[Especial Abril] Sou um perito em meios informáticos. O que irei me deparar (Parte II)

Como perito ou assistente técnico, ao se deparar com uma evidência como um disco rígido, smartphones e tablets, surgem dúvidas sobre o que devemos fazer quando recebemos uma evidência como estas.

É certo que a recepção de evidência deve ser um processo formalizado, onde o instrumento que irá garantir a integridade de todo processo é a cadeia de custódia. Este instrumento garante que a evidência recebida seja transferida adequadamente de um custodiante à outro, de tal forma que a garantia de disposição e recebimento asseguram a produção de documento que garantirá a transferência adequada de evidência entre as partes.

No processo de recebimento da evidência, é importante considerar a verificação das condições do estado da evidência recebida, assim como a conferência de informações como marca, modelo, número de série e demais características qualificadoras, assim como identificações atreladas à preservação como hashes.

O processo de análise é algo de demandará a utilização de programas ou sistemas forenses, sejam os mesmos licenciados (que exigem do profissional investimento, pois usar uma versão de programas não licenciados não é uma boa opção), os programas open source, que podem ser utilizados sem a existência de aquisição do mesmo, entretanto em ambos os casos, é importante que o profissional dedique parte do seu tempo ao aprendizado ao uso de tais programas.

Há uma solução que recomendo aos principiantes denominada FTK Imager, pois é uma solução open source muito utilizada por profissionais que atuam na prática forense, trazendo entre suas funções a preservação de evidências (por meio de processo de clonagem), possibilitando a preservação de dados de mídias removíveis, discos rígidos e até mesmo memória RAM.

Outra utilização do FTK Imager é a identificação de arquivos (incluindo arquivos e pastas já eliminadas e não sobrescritos) que possibilitarão aos profissional ter o seu primeiro contato com a prática forense computacional, lembrando que estas funções mencionadas aqui nesta resenha não são exaustivas à descrição contida aqui.

Em minha carreira na área pericial informática, não podemos afirmar que uma única solução forense será suficiente nos processos de análise, onde devemos estar atentos às necessidades de adquirir soluções de mercado, se necessário, investindo-se não somente à compra de licenças ou mesmo dispositivos forenses, mas atentar-se ao investimento de tempo ao aprendizado e uso prático de tais ferramentas, identificando inclusive, suas potenciais limitações.

No início de minha carreira, evitei fazer investimentos à aquisição de soluções, pois o profissional deve estar atento aos benefícios à aquisição de ferramentas, avaliando se o benefício em tê-las se concretizará em demandas de potenciais clientes, já que a prática forense exige que alguém (seja empresas ou pessoas físicas), venham a procurá-lo para a realização das etapas de identificação, preservação, análise e documentação de evidências.

Sendo esta uma atividade remunerada pelo se contratante, deve-se estar ainda atento ao tempo investido em cada uma destas etapas e sua respectiva valoração (na ordem de homem/hora) que poderá ser concretizado em proposta comercial e técnica, onde seu potencial cliente irá avaliar antes da aprovação à realização desta atividade. A avaliação de custo x benefício é algo particular para cada potencial cliente e você deve estar atento se seus préstimos são de valia à proporcionalidade do interesse de seu potencial contratante.

O respeito que o mercado de trabalho tem ao assistente técnico e/ou perito são fundamentais à decisão de aprovação de sua proposta, pois esta é uma decisão que envolve além dos investimentos financeiros à necessidade de se confiar em alguém para o acesso de dados e informações muitas vezes de cunho restrito e/ou confidencial. Para isto, espera-se que você leitor, desenvolva a percepção de lisura tão exigida nesta área de atuação profissional.