Creio que não haja assunto mais conveniente para começarmos este blog do que falar sobre os procedimentos na coleta e análise de evidências relacionadas à computação forense. A diferença entre o sucesso e fracasso em uma perícia depende de se seguir alguns procedimentos básicos desde o ato da apreensão até o início dos exames.
- No ato da apreensão os equipamentos e mídias deverão ser devidamente identificados, catalogados e corretamente acondicionados para serem enviados para a perícia;
- Estes equipamentos e mídias não deverão ser utilizados sob nenhum argumento;
- Ao serem enviados para a perícia, os materiais/equipamentos apreendidos deverão estar descritos na guia pericial ou no expediente de encaminhamento, contendo a data e hora da apreensão;
Tais cuidados têm um motivo. A apreensão é o início da cadeia de custódia do material e qualquer acesso aos sistemas de arquivos dos discos rígidos e outras mídias, caracterizarão violação de local de crime, pondo em risco as evidências que possam ser encontradas.
No ato da perícia podemos determinar com precisão a data e hora em que os equipamentos foram ligados e desligados pela última vez, assim como o último acesso aos arquivos relacionados com a prova. Caso os arquivos encontrados tiverem estampas de último acesso após a apreensão dos equipamentos e mídias, ficará claro que houve acesso indevido aos mesmos.
A perícia é realizada em uma imagem das mídias apreendidas ou na própria, entretanto em ambos os casos são utilizados hardwares e/ou softwares que bloqueiam a escrita no disco e consequentemente a alteração das estampas de data e hora dos arquivos.
Em breve falaremos sobre os procedimentos periciais e sobre como podemos determinar a data e hora do último início e desligamento dos equipamentos.