Uma empresa da indústria farmacêutica contratou um especialista para analisar as imagens e o conteúdo do winchester do computador que uma executiva tinha em sua casa. Ao fim das investigações, o especialista concluiu que a usuária teria apagado os arquivos do disco rígido, utilizando um software especial. Depois de apagar as informações, a executiva teria reformatado a unidade de disco.
A executiva, sabendo que havia sido investigada, decidiu contratar por sua conta outro especialista em informática forense, razão pela qual solicitou à Kroll que analisasse a mesma unidade de disco. A Kroll realizou sua própria investigação forense de forma independente, trabalhando com uma réplica da unidade de disco original. Os resultados desse trabalho não mostraram nenhuma evidência de eliminação de dados e tampouco nenhum procedimento de formatação posterior à eliminação.
A Kroll descobriu que o especialista contratado pela empresa havia usado uma réplica defeituosa, o que levou a uma série de conclusões incorretas sobre as atividades da executiva no computador. Durante o processo de reprodução, um defeito físico alterou a réplica, o que fez com que o disco parecesse formatado. Isso é pouco comum, podendo ocorrer quando um hardware defeituoso é utilizado, por exemplo.
Quando um Hard Drive é reproduzido, os dados são passados através de um cabo do Winchester original ao da réplica. Com freqüência, estes dados passam através de um bloqueador de escritura (que é uma forma de comporta unidirecional), garantindo que se escreva somente na unidade de disco de destino, e não na original.
Os dados, então, são transferidos à unidade de disco de destino. Cada cabo e sua conexão apresentam o risco de ter um mau contato ou algum dano nos fios, anomalias que com freqüência não podem ser detectadas à primeira vista. Além do mais, estes cabos têm uma longitude máxima recomendada. Ao exceder esta longitude, a transmissão de dados torna-se pouco confiável. Se os cabos estiverem danificados ou estiverem mal conectados, é possível que os dados não sejam lidos, ou transmitidos de maneira incorreta, razão pela qual a detecção de problemas pode acabar sendo difícil.
A comparação de valores de algoritmos hash é um método padrão geralmente aceito para garantir a integridade na reprodução forense. Um valor de algoritmo hash, gerado por ferramentas- padrão para obter algoritmos hash, é criado a partir de uma entrada de fluxo de dados provenientes de um winchester de origem, que são enviados através de uma série de cabos e conectores ao computador ou a outro dispositivo que realize o procedimento de reprodução.
Geralmente, se um valor hash da unidade de disco de origem corresponde ao valor hash da réplica, isso indica que a reprodução é uma cópia exata e é “adequada do ponto de vista forense”. Não obstante, se os cabos ou a outra parte do equipamento utilizado são danificados durante o processo de reprodução, os dados podem acabar danificados ou alterados no trajeto, e esta circunstância não se manifestará mediante o uso de valores hash. Em outras palavras, se o cabo utilizado durante o processo está completamente danificado e gera erros constantes, um algoritmo hash da unidade de disco de origem sobre esse cabo corresponderá ao algoritmo hash da réplica obtida através do mesmo cabo, mesmo que existam erros ou alterações da réplica. Portanto, mesmo que os valores do algoritmo hash pareçam corretos, é possível que os dados não tenham sido corretamente transmitidos à réplica.
Réplicas defeituosas são raras. Porém, se um especialista não as detecta antes de realizar uma análise forense dos dados, poderá chegar a conclusões erradas.
Por isso, é de fundamental importância verificar se o analista contratado com funções de tamanha responsabilidade é, de fato, qualificado e possui a devida experiência no assunto.
O maior desafio na informática forense é chegar a conclusões exatas a partir de informações que estão no computador.
