Imagine uma situação nada incomum: Você foi chamado para investigar um caso em uma empresa. Após as averiguações iniciais, você percebe que é importante realizar um processo litúrgico, pois tudo indica que haverá ações na justiça relativas ao caso.
Com isso em mente, você realiza a aquisição da imagem forense. Está sendo acompanhado por um ou dois membros da empresa, normalmente um executivo e um técnico, prestando as informações que você precisa.
Fim do processo de aquisição. Você, como bom investigador que é, e sabe da importância de se manter a integridade das mídias, requer que os HDs que foram capturados sejam lacrados, e que a cadeia de custódia seja mantida fielmente. Explica, então, para os dois membros que o acompanham, a importância desse procedimento, e que certamente a primeira coisa que a outra parte faria em um processo judicial seria tentar desacreditar as evidências. Ao lacrar os HDs, você consegue comparar futuramente os hashes da imagem com o HD respectivo e comprovar a integridade.
Sua indicação do lacre é aceita, você prepara o material, assina o lacre em conjunto com as testemunhas e deixa-o lá com a indicação de que ninguém rompa o lacre até que seja enviado um Perito pelo Juiz. Em seguida, você vai para casa satisfeito com a sensação de trabalho bem cumprido. Infelizmente, essa sensação só vai durar até a primeira audiência. Faltou alguém nessa estória ...
Liturgia
O procedimento litúrgico é, na verdade, um procedimento formal.
Digamos que você seja contratado por uma empresa para investigar se um de seus colaboradores está gastando seu tempo no computador corporativo com sites pornográficos. A empresa tem uma leve suspeita, mas não quer ser injusta. Porém, ela deixa claro que, se for comprovada a suspeita, demitirá o funcionário, sem justa causa. Para casos como esse, você pode realizar investigações diversas e mandar seu relatório para a empresa. Ela vai acatar o que você relatar. Entretanto, a situação muda completamente se o caso for parar na justiça. As evidências precisarão estar preservadas para que todos os seus procedimentos investigativos possam ser reproduzidos e suas conclusões verificadas por quem quer que seja.
É isso que faz o processo ser litúrgico. À sua investigação ficam agregados inúmeros processos formais com objetivo de garantir as evidências, e com isso, as conclusões.
Ata Notarial
A Ata Notarial é um instrumento realizado pelo tabelião (ou seus indicados) de cartórios de notas. Em resumo, é uma narração do que o tabelião vê, percebe, ou ouve, e materializa no documento. Como o tabelião tem fé pública, esse documento é amplamente aceito no judiciário. Uma pessoa pode, por exemplo, chamar um tabelião para realizar a Ata Notarial do conteúdo de um cofre. Antes do mesmo ser aberto, o tabelião estará a postos e vai registrar na Ata tudo que viu .
No caso de investigações computacionais, há um certo receio; alguns cartórios não se sentem à vontade nesse procedimento. Muitos sabem que e-mails podem ser forjados, páginas falsas podem ser exibidas, e o tabelião não quer afirmar algo que não tem certeza.
Eu recomendo mudar o foco do processo para evitar isso. Por exemplo, ao invés do investigador exibir um e-mail, imprimi-lo e o tabelião registrar na ata algo sobre ele (declarando, por exemplo, que o e-mail é de fulado ...), é mais indicado que o investigador possua um procedimento detalhado de como extrair o cabelhado do e-mail, e então, frente ao tabelião, siga rigorosamente cada passo de seu procedimento. No final, o tabelião irá registrar na ata que o investigador seguiu todos os passos indicados no procedimento, reproduzindo-o, e vai registrar também cada resultado obtido. Dessa maneira, fica mais fácil para nós e para eles.
A Ata Notarial é especialmente importante em casos de "live acquisitions", Forense de Rede e "live analysis".
Live Acquisition é quando fazemos a aquisição de uma imagem forense com o computador ligado. Por mais que pareça estranho, já que a análise post-mortem é a mais comum e estudada, em alguns casos precisamos investigar incidentes em servidores que não podem ser desligados (imagine uma empresa com 90% do faturamento vindo pelo seu web site). Outro motivo comum para o live acquisition é quando o servidor é um RAID e não temos condições de fazer a aquisição de cada um dos HDs para montagem posterior (casos quando o array não é reconhecido pela ferramenta de aquisição). Nesses casos, simplesmente a técnica de usar hash para validar a integridade não vai funcionar, já que o disco estará em uso. Será necessário validar a operação através de um procedimento e da Ata Notarial.
Na Forense de Rede, as técnicas não disponibilizam possibilidade de retirar a origem de uso. Veja o caso que já citei, sobre e-mails. Outra situação envolvendo Forense de Rede seria a investigação de um código malicioso através de monitoramento de pacotes em um determinado ponto. O arquivo resultante (um pcap, por exemplo), pode ser guardado segundo o processo de cadeia de custódia, mas isso é menos comum de encontrar. Validar essa captura com uma Ata Notarial é muito importante, já que ela não poderá ser reproduzida.
Live Analysis (ou Live Response) é quando evita-se desligar o computador (em geral, servidores) por redução do prejuízo ou ainda por reconhecer que, ao desligá-lo, importantes evidências voláteis desaparecerão. Nesse caso, faz se a captura da memória e de outras informações voláteis. A validação por hash, nesse caso, novamente não funciona, e será necessário uma Ata Notarial para validar o procedimento como um todo.
Cadeia de Custódia
A Cadeia de Custódia é um procedimento que surgiu nas investigações não-digitais, e tem por objetivo preservar a fonte de evidências (as mídias, no nosso caso) através do registro de todos que tiveram contato com o material. O processo pode ser exemplificado assim:
- O investigador realiza a aquisição da imagem forense, lacra o HD, inicia a lista da cadeia de custódia indicando a data/hora em que o HD foi lacrado, e o hash/algoritmo (md5/sha-1, etc) da mídia. O tabelião registra tudo na Ata Notarial.
- Qualquer pessoa que precisar, obviamente por motivo justificado, acessar novamente o HD, o lacre deverá ser rompido, e antes da mídia ser usada, sua integridade deve ser conferida, analisando seu hash atual com o registrado na cadeia de custódia. Após o uso, o HD volta a ser lacrado, a data/hora de retirada e devolução do HD são registrados na cadeia de custódia, e tacitamente essa pessoa está aceitando que o hash confirmou a integridade. Esse procedimento deve ser acompanhado também para a Ata Notarial.
- Se, em algum momento, a mídia for acessada e a integridade tiver sido violada, o responsável é o ultimo registro na cadeia de custódia.
Algo importante a se dizer é que nem a Ata Notarial nem a Cadeia de Custódia ou qualquer outro item que compõe o processo litúrgico consegue, sozinho, garantir a evidência ou a ausência de fraude. Em última análise, o que vai garantir mesmo isso é a realização de uma investigação bem fundamentada, apontando as hipóteses e, através da correlação de TODAS as evidências e artefatos (e não apenas a primeira encontrada), chegar a uma conclusão sólida. Tanto a Ata Notarial quanto os demais itens são pilares que sustentam o todo.
Comentários ?
Até o próximo post !
Referências:
O Ciberespaço e a Ata Notarial
ATA NOTARIAL
Ata notarial como meio de prova - uma revolução no processo civil
Ata notarial possibilita a produção de provas com fé pública do tabelião no ambiente eletrônico
2 comentários:
Muito claro e muito informativo. Seu blog deveria ser leitura obrigatória a todos que pretendem ingressar na área do forense computacional. Espero que logo logo estes posts sejam compilados na forma de um livro. Continue esse ótimo trabalho! Abraço!
muito boas as palavras, sucesso e continue sempre assim
Postar um comentário