De forma resumida a cadeia de custódia é o conjunto de documentos que registra a posse e transmissão de uma evidência, desde sua apreensão até o final do processo na justiça. Nela é realizada uma descrição detalhada de forma a individualizá-la no contexto das evidências de um determinado processo. Além das informações sobre as características da evidência, contém também os instantes em que estas trocaram de mãos, quem deteve a posse, numeração de lacres e alguma outra observação ou registro julgado pertinente por quem a recebe ou entrega.
Computação Forense
Recentemente me pediram para definir o termo Computação Forense, o que ainda não havia feito aqui no blog. Mas antes gostaria de comentar acerca das ciências forenses em geral, que podem ser entendidas como uma especialização das ciências tradicionais, voltadas para esclarecer questões legais na justiça. Assim a Computação Forense pode ser conceituada como a Ciência da Computação focada em desvendar ou eliminar dúvidas em ações legais. No livro “Computação Forense” da Editora Millennium, temos a seguinte definição:
Duplicação Pericial – Parte I – Bloqueio de escrita
A análise de mídias suspeitas exige a sua perfeita preservação, que consiste na utilização de recurso de bloqueio de escrita, para permitir o acesso à mídia sem risco de alteração de seu conteúdo. Este bloqueio pode ser realizado através de hardware ou de software, dependendo exclusivamente dos recursos disponíveis para o perito.
Software – No bloqueio por software, normalmente é utilizado uma mídia de inicialização controlada, que permite a colocação do hardware suspeito em modo somente leitura. O Helix da e-fense e o Linen da Guidance, são os dois exemplos de sistema que utilizam o Linux como base para realização de criação de imagem, que permite montar o dispositivo em modo somente leitura. A Digital Inteligence oferece o PDBlock, um utilitário para ambiente DOS com função de bloqueio de escrita.
Hardware – O bloqueio por hardware conta com um grande número dispositivos comerciais, adequados a todos os orçamentos, sendo possível encontrar soluções de baixo custo até dispositvos sofisticados de cópia. A Tableau é uma das empresas mais conhecidas na fabricação de dispositivos de bloqueio escrita, cujos produtos também levam a marca de terceiros.
Obs.: Assim como o Linux permite a montagem de dispositivos no modo somente leitura, o Windows também possui recurso para a montagem de dispositivos USB com escrita bloqueada, conforme veremos em breve.
Terminologia Pericial
Na perícia dos crimes com uso de tecnologia, adotamos alguns termos consolidados como forma de padronizar a terminologia pericial. Assim teremos um mesmo entendimento sobre estas denominações daqui em diante.
Prova Digital (Digital Evidence) – Informações armazenadas e/ou transmitidas em formato binário que podem ser utilizadas em juízo como prova de um crime.
Mídia de Provas (Evidence Media) – Mídia digital original, objeto da perícia, onde se encontram provas de um delito, seu planejamento e/ou sua execução.
Duplicação Pericial (Forensic Duplication) – Ato de criar uma cópia digital, bit a bit de uma mídia de provas, seja criando um arquivo de imagem ou produzindo uma nova mídia com conteúdo idêntico.
Imagem Pericial (Forensic Image) – Imagem gerada a partir da mídia de prova.
Mídia de Destino (Target Media) – O suporte no qual a mídia de provas é copiada ou onde uma imagem pericial é restaurada.
Imagem Restaurada (Restored Image) – Restauração dos dados de uma imagem pericial em uma mídia de destino, devolvendo-a a sua forma original.
Análise a Quente ou On Line (Live Analysis) – Coleta de dados voláteis de um computador ainda em funcionamento. Esta coleta pode alterar o estado dos dados na memória deste computador.
Análise a Frio ou Off Line (Offline Analysis) – Análise feita quando se examina a mídia de provas ou a duplicação pericial através de ferramentas de análise.