FORENSE COMPUTACIONAL: RECUPERAO DE DADOS

Alex Sander de Oliveira Toledo1

Jefferson Eustaquio Ferreira2

RESUMO
Este trabalho um estudo, realizado reunindo vrios artigos relacionado a recuperao de
dados, apresentando uma anlise da segurana da informao, abordando recuperao
de dados em disco rgido (HD) como conseqncia de invaso de sistemas para roubo de
informaes, esclarecendo at que ponto realmente os dados podem ser recuperados,

Palavras-chave: Forense Computacional. Analise Forense. Recuperao de Dados.

1 INTRODUO
A segurana em TI tornou-se hoje o principal objetivo de muitas empresas privadas e
rgos do governo. Elas esto vendo a necessidade de proteger informaes, isto devido
a vrios fatores o principal deles o crescimento da internet e o valor das informaes que
nela trafegam. Com o avano da internet e tecnologia aumenta a responsabilidade das
organizaes em garantir e preservar a integridade dos ativos. Segundo Figg e Zhou
(2007), a tecnologia mudou radicalmente a nossa sociedade e a maneira com que as
organizaes administram seus ativos e na comunicao das pessoas. A segurana
computacional tornou-se uma preocupao para todas as organizaes e indivduos em
todo o mundo. Tal crescimento obriga as organizaes a terem

um controle adequado

sobre os dados e informaes armazenados em seus Data Center. Tal preocupao e

controle dos dados deu origem s praticas forenses votadas para analise computacional.
Uma das grandes preocupaes em TI a perda de dados ou sua subtrao por criminosos,
1

Coordenador e Professor do Curso de Bacharelado em Sistemas de Informao do Centro

Universitrio Newton Paiva

2Graduando em Bacharelado em Sistemas de Informao do Centro Universitrio Newton

Paiva

colocando em risco as organizaes e as pessoa. Com o crescimento tecnolgico e a

expanso da internet, computadores e outros meios de armazenamentos eletrnicos esto
cada vez mais sendo utilizados para cometer crimes digitais, com isso o uso de prova
eletrnica esta mais presentes em alguns tribunais, isto representa uma dificuldade na
aplicao da lei, porque a prova eletrnica pode ser rapidamente removida ou perdida,
tornando mais difcil a acusao. para isso, a forense computacional precisa encontrar uma
maneira de resgatar os dados rapidamente. Outro fator importante no avano da tecnologia
foi a interatividade dos meios de armazenamentos eletrnicos

melhorando seu

desempenho e portabilidade.Instituies esto usando estes avanos para melhorar suas

operaes. Podemos hoje fazer quase tudo pela internet desde compras a pagamentos
bancrios tudo on-line, todos estes dados tramitam pela internet e podem ser coletados por
criminosos que comete ento um Crime Digital, e como fazer para descobrir? Segundo
Vargas, Quinto e Grizendi, (2007), Com o surgimento do crimes digital tornou-se
necessrio a criao de uma nova disciplina, cujo objetivo e investigar para obter provas
eletrnicas ou vestgios deixados em computadores ou mdias de armazenamentos, criando
metodologias para a aquisio de provas digitais e analise de evidencias. A forense a
cincia criminalstica que tem vrios seguimentos de estudo, um deles destinado ao crime
digital. Responsvel por

estuda e investiga crime eletrnico, utilizando tcnicas

computacionais e tecnologias avanadas restaurando evidencias computacionais, que

podem ser hardware ou mdias de armazenamentos onde foram processados algum tipo de
informao computacional. Em um crime comum tudo analisado no mundo real, no caso
de um Crime Digital o cenrio outro. Na forense computacional tudo pode ser contado,
com a recuperao de processos envolvendo armazenamento de informaes poderiam
estar apagados ou mesmo a mdia destruda. Ao se realizar este estudo o objetivo foi
abordar a Percia forense e mostrar os recursos da rea forense. Basicamente forense
computacional comprovar que um fato ocorreu, como ocorreu e buscar identificar o
autor. No h procedimento padro na rea computacional que sirva para todos os casos, j
que a diversidade enorme. A percia forense na rea computacional inclui anlise de
mdias Ex: HDs, discos pticos, pen-drives, discos SSD, memria RAM, etc. Buscando
arquivos e contedo especfico associado a algum tipo de crime digital, tal procedimento
utiliza hardware e software que podem acessar essas mdias sem modificar ou alterar seu
contedo na procura de evidncias para esclarecer um crime digital, podendo ser um
roubo, troca de mensagens, alterao de arquivos, copias no autorizada de informaes

sigilosas, compartilhamento de arquivos proibidos (pornografia infantil), acesso no

autorizado, etc.Uma das ameaas que podem colocar em risco a segurana da informao
em uma das grandes preocupaes em TI a perda de dados ou sua subtrao por
criminosos, que podem colocar em risco a segurana das empresas, organizaes e dos
indivduos. Com o avano da tecnologia e a expanso da internet, computadores e outros
dispositivos eletrnicos esto sendo usados para cometer crimes digitais, com isso o uso de
prova eletrnica esta cada vez mais envolvidas em crimes digitais. Devido a expanso da
internet e o avano tecnolgico de vrios dispositivos eletrnicos, melhorando seu
desempenho, interatividade e capacidade de armazenamento, instituies esto usando
estes avanos para melhorar suas operaes. Podemos hoje fazer compras, pagamentos,
transferncias bancarias, tudo on-line, todos estes dados tramitam pela internet e a qualquer
momento algum rouba estas informaes. Este algum comete ento um Crime Digital, e
como fazer para descobrir? Segundo Vargas, Quinto e Grizendi (2007), com o surgimento
do crime digital envolvendo computador tornaram-se necessrio a criao de uma nova
disciplina na forense, cujo principal objetivo criar padres especficos com intuito de
reunir requisitos e mtodos capaz de coletar e processar informaes relacionados ao meio
computacional reunindo provas para comprovar um crime digital, que pode ser fsico ou
informaes que foram digitalizadas processados e armazenados por meio eletrnico em
mdias computacionais. Em um crime comum tudo analisado no mundo real, no caso de
um Crime Digital o cenrio outro. Na forense computacional tudo pode ser contado, com
a recuperao de arquivos que poderiam estar apagados ou mesmo a mdia destruda. Ao se
realizar este estudo o objetivo foi abordar a forense em sistemas Windows que domina o
meio computacional

e mostrar recursos da rea forense. Basicamente forense

computacional comprovar que um fato ocorreu, como ocorreu e buscar identificar o

autor. No h um procedimento padro que sirva para todos os casos, j que a diversidade
enorme. A percia forense na rea computacional inclui anlise de mdias Ex: HDs, discos
pticos, pen-drives, discos rgidos baseados em memria flash, memria RAM, etc.
Buscando arquivos e contedo especfico associado a algum tipo de crime digital, tal
procedimento utiliza equipamentos e software que permitem acesso a essas mdias sem a
modificao de seu contedo, na busca de evidncias que possam esclarecer os eventos,
que pode ser um roubo, troca de mensagens, remoo ou alterao indevida de
informaes, compartilhamento de arquivos proibidos (pornografia infantil), acesso no
autorizado, etc.

1 SEGURANA DA INFORMAO
Hoje empresas e todos ns sofremos com crescentes riscos de segurana da informao. A
informao um dos ativos mais importantes da TI, nenhum processo computacional esta
cem por cento seguro. Devido a este cenrio organizaes comearam a avaliar melhor os
riscos e estabelecer estratgias adequadas e controles que garantam a proteo permanente
das informaes. Garantindo ao mesmo

tempo portabilidade, confiabilidade

disponibilidade dos ativos. Contudo para estabelecer novas estratgias, modificaes

devem ser feitas visando fornecer solues rpidas e confiveis, considerando e
capacitando estrategicamente seus profissionais de TI e adquirindo avanos tecnolgicos
voltados para segurana da informao, mantendo a competitividade e garantir eficincia
em seus processos.
Segundo Laureano (2004), com a dependncia do negcio aos sistemas de
informao e osurgimento de novas tecnologias e formas de trabalho, como o
comrcioeletrnico, as redes virtuais e privadas as empresascomearam a
despertar para a necessidade de segurana, uma vez que setornaram vulnerveis
a um nmero maior de ameaas.Segundo a NBR 17999, (2003), DIAS, (2000),
Wadlow, (2000), Krause e Tipton, (1999.)A Segurana da Informao a
proteo dos sistemas de informao contra a negao de servios dos usurios
autorizados, assim como contra a intruso e a modificao no autorizada de
dados ou informaes, armazenados, em processamento ou em trnsito,
abrangendo a segurana dos recursos humanos, da documentao e do material,
das reas e instalaes das comunicaes e computacional , assim como
destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu
desenvolvimento. J Smola (2003), aborda a segurana da informao como
uma rea do conhecimento dedicada proteo de ativos da informaocontra
acessos no autorizados, alteraes indevidas ou sua indisponibilidade.Na rea
de segurana dos dados, todo componente que faz parte de algum processoque
executa determinada ao com a informao considerado um ativo. Os meios
decomunicao e armazenamento, e at mesmo a prpria informao so valores
desse conceito.

2.1 A IMPORTANCIA DA INFORMAO

Segundo Rezende e Abreu, (2000), algumas empresas esto utilizando a informao como
estratgia de competitividade de mercado se destacando e estabelecendo posies
privilegiadas entre as outras que segundo Smola, (2003), informao o ativo principal
para estabelecer competitividade e reconhecimento de uma empresa

3 FORENSE COMPUTACIONAL
Segundo Robbins J (2007), computao Forense a cincia responsvel pela identificao,
extrao, coleta, documentao, anlise e proteo da prova digital. A disciplina se estende
a um conjunto de mtodos e tcnicas de investigao para qualquer dispositivo digital, a
fim de determinar o potencial das provas com valor jurdico. A populao mundial
apresenta hoje uma alta dependncia da tecnologia e da informao com o crescimento de
comunidades e oferta de servios on-line, com esse cenrio a pratica de crime ciberntico
vem aumentando, Que Segundo Lacouture PV (1996), a prova digital comeou a ser tidas
como evidencias em tribunal nos finais dos anos setenta, quando juzes passaram a
consider-las como evidncia no muito diferente da tradicional prova.No entanto, o
progresso contnuo e a tecnologia digital apontou dificuldade de uma aceitao ampla.

3.1 PERICIA FORENSE COMPUTACIONAL

Segundo SHINDER, (2002), o perito forense ao chegar no local onde ocorreu um crime
muitas das vezes encontra uma equipe j trabalhando, contudo neste momento devem ser
coordenados pelo investigador responsvel, o qual tambm estabelecer a cadeia de
comandos a fim de garantir que decises sejam sincronizadas. Computadores e outro meios
eletrnicos no devem ser desligados ou manuseados sem instrues diretas do perito
forense, que conduz a investigao. A cena do crime deve priorizar a coleta e anlise das
evidncias, se o mandado de busca permitir deve-se verificar todo o hardware, software,
manuais, notas escritas e tudo que se relacione ao uso dos meios computacionais como
notebooks, scanners, PDAs, disquetes, Compact Disk, Digital Vdeo Disk, fitas, discos
removveis e todos os demais discos que possam ser vistos ao redor e que faam parte de
um computador. O perito forense preserva as evidncias protegendo os dados volteis e os
demais duplicando os discos e desligando os sistemas corretamente, supervisionando todas
as aes tcnicas garantindo que nenhuma prova seja contaminada ou perdida garantindo
sua integridade.
4 GRAVAO MAGNTICA
Uma breve descrio do processo de gravao ser feita para um entendimento melhor do
processo de recuperao de dados em HD entendendo tambm como os principais sistemas
operacionais utilizam o disco rgido no processo magntico de gravao de dados.

4.1 SURGIMENTOS DA GRAVAO MAGNTICA

A teoria da gravao magntica surgiu em 1888, por Oberlin Smith, mas o primeiro
processo de gravao foi realizado e patenteado em 1898 pelo inventor dinamarqus
Valdemar Poulsen. Gravao magntica baseada no eletromagnetismo, o processo ocorre
quando uma corrente eltrica flui em uma bobina, gerando um campo magntico que grava
a informao em uma camada de material magntico. E o processo de leitura o oposto
quando um campo magntico gerado prximo a uma bobina, induz uma corrente eltrica
que convertido em algum tipo de informao, esse processo o de leitura. Utilizada pela
primeira vez em 1936 na gravao de udio usando uma fita plstica coberta por oxido
frreo, que evoluiu em 1951 se tornando o meio mais importante para armazenamento
digital na era dos computadores, surge ento o disco rgido.
4.2 COMO O DISCO RGIDO FUNCIONA
Segundo o Prof. Carlos Alberto Maziero (2011), a IBM em 1957, construiu o primeiro
disco rgido ou HD, chamado Random Access Method of Accounting and Control ou
RAMAC, Sua estrutura continha cinqenta discos magnticos com tamanho de 24
polegadas de dimetro e capacidade para 50000 setores, limitado a cem caractere
alfanumrico, que somados dava uma capacidade de cinco megabytes,. O processo de
armazenagem eletromecnico e no voltil, processo mantido ate hoje nos HDs atuais.
Internamente os discos rgidos possuem discos magnticos ou Platters que podem ser de
alumnio ou vidro so recobertos por duas camada a primeira de um material magntica de
xido de ferro e a segunda uma camada de material protetor. Possui um eixo central onde
atua um motor de preciso que gira a uma velocidade entre 3600 e 10000 RPM. No
processo de gravao a cabea utiliza-se de magnetismo para orientar molculas de xido
de ferro, que se encontra na primeira camada existente na superfcie dos discos ou Platters,
para ler o processo e inverso existe uma segunda cabea que recupera as gravaes
magnticas. Ambas so presas a um mecanismo sensvel , que se movimenta em toda rea
til do disco,ele e conhecido como brao ou arm. O mecanismo que movimenta o brao
o atuador, ele coordena os movimentos das cabeas. Um sistema operacional s e capaz de
ler e gravar dados aps a preparao do disco que consiste em criar estrutura que permite
o sistema organizar a as informaes a fim de recuper-las quando requisitadas. Existe dois
processos que torna isso possvel. O primeiro deles seria, a formatao fsica basicamente e

dividir o

disco em trilhas setores e cilindros marcando setores com defeito, que so

chamados de badblocks. A formatao lgica o processo que organiza a estrutura do

disco rgido para que o sistema operacional possa utilizar na leitura e gravao de dados.
Esta organizao e chamada de sistema de arquivos, que basicamente so estruturas lgicas
e rotinas que permite o sistema controlar escrita e leitura no disco. Apos essa formatao
do disco rgido dividido em clusters, e uma parte de alguns setores so reservados para a
tabela de alocao de arquivos. Esta tabela tem a funo de armazenar o ndice de
referencia dos arquivos, apontando em qual cluster do disco um arquivo foi gravado.
Utilizando a tabela de alocao o sistema utilizado sabe qual rea do disco esta livre ou
ocupada podendo assim manipular e recuperar dados no disco. As principais estruturas de
sistemas so utilizadas pela Microsoft Fat16, Fat32, e NTFS um outro sistema bastante
utilizado o Linux que utiliza a (EXT2, EXT3, EXT4), a FAT16 o mais antigo, usa
cluster de 32kb gerencia at 65 mil clusters, isso daria um HD de 2GB de tamanho
mximo. FAT32, utiliza 32 bits com cluster, de 4 KB, gerenciando parties at 2 Ter
bytes. O NTFS um excelente sistema de arquivos, apresentando varias vantagens sobre
as parties anteriores a ele j a Ext2 do Linux, possui recursos voltados para segurana e
suporte, conseguindo controlar parties de at 4terabytes. utiliza formatadores especiais
do Linux, so eles Fdisk e oFIPS so capazes de criar parties em EXT2.O EXT3 foi
introduzido em 1999. Sua caracterstica principal o journaling, ou journal com a funo
de manter uma copia das alteraes realizadas no sistema similar ao LFS usado no NTFS.

4.1 A FORENSE NA RECUPERAO DE DADOS

Existe dois caminhos na recuperao de dados, sendo eles Hardware e Software, o mais
utilizado na recuperao de dados atravs do software. A recuperao envolvendo o uso
de hardware mais especifica, exige um conhecimento mais tcnico a nvel de hardware,
Segundo Nicholas Green (2010) quando a referencia a um arquivo apagada ou aparece
como perdido, na verdade s perdeu a referencia ao arquivo ou o ponteiro que indica a
localizao da posio gravada em disco, com isso o disco considera aquele local sem
referencia como vazio, sobrescrevendo aquele local com novos dados e atualizando

antigo ficheiro. Essa lista guardada em um local especifico do disco, onde o usurio
comum no tem acesso e utilizada pelo sistema operacional para criar a estrutura de
rvore do diretrio. Ao apagar a lista, a lista real torna-se sem referencia para o sistema
operacional ficando invisvel, mas continua na mesma posio at que o sistema

operacional utilize a posio novamente. Esse e o maior dos problemas quando se trata de
recuperao de dados pois encontrar o ndice antigo que referenciava o arquivo deletado
no tarefa simples, esse sim o desafio. Para que isso seja possvel o profissional forense
tem que ser especialista na questo e dispor de ferramentas adequadas para recuperar e
salvar as informaes

informao. Segundo Eriberto (2012), formatar um disco

reorganizar a rea usada pelo sistema para controlar os dados gravados em disco,
podendo existir boas chances dos arquivos apagados ou formatados acidentalmente serem
recuperados, Para se obter xito na recuperao de tabelas de arquivos o profissional
forense deve ser paciente possuir tcnicas especificas, pois um arquivo apagado pode ser
preservado por anos em um disco rgido, e com a recuperao dos dados muitos
fragmentos de arquivos podero surgir. Segundo o Prof. Carlos Alberto Maziero (2011),
um dispositivo de armazenamento visto pelo sistema operacional como um grande vetor
de tamanho fixo, um bloco desse vetor fica responsvel pela alocao dos arquivos, esse
bloco e conhecido como File Control Block. Nele esta contido a referencia ou a localizao
dos arquivos gravados no disco. No antigo DOS o File Control Block por ser pequeno
ficava alocado na entrada que referenciava o arquivo na

tabela de. J em sistemas

complexos o File control Block de arquivos so definidos em estruturas separadas, como a

Master File Table usada pelo NTFS e o i-node usado pelo UNIX.
5 TCNICAS USADAS NA RECUPERAO DE DADOS
H vrios caminhos relacionado a perda de dados, podendo ser desde de danos fsico a
uma ao criminosa aos meios de armazenamento. No caso de dano lgico ou deleo a
tcnica utilizada o uso de algoritmos bem estruturados para ter acesso tabela mestra de
arquivos e ao contedo do disco, valendo-se da busca pelos meta-dados que referncia o
arquivo apagado ou sobrescritos por fragmentos de arquivos menores. Na Investigao
forense

o perito segue um processo padro na aquisio, analise e mantendo um

sincronismo das informaes. Existem tcnicas fundamentais utilizadas no campo da

computao forense na recuperao de dados so elas:

5.1 CROSS-DRIVE ANALYSIS

Segundo Simson L. Garfinkel (2006), cross drive analysis a anlise em um grande
conjunto de dados que utilizando ferramentas especificas e complexa. Cross-drive analysis
funciona realizando sistematicamente a extrao e correlao cruzando varias fontes de

dados, uma tcnica inovadora e promissora que auxiliara o perito forense examinar e
identificar grupos de pessoas em redes sociais.
5.2 LIVE ANALYSIS
Captura, e analise de dados, segue prioridade na coleta para no perder informaes que
possa prejudicar a investigao. A prioridade da coleta em um cenrio de crime digital
deve seguir ordem de volatilidade, primeiro faz-se a coleta nos processos que esto sendo
executados na memria RAM com o computador ligado, pois facilita a extrao de
passwords e criptografia de arquivo, por exemplo, onde as chaves de criptografia podem
ser recolhidas na unidade lgica com, a captura do contedo de memria, processos ativos,
arquivos abertos, conexes de rede, podem ser coletados sem correr o risco de perder
informao ao desligar o computador.
6 SOFTWARE
Algumas ferramentas usadas pelos profissionais forenses so de uso especifico, alguns dos
software so pagos, mas existe tambm ferramentas de cdigo aberto e de uso livre.
O ENCASE, da Guidance pago e mais utilizado na forense computacional. utilizado
em

ambiente Windows e possui uma interface de fcil entendimento, trabalha com

Fat12/16/32, NTFS, (DOS/Windows), MFS / HFS / HFS+ (Macintosh), OpenBSD, CD-R,

DVD-R, SUM, UNIX, EXT2/3.
O EASY RECOVERY possui ferramentas com objetivo de recuperar dados perdidos.
Recupera desde dados apagados, at parties corrompidas. suas ferramentas so nodestrutivas fazem somente leitura mantendo a integridade do arquivo, principal
caractersticas na coleta de evidencias.
7 HARDWARE
FASTBLOC da Guidance duplicador de disco rgido IDE/SCSI realiza copias no
evasivas em ambiente Windows protegendo a mdia de origem contra escrita durante a
copia
F.R.E.D. Forensic Recovery of Evidence Device produzida pela Digital Inteligence, Inc.,

10

estao para aquisio de provas e analise coletadas em sistemas computacionais o mais

completo atualmente com recursos especiais no encontrado nos concorrentes de mercado.
NANOSURF EASYSCAN 2 AFMFerramenta de analise de superfcie magntica atravs
da microscopia de fora atmica, possui recursos inteligentes de alta tecnologia.
NANOSURF EASYSCAN 2 STMFerramenta de analise de superfcie por tunelamento
STM, essencial para, investigaono domnio das nanotecnologias.
8 MANTENDO A INTEGRIDADE DOS DADOS
Discos rgidos SCSI normalmente possui proteo contra escrita, essa proteo est
localizada na placa controladora do disco rgido, em um bloco de jumpers. Discos rgidos
IDE no possuem este tipo de bloqueio fsico.Existem tcnicas e possibilidades diferentes
na forense computacional para recuperar

dados formatados ou apagados,

desde a

utilizao de software at o uso de equipamentos especficos que comprove a existncia de

um crime ou fraude.

Alguns programas criam arquivos temporrios que contribui com

informaes preciosas durante uma investigao forense.

9 TCNICAS AVANADAS DE RECUPERAO DE DADOS
Uma tcnica antiga na analise magntica destinada a recuperao

de dados foi o

ferrofluido combinado com microscopia tica, tal tcnica se tornou invivel diante das
novas tecnologia, que foi a evoluo do material magntico usado nos Platters ou discos
dos HDS.Esta tecnologia aumentou a densidade de gravao dos discos tornando a
tcnica invivel. Segundo Peter Gutmann,(1996) Mesmo sobrescrevendo os dados em um
disco rgido, a microscopia de fora magntica ainda pode recuperar os dados.

9.1MICROSCOPIA DE VARREDURA POR TUNELAMENTO

uma tcnica de analise de superfcie descoberta desde 1980. to poderosa que podemos
observar o tomo de qualquer material existente. Desenvolvida nos anos 80 por dois
cientistas da IBM Binning e Rohrer por isso em 1986 receberam o Prmio Nobel. Desde a
sua inveno, o STM tem se tornado uma ferramenta muito utilizada para estudar
superfcies em escala atmica. Esta tcnica tem sido usada para avaliar a deposio e
corroso de materiais, criando um mapa da estrutura ou superfcie desses materiais.O STM

11

um poderoso microscpio eletrnico que usa uma ponta de propores atmica capaz de
fazer a analise de um nico tomo, usa para fazer a leitura uma cabea de cermicas
piezeltrica, que pode ser precisamente manipulada em nano escala comprimindo ou
esticando, para isso aplica-se pequenas tenses a ela.
9.2 MFM MICROSCOPIA DE FORA MAGNTICA
uma tcnica derivada de microscopia de varredura por sonda (SPM) Segundo Peter
Gutmann,(1996), em ultimo caso o MFM a tcnica para recuperaes em mais de trs
camadas de sobrescrita. Conforme explica Uilian Lucas de Souza (2002), O microscpio
de fora magntica uma variante da microscopia de fora atmica. Consiste em um
aparelho que com uma agulha de propores atmicas que

aproximada de uma

superfcie magntica podendo assim verificar com preciso campos magnticos. Que
conforme Peter Gutmann,(1996), essa preciso torna possvel uma anlise do campo
magntico gerando a possibilidade de comparar os valores medidos pela microscopia de
fora magntica com valores padres de gravao de dados. esta comparao que cria
condies de analisar e recuperar dados sobrescritos. Essa funcionalidade se d, porque na
verdade, quando uma cabea de gravao grava 1 por cima de um local onde antes era
0, existe uma pequena variao magntica. E quando a cabea de gravao grava um 1
por cima de outro 1, tambm existe variao magntica que pode ser medida e com isso
podem-se reconstruir os dados apagados. Com a cabea de leitura convencional existente
nos discos rgidos seria impossvel observar variaes dessa magnitude, pois seriam
desprezada, mas com um microscpio magntico possvel detectar a variao.
10 O FUTURO DA RECUPERAO MAGNTICA DE DADOS
Os fabricantes de disco rgidos vem aumentando continuamente a densidade linear de
gravao magntica para criar disco de maior capacidade de armazenamento. Isto eleva a
coercividade magntico do disco, ou seja, o campo magntico necessrio para escrever
bits em mdia magntica aumenta. Contudo com o avano da tecnologia as novas geraes
de mdias de gravao magnticas podero usar laser no lugar das cabeas magnticas, o
calor produzido pelo laser pode gravar com preciso e rapidez atingindo uma densidade de
armazenamento muito maior que os discos atuais. Segundo Thomas Ostler (2012),
Utilizando calor do laser para gravar em mdias magnticas obtemos uma maior
quantidade de dados gravados por polegadas quadra e num tempo superior ao da

12

tecnologia existente hoje sem duvida um mtodo revolucionrio. Conforme equipe de

cientistas liderada por Tianshu Lai (2010), mostra que a reverso da magnetizao poderia
ocorrer em um sub-nanossegundo de tempo, o que implica que a prxima gerao de
dispositivos magneto-ptico de armazenamento sero capaz de gravar dados em discos de
altas densidades e com velocidade de at um gigahertz. Essa velocidade trinta vezes
mais rpido do que a atual utilizada por disco rgido.
11 O FUTURO DA FORENSE NA RECUPERAO DE DADOS
Segundo um artigo publicado no "Journal of Digital Forensics, Security and Law" pela
dupla de australianos Graeme B. Bell e Richard Boddington ( 2010), o algoritmo 'garbage
collector' utilizado para manter a performance em alguns discos de estado slidos ou SSD
reseta os blocos no alocado pelo disco, para manter a performance, isso interfere na
analise forense de aquisio de dados,a abordagem atual do evento linha do tempo pode
perder dados importantes,

metadados teis como horrios, datas

e fragmentos de

arquivos, pois altera as evidncia, esse processo acontece mesmo sem a interferncia do
computador ou ao do usurio. Citam ainda que mudanas devessem ser feita na forense
computacional devido a nova tecnologia de armazenamento pois mesmo utilizando
bloqueadores de escrita para impedir alterao no contedo do disco periciado o garbage
collector altera os dados.Garbage Collector e um algoritimo que tem o propsito de
redefinir os setores com espaos no utilizados em disco SSD, com o objetivo de melhorar
a performance do disco e com isso elimina dados anteriores. A verdade e que estamos
lidando com tecnologia muito recente, desempenho talvez no seja a melhor opo quando
se manipula dados importantes. De que adianta ter performance, velocidade de resposta se
no se pode confiar no dispositivo, pois sem qualquer aviso prvio os SSDs param de
funcionar.
12HIGIENIZAO DE MIDIAS DE ARMAZENAMENTO DADOS
Um problema critico que organizaes governamentais e empresas privadas enfrentam na
segurana da informao a higienizao de mdias de armazenamentos digitais, que a
destruio dos dados existentes em hardware defeituosos ou desatualizados. Apagar dados
de maneira confivel um problema serio nos dias de hoje, com o avano tecnolgico
vrios meios de armazenamentos esto ficando cada vez mais complexos tanto na
recuperao

quanto na higienizao das informaes. A forense computacional com

13

certeza ter que se adaptar aos problemas que esto surgindo com as novas tecnologias. No
Brasil temos a ISO 27001 que um conjunto de requisito e normas internacionais que
orienta as organizaes possibilitando-as

controlar e manipular informaes com

segurana, estabelecendo polticas e controles de seguranas no gerenciamento de risco

das informaes. Seguindo padres da ISO 27000 garantindo segurana no manuseio da
informao. J o governo estabeleceu regras de manuseio na destruio e higienizao das
informaes classificadas como secretas, pelo decreto de (2002).
DECRETO N 4.553, DE 27 DE DEZEMBRO DE 2002. Dispe sobre a
salvaguarda de dados, informaes, documentos e materiais sigilosos de
interesse da segurana da sociedade e do Estado, no mbito da Administrao
Pblica Federal, e d outras providncias. CAPTULO V DOS SISTEMAS DE
INFORMAO
Art. 45. Os equipamentos e sistemas utilizados para a produo de documentos
com grau de sigilo ultra-secreto s podero estar ligados a redes de
computadores seguras, e que sejam fsica e logicamente isoladas de qualquer
outra.
Art. 46. A destruio de dados sigilosos deve ser feita por mtodo que
sobrescreva as informaes armazenadas. Se no estiver ao alcance do rgo a
destruio lgica, dever ser providenciada a destruio fsica por incinerao
dos dispositivos de armazenamento.
Art. 47. Os equipamentos e sistemas utilizados para a produo de
documentos com grau de sigilo secreto, confidencial e reservado s podero
integrar redes de computadores que possuam sistemas de criptografia e
segurana adequados a proteo dos documentos.
Art. 48. O armazenamento de documentos sigilosos, sempre que possvel,
deve ser feito em mdias removveis que podem ser guardadas com maior
facilidade.

Nos Estados Unidos o rgo responsvel pela higienizao de mdias contendo

informaes classificadas como secretas o NISP, National Industrial Security Program,
responsvel por estabelecer procedimentos e requisitos que suprem as necessidades da
indstria privada e rgos do governo na eliminao de dados, classificados como secretos.
Um componente importante do NISP seu manual o NISPOM tambm conhecido como
DoD5220.22-M, que estabelece requisitos e procedimentos para rgos do governo e seus
fornecedores, fazendo referencia a mtodos usados para higienizar dados em mdias
magnticas como disco rgidos.
12.1 ALGORITIMO DE PETER GUTMANN
Segundo Peter Gutmann (1996) seu mtodo consiste em sobrescrever um disco rgido com
0 e 1 35 vezes de forma aleatria, tornando o disco irrecupervel .

14

12.2 DESMAGNETIZAO
Desmagnetizao de disco rgido consiste em destruir o disco expondo a mdia a um
campo magntico muito forte que esteriliza o disco, apagando qualquer dado existente na
mdia esse processo destri tanto a mdia como o firmware que controla o disco, tornando
o disco irrecupervel, porem esse mtodo no e eficaz para mdias no magnticas tipo
CDs, DVDs etc.
CONCLUSO
A forense computacional se preocupa em identificar, coletar e preservar provas que
identificam um crime digital, este trabalho reuniu diversos artigos focados em tecnologias
de recuperao de dados pela

forense computacional e empresas especializadas

na

recuperao de dados. Hoje com o avano tecnolgico existe uma variedade muito grande
de fabricante de meios de armazenagem de dados, e cada um com seu hardware e software
especifico. Ser que nos estamos preparados para essas mudanas rpidas de tecnologia
Ser que nossos dados esto seguros, essa uma preocupao crescente na TI e na forense
computacional que com certeza enfrentar desafios na recuperao de dados, com a
evoluo dos meios de armazenagem de dados, e de tcnicas criminosas no meio
computacional. Outro fator importante e com relao aos fabricantes de disco rgidos que
vem aumentando continuamente a densidade linear de gravao magntica para criar disco
de maior capacidade de armazenamento. Isto eleva a coercividade magntico do disco, ou
seja, o campo magntico necessrio para escrever bits em mdia magntica aumenta.
Com o aumento da coercividade magntica, os campos magnticos gerados para apagar
os dados gravados em discos aumenta tambm. Assim, talvez um velho desmagnetizador
no possa apagar completamente os dados em um disco rgido fabricado recentemente. As
novas geraes de mdias de gravao magnticas podero usar laser no lugar das cabeas
magnticas, o calor produzido pelo laser pode gravar com preciso e rapidez uma maior
quantidade de dados por

polegadas quadrada. Atingindo

uma densidade de

armazenamento muito maior que os discos atuais. Segundo Thomas Ostler (2012),
Utilizando calor do laser para gravar em mdias magnticas obtemos uma maior quantidade
de dados gravados por polegadas quadra e num tempo superior ao da tecnologia existente
hoje, sem duvida um mtodo revolucionrio. Conforme equipe de cientistas liderada por

15

Tianshu Lai (2010), mostra que a reverso da magnetizao poderia ocorrer em um subnanossegundo de tempo, o que implica que a prxima gerao de dispositivos magnetoptico de armazenamento sero capaz de gravar dados em discos de altas densidades e com
velocidade de at um gigahertz. Essa velocidade trinta vezes mais rpido do que a atual
utilizada por disco rgido. Baseado nos avanos tecnolgico o NISP, National Industrial
Security Program no documento DoD 5220.22M (2006) decide que com a tecnologia de
gravao atual, os desmagnetizadores existente no conseguiriam apagar dados gravados a
laser em mdias magnticas, o que neste caso a unidade de mdia magntica teria que ser
fisicamente destruda para evitar que os dados sejam recuperados. Os discos so triturado
em pedaos microscpicos, e todos os pedaos triturados no podem ser maiores do que
um bloco de registro de 512 bytes de tamanho. Segundo o documento a destruio fsica
do meio de armazenamento magntico necessria para dados classificados Secretos. A
triturao e para evitar o uso da Microscopia magntica. Com tal avano tecnolgico com
certeza as ferramentas forenses deveram ser mais rpidas e sofisticadas e os peritos
deveram estar mais preparados tecnicamente, pois na mesma velocidade ferramentas antiforense apareceram. Uma coisa e certa a guerra vai ser grande e os discos magnticos ainda
estaro presente por um bom tempo entre nos, pois os SSDs ainda uma tecnologia cara e
apresentam alguns problemas no meio computacional.

16

REFERENCIA BIBLIOGRAFICAS
FIGG, W.; ZHOU, Z. A computer forensics minor curriculum proposal. Journal
Of Computing Sciences in Colleges, v. 22, n. 4, p. 3238, April 2007.
VARGAS. R. G.; QUINTO, P.L; GRIZENDI, L.T. Percia Forense Computacional.
Anais do I Workshop de Trabalhos de Iniciao Cientfica e de Graduao daFaculdade
Metodista Granbery, pp. 20-29, Juiz de Fora, Maio de 2007.
Marcos AurelioPchek Laureano e Paulo Eduardo Sobreira (laureano@ppgia.pucpr.br e
pauloeduardo@facinter.br)Revista Economia & Tecnologia ISSN 1415-451XVol. 8
Fascculo 3 P. 38-44 Ano. 2005
Fontes: Extrado do Artigo publicado por Everson Santos Araujo, analista de sistemas e da
Apostila Gesto de Segurana da Informao publicada por Marcos AurelioPchek
Laureano.<http://www.codeplan.df.gov.br/cipa/importanciadainformacao.html >. Acesso
em: 18 maro. 201221:30
NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.; Recovering and
Examining ComputerForensic Evidence; Forense Science Communications, outubro
2000, Vol. 2 N. 4; Federal Bureau of Investigation;
SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de
Janeiro: Campus, 2003. 156 p.
Dr H. B. Wolfe Advances in Cryptology - ASIACRYPT 2002, March 17, 2003
KrollOnTrack Eletronic Data Investigator
http://support.microsoft.com/kb/69013/pt-br acessado em 10/04/2012

17

O'Grady, K.; Laidler, H.journal of Magnetism and Magnetic Materials, Volume 200,
Issue 1-3, p. 616-633. http://adsabs.harvard.edu/abs/1999JMMM..200..616O
Robbins J (2007) An Explanation of Computer Forensics.
Lacouture PV (1996) Discovery and the use of computer-based information in
litigation.
http://computer.howstuffworks.com/hard-disk.htmaccessed am 10/04/2012
Pacotes forenses GuidanceEnCase e AccessData FTK, Live CDs Helix, Fire
KrollOnTrack Eletronic Data Investigator
http://www.destructdata.com/dod-5220-erasure-standard.html
12/05/201217h17min

acesso

dia