das evidências coletadas fazendo com que não haja comprovação probatória das mesmas.
A notificação não é opcional, é obrigatória, pois em sendo omisso também há imputação de responsabilidade. A partir do ponto da notificação ou queixa-crime a polícia será encarregada das investigações.
Alguns exemplos dos crimes citados acima :
Crimes contra vida – Assassinato, Latrocínio, Estupro, Seqüestro, ...;
Crimes de ódio – Racismo ou qualquer tipo de discriminação;
Segurança Nacional – Terrorismo, vazamento de informações estratégicas ao Brasil, invasões estrangeiras, ...
De acordo com [1] :
“É a movimentação e localização da evidência física do momento em que ela é obtida até o momento em que é apresentada em corte.”
Então podemos dizer que é o processo pelo qual se descreve, através de um documento, o caminho e ações realizadas nas evidências manipuladas durante o trâmite pericial. O processo de custódia então serve para registrar e monitorar tais ações.
Ainda são poucas as instituições, incluindo as policiais, que utilizam este mecanismo em seus processos investigativos ou periciais, mas já se reconhece a necessidade de melhorar os controles de custódia da informação durante o processo como um todo.
Como na perícia forense computacional há a possibilidade de se gerar uma cópia idêntica a evidência original, é importante que isto esteja também documentado no documento de custódia, para que não seja possível haver contestações em relação a análise das evidências.
[1] - http://legal-dictionary.thefreedictionary.com/chain+of+custody. Texto Original : “The movement and location of physical evidence from the time it is obtained until the time it is presented in court.”
O documento de custódia deve conter informações, tais como :
Número do caso;
Modelo e número de série do equipamento;
Investigador, tipo de ação efetuada, origem, destino, data e hora da ação;
Com este documento preenchido corretamente é possível ter registrado todas as atividades realizadas com as informações acauteladas.
Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação.
Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
Processo também chamado de clonagem ou duplicação. Esse tipo de cópia permite que o perito ao analisar as evidências, independa do sistema operacional para encontrar os arquivos residentes na máquina, isto é, é possível desta forma recuperar arquivos parcialmente ou integralmente dependendo apenas dos dados ainda existirem no disco.
Para verificar a validação/integridade de arquivos na computação forense, utilizamos os hashes do conteúdo dos arquivos, que é o resultado de uma função matemática unívoca, isto é, dita irreversível. Hoje existem vários algoritmos que são utilizados para gerar hash, sendo que os mais utilizados são MD5, SHA-1 e SHA-256.
A Fase de análise inicia-se após a coleta dos dados nos dispositivos envolvidos na investigação. É nesta fase que buscamos informações que possam ser utilizadas em um processo de investigação, seja ela interna ou policial.
Ao realizar a coleta, criamos um conjunto enorme de dados que precisam ser “Triturados e peneirados” para que possamos extrair os pedaços de informação que realmente podem ligar o indivíduo investigado ao objeto de investigação ou, em alguns casos, provar sua inocência
Uma das vantagens de se conhecer a estrutura dos sistemas de arquivo é que podemos recuperar arquivos que foram apagados, mas ainda não sobrescritos. Quando um arquivo é apagado, o sistema de arquivos simplesmente libera os espeço que ele ocupava no disco para uma futura gravação, sem que seu conteúdo seja imediatamente sobrescrito. A medida em que novas gravações são realizadas no disco, e dependendo da taxa de ocupação do disco, o arquivo apagado vai sendo sobrescrito, mas ainda é possível recuperar mesmo que parcialmente este arquivo.
Diversas ferramentas gratuitas podem ser utilizadas para tal propósito, daremos como exemplo a Recuva, Recover4All e R-Undelete.
Quando ligamos um computador, ele é um dispositivo “vazio”; ele não é um Windows, um Linux ou um Mac, é apenas um monte de componentes eletrônicos (Hardware) esperando por instruções sobre como trabalhar. Todos os computadores possuem um processo de inicialização, chamado processo de Boot, no qual buscam em seus componentes por um sistema operacional, que os dirá como se comportar. Este sistema pode ser encontrado em um Disquete, CD, DVD, Pen drive, placa de rede ou em um Disco Rígido (HD - Hard Disk), sendo este último a mídia onde encontramos com mais frequência o sistema operacional.
Nos primeiros bytes do HD encontramos o programa que carrega o sistema (Loader) e a descrição do sistema de arquivos, uma vez que um sistema operacional pode trabalhar com diversos tipos diferentes de sistemas de arquivos. Os sistemas de arquivos são as estruturas que os sistemas operacionais utilizam para guardar os dados dentro dos dispositivos (discos, pen drives, etc). O que torna o conhecimento da estrutura e das nuances desses sistemas um item obrigatório para os analistas de forense digital. Conhecer a estrutura dos próprios arquivos também faz parte dos requisitos de um analista forense.
Tomemos como exemplo os arquivos cuja extensão não confere com o seu real tipo. Uma pessoa pode ter diversos arquivos de pornografia infantil em seu computador, e renomear os a extensão dessas fotos de JPG para TXT, por exemplo.
Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação.
Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
O encerramento do caso deve ser documentado com a utilização, no mínimo, dos seguintes registros:
Documento de Registro de Término do Caso
Registra oficialmente o encerramento do caso.
Preenchimento da Ficha de Acompanhamento Gerencial
Este documento registra tarefas, os responsáveis por sua execução, e datas de execução das atividades. Provê uma visão macro do andamento do caso, apoiando a gestão do processo de investigação. Por ser uma ficha de controle, não possui informações detalhadas (estas devem estar nos documentos específicos de cada etapa, como, por exemplo, as anotações do caso, ou o do Documento de Controle da Sanitização das Mídias).
Preenchimento do Documento de Controle da Sanitização das Mídias
Registra como foi realizado o processo de wipe das mídias reutilizáveis. Deve indicar o técnico responsável, o método de wipe utilizado em cada mídia, a forma de verificação, e informações adicionais como data/hora, etc.
Os documentos citados devem ser armazenados, ao final no caso, juntamente com os outros documentos gerados pelas outras fases do processo de investigação.
Bookmarking
Durante o processo de perícia, o investigador deve destacar as evidências à medida em que as encontra, para que não se percam na imensidão de dados que geralmente são coletados em um caso. As ferramentas integradas de perícia dispõem desse recurso,