Validao da prova e sanitizao de suportes
A validao e esterilizao dos suportes digitais uma componente
crucial de qualquer exame
forense de prova digital. Para que um perito forense possa
assegurar a idoneidade da prova
recolhida, necessrio comear por garantir a correta utilizao dos
programas e equipamentos
envolvidos nessa mesma recolha. Os mtodos utilizados pelos
envolvidos podem por vezes ser
demorados e fastidiosos mas no entanto fundamentais. Da mesma
forma, a preparao dos
dispositivos de suporte a ser utilizados tambm fundamental,
passando obrigatoriamente pela
utilizao de ferramentas e processos que garantam a no contaminao
da prova. A no
conformidade com as melhores prticas que garantam a integridade
da prova pode
comprometer irremediavelmente a idoneidade da mesma bem como a
dos tcnicos envolvidos.
Validao
Existem dois pilares num exame forense. O perito e as
ferramentas que este usa. Os ataques
integridade da prova vo sempre incidir sobre um deles ou sobre
os dois simultaneamente.
Os ataques ao perito vo invariavelmente incidir sobre os seus
conhecimentos tcnicos,
formao especfica na rea e mtodos que utilizou.
A nica forma de mitigar estes ataques garantir que quem lida com
estes processos tem a
formao adequada para tal e a documentao adequada e detalhada de
todo o processo
O treino e a experiencia dos tcnicos dever ser contnua e o mais
abrangente possvel, para
que este esteja habilitado a interagir com todos os sistemas
existentes na organizao. Ainda
que este no necessite de ser um perito em todas as reas, o que
seria manifestamente
impossvel, ter de ter um leque de conhecimentos bastante
alargado. Colquios, seminrios e
acompanhamento das tecnologias mais recentes atravs de livros
tcnicos so outras das fontes
de conhecimento que devero estar continuamente ao dispor dos
tcnicos.
Acima de tudo estes devero acumular experiencia forense em casos
concretos.
Os ataques ao software sero normalmente feitos com dois
objetivos.
Um dos quais a esperana de apanhar o perito numa pergunta que no
pode ser por ele respondida, porque este no sabe a resposta ou
perante a qual este mostre grande hesitao na
resposta. A segunda a de capitalizar numa qualquer fragilidade
do software, ainda que no
tenha diretamente a ver com as funcionalidades que foram
utilizadas no caso concreto. O
objetivo ferir a credibilidade da ferramenta e criar a dvida em
quem tem por misso avaliar
a validade probatria dos elementos reunidos. H que ter sempre em
mente o princpio do
direito que determina que in dbio pro ru, ou seja, em caso de
dvida no se releva a prova incriminatria.
preciso nunca esquecer que toda a prova pericial pode ser
contestada em tribunal e
reexaminada por outro perito, conforme prev o art. 158 do CPP e
que esta dever obter os
mesmos resultados.
As defesas de quem acusado esto cada vez melhor preparadas e
assessoradas tecnicamente,
sendo comum serem chamados a depor pela defesa, especialistas
forenses e de informtica,
com o objetivo de pr em causa a prova produzida pela acusao,
face ao que, preciso no
esquecer que o primeiro degrau na cadeia da prova cumprido na
empresa, quando se recolhe
e preserva a prova.
A forma de defesa contra os ataques ao software utilizado, estar
o mais familiarizado possvel
com o seu funcionamento, documentar todos os passos dados e
recorrer sempre a programas
certificados e reconhecidos como idneos para os fins
utilizados.
Esterilizao dos suportes de Media
A definio de esterilizao de suportes magnticos na comunidade
forense, tem a ver com a
reescrita de todos os bytes do suporte com um valor hexadecimal
conhecido ou aleatrio, de
forma a eliminar toda a informao previamente existente nesse
suporte. Este processo
normalmente designado por wipe, limpeza ou esterilizao. A este
propsito, no demais recordar que as funes dos sistemas operativos
para apagar e
formatar os suportes, no efetuam qualquer reescrita:
A operao de apagar ficheiros que os sistemas operativos
disponibilizam, deixa todo o
contedo do suporte perfeitamente intacto removendo apenas as
suas ligaes (links);
Para fins forenses recomenda-se a utilizao de uma ferramenta de
wipe com reescrita por 00h (zeros), uma vez que facilita a
verificao da esterilizao do suporte, j que o seu
checksum dever ser 0.
Porqu utilizar suporte esterilizados
Em situaes onde dados do suspeito tm de ser copiados para
suportes digitais e para que
sejam futuramente alvo de exame, imperioso que nenhum dado
exista nesses suportes de
destino, sob pena de se misturar dados e contaminar
irremediavelmente a prova. O melhor
mtodo utilizar um utilitrio que reescreva cada byte do suporte
com 00h, ou confirmando
que o seu checksum 0 caso seja um suporte fornecido como estando
supostamente limpo.
A adoo deste procedimento assegura:
_ A completa eliminao de todos os dados que eventualmente
existam no suporte e
_ A confirmao de que o suporte est esterilizado atravs da obteno
de um checksum =0.
Quando utilizar suportes digitais esterilizados
_ Sempre que se pretenda que, em determinado suporte digital,
sejam colocadas cpias forenses
de dados.
_ Quando se recebem suportes de terceiros, sejam eles novos ou
usados e estes se destinem a
receber dados de prova.
_ Sempre que se devolvem suportes a terceiros, estes devem ser
sempre esterilizados e no
simplesmente apagados.
importante salientar que uma simples cpia de ficheiros entre
suportes de armazenamento,
pode inadvertidamente colocar dados do nosso sistema no suporte
de destino.
Como criar um suporte esterilizado
Existem diversos programas que permitem a reescrita de cada byte
dos suportes digitais.
Alguns programas no permitem a escolha do valor do byte a ser
utilizado na reescrita enquanto
outros sim.
Para efeitos forenses sempre aconselhvel utilizar o 00h. O
EnCase permite esta ltima opo, reportando quantos sectores foram
reescritos. Se soubermos de antemo quantos
sectores tem o suporte que estamos a utilizar, pode facilmente
confirmar-se que todos os seus
sectores foram reescritos.
