Para ninguém é segredo que dia após dia a tecnologia muda a passos gigantescos; nem bem há saído ao mercado uma versão de um dispositivo, quando já se está contemplando a seguinte. Pensemos por um segundo como eram as televisões nos anos 90 (grandes e pesadas) e vejamos na atualidade (leves e superplanas). Outro claro exemplo é que agora os computadores já possuem telas táteis e também já se está atuando com a tecnologia através do manejo de sensores de movimento, um sistema que funciona com êxito na indústria dos famosos videojogos e converte-se em um novo padrão para computadores pessoais e tablets aos que se exigirá que, ademais de ser “inteligentes”, melhorem a cada dia sua interação com o usuário.
Agora observemos o que está sucedendo com os dispositivos de armazenamento como os discos duros; recordemos que em 1956 sua capacidade de armazenamento era de 5Mbytes e de grande tamanho físico.Na atualidade se podem encontrar discos de pequenas dimensões, com capacidade de armazenamento de 2 Terabytes. Quando se disse “em pequenas dimensões”estamos nos referindo aos discos de estado sólido (SSD), que vêm com os computadores portáteis e tablets (somente os dispositivos mais modernos e mais caros vêm com SSDs).
É por esta razão que nas análises de evidência digital já é comum encontrar dispositivos de armazenamento de estado sólido (SSD). Portanto as ferramentas de EnCase que estão à vanguarda com as mudanças (em cada versão melhora a capacidade de suportar este tipo de tecnologia)e conjuntamente com os investigadores e através das ferramentas, estão enfrentando-se ao desafio de estabelecer que se pode recuperar nos SSD, posto que são superiores `as unidades tradicionais. Esses discos são muito mais velozes, tanto no acesso como na transmissão e seu armazenamento é mais seguro pelo simples fato de não ter partes móveis; os discos duros tradicionais utilizam pratos giratórios magnéticos, enquanto os SSDs utilizam chips de memória flash.
Os investigadores forenses devem conhecer que, tanto o provedor de sistemas operativos como os fabricantes de discos duros SSD, implementaram o comando TRIM que prolonga a vida útil dos SSD e impede a degradação de seu rendimento; outra funcionalidade é a que permite a um sistema operativo comunicar-se com um disco de estado sólido(SSD) e revisar que blocos de dados já não estão em uso, como os dados deixados ao apagar arquivos.
Em conseqüência, entretanto, é que não ficam rastos de que os dados eliminados permaneçam no SSD; é por isso que um experto forense deve aprofundar-se mais em seus conhecimentos específicos. Se o autor de uma fraude, por exemplo, elimina alguns arquivos incriminatórios de um SSD e o comando TRIM está ativado, a evidência desaparecerá imediatamente para sempre.
A única certeza é a de que a tecnologia seguirá avançando e os investigadores forenses se enfrentarão a este e a outros retos mais enquanto à análise forense se refere.
RELACIONADO
A Evidência Digital na América Latina
Os Básicos de Forense: A Tabela Mestra de Arquivos ($MFT)
Prova Imparcial Confirma Que Encase Forensic É Mais Rápido Que FTK
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment