Ambos, especialistas, em computação forense
e técnicos de recuperação de dados, tem
a função de procurar e recuperar os dados apagados. Na recuperação de dados o
principal interesse é trazer de volta arquivos perdidos, enquanto que na
computação forense a tendência é ir mais além, procurando não apenas os
documentos apagados, mas também os metadados, que são os dados sobre os dados -
tais como: atributos de arquivo, suas descrições, datas e outras informações e
os trechos significativos de arquivos irrecuperáveis. Uma área de interesse
especial são os e-mails.
Quando a maioria dos documentos é escrita e
gravada no disco rígido de um computador, cada documento recém-criado tem a sua
própria entrada no diretório, o usuário o vê como uma listagem de uma pasta. Se
um arquivo tiver sido excluído, mas não for substituído por outro documento o
processo de recuperação é um serviço relativamente fácil de e-discovery ou de
recuperação de dados. Mas quando os dados de interesse são e-mails perdidos, a recuperação dos dados diferem do
processo de e-discovery. Os e-mails individuais são armazenados de forma
diferente do que os arquivos individuais.
Os diferentes tipos de programas que são
usados para acessar os e-mails armazenam os dados de forma diferente no disco
rígido do usuário e requerem diferentes esquemas para encontra-los. Como resultado,
e-mails excluídos tem sua recuperação diferente da recuperação de outros tipos
de documentos, e também entre os diferentes tipos de programas de acesso a e-mail.
Existem três tipos principais acesso a
e-mail, Microsoft Outlook (muitas vezes usando Microsoft Exchange Server),
programas clientes de e-mail baseado em texto e acesso através da web usando
webmail.
No Microsoft Outlook, todos os e-mails são
mantidos em um grande arquivo criptografado, PST (personal folders file)
arquivo de pastas particulares. Outlook também tem funções e conteúdo
adicionais. Tem uma agenda de endereços, armazena varias caixas de correio, um calendário
e tudo isso esta armazenado no PST, quando abrimos um arquivo PST o que vemos não
é inteligível para o olho humano, seu conteúdo se parece com um amontoado de
caracteres aleatórios.
Normalmente o arquivo PST precisa ser
carregado no Outlook para ser lido. Quando um e-mail é excluído, ou quando ele
é removido, ele pode estar mantido dentro do corpo do PST, mas tornam-se inacessível
para o programa. Alguns dados de e-mail apagados podem ser recuperados através
da manipulação de arquivo por um processo manual, fazer o reparo do arquivo
resultante, em seguida pode-se carrega-lo volta para o Outlook.
Programas de e-mail baseados em texto
incluem o Microsoft Outlook Express, Qualcomm Eudora Pro, Mozilla Thunderbird,
Macintosh Mail, entre outros.
Nos leitores de correio eletrônico (e-mail)
baseado em texto, cada caixa de correio tem seu próprio arquivo, e todos os
e-mails desta caixa de correio são mantidos neste arquivo. Por exemplo, temos
um único arquivo para todos os e-mails da caixa de entrada, um arquivo para os e-mails
da caixa de saída, um para cada caixa de correio gerada pelo usuário, e assim
por diante.
Esses arquivos de caixas de correio são
basicamente arquivos de texto, quando um e-mail individual é excluído, o texto
pode ficar "órfãos", ou retirado do corpo do arquivo, mas ainda pode
ser recuperado como um arquivo que poderá conter informações no corpo do e-mail
como datas, horários, remetentes e ate mesmo parte do texto que foi enviado.
Um processo de recuperação de dados padrão
não se recuperaria o tal e-mail apagado, mesmo estando a caixa de correio que o
continha intacta e apenas não tendo os e-mails específicos apagados. Parte da investigação
digital incluiria a busca pelo espaço não alocado. Quando um arquivo é gravado,
o sistema operacional aloca uma área específica do disco rígido para esse
arquivo e quando o arquivo é apagado, esse espaço é desalocado, e é referido
como porção de espaço não alocado do disco rígido, esta busca seria por termos
ou frases específicas que são normalmente escritas em um do corpo e-mails. A pesquisa
também poderá ser realizada na busca por cabeçalhos de e-mail que também são
baseados em texto. Os dados resultantes podem ser recolhidos e exibidos como
arquivos de texto.
Uma terceira forma de ler os e-mails é o webmail
que é acessado via Web. Muitos, se não a maioria dos fornecedores de e-mails
comerciais oferecem ao usuário o acesso ao e-mail através de um navegador web. Por
exemplo, a América Online é um provedor de e-mail que geralmente não armazena
e-mail no computador do usuário por padrão. Os e-mails são armazenados em um
computador remoto, ou distribuídos em vários computadores remotos, que podem
ser acessados de qualquer lugar através da Internet. Desta forma também é possível
ver um vídeo que na verdade não esta armazenado em seu computador, os e-mails
que podem ser visualizados através de webmail não são armazenados em seu
computador local.
Como os servidores de webmail hospedam
centenas ou mesmo milhões de usuários e seus e-mails, o armazenamento de tais
e-mails é extremamente dinâmico. Quando e-mails são apagados neste tipo de ambiente,
restos de e-mails e arquivos individuais tendem a ser substituídos de forma
rápida e repetidamente. No entanto pode haver alguns vestígios no computador do
usuário em memória virtual ou um arquivo
de buffer.
Há sempre uma chance de se recuperar os
arquivos apagados, mesmo quando partes dos mesmos podem ter sido substituída.
Devido a essa possibilidade, o melhor é desligar imediatamente o computador em
que a capacidade de recuperação de dados está em questão.
Quanto mais tempo o computador permanece em
uso, maior a probabilidade de dados úteis estarem sendo irremediavelmente
destruídos. Se o computador de um usuário esta para ser utilizado ou
inspecionado em caso de disputas legais, ou se a descoberta de documento é necessária,
o computador deve ser desligado para evitar o desaparecimento de evidencias que
se tornaram provas.
Se forem tomadas as devidas precauções, um
arquivo excluído poderá ser recuperável. O mesmo é verdadeiro para e-mail. Um e-mail
suprimido ou jogado na lixeira pode não ser recuperável como um arquivo de
caixa de correio completo, mas o conteúdo do referido e-mail e seus metadados
podem ser descobertos ou recuperáveis através das diferentes metodologias disponíveis
para especialistas em computação forense.
Nenhum comentário:
Postar um comentário