Cadeia de Custódia Digital | Decripte Security

A cadeia de custódia é o processo documentado que registra a sequência de controle, transferência, análise e disposição de evidências digitais. É fundamental para garantir admissibilidade legal e integridade das provas em investigações e processos judiciais.

Importância Legal da Cadeia de Custódia

Para que evidências digitais sejam admissíveis em processos judiciais, é necessário demonstrar que foram coletadas, preservadas e analisadas de forma íntegra, sem adulteração ou contaminação.

A quebra na cadeia de custódia pode resultar em exclusão de provas, comprometendo investigações criminais ou ações cíveis. Em contexto corporativo, evidências mal preservadas podem inviabilizar ações contra funcionários mal-intencionados ou limitar recuperação de danos.

Princípios Fundamentais

Ordem de Volatilidade: Coletar evidências na ordem decrescente de volatilidade - registros de memória primeiro, depois logs, discos, backups, documentação física.

Não-Alteração: Evidências originais não devem ser alteradas. Trabalhar sempre em cópias forenses bit-a-bit verificadas por hash.

Documentação Completa: Cada ação deve ser documentada: quem coletou, quando, onde, como, ferramentas usadas, hashes calculados.

Rastreabilidade: Manter registro de cada pessoa que teve acesso à evidência, incluindo custódia, análise e transferências.

Etapas da Cadeia de Custódia

1. Identificação: Localizar e documentar potenciais fontes de evidência. Fotografar e registrar estado inicial antes de qualquer manipulação.

2. Coleta: Adquirir evidências usando métodos forenses apropriados. Para discos, criar imagens bit-a-bit usando write blockers. Para memória, capturar dump completo.

3. Hash/Integridade: Calcular hashes criptográficos (MD5, SHA-256) de evidências originais e cópias para verificação de integridade.

4. Preservação: Armazenar evidências originais em local seguro, lacrado, com controle de acesso físico e ambiental (temperatura, umidade).

5. Análise: Trabalhar exclusivamente em cópias verificadas, nunca em originais. Documentar todas as análises realizadas.

6. Apresentação: Preparar relatório pericial detalhando metodologia, achados e conclusões, com cadeia de custódia anexa.

7. Retorno/Descarte: Após conclusão do caso, devolver evidências ao proprietário ou descartar de forma segura conforme políticas de retenção.

Formulário de Cadeia de Custódia

Cada evidência deve ter formulário próprio contendo:

Identificação da Evidência: Número de controle único, descrição detalhada (marca, modelo, número de série), local de coleta.

Coleta Inicial: Nome do coletor, data/hora, testemunhas presentes, condições da evidência, ferramentas utilizadas.

Hashes: MD5, SHA-256 da evidência original e de cada cópia criada.

Registro de Transferências: Tabela com cada transferência incluindo: nome de quem entregou, nome de quem recebeu, data/hora, propósito, assinaturas.

Localização de Armazenamento: Onde evidência está guardada fisicamente, número de lacre/selo.

Análises Realizadas: Log de cada análise: analista, data, ferramentas, achados resumidos.

Coleta de Evidências Digitais

Discos e Mídia de Armazenamento: Usar write blockers para prevenir escrita acidental. Criar imagens forenses com ferramentas como dd, FTK Imager, EnCase. Calcular e documentar hashes.

Memória RAM: Capturar antes de desligar sistema, pois é volátil. Ferramentas: LiME, DumpIt, FTK Imager (memory dump).

Logs de Sistemas: Coletar logs centralizados (SIEM) e locais. Exportar em formato nativo e também texto simples para análise.

Evidências de Rede: Capturas de pacotes (PCAPs), logs de firewall/proxy, dumps de conexões ativas.

Cloud e SaaS: Usar APIs e ferramentas do provedor para exportação de dados, respeitando chain of custody. Documentar limitações da coleta.

Dispositivos Móveis: Ferramentas especializadas como Cellebrite, Oxygen Forensics. Modo avião para prevenir alterações remotas.

Ferramentas Forenses

Aquisição: FTK Imager, dd/dcfldd, Guymager, Magnet ACQUIRE.

Análise: Autopsy, Sleuth Kit, EnCase, X-Ways Forensics, Volatility (memória).

Hash/Verificação: md5sum, sha256sum, HashMyFiles, verificação embutida em ferramentas forenses.

Timeline: log2timeline/Plaso para criação de timelines forenses detalhadas.

Mobile: Cellebrite UFED, Oxygen Forensics, XRY, Andriller.

Verificação de Integridade

Hashes criptográficos são essenciais para provar que evidência não foi alterada:

MD5: Algoritmo legado, ainda usado mas não mais recomendado como único hash devido a colisões teóricas.

SHA-256/SHA-512: Recomendados para novos casos, resistentes a colisões.

Re-hashing: Periodicamente recalcular hashes de evidências preservadas para detectar degradação de mídia ou corrupção.

Write Once Media: Para preservação de longo prazo, considerar mídia WORM (Write Once Read Many).

Preservação Física

Embalagem: Lacrar evidências em sacos anti-estáticos com etiquetas de identificação. Fotografar antes e depois do lacre.

Ambiente Controlado: Armazenar em sala com controle de temperatura, umidade e acesso restrito. Idealmente cofre ou sala-cofre.

Acesso Logado: Sistema de controle de acesso físico registrando quem acessa área de armazenamento de evidências e quando.

Backup de Evidências: Criar múltiplas cópias verificadas e armazená-las em locais separados para redundância.

Documentação de Análise

Cada passo da análise forense deve ser documentado:

Metodologia: Descrever abordagem e técnicas utilizadas, referenciando frameworks reconhecidos (NIST, ISO 27037).

Ferramentas e Versões: Listar todas as ferramentas com versões exatas usadas na análise.

Comandos Executados: Para análises via CLI, registrar comandos exatos e outputs relevantes.

Achados: Documentar evidências encontradas com screenshots, extratos de logs, referencias a arquivos específicos.

Timeline: Reconstruir cronologia de eventos baseada em artefatos digitais (timestamps de arquivos, logs, etc).

Relatório Pericial

O relatório final deve ser completo e compreensível para leigos:

Executive Summary: Resumo executivo com principais achados para não-técnicos.

Cadeia de Custódia: Anexar formulários completos de chain of custody.

Metodologia Detalhada: Seção técnica explicando como análise foi conduzida.

Evidências e Achados: Apresentação detalhada de cada evidência com análise e interpretação.

Conclusões: Conclusões técnicas baseadas nas evidências, evitando especulação além do que dados suportam.

Anexos: Logs completos, screenshots, hashes, tabelas de arquivos analisados.

Desafios Específicos

Criptografia: Evidências criptografadas requerem obtenção de chaves ou senhas. Documentar tentativas de decriptação e limitações.

Anti-Forense: Adversários podem usar técnicas anti-forenses (wiping, timestomp, esteganografia). Documentar sinais de anti-forense.

Cloud: Jurisdição, dependência do provedor, dados em múltiplas regiões. Documentar limitações de coleta.

IoT: Dispositivos IoT com armazenamento limitado e protocolos proprietários apresentam desafios únicos de aquisição.

Aspectos Legais no Brasil

Código de Processo Penal: Art. 158-184 tratam de perícia. Art. 159 determina que exame de corpo de delito seja realizado por peritos oficiais.

Marco Civil da Internet: Lei 12.965/2014, Arts. 10-11 tratam de guarda de logs e requisitos de quebra de sigilo.

LGPD: Lei 13.709/2018 impacta coleta e tratamento de dados pessoais durante investigações. Legítimo interesse e cumprimento de obrigação legal são bases aplicáveis.

Lei Carolina Dieckmann: Lei 12.737/2012 tipifica invasões de dispositivos e é frequentemente base para investigações forenses.

Certificações e Treinamento

Profissionais que lidam com evidências digitais devem buscar qualificação reconhecida:

Internacionais: GCFE (GIAC Certified Forensic Examiner), EnCE (EnCase Certified Examiner), CHFI (Computer Hacking Forensic Investigator), CCFP (Certified Cyber Forensics Professional).

Nacionais: Certificações oferecidas por peritos oficiais e instituições brasileiras de perícia criminal.

Manter-se atualizado com evolução de tecnologias, técnicas anti-forenses e mudanças legais é fundamental.

Automação e Gestão

LIMS (Laboratory Information Management Systems): Software para gestão de evidências, casos e cadeia de custódia em organizações com volume significativo.

RFID/Barcodes: Tags para rastreamento automatizado de movimentação de evidências.

Digital Signatures: Assinatura digital em documentos de chain of custody para não-repúdio.