Perícias com software livre – Parte 2

No primeiro momento, muitos peritos podem achar esse procedimento muito difícil de ser executado pois estão acostumados a utilizar ferramenta forense no ambiente gráfico, estilo o sistema operacional Windows e não rodar aplicativos por linha de comandos em que o usuário do sistema precisa digitar o comando. Porém, nem todos os casos envolverão sistema Windows e portanto, é aconselhável que os profissionais na área forense estejam preparados para exercer o trabalho de perito em qualquer ambiente operacional.

Pensando nessa dificuldade, vários projetos surgiram ao longo do tempo para facilitar o trabalho do perito forense que utiliza o software livre como ferramenta para análise de dados e busca de evidências. Algumas comunidades tecnológicas juntaram as principais ferramentas forense e agregaram em uma distribuição Linux que tinha como objetivo o desenvolvimento de tarefas forense, otimizando os recursos e facilitando o serviço do perito. Dessa forma, com apenas um CD (Compact Disc) contendo as principais ferramentas, diminui o risco de perder alguma informações por algum descuido do profissional no momento de duplicar um disco ou procurar por evidências pois como as ferramentas estão em um CD, não há o perigo de danificar o sistema operacional Linux instalado no computador suspeito, que não é executado nesse processo e sim o sistema operacional do CD.

Uma dessas distribuições forense criado com essa finalidade e muito utilizada é o Helix. É uma distribuição baseada no Ubuntu (tipo de distribuição do Linux) dedicada à investigação ou computação forense que foi modificada para que não alterasse nenhuma informação do sistema operacional do investigado. A vantagem de usar uma distribuição como o Helix é que no momento da etapa de investigação, não importa qual sistema operacional está instalado no computador suspeito pois o sistema utilizado para iniciar os trabalhos é o da própria distribuição. ¹

Um projeto de conclusão de curso sobre computação forense, na Itália, originou outra distribuição forense baseada em Linux chamada CAINE. Nessa distribuição, as ferramentas forense estão organizadas por módulos e oferecem muitos programas com designer gráfico, facilitando o uso do programa pelo profissional. Algumas rotinas escritas em uma linguagem de computação estão presentes para facilitar o exame dos dados encontrados, utilizando como interface para o usuário um simples navegador de internet, como o Firefox, por exemplo.²

Também como resultado de um trabalho de conclusão de curso em segurança da informação em uma universidade no Rio Grande do Sul, o FDTK-Ubuntu é um projeto livre com a finalidade de reunir e manter uma distribuição para coleta e análise de dados em perícias forense. O FDTK (Forense Digital Toolkit) pode ser instalado no computador tornando-o uma estação forense. Prática essa adotada por peritos que preferem tornar um notebook um equipamento forense por ser leve, prático e móvel, facilitando o trabalho da investigação forense.³

Outra distribuição criada na Itália é o DEFT-Linux com o objetivo de auxiliar os investigadores e profissionais especializados em realizar uma análise forense em um computador, seja ele baseado em sistema operacional Windows ou Linux. Apesar da distribuição está toda em italiano, em breve surgirá nova versão em outros idiomas.⁴

Existe uma distribuição Linux que possui algumas ferramentas forense mas não é o objetivo principal da distribuição, o BackTrack⁵. É conhecido como a distribuição Linux para hackers, denominação dada pela mídia para aqueles indivíduos cujo propósito é meramente invadir sistemas ou equipamentos eletrônicos, burlando as normas impostas. Na realidade, hackers são pessoas com conhecimento aprofundado sobre um determinado assunto que possibilitam modificar software e hardware.⁶

O BackTrack é na realidade uma distribuição utilizada para realizar testes de penetração nos sistemas e verificar a integridade dos mesmos. Porém, existem algumas ferramentas dentro da distribuição que podem ser utilizadas pelo perito como apagar dos dados de uma mídia de armazenamento de dados de forma segura, criar uma imagem de um disco rígido em outro dispositivos, entre outros.

Contudo, apesar de existirem diversas distribuições com sistema operacional e ferramentas específicas para serem utilizadas nas etapas que envolvem uma investigação forense, o perito pode modificar e agregar valor a uma distribuição específica pois como são distribuições Open Source, cada profissional é livre para modificar e deixar os programas do seu jeito de trabalhar

 

1http://www.e-fense.com/helix

2http://www.caine-live.net

3http://www.fdtk.com.br

4http://www.deftlinux.net

5http://www.backtrack.com.br

6http://pt.wikipedia.org/wiki/Hacker

O espaço físico de um laboratório forense

Um dos aspectos importantes e relevantes para o sucesso dos casos em que o perito forense irá cuidar é em relação ao espaço físico do laboratório forense. Deve ser um espaço estruturado que permita a entrada e saída de peritos de forma a não prejudicar o andamento dos trabalhos. O espaço físico deve permitir a instalação de algumas mobílias que auxiliarão nas atividades periciais, tais como: estante para o acervo de livros forenses, bancada que servirá de apoio aos equipamentos eletrônicos, etc.

A existência de um laboratório forense dentro de casa, requer um pouco de privacidade e a necessidade de se delimitar o ambiente de trabalho com o da moradia. Não se pode confundir os dois espaços pois ambos possuem características opostas, necessidades diferentes. As visitas de parentes ou acesso de terceiros dentro da casa, deverão ficar restritos na área da moradia, não sendo permitido a entrada alheia no laboratório, evitando-se comprometimento do trabalho de investigação e garantindo a correta custódia do material em posse do perito.

O projeto do espaço escolhido deve ser o mais completo possível e nesse caso, um fator importante que não se pode deixar de lado é sobre a iluminação do ambiente. É fundamental que exista no local de trabalho uma iluminação farta, abundante, não sendo permitido o desenvolvimento de uma perícia na penumbra. As condições devem ser as mais satisfatórias pois não é esperado de um perito analisar dados e buscar evidências, dentro de seu laboratório, utilizando lanternas nem velas acessas. Todavia, é preciso planejar a intensidade da luz com a necessidade, evitando desperdício e problemas na conta de energia no fim do mês.

Nas atividades de perícia dentro do laboratório, poderão surgir alguns problemas que necessitarão de ajuda especializada e nesse momento, o perito deve possuir uma lista de número de serviços de emergência que serão acionados conforme a necessidade. Tenha em local visível esses números como bombeiro, polícia, hospital, etc. É válido manter um cadastro de pessoas próximas que poderão auxiliar nos primeiros socorros, evitando maiores problemas.

A arte de investigar

Em um Mundo globalizado, percebemos a velocidade com que as informações trafegam entre o remetente e o destinatario. Esse é o fruto do desenvolvimento de nossa sociedade que está cada vez mais anciosa por novidades tecnológicas e facilidades no cotidiano. As soluções são desenvolvidas e acabamos absorvendo o ritmo acelerado dessa evolução sem muito pensar nas consequências dessa atitude.

O mercado de equipamentos eletrônicos está bem aquecido com consumidores ávidos por novidades. Alguns entram na loja, escolhem pelo preço do equipamento (geralmente parcelam o valor do produto em mensalidades de se perder de vista) sem se importar se o produto ignora as regras de melhores práticas de sigilo de informação confidencial ou pessoal.

Consumidores que gostam de equipamentos mais modernos, por exemplo, as máquinas digitais semi-profissionais (que estão virando moda com preços competitivos) e que vem embutido alguns recursos como o GPS ( mecanismo de geolocalização),  não percebem que dependendo do fabricante, esse recurso poderá vir ativado como opção default (padrão).

Nessa hora, nós (perito forense) agradecemos por esse recurso ativo pois conseguimos através dos metadados do arquivo da imagem, obter exatamente a localização de onde aquela foto foi tirada, ficando a sua informação que deveria ser confidencial (onde, como e por qual máquina utilizada) para qualquer um que detenha um pouco mais de técnica forense.

Do mesmo modo, para o processo de investigação, é fundamental que o GPS (nas máquinas que possuem esse recurso) esteja ativo, pois além de obter as informações básicas como: qual o modelo da máquina utilizada, qual resolução, se usou flash, se usou configurações pré-estabelecids da máquina, etc, teremos a localidade de onde a foto foi capturada. Essa informação será muito útil para derrubar qualquer tese de defesa do advogado do acusado (ou investigado – se tratando no curso de um inquérito policial) de que seu cliente nunca esteve na cena do crime.

Entretanto, outras situações podem parecer como caso perdido se não tivermos qualificação ou experiência no ramo da perícia forense. Para um profissional de TI leigo, ao saber que um acusado acabou de formatar o seu disco rígido com a chegada da equipe da autoridade policial, tentando se desfazer das provas ilícitas que culminariam em sua culpabilidade, acreditaria que nenhum informação poderia ser encontrada pelo simples motivo da ação de “formatar” do acusado.

Todavia, é mister que esse tipo de comportamento não passa de uma tentativa fracassada do acusado de praticar um crime acreditando que tenha conseguido se livrar das provas. A arte de investigar é maior que essas atitudes grotescas e banais. O perito sabe como e quando recuperar as informações que foram apafagas pelo criminoso, é questão de tempo. O conhecimento é alma do sucesso de qualquer atividade profissional. O que mais engrandece ao Perito Forense é que ele tem a convicção que após uma formatação de disco, sem a reutilização do disco após a ação, tudo será recuperado.

Contudo, sabemos que os Peritos não são “Deuses” com poderes mágicos e mirabolantes, nada disso. Relembrando o passado, quando nos mosteiros os únicos que tinham acesso ao acervo de livros da época eram conhecidos como os mestres, os poderosos… o Perito tem o conhecimento forense de saber utilizar as ferramentas certas nos momentos certos, ocasionando em resultados positivos.

Portanto, a Arte de Investigar está mais além que buscar na internet por ferramentas que em um clique, todo o trabalho é realizado de perícia. Tem que interpretar o resultado, pois senão, você não tem conhecimento nem informação, terá somente dados.