Um dos maiores desafios frequentemente enfrentados por um examinador forense é o cliente

Um dos maiores desafios frequentemente enfrentados pelo perito forense digital é, muitas vezes, o cliente.
Embora bem intencionadas, as ações do cliente que levam à contratação de um especialista costumam fazer mais mal do que bem. Os examinadores forenses computacionais do SSG elaboraram uma lista de erros comuns que todos devem evitar.

Erro comum # 1 - Não preservação de uma cena de crime digital.
Para documentar adequadamente o conteúdo de um sistema suspeito, os carimbos de data e hora do computador devem ser preservados. Os clientes que permitem o acesso a um sistema suspeito antes de contratar um examinador forense estão sempre alterando os metadados dos arquivos de computador pela última vez 'gravada' carimbo de data / hora, último carimbo de data / hora 'acessado' ou 'modificado'. Além disso, permitir esse acesso pode adicionar outra parte ao caso. Eles poderiam ser considerados culpados pelas alterações, assim como isto precisaria ser contestado mais tarde. A aquisição forense média de um disco rígido é equivalente a duas horas de taxas legais.

Erro comum # 2 - Atribuir o exame forense ao departamento de TI não capacitado.
Em suma, análise forense digital e manipulação de informações armazenadas eletronicamente (ESI) e é um conjunto de habilidades altamente especializado. Quando a equipe de TI é chamada para “copiar arquivos” de um sistema suspeito, eles frequentemente alteram os arquivos durante esse processo de “cópia”. O fato de a equipe de TI ser um agente de sua empresa e não uma parte desinteressada pode causar problemas adicionais com a integridade dos arquivos copiados. É possível que eles tenham um relacionamento pessoal com o (s) empregado (s) envolvido (s), o que pode impedi-los de estarem prontos em seu testemunho ou podem ser igualmente desonrosos e trabalhar contra você.

Erro comum # 3 - Falha ao proteger o sistema corretamente.
Isso é muitas vezes referido como a "cadeia de custódia". Qualquer sistema suspeito de conter informação armazenada eletronicamente que seja relevante para um “ato” que precisa ser documentado deve ser adequadamente protegido. Como desligar o computador nem sempre é a melhor opção, ele deve ser removido de qualquer rede com ou sem fio para garantir que ele não seja acessado por um indivíduo não autorizado. Além disso, a memória do sistema oferece evidências do examinador forense de arquivos e programas ativamente em execução no sistema. Essas informações seriam perdidas quando o computador for desligado. Peritos Forenses Digitais são treinados no processo de coleta, manuseio e retenção de dados. Frequentemente, eles evitam que você negligencie fontes de evidência que você pode ter, como serviços em nuvem e backups externos.

Erro comum # 4 - Esperando muito tempo para contratar um profissional.
Frequentemente, as empresas tomam decisões com base no custo de um exame forense sem pesar esse custo com o custo de um litígio demorado. No mínimo, quaisquer sistemas suspeitos devem ser identificados e uma aquisição forense deve ser realizada por um Perito Digital Forense para obter cópias do ESI. Não há desculpa para não gastar o dinheiro na frente para preservar dados suspeitos. Seja proativo, não reativo.

Erro comum # 5 - Permitir uma opinião pessoal, teoria ou parcialidade leva a investigação ao caminho errado.
Investigadores e especialistas em dados digitais seguem as evidências e relatam as descobertas com base em fatos e não em opiniões.

Erro comum # 6 - Não perceber que os funcionários são responsáveis por suas ações.
Por exemplo, lembro-me de um caso em Nova Jersey em que um funcionário renomeou todos os arquivos da empresa, bem como suas extensões de arquivos para abc.xyz. Como resultado, eles não tinham como diferenciar um documento do Word de uma planilha do Excel ou de um jpg, etc. O funcionário foi posteriormente condenado e forçado a fazer a restituição de todos os custos associados ao reparo dos arquivos e do tempo de inatividade da empresa. Toda informação armazenada eletronicamente criada pelo seu empregado é o produto ou resultado de seu trabalho mas não dá ao empregado direito para copiar, distribuir ou destruir.

Erro comum # 7 - Tentando destruir informações armazenadas eletronicamente.
Na maioria dos casos, alguém tentará excluir arquivos ou destruir evidências assim que forem pegos. A espoliação, muitas vezes, é mais fácil de provar do que encontrar evidências. Frequentemente, os examinadores forenses são chamados para dar o testemunho de especialista para, essencialmente, explicar ao tribunal onde a evidência suprimida deveria estar e quais medidas foram tomadas para removê-la. Um ato deliberado de se livrar de e-mails e outros dados pode evidenciar culpa, e os tribunais têm o poder de impor pesadas multas ou decidir contra você por não preservar e/ou adulterar registros. Os advogados têm muitas recursos jurídicos para manter a evidência fora do tribunal, é melhor deixá-los fazer o seu trabalho.

Tradução livre do artigo publicado em 14/02/2014 pelos Peritos Forenses do Surveillance Specialist Group, LLC.
O artigo original (em inglês) pode ser lido em http://ssgllc.org/challenges-digital-forensic-expert/