-
A "cadeia de custódia" é o elemento base de qualquer perícia forense. A preservação dos dados digitais originais é um elemento fundamental para garantir a cadeia de custódia, de forma que qualquer análise deve ser realizada numa cópia binária da mídia e não na original. Para garantir que não houve qualquer alteração nos dados originais é gerado um Hash da mídia original e outro da cópia, se os dois hash coincidirem a cópia esta íntegra.
-
Prezados,
A Cadeia de Custódia é um processo de documentar a história cronológica da evidência, esse processo visa a garantir o rastreamento das evidências utilizadas em processos judiciais, registrar quem teve acesso ou realizou o manuseio desta evidência. Se faz necessária em todas as atividades profissionais onde possa ocorrer situações que resultem em processos judiciais
Uma das formas de garantir a integridade das evidências ( quando digitais ) é a geração do hash.
Portanto a alternativa correta é a letra C
-
Analisando as alternativas A, B e C:
[A] Na verdade, o processo de investigação forense na busca de evidências envolve técnicas que podem ser dividida em três etapas: Live, Network e Post mortem (BEGOSSO, R. H. Computação forense. 2010). Durante a fase inicial de análise, busca-se por evidências que visam identificar o autor do crime, a forma e a ocasião de sua ocorrência bem como os danos causados. Nessa etapa, é comum que peritos façam uso da técnica denominada Live Analysis, também denominada Forense in vivo (CONSTANTINO, D. Z. Técnicas da computação forense. 2010). Tem por finalidade a coleta de todas as informações do disco rígido, tais como: dispositivos de armazenagem da CPU, memória de periféricos, memória principal do sistema, tráfego de rede, estado do sistema operacional, dispositivos de armazenagem secundária, arquivos de registros e análises de malwares identificados.
[B] A Forense em Rede ou Network Analysis é uma técnica de obtenção de dados dos ativos de rede que estejam envolvidos num incidente de segurança. A coleta destes dados é importante para serem confrontados com os coletados na etapa Forense in vivo e cooperam com as conclusões dos peritos a respeito da invasão, constituindo, portanto, evidências legais.
[C] (CORRETA) É de responsabilidade do perito a garantia da cadeia de custódia, pois ele deve garantir a proteção e a idoneidade da prova para evitar questionamentos referentes à origem ou ao estado final de uma evidência, já que qualquer suspeita pode tornar a prova nula e colocar em risco toda a investigação. Por questões de segurança, a perícia é feita na cópia e o original é mantido em cadeia de custódia.
A função hash (Resumo) é qualquer algoritmo que mapeie dados grandes e de tamanho variável para pequenos dados de tamanho fixo. Por esse motivo, as funções Hash são conhecidas por resumirem o dado. A principal aplicação dessas funções é a comparação de dados grandes ou secretos, buscando, assim, elementos em bases de dados, verificação da integridade de arquivos baixados ou armazenamento e transmissão de senhas de usuários.
-
Analisando a alternativa D:
[D] Os cuidados para preservar um material que possa conter provas valiosas é a primeira etapa de trabalho do perito digital. Nesta etapa o perito visa conservar as informações contidas em um determinado dispositivo apreendido ou questionado. Para isso, o procedimento parte do espelhamento do disco ou dispositivo, de modo que seja feita uma cópia fiel, ou seja, bit a bit. O dispositivo que receberá a cópia do material questionado deve ter tamanho maior ou igual ao do material que será periciado, para que os dados sejam copiados fielmente. Este procedimento de espelhamento faz a cópia do sistema operacional, programas, drivers, configurações e arquivos, gerando uma reprodução exata e fiel do disco – geram, assim, as denominadas imagens bitcopy (cópia bit a bit) de discos rígidos que serão importantes na busca de possíveis evidências para a perícia, pois alcançam a garantia de dados mais voláteis.
Neste sentido, a análise de dados voláteis significa que os dados armazenados na memória RAM ou no cache do sistema serão analisados, enquanto a análise de dados não voláteis é realizada em dados armazenados em HDs, pen drives, CDs etc. (FELIPE, A.; RAMA, J.; STUHL, R. Análise Forense). Portanto, não basta fazer somente uma cópia lógica (backup) dos dados não voláteis.
-
Uma análise inicial da alternativa E (parte 1):
[E] Na verdade, após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações através da aplicação de técnicas e ferramentas que viabilizem a análise dos dados. A finalidade consiste em identificar pessoas, locais e eventos, bem como determinar como esses elementos estão inter-relacionados. Neste contexto, o Forensic ToolKit (FTK) e o EnCase são exemplos de softwares que podem auxiliar na etapa de análise, seja através da aplicação de filtros KFF, de pesquisas por palavras-chave, da navegação pelo sistema de arquivos ou da visualização adequada de arquivos. Tanto o FTK quanto o EnCase são soluções comerciais que disponibilizam funções úteis a todas as etapas de uma perícia forense envolvendo equipamentos de informática.
A Encase, desenvolvida pela empresa Guidance, é a ferramenta mais usada por peritos criminais e é disponibilizada em ambientes contendo o sistema Windows. Entre suas vantagens podemos citar a liberdade de desenvolver e implementar novas funções para o software original, para facilitar ou melhorar sua forma de operar, conforme as necessidades do caso analisado.
As principais ferramentas usadas para realizar o processo de extração são: Forensic Toolkit (FTK), Encase e ProDiscover. A Encase é um dos softwares mais empregados na computação forense, que tem uma interface de uso organizada que simplifica a visualização de conteúdos de mídias utilizando visualizações distintas, das quais podemos citar galeria de fotografias, evidências de imagem, hexadecimal e árvore de arquivos. Essa ferramenta pode ser também utilizada para adquirir evidências, fornecendo aos investigadores a possibilidade de conduzir investigações em larga escala do início ao fim, sendo capaz de gerar diversos relatórios automaticamente.
-
Uma análise final da alternativa E (parte2):
[E] São técnicas e ferramentas que podem ser utilizadas para tornar a etapa de análise viável e eficiente: (1) utilização de filtros Known File Filter, (2) pesquisas por palavras-chave, (3) navegação pelo sistema de pastas e arquivos, (4) visualização adequada de arquivos e (5) virtualização.
O Known File Filter (KFF) é uma lista de valores hash (resumos unidirecionais) de arquivos ou informações conhecidas que pode ser utilizada para filtrar o conteúdo de um dispositivo analisado, ignorando arquivos irrelevantes ou detectando arquivos de interesse à perícia (ACCESSDATA-A, 2015).
A aplicação do KFF contendo previamente o que se deve filtrar possibilitará a realização de uma análise mais eficiente, seja descartando arquivos irrelevantes, seja detectando a existência de um arquivo ou informação útil para a perícia.
A pesquisa por palavras-chave em um dispositivo de armazenamento computacional é uma técnica bastante eficaz para localizar arquivos de interesse à perícia. Após o dispositivo ser estruturado e organizado (através da indexação de dados), diversas buscas podem ser realizadas por todo o seu conteúdo de forma rápida.
A navegação pelo sistema de arquivos e pastas do dispositivo é uma técnica interessante para encontrar vestígios de interesse à perícia. As pastas “Meus Documentos” e “Desktop” (em sistemas Windows), ou então o diretório “/home” (em sistemas Linux), por exemplo, são locais onde geralmente os usuários guardam seus arquivos pessoais. De acordo com Eleutério e Machado (2011), identificar e analisar os arquivos presentes nesses locais é de suma importância para a investigação.
A visualização adequada dos arquivos é fundamental para a etapa de análise de dados da perícia forense computacional. Possíveis evidências podem passar despercebidas caso o perito não disponha de ferramentas que interpretem e mostrem corretamente o conteúdo de um determinado arquivo.
A virtualização é uma técnica interessante nos casos em que se deseje entender as operações realizadas pelo s usuários dos computadores e dispositivos examinados. Uma vez apreendido um equipamento computacional (um computador, por exemplo), o mesmo não pode ser ligado pelas vias normais, pois isso pode acarretar alterações ou perdas de informações devido à inicialização do sistema. Nesse sentido, depois de realizados os procedimentos da etapa de coleta, o sistema operacional contido no espelho ou na imagem poderá ser inicializado de forma segura através de um software de virtualização. Entre os programas mais utilizados na operação de virtualização estão o Virtual Box e o VMWare.
(ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo: Novatec, 2011)