Uma ciência multidisciplinar – que tem como objetivo o estudo de técnicas para a aquisição, preservação, recuperação e análise de dados em formato eletrônico e armazenados em algum tipo de mídia. Esta é uma das formas de definirmos forense computacional. Diante da necessidade das instituições legais atuarem no combate aos crimes eletrônicos, nos últimos tempos observamos um desenvolvimento acentuado desta ciência. Sabemos que a eliminação de fronteiras oferecida pela Internet gerou um grande problema para as instituições de combate ao crime, uma vez que facilitou em muito a ocorrência de atos ilícitos na web.
Contudo, por se tratar de uma necessidade muito recente, ainda não contamos com padrões internacionais para o tratamento desse tipo de evidência. Desta forma, o valor jurídico de uma prova eletrônica manipulada sem padrões devidamente pré-estabelecidos pode ser contestável. Mundialmente, há esforços no sentido de se padronizar a análise forense computacional, bem como resolver algumas implicações legais ligadas à sua prática. Assim como no caso da ciência forense tradicional, a manipulação de evidências deve seguir métodos e padrões rigorosos para evitar ao máximo sua alteração e, portanto, uma possível contestação na justiça.
No âmbito computacional, as evidências se referem sempre à presença de informação relevante, que pode estar armazenada de forma organizada, como arquivos, ou espalhada em meio não volátil, tipicamente magnético. A informação também pode ser trocada entre duas pessoas e, neste caso, as evidências são consideradas de interesse legal.
Quase todas as ações realizadas no cenário virtual resultam em modificações em arquivos, programas, documentos ou em registros históricos de eventos nos computadores. Para este último caso, é necessário que os registros de eventos de interesse tenham sido configurados para operar nas plataformas computacionais envolvidas. Normalmente, tais registros são limitados, se é que chegam a ser habilitados.
Os exames periciais a serem realizados se referem à recuperação de dados de computadores envolvidos em atividades criminosas, cujos danos se refletem diretamente no âmbito computacional, tais como invasão de propriedade, obtenção ilícita de dados privados, danos à propriedade ou serviços computacionais e até o uso ilegal de software. Estes exames também se relacionam a crimes do mundo real que se utilizam dos meios virtuais para atingir seus objetivos, tais como pedofilia, fraudes diversas, tráfico de drogas, tráfego de informações camuflado ou opaco entre agentes criminais etc.
O atrativo que os recursos computacionais oferecem às práticas criminais é facilmente explicado pela facilidade, rapidez e economia com que certas ações podem ser executadas, quando comparadas com suas equivalentes no mundo real. Por isso os procedimentos periciais devem ser válidos e confiáveis, devendo ser aceitos pela comunidade científica relevante. Também têm que conter robustez tecnológica: toda informação probante deve ser descoberta. Por último, devem ser legalmente defensáveis, ou seja, garantir que nada na evidência criminal possa ser alterado e que nenhum dado possa ser adicionado ou removido do original.
Hoje, a ciência forense tem produzido dados válidos e confiáveis, mas a legislação processual brasileira ainda não prevê sua prática. Mesmo assim, provas periciais têm prevalecido no conjunto probante. Certamente, um fator determinante para isto é a fundamentação científica que deve ser demonstrada nestes casos, implicando na não dependência de interpretações subjetivas dos peritos envolvidos.
Na busca de informação em sistemas computacionais, o perito tem que realizar uma varredura minuciosa nos elementos capazes de armazenar informação, sejam eles dispositivos de armazenagem ou elementos de hardware de baixo nível. Dentre estes, destacamos o sistema de arquivos (arquivos comuns ou removidos), os espaços não utilizados em dispositivos de armazenagem (voláteis ou não) e periféricos, que muitas vezes dispõem de espaços próprios de armazenamento.
É interessante observar que um certo subconjunto das possíveis evidências computacionais pode estar somente disponível ou acessível enquanto os computadores envolvidos estiverem exatamente no estado em que se encontravam por ocasião da ação criminal. Nestes casos, a perícia deve dispor de métodos para coleta de evidências com as máquinas ainda vivas, como se diz na área, antes de providenciar seu desligamento para posterior transporte e análise em laboratório. Felizmente, uma certa cultura na área já começa a existir quando o assunto é a investigação de crimes eletrônicos. Pesquisadores já conseguem utilizar ferramentas de uso geral, focando-se no interesse forense. Em outros casos, nota-se a utilização de algumas poucas ferramentas específicas, que começam a ser disponibilizadas pela própria comunidade.
Paulo Licio de Geus
é professor doutor no Instituto de Computação da Unicamp (IC-Unicamp) e Coordenador do LAS-IC-Unicamp (Laboratório de Administração e Segurança de Sistemas).