Resumo sobre Perícia Digital

1 INTRODUÇÃO

A prática da Perícia Digital, assim como outras áreas da Tecnologia da Informação, precisa seguir padrões e normas, bem como faz-se necessário conhecer e aprender técnicas e ferramentas para sua correta aplicação e execução. Conforme for avançando no texto será possível conhecer as técnicas e ferramentas mais utilizadas pelos profissionais da Perícia Digital.

Serão abordados alguns tópicos referentes as técnicas utilizadas em senários onde ocorreram os fatos, bem como será definido como proceder em determinadas ocasiões e quais os prós e contras de cada situação.


2 DESENVOLVIMENTO

A Perícia Digital, requer constante aprimoramento e aprendizado do profissional, bem como tecnologias e a parte jurídica que o compõe, afim de minimizar ou anular qualquer tipo de erro no julgamento e tratamento das evidências. O julgamento das informações deve-se dar de forma correta, pois qualquer erro pode ser desastroso e condenar um inocente, já o julgamento sem erros irá garantir que o culpado seja condenado.

Apesar de existir bons cursos, um perito forense precisa ser autodidata, pois a atualização das informações ocorre todo dia e a elaboração de novas técnicas e ferramentas é constante. O mercado está cheio de ferramentas que auxiliam nas perícias, algumas muito boas outras nem tanto, porém, nem sempre uma perícia pode ser realizada somente com ferramentas, existem boas práticas de perícia digital já consolidadas no mercado, entretanto não há leis específicas e sim leis que atuam de forma genérica na perícia digital.

O SWGDE (Scientific Working Group on Digital Evidence) foi fundado em 1998 pois percebeu-se que a análise de áudio, vídeo e imagens digitais migravam para o ambiente digital convergindo-se com a forense computacional, fazendo o desenvolvimento de alguns padrões trabalharem de forma integrada, onde, os processos e procedimentos são elaborados de forma a tornarem-se base de boas práticas de exploração de evidências digitais online e de laboratório. Hoje o SWGDE possui um extenso repositório com documentos sobre vários assuntos.

 

2.1 Sanitização de Mídias

Os procedimentos para sanitização (eliminação completa de qualquer organismo em um ambiente) de mídias ou processo de wiping como também é comumente chamado, dispõe as diretrizes necessárias para sobrescrever todos os dados contidos em uma mídia digital, para garantir que não haja contaminação de dados de casos anteriores contidos nela. Não há escolha de melhor software ou procedimento para realizar a sanitização, o mais importante é aferir a eficácia do processo, podendo ser simplesmente pela tentativa de recuperação da mídia sanitizada.

2.2 Processo para Arquivamento dos dados

O processo de arquivamento de dados dever ser feito de forma cautelosa, pois é muito importante ter em mente que mesmo após alguns anos ainda seja necessário acessar determinada informação, e por isso, tanto os dados quanto os programas utilizados na época do arquivamento devem estar disponíveis para possíveis restaurações, já que verões anteriores de programas podem não ser compatíveis com versões mais atuais, ou ainda serem descontinuados tornando-se obsoletos. É importante ressaltar que o backup dos dados arquivados também é necessário, bem como o ambiente ou instalações onde os mesmo que foram extraídos devem ser mantidos em cuidado.

2.3 Integridade dos dados na Perícia Digital

 

O uso das funções de Hash (mais indicado o SHA) é um dos métodos mais utilizados para verificação de integridade dos dados, gerando uma sequência de números obtidos através de algoritmos matemáticos que identificam os dados ou a imagem pericial de forma única.

Basicamente o processo de “garantia” da evidência digital poderia se resumir em quatro partes principais:

1) Segurança física e lógica dos dados;

2) Geração dos números Hash no ato da aquisição dos dados;

3) Verificação do número Hash obtido;

4) Releitura da imagem/dados periciado.

Sendo assim podemos afirmar que é necessário garantir a segurança física e lógica dos dados, afim de prevenir que a evidência ou imagem pericial seja contaminada por informações de casos anteriores assim como o acesso não autorizado a estas informações. Entretanto cabe ao perito encontrar a melhor forma para realizar esta etapa, escolhendo a que se adapta melhor ao seu contexto de trabalho, documentando todos os processos e procedimentos realizados.

Ao realizar a aquisição da imagem da mídia ou do dado em algum outro formato, este deverá passar pela geração do número hash imediatamente, sendo documentadas as devidas informações. O mesmo deve ser devidamente comparado com outro Hash para garantir que as informações não tenham sido alteradas, caso os Hashes não combinem, a investigação deverá ser interrompida imediatamente.

Um novo número hash deve ser gerado após a conclusão do exame pericial, para provar que os dados não foram corrompidos durante sua análise. Desta forma o perito garante que seu trabalho foi realizado de forma correta e sem alteração nos dados, garantindo que sua integridade não foi afetada durante a análise e o objetivo fora atingido, se resguardando também quanto a possíveis questionamentos a este respeito.

2.4 Aquisição de dados em sistemas online

Tem por principal objetivo a coleta de dados de sistemas online, também é chamada de “coleta a quente”. É de suma importância cuidados redobrados com esse tipo de coleta, pois há vários fatores a serem analisados e regras a serem seguidas, bem como restrições jurídicas, volume e volatilidade de dados, criptografias, fazendo com que o perito tenha um planejamento cuidadoso para não comprometer os resultados de forma negativa.

2.5 Memória

Para realizar a análise é necessário fazer um dump da memória no Linux podemos utilizar o “fmem”, e no windows o “Volatility”, ou ainda utilizar o FTK Imager que gera uma imagem completa para forense além do dump de memória.

Por ser extremamente volátil a memória deverá ser a primeira a ser analisada, já que também não devemos jamais desligar o dispositivo pois os dados em memória serão perdidos.

2.6 Aquisição do sistema como um todo

Inclui todo tipo de dado que pode ser útil no processo de análise forense, muitas vezes é necessário ultrapassar as barreiras legais para poder realizar a perícia, dados criptografados, perfis de administrador também necessitam de uma atenção maior e se for necessário deve-se procurar auxílio de terceiros. E é claro, muito importante conhecer diversos tipos de Sistemas Operacionais.

2.7 Melhores práticas na perícia digital

O SWGDE divide em várias partes cada uma dessas práticas, como podemos ver a seguir.

Para a aquisição da evidência:

 

Verificar com o responsável o equipamento necessário para conduzir à cena do crime;

Rever a autorização legal para apreensão da evidência observando as possíveis restrições existentes. Se necessário adquirir nova autorização para apreensão de evidências fora do escopo do caso;

Se for impossível remover a evidência da cena do crime/incidente, deve ser feita uma cópia ou imagem fiel a original utilizando os procedimentos pré­definidos;

Todos os suspeitos, testemunhas e demais pessoas no local devem ser removidas para local distante da evidência garantindo que nenhuma delas está em posse de alguma evidência em potencial;

Buscar informações relevantes junto a suspeitos, testemunhas, administradores de rede dentre outros a fim de se garantir o conhecimento necessário da evidência a ser apreendida. (Ex.: senhas, nomes de sistemas, endereços de e­mail, etc);

A cena do crime/incidente deve ser pesquisada de forma sistemática e cuidadosa a procura da evidência, sendo que o perito deve saber reconhecer os mais variados tipos de evidências;

Manipulação da evidência:

Se o computador estiver desligado este não deve ser ligado novamente;

Antes de desligar o computador deve-se atentar para um possível software de criptografia instalado no mesmo ou nativo do sistema operacional.

Caso positivo, devem-se utilizar procedimentos específicos para captura dos dados antes de desligar o computador;

Avaliar a necessidade de energia para dispositivos com memória não volátil e seguir a política ou procedimento para o tratamento desses dispositivos;

Documentar a condição da evidência encontrada (tirar fotografias da tela do computador por completo e o ambiente onde este se encontra. Fazer um esboço das conexões existentes no computador e em todo o ambiente.)

Documentar todas as conexões existentes de todos os componentes;

Documentar todos os danos já existentes na evidência encontrada;

Com relação ao desligamento de computadores desktops e notebooks:

 

Desconectar todas as fontes de energia existentes retirando-se diretamente da tomada;

Retirar baterias de notebooks;

Colocar a fita indicando “evidência” no conector do plug de energia atrás do computador, lacrando sua entrada;

Para este tipo de desligamento, é importante salientar que este poderá danificar o sistema operacional em questão. Assim deve-se obter a devida autorização principalmente no caso de servidores, em que muitas vezes o dano poderá trazer sérias consequências para o responsável.

Com relação a computadores desktops/servidores:

Deve haver uma determinação em relação à extensão dos dados que devem ser adquiridos;

Capturar dados voláteis caso necessário;

Usar os comandos apropriados caso seja necessário o desligamento do dispositivo;

Cada peça coletada deve ser protegida contra modificação/acesso não autorizado e a cadeia de custódia deve ser mantida conforme descrita nos procedimentos.

Embalar a evidência de forma correta utilizando-se de:

a)    Plásticos, papéis, bolsas específicas;

b)    A torre do computador deve ser selada na parte de abertura da caixa e na conexão de energia;

c)    Dispositivos com memória voláteis devem ser embalados de forma a manter seu funcionamento, caso não seja possível sua coleta naquele momento.

Devem-se tomar cuidados no transporte da evidência protegendo-a contra danos físicos, vibrações, campos magnéticos ou eletroestáticos, variações de temperatura, humidade, etc.

Criação da imagem da mídia:

Documentar a condição atual da evidência;

Devem ser tomadas precauções para prevenir as evidências contra exposição à materiais contaminados com alguma substância ou material perigoso;

Todos os itens encaminhados para análise forense devem ser avaliados pela integridade de sua embalagem de transporte. Todas as observações vistas devem ser documentadas. Caso não seja possível realizar a perícia devido a este fator, este também deve ser documentado. Qualquer outra observação acerca da diferente condição da evidência no momento da aquisição e no recebimento deve ser documentada;

Devem ser utilizados algum hardware ou software writeblocker a fim de se prevenir alguma modificação na evidência;

Métodos de aquisição da evidência devem ser verificados para aplicabilidade forense;

As imagens da mídias devem ser realizadas utilizando-se de hardware ou software capazes de realizar cópias bit a bit da fonte original;

Evidências encaminhadas para análise devem ser mantidas de forma que sua integridade não seja comprometida;

Devem ser utilizadas mídias de forma que dados de casos diferentes não fiquem entrelaçados;

As mídias/imagens devem ser arquivadas e mantidas de acordo com as leis previstas;

Análise Forense:

O perito deve rever toda a documentação provida pelo requisitante (pessoa ou empresa que solicitou a perícia) para determinar o processo necessário a fim de realizar o exame garantindo sua validade jurídica;

Deve­se considerar os seguintes itens antes de iniciar um exame:

  • A urgência e a prioridade que o requisitante precisa das informações;
  • Outros tipos de análise forense, que podem precisar de cuidados com o item periciado;
  • Quais itens são potenciais fontes de informações no inventário de evidências;

Uma estratégia de análise deve ser de consentimento de todos os envolvidos;

Deve­se evitar conduzir uma análise na mídia original sempre que possível;

Deve­se utilizar práticas, processos e procedimentos aceitos na atuação forense;

O exame deve ser realizado sempre de forma sistemática, tanto a nível lógico quanto a nível físico.

É muito importante que o perito tenha expertise e conheça várias técnicas afim de saber qual a melhor para utilização em determinado senário.

3 CONCLUSÃO

 

 

A Perícia Digital está cada vez mais presente no cotidiano das investigações criminais, por isso o uso das técnicas empregadas no texto deve ser feito da melhor maneira possível dentro do contexto da investigação. Foi possível perceber também que há várias ferramentas sendo algumas gratuitas que auxiliam no processo, bem como a importância do estudo autodidata e conhecimento em várias áreas da Tecnologia da Informação são indispensáveis.


REFERÊNCIAS

 

CAIXETA, T. F. G, Revista Segurança Digital – 9° Edição, 2012.