[Especial Abril] Materialidade pericial em meios informáticos

sexta-feira, 15 de abril de 2016

Um dos maiores desafios para os profissionais que atuam na prática da perícia forense computacional é definir e delimitar o escopo do que deve ser o objeto da perícia, que vai muito além da definição de um equipamento que será submetido ao processo pericial.

Em diversas investigações, um disco rígido é o elemento principal (e único) que será submetido à uma preservação, resultando em uma análise que produzirá um laudo compreensível por leigos em tecnologia e informática.

O cenário que envolve uma perícia deve considerar componentes em tecnologia adjacentes que poderão vir a subsidiar informações complementares, de tal forma que irá preencher lacunas à ausência de elementos restritos e contidos em um disco rígido. Exemplos destes componentes são registros produzidos por roteadores, firewall, switches, filtros de conteúdo (incluindo os filtros de navegação internet e filtros de AntiSpam), serviços como DHCP, antivírus entre outros, sendo esta uma relação não exaustiva. Estes registros, em geral são mantidos em repositórios destinados ao armazenamento destas informações e podem estar dispostos de forma proporcional à área disponível de guarda destes registros e inversamente proporcional à velocidade de geração e manutenção dos denominados logs.

Entender a arquitetura de rede e compreender o funcionamento de aplicações e sistemas, auxiliará certamente a correta determinação à delimitação dos componentes que deverão ser escolhidos como meios complementares que irão apoiar a atividade de análise pericial em um determinado cenário.

Isto não é fator único deste processo, já que o profissional que atua em perícia forense computacional deve ser capaz de identificar em cada um destes dispositivos o local de armazenamento destas informações determinando a melhor forma de obtê-lo com objetivo de garantir a preservação dos após a ação de coleta de evidências.

A preservação deve ser realizada de forma física, através de restrição de acesso à evidência preservada e deve ser realizado através de forma lógica por meio de clonagem (cópia bit-a-bit) e controle de acesso lógico ao conteúdo preservado, caso o sistema venha a ser armazenado em sistemas informatizados.

A materialidade ainda é um processo resultante de uma análise, que irá selecionar os dados relevantes de tal maneira que os mesmos sejam relevantes ao escopo pericial. Oferecer contexto ao dado identificado em pericia é fundamental para que isto se transforme em informação útil à produção de um laudo pericial.

Saber ainda descrever a evidência de forma clara em laudo, possibilitará compreensão à materialidade desejada, possibilitando a devida compreensão da escolha dos componentes à delimitação do escopo e justificando a volumetria de esforços em todo o processo que resultará no apontamento em laudo da existência ou ausência de elementos relacionados à justificativa da realização da perícia informática.

Nada disto será considerado válido, se por algum momento, forem incluídos no conjunto de evidências componentes não lícitos (ou seja, obtidos à margem da legalidade), onde denominados para este cenário a existência de evidência nula, que pode vir a comprometer toda a atividade e processo pericial.

Portanto, saiba das implicações e a importância desta que é uma das etapas iniciais da atividade pericial, pois isto pode vir a comprometer (para sempre) uma atividade pericial, caso o mesmo não seja realizado com a devida diligência.

Contribuição especial de Marcelo Lau
marcelo.lau@datasecurity.com.br

Nenhum comentário:

Postar um comentário