Por que preservação é diferente de cópia comum
Forense aplica padrões estritos: a mídia original NÃO pode ser alterada após apreensão; análise é feita em cópia bit-a-bit (imagem); cada movimento físico e lógico é documentado; integridade é validada por hash criptográfico. Se qualquer um desses pontos falhar, a evidência pode ser contestada e descartada em juízo. Documentos como ABNT NBR ISO/IEC 27037 e NIST SP 800-86 definem o padrão.
Erros que invalidam evidência
- 1.Conectar mídia diretamente em computador comum. Windows monta automaticamente e pode atualizar timestamps de acesso. Toda análise inicial em ambiente forense (write blocker).
- 2.Pular o hash inicial. Sem hash da original, qualquer alteração posterior fica indistinguível. Hash antes é a primeira ação após apreensão.
- 3.Analisar diretamente a mídia original. Quebra a cadeia. Sempre cópia.
- 4.Não documentar transferências entre pessoas/lugares. Lacuna na cadeia = evidência questionável. Cada movimento é registro.
6 passos de preservação válida
- 1
Documentação na apreensão
Fotografias da mídia in situ. Anotação de modelo, serial, capacidade. Quem entregou, quando, em que estado. Selo de evidência. Esse documento é o ponto zero da cadeia de custódia.
- 2
Transporte com isolamento eletromagnético
Saco antiestático + caixa rígida + lacre numerado. Para mídias suspeitas de wipe remoto: gaiola de Faraday durante transporte.
- 3
Imagem bit-a-bit com hardware write blocker
Tableau, WiebeTech ou equivalente impede qualquer escrita na mídia original. Imagem via FTK Imager, dc3dd ou guymager. Formato preferido: E01 (EnCase) ou RAW.
- 4
Hash SHA-256 antes e depois
Calcule SHA-256 da mídia original antes de qualquer leitura, e da imagem após criação. Os dois devem ser idênticos. Em adição, MD5 como hash secundário. Documente ambos.
- 5
Cópia de trabalho separada
A imagem original fica em cofre. Análise é feita em cópia da imagem. Toda manipulação é em cópia, nunca no original. Esse princípio garante que pode-se reanalisar do zero a qualquer momento.
- 6
Cadeia de custódia documentada
Cada movimento físico ou lógico da mídia é registrado: quem manuseou, quando, para que finalidade, com que ferramenta. Documento assinado por todos. Em caso jurídico, esse é o documento mais perguntado.
Perguntas frequentes
Quando precisa de cadeia de custódia formal?
Qualquer caso com potencial uso judicial: investigação interna corporativa (improbidade, vazamento, fraude), perícia para processo civil ou criminal, resposta a incidente de segurança regulado. Para uso pessoal/familiar normalmente não é necessário.
Posso fazer eu mesmo ou preciso de profissional?
Equipamento (write blocker) custa R$3.000-15.000. Software forense pago (EnCase, FTK) custa R$30.000-50.000/ano. Para caso isolado, contratar laboratório (HD Doctor) é ordens de magnitude mais barato e garante aceitação.
Quanto tempo leva preservação completa?
Mídia até 1TB: 4-8h. 4TB: 12-20h. RAID corporativo: 1-3 dias só para imagem. O tempo escala linear com volume e velocidade da mídia.
E se a mídia está com defeito físico?
Imagem com hardware especializado (PC-3000) que ignora bad blocks e tenta múltiplas vezes. Documenta-se cada setor não lido. A evidência aceita 'best effort' quando documentado.
Quanto custa um laudo pericial?
Não publicamos preço de tabela. Variável conforme: número de mídias, complexidade, urgência, idiomas do laudo. Casos típicos: R$5.000-25.000 para 1-3 mídias. Orçamento gratuito após análise inicial.
Precisa preservar mídia para uso judicial?
Cadeia de custódia documentada. Laudo válido em juízo. Atendemos Polícia, MP e advocacia.