Quando você exclui um arquivo do disco rígido do computador, ele nunca desaparece realmente. Com bastante esforço e habilidade técnica, muitas vezes é possível recuperar documentos e fotos que antes haviam sido apagados. Esses computadores forenses são uma ferramenta útil para a aplicação da lei, mas como eles realmente funcionam?
Índice
Estabelecendo as bases legais
Antes de entrarmos nas ervas daninhas técnicas, vale a pena discutir os enfadonhos aspectos processuais e legais da computação forense no contexto da aplicação da lei.
Em primeiro lugar, vamos dissipar o velho mito de que sempre é necessário um mandado para que um policial examine um dispositivo digital como um telefone ou computador. Embora esse seja frequentemente o caso, muitas “lacunas” (por falta de uma palavra melhor) podem ser encontradas no tecido da lei.
Muitas jurisdições, como o Reino Unido e os Estados Unidos, permitem que funcionários da alfândega e da imigração examinem dispositivos eletrônicos sem um mandado. Os oficiais de fronteira americanos também podem examinar o conteúdo dos dispositivos sem um mandado se houver uma sequência iminente de evidências sendo destruída, conforme afirmado por um julgamento do 11º Circuito de 2018 .
Quando comparados aos seus colegas americanos, os policiais do Reino Unido tendem a ter mais margem de manobra para apreender o conteúdo dos dispositivos sem ter que apresentar o caso a um juiz ou magistrado. Eles podem, por exemplo, baixar o conteúdo de um telefone usando uma lei chamada Lei de Provas Policiais e Criminais (PACE) , independentemente de qualquer acusação ser feita. No entanto, se a polícia decidir, em última instância, que deseja examinar o conteúdo, ela precisará obter a aprovação dos tribunais.
A legislação também dá à polícia do Reino Unido o direito de examinar dispositivos sem um mandado em certas circunstâncias onde houver uma necessidade urgente – como em um caso de terrorismo, ou onde houver um medo genuíno de que uma criança possa ser explorada sexualmente.
Mas, em última análise, independentemente de “como”, quando um computador é apreendido, isso apenas representa o início de um longo processo que começa com um laptop ou telefone sendo removido em um saco plástico resistente a adulteração e muitas vezes termina com a apresentação de evidências um tribunal.
A polícia deve cumprir um conjunto de regras e procedimentos para garantir a admissibilidade das provas. As equipes de computação forense documentam todos os seus movimentos para que, se necessário, possam repetir as mesmas etapas e obter os mesmos resultados. Eles usam ferramentas específicas para garantir a integridade dos arquivos. Um exemplo é um “bloqueador de gravação”, que é projetado para permitir que profissionais forenses extraiam informações sem modificar inadvertidamente as evidências que estão sendo examinadas.
É essa base legal e rigor processual que determina se uma investigação forense de computador terá sucesso – não sofisticação técnica.
Movendo pratos, movendo casos
Apesar das questões jurídicas, é sempre interessante observar os muitos fatores que podem determinar a facilidade com que os arquivos excluídos podem ser recuperados pelas autoridades. Isso inclui o tipo de disco que está sendo usado, se a criptografia estava em vigor e o sistema de arquivos da unidade.
Veja os discos rígidos, por exemplo. Embora tenham sido amplamente superados por unidades de estado sólido (SSDs) mais rápidas , as unidades de disco rígido mecânicas (HDDs) foram o mecanismo de armazenamento predominante por mais de 30 anos.
Os HDDs usavam pratos magnéticos para armazenar dados. Se você já desmontou um disco rígido, provavelmente observou como eles se parecem um pouco com CDs. Eles são circulares e de cor prata.
Quando em uso, esses pratos giram em velocidades incríveis – geralmente 5.400 ou 7.200 RPM e, em alguns casos, até 15.000 RPM. Conectadas a esses pratos estão “cabeças” especiais que realizam operações de leitura e gravação. Quando você salva um arquivo no drive, esta “cabeça” se move para uma parte específica do prato e transforma uma corrente elétrica em um campo magnético, alterando assim as propriedades do prato.
Mas como ele sabe para onde ir? Bem, ele olha para algo chamado tabela de alocação, que contém um registro de cada arquivo armazenado em um disco. Mas o que acontece quando um arquivo é excluído?
A resposta curta? Não muito.
Esta é a longa resposta: o registro desse arquivo é excluído, permitindo que o espaço que ele ocupava no disco rígido seja sobrescrito posteriormente. No entanto, os dados permanecem fisicamente presentes nas placas magnéticas e só são realmente excluídos quando novos dados são adicionados a esse local específico na placa.
Afinal, excluí-lo exigiria que a cabeça magnética se movesse fisicamente até aquele local na bandeja e o substituísse. Isso pode prejudicar outros aplicativos e diminuir o desempenho do computador. No que diz respeito aos discos rígidos, é mais simples fingir que os arquivos excluídos simplesmente não existem .
Isso torna a recuperação de arquivos excluídos muito mais fácil para a aplicação da lei. Eles só precisam recriar as peças que faltam na tabela de alocação, o que pode ser feito com ferramentas gratuitas, incluindo o Recuva .
Sólido (estado) como uma rocha
Claro, os SSDs são diferentes. Eles não contêm peças móveis. Em vez disso, os arquivos são representados como elétrons mantidos por trilhões de transistores microscópicos de porta flutuante. Coletivamente, eles se combinam para formar chips flash NAND .
Os SSDs têm algumas semelhanças com os HDDs, na medida em que os arquivos só são excluídos quando sobrescritos. No entanto, algumas diferenças importantes complicam inevitavelmente o trabalho dos profissionais de computação forense. E como os HDDs, os SSDs organizam os dados em blocos, com o tamanho variando muito entre os fabricantes.
A principal diferença aqui é que para um SSD gravar dados, o bloco deve estar completamente vazio de conteúdo. Para garantir que o SSD tenha um fluxo constante de blocos disponíveis, o computador emite algo chamado “ comando TRIM ”, que informa ao SSD quais blocos não são mais necessários.
Para os investigadores, isso significa que, ao tentarem encontrar arquivos excluídos em um SSD, eles podem descobrir que a unidade os colocou inocentemente muito além de seu alcance.
Os SSDs também podem espalhar arquivos em vários blocos pela unidade para reduzir o desgaste causado pelo uso diário. Como os SSDs podem suportar apenas um número finito de gravações , é importante que eles sejam distribuídos pela unidade, em vez de em um local pequeno. Essa tecnologia é chamada de nivelamento de desgaste e é conhecida por dificultar a vida dos profissionais forenses digitais.
Depois, há o fato de que os SSDs costumam ser mais difíceis de criar imagens, porque muitas vezes não é possível removê-los fisicamente de um dispositivo.
Enquanto os discos rígidos são quase sempre substituíveis e conectados por meio de interfaces padrão, como IDE ou SATA , alguns fabricantes de laptop optam por soldar fisicamente o armazenamento à placa-mãe da máquina. Isso torna a extração do conteúdo de maneira forense muito mais difícil para os profissionais da aplicação da lei.
As verdadeiras complicações
Portanto, em conclusão: Sim, a aplicação da lei pode recuperar arquivos que você excluiu. No entanto, os avanços na tecnologia de armazenamento e a criptografia generalizada complicaram um pouco as coisas.
No entanto, os problemas técnicos muitas vezes podem ser superados. Quando se trata de investigações digitais, o maior desafio enfrentado pela aplicação da lei não são os mecanismos das unidades SSD, mas sim a falta de recursos.
Não há profissionais treinados em número suficiente para fazer o trabalho. E o resultado final é que muitas forças policiais em todo o mundo enfrentam uma enorme quantidade de telefones, laptops e servidores não processados.
Um pedido da Lei de Liberdade de Informação do jornal britânico The Times mostrou que as 32 forças policiais em toda a Inglaterra e País de Gales têm mais de 12.000 dispositivos pendentes de exame . O tempo para processar um dispositivo lá varia, de um mês a mais de um ano.
E isso tem consequências. A base de qualquer sistema de justiça criminal justo é que os acusados tenham um julgamento rápido. Como diz o ditado, justiça atrasada é justiça negada. Esse princípio é tão fundamentalmente importante que está até representado na Sexta Emenda da constituição dos Estados Unidos.
Infelizmente, não é um problema facilmente solucionável sem que mais dinheiro seja gasto pelas forças em recrutamento e treinamento. Você não pode resolver isso com mais tecnologia.
