domingo, 30 de março de 2008

Ajudinha em Perícia de Gravações

Um ponto bastante importante quando se perícia algo é que as evidências devem, em conjunto, corroborar uma hipótese e/ou negar outras.

Pensando nisso, estava verificando que muitas vezes uma gravação de áudio é usada em juízo como prova. Em alguns casos, o conteúdo é questionado e pede-se a perícia da gravação, a fim de determinar sua autenticidade e integridade. Acontece que o MP3 player vem, já há algum tempo, substituindo aqueles gravadores pequenos nessas gravações. Esse fato pode ajudar na perícia porque, além dos resultados da análise do perito, temos agora pelo menos mais um artefato a considerar no estudo da integridade e autenticidade da evidência.

O fato é que a tecnologia comum usada nesses MP3 players é a de gerar um arquivo .WAV com baixa "resolução" de som, ou seja, com uma taxa de amostragem baixa. Com isso, o som digitalizado não fica um primor de qualidade, mas dá para o gasto e usa pouco espaço de armazenamento. O pulo do gato está justamente aqui: armazenamento.

Um MP3 player tem, em sua maioria, um dispositivo de memória muito parecido com o de um pen drive. Na maioria das vezes, há uma mídia formatada com FAT. O arquivo gerado, como qualquer outro arquivo em um Sistema de Arquivos FAT, possui MAC times, ou seja, possui registro das datas de criação, modificação e último acesso. O ponto aqui é que um aparelho MP3 não registra horas, já que não tem um relógio. Para simplificar, percebi que as gravações são colocadas em um diretório criado de fábrica. Ao armazenar a gravação em um .WAV, esse arquivo recebe as mesmas MAC times do diretório, o que significa que um ponto a pesquisar será o fato de que a MAC time do arquivo terá de estar necessariamente idêntica ao do diretório criado. Se tudo estiver certinho, todo o diretório terá arquivos .WAV com mesmas MAC times. Se o arquivo tiver datas de ultima modificação diferente dos demais, pode ser indicativo de manipulação. Datas diferentes para último acesso podem indicar que o arquivo foi acessado por fora do MP3 player.

O meu MP3 player, um Sandisk de 512 Mb, cria um diretorio VOICES para armazenar as gravações e todas as MAC times estão refletindo as MAC times desse diretório. Você gostaria de compartilhar dados de algum dispositivo MP3 ?

Até o próximo post !

5 comentários:

Edson Silva disse...

Que beleza de constatação! Vai ajudar muito o pessoal da perícia criminal.
Suadações!

Marcio disse...

Olá Tony, como faço para saber se uma gravação em mp3 sofreu cortes? Como identifico no computador as informações que acompanham o arquivo?

Tony Rodrigues disse...

Marcio,

Há métodos para validar gravações, mas esses métodos não estão no domínio da Computação Forense. O tom desse post é mostrar que podemos (e devemos) usar vestígios diversos para constatar algo. Neste caso, os metadados (MAC Times) do arquivo alegadamente gravado em um mp3 player vai precisar estar em um padrão. Se não estiver, é um indício forte de manipulação ...
Para ver essas informações, você montaria a imagem capturada do mp3 player e acessaria o arquivo, verificando seus metadados (com o comando stat).
Ou pode tb usar as ferramentas do TSK para verificar esses metadados (comando istat).

Isso sempre na imagem, nunca direto no mp3 player.

[]s
Tony

sissy disse...

Por favor, me socorra!!!!
Filmei um depoimento sigiloso com bastante discricao atraves de uma maquina fotografica que possui essa funcao, e confiante de estar tudo certo, mandei gravar em DVD! Porem tive a terrivel surpresa:Ao visualizar em computador, nao havia audio!Estou prestes a ser chamada para audiencia, e preciso de tais provas, pois delas atestarai minha idoneidade, inocencia, e a dignidade que so a justica podera me ressarcir, diante de calunias, ameaca de morte, e a ausencia de quem poderia relatar a verddade, mas ja se foi, pelas mesmas pessoas que estao causando-me tudo isto!Minha vida esta em jogo, enao tenho a quem recorrer!

Tony Rodrigues disse...

Sissy, por favor me mande seu email. Vamos ver no que consigo ajudá-la.