Moraes Vorcaro: a disputa sobre prints e mensagens ganhou novo capítulo com peritos e a Polícia Federal apontando que a forma como o software IPED organiza arquivos pode confundir a associação entre capturas e contatos — e isso levanta perguntas sobre a interpretação das evidências. Quer entender como funciona essa extração e por que aliados negam ter recebido as mensagens?
Como o IPED organiza e renomeia arquivos extraídos pela PF
IPED salva os arquivos extraídos em uma estrutura padrão e com nomes padronizados.
Como o IPED organiza os arquivos
O programa cria pastas por dispositivo, por aplicativo e por tipo de arquivo. Cada captura vira um arquivo com nome gerado pelo sistema. O nome normalmente inclui números e carimbos de data e hora. Há também um arquivo de índice, chamado de manifest, que relaciona nomes novos aos originais. Esse manifest mostra o caminho original e detalhes sobre cada arquivo. Assim, o conteúdo aparece organizado, mesmo sem o nome original visível.
Por que a renomeação pode confundir associações
Renomear não altera o conteúdo, só a forma como o arquivo é salvo. Imagens e conversas ficam com nomes como media_0001.jpg ou file_1234.dat. Quem vê só os nomes pode achar que os prints foram gerados depois. A ordem dos arquivos pode mudar conforme a extração. Por isso, associar um print a uma conversa só pelo nome pode levar a erro.
Como verificar os arquivos extraídos
Consulte sempre o manifest para achar o mapeamento entre nomes. Verifique os hashes, que são códigos que confirmam a integridade dos arquivos. Um hash confirma que o arquivo não foi alterado desde a extração. Cheque também metadados das imagens, como data e hora embutidas (EXIF). Por fim, examine os logs da extração; eles mostram o processo e ajudam a entender mudanças na ordenação.
Diferenças entre extração exibida ao jornal e material enviado à CPI
Extração divulgada ao jornal e o material enviado à CPI podem ser bem diferentes em escopo e formato.
O que foi mostrado ao jornal
Geralmente, o jornal recebeu uma seleção reduzida de prints e arquivos. Esses itens podem ter sido exportados como imagens ou PDF recortados. Nesse processo, metadados e a ordem original podem não aparecer.
O que foi enviado à CPI
O material para a CPI costuma ser a extração completa do dispositivo. Normalmente o IPED gera esse pacote com nomes padronizados e índice. Inclui pastas brutas, manifest e logs do software forense. O manifest é um índice que mapeia nomes novos aos originais. Hashes são códigos que confirmam se um arquivo foi alterado. Um hash funciona como uma digital única do arquivo.
Por que isso faz diferença
A diferença entre versões pode levar a interpretações erradas sobre origem das mensagens. Renomeação ou reordenação não prova alteração do conteúdo por si só. Por isso, peritos consultam manifest, hashes e logs para checar a cadeia de custódia. Esses registros mostram quando cada arquivo foi copiado e como foram tratados.
Reações: notas do ministro, negativas de contatos e verificação de hashes
Reações surgiram depois que as imagens e as alegações vieram à tona.
Notas do ministro
O ministro emitiu nota para explicar a versão apresentada. Na nota, ele nega ter trocado mensagens nos termos divulgados. A linguagem do documento busca clarificar fatos e contextualizar a extração.
Negativas de contatos
Assessores e possíveis contatos também publicaram negativas formais. Eles dizem não lembrar de conversas ou não terem enviado prints. Essas negativas buscam evitar interpretações que liguem mensagens a pessoas.
Verificação de hashes
Peritos e a Polícia Federal checaram hashes para confirmar a integridade. Um hash é um código curto que funciona como a digital do arquivo. Se o hash bater, o arquivo não mudou desde a extração. Peritos também confrontam manifest, logs e metadados para validar a cadeia de custódia. Essas checagens não explicam por si só a origem das mensagens.
Fonte: BNews
