Computação Forense, Recuperação de Dados e E-Discovery diferem
Qual é a diferença entre recuperação de dados, computação forense e e-discovery?
Todos os três campos lidam com dados e, especificamente, dados digitais. É tudo sobre elétrons na forma de zeros e uns. E trata-se de pegar informações que podem ser difíceis de encontrar e apresentá-las de forma legível. Mas, embora haja sobreposição, os conjuntos de habilidades exigem diferentes ferramentas, diferentes especializações, diferentes ambientes de trabalho e diferentes maneiras de ver as coisas.
A recuperação de dados geralmente envolve coisas que estão quebradas – seja hardware ou software. Quando um computador trava e não inicia o backup, quando um disco rígido externo, pen drive ou cartão de memória se torna ilegível, a recuperação de dados pode ser necessária. Frequentemente, um dispositivo digital que precisa recuperar seus dados terá danos eletrônicos, danos físicos ou uma combinação dos dois. Se for esse o caso, o reparo do hardware será uma grande parte do processo de recuperação de dados. Isso pode envolver o reparo dos componentes eletrônicos da unidade ou até mesmo a substituição da pilha de cabeçotes de leitura/gravação dentro da parte selada da unidade de disco.
Se o hardware estiver intacto, é provável que a estrutura do arquivo ou da partição esteja danificada. Algumas ferramentas de recuperação de dados tentarão reparar a partição ou a estrutura do arquivo, enquanto outras examinarão a estrutura do arquivo danificado e tentarão extrair os arquivos. Partições e diretórios também podem ser reconstruídos manualmente com um editor hexadecimal, mas, devido ao tamanho das unidades de disco modernas e à quantidade de dados nelas, isso tende a ser impraticável.
Em geral, a recuperação de dados é uma espécie de processo “macro”. O resultado final tende a ser uma grande população de dados salvos sem muita atenção aos arquivos individuais. Os trabalhos de recuperação de dados geralmente são unidades de disco individuais ou outras mídias digitais que danificaram o hardware ou o software. Não há padrões específicos aceitos em todo o setor na recuperação de dados.
A descoberta eletrônica geralmente lida com hardware e software intactos. Os desafios na descoberta eletrônica incluem “de-duping”. Uma pesquisa pode ser realizada por meio de um volume muito grande de e-mails e documentos existentes ou de backup.
Devido à natureza dos computadores e do e-mail, é provável que haja muitas duplicatas idênticas (“dupes”) de vários documentos e e-mails. As ferramentas de descoberta eletrônica são projetadas para reduzir o que poderia ser uma torrente incontrolável de dados para um tamanho gerenciável por meio da indexação e remoção de duplicatas, também conhecido como deduping.
A descoberta eletrônica geralmente lida com grandes quantidades de dados de hardware não danificado e os procedimentos se enquadram nas Regras Federais de Processo Civil (“FRCP”).
A computação forense tem aspectos de e-discovery e recuperação de dados.
Na computação forense, o examinador forense (CFE) procura e através de dados existentes e previamente existentes ou excluídos. Fazendo esse tipo de descoberta eletrônica, um especialista forense às vezes lida com hardware danificado, embora isso seja relativamente incomum. Os procedimentos de recuperação de dados podem ser usados para recuperar os arquivos excluídos intactos. Mas frequentemente o CFE deve lidar com tentativas intencionais de ocultar ou destruir dados que exigem habilidades fora das encontradas no setor de recuperação de dados.
Ao lidar com e-mail, o CFE geralmente procura espaço não alocado para dados do ambiente – dados que não existem mais como um arquivo legível para o usuário. Isso pode incluir a pesquisa de palavras ou frases específicas (“pesquisas de palavras-chave”) ou endereços de e-mail em um espaço não alocado. Isso pode incluir hackear arquivos do Outlook para encontrar e-mails excluídos. Isso pode incluir a busca em cache ou arquivos de log, ou até mesmo em arquivos de histórico da Internet em busca de resquícios de dados. E, claro, geralmente inclui uma pesquisa nos arquivos ativos para os mesmos dados.
As práticas são semelhantes ao procurar documentos específicos de apoio a um caso ou acusação. As pesquisas de palavras-chave são realizadas em documentos ativos ou visíveis e em dados ambientais. As pesquisas de palavras-chave devem ser projetadas com cuidado. Em um desses casos, Schlinger Foundation v Blair Smith, o autor descobriu mais de um milhão de “acertos” de palavras-chave em duas unidades de disco.
Finalmente, o especialista em computação forense também é frequentemente chamado a testemunhar como perito em depoimento ou em tribunal. Com isso, os métodos e procedimentos do CFE podem ser colocados sob um microscópio e o especialista pode ser chamado a explicar e defender seus resultados e ações. Um CFE que também é um perito pode ter que defender coisas ditas no tribunal ou em escritos publicados em outro lugar.
Na maioria das vezes, a recuperação de dados lida com uma unidade de disco ou com os dados de um sistema. A empresa de recuperação de dados terá seus próprios padrões e procedimentos e trabalhará com base na reputação, não na certificação. A descoberta eletrônica frequentemente lida com dados de um grande número de sistemas ou de servidores que podem conter muitas contas de usuário. Os métodos de e-discovery são baseados em combinações comprovadas de software e hardware e são melhor planejados com bastante antecedência (embora a falta de pré-planejamento seja muito comum). A computação forense pode lidar com um ou vários sistemas ou dispositivos, pode ser bastante fluida no escopo das demandas e solicitações feitas, geralmente lida com dados ausentes e deve ser defensável – e defendida – no tribunal.
EZ