Ao apagar um arquivo do disco rígido do seu computador, ele não desaparece completamente. Com dedicação e conhecimento técnico, muitas vezes é possível reaver documentos e imagens que se acreditavam perdidos. A informática forense é uma ferramenta valiosa para as autoridades, mas como funciona na prática?
Bases Legais da Investigação Digital
Antes de abordarmos os detalhes técnicos, é crucial entendermos os aspectos legais e processuais da informática forense no âmbito da lei.
É comum pensar que um mandado é sempre necessário para que a polícia possa analisar um dispositivo digital, como um smartphone ou computador. Embora isso aconteça frequentemente, existem algumas exceções legais.
Em diversas jurisdições, como no Reino Unido e nos Estados Unidos, agentes alfandegários e de imigração podem inspecionar dispositivos eletrónicos sem mandado judicial. Oficiais de fronteira nos EUA também podem examinar conteúdos de dispositivos sem mandado se houver risco iminente de destruição de provas, como estabelecido por uma decisão do 11º Circuito de 2018.
Comparados aos seus colegas americanos, os polícias do Reino Unido têm maior liberdade para aceder a conteúdos de dispositivos sem autorização judicial. Eles podem, por exemplo, fazer o download do conteúdo de um telefone utilizando uma legislação chamada Lei de Provas Policiais e Criminais (PACE), mesmo que não haja acusações formais. No entanto, se a polícia pretende analisar o conteúdo de forma detalhada, é necessário obter aprovação judicial.
A legislação também permite que a polícia do Reino Unido examine dispositivos sem mandado em situações urgentes, como em casos de terrorismo ou quando há suspeita de exploração sexual infantil.
Em resumo, a apreensão de um computador é apenas o início de um longo processo, que envolve desde a remoção do dispositivo num saco inviolável até a apresentação de provas em tribunal.
A polícia deve seguir rigorosas regras e procedimentos para garantir a validade das provas. As equipas de informática forense registram cada passo, de modo a poderem replicar o processo e obter os mesmos resultados. São utilizadas ferramentas específicas, como um “bloqueador de gravação”, que permite extrair informações sem alterar a prova.
A base legal e o rigor processual são mais importantes para o sucesso de uma investigação forense do que a própria tecnologia.
Discos Rígidos e a Recuperação de Dados
A facilidade com que arquivos apagados podem ser recuperados pela polícia depende de vários fatores, como o tipo de disco utilizado, a existência de criptografia e o sistema de arquivos da unidade.
Os discos rígidos (HDDs), embora tenham sido substituídos por unidades de estado sólido (SSDs) mais rápidas, foram o principal meio de armazenamento por mais de três décadas.
Os HDDs utilizam discos magnéticos para armazenar dados, que se assemelham a CDs, sendo circulares e prateados.
Durante o uso, esses discos giram em alta velocidade, geralmente entre 5.400 e 7.200 RPM, e em alguns casos até 15.000 RPM. As “cabeças” de leitura e gravação movem-se para locais específicos do disco, alterando as propriedades magnéticas para armazenar dados.
Como é que a cabeça sabe para onde ir? Utiliza a tabela de alocação, que mantém um registro de todos os arquivos armazenados no disco. Mas o que acontece quando um arquivo é apagado?
A resposta simples: pouco acontece.
A resposta completa: o registro desse arquivo é removido, liberando o espaço para ser usado posteriormente. No entanto, os dados permanecem fisicamente no disco e só são realmente apagados quando novos dados são armazenados nesse local. Apagar fisicamente os dados a cada remoção diminuiria o desempenho do computador. Portanto, para os discos rígidos, é mais fácil fingir que os arquivos excluídos não existem.
Isso torna a recuperação de arquivos apagados mais fácil para as autoridades, que precisam apenas recriar as entradas na tabela de alocação, algo que pode ser feito com ferramentas gratuitas como Recuva.
Unidades de Estado Sólido (SSDs) e os Desafios na Recuperação de Dados
Os SSDs funcionam de maneira diferente, não tendo partes móveis. Os arquivos são representados como elétrons armazenados em trilhões de transistores microscópicos, que formam chips flash NAND.
Os SSDs são semelhantes aos HDDs no sentido de que os arquivos só são apagados quando são substituídos. No entanto, existem diferenças importantes que dificultam o trabalho dos profissionais de informática forense. Assim como os HDDs, os SSDs organizam os dados em blocos, cujo tamanho varia entre os fabricantes.
A diferença chave é que, para um SSD gravar dados, o bloco deve estar completamente vazio. Para garantir que o SSD tenha um fluxo constante de blocos disponíveis, o computador emite o “comando TRIM”, que informa ao SSD quais blocos já não são necessários.
Para os investigadores, isso significa que, ao procurarem arquivos apagados num SSD, estes podem ter sido eliminados sem o conhecimento do utilizador.
Os SSDs também distribuem arquivos por vários blocos para reduzir o desgaste causado pelo uso diário. Como os SSDs têm um número limitado de gravações, é importante que essas gravações sejam distribuídas por toda a unidade, em vez de se concentrarem em uma pequena área. Essa técnica, conhecida como nivelamento de desgaste, dificulta a tarefa dos profissionais forenses digitais.
Além disso, os SSDs são geralmente mais difíceis de aceder, pois muitas vezes não podem ser removidos fisicamente de um dispositivo.
Enquanto os discos rígidos são quase sempre substituíveis e ligados por interfaces padrão, como IDE ou SATA, alguns fabricantes de portáteis optam por soldar o armazenamento diretamente à placa-mãe, dificultando a extração dos dados de forma forense.
As Complicações Reais
Concluindo: Sim, a polícia pode recuperar os arquivos que você apagou. No entanto, os avanços na tecnologia de armazenamento e o uso generalizado de criptografia dificultaram um pouco o processo.
Apesar dos desafios técnicos, estes podem ser superados. O maior obstáculo enfrentado pela polícia em investigações digitais não é a tecnologia dos SSDs, mas a falta de recursos.
Não há profissionais treinados suficientes para realizar este trabalho. Como resultado, muitas forças policiais em todo o mundo têm um grande número de telefones, portáteis e servidores à espera de serem analisados.
Um pedido de Lei de Liberdade de Informação do jornal britânico The Times revelou que as 32 forças policiais da Inglaterra e do País de Gales têm mais de 12.000 dispositivos pendentes de análise. O tempo para analisar um dispositivo varia de um mês a mais de um ano.
Esta situação tem consequências. Um dos pilares de qualquer sistema de justiça é que os acusados tenham um julgamento rápido. Como se diz, justiça tardia é justiça negada. Este princípio é tão fundamental que está presente na Sexta Emenda da Constituição dos EUA.
Infelizmente, este problema não será facilmente resolvido sem que as forças policiais invistam em recrutamento e formação. A tecnologia por si só não é a solução.