68
Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann Metodologia para aquisic ¸˜ ao de evidˆ encias digitais no modo Live Acquisition em computadores e perif´ ericos Florian´ opolis 18/11/2009

TCC-CTAI - Marcelo Winter - Guilherme Mendes

Embed Size (px)

Citation preview

Page 1: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann

Metodologia para aquisicao de evidencias digitais nomodo Live Acquisition em computadores e

perifericos

Florianopolis

18/11/2009

Page 2: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann

Metodologia para aquisicao de evidencias digitais nomodo Live Acquisition em computadores e

perifericos

Trabalho de Conclusao de Curso apresen-tado a Banca Examinadora do Curso dePos-Graduacao Lato Sensu em Gestao deSeguranca da Informacao em redes de compu-tadores. da Faculdade de Tecnologia do SE-NAI/Florianopolis como requisito parcial paraobtencao do tıtulo de especialista em Segurancada Informacao em redes de computadores sob aorientacao do Professor Gilmar Oliveira de As-sis.

CTAI - SENAI

Florianopolis

18/11/2009

Page 3: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann

Metodologia para aquisicao de evidencias digitaisno modo Live Acquisition em computadores e perifericos

Trabalho de Conclusao de Curso apresentado a Banca Examinadora do Curso Pos-Graduacao

Lato Sensu em Gestao de Seguranca da Informacao em redes de computadores, da Faculdade

de Tecnologia SENAI Florianopolis em cumprimento a requisito parcial para obtencao do tıtulo

de especialista em Seguranca da Informacao em redes de computadores.

APROVADO PELA BANCA EXAMINADORA

EM FLORIANOPOLIS, 18 DE NOVEMBRO DE 2009.

Prof. Gilmar Oliveira de Assis, Esp.,SENAI/Florianopolis

Coordenador do Curso

AVALIADORES

Prof. Gilmar Oliveira de Assis, Esp.,SENAI/Florianopolis

Orientador

Prof. Fabio Santana, Esp, SENAIAvaliador

Page 4: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Epıgrafe

”One should always look for a possible alternative and provide against it. It is

the first rule of criminal investigation.”

Sherlock Holmes – The Adventure of Black Peter

Sir Arthur Conan Doyle.

Page 5: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Resumo

Roberto Paiva Winter, Marcelo. Metodologia para aquisicao de evidencias digitais nomodo Live Acquisition em computadores e perifericos. Florianopolis, 2009. Trabalho deConclusao de Curso (ESP) - Curso Pos-Graduacao Lato Sensu em Gestao de Seguranca daInformacao em redes de computadores. Faculdade de Tecnologia do SENAI, Florianopolis,2009.

Mendes Schlickmann, Guilherme.Metodologia para aquisicao de evidencias digitais nomodo Live Acquisition em computadores e perifericos. Florianopolis, 2009. Trabalho deConclusao de Curso (ESP) - Curso Pos-Graduacao Lato Sensu em Gestao de Seguranca daInformacao em redes de computadores. Faculdade de Tecnologia do SENAI, Florianopolis,2009.

Vive-se em uma era baseada na tecnologia e na informacao. A tecnologia esta presente emtodo aspecto da vida moderna, dentro das empresas e das casa. Hoje, um computador cabe napalma da mao e atraves dele e possıvel comunicar-se, fazer movimentacoes bancarias, baixararquivos . Isso em qualquer lugar do mundo com apensa um dispositivo movel na mao. A erada tecnologia traz cada vez mais benefıcios, porem se utilizada de forma incorreta pode tambemser utilizada para cometer crimes. Quando crimes acontecem cabe a execucao de perıcias pororgaos competentes. Estes inspecionam os dispositivos utilizados para cometer o delito comofator probante, muitas vezes aprendem o item. O modo de execucao desta perıcia que e o focodeste trabalho. Sera abordado metodos convencionais e de conhecimento comum. E tambemuma proposta de perıcia onde a apreensao do artefato nao e obrigatoria.

Palavras-chave: crimes digitais, internet, perıcia; forense; evidencia.

Page 6: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Abstract

Roberto Paiva Winter, Marcelo. Metodologia para aquisicao de evidencias digitais nomodo Live Acquisition em computadores e perifericos. Florianopolis, 2009. Trabalho deConclusao de Curso (ESP) - Curso Pos-Graduacao Lato Sensu em Gestao de Seguranca daInformacao em redes de computadores. Faculdade de Tecnologia do SENAI, Florianopolis,2009.

Mendes Schlickmann, Guilherme.Metodologia para aquisicao de evidencias digitais nomodo Live Acquisition em computadores e perifericos. Florianopolis, 2009. Trabalho deConclusao de Curso (ESP) - Curso Pos-Graduacao Lato Sensu em Gestao de Seguranca daInformacao em redes de computadores. Faculdade de Tecnologia do SENAI, Florianopolis,2009.

We live in an based era of technology and information. Technology is present in everyaspect of modern life, in business and at home. Today, a computer fits on a hand and throughit you can communicate to make bank t, download files. It anywhere in the world with just amobile device in hand. The time of technology brings more benefits, but if used in the wrongorder can also be used to commit crimes. When crimes happen lies in the implementation ofExpertise bodies. They inspect the devices used to commit the offense as a factor probative oftenlearn the item. The manner of execution of this skill is the focus of this work. Conventionalmethods will be discussed and common knowledge. And also a proposal of expertise where theseizure of the artifact is not mandatory.

Key Words: digital crimes, internet, forensics; evidence.

Page 7: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Lista de Figuras

3.1 Trecho da publicacao da denuncia. Fonte: Publicacao 08-739/DOJ-US . . . . p. 24

3.2 Ordem de Volatilidade, segundo Dan Farner e Wietse Venema . . . . . . . . p. 29

3.3 Review of Incident Management Processes from Various Publications Fonte:

CMU/SEI-2004-TR-015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33

3.4 Review of Incident Management Processes from Various Publications Fonte:

CMU/SEI-2004-TR-015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 34

5.1 (Common findings of a forensic examination as they relate to specific crime

categories - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition) . . p. 52

5.2 (Common findings of a forensic examination as they relate to specific crime

categories - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition -

cont.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 53

5.3 (Common findings of a forensic examination as they relate to specific crime

categories - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition -

cont.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 54

5.4 (Modelagem da metodologia proposta) . . . . . . . . . . . . . . . . . . . . . p. 55

5.5 Referencia a abordagem hıbrida - CERT . . . . . . . . . . . . . . . . . . . . p. 58

Page 8: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Abreviaturas

• ACPO - Association of Chief Police Officers of England Wales and Northern Ireland

• CPU - Central Processing Unit

• DFRWG - Digital Forensics Research Working Group

• DFRWS - Digital Forensics Research Workishop

• DNA - Deoxyribonucleic Acid

• DoJ - U.S. Department of Justice

• HD - Hard Disk

• HTCIA - High Technology Crime Investigation Association

• NIJ - National Institute of Justice

• NW3C - National White Collar Crime Center

• IOCE - International Organization on Digital Evidence

• PDA - Personal Digital Assistant

• RCMP - Royal Canadian Mounted Police

• SWGDE - Scientific Working Group on Digital Evidence

Page 9: TCC-CTAI - Marcelo Winter - Guilherme Mendes

Sumario

1 INTRODUCAO p. 10

1.1 DELIMITACAO DO TEMA . . . . . . . . . . . . . . . . . . . . . . . . . . p. 11

1.2 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.2.1 Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.2.2 Especıficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.3 JUSTIFICATIVA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.4 ESTRUTURA DO TRABALHO . . . . . . . . . . . . . . . . . . . . . . . . p. 13

2 FUNDAMENTOS SOBRE A CIENCIA FORENSE p. 14

2.1 CIENCIA FORENSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 14

2.1.1 Um pouco de Historia . . . . . . . . . . . . . . . . . . . . . . . . . p. 14

2.1.2 Conceito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 18

2.1.3 Multidisciplinaridade . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19

2.1.4 A Ciencia Forense nos dias atuais . . . . . . . . . . . . . . . . . . . p. 20

3 FORENSE COMPUTACIONAL p. 23

3.1 NOVOS TEMPOS, NOVOS CRIMES . . . . . . . . . . . . . . . . . . . . . p. 23

3.2 CONCEITO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24

3.3 LOCAL DE CRIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25

3.3.1 Local de Crime na Forense Computacional . . . . . . . . . . . . . . p. 26

3.4 EVIDENCIA DIGITAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26

3.4.1 A Volatilidade da Evidencia Digital . . . . . . . . . . . . . . . . . . p. 27

Page 10: TCC-CTAI - Marcelo Winter - Guilherme Mendes

3.5 PROCEDIMENTOS FORENSES EXISTENTES . . . . . . . . . . . . . . . p. 29

3.6 MAPEAMENTO DO PROCESSO DE FORENSE DIGITAL . . . . . . . . . p. 35

3.6.1 Avaliacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 35

3.6.2 Aquisicao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37

3.6.3 Autenticacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37

3.6.4 Analise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

3.6.5 Documentacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

3.6.6 Apresentacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

4 PROPONDO MUDANCAS p. 39

4.1 REFINANDO A METODOLOGIA DE COLETA SEM COMPROMETER

OS PRINCIPIOS FORENSES . . . . . . . . . . . . . . . . . . . . . . . . . p. 43

4.2 METODOLOGIA TRADICIONAL DE COLETA

DE EVIDENCIAS - Bit-Stream Image . . . . . . . . . . . . . . . . . . . . . p. 44

4.2.1 Vantagens da imagem bit-stream . . . . . . . . . . . . . . . . . . . . p. 45

4.3 CUSTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45

5 METODOLOGIA PROPOSTA p. 48

5.1 DESCREVENDO A METODOLOGIA . . . . . . . . . . . . . . . . . . . . p. 48

5.2 BENEFICIOS ECONOMICOS . . . . . . . . . . . . . . . . . . . . . . . . . p. 55

5.3 AVALIACAO LEGAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 56

5.3.1 A confiabilidade da Metodologia Proposta . . . . . . . . . . . . . . . p. 59

5.3.2 Requisitos Autenticidade e Confiabilidade . . . . . . . . . . . . . . . p. 59

6 CONCLUSAO p. 62

Referencias Bibliograficas p. 64

Page 11: TCC-CTAI - Marcelo Winter - Guilherme Mendes

10

1 INTRODUCAO

Por vivermos em uma era baseada na informacao, e estando esta embasada em sistemas

digitais que utilizam todo o aparato tecnologico disponıvel, nao podemos negar o avanco que

nos circunda dia apos dia.

A tecnologia esta presente em todo aspecto da vida moderna. Houve um momento que, um

computador somente, preenchia toda uma sala. Nao ha tecnologia que tenha se expandido tanto

nos ultimos anos como a dos computadores. Hoje, um computador cabe na palma da mao, um

exemplo sao os celulares, PDAs, Handheld’s, players de audio e vıdeo.

Devemos estar conscientes de nossa dependencia que, com uma utilizacao crescente aliado

ao surgimento e rapida ascensao da Internet, criaram um marco entre as relacoes humanas onde

trouxe, alem do conforto e comodidade, o anonimato na comunicacao e com ela, a sensacao de

impunidade.

Essa nova intensificacao do relacionamento humano pela internet, com a producao em serie

dos computadores e consequente reducao dos precos dos equipamentos e dos programas de

computacao, alem da expansao do comercio eletronico e das relacoes financeiras e bancarias,

promove um uso indiscriminado e mundial dessa tecnologia, favorecendo em todos os aspectos

novas relacoes e modificando tambem as antigas, fazendo com que os atos ilıcitos e tambem

novas condutas ilıcitas, facam parte dessa nova realidade.

Os ataques nao possuem linha de frente. As possıveis vulnerabilidades e as formas de

ameaca estao se espalhando, antes restritas a especialistas e estudiosos, nos dias atuais estao

disponıveis de forma gratuita na Internet.

A Forense Computacional envolve processos, incluindo a aquisicao de dados oriundos de

um equipamento eletronico, a analise do dado adquirido, a extracao da evidencia inclusa neste

dado, a preservacao e apresentacao desta evidencia.

A Forense Computacional1 e requisitada durante a investigacao de um crime eletronico .

1N.A. - Alguns autores ja consideram chamar a Forense Computacional de Forense Digital, pelo motivo das

Page 12: TCC-CTAI - Marcelo Winter - Guilherme Mendes

11

O Instituto Nacional de Justica dos Estados Unidos (NIJ) define crime eletronico como qual-

quer tipo de crime envolvendo a tecnologia digital incluindo, mas nao limitado, computadores,

PDA’s, discos rıgidos (HD) externos, telefones celulares e cameras digitais.

A demanda de perıcias executadas em meio computacional e consequencia direta da cres-

cente quantidade de acoes ilegais que vem sendo executadas no mundo digital.

Como em qualquer investigacao forense, os vestıgios deixados na cena de um crime podem

provar algo, seja inocencia ou culpa, e na Forense Computacional nao e diferente.

1.1 DELIMITACAO DO TEMA

Desde a invencao do microprocessador que a facilidade de acesso a dispositivos de arma-

zenamento e, de redes, e cada vez maior, e cada vez mais uma parte de nossas vidas diarias esta

sendo gravada nos zeros e uns do mundo digital.

O Mundo passa hoje por uma revolucao computacional e a criminalidade acompanha a

evolucao tecnologica com computadores sendo utilizados como “armas” do crime ou os dispo-

sitivos de armazenagem para guardar evidencias (ex. trafico de drogas, pedofilia).

Os crimes praticados por meio de computador assumem uma caracterıstica propria.

No decorrer dos ultimos anos, a metodologia e os processos forenses que envolvem a

aquisicao de evidencias digital em computadores, se encontram consolidados. Diversos orgaos,

incluindo os nao governamentais, enfatizam o processo de imagem de disco2 como sendo ga-

rantia de consistencia, integridade e confiabilidade em relacao ao disco original ou seja, a

evidencia.

No passado, a perıcia digital baseava-se em um computador apenas, com um unico disco

rıgido com pequena capacidade de armazenamento. Hoje, nos deparamos com multiplos siste-

mas com multiplos discos de alta capacidade, armazenagem em rede e encriptacao de volumes.

O rapido crescimento e mudanca no volume de dados armazenados com a popularidade dos

sistemas de redes corporativos e computadores pessoais faz com que a Ciencia Forense comece

a revisar a metodologia de aquisicao de dados digitais.

E necessario que a atividade pericial atue de forma mais dinamica com o conhecimento das

perıcias nao ocorrem somente em um computador propriamente dito, mas tambem nos diversos dispositivos mi-croprocessados.

2Trata-se de uma copia literal do disco rıgido, uma clonagem conhecida como bit-a-bit. Chamamos a copia deimagem forense porque ela deve copiar todos os dados do HD, incluindo as partes nao utilizadas.

Page 13: TCC-CTAI - Marcelo Winter - Guilherme Mendes

12

novas praticas delituosas.

Com isso, surge a necessidade de novas tecnicas de abordagem e combate aos crimes:

Refinacao na obtencao e utilizacao de evidencias eletronicas armazenadas em computado-

res e perifericos, atraves de procedimentos validos e confiaveis para a recuperacao e utilizacao

de evidencias digitais que sejam legalmente defensaveis.

A adocao do modo Live Acquisition, seguindo as consideracoes descritas e apresenta-

das ao longo deste trabalho, possibilita ao Perito ou Cientista Forense, uma busca pontual

de evidencias, sem a necessidade da tradicional copia bit-a-bit (tambem conhecida como bit-

stream), corroborando na facilitacao da perıcia – diminuindo o tempo dedicado ao estudo e

analise do material probante, permitindo agilidade na elaboracao de laudos mais sucintos, ob-

jetivos a um custo reduzido.

1.2 OBJETIVOS

Estao descritos a seguir o objetivo geral e objetivos especıficos.

1.2.1 Geral

Desenvolver metodo para aquisicao de evidencias digitais no modo Live Acquisition em

computadores e perifericos.

1.2.2 Especıficos

Sao objetivos especıficos deste trabalho:

• Estudar a pontualidade objetiva da perıcia;

• Promover a quebra de paradigma: o nao recolhimento de equipamentos;

• Avaliar Padroes Tecnicos vs. Padroes Legais.

1.3 JUSTIFICATIVA

A Forense Computacional, por definicao e o ramo da Criminalıstica que compreende a

aquisicao, preservacao, restauracao e analise de evidencias computacionais.

Page 14: TCC-CTAI - Marcelo Winter - Guilherme Mendes

13

Neste sentido, a metodologia de Live Acquisition tem se mostrado uma alternativa de ampla

discussao, entre organismos que atuam na area, frente aos mecanismos tradicionais de aquisicao

de imagem forense.

No entanto, para suportar os resultados de uma analise forense, os procedimentos e protoco-

los devem ser detalhados ou seja, documentados e revisados, aceitos pela comunidade cientıfica

e relevante e ainda, que assegurem requisitos legais e tecnicos a prova pericial.

Com isso, essa proposta tem a importancia de otimizar a metodologia de Live Acquisition

de forma que permita a utilizacao de evidencias digitais por diferentes jurisdicoes.

1.4 ESTRUTURA DO TRABALHO

Este trabalho esta estruturado em 6 capıtulos. No capıtulo 1 sao apresentados o tema abor-

dado, a problematizacao, os objetivos e justificativas para a realizacao da pesquisa.

No capıtulo 2 sera mostrado uma breve descricao da Ciencia Forense, se evolucao e con-

vergencia tecnologica.

No capıtulo 3 sao abordados os conhecimentos sobre Forense Computacional, sua metodo-

logia, conceitos e praticas recomendadas.

No capıtulo 4 discorremos sobre a metodologia atualmente praticada pelos peritos em fo-

rense digital, suas vantagens e custos.

No capıtulo 5 apresentamos uma nova proposta as metodologias existentes, levando em

conta os preceitos economicos e constitucionais como o Princıpio da Eficiencia e o Princıpio da

Razoabilidade.

No capıtulo 6 concluımos o presente Trabalho de Conclusao de Curso, onde explanamos os

resultados da metodologia proposta e previsoes futuras.

Page 15: TCC-CTAI - Marcelo Winter - Guilherme Mendes

14

2 FUNDAMENTOS SOBRE ACIENCIA FORENSE

2.1 CIENCIA FORENSE

“Ciencia Forense descreve a ciencia de associar as pessoas, lugares e coisas envolvidas em

atividades criminosas; estas disciplinas cientıficas e ajudicantes auxiliam na investigacao de

casos civis e criminais.”(HOUCK, 2007, p.1)

2.1.1 Um pouco de Historia

Um dos princıpios da justica e que as pessoas devem pagar pelos seus atos, e tao somente

por aquilo que cometeram. Julgar uma pessoa pelos seus antecedentes e humanamente justi-

ficavel. Mas a justica atual nao permite que se faca, como a expressao popular diz, “justica com

as proprias maos”, sem ficarmos impunes. Ela coıbe este tipo de acao e se atem aos fatos e pro-

vas, a fim de aplicar as eventuais punicoes previstas em lei. Certo ou nao, as coisas funcionam

assim, e na aquisicao e analise de provas que a ciencia forense entra na historia.

A ciencia forense tracou um longo caminho desde quando os chineses usaram as impressoes

digitais para determinar a identidade de documentos e esculturas em argila.

Vem da China o primeiro registro da Ciencia Forense, durante o reinado da dinastia Tang.

No seculo VII, o chines Si Yuan Lu, tornou-se famoso ao fazer uso dos vestıgios do crime para

resolve-los, e tambem da logica, apesar de utilizar metodos e ferramentas diversos do que os

praticados atualmente.

Ainda na China, em meados do seculo XIII, foi escrito o primeiro livro de medicina legal.

Seu autor, o juiz Song Ts’Eu, descreveu a forma de distinguir afogamento de estrangulamento e

tambem de como, atraves dos ferimentos, poderia se chegar a determinar o tipo e o tamanho da

arma utilizada no crime. Foi o primeiro registro de aplicacao dos conhecimentos medicos para

a solucao do crime.

Page 16: TCC-CTAI - Marcelo Winter - Guilherme Mendes

15

No Ocidente, os cientistas forenses foram precedidos pela figura dos Peritos Louvados que

eram nomeados por papas, reis, imperadores etc., com o intuito de emitirem opinioes sobre

determinados assuntos.

Segundo Zarzuela (2000, p.33)

“... as leis Capitulares, Salicas e Germanicas, determinavam a interferencia domedico nas ocorrencias de lesao corporal, suicıdios, violencias sexuais, bestia-lismos etc. As Decretais do papa Gregorio IX exigiam exames medicos para acomprovacao de impotencia, aborto e lesao corporal. Carlos V, em 1532, pro-mulgou o Codigo Carolino que outorgava aos assuntos medicos uma posicaodestacada no campo jurıdico, fixando normas a respeito de delitos de violacao,envenenamento etc., dispondo tambem que antes do cadaver ser inumado, noscasos de mortes violentas, fosse examinado por cirurgioes, a fim de que pu-dessem emitir opiniao sobre a etiologia1 da morte. Em casos dessa natureza,no passado procedia-se a Louvacao, isto e, a escolha de louvados para queemitissem pronunciamentos tecnicos.”

Varios paıses da Europa, em virtude da grande repercussao do Codigo, vieram a adotar tais

procedimentos, ou seja, a necropsia e o laudo pericial. Em dois paıses essas mudancas foram

mais profundas. Na Inglaterra, houve a mudanca da funcao de coroner, de coletor de impostos

para perito. Na Franca, foram editados varios dispositivos legais, como as Ordenancas de 1536,

1539, 1579 e 1670 (Leis de 1556, 1606 e 1667). Dentre o que foi implementado por esta classe,

destacamos

A ciencia forense emergiu durante o seculo XIX, epoca em que muitos fatores influenciaram

a sociedade. Cidades europeias e americanas foram crescendo em tamanho e complexidade.

Pessoas que eram acostumadas a conhecerem todos no seu bairro ou aldeia, foram encontrando

cada vez mais pessoas novas e diferentes. Transeuntes e vigaristas, viajavam de cidade em

cidade, cometendo crimes e se tornando invisıveis na multidao. Criminosos reincidentes que

queriam fugir da Lei so tinham que se deslocar para uma nova cidade, dar um nome falso, e

ninguem saberia do seu passado.

Tornou-se importante para o Governo ser capaz de identificar os cidadaos, uma vez que

poderia nao ser capaz de confia-los a prestar a sua verdadeira identidade.

Segundo Calazans(2005, p.3)

Em 1602, em Portugal, a publicacao das Ordenacoes Filipinas ampliou os ca-sos onde a participacao de peritos era necessaria. Alem disso, foi criado umorgao privativo para essa funcao, separado do orgao judiciario, mas auxiliardeste. Foi o que seria o primeiro Instituto de Criminalıstica, embora o termoso viesse a surgir tres seculos depois.

1Ciencia que estuda as causas, as origens das coisas.

Page 17: TCC-CTAI - Marcelo Winter - Guilherme Mendes

16

Em 1609, o primeiro documento tratando sobre exame sistematico foi publicado em Franca.

Depois, em 1784, foi documentado um dos primeiros usos de correspondencia fısica, onde se

viu um ingles condenado por homicıdio com base na borda rasgada de uma pagina de jornal

presa em uma pistola, borda esta que correspondeu com o pedaco restante encontrado em seu

bolso.

Diversas descobertas tecnico-cientıficas, que surgiram paralelamente, vieram a corroborar

com a ciencia forense na elucidacao de crimes. No final do seculo XVI, um holandes, Za-

charias Jansen, inventou o microscopio, largamente utilizado ate os dias atuais para analise e

esclarecimento de alguns tipos de vestıgios.

No final do seculo XVIII, as armas comecaram a ser produzidas com almas raiadas. No

seculo XIX, devido a esta caracterıstica, Henry Godard conseguiu relacionar um projetil com a

arma utilizada. [Luque apud Calazans, 2005, p.2]

Outra invencao significativa foi a fotografia, criada em 1826. Ela foi utilizada, desde o inıcio

para retratar provas e evidencias na cena do crime, bem como registrar detalhes de ferimentos e

suspeitos.

Em 1886 um policial de Nova York, Thomas Byrnes, publicou a primeira colecao de fotos

de procurados pela justica (criminosos), visando facilitar o reconhecimento possıveis suspeitos.

Tal pratica vem sendo adotada ate os dias de hoje.

No final do seculo XIX, estudos realizados por Sir Francis Galton revelaram que as im-

pressoes digitais sao unicas e nao mudam com a idade. Ja em 1858, William Herschel, um

oficial britanico a servico na India, utilizou impressoes de tinta dos dedos e maos como assina-

turas em documentos para pessoas que nao sabiam escrever. Era desconhecido para Herschel

que no Japao, os contratos eram fechados utilizando um polegar ou impressoes digitais durante

seculos.

Durante a decada de 1890, a Scotland Yard, Polıcia Metropolitana de Londres, comecou

a utilizar um sistema desenvolvido por um oficial da polıcia francesa chamado Alphonse Ber-

tillon. O sistema de Bertillon consistia de uma fotografia e 11 medidas corporais que incluia

dimensoes da cabeca, comprimento de bracos, pernas, pes, maos, e assim por diante. Bertillon

alegou que a probabilidade de duas pessoas terem as mesmas medidas para as 11 caracterısticas

era de uma em 250 milhoes.

Em 1894, as impressoes digitais, que eram mais faceis de usar e mais exclusivas (mesmo

gemeos identicos tem diferentes impressoes digitais), foram adicionados ao sistema de Bertil-

lon.

Page 18: TCC-CTAI - Marcelo Winter - Guilherme Mendes

17

Coube a um jovem juiz de instrucao2 alemao a sistematizacao dos conhecimentos cientıficos

e tecnicos que se aplicavam na investigacao criminal da epoca. Hans Gross deu-se conta da

falta de conhecimentos de ordem tecnica da maioria dos juızes, e que deveriam ser requisitos

indispensaveis para desempenhar com eficacia o cargo de instrutores, e escreveu o “Manual do

Juiz de Instrucao”, cuja primeira edicao foi impressa em 1894. Na 3a edicao ja apresentava

um sub-tıtulo “Sistema de Criminalıstica”, onde pela primeira vez era empregado esse termo.

[VILLALOBOS apud CALAZANS, 2005, p.5]

Talvez o nome de maior destaque na Ciencia Forense seja de Edmond Locard, medico

frances que foi, enquanto estudante, aluno de Bertillon e depois, assistente de laboratorio de

Alexandre Lacassagne3 antes de fundar o Instituto de Criminalıstica da Universidade de Lyon,

Franca em 1910. Dr. Locard, assim como o Dr. Hans Gross e Bertillon antes dele, defenderam

a aplicacao de metodos cientıficos e a logica para a investigacao e identificacao criminal.

Seu trabalho e considerado o marco da Ciencia Forense, pois provocou uma reviravolta na

metodologia da investigacao criminal. Locard partiu do princıpio de que quando um indivıduo

entra em contato com um objeto ou outro indivıduo, sempre deixa vestıgio desse contato.

Dr. Locard, no capıtulo 03 de seu livro Manuel de Technique Policiere, Paris: Payot,

1923, faz a seguinte observacao: ”Il est impossible au malfaiteur d’agir avec l’intensit que

suppose l’action criminelle sans laisser des traces de son passage”, que traduzindo teremos:

“E impossıvel para um criminoso agir, especialmente considerando a intensidade de um crime,

sem deixar tracos de sua presenca” .[CHISUN e TURVEY, 2000]

Assim, foi criado um dos princıpios fundamentais da Ciencia Forense, o Princıpio da Troca

de Locard ou simplesmente, o Princıpio de Locard que, em suma e lembrado sempre pela

maxima: quando dois objetos interagem, alguns indıcios da interacao podem ser encontrados

mais tarde e verificados, ou seja, cada contato deixa seu rastro.

Desse modo, atribui-se a Alphonse Bertillon, Alexandre Lacassagne, Hans Gross e Edmond

Locard, a aplicacao da logica e metodos cientıficos na investigacao de crimes, e o tratamento

dos vestıgios de forma cientıfica.

2Na Alemanha dessa epoca, era costume os juızes em inıcio de carreira passar pela funcao de Juiz de Instrucao,o que corresponde (guardadas as devidas proporcoes), as funcoes atuais de perito.

3Alexandre Lacassagne - Professor de Medicina Legal e de Criminologia na cidade de Lyon, na Franca . Em1886, ele criou os arquivos de Antropologia Criminal e e considerado o pai de tal ramo da ciencia.

Page 19: TCC-CTAI - Marcelo Winter - Guilherme Mendes

18

2.1.2 Conceito

Antes de iniciar a discorrer sobre conceitos, e util analisar as principais palavras que compoe

a Ciencia Forense e suas definicoes. As seguintes palavras sao definidas no dicionario Aurelio

(Ferreira, 2004):

• Forense – 1. Respeitante ao foro judicial.2. Judicial.

• Ciencia – 1. Conhecimento. 3. Conjunto de conhecimentos socialmente adquiridos

ou produzidos, historicamente acumulados, dotados de universalidade e objetividade que

permitem sua transmissao, e estruturados em metodos, teorias e linguagens proprias, que

vizam compreender e, possivelmente, orientar a natureza e atividades humanas.

• Crime – 1. Violacao culpavel da lei penal; delito. 4. Qualquer ato que suscita a reacao

organizada da sociedade. 5. Ato digno de repreensao ou castigo.

• Cena – 10. Acontecimento dramatico ou comico. 11. Ato mais ou menos censuravel ou

escandaloso. 12. Panorama, paisagem.

• Exame – 1. Ato de examinar, interrogatorio. 3. Inspecao, revisa, vistoria. 4. Investigacao,

pesquisa, observacao ou analise de alguma coisa ou, dum fato.

• Investigacao – 1. Ato ou efeito de investigar; busca, pesquisa. 2. Indagacao minunciosa;

indagacao, inquiricao.

• Investigador – 1. Que investiga; investigante. 2. Aquele que investiga. 3. Agente de

polıcia.

E possıvel verificar, a partir das definicoes encontradas no dicionario, que as palavras

’Exame da cena do crime”e ”Investigacao da cena do crime”sao intercambiaveis, no entanto, o

uso da palavra ”exame”refere-se a identificacao, registro e coleta de evidencias, enquanto o uso

do termo ”Investigacao”nao somente se refere a identificacao, registro e coleta de evidencias,

mas inclui a interpretacao das circunstancias que a envolveram no cometimento de crime por

reconstruir o incidente para determinar uma sequencia de eventos que pode revelar um ”modus

operandi”. Investigacao tambem inclui o suporte cientıfico sobre outras areas especializadas da

ciencia forense, como veremos a diante, na investigacao policial.

A Forense, como ciencia, possui diversas conceituacoes como as que seguem:

Semola (2007) cita em seu artigo, que Ciencia Forense e uma area interdisciplinar que

aplica um amplo espectro de ciencias com o objetivo de dar suporte - respondendo perguntas -

Page 20: TCC-CTAI - Marcelo Winter - Guilherme Mendes

19

as investigacoes relativas ao sistema legal, mais precisamente ligadas a justica civil e criminal.

Entre seus desafios esta a identificacao do crime, o rastreamento das etapas que o precederam, a

localizacao e preservacao de evidencias e a geracao de documento de suporte legal.[IDGNOW,

2007]

Em geral, tem-se que, Ciencia Forense e um campo da ciencia dedicada a coleta e analise

metodica das provas a fim de criar fatos que podem ser apresentados em um processo legal.

Para a Sociedade de Ciencia Forense, com base no Reino Unido, resume-se na busca e

analise de tracos fısicos que possam ser uteis para estabelecer ou excluir uma associacao entre

uma pessoa suspeita de cometer um crime e da cena do crime ou vıtima.

Houk, descreve que Ciencia Forense e uma ciencia historica, como geologia, arqueologia,

ou astronomia, e os cientistas forenses reconstroem um evento criminoso ocorrido no passado

atraves de provas fısicas.(HOUCK, 2007)

Martinez, apud Calazans (2005, p.6) define que a “Ciencia Forense proporciona os princıpios

e tecnicas que facilitam a investigacao do delito, em outras palavras; qualquer princıpio ou

tecnica que pode ser aplicada para identificar, recuperar, reconstruir ou analisar a evidencia

durante uma investigacao criminal, e parte da Ciencia Forense”. Ainda, “a Ciencia Forense pro-

porciona metodos cientıficos que possibilitarao a analise das evidencias disponıveis. Ela cria

hipoteses sobre o ocorrido para criar a evidencia e realiza provas, controles para confirmar ou

contradizer essas hipoteses.

A Ciencia Forense se baseia em duas grandes premissas. Em primeiro lugar, os cientistas

forenses, comumente chamados de peritos, trabalham tendo como base o ja citado Princıpio

da Troca de Locard. Em segundo lugar, na tentativa de identificar um indivıduo, os peritos

trabalham com a nocao de que na natureza nao ha dois indivıduos identicos, ou seja, todos

nos somos indivıduos unicos. E nesta segunda premissa que o trabalho do perito tem por fim

especıfico a pesquisa nos vestıgios do fato criminoso, a fim de obter os elementos necessarios

para formalizar o exame de corpo de delito, produzindo a prova para instruir o processo penal.

2.1.3 Multidisciplinaridade

A visao contemporanea define ciencia forense como sendo a aplicacao da ciencia para o

Direito. Esta area e uma das poucas areas do Direito onde a ciencia, a tecnologia e a investigacao

para a resolucao de um crime interagem.

A Ciencia Forense e definida como uma ciencia multidisciplinar, porque utiliza-se muitas

Page 21: TCC-CTAI - Marcelo Winter - Guilherme Mendes

20

vezes de subsıdios de outras ciencias para a devida analise de um possıvel vestıgio, pois assim

como o Juiz recorre a varios elementos para formar sua conviccao e aplicar a lei da melhor

forma possıvel, o profissional forense se vale do conhecimento nos mais diversos ramos da

ciencia para melhor analise dos indıcios encontrados na cena de um crime. CALAZANS(2005,

p.6)

O assunto e ainda sub-dividido em diversas disciplinas: papiloscopia, identificacao veicular,

fonetica forense, biologia forense, balıstica forense, quımica forense, localıstica, documentos-

copia, engenharia forense, computacao forense e demais areas da criminalıstica.

Para auxiliar a Ciencia Forense no esclarecimento de um crime, todas as demais ciencias po-

dem ser empregadas, utilizando-se do conhecimento de profissionais com formacao academica

nos diversos ramos da ciencia, bem como das suas proprias tecnicas que estabelecem diversas

metodologias para a execucao dos exames periciais, o que caracteriza a multidisciplinaridade

dessa ciencia.

2.1.4 A Ciencia Forense nos dias atuais

A ciencia forense e reconhecida hoje como um ingrediente essencial para a aplicacao da

lei e da solucao de crimes. Proteger o local do crime de contaminacao, o recolhimento e

interpretacao de provas com precisao tornaram-se alguns dos ingredientes mais crıticos na

resolucao de crimes.

Como resultado, os avancos tecnologicos estao sendo aplicados ao finito e exigente campo

da ciencia forense, um campo em que a competencia tecnica e alcancada somente pela sıntese

de uma serie de fatores, incluindo a formacao, experiencia, fiscalizacao, educacao continuada,

e de proficiencia, uma apreciacao de metodos cientıficos e protocolos projetado num contexto

de rigorosa etica profissional.

Novas tecnicas, nos mais variados ramos da ciencia estao propiciando a Forense o auxılio

necessario na elucidacao de crimes.

O exame de DNA (acido desoxirribonucleico) por exemplo, tido como a maior revolucao

cientıfica na esfera forense desde o reconhecimento das impressoes digitais como uma carac-

terıstica pessoal. O DNA de cada indivıduo contem informacoes geneticas relativas somente a

este, o que torna possıvel identificar a sua origem.(ICC-PR,2008)

A Informatica tambem chegou de maneira decisiva no auxılio a Ciencia Forense. O de-

senvolvimento tecnologico vem atuando como condicao sine qua non na investigacao criminal.

Page 22: TCC-CTAI - Marcelo Winter - Guilherme Mendes

21

Softwares e computadores potentes podem ajudar na identificacao de criminosos de maneira ve-

locıssima, rastrear evidencias como conversas telefonicas, tornar nıtidas imagens da cena de um

crime com os respectivos envolvidos. Ajudar na reconstrucao facial de vıtimas desconhecidas, a

fim de possibilitar o esclarecimento de crimes outrora insoluveis, enfim, trata-se de um caminho

de infinitas possibilidades que certamente so ajudarao ainda mais no trabalho criminalıstico.

A espectrografia por exemplo, analise de audio atraves dos espectros de frequencia, utili-

zada na fonetica forense tem auxiliado os cientistas forenses no exame de verificacao de au-

tenticidade de registros de audio e, consequentemente, na identificacao de interlocutores, bem

como no entendimento e compreensao de determinadas palavras.

A matematica aliada a computacao, tem possibilitado a ciencia, inumeros avancos quando

se trata da apuracao da verdade, como a possibilidade da reconstituicao da cena de crime atraves

da computacao grafica em 3D, o reconhecimento facial por imagem, sem contar no grande

auxılio prestado nas areas de Documentoscopia e Grafologia.

Porem, todo esse advento tecnologico aliado ao surgimento e rapida ascensao da Internet

trouxe, alem do conforto e comodidade, o anonimato na comunicacao e com ela, a sensacao de

impunidade.

Computadores permitem aos criminosos invadir a privacidade e confidencialidade dos in-

divıduos e das empresas e, permanecem relativamente anonimos, de maneira que nao era possıvel

antes do advento da era computacional. As provas desses crimes nao sao nem fısica nem hu-

mana, mas, se elas existem, sao um pouco mais do que impulsos eletronicos e codigos de

programacao.

Tanto a maquina quanto a rede sao criacoes humanas e, como tais, tem natu-reza ambivalente, dependente do uso que se faca delas ou da destilanacao quese lhes de. Do mesmo modo que aproxima as pessoas e auxilia a disseminacaoda informacao, a Internet permite a pratica de delitos a distancia no anoni-mato, com um poder de lesividade muito mais expressivo que a criminalidadedita convencional, n’alguns casos. (Aras, Crimes de informatica. Uma novacriminalidade)

Os crimes praticados por meio de computador, assumem uma caracterıstica propria. De

fato, o sentimento de anonimato - ainda que haja a evidencia eletronica - apresenta carac-

terısticas proprias e complexas, exigindo conhecimento especializado na sua coleta e utilizacao.

Alem disso, e da natureza do proprio meio a volatilidade e fragilidade que, curiosamente, se

entrelacam com a facilidade da recuperacao de “rastros” e outros indıcios tıpicos.

“A convergencia entre crimes e tecnologia da informacao se torna realidade, e antes dois

assuntos que sequer tinham relacao hoje estao extremamente integrados.” NG (2007, p.3)

Page 23: TCC-CTAI - Marcelo Winter - Guilherme Mendes

22

Com isso, e necessario que a atividade pericial tambem evolua, atuando de forma mais

dinamica com o conhecimento das novas praticas delituosas.

Page 24: TCC-CTAI - Marcelo Winter - Guilherme Mendes

23

3 FORENSE COMPUTACIONAL

3.1 NOVOS TEMPOS, NOVOS CRIMES

No final dos anos 80, os computadores pessoais possibilitaram um ambiente de trabalho

mais eficiente, e de forma lenta e segura eles encontraram o caminho das residencias e tornaram-

se computadores pessoais. Placas graficas e monitores coloridos juntamente com o modem e

os softwares de comunicacao, permitiram ao usuario de computador pessoal, democratizar o

conhecimento, incluindo as atividades legais e ilegais.

E crescente o numero de indivıduos que utilizam computadores pessoais por conveniencia,

educacao e entretenimento.

Os fabricantes de computadores introduzem periodicamente no mercado, novos tipos e ta-

manhos de dispositivos de armazenamento de dados e o volume de dados armazenados no

mundo cresce exponencialmente. Grande parte desses dados armazenados sao confidenciais

e sensıveis, nao importando se sao de natureza pessoal, empresarial ou governamental. Es-

tas informacoes sao copiadas mais facilmente e mais rapidamente se comparadas com outro

sistema de arquivo que nao seja o eletronico.

“Hoje, apenas alguns minutos transcorrem entre conectar-se a Internet e seratacado por alguma outra maquina – e isso e apenas o ruıdo de fundo dosataques sem um alvo especıfico.”[FARMER, 2007]

Um dado alarmante e a posicao em que se encontra o Brasil: figura entre os quatro paıses do

mundo com maior numeros de hackers1 e crackers2 e aparece nos jornas internacionais como

referencia em determinados tipos de ataques.[TOTAL SECURITY, 2004]

O Brasil continua dispontando com relacao a hackers e crackers, como pode ser verificado

na denuncia realizada pela justica federal americana de New Orleans no mes de agosto de

1Hacker: Sao hackers, os indivıduos que elaboram e modificam software e hardware de computadores, sejadesenvolvendo funcionalidades novas, seja adaptando as antigas.

2Cracker: Cracker e o termo usado para designar quem pratica a quebra de um sistema de seguranca, de formailegal ou sem etica.

Page 25: TCC-CTAI - Marcelo Winter - Guilherme Mendes

24

Figura 3.1: Trecho da publicacao da denuncia. Fonte: Publicacao 08-739/DOJ-US

2008, onde um brasileiro foi denunciado no crime de conspiracao para infectar mais de 100 mil

computadores na internet com software malicioso conforme consta na publicacao 08-739/DoJ-

US. (Figura 3.1)

“A eliminacao de fronteiras oferecida pela Internet gerou um grande problemapara as instituicoes de combate ao crime, uma vez que facilitou em muito aocorrencia de crimes eletronicos onde a vıtima e o criminoso encontram-se empaıses distintos. (. . . )“[Guimaraes et al, 2001, p.1]

A forense computacional fornece hoje, suporte a investigacoes envolvendo trafico de dro-

gas, lavagem de dinheiro, pedofilia, assassinatos, suicıdios, fraudes financeiras, e tantos outros

crimes e contravencoes que outrora nao se imaginava possıvel o cometimento tendo como fer-

ramenta o computador.

Como podemos observar, a Forense Computacional foi criada para atender as necessidades

e especificidades para uma melhor aplicacao da Lei nesta nova forma de evidencia eletronica.

3.2 CONCEITO

Diversos autores descrevem forense computacional como o processo de investigacao de

eventos nao-autorizados atraves da coleta, autenticacao e analise das informacoes relacionadas.

Para Noblett (2000), Forense computacional e o ramo da criminalıstica que consiste no uso

de metodos cientıficos na preservacao, coleta, restauracao, identificacao, analise, interpretacao,

documentacao e apresentacao de evidencias computacionais, quer sejam componentes fısicos

ou dados que foram processados eletronicamente e armazenados em mıdias computacionais

Semola (2007) comenta que, dentro do contexto eletronico, tambem chamada de Forense

Digital ou Computer Forensics, podemos descreve-la como a ciencia que realiza inspecoes

Page 26: TCC-CTAI - Marcelo Winter - Guilherme Mendes

25

sistematicas em sistemas de computador e suas informacoes para evidenciar ou suportar a

evidencia de crime. Forense Digital requer conhecimento especializado passando pela simples

coleta de dados e a preservacao de prova ate ambientes eletronicos, redes de computadores,

sistemas operacionais e aplicacoes que exigem do perito, alem de conhecimento especializado,

ferramentas que o auxilie nas diferentes etapas da investigacao, assim como o que ocorre com

a perıcia criminal tradicional, que lanca mao de luvas, lupas, microscopios e demais aparatos

para identificar trajetorias, digitais e outros elementos de investigacao.

Ja Pires (2003) afirma que a Forense Digital pode ser definida como uma area de co-

nhecimento que se utiliza de metodos elaborados e comprovados cientificamente visando a

preservacao, coleta, validacao, identificacao, analise, interpretacao, documentacao e apresentacao

de evidencias digitais com o proposito de facilitar ou permitir a reconstituicao de procedimentos

de natureza criminosa que ocorram em equipamentos digitais.

3.3 LOCAL DE CRIME

Carlos Kehdy, apud Quintela (1995, p.8) define local de crime como “. . . toda a area onde

tenha ocorrido qualquer fato que reclame a presenca da polıcia.

Segundo Horswell [2004, p.32]:

“ (. . . ) Qualquer lugar poderia tornar-se local do crime e e normalmente umlocal onde um crime ou um incidente tenha ocorrido e que pode acabar numprocesso judicial .”

Ainda Eraldo Rabello apud Quintella [1995, p.8]:

“ (...) a porcao do espaco compreendida num raio que, tendo por origem oponto no qual e constatado o fato, se extenda de modo a abranger todos os lu-gares em que, aparente, necessaria ou presumivelmente, hajam sido praticados,pelo criminoso, ou criminosos, os atos materiais, preliminares ou posteriores,a consumacao do delito, e com este diretamente relacionados.”

Os Crimes Informaticos tambem deixam vestıgios, e como se sabe, sempre que o crime

deixa vestıgios materiais, e necessaria a presenca do Perito no local, cf. art. 158 do Codigo de

Processo Penal, para em analisando e interpretando as evidencias, possa correlacionar os fatos

que ali se desenrolaram.

Page 27: TCC-CTAI - Marcelo Winter - Guilherme Mendes

26

3.3.1 Local de Crime na Forense Computacional

Com a corrida tecnologica, dia a dia os dispositivos de armazenamento e acesso a internet

estao se tornando menores, mais baratos, mais rapidos, com maior portabilidade e com uso

amplamente difundido. O crescente numero de usuarios da internet – cerca de 1,5 Bilhao3 – e

outro fator a ser considerado e que esta mudando totalmente a investigacao da cena do crime.

Na internet, nao ha como se passar uma fita amarela na cena do crime, isolando-a, tampouco

identificar de imediato a origem e autoria do crime.

E possıvel identificar a data e hora do evento. No entanto, e extremamente complicado

provar quais dedos estavam no teclado naquele momento.

Se a disciplina Criminalıstica aproveita os metodos inerentes a Ciencia da Computacao, e

de se esperar que o conceito de local de crime, tao importante a primeira, recepcione as pecu-

liaridades observadas na segunda, formando assim, uma amalgama indissociavel. De qualquer

modo ha influencia de parte a parte, pois se a ciencia orienta a disciplina, esta por sua vez, lhe

empresta relevancia social.

O local de crime que envolve um incidente informatico e uma das poucas, senao a unica,

cena de crime que pode estender-se por todo o planeta. Ignorando por hora as questoes jurıdicas

e filosoficas de onde o crime ocorreu (foi no computador da vıtima ou no computador de ori-

gem?), pode-se encontrar provas importantes em ambas as extremidades e no meio. O inıcio

da investigacao nao e o momento para se tentar descobrir a autoria. Deve-se tratar todos os en-

volvidos: computadores, perifericos, dispositivos de comunicacao ou demais dispositivos como

parte da cena do crime ate poder diferencia-los.[STEPHENSON, 2000]

3.4 EVIDENCIA DIGITAL

E comum haver duas situacoes para designar o objetivo de um exame forense: resolver um

crime digital ou um incidente de seguranca [dos Reis, 2002, p.1].

Na resolucao de um crime digital, a forense busca ater-se a questoes legais quanto as

evidencias, procurando por provas que possam ser utilizadas em um processo criminal. Ja

um incidente de seguranca geralmente esta relacionado a contextos organizacionais, onde o ob-

jetivo principal de uma analise forense e entender o incidente ocorrido, buscando suas causas

atraves de evidencias, afim de evitar que o fato venha ocorrer novamente.

3Estatıstica da Internet no Mundo – fonte : http://www.tnbrasil.com.br/estatisticas

Page 28: TCC-CTAI - Marcelo Winter - Guilherme Mendes

27

E ambas as situacoes, os objetivos da forense computacional sao a busca e analise das

Evidencias. No dicionario Aurelio [Ferreira, 2004] :

• Evidencia real: qualquer objeto fısico que pode ser levado ate o Tribunal. A evidencia

real pode ser tocada, segurada ou observada diretamente de outra maneira. Resumindo,

uma evidencia real responde por ela mesma. No contexto de Forense Computacional, o

computador pode ser apresentado como evidencia fısica.

• Evidencia documental: muitas evidencias utilizadas para provar algo sao documentos

escritos. Algumas evidencias incluem arquivos de registros (logs), bases de dados e um

arquivo especıfico relatando a ocorrencia de um incidente. Toda evidencia documental

deve ser autenticada, porque qualquer um pode criar um arquivo de dados arbitrario com

o conteudo desejado. Portanto, deve-se provar que a evidencia foi coletada apropriada-

mente e que os dados contidos provam o fato.

• Evidencia demonstrativa: muitos tipos de evidencias computacionais fazem sentido

para o pessoal tecnico, porem soa completamente diferente para os demais. A evidencia

demonstrativa ilustra, ajuda na explanacao ou demonstra outra evidencia. Muitas vezes,

a evidencia demonstrativa consiste em algum tipo de ajuda visual.

No contexto da forense computacional, evidencia digital e toda informacao armazenada

ou transmitida de forma eletronica ou magnetica. Em outras palavras, evidencia digital e todo

objeto que contem informacao que ateste ou refute uma hipotese.

3.4.1 A Volatilidade da Evidencia Digital

Os dados contidos em uma evidencia digital, por sua natureza, sao volateis, faceis de serem

apagados, o que requer maior cuidado na manipulacao e preservacao das evidencias. Por outro

lado, evidencias digitais sao faceis de serem duplicadas com exatidao [DOS REIS, 2002].

Como impressoes digitais, as evidencias digitais podem ser visıveis (como arquivos grava-

dos em disco que podem ser acessados via estrutura normal de diretorios usando um gerenci-

ador de arquivos como o MS-Windows Explorer), ou podem ser latentes (nao sendo visıveis

ou acessıveis, requerendo algum processo de busca – via software ou tecnicas especiais – para

localiza-la e identifica-la).

O Instituto Nacional de Justica (NIJ) do Departamento de Justica (DoJ) dos Estados Unidos,

em seu Guia NCJ 219941, que trata de investigacao de crime eletronico orienta:

Page 29: TCC-CTAI - Marcelo Winter - Guilherme Mendes

28

”... Ao lidar com evidencias digitais, os princıpios gerais da ciencia forense eseus procedimentos devem ser aplicados:

a. O processo de coleta, protecao e transporte da evidencia digital nao podemodifica-la;

b. A evidencia digital somente deve ser examinada por pessoas especialmentetreinadas par tal proposito;

c. Tudo que for feito durante a apreensao, transporte e armazenamento de da-dos digitais devem ser devidamente documentados, conservados, e dis-ponıveis para revisao.”[NCJ 219941, 2008]

A Associacao dos Oficiais Chefes de Polıcia do Reino Unido, em seu /textitGuia de Boas

Praticas para Evidencias Eletronicas baseadas em Computador [ACPO, 2007] descreve:

“ (. . . ) Evidencias eletronicas sao valiosas e serao consideradas evidencias setratadas da mesma forma que as evidencias forenses tradicionais – com res-peito e cuidado. Os metodos de recuperacao de evidencias eletronicas , man-tendo a integridade e autenticidade probatoria, pode parecer complexo e dis-pendioso, mas a experiencia tem demonstrado que, se for tratada corretamente,ela ira produzir prova incontestavel e simultaneamente rentavel.”

A localizacao e identificacao de uma evidencia torna-se mais complicada quando levamos

em consideracao uma rede de computadores. Devido a natureza dinamica da rede, um local

usado na internet para cometer crimes pode ser diferente ou ausente no dia seguinte.

Um dos maiores desafios do analista forense e uma evidencia dinamica. Evidencia dinamica

e qualquer influencia que muda, transfere, obscurece, ou elimina uma evidencia, independente-

mente das intencoes, entre o momento em que ela e transferida, bem como no momento em que

o caso e julgado.[CHISUM e TURVEY, 2000]

De fato, o sentimento de anonimato - ainda que haja a evidencia eletronica - apresenta carac-

terısticas proprias e complexas, exigindo conhecimento especializado na sua coleta e utilizacao.

Segundo Farmer (2006), embora informacoes dinamicas sejam um pouco mais volateis, e,

portanto, suspeitas, quaisquer condenacoes com base em uma unica serie de leituras dos dados

tambem sao suspeitas.

Dentro deste cenario, surge o conceito de ordem de volatilidade, introduzido por Dan Farner

e Wietse Venema, que e justamente a razao da importancia da informacao versus o tempo que

ela fica imutavel.(Figura 3.4.1)

E da natureza do proprio meio a volatilidade e a fragilidade que, curiosamente, se entrelacam

com a facilidade da recuperacao de “rastros” e outros indıcios tıpicos.

Page 30: TCC-CTAI - Marcelo Winter - Guilherme Mendes

29

Figura 3.2: Ordem de Volatilidade, segundo Dan Farner e Wietse Venema

3.5 PROCEDIMENTOS FORENSES EXISTENTES

Apesar de ser uma area recente, diversos modelos de investigacao forense digital foram

desenvolvidos com o intuito de auxiliar as forcas policiais e demais orgaos de seguranca e

justica, a lidar com a mudanca da evidencia, anteriormente de base documental para base digital.

No inıcio de 1995, Pollitt sugere uma metodologia para lidar com possıveis provas. O autor

mapeou o processo de forense computacional para a admissao de prova documental, em um

tribunal de justica. Ele afirmou que o processo utilizado deve obedecer a lei e para tanto, a

ciencia. Nesta metodologia introduziu quatro etapas distintas que sao precedentes identificados

para a admissao de qualquer evidencia em um tribunal. Os passos sao aquisicao, identificacao,

avaliacao e admissao como prova. O resultado destas medidas ou processos sao: a mıdia

(no contexto fısico), os dados (no contexto logico), as informacoes (no contexto legal) e as

evidencias, respectivamente.

Em 2001, o Grupo de Trabalho de Investigacao Forense Digital (Digital Forensics Research

Working Group - DFRWG), definiu um processo de investigacao generico, que pode ser apli-

cado a todos ou a maioria das investigacoes envolvendo os sistemas digitais e redes. O processo

definia as seguintes etapas: identificacao, preservacao, coleta, exame, analise, apresentacao ou

reporte e decisao. Este processo coloca em pratica a base fundamental para trabalhos futuros.

No entanto, em 2002, M. Reith e outros propuseram um processo chamado de Processo

Resumido de Forense Digital, baseado no processo do DFRWS (Digital Forensic Research

Page 31: TCC-CTAI - Marcelo Winter - Guilherme Mendes

30

Workshop) e composto por onze fases que sao identificacao, preparacao, abordagem estrategia,

preservacao, coleta, exame, analise, apresentacao e devolucao das evidencias. Este amplo pro-

cesso oferece uma serie de vantagens como as listadas pelos autores como um mecanismo para

a aplicacao do mesmo processo em tecnologias digitais futuras.

Em 2003, o processo investigacao digital e proposto por Carrier e Spapafford, que se baseia

no processo de investigacao fısica da cena do crime. Este procedimento tem fases de de alto

nıvel, tanto da analise quanto da cena do crime. E o chamado Processo de Investigacao Digital

Integrada (Integrated Digital Investigation Process - IDIP). Eles definem o local de crime digital

como o ambiente virtual criado por software e hardware onde a evidencia digital de um crime

ou um incidente existe. Este metodo organiza o processo em cinco grupos que consiste de 17

fases. Os grupos sao fase de preparacao, fase de implantacao, fase de investigacao fısica do lo-

cal de crime, fase de investigacao de crime digital e fase de revisao. Isto destaca a reconstrucao

dos eventos que levaram ao incidente e enfatiza revisao de toda a tarefa. Trata-se de um metodo

abrangente e generico tecnicamente, atendendo as areas de criminalıstica, investigacao corpo-

rativa e resposta a incidentes porem, tem como ponto fraco, a questao de ser muito teorico.

Stephenson visualiza cada um dos processos do metodo do DFRWS como sendo uma classe

e cada uma das acoes tomadas como elementos da classe. Em seguida, ele afirma que as seis

classes definem o processo investigativo. Portanto, ele amplia o processo em nove passos que

ele entao define como Processo de Investigacao Digital Fim-a-Fim (End-to-End Digital Inves-

tigation Process - EEDI). Estes nove passos na EEDI deve ser realizado pelo perito a fim de

preservar, coletar, examinar e analisar a evidencia digital. Ele tambem definiu as atividades

crıticas no processo de coleta, tais como a coleta das imagens dos computadores, a coleta dos

registros (logs) dos dispositivos intermediarios, especialmente aqueles na Internet, a coleta dos

registros dos computadores, coleta dos registros e dados de sistemas de deteccao de intrusao,

firewall, etc.

Depois, em 2004, Baryamureeba e Tushabe reforcaram o metodo IDIP chamando-o de

Enhanced Digital Investigation Process Framework (EIDIP). O EIDIP separa as investigacoes

em locais de crime primario e secundario enquanto retrata as fases como iterativas em vez de

linear. Em seu paper, ele descreve duas fases adicionais que sao rastrear e expandir a busca para

tentar separar a investigacao da cena do crime primaria (o computador) da secundaria (o local

fısico). O objetivo do reforco e a de reconstruir as duas cenas concomitantemente com o intuito

de evitar incoerencias.

Carrier e Spafford propuseram um outro metodo definido como Processo de Investigacao

Digital Baseado em Eventos por reconhecer a nao-singularidade fase de investigacao no IDIP

Page 32: TCC-CTAI - Marcelo Winter - Guilherme Mendes

31

e, em seguida, simplificaram o metodo em Preservacao, Pesquisa e fase de Reconstrucao. Este

metodo simples e baseado nas causas e efeitos dos eventos. A meta de cada uma destas fases

e unica e os requisitos podem ser definidos. No entanto, estas tres fases nao mencionam a

integralidade de cada fase. Assim, nao e claro que esse metodo e suficiente para a Investigacao

Forense Digital.

Beebe e Clark propuseram, em 2004, o HOBF – Hierachical Objetives-Based Framework.

Trata-se de metodo multi-grupo, desenvolvido depois dos autores terem revisto que a maioria

dos metodos forenses anteriores formavam um unico grupo. Eles propoem varias subtarefas

especificamente para a fase de analise dos dados utilizando investigacao resumida e analise

aproximada. As fases do primeiro grupo sao de preparacao, Incident Response, coleta de dados,

analise dos dados, apresentacao e encerramento do incidente. A fase de analise dos dados e

ainda organizada em fase do investigacao, fase de extracao e fase de exame no segundo nıvel.

No metodo proposto, a fase de analise utilizando o conceito de objeto baseado em funcoes

e introduzida. Como afirmado pelos autores, este metodo oferece benefıcios exclusivos na

areas de praticidade e especificidade, com a capacidade de crescimento e abrangencia porem,

se excesso de documentacao e a dificuldade de manutencao provocaram seu desuso.

Marcus K. Rogers em 2005, publica o metodo Analise da Cena de um Crime Digital (Digital

Crime Scene Analysis- DCSA ) que resume-se em fases: Identificacao da Evidencia, Coleta da

Evidencia, Transporte da Evidencia, Analise e Relatorio. Com isso os autores proporcionaram

uma abordagem pratica da criminalıstica porem, com pouco detalhamento.

Em 2006, o processo forense proposto por Kent e constituıdo por quatro fases que sao

coleta, exame, analise e a elaboracao de relatorios. Neste metodo, o processo forense transforma

a mıdia em provas, quer para a aplicacao da lei ou da sua utilizacao interna de uma determinada

organizacao. Primeiro, a transformacao ocorre quando os dados coletados sao examinados,

onde sao extraıdos da mıdia e transformados em informacoes atraves de analise e, finalmente, a

informacao se transforma em provas durante a fase de relatorio.

M Kohn propos um novo metodo a partir da fusao metodos existentes a fim de compi-

lar uma estrutura razoavelmente completa. A metodos proposto baseia-se na experiencia dos

outros. Seu estudo revelou dois pontos importantes: o relevante conhecimento de uma base

jurıdica antes da criacao do metodo e vital, uma vez que ira suportar a totalidade do processo

investigativo, e o processo devera incluir tres fases (preparacao, investigacao e apresentacao)

para satisfazer as exigencias mınimas da definicao da palavra ”forense”. Portanto, Kohn propos

seu metodo agrupando as fases das metodologias ate entao atuais, para estas tres etapas. Este

metodo tambem estabelece uma base jurıdica como fundacao para que se tenha um entendi-

Page 33: TCC-CTAI - Marcelo Winter - Guilherme Mendes

32

mento claro daquilo que sao os requisitos legais, e estabelecida logo no inıcio da investigacao e

informa cada etapa ou fase posterior.

Neste metodo, dois requisitos foram identificados como necessarios em cada nıvel, que sao

os requisitos legais de um sistema especıfico e documentacao de todas as medidas tomadas.

A vantagem deste metodo proposto e que pode ser facilmente expandido para incluir qualquer

numero de fases adicionais exigidas no futuro.

Ainda em 2006, o Computer Forensic Field Triage Process Model – CFFTPM, desenvol-

vido pela Purdue University em parceria com o National White Coller Crime Center, propoe

uma abordagem local ou em campo para fornecer a identificacao, analise e interpretacao da

evidencia digital em um curto espaco de tempo sem exigencia relativa a apreensao dos sis-

temas / mıdias levadas para o laboratorio para um exame profundo ou adquirir uma imagem

forense completa. As fases incluıdas neste metodo sao planejamento, triagem, perfis de uso

/utilizador, cronologia / cronograma, atividade de internet e provas especıficas. Este metodo

e uma formalizacao da investigacao no mundo real, detalhada em uma metodologia proces-

sual formal. A grande vantagem do CFFTPM esta em sua praticidade e pragmatica, devido ao

fato de que o metodo foi desenvolvido no sentido inverso da maioria dos outros Metodos de

Investigacao Forense Digital. No entanto, este metodo tambem nao e aplicavel para todas as

situacoes investigativas.

Remodelado em 2007, o modelo implementado pelo Departamento de Justica Americano

(DoJ), apresenta sete fases bem definidas: Obtencao e Copia ¿ Requisicao ¿ Preparacao/Extracao

¿ Identificacao ¿ Analise ¿ Relatorio ¿ Analise a nıvel de caso. Diferente de quando foi criado

em 2001, onde contemplava quatro fases: Coleta ¿ Exame ¿ Analise ¿ Relatorio e mostrava-

se completo apenas para a analise de um disco rıgido (HD) pois as fases de Exame e Analise

eram definidas de forma confusa, o novo modelo possui listas (Pistas, Dados Extraıdos, Da-

dos Relevantes, Resultados de Analise) que proporcionam um maior controle entre as fases de

investigacao. O ponto fraco deste modelo e que nao aborda Live-Acquisition (Live response /

Memory analysis).

Todos os modelos supracitados tem a sua propria forca, no entanto ate hoje nao existe um

unico modelo que pode ser utilizado como uma orientacao geral para investigar todos os tipos

de crimes e incidentes. As figuras 3.5 e 3.5 ilustram bem a quantidade de metodos conhecidos.

Portanto, mais pesquisas sao necessarias para uma concepcao geral de um metodo para superar

este problema.

Page 34: TCC-CTAI - Marcelo Winter - Guilherme Mendes

33

Figura 3.3: Review of Incident Management Processes from Various Publications Fonte:CMU/SEI-2004-TR-015

Page 35: TCC-CTAI - Marcelo Winter - Guilherme Mendes

34

Figura 3.4: Review of Incident Management Processes from Various Publications Fonte:CMU/SEI-2004-TR-015

Page 36: TCC-CTAI - Marcelo Winter - Guilherme Mendes

35

3.6 MAPEAMENTO DO PROCESSO DE FORENSE DIGI-TAL

Dos atuais metodos ou modelos mencionados na secao anterior, o que pode ser visto cla-

ramente e que cada um dos metodos propostos baseia-se na experiencia dos modelos anteri-

ores, alguns dos metodos tem abordagens semelhantes e alguns focalizam diferentes areas da

investigacao. No entanto, todos os metodos tem a mesma saıda, mesmo se no processo ou a

atividade a ordem dos passos e ligeiramente diferente sobre o termo utilizado.

A fim de ilustrar e melhor descrever o processo de forense computacional, mapeamos os

referidos processos, agrupando e fundindo as mesmas atividades que fornecem os mesmos re-

sultados em uma fase adequada.

Dessa maneira contemplamos, alem da preservacao - fase inicial de qualquer procedimento

forense, onde se busca preservar o local de crime e identificar as evidencias, no escopo compu-

tacional, preservar o estado do local de crime digital - seis fases do procedimento da Ciencia

Forense:

a. Avaliacao;

b. Aquisicao;

c. Autenticacao;

d. Analise;

e. Documentacao;

f. Apresentacao.

3.6.1 Avaliacao

Nesta fase identifica-se e distingue-se entre evidencias relevantes e irrelevantes. As acoes

a serem tomadas nesta fase dependem do enquadramento jurıdico, negocio, ou as necessidades

operacionais da investigacao.

A Avaliacao no processo de Forense Computacional consiste em, diante da evidencia apre-

sentada:

Page 37: TCC-CTAI - Marcelo Winter - Guilherme Mendes

36

a. Determinar o Escopo e a Quantidade de Dados - atraves dos quesitos apresentados pela

parte interessada no processo, possibilitar ao perito determinar quais dados serao analisa-

dos e qual metodologia sera empregada;

b. Identificar Repositorios de Dados - antes de iniciar a perıcia mas apos determinar seu es-

copo, deve-se identificar onde estarao armazenados os dados considerados suspeitos, ou

seja, potenciais evidencias. Estes poderao ser qualquer equipamento desde computadores

pessoais a Servidores de Rede empresarial, PDAs e telefones celulares. Neste ponto, e

necessario determinar se o perito possui as ferramentas necessarias para concluir o exame

pericial adequadamente;

c. Proteger e Preservar – uma vez determinado onde encontrar as evidencias, deve-se to-

mar medidas para proteger e preservar as evidencias e consequentemente os dados. A

evidencia digital e latente, do mesmo modo que as impressoes digitais, armas de fogo,

e as ferramentas sao marcas latentes de evidencia. A evidencia digital nao e visıvel a

olho nu e requer cuidado na manipulacaoe de formacao especializada para preserva-la de

forma eficiente e eficaz. Elas sao facilmente alteradas, danificadas ou destruıdas [MO-

ZAYANI, 2006]. As evidencias precisam ser preservadas de tal forma que nao haja duvida

alguma de sua veracidade [FREITAS, 2006];

d. Cadeia de Custodia – apos proteger devidamente a evidencia, deve-se estabelecer a Ca-

deia de Custodia, que registrara “quem fez o que com a evidencia e quando”. Ca-

deia de Custodia e um processo usado para manter e documentar a historia cronologica

da evidencia, para garantir a idoneidade e o rastreamento das evidencias utilizadas em

processos judiciais [LGB, 2006]. A validade de evidencias digitais apresentadas num

caso judicial pode ser contestada devido a, por exemplo, processamento inadequado ou

adulteracao de evidencias. Mesmo tomando os cuidados nas variadas tarefas executadas

num trabalho de perıcia, como busca e preservacao de evidencias, determinar a relacao

entre dados e seu autor muitas vezes pode ser difıcil ou enganosa, pois nao e uma tarefa

trivial. E preciso, portanto, que exista uma documentacao adequada de acoes tomadas, o

que pode ser feito estabelecendo cadeias de custodia;

e. Pre-visualizacao dos dados – somente apos completar os passos anteriores e que pode-se

pre-visualizar os dados de maneira a garantir que nao serao modificados. Este passo

prepara para a fase de Aquisicao do processo forense, onde sera criada uma copia fiel dos

dados a fim de prover a analise e interpretacao das informacoes - perıcia;

Page 38: TCC-CTAI - Marcelo Winter - Guilherme Mendes

37

3.6.2 Aquisicao

Na fase de Aquisicao, produz-se uma copia fiel da evidencia de maneira a permitir o inıcio

da investigacao pericial. No entanto quatro etapas fundamentais estao envolvidas nesta fase do

processo:

a. Mıdia de Origem – os dados sao armazenados em mıdias. E necessario identificar que tipo

de dados estao armazenados e como prover o acesso aos mesmos.

b. Mıdia de Destino – para gerar uma imagem forense faz-se necessario realizar a copia dos

dados da evidencia para outra mıdia, igual ou similar, se possıvel.

c. Parametros de Aquisicao – estabelecer os parametros exigidos para a imagem.

d. Criacao da Imagem – Apos determinar a mıdia onde sera gravada a imagem e estabelecer

os parametros, cria-se a imagem. O processo de criacao da imagem deve assegurar que ela

nao modificou os dados originais. As imagens podem ser produzidas de formas diferentes,

dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura disponıvel e

da metodologia empregada [COSTA, 2003, p.27]. Com isso e possıvel validar o processo

na fase de autenticacao.

3.6.3 Autenticacao

O proposito da fase de Autenticacao e assegurar que a imagem criada da evidencia e identica

a original. Para tal, utiliza-se do comparativo de hashes criptograficos4 – MD5 ou SHA-1 sao os

algorıtimos comumente utilizados. O procedimento de hash de dados consiste basicamente no

seguinte: as informacoes/evidencias digitais sao submetidas a um software que utiliza algoritmo

matematico, resultando em um numero que representa aquela informacao de forma unica. Caso

qualquer bit5 da informacao seja alterado, o hash gerado sera completamente diferente.[DE

CARVALHO, 2000]4HASH – Hash em ingles significa picar, cortar miudo, triturar. As funcoes “hash” sao funcoes usadas para

autenticar arquivos ou mensagens. As funcoes “hash”sao diferentes das funcoes normais de encriptacao, por naopossuırem um chave, e por serem irreversıveis. ...Qualquer um pode verificar a autenticidade de um arquivo oumensagem, apenas calculando a funcao novamente, e comparando o resultado com o ja obtido anteriormente... [deCarvalho, 2000]

5Bit (simplificacao para dıgito binario, “BInary digiT” em ingles) e a menor unidade de medida de transmissaode dados usada na Computacao e na Teoria da Informacao, embora muitas pesquisas estejam sendo feitas emcomputacao quantica com qubits. Um bit tem um unico valor, 0 ou 1, ou verdadeiro ou falso, ou neste contextoquaisquer dois valores mutuamente exclusivos.

Page 39: TCC-CTAI - Marcelo Winter - Guilherme Mendes

38

3.6.4 Analise

Transpostas as etapas descritas acima, a fase de Analise e o “cerne” da Forense Computa-

cional. A analise pode ser realizadas de duas formas: metodo offline (Post Mortem) e on-line

(Live-Acquisition). O metodo offline necessita de acesso fısico ao equipamento, e o mesmo e

analisado atraves de um outro sistema operacional ou ambiente controlado. Ja o metodo on-line

e realizado diretamente no equipamento/dados em questao e o ambiente nao e controlado [NG,

2007]. Cada processo da analise forense possui particularidades devido a eventos e tecnologias

envolvidas, o que nos leva a ter que reavaliar e definir o melhor metodo de trabalho em cada um

deles.

3.6.5 Documentacao

A Documentacao e um processo contınuo ao longo de todo o exame pericial. E importante

registar com precisao as medidas tomadas durante o exame das evidencias digitais. Toda a

documentacao deve ser completa, precisa e abrangente. Deve tambem, ser contemporanea com

o exame. O relatorio (laudo) resultante deve ser escrito para o publico-alvo.

3.6.6 Apresentacao

As informacoes do relatorio final sao Apresentadas de forma clara e objetiva. Devem conter

informacoes sobre os fatos, metodologia de investigacao e analise e conclusoes. Para cada fato

concluıdo, deve constar as informacoes sobre o processo/procedimentos/evidencias utilizadas

e/ou coletadas para chegar nas conclusoes. [NG, 2007]

Page 40: TCC-CTAI - Marcelo Winter - Guilherme Mendes

39

4 PROPONDO MUDANCAS

Conforme visto ate aqui, independente de literatura ou, no caso especıfico da forense com-

putacional, se a recomendacao e do Departamento de Justica Norte-Americano (DoJ), do Guia

de Boas Praticas da Associacao dos Chefes de Polıcia do Reino Unido (ACPO) ou do Grupo

Cientıfico de Trabalhos em Evidencias Digitais (SWGDE) – expoentes quando o assunto e

normatizacao de procedimentos de carater investigativo e pericial - as duas premissas principais

do processo forense sao a aquisicao da evidencia e sua preservacao.

A falta de uma padronizacao a nıvel nacional e ate mundial no que tange a forense compu-

tacional, haja vista o grande numero de metodologias existentes, faz com que tenhamos sempre

uma abordagem tıpica para a solucao dos problemas:

• Confiar na experiencia passada;

• Ouvir os conselhos de outros Peritos;

• Utilizar as ferramentas e os metodos existentes.

Muito discute-se sobre a volatilidade dos dados contidos em uma evidencia digital que,

devido a sua natureza, sao faceis de serem alterados ou apagados, o que requer maior atencao

quanto a manipulacao e preservacao das evidencias.

Porem, outras metodologias correlatas, que lidam tambem com evidencias consideradas

volateis, como a Patologia Forense, quando do tratamento e coleta de sangue e de manchas de

sangue, tem todo seu frame-work aceito e validado pela comunidade forense internacional.

De todos os tipos de indıcios comumente encontrados no local de crime, o sangue talvez seja

o mais fragil. O sangue pode apresentar-se na forma lıquida, no estado umido ou completamente

seco. Dependendo da circunstancia, diferentes procedimentos podem ser utilizados. Vejamos

dois deles:

a. Se existe uma quantidade suficiente de lıquido, depositado na cena do crime, cerca de 5 a

10ml devem ser recolhidos com uma pipeta ou conta-gotas medicinal e colocado em um

Page 41: TCC-CTAI - Marcelo Winter - Guilherme Mendes

40

tubo de vidro contendo conservante e anticoagulante1. As amostras lıquidas de sangue

devem ser mantidas sob refrigeracao.

b. Uma mancha umida de sangue, em uma superfıcie nao absorvente como vidro ou metal,

pode ser colhida adicionando uma pequena quantidade de soro fisiologico esterilizado

(0,9%) a mancha e mistura-la cuidadosamente para apos recupera-las com uma pipeta ou

conta-gotas medicinal. As amostras devem ser mantidas sobre refrigeracao.

Nas duas situacoes acima, atraves de procedimentos validados internacionalmente, altera-

mos a evidencia – seja misturando conservantes e anticoagulantes ou simplesmente adicionando

soro fisiologico – porem, nao invalidamos a prova.

Diversos organismos e autores tratam do frame-work da Forense Computacional porem, to-

dos descrevem o processo como um todo e, quando atinge-se o assunto aquisicao da evidencia

digital, observa-se a convergencia para a Duplicacao Pericial ou Imagem Forense.

O processo de duplicacao pericial consiste em se produzir uma imagem identica do dispo-

sitivo de armazenamento de dados em outra mıdia, a fim de garantir a integridade dos dados

contidos no dispositivo original ou seja, a evidencia.

Costa (2003) afirma que as imagens de evidencias digitais podem ser produzidas de for-

mas diferentes, dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura

disponıvel e da metodologia a ser empregada.

Em suma, as imagens sao produzidas atraves de dois metodos: o uso de Software ou o

uso de Hardware. No primeiro, utilizando-se se ferramentas apropriadas e, preferencialmente,

certificadas, procede-se a obtensao da imagem onde, em se tratando do tipo mais comum de

evidencia, ou seja, o disco rıgido (HD) de um computador, consegue-se em media uma velo-

cidade de transferencia de dados de aproximadamente 2GB/min. Ja quando utiliza-se dupli-

cadores comerciais, isto e, hardwares destinados para este fim, se obtem uma velocidade de

transferencia de dados de ate 4 GB/min.

Num primeiro momento, a velocidade empregada atraves do processo de imagem via hard-

ware, de 4GB/min, se apresenta aceitavel quando tratamos de geracao de imagens de HD’s de

computadores pessoais com capacidade de armazenamento de ate 500GB.

O processo de duplicacao com velocidade de 4GB/min comeca a tornar-se inviavel a partir

do momento em que o perito possua mais de um computador, e consequentemente, diversos

1Tubos adequados, contendo fluoreto de sodio e oxalato de potassio para preservar amostras de sangue, estaodisponıveis comercialmente.

Page 42: TCC-CTAI - Marcelo Winter - Guilherme Mendes

41

HD’s para analisar e realizar a duplicacao - fato comum de ocorrer - ou, se a apreensao tratar de

um storage2 de dados de uma empresa (dados armazenados na ordem de Terabytes, Petabytes

ou superior). Com uma velocidade de 4GB/min, o tempo necessario para efetivar a imagem

e calcular o Hash sera demasiadamente grande, provocando a perda do sentido da perıcia no

momento oportuno3.

E mister que um dos princıpios basicos do metodo cientıfico e a reprodutibilidade. A

capacidade de ser reproduzıvel, adiciona um nıvel de confiabilidade necessario aos resultados

de uma analise forense. Tanto no Brasil como em qualquer outro paıs do mundo, deve ser

possıvel realizar-se um experimento e se obter os mesmos resultados. Desta forma, a ciencia

passa a ser uma importante aliada da justica, pois fornece respostas com aceitaveis nıveis de

precisao.

Nao obstante, mesmo que a ciencia possua esta capacidade, ela e feita por seres humanos,

estes com possibilidades de falhas e de carater eventualmente duvidoso, que podem tendenciar

determinados resultados, de forma consciente ou nao, prejudicando ou beneficiando outrem.

Nos procedimentos hoje adotados, nao existem garantias da autenticidade do dado anali-

sado, haja vista que a cadeia de custodia somente inicia-se quando do recebimento dos equi-

pamentos no laboratorio forense. Exemplificando, nao ha como assegurar que o dado obtido

de determinada evidencia pertencia realmente aquele equipamento ou ainda, atestar que o HD,

no qual foi obtido tal evidencia pertence a CPU apreendida. A parte envolvida nao possui

garantias de que a prova encontrada estava realmente no material analisado ou foi inserida ma-

liciosamente ou ate mesmo contaminada por manuseio erroneo, durante ou apos a apreensao do

equipamento.

No campo da Forense Computacional, os equipamentos dispostos para analise pericial sao

oriundos de buscas e apreensoes. O procedimento de busca e apreensao de equipamentos

eletronicos se da atraves de duas situacoes:

a. Sob Mandado Judicial, fundamentado em pedido emitido pelo Ministerio Publico, emba-

sado em relatorio da autoridade policial, denuncia ou outra fonte de informacao que gere

a suspeita do cometimento de ilıcito em que o equipamento, foco da ordem de busca e

apreensao, e utilizado direta ou indiretamente para tal fim.

2Sistema de armazenamento de dados, podendo ser em fita, disco ou rede.3Em muitos casos alem da demora na geracao da imagem, a dificuldade de se manter em estoque mıdias de

tamanho adequado aquelas que serao duplicadas, provoca um atraso na analise forense e, consequentemente, ademora na elaboracao do laudo pericial que muitas vezes acabam por ser finalizados em prazo maior do que oditado pela lei processual.

Page 43: TCC-CTAI - Marcelo Winter - Guilherme Mendes

42

b. No caso de flagrante delito, onde apreende-se materiais e equipamentos que julgue-se cor-

roborar com a caracterizacao do delito. (Ex. Num caso de extorsao, apreende-se o te-

lefone celular do suspeito com o de, atraves de perıcia, comprovar que as ligacoes eram

realizadas daquele aparelho.)

Nos dois casos citados, a apreensao e conduzida da seguinte forma: os equipamentos sao

desligados, identificados, lacrados, constados no termo de apreensao e encaminhados a Perıcia.

Com isso, cabe ao Perito descobrir a informacao probante a partir de um grande volume

de dados sob um enorme numero de variantes: diferentes Sistemas Operacionais, Hardwares

e Softwares. O que por si so ja acarreta, dependendo dos quesitos, um dispendioso tempo,

provocando muitas vezes, o atraso na tramitacao processual.

Ainda que, na area penal, os trabalhos periciais, segundo Sampaio (2003), devem, obri-

gatoriamente, manter as provas materiais preservadas para que, em caso de duvidas, possam

ser reexaminadas ou ate que se finalize o processo penal competente, nao se pode ignorar o

Princıpio da Eficiencia.

Segundo o Artigo 37 da Constituicao Federal Brasileira, “A administracao publica direta

e indireta de qualquer dos Poderes da Uniao, dos Estados, do Distrito Federal e dos Mu-

nicıpios obedecera aos princıpios de legalidade, impessoalidade, moralidade, publicidade e

eficiencia. . . ”

O princıpio da eficiencia nao pode ser entendido apenas como maximizacao do lucro, mas

sim como um melhor exercıcio das missoes de interesse coletivo que incumbe ao Estado, que

deve obter a maior realizacao pratica possıvel das finalidades do ordenamento jurıdico, com os

menores onus possıveis, tanto para o proprio Estado, especialmente de ındole financeira, como

para as liberdades dos cidadaos.

Num procedimento de busca e apreensao, o foco deve ser aquilo que evidencie a materiali-

dade e autoria do crime. Nao pode-se por exemplo, parar o funcionamento de uma empresa, res-

tringindo seu direito a propriedade em prazo superior ao permitido pelo ordenamento jurıdico,

em detrimento da busca de algumas evidencias que encontram-se armazenadas sejam em arqui-

vos digitais, sejam em documentos impressos, apesar de que, no meio digital, a facilidade de se

obter uma copia devidamente autenticada, e facilitada pelo proprio meio.

“. . . Quanto ao merito, aduziu que a decisao encontra amparo no princıpio dodevido processo legal, bem como que a restricao ao direito a propriedade . . .deve ser temporaria, de modo que restando ultrapassado o prazo ditado pela leiprocessual, a medida cautelar acoimada perde sua eficacia.” (TJ/SC – MS no2003.002248-1, de Sao Jose, Rel. Solon d’Eca Neves, em 10.02.2004)

Page 44: TCC-CTAI - Marcelo Winter - Guilherme Mendes

43

Deve-se considerar ainda, dentro do Princıpio da Eficiencia, que equipamentos eletronicos

tem, pela sua natureza, uma vida tecnologica e consequentemente, economica, limitada, pelo

que, pelo mero decurso do tempo ocorre uma elevada depreciacao economica e a obsoledade

tecnologica.

O que se encontra nos dispositivos de armazenagem digital pode ser equiparado a documen-

tos. Quando apreendidos documentos que tenham como forma de apresentacao a impressao em

papeis, estes meios precisam ser devidamente identificados para que se possa no futuro afirmar

sua origem, e, se, possıvel, sua autoria.

Ao se apreender documentos registrados em meios digitais, de igual forma, ha que se tomar

as precaucoes necessarias para que se ateste, pelos registros da busca e apreensao e pela palavra

do perito, a origem dos documentos digitais e, se possıvel, as evidencias de autoria.

Exemplificando, ao inves de apreender um armario de aco que contem documentos im-

pressos em papel, o profissional que realiza a busca e apreensao escolhe os papeis a apreender

que tenham relacao com o objeto da investigacao. No caso de equipamentos de informatica ou

mıdias digitais, cabera ao profissional, de igual forma, nao apreender todo o equipamento, mas

apenas os documentos digitais que tiverem ligacao com a investigacao em curso.

4.1 REFINANDO A METODOLOGIA DE COLETA SEMCOMPROMETER OS PRINCIPIOS FORENSES

Independentemente da filosofia darwiniana, o conceito de ”evoluir ou morrer “ tem sido

validado em muitas tecnologias, configuracoes sociais e economicas. Se o objetivo e sobre-

vivencia fısica, mudanca gera mudanca.

No contexto de evidencias computacionais, tecnicas forenses devem ser avaliadas quando

variaveis dinamicas - volume de dados, informacoes de infra-estruturas corporativas e restricoes

legais - convergem para impedir a meta de produzir resultados verificaveis.

Segundo Kenneally (2005, p.2):

“. . . A Forense Digital nao ocorre no vacuo, mas sim, tem sido influenciadae moldada pelas exigencias dos ambientes em que e aplicada e, atraves daslentes dos profissionais que implementam as ferramentas.”

A metodologia proposta se destina a complementar as metodologias tradicionais que em-

pregam a copia bit-a-bit (bit-stream) em circunstancias que exigem uma maior eficiencia e um

abordagem de baixo custo na coleta da evidencia digital.

Page 45: TCC-CTAI - Marcelo Winter - Guilherme Mendes

44

Modificar as tecnicas atuais de Forense Computacional – identificacao, aquisicao, preservacao,

analise e apresentacao – quebrando paradigmas ou seja, mudando contextos, nao significa que

os resultados serao menos confiaveis no que diz respeito a qualidade da evidencia forense.

Analises forenses de computadores ja nao sao realizadas em apenas uma unica maquina

com pequena capacidade de armazenamento de dados. Pelo contrario, a possibilidade de evidencias

contudentes se expandiu para as redes de computadores interligadas, cada uma com grande po-

tencial de armazenamento contendo artefatos4 de relevancia jurıdica.

O primeiro fator de impedimento a ser considerado, associado a metodologia existente de

copia bit-stream, pode ser gaugado nas metricas tempo e recursos. Ambos os custos estao se

tornando imensuraveis em processos civis e criminais, exigindo muito das vıtimas e investiga-

dores afins. Isto decorre do fato de que o contexto no qual estamos aplicando nossas ferramentas

forenses e metodologias mudou.

A caracterıstica da metodologia apresentada neste trabalho e a filtragem e reducao da coleta

de dados na fase de aquisicao, ao inves do grosso recolhimento e filtragem de dados na fase de

exame. Com isso reduzimos o risco jurıdico e, consequentemente, o encargo economico.

4.2 METODOLOGIA TRADICIONAL DE COLETADE EVIDENCIAS - Bit-Stream Image

A natureza volatil das evidencias contidas em um disco ou em uma rede de computador e a

potencialidade natural de destruicao das mesmas no processo de analise, formam um argumento

convincente para os investigadores nao realizarem analises sobre a evidencia (mıdia) original

Essas variaveis tambem contribuem para apoiar a coleta de todas as informacoes sobre uma

determinada mıdia ou computador. Este contexto serviu de base para as atuais metodologias de

coleta das evidencias e sua posterior analise.

Um dos primeiros passos no procedimento tradicional de coleta de evidencias inclui cap-

turar a evidencia contida em um sistema computacional que encontra-se desligado (off-line)

e gerar uma imagem bit-a-bit (bit-stream image) de todo o disco original. Este processo de

imagem bit-stream envolve a copia de todos os dados do disco original, setor por setor, para

um disco de destino ou para um arquivo de imagem. Outras tecnicas recomendadas e aceitas,

tais como os bloqueadores de escrita (gravacao), auxiliam no processo de geracao de imagem

4De forma geral, artefato e qualquer informacao deixada por um invasor em um sistema comprometido. Podeser um programa ou script utilizado pelo invasor em atividades maliciosas, um conjunto de ferramentas usadas peloinvasor, logs ou arquivos deixados em um sistema comprometido, a saıda gerada pelas ferramentas do invasor, etc.

Page 46: TCC-CTAI - Marcelo Winter - Guilherme Mendes

45

bit-stream5

Paralelamente a criacao da imagem bit-stream, os valores de hash criptografico dos discos

de origem e destino sao criados para fins de verificacao de integridade. Neste ponto o investiga-

dor tem um disco com a imagem da evidencia, sobre a qual realiza analise, preservando assim

as provas da mıdia original, para o caso do investigador provocar danos ou alterar as provas ou

ainda ocorrer uma falha de software ou hardware.

4.2.1 Vantagens da imagem bit-stream

A metodologia que emprega a imagem bit-stream e bem compreendida por todos profissi-

onais da area de forense digital. Ela preve uma maneira dos investigadores repararem erros co-

metidos pelo proprio perito, pela ausencia de softwares de analise somente-leitura (read-only)

especializados e por falhas de hardware sem provocar a deterioracao das evidencias. Dessa

forma, reduz-se os riscos associados a manipulacao e, consequentemente, a modificacao da

evidencia digital, assegurando teoricamente, um ilimitado numero de copias do disco original a

fim de que a confiabilidade, verificabilidade e precisao possam ser garantidas.

A imagem bit-stream permite ao investigador, “congelar” toda a cena, uma vez que existe o

disco apreendido, para uma analise estatica. Esta metodologia compartimentaliza eficazmente

os processos de aquisicao e analise das evidencias digitais.

4.3 CUSTOS

Como ja visto, o tempo despendido para gerar uma imagem de disco e proporcional ao

tamanho do disco de destino. Traduzindo para o mundo real, o tempo medio para gerar uma

imagem de um disco com capacidade de armazenamento de 100 GB, padrao IDE e de aproxi-

madamente 4 horas.

Usuarios podem armazenar, em media, cerca de 6,5 milhoes de documentos do MS-Word

em um disco com 100 GB de armazenamento e mais de 1,5 milhoes de arquivos de imagens no

mesmo disco6 . O que essas estatısticas ilustram e a interacao entre os volumes crescentes de

dados e correspondentes requisitos forenses.

Contudo, enquanto o volume das evidencias e a complexidade dos exames tem aumentado,

5 O NIST Disk Imaging Tool Specification 3.1.6 descreve detalhes tecnicos dos processos de uso recomendadode imagem bit-stream para itens tais como bloqueio de escrita (write-blocking), recuperacao de erros e logging.

6 Para mais informacoes, consulte Lexis Nexis Applied Discovery Fact Sheet, 2004.

Page 47: TCC-CTAI - Marcelo Winter - Guilherme Mendes

46

o numero de pessoas qualificadas para a realizacao dos exames nao tem mantido o mesmo ritmo.

Assim, a evolucao dos contextos digitais demanda solucoes forense mais eficientes.

Alem do desafio do volume, os custos do recurso de imagem sao agravados pela sensibili-

dade do tempo de atendimento com o crescente uso de computadores nos negocios, em servicos

crıticos, em um ambiente corporativo. Os custos empresariais – perda da produtividade, perda

de receita e baixos custos associados com reputacao e confiabilidade – resultantes de um sis-

tema permanecer off-line para uma analise forense pos-mortem pode ser proibitivo. Em uma

recente queda dos servicos da cyber-livraria Amazon, que permaneceu indisponıvel por cerca

de 1h30min., a empresa deixou de faturar US$ 2,79 milhoes. Segundo a propria empresa, com

base no faturamento do trimestre anterior, no 90 minitus em que permaneceu fora do ar, o maior

portal de vendas via internet sofreu um prejuızo de US$ 31 mil por minuto7.

Do ponto de vista do investigador forense, as restricoes de tempo sao geradas pelos man-

dados de busca emitidos, os quais refletem a sensibilidade dos juızes frente as consequencias

da potencialidade perturbadora do atual processo de aquisicao. Do mesmo modo, os policiais

e os recursos do equipamento nao sao ilimitados. Em suma, a imagem bit-stream de mıdias de

plataformas inteiras pode e envolve os custos substanciais associados com a aquisicao, a analise

e o equipamento do investigador, assim como as despesas de negocio acima mencionadas.

Uma vez que a cena fısica foi processada e as mıdias de evidencia digital foram identificadas

(isto e, computador pessoal, servidor ou mıdia removıvel), o investigador e confrontado com as

seguintes tarefas:

1. Realizar o procedimento padrao de um local de crime incluindo fotografias, medidas

emergenciais, etc.

2. Inicia a cadeia de custodia para todos os itens que forem coletados.

3. Embalar e etiquetar toda mıdia solta de maneira que suporte a cadeia de custodia, como

o uso de sacos inviolaveis e fitas adesivas.

4. Coletar os dados volateis como a data e hora do sistema, a memoria fısica e os processos

que estao rodando. Isto deve ser coletado antes do processo de imagem da maneira menos

intrusiva possıvel.

5. Identificar sistemas com discos rıgidos para apreensao e determinar o metodo de coleta.

7Em http://g1.globo.com/Noticias/Tecnologia/0,,MUL592388-6174,00-FORA+DO+AR+AMAZON+SOFRE+PREJUIZO+ESTIMADO+EM+US+MIL+POR+MINUTO.html acessado em 27.12.2008.

Page 48: TCC-CTAI - Marcelo Winter - Guilherme Mendes

47

Neste passo, e preferıvel retirar o equipamento da tomada e conduzir o processo de bit-

stream no laboratorio porem, nem sempre e possıvel.

6. Embalar e etiquetar o disco com a imagem e o disco original (se for permitido) de modo

que suporte a cadeia de custodia, como o uso de sacos inviolaveis e fitas adesivas. Embora

a capacidade de realizar a copia bit-stream no local da busca exista, nem sempre e pratico

pois, conforme ja descrito, este processo pode levar muitas horas para ser concluıdo.

7. Transportar todo material apreendido para o laboratorio para o prosseguimento do caso e

subsequente imagem de algum disco original que nao tenha sido realizada no local.

8. Iniciar a analise do caso e a producao de todas as fases restantes do procedimento forense.

Como citado anteriormente, as metodologias utilizadas para a busca e apreensao de com-

ponentes do processo de forense digital pode ser morosa e, em alguns casos, apresentar custos

proibitivos.

Page 49: TCC-CTAI - Marcelo Winter - Guilherme Mendes

48

5 METODOLOGIA PROPOSTA

A abordagem deste trabalho inova ao apresentar procedimento a sabedoria tradicional da

computacao forense, que conta com metodos muito conservadores, indo desde a acao de des-

ligar o computador ate a duplicacao pericial. Tais tecnicas – analises Post-Mortem - permitem

somente um entendimento limitado sobre a situacao do computador ou dispositivo analisado.

Nao permitindo o levantamento de informacoes uteis como processos em execucao e kernels,

estado da rede, dados da RAM e muito mais.

Muitas vezes, fatores como a volatilidade ou o volume de dados, as restricoes impostas pela

autoridade legal, ou o uso de criptografia pode ditar a necessidade de capturar dados de sistemas

de energia sem interrupcao do ciclo.

5.1 DESCREVENDO A METODOLOGIA

Partindo do princıpio de que a forense computacional nao deve estar baseada em alguma

ferramenta, tecnologia ou fragmento de software. O uso de ferramentas exatas, aplicacoes, etc.

sao irrelevantes, o importante e que os princıpios da criminalıstica devem ser metodicos e preci-

sos, garantindo a autenticidade das provas, a manutencao da cadeia de custodia e possibilitando

minimizar a contaminacao da evidencia.

Um investigador forense utiliza diversas ferramentas, tantas quantas forem necessarias;

as ferramentas nao definem a disciplina.

Embora artefatos de interesse possam ser identificados e extraıdos de um sistema desligado

(post-mortem), uma das maiores vantagens da metodologia proposta e a sua capacidade de

permitir a identificacao de evidencias em sistemas “In Vivo” (live-systems) e a extracao seletiva

simultaneamente enquanto o sistema original continua em operacao normal. Esta metodologia

envolve uma pre-aquisicao da evidencia, pesquisa e filtragem para minimizar os efeitos da coleta

de dados irrelevantes, o que acontece no modo de bit-stream tradicional, onde ocorre uma pos

aquisicao no laboratorio durante a fase de exame.

Page 50: TCC-CTAI - Marcelo Winter - Guilherme Mendes

49

Na otimizacao da metodologia de aquisicao de evidencias digitais, isto e, dados de siste-

mas informaticos, atraves do modo Live Acquisiton, a principal preocupacao e a capacidade de

capturar e gravar dados em um formato utilizavel, obedecendo os princıpios da Ciencia Forense

concatenados com fatores da Seguranca da Informacao, proporcionando a evidenca colhida a

autenticidade, integridade e a confidencialidade, esta ultima garantindo que a prova pericial sera

analisada somente por quem de direito.

O conceito de confidencialidade esta estritamente ligado a confianca da discricao e leal-

dade de alguem (Dicionario Aurelio Eletronico), contudo, em termos de informacao eletronica,

se trata de afirmar que dados eletronicos so estarao disponıveis para pessoas previamente auto-

rizadas pelo sistema.

O termo integridade conceitua a qualidade daquilo que e ıntegro, nos traz a mente a ideia

de inteireza, e, considerando os sistemas computadorizados, e o termo que designa a seguranca

de que o documento eletronico nao foi de qualquer forma manipulado, sendo em todo ou em

parte destruıdo ou corrompido.

Por ultimo, o termo disponibilidade designa um funcionamento e desempenho eficiente do

sistema, de forma que esse se encontrara apto ao fornecimento de informacoes sempre que se

fizer necessario.

Esta metodologia apresenta duas caracterısticas principais: (1) pesquisa “In Vivo” e identi-

ficacao simultanea de evidencias, e (2) extracao seletiva de evidencias a baixo nıvel a partir da

mıdia digital.

As exigencias iniciais da metodologia estao focadas sobre o modo em que a coleta dos

dados relacionados e feita, como e garantida a conexao e de como os dados sao lidos, copiados

e interpretados.

1. Conexao com os dados: e um princıpio bem aceito dentro da comunidade de computacao

forense que, no intuito de garantir a integridade probatoria, o software nao deve ser ins-

talado sobre o sistema analisado. Da mesma forma, este princıpio serve como utilitario

para a area de T.I. atingir as metas de minimizacao das intrusoes e dos conflitos de desem-

penho. Para cumprir este objetivo, o sugerido e que esta conexao seja feita nos moldes

de um agente cliente-servidor executando na memoria apenas. O agente cliente-servidor

pode ser iniciado a partir de uma mıdia com as caracterısticas de apenas leitura (read-

only), como um CD-ROM, disquete protegido contra escrita ou um Pendrive USB.

2. Integridade dos dados: a integridade dos dados vai de mao dada com a coleta de

evidencias dada as exigencias probatorias de confiabilidade, integridade, precisao e veri-

Page 51: TCC-CTAI - Marcelo Winter - Guilherme Mendes

50

ficabilidade. O entendimento deste componente da integridade dos dados e essencial por

duas razoes: (1) que da o investigador ou perito uma compreensao do ambiente nativo

onde a evidencia foi adquirida, proporcionando assim um contexto relevante e confiavel

para as funcoes de analise; e (2), que prepara o investigador para implantar as ferramen-

tas adequadas para garantir a seguranca e a integridade dos dados durante o recebimento

da evidencia. A integridade dos dados consiste em medidas que devem ser implementa-

das pelo investigador durante o processo de coleta de modo a nao introduzir quaisquer

variacoes de confiabilidade em um evidencia (integralidade, exatidao e/ou verificabili-

dade). Os requisitos tecnicos para estas medidas concentram-se sobre os instrumentos e

tecnicas utilizadas pelo pesquisador. A postura de seguranca dos dados do ambiente em

que a evidencia esta sendo coletada, deve ser entendida pelo perito no que se refere a

importancia da evidencia. Os fatores que o perito deve considerar incluem:

(a) Medidas de protecao logica dos dados provenientes do Sistema Operacional da

maquina (Anti-virus, IDS, ACLs);

(b) Medidas de protecao logica dos dados provenientes dos equipamentos de rede (ACLs,

Firewall, NID);

(c) Medidas de protecao fısica dos dados provenientes dos dispositivos locais (Controle

de acesso fısico - seguranca do local de crime e ao proprio disco ou mıdia).

Se um investigador esta executando um agente em um sistema “ao vivo” e possıvel que

esse sistema possa estar comprometido por um rootkit ou o outro codigo malicioso que

funciona na memoria, escondendo assim a evidencia que se busca. Um modo eficaz para

evitar um comprometimento com tal ameaca e executando comandos lidos no setor, con-

tornando assim o pedido padrao de E/S do arquivo, que e a estrategia normal empregada

por rootkits.

3. Representacao dos dados: considerando a aplicacao “rodando” em um sistema que nao

o do equipamento periciado (toolkits em um cd-rom, por exemplo) buscando evidencias

“In Vivo” (live-search), a representacao de todos os dados extraıdos, incluindo ındices,

deve ser autenticada utilizando-se hashes criptograficos como o MD5 ou SHA1 e ca-

rimbos digitas de tempo. A extracao seletiva da evidencia nao pode ocorrer ate que o

investigador identifique a evidencia com base nos resultados das pesquisas por palavras-

chave, comparacao de hashes ou inspecao visual. Uma vez que a decisao para a extracao

da evidencia foi tomada e as evidencias estao identificadas como descrito acima, ocorrera

a extracao seletiva.

Page 52: TCC-CTAI - Marcelo Winter - Guilherme Mendes

51

Segundo Farmer (2007), na maioria das vezes mais de 90% dos arquivos de um computador

nao foram utilizados no ultimo ano. Isto que dizer que a maioria das atividades acessa os

mesmos dados, programas e outros recursos repetidamente.

Conforme o Sistema continua tratando os mesmos arquivos repetidamente, ele esta, literal-

mente, repisando suas proprias pegadas, portanto, vestıgios das operacoes anteriores sao perdi-

das pois sao substituıdas pelos vestıgios de operacoes mais recentes.

Por essa razao, vestıgios de atividades incomuns nao apenas se destacam mas tambem sao

percebidos por um longo perıodo de tempo haja vista que a maioria das informacoes em um

sistema e raramente tocada.

Dentro do campo de crime digital e analise forense, “normas” equivalentes provem de di-

versas fontes internacionais governamentais ou nao, algumas ja citadas:

• Department of Justice – DoJ;

• National Institute of Justice – NIJ;

• Scientific Working Group on Digital Evidence – SWGDE;

• High Technology Crime Investigation Association – HTCIA;

• National White Collar Crime Center – NW3C;

• Royal Canadian Mounted Police – RCMP;

• US Secret Service;

• Interpol;

• Scotland Yard;

• Department of Defense – DoD;

• Government Communications Headquarters - GCHQ.

O Instituto Nacional de Justica (NIJ), do Departamento de Justica Norte-Americano (DoJ)

apresentou na primeira edicao do Manual de Investigacao de Cena de Crimes Eletronicos, uma

tabela que define o escopo dos exames em computadores, apontando os itens comuns de busca,

relacionados com a categoria de crimes conforme pode ser verificado nas figuras 5.1, 5.2 e 5.3.

Diante de tal apresentacao, os artefatos comuns de busca de evidencias digitais, apresenta-

dos pelo NIJ/US-DoJ, vem reforcar o trabalho apresentado, onde a busca seletiva e extracao com

Page 53: TCC-CTAI - Marcelo Winter - Guilherme Mendes

52

Figura 5.1: (Common findings of a forensic examination as they relate to specific crime catego-ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition)

Page 54: TCC-CTAI - Marcelo Winter - Guilherme Mendes

53

Figura 5.2: (Common findings of a forensic examination as they relate to specific crime catego-ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition - cont.)

Page 55: TCC-CTAI - Marcelo Winter - Guilherme Mendes

54

Figura 5.3: (Common findings of a forensic examination as they relate to specific crime catego-ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition - cont.)

Page 56: TCC-CTAI - Marcelo Winter - Guilherme Mendes

55

Figura 5.4: (Modelagem da metodologia proposta)

o Sistema operando “In Vivo”, utilizando procedimentos validos e confiaveis de modo a tornar

as evidencias digitas em provas legalmente defensaveis, pode ser representada pelo processo

descrito na figura 5.4.

Observando o processo, apos a identificacao do ilıcito, atraves de procedimento investiga-

tivo comum, estabelecemos a conexao com os dados no modo read-only conforme ja descrito

anteriormente. Inicia-se entao a pesquisa e filtragem dos dados, tomando por referencia as tabe-

las descritas nas figuras 5.1 a 5.2. Nesta fase o foco principal, que difere um analista forense de

um mero usuario do sistema, e a utilizacao de ferramentas que garantam a integridade do dados.

Na fase de representacao dos dados, procedemos com a aquisicao e a autenticacao do artefato

forense, iniciando nesta fase a Cadeia de Custodia1. A ultima fase da metodologia proposta

trata da emissao do Termo de Copiagem de Evidencia Digital que resume-se em documento

impresso para fins de constatacao nos autos judiciais, onde apresenta-se a relacao de evidencias

adquiridas no modo Live-Acquisiton com seus respectivos hashes criptograficos, bem como

informacoes relevantes para a elaboracao do Laudo Pericial como por exemplo: Informacoes

do usuario do sistema, informacoes de hardware, etc.

5.2 BENEFICIOS ECONOMICOS

A abordagem sugerida e projetada para ser mais sensıveis em termos de custos em virtude

da reducao no tempo e dos recursos necessarios tanto para investigadores forenses, bem como

para os detentores dos dados. O tempo de geracao de imagem e, subsequente tempo de analise

pode ser demasiadamente reduzido pela minimizacao da coleta de dados irrelevantes que nor-

malmente esta “diluıdo” no corpo dos dados recolhidos atraves da metodologia de bit-stream, e

que acabam sendo filtrados somente durante a fase de exame.

Correspondentemente, o espaco requerido para o armazenamento das evidencias pode ser

bastante reduzido, facilitando assim, os custos de demanda de hardware. O impacto dos en-

1A Cadeia de Custodia e um processo usado para manter e documentar a historia cronologica da evidencia,para garantir a idoneidade e o rastreamento das evidencias utilizadas em processos judiciais.

Page 57: TCC-CTAI - Marcelo Winter - Guilherme Mendes

56

volvidos (vıtimas, proprietarios, etc) pode ser diminuıdo pela minimizacao da inatividade do

sistema se comparado com a atual abordagem de imagem off-line, resultando em diminuicao

das receitas das empresas perturbacoes e perda, bem como a reducao no tempo de elaboracao

dos laudos periciais.

5.3 AVALIACAO LEGAL

Nao existem normas especıficas que regem a forense computacional no Brasil, o perito

segue a risca as normas contidas no Codigo de Processo Penal (Lei 3.689/41) e no Codigo de

Processo Civil (Lei 5.869/73), normas estas que abrangem todos os tipos de perıcias. Abaixo foi

extraıdo do Codigo Processo Penal um trecho que pode ser adotado no ambito computacional.

Art. 170. Nas perıcias de laboratorio, os peritos guardarao material sufici-ente para a eventualidade de nova perıcia. Sempre que conveniente, os laudosserao ilustrados com provas fotograficas, ou microfotograficas, desenhos ouesquemas.Art. 171. Nos crimes cometidos com destruicao ou rompimento de obstaculoa substracao da coisa, ou por meio de escalada, os peritos, alem de descreveros vestıgios, indicarao com que instrumentos, por que meios e em que epocapresumem ter sido o fato praticado.

Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletronica

enquanto nao se tem uma padronizacao das metodologias de analise forense.

Pode-se analisar tambem o Codigo de Processo Civil, onde existem paragrafos que tratam

das provas e regem a perıcia em geral (Artigos 420 a 439).

Art. 332 - Todos os meios legais, bem como os moralmente legıtimos, aindaque nao especificados neste Codigo, sao habeis para provar a verdade dos fatos,em que se funda a acao ou a defesa.Art. 429. Para o desempenho de sua funcao, podem o perito e os assisten-tes tecnicos utilizar-se de todos os meios necessarios, ouvindo testemunhas,obtendo informacoes, solicitando documentos que estejam em poder de parteou em reparticoes publicas, bem como instruir o laudo com plantas, desenhos,fotografias e outras quaisquer pecas.

Este artigo da o referido suporte para apreender equipamentos caso necessarios para efetuar

perıcias no ambiente computacional.

Existe a necessidade de se documentar quais as ferramentas de software utilizadas para se

fazer a analise, bem como a possıvel identificacao de uma linha de tempo, que pode vir a ser

conseguida atraves da analise dos MAC times.

Page 58: TCC-CTAI - Marcelo Winter - Guilherme Mendes

57

Alem destas leis, que prove ao Perito, o amparo legal para efetuar seus servicos de perıcia,

algumas normas brasileiras e internacionais, indicam as melhores praticas para o servico do

perito.

A Associacao Brasileira de Normas Tecnicas (ABNT), em sua edicao da Norma NBRISO/IEC27001,

que trata de Tecnologia da informacao - Tecnicas de seguranca - Sistemas de gestao de seguranca

da informacao e Requisitos, no subitem 13.2.3, discorre sobre a coleta de evidencias:

“Em geral, as normas para evidencia abrangem: a) Admissibilidade da evidencia:se a evidencia pode ser ou nao utilizada na corte; b) Importancia da evidencia:qualidade e inteireza da evidencia.”“(...) b) para informacao em mıdia eletronica: convem que imagens espelho oucopias (dependendo de requisitos aplicaveis) de quaisquer mıdias removıveis,discos rıgidos ou em memorias sejam providenciadas para assegurar disponibi-lidade; convem que o registro de todas as acoes tomadas durante o processo decopia seja guardado e que o processo seja testemunhado; convem que a mıdiaoriginal que contem a informacao e o registro (ou, caso isso nao seja possıvel,pelo menos uma imagem espelho ou copia) seja mantido de fora segura e in-tocavel.

No ambito Internacional, a polıcia federal norte americana, FBI (Federal Bureau of Inves-

tigation ) recomenda que:

“O Regulamento Federal de Evidencias 16 (FRE) abrange a duplicacao deevidencias digitais e sua autenticacao. Para a admissibilidade, em tribunal,as provas devem possuir uma cadeia de custodia, para demonstrar que naoocorreu contaminacao involuntaria ou proposital. Preservando a evidencia afim de garantir sua integridade, e prova irrefutavel para o Tribunal considerarsua originalidade.”

A RFC 3227 (IETF), que trata das Recomendacoes para Coleta e Armazenagem de Evidencias

Digitais, traz o seguinte:

“Minimize as alteracoes nos dados que estao sendo coletados. Isto nao selimita a modificacoes no conteudo, deve-se evitar a atualizacao do arquivo ouo acesso ao diretorio.”“Os metodos usados para coletar evidencias devem ser transparentes e repro-dutıveis. Voce deve estar preparado para reproduzir com precisao os metodosutilizados, e esses metodos deve, ser testados por peritos independents.”

Ainda, o CERT (Computer Emergency Response Team), no relatorio “Computacao Fo-

rense: Resultados do Inquerito de Resposta “In Vivo “versus Analise da Imagem da Memoria”

apresenta tambem um metodo (figura 5.3) que media a abordagem de Resposta a Incidentes

e a abordagem Criminalıstica Tradicional e que mostra a tendencia dos Grupos de Resposta a

Incidentes para a adocao de metodologia semelhante a proposta neste trabalho.

Page 59: TCC-CTAI - Marcelo Winter - Guilherme Mendes

58

Figura 5.5: Referencia a abordagem hıbrida - CERT

Alem de toda disposicao legal, seja brasileira ou internacional, apresentada acima, nao

podemos deixar de citar tambem o Princıpio da Razoabilidade.

Razoavel, de uma forma geral, significa prudencia, ponderacao, sapiencia, tolerancia, moderacao.

O Princıpio da Razoabilidade conduz as ideias de adequacao e de necessidade. Diz respeito

a tudo que seja adequado, idoneo, aceitavel, relativo a tudo que nao seja absurdo, ou seja, aquilo

que seja admissıvel. Dessa forma, nao basta que uma determinada atitude tenha uma finalidade

legıtima, porem e preciso que os meios empregados sejam adequados a consecucao do obje-

tivo desejado e que sua utilizacao, principalmente quando se trata de direitos fundamentais, no

ambito de medidas restritivas ou punitivas, seja realmente necessaria.

Partindo-se da questao: “Sera que nao haveria um meio menos gravoso e igualmente efi-

caz?” - e que justifica-se a proposicao da metodologia de Live Acquisition onde, conhecendo

de ante-mao o delito e, com base nas tabelas compiladas pelo NIJ/DoJ, faz-se a busca de apre-

ensao pontual de evidencias, sem os transtornos e encargos que envolvem a atual metodologia

de analise Post-Mortem.

Page 60: TCC-CTAI - Marcelo Winter - Guilherme Mendes

59

5.3.1 A confiabilidade da Metodologia Proposta

O publico de profissionais conservadores pode alegar que as implicacoes para a autentici-

dade ou confiabilidade - precisao, integridade e verificabilidade - tornam esta abordagem inade-

quada. Em outras palavras, uma objecao legal antecipada desta metodologia, e que a mesma nao

fornece resultados completos, passıveis de verificacao, e/ou exatos, gerando com isso, duvidas

quanto a autenticidade ou a confiabilidade e ameacando a admissibilidade da evidencia num

procedimento jurıdico.

Antes da evidencia ser admitida, ela deve estar em conformidade com os padroes de auten-

ticidade. A autenticidade requer que o responsavel pela coleta da evidencia demonstre que os

dados recolhidos e oferecidos como evidencia por este metodo, sao o que ela pretende ser.

Lembramos que a metodologia tradicional e baseada em um fluxo de trabalho off-line que

esta estatico e relativamente indiscriminado: coletando um arquivo de imagem bit-stream de

um disco rıgido (HD), pesquisando o arquivo de imagem, filtrando dados probantes, e extrair

alguns artefatos para a apresentacao como evidencia.

Crıticos da metodologia sugerida defendem que nessa pesquisa dinamica e seletiva, a co-

leta e extracao do corpus digital torna-se incompleta, inadequada, e com evidencias de difıcil

verificacao . Por exemplo, a imagens “ao vivo” do sistema nao podem ser verificadas comparando-

as com a sua fonte digital ou mıdia de origem, porque toda a cena digital nao e “congelada”

e necessariamente ira mudar como um resultado natural do funcionamento do sistema ope-

racional, e, uma analise subsequente dos dados nao adquiridos na filtragem inicial nao sera

possıvel, afetando assim, possivelmente, a precisao das conclusoes tiradas. Considerando do

ponto de vista da metodologia tradicional, em outras palavras, o disco original nunca deve ser

comparado com a copia (imagem) forense como garantia que uma copia exata do original foi

apreendida. A pratica inferencia e que este processo pode se tornar tendencioso, resultando na

exclusao de evidencia ilibada e duvida sobre a sua autenticidade.

5.3.2 Requisitos Autenticidade e Confiabilidade

Muitos podem argumentar que a autenticidade sob a metodologia sugerida e duvidosa. No

entanto, a norma para autenticacao e que ha uma ”razoavel probabilidade de que a prova e o

que pretende ser ”.

Defensores do metodo de aquisicaobit-stream, podem questionar a autenticidade alegando

que os dados digitais poderiam ter sido alteradas apos terem sido coletados. Este argumento

Page 61: TCC-CTAI - Marcelo Winter - Guilherme Mendes

60

enfatiza a facilidade com que os registros podem ser alterados sem visıvel deteccao. Este argu-

mento nao e diferente do qual a metodologia tradicional e pressionada contrariamente.

Alem disso, o metodo apresentado envolve a utilizacao de tecnicas de validacao digital

(hash) que tambem e marca da metodologia tradicional e que tem sido validadas por tribunais

como suficiente para provar a integridade dos dados digitais.

Segundo o Scientific Working Group on Digitall Evidence (SWGDE) e a International

Organization on Digital Evidence (IOCE), a evidencia digital deve estar em consonancia com

os seguintes princıpios:

• As acoes tomadas durante o exame pericial nao devem alterar as evidencias;

• A cadeia de custodia das evidencias deve ser montada, relatando o nome da pessoa que

esta de posse da evidencia, data, hora e atividades executadas;

• Todas as atividades relacionadas com a coleta, acesso, armazenamento ou transferencia

da evidencia digital devem ser documentadas;

• As copias devem ser autenticadas por meio de assinaturas criptograficas;

• Jamais se deve confiar no sistema analisado; e

• Para geracao das copias, as mıdias deverao estar devidamente saneadas (wipe2)

Ainda, em SWGDE - Best Practices for Computer Forensics Version 2.1 (2006) quando

trata da apreencao da evidencia, em suas recomendacoes gerais, afirma:

“. . . quando e inviavel a remocao da evidencia da cena, os itens da evidenciadevem ser copiados ou ser feita a imagem forense de acordo com procedimen-tos locais.”

Em nossa Legislacao constatamos, no anteprojeto de reforma do Codigo Penal, a nova

definicao de documento para fins penais, conforme preceitua o Art 303, do Capitulo IV, sob o

tıtulo Disposicoes Gerais, corroborando assim a tese de aceitacao do documento ou evidencia

eletronica:2Normalmente quando deletamos um arquivo em sistemas computacionais, eles nao sao totalmente apagados.

O que acontece e que retiramos apenas o “link” para o arquivo, de modo que alguns campos sao setados parazero como o “link count” e “delete time”. A metodologia WIPE se baseia neste conceito de que o arquivo naoe fisicamente apagado do disco, de modo que, para dificultar a analise forense, o arquivo especificado e aberto esobrescrito varias vezes com conteudo pseudo-randomico. E conhecido como uma forma de delecao segura.

Page 62: TCC-CTAI - Marcelo Winter - Guilherme Mendes

61

“Art. 303. Considera-se documento a declaracao escrita, de autoria identi-ficavel, idonea, a provar fato juridicamente relevante.”Documento por equiparacao§1o Equipara-se a documento o impresso, a copia ou reproducao de docu-mento, devidamente autenticados por pessoa ou processo mecanico legalmenteautorizado, bem como o dado, instrucao ou programa de computador constan-tes de processamento ou comunicacao de dados de qualquer suporte fısico.§2o Equipara-se a documento publico o emanado de entidade autarquica ou defundacao instituıda pelo poder publico.”

O conceito tradicional de documento, tambem aceito para fins penais, e o de uma represen-

tacao exterior de um fato. Esta representacao e feita em um meio acessıvel ao conhecimento

humano, deixando assim de qualquer forma registrada a ocorrencia fatica para eventual prova

futura. Outra caracterıstica apontada pela doutrina quanto ao documento eletronico e a ine-

xistencia de original. E o que nos esclarece Marcacini (2001):

“Estes conceitos, de documento original, ou de vias de um mesmo documento,sao inexistentes no meio eletronico. O documento eletronico e a sequencia debits e, onde quer que esteja gravado, em qualquer quantidade de copias, masdesde que esteja reproduzida exatamente a mesma sequencia, teremos sempreo mesmo documento. Dado o fato de que o documento eletronico pode sercopiado infinitas vezes, mantendo-se exatamente igual a matriz, e impossıvelfalar-se em original, em copia, ou em numero de vias do documento eletronicotera sempre as mesmas caracterısticas do original e, por isso, deve ser assimconsiderada. E o caso ate de dizermos que nao existe um original e nao exis-tem copias nem vias do documento eletronico, enquanto ele for mantido nestaforma. “

Page 63: TCC-CTAI - Marcelo Winter - Guilherme Mendes

62

6 CONCLUSAO

Embora a metodologia proposta e a atual (bit-stream) parecam contraditorias, ambas de-

rivam do mesmo principio basico, que e o fator probante. Diferencas significativas incluem

a quantidade global de dados inicialmente recolhidos, bem como a divisao da metodologia

de pesquisa envolvendo os dois, aquisicao e identificacao, pre e pos, das provas com base

em determinacoes relevantes. O processo apresentado nao deve ser julgado pelas relativas

diferencas, quantitativas, entre as duas metodologias. No entanto, a integralidade deve con-

tinuar a ser medida pelas normas jurıdicas da razoabilidade e pertinencia.

A vantagem de recolher “tudo” e que a busca de evidencias relevantes pode ser prolongada

e alargada ou revista conforme preceitua o processo legal. No entanto, os custos associados

a aquisicao de “todos os dados”, em comparacao com os custos de tomar uma abordagem

conforme a presente metodologia.

Nao sugerimos uma abdicacao da metodologia de copia bit-a-bit em contextos em que a

analise custo-benefıcio sugere que e razoavel aderir a esta abordagem tradicional. Por exemplo,

quando um mandado de busca e apreensao, estabelece que o computador e um “instrumento”

ou ”fruto do crime”, entao a apreensao e conservacao de toda a maquina e aconselhavel, porque

o computador, por si so se torna prova da conduta criminosa.

Entendemos que o investigador forense deve fazer a identificacao e aquisicao da prova em

tempo real e tomar decisoes baseadas em recursos praticos no contexto do crime.

Esta realidade esta se tornando mais favoravel na forense digital, quando uma enxurrada

de artefatos digitais esta indiscriminadamente impedindo a apreensao dos “conglomerados”

digital.

O desafio da adocao desta metodologia se encontra em ganhar aceitacao geral a partir da

comunidade forense, o que implicara em desenvolvimento de ferramentas e de treinamentos de

investigadores a fim de que permitam identificar e recolher os dados digitais reduzindo o risco

de equıvocos ou acidentes.

Page 64: TCC-CTAI - Marcelo Winter - Guilherme Mendes

63

Esta aceitacao, deve ser formalizada por endosso a partir de organismos competentes no

ambito da comunidade de forense digital

Na medida em que a metodologia de coleta evolui, mais modelos granulares descrevendo

implementacoes tecnicas sao necessarias.

A identificacao obrigatoria e suporte ao contexto comum de busca e apreensao de artefatos

digitais e um esforco que exige mais investigacao e controle dos processos. Subsequentes de-

senvolvimentos e avaliacoes destes modelos devem ser incentivados pela comunidade forense

digital.

Ferramentas e tecnicas estao evoluindo com as pressoes relativas ao meio forense a fim

de oferecer a capacidade para a conducao da metodologia de coleta seletiva de evidencias “in

Vivo”.

Finalizando, assim como uma ferramenta (software) nao faz o exame completo em um

computador, utilizar-se de apenas um modelo de processo forense tambem e limitante.

Investigadores de forense digital precisam de um repertorio de ferramentas tao importante

quanto um repertorio de abordagens de investigacao e exames. A metodologia de coleta seletiva

de evidencias “in Vivo” nao e nem tampouco pretende ser a unica ou ultima solucao para todos

os casos. Ela propunha uma alternativa, economicamente viavel e, eficazmente mais rapida de

aquisicao, autenticacao, analise e reporte de uma evidencia digital.

Page 65: TCC-CTAI - Marcelo Winter - Guilherme Mendes

64

Referencias Bibliograficas

HOUCK, Max M. Forensic Science: modern methods of solving crime. 1 ed. USA. Praeger.2007.

MARCACINI, Augusto Tavares Rosa. ”O documentos eletronico como meio de prova”.Revista Eletronica Avocati Locus, secao Artigos & Doutrina, http://www.advogado.com.br,18/07/2001, acessado em 13/05/2009.

ZARZUELA, Jose Lopes; MATUGANA, Minoru; THOMAZ, Pedro Lourenco. LaudoPericial: aspectos tecnicos e jurıdicos. 1 ed. Revista dos Tribunais. Sao Paulo. 2000.

CALAZANS, Carlos Henrique; CALAZANS, Sandra Maria. Ciencia Forense: das Origensa Ciencia Forense Computacional. 2005. Artigo. Escola Politecnica. Universidade de SaoPaulo. Sao Paulo. 2005.

CHISUM, Jerry W.; TURVEY, Brent E..Evidence Dynamics: Locard’s Exchange Principle& Crime Reconstruction. 2000. Artigo. Journal of Behavioral Profiling. Vol. 1. No. 1. 2000.

FERREIRA, Aurelio Buarque de Holanda. Aurelio - o Dicionario da Lıngua Portuguesa. 2ed. Positivo Editora. Sao Paulo. 2004.

SEMOLA, Marcos. Primeiro contato com a Ciencia Forense. Coluna Firewall. RevistaIDGNow. Junho. 2007

INSTITUTO DE CRIMINALISTICA DO ESTADO DO PARANA. Disponıvel em ¡http://www.ic.pr.gov.br/¿ . Acesso em 20 ago. 2008.

ARAS, Vladimir. Crimes de Informatica. Uma nova criminalidade. Artigo. Disponıvel em¡http://www.informatica-juridica.com/trabajos/artigo crimesinformticos.asp¿. Acesso em 22ago. 2008.

NG, Reynaldo. Forense Computacional Corporativa. 1 ed. Brasport. Rio de Janeiro. 2007.

FARMER, Dan; VENEMA, Wietse; traducao Edson Furmankiewicz, Carlos Schafranski.Pericia forense computacional. 1 ed. Pearson Prentice Hall. Sao Paulo. 2007

TOTAL SECURITY – O SEU PORTAL DE SEGURANCA. Disponıvel em ¡http://www.totalsecurity.com.br/article.php?op=Print&sid=925¿ . Acesso em 03 set.2008.

GUIMARAES, Celio Cardoso; OLIVEIRA, Flavio de Souza; REIS, Marcelo Abdalla dos;GEUS, Paulo Lıcio de. Forense Computacional: Aspectos Legais e Padronizacao. Artigo.Universidade Estadual de Campinas. 2001.

Page 66: TCC-CTAI - Marcelo Winter - Guilherme Mendes

65

NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.. Recovering andExamining Computer Forensic Evidence. Forensic Sciense Communications. Vol. 2. No. 4.Outubro de 2000.

PIRES, Paulo S. Da Motta. FORENSE COMPUTACIONAL: UMA PROPOSTA DEENSINO. Artigo. Universidade Federal do Rio Grande do Norte. 2006.

QUINTELA, Victor Manoel Dias de Oliveira; et al. TRATADO DE PERICIASCRIMINALISTICAS. 1 ed. Sagra-DC Luzzatto. Porto Alegre.1995.

DOS REIS, Marcelo Abdalla; DE GEUS, Paulo Licio. Analise Forense de Intrusoes emSistemas Computacionais: Tecnicas, Procedimentos e Ferramentas. Artigo. UniversidadeEstadual de Campinas. 2002.

MOZAYANI, Ashraf; NOZIGLIA, Carla. The Forensic Laboratory Handbook – Proceduresand Practice. 1 ed. Humana Press. New Jersey. 2006.

FREITAS, Andrey Rodrigues de. Pericia forense aplicada a Informatica: ambienteMicrosoft. 1 ed.. Brasport. Rio de Janeiro. 2006.

COSTA, Marcelo Antonio Sampaio Lemos. Computacao Forense. 2 ed. Editora Millenium.Campinas, SP. 2003.

ROBINSON, James K. Internet as the scene of crime. Disponıvel emhttp://www.usdoj.gov/criminal/cybercrime/roboslo.htm. Acesso em 22 de agosto de2008.

CARVALHO, Daniel Baparda de. Criptografia: Metodos e Algoritmos. 1 ed. Book Express.Rio de Janeiro. 2000.

DAVIS, Chris; COWEN, David; PHILIPP, AARON. HACKING EXPOSED – COMPUTERFORENSICS – SECRETS & SOLUTIONS. 1 ed. McGraw-Hill/Osborne. California, USA.2005.

CASEY, Eoghan. Handbook of Computer Crime Investigation – Forensic Tools andTechnology 2 ed. Academic Press. California, USA. 2003.

ROSA, Fabrızio. Crimes de Informatica. 2 ed. BookSeller. Campinas, SP. 2006.

DA SILVA, Rita de Cassia Lopes. Direito Penal e Sistema Informatico. 1 ed. Revista dosTribunais. Sao Paulo, SP. 2003.

DE CASTRO, Carla Rodrigues Araujo. Crimes de Informatica e seus Aspectos Processuais.1 ed. Lumen Juris. Rio de Janeiro, RJ. 2001.

SIEBER, Ulrich. Computer crime and criminal information Law: new trends inthe international risk and information society. Disponıvel em http://www.jura.uni-wuerzburg.de/sieber/mitis/ComCriCriInf.htm Acesso em 15 mar 2009.

PLANTULLO, Vicente Lentini. ESTELIONATO ELETRONICO. 1 ed. Editora Jurua.Curitiba, PR. 2003.

KENNEALY, Erin E.; Brown, Christopher L.T. Risk sensitive digital evidence collection.Artigo. Digital Investigation Journal. Elsevier. Vol 2. 2005.

Page 67: TCC-CTAI - Marcelo Winter - Guilherme Mendes

66

GRECO FILHO, Vicente. “Algumas observacoes sobre o direito penal e a Internet. BoletimIBCCRIM, edicao especial. Ano 08, n. 95, outubro 2000.

ROSSINI, Augusto. Informatica, Telematica e Direito Penal. 1 ed. Memoria Jurıdica. SaoPaulo, SP. 2004.

McNAMARA, Joel. Secrets of Computer Espionage. 2 ed. Wiley Publishing. Indiana, USA.2003.

LIMA, Paulo Marco Ferreira. Crimes de Computador e Seguranca Computacional. 1 ed.Editora Millenium. Campina, SP. 2005.

SHINDER, D. L., Scene of the Cybercrime – Computer Forensics Handbook. Syngress,USA, 2002.

IEONG, Ricci S.C., FORZA – Digital forensics investigation framework that incorporatelegal issues. Elsevier Journal, disponıvel em ¡http://www.sciencedirect.com/¿

Middleton, Bruce. Cyber Crime Investigator’s Field Guide. CRC Press, Florida, USA, 2002.

U.S. DoJ, National Institute of Justice. Forensic Examination of Digital Evidence: AGuide for Law Enforcement. NCJ 199408, Abril de 2004.

U.S. DoJ, National Institute of Justice. Eletronic Crime Scene Investigation: A Guidefor First Responders. NCJ 187736, Julho de 2001.

Association of Chief Police Officers’ (ACPO). Good Practice Guide for Computer-Based Electronic Evidence. 4a Edicao, Londres, UK.

. Constituicao da Republica Federativa do Brasil de 1988. Disponıvel em ¡http://www.planalto.gov.br/ccivil 03/constituicao/constituicao.htm¿. Acesso em 25 desetembro de 2008.

. Codigo de Processo Penal Interpretado: referencias doutrinarias, indicacoeslegais, resenha jurisprudencial. 6 ed., Sao Paulo – SP. Atlas. 2009.

MIRABETE, Julio Fabbrini. Codigo Penal interpretado. Sao Paulo – SP. Atlas. 1999.

STEPHENSON, Peter. Investigating Computer-Related Crime: A Handbook forCorporate Investigators. 1 ed. USA. CRC Press. 2000.

BARYAMUREEBA, V., & Tushabe, F. The Enhanced Digital Investigation Process Model.Proceeding of Digital Forensic Research Workshop. Baltimore, MD. (2004).

BEEBE, N. l., & Clark, J. G. A Hierarchical, Objectives-Based Framework for the DigitalInvestigations Process. Proceedings of Digital Forensics Research Workshop. Baltimore, MD.(2004).

BRILL AE, Pollitt M. The evolution of computer forensic best practices: an update onprograms and publications. Journal of Digital Forensic Practice, 1:3–11(2006).

CARRIER, B., & Spafford, E. H. An Event-based Digital Forensic InvestigationFramework. Proceedings of Digital Forensics Research Workshop. Baltimore, MD. (2004).

Page 68: TCC-CTAI - Marcelo Winter - Guilherme Mendes

67

CARRIER, B., & Spafford, E. H. Getting Physical with the Digital Investigation Process.International Journal of Digital Evidence , 2 (2). (2003).

CASEY, E. Digital Evidence and Computer Crime (2ed.). Elsevier Academic Press. (2004).

CIARDHUAIN, S. O. An Extended Model of Cybercrime Investigations. InternationalJournal of Digital Evidence , 3 (1). (2004).

FREILING, F. C., & Schwittay, B. A Common Process Model for Incident Responseand Computer Forensics. Proceedings of Conference on IT Incident Management and ITForensics. Germany. (2007).

K.ROGERS, M., Goldman, J., Mislan, R., Wedge, T., & Debrota, S. Computer ForensicsField Triage Process Model. Proceedings of Conference on Digital Forensics, Security andLaw, (pp. 27-40). (2006).

KENT, K., Chevalier, S., Grance, T., & Dang, H. Guide to Integrating Forensic Techniquesinto Incident Response, NIST Special Publication 800-86. Gaithersburg: National Institute ofStandards and Technology. (2006).

KOHN, M., Eloff, J., & Oliver, M. Framework for a Digital Forenisc Investigation.Proceedings of Information Security South Africa (ISSA) 2006 from Insight to ForesightConference. South Afrika. (2006).

M.POLLITT, M. Computer Forensics: an Approach to Evidence in Cyberspace.Proceeding of the National Information Systems Security Conference, (pp. 487-491).Baltimore, MD. (1995).

MCCOMBIE, & Warren. Computer Forensics: An Issue of Definition. Proceeding of FirstAustralian Computer, Network and Information Forensics Conference.Perth. (2003).

MCKEMMISH, R. What is Forensic Computing? .Canberra Australian Institute ofCriminology . (1999).

U.S. DoJ, National Institute of Justice. Results from Tools and Technologies WorkingGroup. Goverors Summit on Cybercrime and Cyberterrorism. Princeton NJ. (2002).

PALMER, G. DTR - T001-01 Technical Report. A Road map for Digital Forensic Research.Utica, New York. (2001).

REITH, M., Carr, C., & Gunsch, G. An Examination of Digital Forensic Models.International Journal Digital Evidence , 1 (3). (2002).

ROGER, M. DCSA:Applied Digital Crime Scene Analysis. In Tipton & Krause. (2006).

STEPHENSON, P. A Comprehensive Approach to Digital Incident Investigation. ElsevierInformation Security Technical Report. Elsevier Advanced Technology. (2003).

WILLASSEN, S. Y., & Mjolsnes, S. F. Digital Forensics Research. Disponıvel emwww.telenor.com/telektronikk/volumes/pdf/1.2005/Page 092-097.pdf (2005).

CARRIER, B. D. A Hypothesis-based Approach to Digital Forensic Investigations.CERIAS Tech Report 2006-06, Purdue University, Center for Education and Research inInformation Assurance and Security, West Lafayette. (2006).