Em um país de tantas desigualdades, com a Computação Forense não ia ser diferente. A situação dos estados, apesar de submetidos à mesma legislação, é bastante diversa. Existem estados bem equipados e outros sequer têm um laboratório de CF, faltando o básico para a realizar perícia. Faltam bloqueadores de escrita, softwares de análise de mídias, equipamentos para análise de telefones celulares e até sistemas operacionais devidamente licenciados, retirando o valor legal da prova produzida. Os dispositivos e sistemas comerciais são caros, mas as vantagens são muitas. São suítes com recursos integrados, ferramentas de produtividade, hardwares para ações especializadas, etc.
Existem soluções alternativas baseadas em software livre, com diversos recursos para as mais variadas necessidades. As distribuições linux forenses são customizações de distribuições conhecidas geralmente voltadas para a produção de imagens periciais de dispositivos de armazenamento de dados e memória assim como análise completa destes dispositivos. Mas fique atento pois qualquer distribuição linux que proponha sua utilização para fins forenses deve obedecer a alguns requisitos e condições.
- Não deve permitir em nenhuma hipótese, a escrita nas mídias anexadas ao sistema;
- Deve ter flexibilidade para inicializar com qualquer hardware disponível;
Outro ponto importante é manter a ferramenta sempre atualizada, em sua última versão, de forma a evitar bugs e falhas de segurança. Por fim, lembremos que ao inicializar qualquer distribuição, inclusive as forenses, devemos nos certificar que o BIOS do equipamento esteja ajustado para evitar a carga acidental da mídia suspeita.
Helix 3 Pro
Helix 3 Pro é uma distribuição linux live, instalável, baseada no Ubuntu, com interface Gnome, desenvolvida pela E-Fense. O Helix agrega um lote de ferramentas forenses que auxiliam desde a realização da imagem e a análise de mídias/imagens. A interface de produção de imagem forense do Helix é o Adepto 2.1, baseada na interface do Air, arrecada informações sobre o dispositivo suspeito e configura a saída do arquivo de imagem, gerando um log da operação, que ainda permite acréscimo de informações pelo usuário, além de possuir recursos para restauração da imagem ou clonagem do dispositivo em outra mídia. O ambiente de análise é o Autopsy Forensic Browser, uma interface gráfica baseada em html para o The Sleuth Kit, ferramenta de análise para discos com sistemas Windows e UNIX, baseados em sistemas de arquivos NTFS, FAT, HFS+, UFS1, UFS2, Ext2 e Ext3. O Helix também possui o Linen, que é a versão linux do software de aquisição de imagens da Guidance Software.
Raptor 2.5
Raptor 2.5 é uma distribuição linux live também baseada no Ubuntu, com interface Unity, desenvolvido pela Forward Discovery com foco voltado para a realização de imagens forenses, principalmente para aqueles que não se sentem muito seguros em realizá-las em linha de comando. No lançador você encontrará o ícone do Raptor Toolbox que oferece nove abas com opções diversas iniciando com a duplicação de mídias de armazenamento até o controle das tarefas em andamento.
Santoku 0.4
Santoku 0.4 é também uma distribuição linux live baseada no Ubuntu, gratuita e open source, desenvolvido pela Via Forensic com foco voltado para análise de telefones celulares. Possui também ferramentas para testes de penetração e análise de redes wireless.
FDTK 3.0
FDTK 3 ou Forense Digital ToolKit é a distribuição linux live forense brasileira, instalável, baseada no Ubuntu, com desenvolvido por Paulo Alberto Neukamp e Aderbal Botelho. A FDTK começou como um trabalho de Graduação em Segurança da Informação da Universidade do Vale do Rio dos Sinos – Unisinos, no Rio Grande do Sul. O seu desenvolvimento esteve sempre focado nas quatro etapas da perícia, a coleta, o exame, a análise e a apresentação dos resultados e assim encontra-se no menu Aplicativos/Forense Digital, exceto pela apresentação que é a fase onde se desenvolve o relatório que será o Laudo Pericial. Rica em ferramentas, vale a pena conhecer.
Caine 4.0
Caine 4.0 é uma distribuição linux live italiana, baseada no Ubuntu, com interface própria, que agrega um lote de ferramentas forenses para auxiliar a realização de análise forense de computadores. Além das ferramentas usuais das distros forenses, possui recursos para exame de telefones celulares e rede. Utiliza como uma das ferramentas de imagem o Guyimager, uma das mais práticas opções gráficas linux para a confecção de imagens periciais. Possui também uma prática ferramenta gráfica de montagem de dispositivos de armazenamento, o Mounter, que por padrão monta as unidades em modo somente leitura, a não ser que se clique sobre o ícone da aplicação com o botão direito, o que torna a montagem passível de escrita. Após a montagem ainda faz um alerta sobre o status de escrita atribuído ao dispositivo.
DEFT 8
Deft 8 é outra distribuição linux live italiana, também baseada no Ubuntu, instalável, que contém ferramentas forenses diversas. Esta versão da distribuição agregou o Mount Imager e o Guymager para montagem e realização de imagem forense, respectivamente. Agrega também o DART (Digital Advanced Response Toolkit) conjunto de ferramentas para ambiente Windows carregadas através do Wine.
BackTrack 5 R3 – Kali 1.0
O BackTrack 5 R3 e o Kali 1.0 são distribuições linux live, também instaláveis, desenvolvidas com foco em segurança, mais especificamente nos testes de penetração, mas que também oferecem ferramentas para uso forense. O Kali é dos mesmos desenvolvedores do BackTrack e é considerado como um sistema operacional completo.
A melhor ferramenta é aquela que você domina. Portanto o conhecimento sobre seu uso é fundamental e você pode até se surpreender com as possibilidades oferecidas.