Validao da prova e sanitizao de suportes

A validao e esterilizao dos suportes digitais uma componente crucial de qualquer exame
forense de prova digital. Para que um perito forense possa assegurar a idoneidade da prova
recolhida, necessrio comear por garantir a correta utilizao dos programas e equipamentos
envolvidos nessa mesma recolha. Os mtodos utilizados pelos envolvidos podem por vezes ser
demorados e fastidiosos mas no entanto fundamentais. Da mesma forma, a preparao dos
dispositivos de suporte a ser utilizados tambm fundamental, passando obrigatoriamente pela
utilizao de ferramentas e processos que garantam a no contaminao da prova. A no
conformidade com as melhores prticas que garantam a integridade da prova pode
comprometer irremediavelmente a idoneidade da mesma bem como a dos tcnicos envolvidos.
Validao
Existem dois pilares num exame forense. O perito e as ferramentas que este usa. Os ataques
integridade da prova vo sempre incidir sobre um deles ou sobre os dois simultaneamente.
Os ataques ao perito vo invariavelmente incidir sobre os seus conhecimentos tcnicos,
formao especfica na rea e mtodos que utilizou.
A nica forma de mitigar estes ataques garantir que quem lida com estes processos tem a
formao adequada para tal e a documentao adequada e detalhada de todo o processo
O treino e a experiencia dos tcnicos dever ser contnua e o mais abrangente possvel, para
que este esteja habilitado a interagir com todos os sistemas existentes na organizao. Ainda
que este no necessite de ser um perito em todas as reas, o que seria manifestamente
impossvel, ter de ter um leque de conhecimentos bastante alargado. Colquios, seminrios e
acompanhamento das tecnologias mais recentes atravs de livros tcnicos so outras das fontes
de conhecimento que devero estar continuamente ao dispor dos tcnicos.
Acima de tudo estes devero acumular experiencia forense em casos concretos.
Os ataques ao software sero normalmente feitos com dois objetivos.
Um dos quais a esperana de apanhar o perito numa pergunta que no pode ser por ele
respondida, porque este no sabe a resposta ou perante a qual este mostre grande hesitao na
resposta. A segunda a de capitalizar numa qualquer fragilidade do software, ainda que no
tenha diretamente a ver com as funcionalidades que foram utilizadas no caso concreto. O
objetivo ferir a credibilidade da ferramenta e criar a dvida em quem tem por misso avaliar
a validade probatria dos elementos reunidos. H que ter sempre em mente o princpio do
direito que determina que in dbio pro ru, ou seja, em caso de dvida no se releva a prova
incriminatria.
preciso nunca esquecer que toda a prova pericial pode ser contestada em tribunal e
reexaminada por outro perito, conforme prev o art. 158 do CPP e que esta dever obter os
mesmos resultados.
As defesas de quem acusado esto cada vez melhor preparadas e assessoradas tecnicamente,
sendo comum serem chamados a depor pela defesa, especialistas forenses e de informtica,
com o objetivo de pr em causa a prova produzida pela acusao, face ao que, preciso no
esquecer que o primeiro degrau na cadeia da prova cumprido na empresa, quando se recolhe
e preserva a prova.

A forma de defesa contra os ataques ao software utilizado, estar o mais familiarizado possvel
com o seu funcionamento, documentar todos os passos dados e recorrer sempre a programas
certificados e reconhecidos como idneos para os fins utilizados.
Esterilizao dos suportes de Media
A definio de esterilizao de suportes magnticos na comunidade forense, tem a ver com a
reescrita de todos os bytes do suporte com um valor hexadecimal conhecido ou aleatrio, de
forma a eliminar toda a informao previamente existente nesse suporte. Este processo
normalmente designado por wipe, limpeza ou esterilizao.
A este propsito, no demais recordar que as funes dos sistemas operativos para apagar e
formatar os suportes, no efetuam qualquer reescrita:
A operao de apagar ficheiros que os sistemas operativos disponibilizam, deixa todo o
contedo do suporte perfeitamente intacto removendo apenas as suas ligaes (links);
Para fins forenses recomenda-se a utilizao de uma ferramenta de wipe com reescrita por
00h (zeros), uma vez que facilita a verificao da esterilizao do suporte, j que o seu
checksum dever ser 0.
Porqu utilizar suporte esterilizados
Em situaes onde dados do suspeito tm de ser copiados para suportes digitais e para que
sejam futuramente alvo de exame, imperioso que nenhum dado exista nesses suportes de
destino, sob pena de se misturar dados e contaminar irremediavelmente a prova. O melhor
mtodo utilizar um utilitrio que reescreva cada byte do suporte com 00h, ou confirmando
que o seu checksum 0 caso seja um suporte fornecido como estando supostamente limpo.
A adoo deste procedimento assegura:
_ A completa eliminao de todos os dados que eventualmente existam no suporte e
_ A confirmao de que o suporte est esterilizado atravs da obteno de um checksum =0.
Quando utilizar suportes digitais esterilizados
_ Sempre que se pretenda que, em determinado suporte digital, sejam colocadas cpias forenses
de dados.
_ Quando se recebem suportes de terceiros, sejam eles novos ou usados e estes se destinem a
receber dados de prova.
_ Sempre que se devolvem suportes a terceiros, estes devem ser sempre esterilizados e no
simplesmente apagados.
importante salientar que uma simples cpia de ficheiros entre suportes de armazenamento,
pode inadvertidamente colocar dados do nosso sistema no suporte de destino.
Como criar um suporte esterilizado
Existem diversos programas que permitem a reescrita de cada byte dos suportes digitais.
Alguns programas no permitem a escolha do valor do byte a ser utilizado na reescrita enquanto
outros sim.
Para efeitos forenses sempre aconselhvel utilizar o 00h. O EnCase permite esta ltima
opo, reportando quantos sectores foram reescritos. Se soubermos de antemo quantos
sectores tem o suporte que estamos a utilizar, pode facilmente confirmar-se que todos os seus
sectores foram reescritos.