Um elemento importante em qualquer investigação de tipo forense é a manutenção da "cadeia de custódia”.
Esta expressão é um termo jurídico que se refere à capacidade de garantir a identidade e integridade de um espécimen ou amostra no decurso da sua obtenção, durante a sua análise e até ao final do processo.
Na prática consiste em salvaguardar a amostra, de forma documentada, de modo a que não possa alegar-se que foi modificada ou alterada durante o processo de investigação.
Com os objectos físicos que constituem a amostra, a prática é armazená-los em sacos ou envelopes selados, com um formulário que especifica quem recolheu a amostra e cada pessoa que a tenha usado para algo, de modo que não restem dúvidas sobre quem teve acesso a ela e quando.
Com a amostra electrónica (imagens de discos e memória, arquivos de dados e executáveis, etc.) a prática consiste em obter “hashes” da informação no momento da sua recolha, de modo que possa comprovar-se em qualquer momento se essa evidência foi modificada.
Os algoritmos de “hashing” aceites como standard são o MD5 e o SHA-1. Apesar da descoberta de vulnerabilidades em ambos, e sabendo-se que podem ter os anos contados, continua a ser uma boa ideia obter dois “hashes” (MD5 e SHA-1) de cada peça de amostra já que a possibilidade de obter uma colisão de ambas continua a ser infinitesimal.
O método científico
Um aspecto crucial da análise forense, tal e como se depreende da definição geral descrita no primeiro parágrafo, é a aplicação do método científico.
Isto supõe a aquisição de novo conhecimento, mediante o estudo de evidência observável e mensurável, aplicando o arrazoado lógico, elaborando modelos e hipóteses e corrigindo ou melhorando estas últimas à medida que se vão obtendo mais evidências.
Além disso, os resultados devem ser objectivos e imparciais. A metodologia aplicada deve ser conhecida, de modo que outros investigadores, utilizando os mesmos métodos, possam chegar a conclusões similares.
Os resultados da investigação devem explicar de forma transparente as relações de causa e efeito, eliminar na medida do possível alternativas plausíveis e evitar as conclusões não fiáveis. Uma afirmação não fiável significa que seria possível, pelo menos de forma teórica, demonstrar a sua falsidade mediante a observação e descoberta de uma nova evidência.
Os requisitos estritos do método científico não excluem elementos da experiência humana como a intuição, por exemplo. Estas são de grande utilidade na hora de propor hipóteses e modelos que depois devem ser corroborados pela fria evidência, de uma forma rigorosa e objectiva.
Análise da evidência/amostra
O objectivo da análise é estabelecer, do princípio ao fim, o que se passou, quem o fez, quando ocorreu, como sucedeu.
O procedimento específico dependerá do tipo de incidente ou caso que estivermos a investigar. Por exemplo, no caso de uma intrusão num sistema, a informação sobre ligações, processos e portas pode indicar o tipo de software malicioso utilizado, confirmando-o depois mediante a análise do sistema de arquivos. Isto inclui recuperação de ficheiros e estabelecimento da sequência temporal (o “quando”).
Em muitos casos, quando o interesse está centrado na existência de ficheiros não autorizados (segredos industriais, material multimédia pirateado, pornografia, software pirata, etc.), a análise do sistema de arquivos costuma ser suficiente.
Noutros casos, sobretudo quando se suspeita do uso de sistemas criptográficos para encriptar ficheiros ou correio, pode ser fundamental obter informação da memória do sistema (mediante uma imagem completa da memória, ou mediante a verificação dos espaços de memória atribuídos a processos suspeitos). Em muitos casos, documentos cifrados ou as suas contra-senhas podem estar temporariamente na memória do sistema.
Em qualquer caso, o estabelecer uma série de factos a partir da análise da evidência, que confirme de forma total ou parcial a hipótese ou modelo, é o objectivo da investigação. A verificação de factos que contradigam o modelo pode tornar necessária a reformulação da hipótese de trabalho.
Protecção da intimidade
Um aspecto a levar em conta, sobretudo em casos com implicações legais, é a possível existência de informação confidencial ou pessoal, alheia ao caso, entre a evidência recolhida.
Que medidas se tomam para proteger essa informação? Quem tem acesso a ela? Cometer uma infracção ou delito não implica a suspensão das leis e normas sobre protecção à intimidade e privacidade de dados de carácter pessoal.
Um julgamento no Michigan (EUA) pôs este tema no centro da actualidade. Uma das partes litigantes tinha solicitado ao juiz uma ordem para examinar o disco rígido de um PC de outra das partes.
O juiz determinou que um perito investigador forense realizasse a investigação do disco duro sem a participação de nenhuma das partes litigantes. O perito elaboraria um inventário dos elementos de evidência que seriam apresentados ao proprietário do disco. Este teria um determinado tempo para indicar os elementos a serem excluídos do caso, mediante uma solicitação ao juiz. A parte demandante deveria cobrir as despesas do procedimento.
A ideia pode resumir-se na seguinte frase: “Torna difícil que te encontrem e, se te encontrarem, torna impossível que o possam provar”.
Estas ferramentas existiram sempre de uma forma ou outra. A diferença é que agora são mais fáceis de encontrar por utilizadores não técnicos, como já sucede com as ferramentas de “hacking” que não requerem grandes conhecimentos técnicos para serem utilizadas.
Existem ferramentas que alteram os atributos da data (criação, acesso e modificação) dos arquivos de um sistema de arquivos, tornando impossível a análise clássica de sequência temporal. Outras ferramentas esteganográficas permitem ocultar informação em partes não assignadas ao sistema de arquivos ou camufladas noutros ficheiros (imagens, som, etc.) E certamente, a existência de sistemas criptográficos de alta qualidade e facilidade de uso (Truecrypt, PGP, etc.), dificulta mais ainda a obtenção de evidências no decurso de uma investigação.
Alfredo Reino
Alfredo Reino tem uma vasta experiência internacional em Segurança Informática e um espaço na web que vivamente se recomenda.
Responsabilidade Social Corporativa
Contacto
visitantes online
Informática Forense (II)
Imprimir
Topo 
© 2004-2010 