Home 01 - Conceitos 07 - Forense e Antiforense 08 - Técnicas Antiforenses

No contexto das técnicas antiforense, a modificação de metadados, especificamente dos MAC Times (ou valores MACE), é uma estratégia utilizada para atacar a credibilidade das provas digitais, tentando torná-las inúteis perante o sistema jurídico.

Abaixo, detalho como essa técnica se insere no ambiente da perícia computacional e os desafios que ela impõe:

1. O que são MAC Times?

Os metadados são descritos como “dados sobre dados”, gerados automaticamente quando um arquivo é manipulado. Os atributos de tempo fundamentais para a investigação são:

  • mtime (modification time): Registro de data e hora da última alteração no conteúdo do arquivo.
  • atime (access time): Registro da última vez que o arquivo foi acessado ou lido.
  • ctime (creation time): Data e hora em que o arquivo foi criado (embora, se movido, possa assumir o tempo do destino).
  • etime (entry change time): Tempo relacionado à última mudança nos atributos ou metadados do arquivo.

2. O Uso como Técnica Antiforense

A antiforense é definida como qualquer tentativa de comprometer a disponibilidade ou utilidade das evidências. A modificação dos carimbos de tempo visa:

  • Ocultar o nexo causal: Esconder a relação entre o dispositivo digital e o evento investigado.
  • Subverter a Linha do Tempo: Um invasor sofisticado pode alterar essas informações para que as ações pareçam ter ocorrido em datas diferentes, confundindo a reconstrução do incidente.
  • Ferramentas de Manipulação: As fontes citam softwares de código aberto como o Metasploit Timestomp e o File Touch, que são especificamente usados para modificar carimbos de data e hora em sistemas de arquivos NTFS, interrompendo a investigação desde seus estágios iniciais.

3. Impacto nas Fases da Perícia

Essa técnica ataca diretamente várias etapas do processo forense:

  • Análise: Prejudica a capacidade do perito de tirar conclusões válidas a partir dos vestígios encontrados.
  • Apresentação: É usada para colocar em dúvida a integridade do laudo e a precisão do trabalho do examinador no tribunal.

4. Detecção e Contramedidas

Apesar de ser uma técnica eficaz, as fontes indicam que a perícia possui meios de detectar tais adulterações:

  • Referência Cruzada: Existe um esquema forense baseado em tempo de referência cruzada, que analisa discrepâncias e semelhanças entre diversas evidências temporais associadas aos metadados e as entradas do registro do sistema.
  • Análise de Logs: Confrontar os MAC Times com logs de sistema e históricos de comandos pode revelar inconsistências.
  • Perícia em Sistemas Linux: O Linux é apontado como uma escolha robusta para coletar esses metadados via scripts (como o find -printf), facilitando a exportação para planilhas e a identificação visual de anomalias.

Em suma, a modificação de metadados é uma das formas mais populares de ofuscação de trilhas, exigindo que o perito não confie cegamente nos carimbos de tempo exibidos pelo sistema operacional e utilize técnicas de correlação para validar a veracidade da linha do tempo.