Home 01 - Conceitos 07 - Forense e Antiforense 08 - Técnicas Antiforenses

No contexto das técnicas antiforense, a limpeza (ou olimpagem) de artefatos, frequentemente realizada por ferramentas como Wipe e Eraser, é um dos métodos mais eficazes para impedir ou dificultar a investigação digital ao atacar diretamente a existência e a qualidade dos vestígios.

Abaixo, detalho como as fontes abordam essa técnica e suas implicações:

1. O Mito da Exclusão Comum vs. Wiping

As fontes esclarecem que comandos comuns de exclusão (como o “Shift + Del”) não destroem as informações de fato.

  • Exclusão Tradicional: Geralmente, o sistema apenas reescreve os metadados ou sinaliza que o espaço está livre (desalocado), mas os blocos de dados originais permanecem intactos no disco rígido, permitindo a recuperação total por peritos.
  • Wiping: Diferente da exclusão, as técnicas de wipe consistem em sobrescrever intencionalmente os dados originais com outros dados (como zeros ou caracteres aleatórios) repetidas vezes em um loop, tornando a recuperação extremamente complicada ou impossível.

2. Ferramentas e Padrões de Sanitização

Existem diversas ferramentas e padrões voltados para essa finalidade:

  • Softwares Populares: As fontes citam o Wipe, o Eraser e o PGP Wipe como softwares de código aberto amplamente disponíveis para a higienização de dados e limpeza de espaços não alocados.
  • Padrões Internacionais: Órgãos como o Departamento de Defesa dos EUA (DoD) e o NIST estabelecem matrizes de limpeza. O padrão mais comum citado é o US DOD 5220.22-M, que utiliza várias passagens de substituição para garantir que os dados sejam excluídos com segurança.
  • Técnicas de Sanitização: Incluem o preenchimento com bytes ASCII NUL (zeros), a desmagnetização (em mídias magnéticas) e a destruição física (incineração ou pulverização).

3. Aplicações Legítimas e Maliciosas

A técnica de wipe possui dois pesos no mundo forense:

  • Uso Legítimo (Pericial): É uma etapa fundamental para a reutilização de mídias de apoio em laboratórios. O perito realiza o wipe em um disco de destino antes de copiar uma imagem forense para garantir que informações de casos antigos não contaminem e invalidem a nova análise.
  • Uso Antiforense (Criminoso): É utilizada por invasores para ocultar o nexo entre o dispositivo e o crime, apagando arquivos de log, históricos de comandos ou provas do ato ilícito.

4. Limitações e o “Rastro da Limpeza”

Apesar de poderosa, a limpeza de artefatos apresenta desafios:

  • Dificuldade Técnica: Algumas tarefas são complexas, como apagar dados que estão totalmente contidos na tabela de arquivos mestre (MFT).
  • Detecção Forense: O uso dessas ferramentas deixa vestígios de limpeza. Se o perito identificar que um software de wipe foi utilizado, isso pode comprometer a alegação de inocência do proprietário do sistema, gerando suspeitas imediatas sobre a intenção de destruir provas.
  • Recuperação Téorica: Alguns pesquisadores afirmam que, devido aos padrões de campo magnético residual, pode ser teoricamente possível recuperar informações mesmo após a substituição, embora a tecnologia atual torne os dados excluídos por esses métodos muito difíceis de acessar.

Em suma, as fontes apresentam o wipe como uma ferramenta de sanitização de mídia essencial para a ética pericial, mas que, no contexto de um crime, torna-se uma arma antiforense para inviabilizar a perseguição da autoria e materialidade.