COMPUTADORES
Este capítulo apresenta e detalha o método proposto neste trabalho. A seguir, são descritos os processos que o integram, as entradas e saídas de cada processo, tipos de resultados obtidos e de que maneira esses resultados são utilizados.
3.1 Introdução
Em determinadas circunstâncias a Investigação digital forense - IDF deve ser realizada em ambientes compostos por diversos computadores e outros equipamentos cujos dados contidos em seus respectivos dispositivos de armazenamento de dados (DADs) devem ser coletados para posterior análise. Essa análise normalmente se inicia com o exame dos dados coletados, por meio da busca por palavras- chave - PChs.
Essas PChs normalmente estão relacionadas ao contexto da investigação realizada. A escolha dessas PChs e sua relevância fica a critério do perito, responsável pela condução da investigação. Entre os exemplos de PChs estão: nomes de pessoas (física ou jurídica), número do cadastro de pessoas físicas (CPF), números de telefones, números de cartões de crédito, endereços de emails, números de endereço IP -
Internet Protocol e outros termos específicos para a investigação.
Tendo em vista a necessidade de duplicar os DADs byte-a-byte e que durante essa duplicação o perito fica praticamente impossibilitado de interagir com os dados que estão sendo duplicados, esta tese propõe um método que a partir de um conjunto de computadores, cujo conteúdo dos respectivos DADs serão investigados, realiza uma sequência de procedimentos na etapa de coleta, que independentemente do sistema de arquivos, simultaneamente à duplicação do DAD, procura sequencialmente por uma lista de PChs de interesse para IDF.
Este resultado é utilizado para a realização de uma triagem baseada na quantidade de ocorrências de PChs e mediante critérios de importância para a investigação, indica quais DADs possuem maiores chances de conter PChs (vestígios) de interesse para a IDF. Os resultados oriundos da triagem são utilizados para realizar o ranqueamento dos dispositivos de armazenamento de dados de destino (DADsD). Esse ranqueamento indica quais DADsD deverão ser prioritariamente examinados na etapa de análise.
3.2 Considerações Iniciais Sobre o Método Proposto
Conforme Yang (2008), a atividade mais comum para um investigador é procurar vestígios de interesse em DADs. O investigador precisa focar em evidências específicas e indicadores-chave das atividades suspeitas, por exemplo, pesquisas por PChs específicas.
Em um primeiro momento pode parecer desnecessária a concepção de um método para procurar PChs em dados que estão sendo duplicados na etapa de coleta. Isto de fato poderia ser verdade se a quantidade de DADs que precisa ser duplicada e posteriormente analisada for pequena, composta por alguns DADs com baixa capacidade de armazenamento de dados ou o tempo para realização da análise for ilimitado. Entretanto, se a quantidade de DADs e o respectivo volume de dados for grande, por exemplo, algumas dezenas de DADs com capacidade acima de 500 GB, a realização de uma análise “às cegas” pode ser uma tarefa árdua e demorada.
Assim, identificar os DADs que possuem maiores chances de conter os vestígios de interesse, pode ser útil ao perito em casos nos quais encontrar os vestígios nos primeiros DADs pode tornar desnecessária a continuidade da análise dos demais DADs ou ainda, poupar recursos humanos (homem-hora) e de tempo, deixando de analisar DADs que não possuem chances de conter vestígios de interesse para a investigação.
Antes do início da aplicação do método proposto, algumas condições iniciais devem ser satisfeitas. Assim, será assumido que:
Todos os DADs suspeitos encontrados no local da perícia serão duplicados;
Que o perito possui espaço disponível e suficiente para armazenar os dados duplicados provenientes dos DADO; Que o perito leu o Processo Judicial para entendimento dos
objetivos da investigação pericial e tomou conhecimento dos quesitos que devem ser respondidos, possibilitando dessa maneira a definição de uma lista de PChs que serão
utilizadas no processo de busca durante a duplicação25 e
varredura do DADO para o DADD (imagem do DADO). É importante destacar que em função dos objetivos das investigação, o perito deve definir as PChs classificando-as em níveis de prioridade, de acordo com a relevância dessas PChs para a investigação.
A lista de palavras-chave (LPCh) deve ser definida em algum momento que antecede a etapa de coleta, visto que essa lista será utilizada como entrada para a etapa de coleta, conforme será tratado na Seção 3.3.
Vale salientar que o propósito do método proposto nesta tese é fornecer um indicativo dos DADs mais prováveis de conter os vestígios de interesse para uma determinada investigação e a sequência que esses DADs devem ser examinados, sem a pretensão de substituir o exame detalhado e minucioso que deve ser realizado na etapa de análise, possibilitando que o método seja utilizado de maneira complementar aos métodos tradicionalmente utilizados.
3.3 Visão Geral do Método Proposto
Esta seção descreve o método proposto de forma geral, sem aprofundamento nos detalhes, apresentando as partes que o compõem e de que forma o mesmo se insere nas etapas do modelo utilizado como referência. O intuito é descrever o que o método faz. O detalhamento dessas partes e de que forma são realizados, será apresentado na Seção 3.4.
25
Embora no decorrer do texto seja mencionado o termo “duplicação” do DAD
O para o DADD, em
determinadas circuntâncias pode ocorrer que os dados do DADO sejam enviados para um arquivo de imagem, como por exemplo, para um arquivo do tipo“.img” (ferramenta dd) ou ".E01 (ferramenta Encase).
As entradas principais para o método são basicamente duas, os dispositivos de armazenamento de dados de origem - DADsO que serão duplicados e uma lista contendo as PChs que serão procuradas no conteúdo dos dados dos DADsO. As saídas são os DADsO duplicados, denominadas de dispositivos de armazenamento de dados de destino - DADsD e uma sequência sugerindo a ordem em que os DADsD devem ser analisados. O diagrama ilustrado na Figura 3.1 representa o referido método, os processos que o compõem e suas respectivas entradas e saídas.
Para os processos que serão descritos, é possível obter dois tipos de resultados (saídas), resultados intermediários, que são obtidos para cada DAD ou resultados globais, que são obtidos a partir da concatenação de resultados intermediários. Observando que resultados intermediários podem ser utilizados como entrada para outros processos.
Figura 3.1 – Esquema de representação do método proposto
PROCESSOS