Opa! Mais uma postagem sobre Perícia Forense! Hoje vamos falar um pouco sobre a Ordem de Volatilidade e sua importância em uma investigação forense.
Em uma investigação, dados são coletados e analisados a todo instante. Quanto maior a quantidade e qualidade dos dados obtidos com maior exatidão será possível descobrir o que ocorreu. Porém, os dados possuem fragilidades! Alguns podem ser modificados por uma leve brisa digital! A modificação de dados em uma perícia forense poderá por em dúvida todo o processo de investigação, o que torna a mesma inútil.
A primeira regra em uma perícia é realizar o processo sob uma cópia idêntica a original, pois existe a possibilidade de erros (humanos ou não) que podem resultar na deterioração dos dados.
Porém, existem situações em que a clonagem dos dados não é possível, pois, talvez, o ambiente para a investigação seja um sistema operacional que não foi sequer desligado depois que dali ocorreu o crime. Nessas situações, a qual chamamos de “análise ao vivo” é importante observar o nível de volatilidade, ou Ordem de Volatilidade, com que as informações são armazenadas no sistema, de maneira a sempre se iniciar a coletar os dados mais voláteis. Caso essa ordem não seja respeitada, o risco de perda e alteração dos dados será maior e trará prejuízos novamente à investigação.
Os mecanismos de coleta de dados em análises ao vivo deverão ser consistentes e os efeitos colaterais deverão ser entendidos antes de utiliza-los. Sendo que, cuidado e planejamento, deverão ser prioridades nessas situações. Segue tabela contendo o tempo de vida de algumas mídias de armazenamento de dados. Tabela retirada desse livro.
| Tipos de Dados | Tempo de Vida |
| Registradores, memória periférica, caches | Nanosegundos |
| Memória principal | Dez nanossegundos |
| Estado da rede | Milissegundos |
| Processos em execução | Segundos |
| Disco | Minutos |
| Disquetes, mídia de backup | Anos |
| CD-ROMs, impressões | Dezenas de Anos |
Observar a Ordem de Volatilidade, ou também chamada de Order of Volatility (OOV), poderá diminuir os riscos e preservar com uma maior riqueza de detalhes os dados. E existe um limite do que se pode coletar? Uma pergunta óbvia poderia ser o por quê que não se coleta todos os dados simultaneamente. Em raras ocasiões, é virtualmente impossível se obter todos os dados simultaneamente, pois a simples execução de um executável para coletar um dado irá destruir outro.
Para convence-los, experimentem a execução de um comando simples qualquer, algo como um cal, porém precedido da ferramenta strace. Veja o exemplo resumido abaixo.
# strace cal
execve(“/usr/bin/cal”, [“cal”], [/* 29 vars */]) = 0
brk(0) = 0x80e9000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7feb000
(…)
stat64(“/usr/lib/xorg”, {st_mode=S_IFDIR|0755, st_size=4096, …}) = 0
open(“/etc/ld.so.cache”, O_RDONLY) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=84383, …}) = 0
mmap2(NULL, 84383, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7fd6000
close(3) = 0
open(“/usr/lib/libncurses.so.5″, O_RDONLY) = 3
read(3, “\177ELF\1\1\1\3\3\1`\344″…, 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=295984, …}) = 0
mmap2(NULL, 297220, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x84e000
(…)
Reparem na quantidade de operações de “open”, por exemplo. Apenas na execução do simples comando cal houve a execução de mais de duas dezenas de operações de abertura de arquivos. Ou seja, vários arquivos tiveram seus atime alterados durante a execução do binário.
Acabando…
Espero que tenham gostado de mais essa postagem sobre Perícia Forense. Vou ficando por aqui. Outra hora irei voltar para falar mais sobre esse assunto, que muito me agrada! Inté!