HARDWARE FORENSE
Atualmente, existem diversos dispositivos de hardware voltados à computação forense, de modo que, no presente artigo, serão apresentadas as principais ferramentas e equipamentos disponíveis no mercado.
Normalmente, esses dispositivos são especializados, de modo que possuem dimensões reduzidas e recursos otimizados, o que os torna mais ágeis e portáteis do que um computador comum. Outra característica também presente neste tipo de hardware é a presença de, pelo menos, uma porta protegida contra escrita para conectar à mídia original, evitando que algum dado seja inadvertidamente alterado.
Cabe ressaltar que equipamentos de hardware destinados à obtenção de evidências digitais agilizam o processo de aquisição, proporcionando maior comodidade em relação ao tempo destinado a estas tarefas. Porém, essa etapa no processo pericial pode ser executada pelo perito via software, desde que sejam adotadas metodologias que visem à preservação das evidências.
1 DUPLICAÇÃO FORENSE
A duplicação forense está compreendida na etapa de coleta forense, e consiste na cópia – ou seja, na duplicação – dos dados, visto que a análise direta em uma mídia questionada poderia alterar os dados e comprometer a prova pericial. Assim, diante das mídias questionadas, deve o perito realizar uma cópia integral de todos os bits, inclusive da área não alocada do sistema de arquivos. Este procedimento é recomendado para que seja possível a recuperação de dados excluídos na cópia.
Antes da realização da duplicação forense, recomenda-se a proteção da mídia questionada contra gravação. A cópia gerada é conhecida como “imagem” e, via de regra, possui exatamente o mesmo tamanho da mídia original.
1.1 Tipos de duplicadores forenses
Um hardware duplicador forense é um dispositivo especializado e controlador de disco rígido, e a sua utilização tem por objetivo obter acesso somente à leitura dos discos rígidos questionados, sem o risco de danificar o conteúdo da unidade. O dispositivo é nomeado “forense” porque a sua aplicação mais comum ocorre em investigações nas quais o disco rígido de um computador pode conter evidências.
A principal característica do dispositivo de hardware duplicador forense é a opção de bloqueio de escrita integrada ao hardware, que tem como objetivo não subscrever ou alterar a evidência digital, podendo ainda, a depender do modelo, possuir outras facilidades como a sanitização de dispositivos de armazenamento.
1.1.1 Duplicadores forenses tableau
Os duplicadores forenses tableau são comercializados pela empresa americana Guidance Software, mais conhecida por seu software de investigação digital EnCase. Em 2010, a empresa concluiu a aquisição da Tableau LLC, empresa desenvolvedora da linha de hardwares duplicadores forenses da família tableau.
- a) Tableau TD2u
Desenvolvido para operar tanto em campo quanto em laboratório forense, o duplicador forense TD2u é uma combinação de alta velocidade, facilidade de operação e confiabilidade para aquisição de imagens forenses em mídias questionadas. A quarta geração de duplicadores tableau realiza a imagem forense a velocidades que excedem 15GB/min enquanto calcula simultaneamente os valores de hashes MD5 e SHA-1.
Figura 1 – Tableau TD2u
Fonte: http://forensedigital.com.br/product/duplicador-forense-td2u/
- b) Tableau TD3
O TD3 possui um conector de rede integrado para casos como aquisições forenses, triagem remota ou bloqueio contra a escrita em rede. A conexão Gigabit Ethernet pode ser usada para a geração de imagens, carregar provas previamente digitalizadas para o iSCSI ou compartilhar arquivos CIFS na rede. Quando configurado como um bloqueador de escrita remoto baseado em rede, o TD3 é capaz de visualizar e coletar dados de um disco rígido localizado remotamente.
Figura 2 – Tableau TD3
Fonte: http://forensedigital.com.br/product/tableau-td3/
1.1.2 Duplicadores forenses Flash Memory
A Flash Memory Brasil se destaca no mercado nacional por se tratar de uma empresa especializada em soluções tecnológicas voltadas principalmente para as áreas de Segurança da Informação, TI e Investigação Forense Digital. A empresa comercializa uma diversificada linha de equipamentos dedicados ao trato de mídias digitais, como HDDs, SSDs, pendrives e cartões de memória.
A linha de equipamentos possui tanto modelos de base, que atendem a usuários domésticos e pequenos negócios, como também modelos robustos, de alta performance e produtividade, oferecendo uma ampla gama de funções e recursos, de modo que também atendem às necessidades de empresas de grande porte.
Entre as principais funcionalidades dos equipamentos estão: sanitização de dados com emissão de LOG; duplicação bit a bit; backup por imagem; bloqueio de escrita; destruição de mídias; sanitização de mídias; inspeção e testes de qualidade, durabilidade e conformidade
1.1.3 FR100 Forensic HDD/SSD
Excelente ferramenta para viabilizar e agilizar a investigação forense, o FR100 Forensic HDD/SSD também atende a profissionais de segurança, recuperação de dados, manutenção, entre outros.
O equipamento possui 2 portas SATA e conta com as funções de bloqueio de escrita, ponte forense, cópia bit a bit e sanitização (erase). A porta com proteção de escrita aliada à porta PCLink permite realizar a investigação mantendo a integridade exigida pelas normas que regem a atividade forense. Nos modos copy e erase, o dispositivo atinge velocidades de até 7.2GB/min, dependendo do HDD/SSD.
Modelo portátil e veloz, o equipamento foi projetado para aquisição forense, oferecendo conveniência para os usuários iniciantes e também para os avançados.
Figura 3 – FR100 Forensic HDD/SSD
Fonte: http://www.flashmemorybrasil.com.br/FR100-218-Write-Prot-Duplicator
2 SANITIZAÇÃO
A sanitização de discos consiste em apagar toda e qualquer informação armazenada em um disco.
Quando um disco é formatado ou um arquivo é excluído, o sistema operacional apenas informa ao sistema de arquivos que o espaço em disco reservado para armazenar o conteúdo daquela partição do disco está liberado e pode ser utilizado. No entanto, os dados permanecem gravados em disco e podem ser recuperados por meio da utilização de técnicas específicas para a recuperação de dados, como o Data Carving. Estes dados apagados persistem no disco até que o sistema operacional os sobrescreva, contudo, devido a um projeto de alto desempenho do sistema de arquivos que procura evitar a realização de movimentos do cabeçote do disco, os dados tendem a ser armazenados lado a lado no disco, minimizando a fragmentação dos seus arquivos.
O processo de wipe consiste em apagar, bit a bit, toda a área reservada para a alocação de um arquivo. Os dados contidos nos setores apagados são normalmente substituídos por zeros ou valores aleatórios, de forma que não são recuperados por engano quaisquer dados adicionais no disco. hardware forense
2.1 Sanitizador Flash Memory
O Sanitizador Flash Memory foi igualmente desenvolvido pela empresa Flash Memory Brasil com o objetivo de atender às normas nacionais e internacionais ISO e SOX, adotando os padrões recomendados pela DOD (Departamento de Defesa dos EUA) e NIST (Instituto Nacional de Padrões e Tecnologia dos EUA). Por meio do hardware TP400, executa o processo de wipe em dispositivos de armazenamento de dados.
2.2 TP400 Data Wiper HDD/SSD
O sistema de sanitização da TP400 garante a limpeza segura e definitiva dos dados, protegendo as informações confidenciais no descarte ou reuso de HDD’s e SSD’s. Esse sistema segue as mais rigorosas normas, permitindo uma destinação segura para o descarte ou reuso dos dispositivos. hardware forense
Com 4 portas para sanitização, atinge velocidade de cópia de até 8.1 GB/min na versão G e 18 GB/min na versão SAS, dependendo do HDD/SSD. Ademais, ele gera e armazena log visando documentar os processos e permite conexão de impressora e pendrive para emissão dos certificados no local.
Figura 4 – TP400 Data Wiper HDD/SSD
Fonte: https://www.flashmemorybrasil.com.br/manuais/TP400G-Manual.pdf
3 HARDWARE PARA COLETA DE DISPOSITIVOS MÓVEIS hardware forense
3.1 Cellebrite hardware forense
A Cellebrite, empresa israelense desenvolvedora de tecnologias para extração de conteúdo de dispositivos móveis para investigação forense, apresenta uma solução completa para forense de celulares. O UFED Cellebrite Touch Ultimate é a ferramenta de extração, decodificação, análise e emissão de relatórios, especificamente concebida para suportar dispositivos de alta performance. Assim, desempenha extração física em sistema de arquivos lógicos e a extração de senha de todos os dados, inclusive apagados, da mais vasta gama de modelos de telefones celulares, smartphones, dispositivos portáteis de GPS e tablets. Com hardware próprio e bateria integrada, o UFED possui uma interface gráfica intuitiva e de fácil operação. hardware forense
Figura 5 – Cellebrite
3.2 MSAB – XRY Complete hardware forense
A MSAB, empresa situada na Suíça, apresenta a solução de hardware XRY Complete, um sistema forense all-in-one para dispositivos móveis da Micro Systemation, que combina soluções lógicas e físicas em um único pacote. O XRY é uma solução baseada em software e hardware com um propósito único: recuperar dados de dispositivos móveis de forma segura. Por meio do XRY Complete é possível recuperar dados vitais em dispositivos móveis, utilizando uma combinação de ferramentas de análise lógica e física disponíveis para os dispositivos suportados. Assim, o XRY Complete gera um relatório combinado contendo dados ativos e apagados do mesmo aparelho.
Figura 6 – XRY Complete
https://www.academiadeforensedigital.com.br/hardware-forense/