Home 01 - Conceitos 07 - Forense e Antiforense 04 - Sanitização de Discos

As fontes definem a sanitização de discos como o processo de exclusão de dados realizado de forma a não permitir a recuperação da informação por meio de qualquer tipo de esforço tecnológico. No contexto da Computação Forense e Antiforense, essa prática é fundamental, pois lida com a persistência de dados que a maioria dos usuários acredita terem sido apagados definitivamente.

A Falha da Exclusão Comum

Um ponto central destacado nas fontes é que os comandos de exclusão padrão dos sistemas operacionais (como o “Shift + Del”) não removem realmente os dados do disco rígido. No sistema de arquivos FAT, por exemplo, o sistema apenas altera o primeiro caractere do nome do arquivo para sinalizar a exclusão e libera os clusters para a lista de espaço livre, mas os dados originais permanecem intactos até serem sobrescritos. Como a tecnologia forense atual permite recuperar esses dados desalocados, a sanitização torna-se necessária para quem deseja a eliminação total.

A Sanitização como Técnica Antiforense

No âmbito da Antiforense, a sanitização é uma contramedida aplicada para impedir a investigação, comprometendo a disponibilidade ou a integridade das evidências.

  • Wiping (Limpeza): É a técnica de sobrescrever intencionalmente os dados com outros dados (como zeros ou caracteres aleatórios) para que o original seja irrecuperável.
  • Ferramentas: Softwares como Wipe, Eraser e PGP Wipe são utilizados para higienizar dados e limpar espaços não alocados, entrando em “loops” de sobrescrita repetitiva.
  • Limitações e Riscos: Embora eficiente, o uso de ferramentas de limpeza de artefatos pode ser difícil em dados contidos na tabela de arquivos mestre (MFT) e, se detectado pelo perito, o uso dessas ferramentas pode levantar suspeitas e questionar a alegação de inocência do investigado.

A Sanitização na Prática Forense

Para o perito, a sanitização não é apenas um obstáculo, mas também um procedimento de boas práticas:

  • Reutilização de mídias: A técnica de Wipe é empregada para o apagamento seguro de mídias de apoio antes de exames periciais. Isso garante que informações de casos anteriores não contaminem a nova análise, o que poderia invalidar a prova em juízo.
  • Garantia de integridade: Algumas ferramentas comerciais, como o FTK, possuem “limpadores de mídias” integrados para assegurar que as imagens forenses sejam salvas em suportes limpos e íntegros.

Métodos e Padrões

As fontes citam padrões rigorosos de órgãos como o Departamento de Defesa dos EUA (DoD) e o NIST para a higienização de mídias:

  1. Desmagnetização: Uso de desmagnetizadores para inutilizar o armazenamento magnético.
  2. Destruição Física: Desintegração, incineração ou pulverização da mídia.
  3. Sobrescrita: Preencher blocos endereçáveis com bytes ASCII NUL (zeros) ou caracteres aleatórios.

É importante notar que a sobrescrita com caracteres aleatórios não é aprovada para informações ultrassecretas, e alguns pesquisadores afirmam que, teoricamente, padrões de campo magnético residual podem permitir a recuperação de dados mesmo após a substituição.