Na evolução tecnológica, percebemos que muitos equipamentos modernos estão tomando conta do mercado e passaram a incorporar as nossas atividades diárias. Sempre estamos fascinados em comprar o melhor modelo, possuir o melhor recurso, um designer despojado e que fará sucesso entre os amantes da tecnologia.
Entretanto, a atividade simples como o ato de ligar e desligar os equipamentos eletrônicos como um notebook, celular, smartphone, etc, a primeira vista pode ser um processo tão “comum” que as pessoas não pararam para analisar as consequências que podem surgir de uma ação tão simples de ligar um notebook quando se propõe a investigar um suspeito de um crime virtual em busca de evidências.
Analisar o processo de inicialização de um notebook é acompanhar as etapas de boot do equipamento (que é a forma do computador de executar determinadas tarefas antes de disponibilizar ao usuário o uso do Sistema Operacional instalado no notebook) até o momento de passar o “comando” do computador para as vontades de quem vai manuseá-lo.
Nos computadores modernos, ao ligar o equipamento, as primeiras instruções a serem executadas são as que estão armazenadas na BIOS (Basic Input/Output System) que é uma memória somente leitura e já vem pré-programada de fábrica, que ao ligar o computador, será executado o processo POST (Power On Self Test), ou seja, uma sequência de testes ao hardware responsável por verificar e identificar os componentes físicos instalados.
Após essa primeira etapa, em seguida, é executada a instrução 19 (INT 19) que tem por objetivo fazer com que o processador tente inicializar um Sistema Operacional lendo o setor de boot de um disquete. Caso não consiga, ele precisa carregar um programa que fica na MBR (Master Boot Record) para encontrar na partição ativa, a porção do “loader” que carregará o kernel do Sistema Operacional para a memória e assim, carregar os módulos correspondentes ao SO e por final, o notebook estará pronto para uso.
Após essa pequena análise do que acontece ao ligar um computador/notebook, podemos perceber os riscos existentes ao investigador forense com um equipamento eletrônico, alvo de uma investigação, com o simples ato de ligá-lo. Para muitos, esse procedimento continuará a ser um ato normal, mas é melhor imaginar quais são os possíveis problemas no boot de um notebook.
Imagine um criminoso que passa o dia inteiro na internet em busca de fotos de crianças nuas, para que possam ser armazenadas em seu computador com o objetivo de mais tarde, divulgar na grande rede de computadores. Já está aqui caracterizado o crime de Pedofilia. Sabendo disso, ele possui um sistema bem eficaz para evitar ser pego e responder pelo crime que comete, o de Pedofilia (na verdade, o autor será enquadrado nos artigos dos delitos sexuais).
Desse modo, ele “prepara” o processo de boot de sua máquina de tal forma que se durante o carregamento do Sistema Operacional não for pressionada uma determinada tecla, o sistema executará uma função pré-determinada pelo criminoso, que pode ser uma “esterilização” do disco rígido, conhecida como Wipe, que é o ato de apagar os dados da mídia de forma eficaz e irrecuperável (dependendo da forma utilizada) evitando que vestígios de suas ações sejam descobertas.
Portando, um Perito Digital tem que possuir técnicas de investigação, seguir procedimentos de busca à evidências de modo que um simples ato de ligar o equipamento eletrônico não jogue fora tudo aqui que ele esperava encontrar. Nesse meio, não existe pressa, tem que planejar os atos, pensar em suas consequências, e acima de tudo, exercer o ato contínuo da busca pelo conhecimento.
Post: A importância de se conhecer o processo de Boot – http://bit.ly/9ISkgX
Boa explicaçao, bem feita do processo de boot.
Alejandro,
Apesar do processo de boot ser um procedimento natural do equipamento para que o mesmo funcione, por trás desse simples ato de ligar o computador, diversas ações acontecem sem que o usuário perceba.
Em muitos casos, pode ser tarde demais…
Obrigado pela leitura do artigo.
Parabéns pelo artigo, e no caso se o investigado usar o bitlocker tem alguma coisa que se possa ser feita?
Prezado Anderson,
Tem sim. Existe um aplicativo comercial, chamado Passsware Password Recovery Forensics, que nesse momento está na versão 11.5.
A empresa especializada Passware, segundo ela, quebra o BitLocker. O programa Passware Kit 11.3, nas edições Forensic e Enterprise, tem uma função que examina uma imagem do disco criptografado e, segundo a empresa, recupera as chaves criptográficas em poucos minutos.
Vale conferir: http://www.lostpassword.com/kit-forensic.htm
Você já viu algum caso parecido ao relatado no artigo? Não é meio arriscado pro criminoso perder todo o seu trabalho por conta de um momento de desatenção, tudo isso pra tentar se proteger de investigações criminosas? Acho que existem N outras formas melhor de se proteger nesse caso (e em caso de roubo, por exemplo, que é muito mais viável e também atinge cidadãos de bem) como a criptografia do disco. Enfim, concordo com você que um perito forense precisa estar atento pra essas questões, só achei o caso meio irreal.
Outra coisa, poderia estender esse assunto em um próximo artigo, comentando sobre o processo de boot em computadores EFI e UEFI?