Tenho refletido bastante ultimamente a respeito de determinados assuntos envolvendo Forense Computacional.
Parte dessa preocupação começou após um trabalho e aumentou por conta de alguns artigos que curiosamente falavam de um mesmo assunto: Não estamos acompanhando o ritmo da tecnologia. Pior, não estamos evoluindo juridicamente também.
Crise de Identidade
o meu último post falou sobre ainda não termos um nome, uma identidade. Ao tocar nesse assunto, minha preocupação vai muito mais além de um simples nome. Não que o nome não seja importante, mas essa confusão de nomes que usamos para designar nossa ciência/ofício indica um tanto mais. Indica que ainda estamos em um estágio muito inicial. Percebi também que essa indefinição é menor no setor policial, onde entre os peritos criminais já acontece um consenso maior em relação a isso.
Acontece no mundo todo
A preocupação com o ritmo lento ao qual nos adaptamos à tecnologia está atingindo escala mundial. Basta ver que li recentemente dois artigos e um capítulo de um livro, e todos falavam da mesma preocupação.
Desde que a Informática Forense surgiu (é, vou mesclar nomes até que decidamos qual é o mais aplicável ... ;D), pouca coisa evoluiu em termos de conceitos. O modelo aquisição-preservação-análise-documentação/reporte praticamente continua sendo usado, e por outro lado, a mídia mais nanica hoje seria um HD de 80 Gb. Faça uma breve pesquisa; pergunte aí aos seus amigos quanto cada um tem em casa em termos de HD e você vai ver que esse modelo de aquisição não funciona mais. Nos casos onde ainda é possível, você vai passar horas duplicando um HD e "horas * n" na análise dessa miríade de informações.
Falando em termos de problemas de tempo, imagine como isso é problemático para os nossos colegas policiais, que são relativamente poucos frente a enorme demanda. Alguns comentam que em uma pequena operação 50 micros chegam a ser apreendidos, e se você pensar bem, a maioria das residências hoje tem pelo menos um micro. Neste contexto, ou fazemos algo para melhorar, ou então todos os laboratórios forenses do mundo não serão suficientes para atender a demanda.
Não pense que a vida é tranquila para quem trabalha no mercado corporativo. Discos de vários Terabytes não são mais incomuns, e tudo em arrays dificílimos de remontar. Em alguns casos, além desses enormes discos, você ainda é presenteado com um servidor que não tem interface rápida (USB 1.0 ou 1.1), e nem pensar em desligar o bicho. Todos querem a melhor investigação, definindo o grau de comprometimento dos dados e do servidor, mas ele fica de pé !
O problema não está limitado a tecnologia, mas em nosso caso, alastra-se na seara jurídica. Situações envolvendo tecnologia estão acontecendo com cada vez mais frequência. Não apenas crimes, mas processos cíveis e até mesmo trabalhistas estão demandando perícias e investigações em pendrives, HDs e outras mídias. Infelizmente, apesar do número de casos, ainda há muitos Juízes que não conhecem sobre o assunto, ou conhecem muito pouco. Advogados, idem. Você consegue apontar planejamentos, estudos ou documentações voltadas a resolver isso ? Não tenho conhecimento de nenhum manual de orientação da parte legal, do que seria aceitável ou não envolvendo tarefas em Forense Computacional. Dessa forma, apesar de muitas orientações de como proceder, há uma incerteza sobre os métodos, e isso piora quando estamos nos deparando com problemas como os narrados acima, de mídias enormes.
Questão de Ritmo
A questão é que, seja na parte tecnológica ou legal, os problemas e dificuldades estão crescendo a um ritmo maior do que as respostas que estamos dando. Poucas soluções endereçam tecnologia. Os métodos de Live Acquisition são ainda pouco conhecidos, e por vezes contestados por ainda oferecerem certo risco de alteração nos dados. Há, inclusive, muita discussão sobre isso por aí, onde se afirma que um procedimento bem documentado produz alterações previsíveis e sob controle. No entanto, essas discussões não acontecem levando em conta o sistema jurídico usado no Brasil (são foruns americanos, australianos e ingleses, na maioria).
Tecnologicamente, aconteceu uma grande reviravolta bem recentemente. Uma empresa americana lançou um produto chamado F-Response que consegue mapear fisicamente pela rede um disco em outra máquina. Esse mapeamento é read-only, o que garante a integridade dos dados colhidos. É um grande passo, e está ficando melhor ainda, pois há uma versão Beta que promete fazer aquisição da memória RAM também. Porém, melhorias tecnológicas precisam ser seguidas por melhorias na parte legal. de nada adianta podemos usar ferramentas novas se legalmente elas ainda não são reconhecidas ou tem seus resultados aceitos. Pior, mesmo os métodos não são discutidos como devido. Um exemplo disso foi divulgado em uma lista recentemente, onde um participante disse ter trabalhado em um processo onde um print screen da tela foi aceito como prova, enquanto que todos os advogados indicam fazer a Ata Notarial.
Do que precisamos, afinal ?
Precisamos definitivamente de pensar nos problemas que a tecnologia está apresentando para os métodos atuais. Precisamos repensar neles e definir novos procedimentos que permitam, com segurança e exatidão, mostrar o que está acontecendo sem ter que levar os milhares de Terabytes. Precisamos que estes procedimentos dêem suporte tanto ao trabalho dos policiais, em suas perícias a cerca de crimes, quanto aos que trabalham no mercado corporativo. Precisamos que eles sejam adequadamente divulgados para todos os envolvidos: Juízes, advogados e peritos.
Vamos discutir sobre isso ? Comente, afinal só vamos resolver esse pepino se colocarmos todos os envolvidos para conversar.
Até o próximo post !
Nenhum comentário:
Postar um comentário