Home 01 - Conceitos 07 - Forense e Antiforense 04 - Sanitização de Discos

No contexto da sanitização de discos, as fontes destacam que a exclusão comum de arquivos (como o comando “Shift + Del”) é uma técnica limitada e ineficaz para a destruição real de informações, pois ela atua primordialmente sobre os metadados e não sobre o conteúdo propriamente dito.

Abaixo, detalho as limitações dessa prática e como ela se relaciona com a necessidade de uma sanitização robusta:

1. A Ilusão da Exclusão Lógica

A maioria dos usuários acredita que apagar um arquivo destrói a informação, mas, tecnicamente, os comandos de exclusão padrão costumam apenas reescrever os metadados que apontam para o arquivo. Enquanto a noção semântica de “apagar” implica na remoção total, os sistemas de arquivos modernos não atendem a essa expectativa, deixando os blocos de disco que contêm o conteúdo original intactos.

2. O Mecanismo no Sistema FAT

As fontes utilizam o sistema de arquivos FAT para exemplificar essa limitação:

  • Alteração do Nome: Quando o sistema operacional apaga um arquivo, ele apenas modifica o primeiro caractere do nome na entrada do diretório para sinalizar que aquele espaço pode ser reutilizado.
  • Desalocação de Clusters: O sistema move os clusters associados ao arquivo para uma “lista de clusters livres”, mas os dados reais nunca são tocados.
  • Recuperabilidade: Devido a essa persistência, existem inúmeros programas capazes de recuperar esses arquivos “apagados”, tornando a exclusão comum inútil para fins de segurança de dados sensíveis.

3. Persistência de Metadados e Vestígios

Mesmo quando se tenta realizar uma limpeza, os metadados — que incluem registros de data e hora (MAC Times), permissões e tamanhos — podem permanecer ou ser manipulados de forma incompleta.

  • Timestomping: Criminosos podem tentar alterar metadados de tempo para atacar a credibilidade das provas, mas peritos conseguem detectar essas discrepâncias através de análises de referência cruzada.
  • Limitações do Wiping: Até mesmo ferramentas de sanitização (wiping) enfrentam dificuldades para apagar dados que estão totalmente contidos em estruturas de sistema específicas, como a Tabela de Arquivos Mestre (MFT), o que pode deixar vestígios residuais da existência do arquivo original.

4. A Resposta Forense

Para o investigador digital, essa limitação da exclusão comum é uma oportunidade. A computação forense utiliza ferramentas de cópia bit a bit para garantir a captura de todos os dados, inclusive os das áreas desalocadas e espaços em branco que o sistema operacional reporta como vazios. Como a tecnologia atual permite que quase qualquer dado excluído logicamente seja recuperável, a sanitização de mídia (definida pelo NIST como a exclusão que impede a recuperação por qualquer esforço tecnológico) torna-se a única contramedida definitiva.