Estávamos conversando há poucos dias na lista apcf, onde os membros são certificados forenses pela Axur, sobre imagem forense, cadeia de custódia e abordagem da cena do crime. Esse último tópico gera alguma polêmica, tanto pela falta de procedimento formal quanto pela aplicação dos conceitos que já existem, mas em uma situação onde não há crime, há apenas uma investigação. Segue o post do Fábio Ramos e o meu logo depois:
Fábio Ramos
Qualquer software que faça copia bit-a-bit gera uma imagem que tem validade legal. Os princípios que voce deve observar são:
1-) Voce não pode escrever nada no HD source (objeto que está sendo copiado)
2-) O HD que sera usado para análise (a cópia) tem que ter o HASH da sua imagem batendo com o HASH da imagem do source HD
O DD do linux, por exemplo, faz copia bit-a-bit. No mais deixo para o Tony explicar, porque ele é expert nesse assunto.
Geralmente o procedimento consiste no seguinte:
1-) Voce chega na "cena do crime" e com testemunhas, faz a aproximação para que seja gerada uma imagem das memórias que serão investigadas;
2-) Voce retira o HD e coloca em um case, ou em um aparelho que vai fazer a cópia;
3-) Neste momento pode ser importante usar um bloqueador de escrita para garantir que durante o processo de cópia, a memória que esta sendo investigada não recebera nenhum tipo de acesso que possa alterar um bit sequer;
4-) Voce lacra o HD original (que foi copiado). Esse HD deve ficar em custódia de alguém que possa garantir sua preservação. Pode ser um cartório, por exemplo. Isso vai depender também do seu papel no processo, se voce for perito contratado por uma empresa, vai ter mais liberdade, se for perito nomeado, vai ter que seguir todo o ritual, se for perito assistente, vai ter que olhar (e muitas vezes corrigir o perito nomeado :-))
5-) A partir de agora voce só analisa o HD copiado. Recomendo fazer cópias do HD copiado para garantir que caso você comprometa a cópia, nao vai precisar abrir o envelope lacrado do HD original para tirar outra cópia.
Tony Rodrigues:
Uma coisa interessante para se dizer com relação ao porquê de haver essa coisa toda, da liturgia.
A Computação Forense, ou Forense Computacional, é bastante nova, principalmente comparando-se com outras disciplinas Forenses, como a Balística e a Medicina Legal.
Os procedimentos que o Fábio narrou fazem parte da liturgia forense americana, e é aceita em praticamente todo o resto do mundo, como melhores práticas nessa área.
Faz muito sentido ... Você, como policial, mete o pé na porta, grita "Mãos para o alto - POSITIVO OPERANTE (como o casseta&planeta diz :D )" prá todo mundo (lá nos States eles mandam aquele "freeeeze !"), e apreende tudo que encontra pela frente, montando a cadeia de custódia.
No lab, a primeira coisa que o Perito Criminal faz é abrir o lacre, fazer a cópia, relacrar e juntar esse registro na cadeia de custódia. E por aí vai. No processo todo, além dos próprios policiais que irão testemunhar em como a polícia apreendeu e lacrou os computadores, temos vários logs que dão conta de responder a famosa pergunta - "COMO POSSO SABER SE NÃO ESCREVERAM ISSO QUE ME INCRIMINA DEPOIS DE TUDO TER SIDO LEVADO PELA POLÍCIA ??"
Faz sentido, né ? Ou seja, no fim das contas, a liturgia (processo) protege a ação de todos e coopera para a manutenção da integridade das provas eletrônicas.
O grande problema é que no Brasil não há um procedimento formalizado para o que está escrito acima. Além disso, os casos que não são crimes são um capítulo tenebroso, porque é sempre possível levantar suspeitas de que as evidências foram "plantadas". O mais próximo que tenho visto de resolverem isso é:
Empresa X tem uma suspeita qualquer, digamos, um vazamento de informações -> contrata o Investigador Digital John Doe-> Furtivamente, John Doe acessa a máquina e captura os dados que precisa, para analisar. Pode ser no disco ou na rede, através de logs, sniffers, etc -> Na análise, ele localiza evidências que comprovam as suspeitas -> John Doe emite relatório da investigação -> Empresa X demite o suspeito por justa causa -> No mesmo momento em que ele está sendo demitido, a máquina é desligada na presença do tabelião ou seu representante, que vai fazer a Ata Notarial -> O processo segue como descrito acima pelo Fábio, com a aquisição da imagem forense e início da cadeia de custódia.
O mais provável: O ex-funcionário demitido entra na justiça pedindo reversão da justa causa -> O relatório do Investigador passa por uma revisão e vira um Parecer Técnico, que é juntado aos autos do processo trabalhista. O Investigador Digital John Doe passa a atuar como Assistente Técnico.
Durante o julgamento, se houver contraditório (o ex-funcionário reclamar das provas apresentadas), o Juiz vai nomear um Perito para o caso -> Perito vai analisar o lacre, a Ata Notarial, e também vai fazer uma imagem forense -> Tempos depois, o Perito nomeado pelo Juiz emite o Laudo. O Juiz lê o Laudo e decide.
Com o processo acima fica difícil obter base para alegar que mexeram no HD e plantaram as evidências e artefatos. O processo sempre vai apontar testemunhas que garantirão a integridade das evidências. Além disso, dificilmente o Perito e o Investigador Digital acharam apenas um único artefato que comprova o ilícito. Tudo que foi localizado é avaliado e deve corroborar em conjunto para indicar a culpa do ex-funcionário.
O ruim disso é que, como o procedimento é praticamente feito duas vezes, tudo fica mais caro, e nem todo mundo quer fazer assim. Muitas empresas X, Y e Z tentam fazer mais rápido e vão para o risco, caso alguém alegue que a prova não é verdadeira ou não é íntegra.
Comentários ? Compartilhe suas experiências de como conduziu uma situação parecida.
Até o próximo post !
4 comentários:
Faltou uma alternativa: a empresa demite o funcionário sem justa causa.
Essa é a primeira alternativa, quando há fortes suspeitas, Gustavo, e a empresa não quer gastar com a investigação nem o processo. Mas se a empresa vai pelo caminho da investigação, dificilmente ela não transformará o seu resultado (caso as suspeitas se comprovem) em uma justa causa. Em alguns casos, há uma espécie de acordo, onde a pessoa sai por justa causa e fica na dela, ou então enfrentará um processo na área civil e criminal ...
Legal, cada dia gosto mais do seu blog! Sobre essa lista apcf, tem como fazer parte, ou é fechado?
[]s
Eu acho que é fechado, Fillipe. Se não me engano, é só para quem fez o curso da Axur. Se algum dia abrirem a lista, eu aviso no blog !
Postar um comentário