Transferência

O conceito de transferência é um dos conceitos mais utilizados e com maiores referências de significado na ciência forense. Seu significado se baseia no Princípio da Troca de Locard, que pode ser interpretado diretamente como “todo contato deixa vestígio”.

Embora possamos ser mais precisos, indicando que esse contato baseia-se na divisão da matéria em componentes menores quando sobre ela é aplicada uma força suficiente, podemos nos restringir às características do contato.

Essas características são responsáveis por:

• permitir a classificação, caso existam características similares entre os objetos
• permitir a individualização, caso existam características únicas na relação entre objetos
• dificultar a identificação, já que no processo de interação entre objetos algumas características podem ser perdidas ou modificadas.

De forma cautelosa, podemos expandir o conceito de transferência para o meio digital. Na transferência abordada pela ciência clássica, cada interação possui um saída diferente caso a entrada para tal seja diferente. Ou seja, a característica muda de acordo com a forma que a interação entre objetos foi realizada.

Na análise forense digital, a mesma afirmação já não é válida. Isso ocorre pois o meio digital lida com dados e a informação transmitida por eles ocorre através de metadados e um contexto referêncial.

Na obra de René Magritte [10], ilustrada na figura a seguir, podemos acompanhar um exemplo dessa aplicação no meio digital. Ao nos questionarmos sobre o que é isso somos instintivamente levados a dizer: “um cachimbo”, quando na realidade, a informação que deveria ser passada era: “uma figura de um cachimbo”.

Esses metadados, combinados com a lógica do evento envolvido e dados de entrada diferentes podem resultar em combinações que produzam o mesmo resultado, dificultando assim a classificação e indivualização das informações encontradas.

Como exemplo, um mesmo alerta pode ser gerado tanto por uma instalação lícita de um programa qualquer como também em uma tentativa de violação para instalar um programa malicioso. Quando houver dúvida sobre a interpretação dos dados, deve-se utilizar outras evidências para sustentar a linha de investigação proposta.

Finalmente, a degradação das evidências no meio digital é outro problema. Enquanto as evidências em meio físico constuman ter uma persistência expressa em horas ou dias, por vezes as evidências em meio digital apresentam uma persistência na ordem de segundos ou minutos, assim, as evidência de um incidente de segurança podem desaparecer pela simples continuidade da operação de um sistema.

Acompanhe na imagem a seguir, uma compilação resultante dos trabalhos [9], [1] e [4] realizada por Breno Guimarães Oliveira onde é abordada de forma decrescente a volatilidade e a degradação das informações em função do tempo.

Identificação

O conceito de identificação é determinar características e atributos do objeto de investigação, sendo esses ”atributos”resultantes de abstrações ou de análises estruturais(análise da composição, análise de DNA, entre outras). Transpondo esse conceito para o meio digital, a identificação passaria a atuar de forma a determinar a representação de um conjunto de bits. Ou seja, a identificação no meio digital determinaria se um certo conjunto de bits corresponde a um arquivo de texto ou uma apresentação de slides, por exemplo.

Assim, utilizando o conceito de análise estrutural, no meio digital é possível realizar a identificação de alguns conjuntos de bits. Em sistemas UNIX é possível realizar tal processo através do utilitário file que analisa os cabeçalhos e rodapés dos arquivos. Outras formas de identificação incluem o uso de assinaturas (MD5,SHA-1, entre outras) de arquivos comumente conhecidos.

Finalmente, os meios de identificação ainda são vulneráveis ao uso da esteganografia para ocultar as informações presentes em determinado conjunto de bits. Outro problemas recorrentes são os problemas da quantidade e da complexidade. O problema da quantidade surge devido a grande quantidade de dados gerados que precisam ser analisados, já o problema da complexidade surge nas diversas camadas de abstração que são necessárias para tornar os bits passíves de análise.

Classificação

O conceito de classificação surge para determinar a origem do objeto que está sendo investigado. A forense clássica utiliza a separação em categorias, muitas vezes através da pura observação ou análises técnicas de modo a realizar a separação entre os elementos de uma investigação de acordo com seu objetivo.

Já no meio digital, a classificação dos dados é feita de maneira a associar os dados a conjuntos, como o hardware, sistemas operacionais, programas entre outros. Diferentes autores sugerem a criação de diferentes níveis de classificação de acordo com o objetivo da investigação e os dados previamente coletados.

Individualização

O conceito de individualização surge de modo que após a classificação, seja possível associar os objetos da investigação a uma fonte única e suas características particulares de uso.

Isso é possível pois cada objeto da investigação passa por processos únicos, aleatórios e incontroláveis de maneira a não permitir a existência de dois objetos idênticos. Esses processos podem ser: manuseio, erosão, desgaste, entre outros.

No caso do meio digital, já é particularmente difícil realizar a individualização dos dados pois os eventos nesse meio são produzidos através de processos determinísticos, onde dificilmente existe uma aleatoriedade no meio. As poucas características onde seria possível realizar a individualização, como a criptografia ou o uso de assinaturas digitais, são pouco difundidas e também não são viáveis quando estão presentes no sistema que está sendo investigado.

Associação

O conceito de associação surge através de deduções sobre o contato entre elementos da investigação. Um exemplo de associação está, por exemplo, na ligação de uma cápsula de projétil encontrada em uma cena de crime com a sua possível arma. Outra associação poderá ser feita a partir da arma responsável pela cápsula de projétil com o seu portador no momento do disparo.

No meio digital, a associação muda pois um usuário não interage diretamente com os dados. O usuário utiliza camadas de abstração, como o teclado, mouse, webcam, entre outros dispositivos e processos para realizar a manipulação de dados. Outro problema ainda pior, é o problema da localidade, já que um usuário pode gerar eventos em um sistema estando em uma localidade diferente deste.

Reconstrução

O conceito de reconstrução surge para lidar com a ordenação dos resultados obtidos anteriormente na tentativa de entender o processo que levou à investigação. Na forense clássica são utilizados conceitos das ciências químicas, físicas e biológicas para determinar a origem dos eventos.

No cenário digital, aparentemente existe uma vantagem pois os programas limitam quais tipos de eventos poderiam ser gerados em determinado sistema, mas a volatilidade dos dados muitas vezes podem gerar imprecisão nos resultados. Novamente, como foi apresentado anteriormente, temos o problema da quantidade de dados gerados e da complexibilidade da interpretação deles.