Como recuperar ou apagar dados em dispositivos?
COMO RECUPERAR OU APAGAR DADOS EM DISPOSITIVOS? RISCOS DA PROVA DIGITAL
Como recuperar ou apagar dados em dispositivos? Riscos da prova digital
Do que se trata?
A recuperação de arquivos apagados se tornou um elemento central em investigações envolvendo dispositivos digitais. A crescente sofisticação das técnicas forenses permite resgatar dados e informações que, à primeira vista, parecem perdidos. Para compreender os limites e possibilidades, antes é preciso entender como os sistemas armazenam e excluem arquivos. Só assim será possível a identificação de conformidade ou de vícios, associados à valoração probatória.
O artigo a seguir explica, de forma acessível, o funcionamento da exclusão de arquivos, as diferenças entre métodos de recuperação e as limitações impostas pelas tecnologias atuais de armazenamento.
O que realmente acontece quando um arquivo é deletado
Ao contrário do que muitas pessoas imaginam, excluir um arquivo não significa eliminá-lo imediatamente do disco ou dispositivo de armazenamento. Na prática, o sistema operacional simplesmente deixa de exibi-lo e marca o espaço onde ele estava como disponível para uso futuro. A estratégia é utilizada para melhorar a performance do sistema, evitando que a exclusão exija tempo adicional para limpar todos os dados de forma ‘permanente’.
Assim, enquanto o espaço marcado não é sobrescrito por novos dados (reocupado), o conteúdo permanece no dispositivo e pode ser recuperado por técnicas especializadas. A característica explica por qual motivo arquivos aparentemente apagados podem ressurgir em análises periciais. Se você apagar uma foto, p.ex., embora não apareça mais no aplicativo de fotos, a exclusão definitiva demanda o uso de camadas adicionais.
Diferenças entre HDs e SSDs no processo de recuperação
A possibilidade de recuperar dados depende, em grande parte, do tipo de tecnologia de armazenamento.
HDs mecânicos: os discos rígidos tradicionais funcionam com pratos magnéticos e cabeças de leitura e os setores marcados como livres tendem a permanecer intactos por longos períodos, o que permite: [a] maior janela de tempo para recuperar arquivos; [b] maior probabilidade de preservar fragmentos antigos; e, [c] possibilidade de encontrar dados de usuários anteriores. Por isso, HDs geralmente permitem recuperação mais robusta e mais extensa quando comparados a tecnologias modernas.
SSDs e a tecnologia Trim: SSDs trabalham com memória flash e dependem de uma gestão interna de células para evitar desgaste. Para manter o desempenho, os dispositivos utilizam um comando especial chamado Trim, que informa ao SSD quais blocos foram marcados como livres. Quando o Trim entra em ação, o dispositivo tende a limpar os blocos de maneira definitiva.
O resultado é que arquivos apagados em SSDs: [a] geralmente desaparecem de forma permanente; [b] dificilmente podem ser recuperados por data carving.
Importância: A diferença tecnológica influencia diretamente a atuação pericial e deve ser considerada ao avaliar a força probatória de dados recuperados.
Data carving e recuperação em nível de sistema de arquivos
Do ponto de vista forense, existem dois principais abordagens:
1 Data carving
O data carving procura fragmentos de arquivos diretamente nos setores do dispositivo, independentemente de o sistema de arquivos ainda guardar os respectivos dados/informações. É como encontrar páginas soltas de um livro sem saber quem era o dono anterior nem quando as escreveu.
No entanto, o método apresenta riscos significativos: [a] ausência de metadados confiáveis; [b] possibilidade de recuperar fragmentos de usuários antigos; [c] reconstrução artificial de arquivos incompletos; e, [d] dificuldade de estabelecer linha do tempo ou autoria
2 Recuperação em nível de sistema de arquivos
Quando o sistema de arquivos ainda guarda metadados (dados sobre dados), é possível recuperar arquivos com: [a] datas de criação, modificação e acesso; [b] caminho original; [c] relação com perfis de usuário; e, [d] registros de aplicativos usados para abrir o arquivo e quantidade de vezes aberto.
Os elementos permitem contextualização e maior clareza na análise, desde que a extração seja completa e documentada.
Sanitização de dados: quando a eliminação precisa ser definitiva
A sanitização de dados é um conjunto de práticas que visa eliminar arquivos de forma mais segura, na prática pericial é utilizada para evitar a contaminação da análise por vestígios dos casos anteriores. Em geral, pode ocorrer por diferentes métodos, dentre eles: [a] sobrescrita completa do espaço de armazenamento; e, [b] uso de ferramentas específicas de limpeza segura
A sanitização costuma ser empregada em ambientes corporativos, governamentais e industriais para garantir que informações sensíveis não possam ser recuperadas por terceiros. No contexto pericial penal, serve para compreender se houve ou não sanitização, explicando a causa da ausência de vestígios.
Exemplos
1. Exemplo A: computador de segunda mão
Um HD mecânico usado pode conter restos de arquivos antigos mesmo após formatações anteriores. O data carving pode recuperar fotos ou documentos sem qualquer ligação com o atual proprietário, o que torna arriscado interpretar a recuperação como indicativo direto de autoria.
2. Exemplo B: uso de SSD com Trim ativado
Em um notebook moderno, arquivos apagados podem desaparecer de forma permanente devido ao Trim. Nesse cenário, a ausência de dados não significa necessariamente que nunca existiram, mas pode ser consequência do funcionamento normal do dispositivo.
Existem métodos de recuperação de dados mais avançados utilizando os artefatos do sistema operacional, como por exemplo arquivos de hibernação, arquivos temporários, memória volátil e outros. Então cuidado quando for vender ou entregar seu computador, quem sabe usando um aplicativo gratuito [saiba mais aqui].
Conclusão
A recuperação de dados é uma ferramenta importante em investigações digitais. No entanto, o os resultados dependem diretamente da forma como o dispositivo armazena e apaga informações. HDs e SSDs apresentam comportamentos distintos, assim como as técnicas utilizadas para resgatar arquivos.
Enquanto o data carving pode recuperar fragmentos sem contexto e sem metadados, a recuperação em nível de sistema de arquivos tende a fornecer informações mais consistentes. Além disso, compreender a dinâmica da exclusão, o papel do Trim e os métodos de sanitização é condição de possibilidade para avaliar a presença ou ausência de vestígios digitais.
O esforço pericial deve sempre pautar-se pela contextualização técnica e na cautela interpretativa, de modo que cada vestígio digital seja analisado conforme suas limitações, características e origem tecnológica. Mas quem não sabe disso, em geral, é um agente processual amador, facilmente enganado, em descompasso com as exigências mínimas do exercício profissional. Reconhecer as limitações é o primeiro movimento. O segundo é procurar adquirir as competências necessárias. Conte conosco. Até lá, boa sorte.
shared by RogerSouza
Comentários
Postar um comentário