Perícia

A Perícia forense, de uma forma geral, é essencial na solução de um crime. Com ênfase na informática não poderia ser diferente. Os especialistas, ou peritos, como são chamados analisam detalhes para conseguir chegar a conclusões precisas sobre o crime.

Entende-se como análise forense na informática o uso da tecnologia para esclarecer fatos sobre ações ilícitas. A informática forense visa responder perguntas como: ‘quando’, ‘onde’, ‘quando’ e ‘porque’ para que a autoria de algum acontecimento seja descoberta.

Análises forenses utilizando a informática vêm ganhando cada vez mais espaço no mercado e nas análises judiciais, devido ao aumento do uso de computadores e dispositivos móveis. A ciência forense é destinada a preservar, obter e apresentar dados que foram processados eletronicamente e é definida como interesse de meio judicial e da Segurança da Informação e se baseia em coletar, examinar, analisar e obter resultados através de pesquisa e busca de vestígios, sejam eles componentes físicos ou dados eletronicamente processados deixados por algum usuário suspeito.

Uma boa perícia computacional é dividida em 5 etapas:

·        Preparação

Esterilizar as mídias que serão usadas na investigação

Licença dos Software’s – se não forem open source

Equipamentos que serão utilizados, como hd’s, mídias, etc.

Cabos e conexões se necessário

Isolar a área para que não haja contato de ninguém que possa alterar algum dado importante

Fotografar ou Filmar o local e a tela do equipamento analisado

Registro dos detalhes como hora, data, local, quem estava presente

·        Coleta dos Dados

Devem ser coletados os dados do sistema a procura de informações relevantes a respeito do caso investigado.

Dados voláteis

Data e hora do sistema;

Conexões de rede;

Memória;

Configuração da rede;

Processos em execução;

Arquivos abertos;

Sessão de Login.

Dados não-voláteis

Logs, arquivos temporários e de configuração;

Textos, planilhas, imagens, etc…

Os dados coletados devem ser armazenados em mídias, para que não comprometa as informações contidas na mídia original, lembrando-se sempre de gerar o hash de arquivos e mídias. Essas cópias podem ser feitas de duas formas diferentes:

Cópia bit-a-bit – É a mais recomendada, pois copia arquivos e pastas, informações a respeito de partições e espaço não alocado, etc. É mais demorada que o backup.

Backup – Copia apenas arquivos e pastas.

·        Exame dos Dados

Localizar,Filtrar,Extrair informações relevantes.

·        Análise das Informações

Muitas vezes realizado paralelamente com a etapa de exame dos dados, tem a finalidade de recriar o evento investigado.

·        Redação do Laudo

A estrutura do laudo deve respeitar as normas judiciais.

Deve conter um breve histórico do caso e descrição de procedimentos utilizados.

Termo de compromisso do perito, onde ele assume a responsabilidade pelo resultado da perícia.

Manter um registro de hash de todos os arquivos e mídias geradas.

Cadeia de custódia, onde é descrito informações a respeito dos peritos envolvidos, hora e data dos eventos, quem recolheu evidências, onde está a evidência, etc.