Forensically Sound?

O que significa este termo encontrado com bastante frequência nos blogs, nos fóruns e até mesmo na literatura?

Com o intuito de deixar o significado mais claro e sem ter que disparar mais uma tradução ‘techno-medonha’ para o nosso Português, vale aqui um exemplo. Neste caso, é possível fazê-lo tomando como ponto de partida um trecho contido em um post anterior:

“(…) A ideia é simples: copiar a imagem de um HD IDE/SATA para o computador via USB de maneira mais adequada possível, do ponto de vista forense (forensically sound?).”

Imagine o seguinte cenário: tem-se um HD cujo conteúdo pode gerar evidências para conclusão de um caso. Qual dos equipamentos abaixo seria mais recomendado para a aquisição dos dados do disco?

O primeiro equipamento é um conversor de interfaces IDE/SATA para interface USB. O segundo, um conversor idêntico ao anterior com bloqueio de escrita via ‘circuito’ e o terceito, é um duplicador forense, equipamento que também possui suporte ao bloqueio de escrita.

Perceba que, lançar mão do primeiro equipamento não elimina a possibilidade de danificação da evidência em caso de falha do software de aquisição, visto que o ‘canal’ de escrita continua ativo. Diferentemente, os dois últimos equipamentos proporcionam mais segurança em relação às falhas de software, mesmo ainda sendo passíveis de falha.

O duplicador ainda oferece a possibilidade de geração de duas cópias simultaneamente. Uma delas pode ser utilizada nas análises (que podem exigir a leitura – lógica – do FS, ninguém sabe) e a outra, salvaguarda os dados duplicados, que podem ser necessários futuramente.

Fica bastante claro que uma evidência coletada por meio de processo litúrgico porporcionará mais robustez à evidência (prova), concorda? Há uma discussão sobre a aplicação do termo diante das circunstâncias em que a evidência é encontrada (live x dead forensics).

Abaixo, destaco uma das explanações retirada das discussões na Internet:

A forensically sound duplicate is obtained in a manner that does not materially alter the source evidence, except to the minimum extent necessary to obtain the evidence. The manner used to obtain the evidence must be documented, and should be justified to the extent applicable.

Para ler mais a respeito deste assunto, indico abaixo alguns links:

Forensically Sound Duplicate
http://forensiccomputing.blogspot.com/2006/08/forensically-sound-duplicate.html

What is “forensically sound”?
http://windowsir.blogspot.com/2006/08/what-is-forensically-sound.html

Forensically Sound Evidence
http://taosecurity.blogspot.com/2006/08/forensically-sound-evidence.html

What is “forensically sound”? (Fórum)
http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=502

2 thoughts on “Forensically Sound?

Comments are closed.