Uma abordagem prática sobre Computação Forense

Em 1991, seis instituições legais internacionais em conjunto com instituições legais americanas, iniciaram em Charleston, Carolina do Sul, a primeira discussão a respeito da padronização dos exames em computadores. Em 1993 o FBI organizou uma conferência sobre computação forense que voltou a se repetir em 1995, 1996 e 1997, quando terminaram culminando com a criação da IOCE – International Organization for Computer Evidence. Ao mesmo tempo foi criado nos Estados Unidos o SWGDE – Scientific Working Group on Digital Evidence, que em 1999 foi encarregada de apresentar as recomendações, princípios e definições para a computação forense. Em 2004 foi publicada a versão 1.0 da Best Pratices for Computer Forensics, que sugeria a adoção de uma série de procedimentos mínimos que possibilitassem a apreensão, aquisição e análise de dispositivos computacionais para que as evidências levantadas tivessem valor legal em qualquer país, visto que uma das características dos crimes de tecnologia é não respeitar fronteiras territoriais.

Os procedimentos propostos são básicos e globais e isso significa que não são suficientes, exigindo dos países que os adotem, também desenvolvam seus procedimentos locais complementares.

Quando lidamos com evidências forenses, os procedimentos devem contemplar aspectos técnicos e legais, de modo que não infrinjam as legislações sobre o assunto. Vejamos como exemplo a interceptação de dados.

A lei nº 9.296, de 24 de julho de 1996, que trata das interceptações telefônicas e “do fluxo de comunicações em sistemas de informática e telemática

Na perícia de computadores frequentemente nos deparamos com uma grande quantidade de arquivos para analisar, demandando um enorme esforço no exame. A maioria dos arquivos porém não oferecem nenhum valor probatório e se fossem filtrados reduziriam o universo da pesquisa nos arquivos da evidência, eliminando arquivos conhecidos e inalterados dos sistemas instalados.

Imaginemos um notebook com sistema operacional, suíte office, antivírus e outros aplicativos instalados. Os arquivos destes sistemas não têm valor probatório e caso não os separemos certamente demandarão muito esforço na análise.  E como realizar esta filtragem?

O NIST (National Institute of Standards and Technology) é uma agência reguladora federal que dentre tantos outros projeto é a responsável pelo projeto denominado NSRL (National Software Reference Library) que produz uma lista de assinaturas digitais de arquivos de softwares conhecidos e certificáveis, que contém atualmente cerca de 28 milhões de assinaturas de arquivos.

Esta lista é conhecida como “Lista NIST” e distribuída gratuitamente no site da NSRL nos formatos RDS, Encase 5 e 6, Hashkeeper e Vogon.

O termo “deNIST” consiste na separação dos arquivos constantes da lista NIST diminuindo o universo de pesquisa do perito em computação forense, reduzindo o tempo de realização do seu trabalho.

Creio que não haja assunto mais conveniente para começarmos este blog do que falar sobre os procedimentos na coleta e análise de evidências relacionadas à computação forense. A diferença entre o sucesso e fracasso em uma perícia depende de se seguir alguns procedimentos básicos desde o ato da apreensão até o início dos exames.

1. No ato da apreensão os equipamentos e mídias deverão ser devidamente identificados, catalogados e corretamente acondicionados para serem enviados para a perícia;
2. Estes equipamentos e mídias não deverão ser utilizados sob nenhum argumento;
3. Ao serem enviados para a perícia, os materiais/equipamentos apreendidos deverão estar descritos na guia pericial ou no expediente de encaminhamento, contendo a data e hora da apreensão;

Tais cuidados têm um motivo. A apreensão é o início da cadeia de custódia do material e qualquer acesso aos sistemas de arquivos dos discos rígidos e outras mídias, caracterizarão violação de local de crime, pondo em risco as evidências que possam ser encontradas.

No ato da perícia podemos determinar com precisão a data e hora em que os equipamentos foram ligados e desligados pela última vez, assim como o último acesso aos arquivos relacionados com a prova. Caso os arquivos encontrados tiverem estampas de último acesso após a apreensão dos equipamentos e mídias, ficará claro que houve acesso indevido aos mesmos.

A perícia é realizada em uma imagem das mídias apreendidas ou na própria, entretanto em ambos os casos são utilizados hardwares e/ou softwares que bloqueiam a escrita no disco e consequentemente a alteração das estampas de data e hora dos arquivos.

Em breve falaremos sobre os procedimentos periciais e sobre como podemos determinar a data e hora do último início e desligamento dos equipamentos.