Manipulação de Evidências Digitais

A natureza frágil dos dados digitais leva a necessidade de haverem métodos especiais para manipulação desses materiais. Além disso, a utilização de um processo bem definido é preponderante para o sucesso de qualquer investigação forense.

Todas as empresas deveriam ter processos previamente definidos para lidar tanto com resposta à incidentes quanto com a forense corporativa, e devem ter muito mais cuidado quando o resultado desses trabalhos internos puder vir ser levado a algum tribunal.

Quando se manipulam evidências digitais alguns princípios são vitais, tais como:

• Ações tomadas para resguardar e coletar os dados não deve afetar a integridade da evidência;
• As pessoas que conduzem as investigações devem ser treinadas para isso;
• Todas as atividades do processo devem ser documentadas, preservadas e sempre disponíveis para consulta.

Algumas observações que devem ser feitas:

• Levantamento – Os investigadores devem levantar somente os dados contemplados no escopo de um caso. Mantendo assim questões éticas que em algum momento podem comprometer a idoneidade da investigação. Se o objeto das investigações são os e-mails não há por que acessar a pasta de fotos pessoais do usuário.

• Aquisição - As evidências digitais por natureza são frágeis e podem ser alteradas, enviadas e destruídas pela manipulação indevida dos dados. As investigações devem ser conduzidas em um clone do disco original. O disco original deve ser coletado de maneira a proteger e preservar a sua integridade.

• Exame dos Dados – Extração e análise da evidência digital. É importante que se utilizem mecanismos de bloqueio de gravação no disco investigado (Write Blocking), para que não haja risco de contaminação da prova.

•  Documentação e Relatório Final – TODAS as ações e observações devem ser documentadas durante o processo de investigação digital. Desde a fotografia da máquina do usuário sendo aberta ou do disco sendo copiado, até a impressão dos e-mails e arquivos apagados.