|
Um dos maiores desafios frequentemente enfrentados por um examinador forense é, muitas vezes, o cliente. Embora bem intencionadas, as ações do cliente que levam à posterior e necessária contratação de um especialista costumam fazer mais mal do que bem. Para documentar adequadamente o conteúdo de um sistema suspeito, os carimbos de data e hora do computador devem ser preservados. Os clientes que permitem o acesso a um sistema suspeito antes de contratar um examinador forense estão sempre alterando os metadados dos arquivos de computador pela última vez 'gravada' carimbo de data / hora, último carimbo de data / hora 'acessado' ou 'modificado'. Além disso, permitir esse acesso pode adicionar outra parte ao caso. Eles poderiam ser considerados culpados pelas alterações, e isto precisaria ser contestado mais tarde. Em média, a aquisição forense dos dados de um disco rígido é equivalente a duas horas de taxas legais. Em suma, análise forense digital e manipulação de informações armazenadas eletronicamente (ESI) e é um conjunto de habilidades altamente especializado. Quando a equipe de TI é chamada para “copiar arquivos” de um sistema suspeito, frequentemente os arquivos sofrem alterações durante esse processo de “cópia”. O fato da equipe de TI ser um agente de sua empresa e não uma parte desinteressada pode causar problemas adicionais com a integridade dos arquivos copiados. É possível que eles tenham um relacionamento pessoal com o (s) empregado (s) envolvido (s), o que pode impedi-los de prestar seu testemunho ou podem ser igualmente desonrosos e trabalhar contra você. Isso é muitas vezes referido como a "cadeia de custódia". Qualquer sistema suspeito de conter informação armazenada eletronicamente que seja relevante para um “ato” que precisa ser documentado deve ser adequadamente protegido. Como desligar o computador nem sempre é a melhor opção, ele deve ser removido de qualquer rede com ou sem fio para garantir que ele não seja acessado por um indivíduo não autorizado. Além disso, a memória do sistema oferece evidências do examinador forense de arquivos e programas ativamente em execução no sistema. Essas informações seriam perdidas quando o computador for desligado. Peritos Forenses Digitais são treinados no processo de coleta, manuseio e retenção de dados. Frequentemente, eles evitam que você negligencie fontes de evidência que você pode ter, como serviços em nuvem e backups externos. Frequentemente, as empresas tomam decisões com base no custo de um exame forense sem pesar esse custo com o custo de um litígio demorado. No mínimo, quaisquer sistemas suspeitos devem ser identificados e uma aquisição forense deve ser realizada por um Perito Digital Forense para obter cópias do ESI. Não há desculpa para não gastar o dinheiro na frente para preservar dados suspeitos. Seja proativo, não reativo. Investigadores e especialistas em dados digitais seguem as evidências e relatam as descobertas com base em fatos e não em opiniões. Por exemplo, lembro-me de um caso em Nova Jersey em que um funcionário renomeou todos os arquivos da empresa, bem como suas extensões de arquivos para abc.xyz. Como resultado, eles não tinham como diferenciar um documento do Word de uma planilha do Excel ou de um jpg, etc. O funcionário foi posteriormente condenado e forçado a fazer a restituição de todos os custos associados ao reparo dos arquivos e do tempo de inatividade da empresa. Toda informação armazenada eletronicamente criada pelo seu empregado é o produto ou resultado de seu trabalho mas não dá ao empregado direito para copiar, distribuir ou destruir. Na maioria dos casos, alguém tentará excluir arquivos ou destruir evidências assim que for pego. A espoliação, muitas vezes, é mais fácil de provar do que encontrar evidências. Frequentemente, os examinadores forenses são chamados para dar o testemunho de especialista para, essencialmente, explicar ao tribunal onde a evidência suprimida deveria estar e quais medidas foram tomadas para removê-la. Um ato deliberado de se livrar de e-mails e outros dados pode evidenciar culpa, e os tribunais têm o poder de impor pesadas multas ou decidir contra você por não preservar e/ou adulterar registros. Os advogados têm muitas recursos jurídicos para manter uma evidência fora do tribunal, é melhor deixá-los fazer o seu trabalho.
|
 |
 |
 |