Opa! Mais uma postagem sobre Perícia Forense! Hoje vamos falar um pouco sobre a Ordem de Volatilidade e sua importância em uma investigação forense.
Em uma investigação, dados são coletados e analisados a todo instante. Quanto maior a quantidade e qualidade dos dados obtidos com maior exatidão será possível descobrir o que ocorreu. Porém, os dados possuem fragilidades! Alguns podem ser modificados por uma leve brisa digital! A modificação de dados em uma perícia forense poderá por em dúvida todo o processo de investigação, o que torna a mesma inútil.
A primeira regra em uma perícia é realizar o processo sob uma cópia idêntica a original, pois existe a possibilidade de erros (humanos ou não) que podem resultar na deterioração dos dados.
Porém, existem situações em que a clonagem dos dados não é possível, pois, talvez, o ambiente para a investigação seja um sistema operacional que não foi sequer desligado depois que dali ocorreu o crime. Nessas situações, a qual chamamos de “análise ao vivo” é importante observar o nível de volatilidade, ou Ordem de Volatilidade, com que as informações são armazenadas no sistema, de maneira a sempre se iniciar a coletar os dados mais voláteis. Caso essa ordem não seja respeitada, o risco de perda e alteração dos dados será maior e trará prejuízos novamente à investigação.
Os mecanismos de coleta de dados em análises ao vivo deverão ser consistentes e os efeitos colaterais deverão ser entendidos antes de utiliza-los. Sendo que, cuidado e planejamento, deverão ser prioridades nessas situações. Segue tabela contendo o tempo de vida de algumas mídias de armazenamento de dados. Tabela retirada desse livro.
| Tipos de Dados | Tempo de Vida |
| Registradores, memória periférica, caches | Nanossegundos |
| Memória principal | Dez nanossegundos |
| Estado da rede | Milissegundos |
| Processos em execução | Segundos |
| Disco | Minutos |
| Disquetes, mídia de backup | Anos |
| CD-ROMs, impressões | Dezenas de anos |
Observar a Ordem de Volatilidade, ou também chamada de Order of Volatility (OOV), poderá diminuir os riscos e preservar com uma maior riqueza de detalhes os dados. E existe um limite do que se pode coletar? Uma pergunta óbvia poderia ser o por quê que não se coleta todos os dados simultaneamente. Em raras ocasiões, é virtualmente impossível se obter todos os dados simultaneamente, pois a simples execução de um executável para coletar um dado irá destruir outro.
Para convence-los, experimentem a execução de um comando simples qualquer, algo como um cal, porém precedido da ferramenta strace. Veja o exemplo resumido abaixo.
# strace cal execve(“/usr/bin/cal”, [“cal”], [/* 29 vars */]) = 0
brk(0) = 0x80e9000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7feb000
(…) stat64(“/usr/lib/xorg”, {st_mode=S_IFDIR|0755, st_size=4096, …}) = 0
open(“/etc/ld.so.cache”, O_RDONLY) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=84383, …}) = 0
mmap2(NULL, 84383, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7fd6000
close(3) = 0
open(“/usr/lib/libncurses.so.5”, O_RDONLY) = 3
read(3, “\177ELF\1\1\1\3\3\1`\344″…, 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=295984, …}) = 0
mmap2(NULL, 297220, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x84e000
(…)
Reparem na quantidade de operações de “open”, por exemplo. Apenas na execução do simples comando cal houve a execução de mais de duas dezenas de operações de abertura de arquivos. Ou seja, vários arquivos tiveram seus atime alterados durante a execução do binário.
Acabando…
Espero que tenham gostado de mais essa postagem sobre Perícia Forense. Vou ficando por aqui. Outra hora irei voltar para falar mais sobre esse assunto, que muito me agrada! Inté! 😀
Opa tudo bom?, seguinte mestre, eu como você também estou elaborando o meu trabalho de conclusão de curso, e escolhi como tema “Pericia Forense voltada à Informática” gosto muito de tudo que e relativo à segurança, e como meu pai é perito criminal resolvi falar sobre o assunto. porém tenho encontrado dificuldades em encontrar materiais sobre o assunto, gostaria que pudesse me ajudar
desde já agradeço
Marcello Carvalho
Marcello,
Tudo bem cara! Que legal você também desejar desenvolver um trabalho com tema envolvendo Perícia Forense. Mais legal ainda ter o pai envolvido nesse interessante mundo.
Posso te recomendar bons livros para leitura, tudo também depende de que foco você quer dar ao assunto: técnico ou teórico. Sua abordagem irá utilizar casos de uso? Utilizará nos exemplos ambientes Microsoft Windows ou Unix-like?
Podemos conversar mais sobre o assunto.
Abraços.
Opa, sou mais um formando com esse tema, hehehe…
Comprei alguns livros e ja estou iniciando os estudos, os livros que comprei sao.
1 – Pericia Forense Aplicada à Informatica
ANDREY RODRIGUES DE FREITAS
Esse livro foca somente o windows, mas fornece dicas e ferramentas que tenho considerado valiosas.
(http://www.submarino.com.br/octredir.asp?id=3388&tagname=ms_produtosvistos&redir=http://www.submarino.com.br/books_productdetails.asp?ProdTypeId=1&ProdId=1559936&St=WV)
2 – Fundamentos de Direito Penal Informático
TULIO LIMA VIANNA
Esse livro é focado na visao do direito, fala sobre interpretacao de leis, pois como praticamente nao existem leis especificas, quase tudo deve ser por analogia.
3 – Perícia Forense Computacional: Teoria e Prática Aplicada
DAN FARMER
Ainda nao conclui a leitura, mas esse parece ser o meio termo entre os dois acima, ele analisa as tecnicas forenses, tentando nao se prender a sistema operacional. E sim se referindo a conceitos de sistema de arquivo, etc.
Inclusive to achando que os artigos do amigo estao se baseando nesse livro, pois li o artigo sobre MACTIMES e esse sobre OOV e tem a abordagem muito semelhante à do livro.
Espero ter ajudado e espero tambem que possamos trocas ideias sobre o tema, pois a tendencia é somente aumentar nosso nivel de conhecimento sobre o assunto à medida que discutimos o mesmo.
Deem uma olhada tambem no site: http://www.guiatecnico.com.br/periciaforense
Abraço
So complementando, irei participar agora em Setembro do Congresso IcCyber (www.iccyber.org) que trata sobre o tema.
Fica a dica, se puderem aproveitem.
Abraço
Olá Pedro,
Desculpa a demora para comentar por aqui. Ocorreram algumas mudanças em minha rotina e fiquei um pouco desorientado. Enfim, conheço o primeiro e último livro que citou (Andrey e Farmer, respectivamente), e posso afirmar que realmente são muito bons! Cada qual com sua abordagem e conteúdo a apresentar. Fiquei curioso ao ver o segundo livro que indicou. Como é a abordagem do livro? A linguagem que ele utiliza é o advoguês ou sem muitos mistérios?
E sim, eu escrevi o artigo sobre OO e MACTimes baseado no livro do Farmer, já que tem uma abordagem bem direta sobre o assunto.
Aproveite o evento! Se eu pudesse, realmente iria.
Abraços!
olá, quero fazer uma monagrafia a respeito da perícia forense no Brasil, mas só conheço o livro do Andrey. Podem me sugerir outro livro e já tem algum livro exclusivamente Brasileiro a respeito do assunto?!
abração.