Professional Documents
Culture Documents
Florianópolis
18/11/2009
Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann
CTAI - SENAI
Florianópolis
18/11/2009
Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann
AVALIADORES
”One should always look for a possible alternative and provide against it. It is
the first rule of criminal investigation.”
Sherlock Holmes – The Adventure of Black Peter
Sir Arthur Conan Doyle.
Resumo
• ACPO - Association of Chief Police Officers of England Wales and Northern Ireland
• HD - Hard Disk
1 INTRODUÇÃO p. 10
1.2 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12
1.2.1 Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12
1.2.2 Especı́ficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12
1.3 JUSTIFICATIVA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12
2.1.2 Conceito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 18
2.1.3 Multidisciplinaridade . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
3 FORENSE COMPUTACIONAL p. 23
3.2 CONCEITO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24
3.6.1 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 35
3.6.2 Aquisição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37
3.6.3 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37
3.6.4 Análise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38
3.6.5 Documentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38
3.6.6 Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38
4 PROPONDO MUDANÇAS p. 39
4.3 CUSTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45
5 METODOLOGIA PROPOSTA p. 48
6 CONCLUSÃO p. 62
Referências Bibliográficas p. 64
10
1 INTRODUÇÃO
Por vivermos em uma era baseada na informação, e estando esta embasada em sistemas
digitais que utilizam todo o aparato tecnológico disponı́vel, não podemos negar o avanço que
nos circunda dia após dia.
A tecnologia está presente em todo aspecto da vida moderna. Houve um momento que, um
computador somente, preenchia toda uma sala. Não há tecnologia que tenha se expandido tanto
nos últimos anos como a dos computadores. Hoje, um computador cabe na palma da mão, um
exemplo são os celulares, PDAs, Handheld’s, players de áudio e vı́deo.
Devemos estar conscientes de nossa dependência que, com uma utilização crescente aliado
ao surgimento e rápida ascensão da Internet, criaram um marco entre as relações humanas onde
trouxe, além do conforto e comodidade, o anonimato na comunicação e com ela, a sensação de
impunidade.
Essa nova intensificação do relacionamento humano pela internet, com a produção em série
dos computadores e consequente redução dos preços dos equipamentos e dos programas de
computação, além da expansão do comércio eletrônico e das relações financeiras e bancárias,
promove um uso indiscriminado e mundial dessa tecnologia, favorecendo em todos os aspectos
novas relações e modificando também as antigas, fazendo com que os atos ilı́citos e também
novas condutas ilı́citas, façam parte dessa nova realidade.
O Instituto Nacional de Justiça dos Estados Unidos (NIJ) define crime eletrônico como qual-
quer tipo de crime envolvendo a tecnologia digital incluindo, mas não limitado, computadores,
PDA’s, discos rı́gidos (HD) externos, telefones celulares e câmeras digitais.
É necessário que a atividade pericial atue de forma mais dinâmica com o conhecimento das
perı́cias não ocorrem somente em um computador propriamente dito, mas também nos diversos dispositivos mi-
croprocessados.
2 Trata-se de uma cópia literal do disco rı́gido, uma clonagem conhecida como bit-a-bit. Chamamos a cópia de
imagem forense porque ela deve copiar todos os dados do HD, incluindo as partes não utilizadas.
12
Com isso, surge a necessidade de novas técnicas de abordagem e combate aos crimes:
1.2 OBJETIVOS
1.2.1 Geral
1.2.2 Especı́ficos
1.3 JUSTIFICATIVA
Neste sentido, a metodologia de Live Acquisition tem se mostrado uma alternativa de ampla
discussão, entre organismos que atuam na área, frente aos mecanismos tradicionais de aquisição
de imagem forense.
Com isso, essa proposta tem a importância de otimizar a metodologia de Live Acquisition
de forma que permita a utilização de evidências digitais por diferentes jurisdições.
Este trabalho está estruturado em 6 capı́tulos. No capı́tulo 1 são apresentados o tema abor-
dado, a problematização, os objetivos e justificativas para a realização da pesquisa.
No capı́tulo 2 será mostrado uma breve descrição da Ciência Forense, se evolução e con-
vergência tecnológica.
2 FUNDAMENTOS SOBRE A
CIÊNCIA FORENSE
Um dos princı́pios da justiça é que as pessoas devem pagar pelos seus atos, e tão somente
por aquilo que cometeram. Julgar uma pessoa pelos seus antecedentes é humanamente justi-
ficável. Mas a justiça atual não permite que se faça, como a expressão popular diz, “justiça com
as próprias mãos”, sem ficarmos impunes. Ela coı́be este tipo de ação e se atém aos fatos e pro-
vas, a fim de aplicar as eventuais punições previstas em lei. Certo ou não, as coisas funcionam
assim, é na aquisição e análise de provas que a ciência forense entra na história.
A ciência forense traçou um longo caminho desde quando os chineses usaram as impressões
digitais para determinar a identidade de documentos e esculturas em argila.
Vem da China o primeiro registro da Ciência Forense, durante o reinado da dinastia Tang.
No século VII, o chinês Si Yuan Lu, tornou-se famoso ao fazer uso dos vestı́gios do crime para
resolvê-los, e também da lógica, apesar de utilizar métodos e ferramentas diversos do que os
praticados atualmente.
Ainda na China, em meados do século XIII, foi escrito o primeiro livro de medicina legal.
Seu autor, o juiz Song Ts’Eu, descreveu a forma de distinguir afogamento de estrangulamento e
também de como, através dos ferimentos, poderia se chegar a determinar o tipo e o tamanho da
arma utilizada no crime. Foi o primeiro registro de aplicação dos conhecimentos médicos para
a solução do crime.
15
No Ocidente, os cientistas forenses foram precedidos pela figura dos Peritos Louvados que
eram nomeados por papas, reis, imperadores etc., com o intuito de emitirem opiniões sobre
determinados assuntos.
Vários paı́ses da Europa, em virtude da grande repercussão do Código, vieram a adotar tais
procedimentos, ou seja, a necropsia e o laudo pericial. Em dois paı́ses essas mudanças foram
mais profundas. Na Inglaterra, houve a mudança da função de coroner, de coletor de impostos
para perito. Na França, foram editados vários dispositivos legais, como as Ordenanças de 1536,
1539, 1579 e 1670 (Leis de 1556, 1606 e 1667). Dentre o que foi implementado por esta classe,
destacamos
A ciência forense emergiu durante o século XIX, época em que muitos fatores influenciaram
a sociedade. Cidades europeias e americanas foram crescendo em tamanho e complexidade.
Pessoas que eram acostumadas a conhecerem todos no seu bairro ou aldeia, foram encontrando
cada vez mais pessoas novas e diferentes. Transeuntes e vigaristas, viajavam de cidade em
cidade, cometendo crimes e se tornando invisı́veis na multidão. Criminosos reincidentes que
queriam fugir da Lei só tinham que se deslocar para uma nova cidade, dar um nome falso, e
ninguém saberia do seu passado.
Tornou-se importante para o Governo ser capaz de identificar os cidadãos, uma vez que
poderia não ser capaz de confiá-los a prestar a sua verdadeira identidade.
Em 1609, o primeiro documento tratando sobre exame sistemático foi publicado em França.
Depois, em 1784, foi documentado um dos primeiros usos de correspondência fı́sica, onde se
viu um inglês condenado por homicı́dio com base na borda rasgada de uma página de jornal
presa em uma pistola, borda esta que correspondeu com o pedaço restante encontrado em seu
bolso.
No final do século XVIII, as armas começaram a ser produzidas com almas raiadas. No
século XIX, devido a esta caracterı́stica, Henry Godard conseguiu relacionar um projétil com a
arma utilizada. [Luque apud Calazans, 2005, p.2]
Outra invenção significativa foi a fotografia, criada em 1826. Ela foi utilizada, desde o inı́cio
para retratar provas e evidências na cena do crime, bem como registrar detalhes de ferimentos e
suspeitos.
Em 1886 um policial de Nova York, Thomas Byrnes, publicou a primeira coleção de fotos
de procurados pela justiça (criminosos), visando facilitar o reconhecimento possı́veis suspeitos.
Tal prática vem sendo adotada até os dias de hoje.
No final do século XIX, estudos realizados por Sir Francis Galton revelaram que as im-
pressões digitais são únicas e não mudam com a idade. Já em 1858, William Herschel, um
oficial britânico a serviço na Índia, utilizou impressões de tinta dos dedos e mãos como assina-
turas em documentos para pessoas que não sabiam escrever. Era desconhecido para Herschel
que no Japão, os contratos eram fechados utilizando um polegar ou impressões digitais durante
séculos.
Em 1894, as impressões digitais, que eram mais fáceis de usar e mais exclusivas (mesmo
gêmeos idênticos têm diferentes impressões digitais), foram adicionados ao sistema de Bertil-
lon.
17
Talvez o nome de maior destaque na Ciência Forense seja de Edmond Locard, médico
francês que foi, enquanto estudante, aluno de Bertillon e depois, assistente de laboratório de
Alexandre Lacassagne3 antes de fundar o Instituto de Criminalı́stica da Universidade de Lyon,
França em 1910. Dr. Locard, assim como o Dr. Hans Gross e Bertillon antes dele, defenderam
a aplicação de métodos cientı́ficos e a lógica para a investigação e identificação criminal.
Seu trabalho é considerado o marco da Ciência Forense, pois provocou uma reviravolta na
metodologia da investigação criminal. Locard partiu do princı́pio de que quando um indivı́duo
entra em contato com um objeto ou outro indivı́duo, sempre deixa vestı́gio desse contato.
Dr. Locard, no capı́tulo 03 de seu livro Manuel de Technique Policière, Paris: Payot,
1923, faz a seguinte observação: ”Il est impossible au malfaiteur d’agir avec l’intensit que
suppose l’action criminelle sans laisser des traces de son passage”, que traduzindo teremos:
“É impossı́vel para um criminoso agir, especialmente considerando a intensidade de um crime,
sem deixar traços de sua presença” .[CHISUN e TURVEY, 2000]
Assim, foi criado um dos princı́pios fundamentais da Ciência Forense, o Princı́pio da Troca
de Locard ou simplesmente, o Princı́pio de Locard que, em suma é lembrado sempre pela
máxima: quando dois objetos interagem, alguns indı́cios da interação podem ser encontrados
mais tarde e verificados, ou seja, cada contato deixa seu rastro.
Desse modo, atribui-se a Alphonse Bertillon, Alexandre Lacassagne, Hans Gross e Edmond
Locard, a aplicação da lógica e métodos cientı́ficos na investigação de crimes, e o tratamento
dos vestı́gios de forma cientı́fica.
2 Na Alemanha dessa época, era costume os juı́zes em inı́cio de carreira passar pela função de Juiz de Instrução,
o que corresponde (guardadas as devidas proporções), às funções atuais de perito.
3 Alexandre Lacassagne - Professor de Medicina Legal e de Criminologia na cidade de Lyon, na França . Em
1886, ele criou os arquivos de Antropologia Criminal e é considerado o pai de tal ramo da ciência.
18
2.1.2 Conceito
Antes de iniciar a discorrer sobre conceitos, é útil analisar as principais palavras que compõe
a Ciência Forense e suas definições. As seguintes palavras são definidas no dicionário Aurélio
(Ferreira, 2004):
• Crime – 1. Violação culpável da lei penal; delito. 4. Qualquer ato que suscita a reação
organizada da sociedade. 5. Ato digno de repreensão ou castigo.
• Cena – 10. Acontecimento dramático ou cômico. 11. Ato mais ou menos censurável ou
escandaloso. 12. Panorama, paisagem.
Sêmola (2007) cita em seu artigo, que Ciência Forense é uma área interdisciplinar que
aplica um amplo espectro de ciências com o objetivo de dar suporte - respondendo perguntas -
19
às investigações relativas ao sistema legal, mais precisamente ligadas à justiça civil e criminal.
Entre seus desafios está a identificação do crime, o rastreamento das etapas que o precederam, a
localização e preservação de evidências e a geração de documento de suporte legal.[IDGNOW,
2007]
Em geral, tem-se que, Ciência Forense é um campo da ciência dedicada à coleta e análise
metódica das provas a fim de criar fatos que podem ser apresentados em um processo legal.
Para a Sociedade de Ciência Forense, com base no Reino Unido, resume-se na busca e
análise de traços fı́sicos que possam ser úteis para estabelecer ou excluir uma associação entre
uma pessoa suspeita de cometer um crime e da cena do crime ou vı́tima.
Houk, descreve que Ciência Forense é uma ciência histórica, como geologia, arqueologia,
ou astronomia, e os cientistas forenses reconstroem um evento criminoso ocorrido no passado
através de provas fı́sicas.(HOUCK, 2007)
Martinez, apud Calazans (2005, p.6) define que a “Ciência Forense proporciona os princı́pios
e técnicas que facilitam a investigação do delito, em outras palavras; qualquer princı́pio ou
técnica que pode ser aplicada para identificar, recuperar, reconstruir ou analisar a evidência
durante uma investigação criminal, é parte da Ciência Forense”. Ainda, “a Ciência Forense pro-
porciona métodos cientı́ficos que possibilitarão a análise das evidências disponı́veis. Ela cria
hipóteses sobre o ocorrido para criar a evidência e realiza provas, controles para confirmar ou
contradizer essas hipóteses.
2.1.3 Multidisciplinaridade
A visão contemporânea define ciência forense como sendo a aplicação da ciência para o
Direito. Esta área é uma das poucas áreas do Direito onde a ciência, a tecnologia e a investigação
para a resolução de um crime interagem.
A Ciência Forense é definida como uma ciência multidisciplinar, porque utiliza-se muitas
20
vezes de subsı́dios de outras ciências para a devida análise de um possı́vel vestı́gio, pois assim
como o Juiz recorre a vários elementos para formar sua convicção e aplicar a lei da melhor
forma possı́vel, o profissional forense se vale do conhecimento nos mais diversos ramos da
ciência para melhor análise dos indı́cios encontrados na cena de um crime. CALAZANS(2005,
p.6)
Para auxiliar a Ciência Forense no esclarecimento de um crime, todas as demais ciências po-
dem ser empregadas, utilizando-se do conhecimento de profissionais com formação acadêmica
nos diversos ramos da ciência, bem como das suas próprias técnicas que estabelecem diversas
metodologias para a execução dos exames periciais, o que caracteriza a multidisciplinaridade
dessa ciência.
Como resultado, os avanços tecnológicos estão sendo aplicados ao finito e exigente campo
da ciência forense, um campo em que a competência técnica é alcançada somente pela sı́ntese
de uma série de fatores, incluindo a formação, experiência, fiscalização, educação continuada,
e de proficiência, uma apreciação de métodos cientı́ficos e protocolos projetado num contexto
de rigorosa ética profissional.
Novas técnicas, nos mais variados ramos da ciência estão propiciando à Forense o auxı́lio
necessário na elucidação de crimes.
O exame de DNA (ácido desoxirribonucléico) por exemplo, tido como a maior revolução
cientı́fica na esfera forense desde o reconhecimento das impressões digitais como uma carac-
terı́stica pessoal. O DNA de cada indivı́duo contém informações genéticas relativas somente a
este, o que torna possı́vel identificar a sua origem.(ICC-PR,2008)
A espectrografia por exemplo, análise de áudio através dos espectros de freqüência, utili-
zada na fonética forense tem auxiliado os cientistas forenses no exame de verificação de au-
tenticidade de registros de áudio e, consequentemente, na identificação de interlocutores, bem
como no entendimento e compreensão de determinadas palavras.
Porém, todo esse advento tecnológico aliado ao surgimento e rápida ascensão da Internet
trouxe, além do conforto e comodidade, o anonimato na comunicação e com ela, a sensação de
impunidade.
Tanto a máquina quanto a rede são criações humanas e, como tais, têm natu-
reza ambivalente, dependente do uso que se faça delas ou da destilanação que
se lhes dê. Do mesmo modo que aproxima as pessoas e auxilia a disseminação
da informação, a Internet permite a prática de delitos à distância no anoni-
mato, com um poder de lesividade muito mais expressivo que a criminalidade
dita convencional, n’alguns casos. (Aras, Crimes de informática. Uma nova
criminalidade)
Com isso, é necessário que a atividade pericial também evolua, atuando de forma mais
dinâmica com o conhecimento das novas práticas delituosas.
23
3 FORENSE COMPUTACIONAL
Um dado alarmante é a posição em que se encontra o Brasil: figura entre os quatro paı́ses do
mundo com maior números de hackers1 e crackers2 e aparece nos jornas internacionais como
referência em determinados tipos de ataques.[TOTAL SECURITY, 2004]
O Brasil continua dispontando com relação a hackers e crackers, como pode ser verificado
na denúncia realizada pela justiça federal americana de New Orleans no mês de agosto de
1 Hacker: São hackers, os indivı́duos que elaboram e modificam software e hardware de computadores, seja
desenvolvendo funcionalidades novas, seja adaptando as antigas.
2 Cracker: Cracker é o termo usado para designar quem pratica a quebra de um sistema de segurança, de forma
2008, onde um brasileiro foi denunciado no crime de conspiração para infectar mais de 100 mil
computadores na internet com software malicioso conforme consta na publicação 08-739/DoJ-
US. (Figura 3.1)
Como podemos observar, a Forense Computacional foi criada para atender às necessidades
e especificidades para uma melhor aplicação da Lei nesta nova forma de evidência eletrônica.
3.2 CONCEITO
Para Noblett (2000), Forense computacional é o ramo da criminalı́stica que consiste no uso
de métodos cientı́ficos na preservação, coleta, restauração, identificação, análise, interpretação,
documentação e apresentação de evidências computacionais, quer sejam componentes fı́sicos
ou dados que foram processados eletronicamente e armazenados em mı́dias computacionais
Sêmola (2007) comenta que, dentro do contexto eletrônico, também chamada de Forense
Digital ou Computer Forensics, podemos descrevê-la como a ciência que realiza inspeções
25
Já Pires (2003) afirma que a Forense Digital pode ser definida como uma área de co-
nhecimento que se utiliza de métodos elaborados e comprovados cientificamente visando a
preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação
de evidências digitais com o propósito de facilitar ou permitir a reconstituição de procedimentos
de natureza criminosa que ocorram em equipamentos digitais.
Carlos Kehdy, apud Quintela (1995, p.8) define local de crime como “. . . toda a área onde
tenha ocorrido qualquer fato que reclame a presença da polı́cia.
“ (...) a porção do espaço compreendida num raio que, tendo por origem o
ponto no qual é constatado o fato, se extenda de modo a abranger todos os lu-
gares em que, aparente, necessária ou presumivelmente, hajam sido praticados,
pelo criminoso, ou criminosos, os atos materiais, preliminares ou posteriores,
à consumação do delito, e com este diretamente relacionados.”
Os Crimes Informáticos também deixam vestı́gios, e como se sabe, sempre que o crime
deixa vestı́gios materiais, é necessária a presença do Perito no local, cf. art. 158 do Código de
Processo Penal, para em analisando e interpretando as evidências, possa correlacionar os fatos
que ali se desenrolaram.
26
O local de crime que envolve um incidente informático é uma das poucas, senão a única,
cena de crime que pode estender-se por todo o planeta. Ignorando por hora as questões jurı́dicas
e filosóficas de onde o crime ocorreu (foi no computador da vı́tima ou no computador de ori-
gem?), pode-se encontrar provas importantes em ambas as extremidades e no meio. O inı́cio
da investigação não é o momento para se tentar descobrir a autoria. Deve-se tratar todos os en-
volvidos: computadores, periféricos, dispositivos de comunicação ou demais dispositivos como
parte da cena do crime até poder diferenciá-los.[STEPHENSON, 2000]
É comum haver duas situações para designar o objetivo de um exame forense: resolver um
crime digital ou um incidente de segurança [dos Reis, 2002, p.1].
Na resolução de um crime digital, a forense busca ater-se a questões legais quanto às
evidências, procurando por provas que possam ser utilizadas em um processo criminal. Já
um incidente de segurança geralmente está relacionado a contextos organizacionais, onde o ob-
jetivo principal de uma análise forense é entender o incidente ocorrido, buscando suas causas
através de evidências, afim de evitar que o fato venha ocorrer novamente.
3 Estatı́stica da Internet no Mundo – fonte : http://www.tnbrasil.com.br/estatisticas
27
• Evidência real: qualquer objeto fı́sico que pode ser levado até o Tribunal. A evidência
real pode ser tocada, segurada ou observada diretamente de outra maneira. Resumindo,
uma evidência real responde por ela mesma. No contexto de Forense Computacional, o
computador pode ser apresentado como evidência fı́sica.
• Evidência documental: muitas evidências utilizadas para provar algo são documentos
escritos. Algumas evidências incluem arquivos de registros (logs), bases de dados e um
arquivo especı́fico relatando a ocorrência de um incidente. Toda evidência documental
deve ser autenticada, porque qualquer um pode criar um arquivo de dados arbitrário com
o conteúdo desejado. Portanto, deve-se provar que a evidência foi coletada apropriada-
mente e que os dados contidos provam o fato.
Os dados contidos em uma evidência digital, por sua natureza, são voláteis, fáceis de serem
apagados, o que requer maior cuidado na manipulação e preservação das evidências. Por outro
lado, evidências digitais são fáceis de serem duplicadas com exatidão [DOS REIS, 2002].
Como impressões digitais, as evidências digitais podem ser visı́veis (como arquivos grava-
dos em disco que podem ser acessados via estrutura normal de diretórios usando um gerenci-
ador de arquivos como o MS-Windows Explorer), ou podem ser latentes (não sendo visı́veis
ou acessı́veis, requerendo algum processo de busca – via software ou técnicas especiais – para
localizá-la e identificá-la).
O Instituto Nacional de Justiça (NIJ) do Departamento de Justiça (DoJ) dos Estados Unidos,
em seu Guia NCJ 219941, que trata de investigação de crime eletrônico orienta:
28
A Associação dos Oficiais Chefes de Polı́cia do Reino Unido, em seu /textitGuia de Boas
Práticas para Evidências Eletrônicas baseadas em Computador [ACPO, 2007] descreve:
Um dos maiores desafios do analista forense é uma evidência dinâmica. Evidência dinâmica
é qualquer influência que muda, transfere, obscurece, ou elimina uma evidência, independente-
mente das intenções, entre o momento em que ela é transferida, bem como no momento em que
o caso é julgado.[CHISUM e TURVEY, 2000]
De fato, o sentimento de anonimato - ainda que haja a evidência eletrônica - apresenta carac-
terı́sticas próprias e complexas, exigindo conhecimento especializado na sua coleta e utilização.
Segundo Farmer (2006), embora informações dinâmicas sejam um pouco mais voláteis, e,
portanto, suspeitas, quaisquer condenações com base em uma única série de leituras dos dados
também são suspeitas.
Dentro deste cenário, surge o conceito de ordem de volatilidade, introduzido por Dan Farner
e Wietse Venema, que é justamente a razão da importância da informação versus o tempo que
ela fica imutável.(Figura 3.4.1)
Apesar de ser uma área recente, diversos modelos de investigação forense digital foram
desenvolvidos com o intuito de auxiliar as forças policiais e demais órgãos de segurança e
justiça, a lidar com a mudança da evidência, anteriormente de base documental para base digital.
No inı́cio de 1995, Pollitt sugere uma metodologia para lidar com possı́veis provas. O autor
mapeou o processo de forense computacional para a admissão de prova documental, em um
tribunal de justiça. Ele afirmou que o processo utilizado deve obedecer a lei e para tanto, a
ciência. Nesta metodologia introduziu quatro etapas distintas que são precedentes identificados
para a admissão de qualquer evidência em um tribunal. Os passos são aquisição, identificação,
avaliação e admissão como prova. O resultado destas medidas ou processos são: a mı́dia
(no contexto fı́sico), os dados (no contexto lógico), as informações (no contexto legal) e as
evidências, respectivamente.
Workshop) é composto por onze fases que são identificação, preparação, abordagem estratégia,
preservação, coleta, exame, análise, apresentação e devolução das evidências. Este amplo pro-
cesso oferece uma série de vantagens como as listadas pelos autores como um mecanismo para
a aplicação do mesmo processo em tecnologias digitais futuras.
Em 2003, o processo investigação digital é proposto por Carrier e Spapafford, que se baseia
no processo de investigação fı́sica da cena do crime. Este procedimento tem fases de de alto
nı́vel, tanto da análise quanto da cena do crime. É o chamado Processo de Investigação Digital
Integrada (Integrated Digital Investigation Process - IDIP). Eles definem o local de crime digital
como o ambiente virtual criado por software e hardware onde a evidência digital de um crime
ou um incidente existe. Este método organiza o processo em cinco grupos que consiste de 17
fases. Os grupos são fase de preparação, fase de implantação, fase de investigação fı́sica do lo-
cal de crime, fase de investigação de crime digital e fase de revisão. Isto destaca a reconstrução
dos eventos que levaram ao incidente e enfatiza revisão de toda a tarefa. Trata-se de um método
abrangente e genérico tecnicamente, atendendo às áreas de criminalı́stica, investigação corpo-
rativa e resposta a incidentes porém, tem como ponto fraco, a questão de ser muito teórico.
Stephenson visualiza cada um dos processos do método do DFRWS como sendo uma classe
e cada uma das ações tomadas como elementos da classe. Em seguida, ele afirma que as seis
classes definem o processo investigativo. Portanto, ele amplia o processo em nove passos que
ele então define como Processo de Investigação Digital Fim-a-Fim (End-to-End Digital Inves-
tigation Process - EEDI). Estes nove passos na EEDI deve ser realizado pelo perito a fim de
preservar, coletar, examinar e analisar a evidência digital. Ele também definiu as atividades
crı́ticas no processo de coleta, tais como a coleta das imagens dos computadores, a coleta dos
registros (logs) dos dispositivos intermediários, especialmente aqueles na Internet, a coleta dos
registros dos computadores, coleta dos registros e dados de sistemas de detecção de intrusão,
firewall, etc.
Marcus K. Rogers em 2005, publica o método Análise da Cena de um Crime Digital (Digital
Crime Scene Analysis- DCSA ) que resume-se em fases: Identificação da Evidência, Coleta da
Evidência, Transporte da Evidência, Análise e Relatório. Com isso os autores proporcionaram
uma abordagem prática da criminalı́stica porém, com pouco detalhamento.
Em 2006, o processo forense proposto por Kent é constituı́do por quatro fases que são
coleta, exame, análise e a elaboração de relatórios. Neste método, o processo forense transforma
a mı́dia em provas, quer para a aplicação da lei ou da sua utilização interna de uma determinada
organização. Primeiro, a transformação ocorre quando os dados coletados são examinados,
onde são extraı́dos da mı́dia e transformados em informações através de análise e, finalmente, a
informação se transforma em provas durante a fase de relatório.
M Kohn propôs um novo método a partir da fusão métodos existentes a fim de compi-
lar uma estrutura razoavelmente completa. A métodos proposto baseia-se na experiência dos
outros. Seu estudo revelou dois pontos importantes: o relevante conhecimento de uma base
jurı́dica antes da criação do método é vital, uma vez que irá suportar a totalidade do processo
investigativo, e o processo deverá incluir três fases (preparação, investigação e apresentação)
para satisfazer as exigências mı́nimas da definição da palavra ”forense”. Portanto, Kohn propôs
seu método agrupando as fases das metodologias até então atuais, para estas três etapas. Este
método também estabelece uma base jurı́dica como fundação para que se tenha um entendi-
32
mento claro daquilo que são os requisitos legais, é estabelecida logo no inı́cio da investigação e
informa cada etapa ou fase posterior.
Neste método, dois requisitos foram identificados como necessários em cada nı́vel, que são
os requisitos legais de um sistema especı́fico e documentação de todas as medidas tomadas.
A vantagem deste método proposto é que pode ser facilmente expandido para incluir qualquer
número de fases adicionais exigidas no futuro.
Ainda em 2006, o Computer Forensic Field Triage Process Model – CFFTPM, desenvol-
vido pela Purdue University em parceria com o National White Coller Crime Center, propõe
uma abordagem local ou em campo para fornecer a identificação, análise e interpretação da
evidência digital em um curto espaço de tempo sem exigência relativa à apreensão dos sis-
temas / mı́dias levadas para o laboratório para um exame profundo ou adquirir uma imagem
forense completa. As fases incluı́das neste método são planejamento, triagem, perfis de uso
/utilizador, cronologia / cronograma, atividade de internet e provas especı́ficas. Este método
é uma formalização da investigação no mundo real, detalhada em uma metodologia proces-
sual formal. A grande vantagem do CFFTPM está em sua praticidade e pragmática, devido ao
fato de que o método foi desenvolvido no sentido inverso da maioria dos outros Métodos de
Investigação Forense Digital. No entanto, este método também não é aplicável para todas as
situações investigativas.
Todos os modelos supracitados têm a sua própria força, no entanto até hoje não existe um
único modelo que pode ser utilizado como uma orientação geral para investigar todos os tipos
de crimes e incidentes. As figuras 3.5 e 3.5 ilustram bem a quantidade de métodos conhecidos.
Portanto, mais pesquisas são necessárias para uma concepção geral de um método para superar
este problema.
33
Figura 3.3: Review of Incident Management Processes from Various Publications Fonte:
CMU/SEI-2004-TR-015
34
Figura 3.4: Review of Incident Management Processes from Various Publications Fonte:
CMU/SEI-2004-TR-015
35
Dos atuais métodos ou modelos mencionados na seção anterior, o que pode ser visto cla-
ramente é que cada um dos métodos propostos baseia-se na experiência dos modelos anteri-
ores, alguns dos métodos tem abordagens semelhantes e alguns focalizam diferentes áreas da
investigação. No entanto, todos os métodos têm a mesma saı́da, mesmo se no processo ou a
atividade a ordem dos passos é ligeiramente diferente sobre o termo utilizado.
a. Avaliação;
b. Aquisição;
c. Autenticação;
d. Análise;
e. Documentação;
f. Apresentação.
3.6.1 Avaliação
b. Identificar Repositórios de Dados - antes de iniciar a perı́cia mas após determinar seu es-
copo, deve-se identificar onde estarão armazenados os dados considerados suspeitos, ou
seja, potenciais evidências. Estes poderão ser qualquer equipamento desde computadores
pessoais a Servidores de Rede empresarial, PDAs e telefones celulares. Neste ponto, é
necessário determinar se o perito possui as ferramentas necessárias para concluir o exame
pericial adequadamente;
c. Proteger e Preservar – uma vez determinado onde encontrar as evidências, deve-se to-
mar medidas para proteger e preservar as evidências e consequentemente os dados. A
evidência digital é latente, do mesmo modo que as impressões digitais, armas de fogo,
e as ferramentas são marcas latentes de evidência. A evidência digital não é visı́vel a
olho nu e requer cuidado na manipulaçãoe de formação especializada para preservá-la de
forma eficiente e eficaz. Elas são facilmente alteradas, danificadas ou destruı́das [MO-
ZAYANI, 2006]. As evidências precisam ser preservadas de tal forma que não haja dúvida
alguma de sua veracidade [FREITAS, 2006];
e. Pré-visualização dos dados – somente após completar os passos anteriores é que pode-se
pré-visualizar os dados de maneira a garantir que não serão modificados. Este passo
prepara para a fase de Aquisição do processo forense, onde será criada uma cópia fiel dos
dados a fim de prover a análise e interpretação das informações - perı́cia;
37
3.6.2 Aquisição
Na fase de Aquisição, produz-se uma cópia fiel da evidência de maneira a permitir o inı́cio
da investigação pericial. No entanto quatro etapas fundamentais estão envolvidas nesta fase do
processo:
a. Mı́dia de Origem – os dados são armazenados em mı́dias. É necessário identificar que tipo
de dados estão armazenados e como prover o acesso aos mesmos.
b. Mı́dia de Destino – para gerar uma imagem forense faz-se necessário realizar a cópia dos
dados da evidência para outra mı́dia, igual ou similar, se possı́vel.
d. Criação da Imagem – Após determinar a mı́dia onde será gravada a imagem e estabelecer
os parâmetros, cria-se a imagem. O processo de criação da imagem deve assegurar que ela
não modificou os dados originais. As imagens podem ser produzidas de formas diferentes,
dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura disponı́vel e
da metodologia empregada [COSTA, 2003, p.27]. Com isso é possı́vel validar o processo
na fase de autenticação.
3.6.3 Autenticação
de dados usada na Computação e na Teoria da Informação, embora muitas pesquisas estejam sendo feitas em
computação quântica com qubits. Um bit tem um único valor, 0 ou 1, ou verdadeiro ou falso, ou neste contexto
quaisquer dois valores mutuamente exclusivos.
38
3.6.4 Análise
3.6.5 Documentação
3.6.6 Apresentação
As informações do relatório final são Apresentadas de forma clara e objetiva. Devem conter
informações sobre os fatos, metodologia de investigação e análise e conclusões. Para cada fato
concluı́do, deve constar as informações sobre o processo/procedimentos/evidências utilizadas
e/ou coletadas para chegar nas conclusões. [NG, 2007]
39
4 PROPONDO MUDANÇAS
Conforme visto até aqui, independente de literatura ou, no caso especı́fico da forense com-
putacional, se a recomendação é do Departamento de Justiça Norte-Americano (DoJ), do Guia
de Boas Práticas da Associação dos Chefes de Polı́cia do Reino Unido (ACPO) ou do Grupo
Cientı́fico de Trabalhos em Evidências Digitais (SWGDE) – expoentes quando o assunto é
normatização de procedimentos de caráter investigativo e pericial - as duas premissas principais
do processo forense são a aquisição da evidência e sua preservação.
A falta de uma padronização a nı́vel nacional e até mundial no que tange a forense compu-
tacional, haja vista o grande número de metodologias existentes, faz com que tenhamos sempre
uma abordagem tı́pica para a solução dos problemas:
Muito discute-se sobre a volatilidade dos dados contidos em uma evidência digital que,
devido a sua natureza, são fáceis de serem alterados ou apagados, o que requer maior atenção
quanto a manipulação e preservação das evidências.
Porém, outras metodologias correlatas, que lidam também com evidências consideradas
voláteis, como a Patologia Forense, quando do tratamento e coleta de sangue e de manchas de
sangue, têm todo seu frame-work aceito e validado pela comunidade forense internacional.
De todos os tipos de indı́cios comumente encontrados no local de crime, o sangue talvez seja
o mais frágil. O sangue pode apresentar-se na forma lı́quida, no estado úmido ou completamente
seco. Dependendo da circunstância, diferentes procedimentos podem ser utilizados. Vejamos
dois deles:
b. Uma mancha úmida de sangue, em uma superfı́cie não absorvente como vidro ou metal,
pode ser colhida adicionando uma pequena quantidade de soro fisiológico esterilizado
(0,9%) à mancha e misturá-la cuidadosamente para após recuperá-las com uma pipeta ou
conta-gotas medicinal. As amostras devem ser mantidas sobre refrigeração.
Costa (2003) afirma que as imagens de evidências digitais podem ser produzidas de for-
mas diferentes, dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura
disponı́vel e da metodologia a ser empregada.
Num primeiro momento, a velocidade empregada através do processo de imagem via hard-
ware, de 4GB/min, se apresenta aceitável quando tratamos de geração de imagens de HD’s de
computadores pessoais com capacidade de armazenamento de até 500GB.
HD’s para analisar e realizar a duplicação - fato comum de ocorrer - ou, se a apreensão tratar de
um storage2 de dados de uma empresa (dados armazenados na ordem de Terabytes, Petabytes
ou superior). Com uma velocidade de 4GB/min, o tempo necessário para efetivar a imagem
e calcular o Hash será demasiadamente grande, provocando a perda do sentido da perı́cia no
momento oportuno3 .
Não obstante, mesmo que a ciência possua esta capacidade, ela é feita por seres humanos,
estes com possibilidades de falhas e de caráter eventualmente duvidoso, que podem tendenciar
determinados resultados, de forma consciente ou não, prejudicando ou beneficiando outrem.
Nos procedimentos hoje adotados, não existem garantias da autenticidade do dado anali-
sado, haja vista que a cadeia de custódia somente inicia-se quando do recebimento dos equi-
pamentos no laboratório forense. Exemplificando, não há como assegurar que o dado obtido
de determinada evidência pertencia realmente àquele equipamento ou ainda, atestar que o HD,
no qual foi obtido tal evidência pertence à CPU apreendida. A parte envolvida não possui
garantias de que a prova encontrada estava realmente no material analisado ou foi inserida ma-
liciosamente ou até mesmo contaminada por manuseio errôneo, durante ou após a apreensão do
equipamento.
a. Sob Mandado Judicial, fundamentado em pedido emitido pelo Ministério Público, emba-
sado em relatório da autoridade policial, denúncia ou outra fonte de informação que gere
a suspeita do cometimento de ilı́cito em que o equipamento, foco da ordem de busca e
apreensão, é utilizado direta ou indiretamente para tal fim.
2 Sistema de armazenamento de dados, podendo ser em fita, disco ou rede.
3 Em muitos casos além da demora na geração da imagem, a dificuldade de se manter em estoque mı́dias de
tamanho adequado àquelas que serão duplicadas, provoca um atraso na análise forense e, consequentemente, a
demora na elaboração do laudo pericial que muitas vezes acabam por ser finalizados em prazo maior do que o
ditado pela lei processual.
42
b. No caso de flagrante delito, onde apreende-se materiais e equipamentos que julgue-se cor-
roborar com a caracterização do delito. (Ex. Num caso de extorsão, apreende-se o te-
lefone celular do suspeito com o de, através de perı́cia, comprovar que as ligações eram
realizadas daquele aparelho.)
Nos dois casos citados, a apreensão é conduzida da seguinte forma: os equipamentos são
desligados, identificados, lacrados, constados no termo de apreensão e encaminhados à Perı́cia.
Com isso, cabe ao Perito descobrir a informação probante a partir de um grande volume
de dados sob um enorme número de variantes: diferentes Sistemas Operacionais, Hardwares
e Softwares. O que por si só já acarreta, dependendo dos quesitos, um dispendioso tempo,
provocando muitas vezes, o atraso na tramitação processual.
Ainda que, na área penal, os trabalhos periciais, segundo Sampaio (2003), devem, obri-
gatoriamente, manter as provas materiais preservadas para que, em caso de dúvidas, possam
ser reexaminadas ou até que se finalize o processo penal competente, não se pode ignorar o
Princı́pio da Eficiência.
O princı́pio da eficiência não pode ser entendido apenas como maximização do lucro, mas
sim como um melhor exercı́cio das missões de interesse coletivo que incumbe ao Estado, que
deve obter a maior realização prática possı́vel das finalidades do ordenamento jurı́dico, com os
menores ônus possı́veis, tanto para o próprio Estado, especialmente de ı́ndole financeira, como
para as liberdades dos cidadãos.
Num procedimento de busca e apreensão, o foco deve ser aquilo que evidencie a materiali-
dade e autoria do crime. Não pode-se por exemplo, parar o funcionamento de uma empresa, res-
tringindo seu direito à propriedade em prazo superior ao permitido pelo ordenamento jurı́dico,
em detrimento da busca de algumas evidências que encontram-se armazenadas sejam em arqui-
vos digitais, sejam em documentos impressos, apesar de que, no meio digital, a facilidade de se
obter uma cópia devidamente autenticada, é facilitada pelo próprio meio.
O que se encontra nos dispositivos de armazenagem digital pode ser equiparado a documen-
tos. Quando apreendidos documentos que tenham como forma de apresentação a impressão em
papéis, estes meios precisam ser devidamente identificados para que se possa no futuro afirmar
sua origem, e, se, possı́vel, sua autoria.
Ao se apreender documentos registrados em meios digitais, de igual forma, há que se tomar
as precauções necessárias para que se ateste, pelos registros da busca e apreensão e pela palavra
do perito, a origem dos documentos digitais e, se possı́vel, as evidências de autoria.
“. . . A Forense Digital não ocorre no vácuo, mas sim, tem sido influenciada
e moldada pelas exigências dos ambientes em que é aplicada e, através das
lentes dos profissionais que implementam as ferramentas.”
Análises forenses de computadores já não são realizadas em apenas uma única máquina
com pequena capacidade de armazenamento de dados. Pelo contrário, a possibilidade de evidências
contudentes se expandiu para as redes de computadores interligadas, cada uma com grande po-
tencial de armazenamento contendo artefatos4 de relevância jurı́dica.
Essas variáveis também contribuem para apoiar a coleta de todas as informações sobre uma
determinada mı́dia ou computador. Este contexto serviu de base para as atuais metodologias de
coleta das evidências e sua posterior análise.
bit-stream5
A metodologia que emprega a imagem bit-stream é bem compreendida por todos profissi-
onais da área de forense digital. Ela prevê uma maneira dos investigadores repararem erros co-
metidos pelo próprio perito, pela ausência de softwares de análise somente-leitura (read-only)
especializados e por falhas de hardware sem provocar a deterioração das evidências. Dessa
forma, reduz-se os riscos associados à manipulação e, consequentemente, a modificação da
evidência digital, assegurando teoricamente, um ilimitado número de cópias do disco original a
fim de que a confiabilidade, verificabilidade e precisão possam ser garantidas.
A imagem bit-stream permite ao investigador, “congelar” toda a cena, uma vez que existe o
disco apreendido, para uma análise estática. Esta metodologia compartimentaliza eficazmente
os processos de aquisição e análise das evidências digitais.
4.3 CUSTOS
Como já visto, o tempo despendido para gerar uma imagem de disco é proporcional ao
tamanho do disco de destino. Traduzindo para o mundo real, o tempo médio para gerar uma
imagem de um disco com capacidade de armazenamento de 100 GB, padrão IDE é de aproxi-
madamente 4 horas.
Contudo, enquanto o volume das evidências e a complexidade dos exames têm aumentado,
5 O NIST Disk Imaging Tool Specification 3.1.6 descreve detalhes técnicos dos processos de uso recomendado
de imagem bit-stream para itens tais como bloqueio de escrita (write-blocking), recuperação de erros e logging.
6 Para mais informações, consulte Lexis Nexis Applied Discovery Fact Sheet, 2004.
46
o número de pessoas qualificadas para a realização dos exames não tem mantido o mesmo ritmo.
Assim, a evolução dos contextos digitais demanda soluções forense mais eficientes.
Além do desafio do volume, os custos do recurso de imagem são agravados pela sensibili-
dade do tempo de atendimento com o crescente uso de computadores nos negócios, em serviços
crı́ticos, em um ambiente corporativo. Os custos empresariais – perda da produtividade, perda
de receita e baixos custos associados com reputação e confiabilidade – resultantes de um sis-
tema permanecer off-line para uma análise forense pos-mortem pode ser proibitivo. Em uma
recente queda dos serviços da cyber-livraria Amazon, que permaneceu indisponı́vel por cerca
de 1h30min., a empresa deixou de faturar US$ 2,79 milhões. Segundo a própria empresa, com
base no faturamento do trimestre anterior, no 90 minitus em que permaneceu fora do ar, o maior
portal de vendas via internet sofreu um prejuı́zo de US$ 31 mil por minuto7 .
Do ponto de vista do investigador forense, as restrições de tempo são geradas pelos man-
dados de busca emitidos, os quais refletem a sensibilidade dos juı́zes frente às consequências
da potencialidade perturbadora do atual processo de aquisição. Do mesmo modo, os policiais
e os recursos do equipamento não são ilimitados. Em suma, a imagem bit-stream de mı́dias de
plataformas inteiras pode e envolve os custos substanciais associados com a aquisição, a análise
e o equipamento do investigador, assim como as despesas de negócio acima mencionadas.
Uma vez que a cena fı́sica foi processada e as mı́dias de evidência digital foram identificadas
(isto é, computador pessoal, servidor ou mı́dia removı́vel), o investigador é confrontado com as
seguintes tarefas:
3. Embalar e etiquetar toda mı́dia solta de maneira que suporte a cadeia de custódia, como
o uso de sacos invioláveis e fitas adesivas.
4. Coletar os dados voláteis como a data e hora do sistema, a memoria fı́sica e os processos
que estão rodando. Isto deve ser coletado antes do processo de imagem da maneira menos
intrusiva possı́vel.
5. Identificar sistemas com discos rı́gidos para apreensão e determinar o método de coleta.
7 Em http://g1.globo.com/Noticias/Tecnologia/0,,MUL592388-6174,00-FORA+DO+AR+AMAZON+SOFRE
6. Embalar e etiquetar o disco com a imagem e o disco original (se for permitido) de modo
que suporte a cadeia de custódia, como o uso de sacos invioláveis e fitas adesivas. Embora
a capacidade de realizar a cópia bit-stream no local da busca exista, nem sempre é pratico
pois, conforme já descrito, este processo pode levar muitas horas para ser concluı́do.
5 METODOLOGIA PROPOSTA
Muitas vezes, fatores como a volatilidade ou o volume de dados, as restrições impostas pela
autoridade legal, ou o uso de criptografia pode ditar a necessidade de capturar dados de sistemas
de energia sem interrupção do ciclo.
Partindo do princı́pio de que a forense computacional não deve estar baseada em alguma
ferramenta, tecnologia ou fragmento de software. O uso de ferramentas exatas, aplicações, etc.
são irrelevantes, o importante é que os princı́pios da criminalı́stica devem ser metódicos e preci-
sos, garantindo a autenticidade das provas, a manutenção da cadeia de custódia e possibilitando
minimizar a contaminação da evidência.
O termo integridade conceitua a qualidade daquilo que é ı́ntegro, nos traz à mente a idéia
de inteireza, e, considerando os sistemas computadorizados, é o termo que designa a segurança
de que o documento eletrônico não foi de qualquer forma manipulado, sendo em todo ou em
parte destruı́do ou corrompido.
Esta metodologia apresenta duas caracterı́sticas principais: (1) pesquisa “In Vivo” e identi-
ficação simultânea de evidências, e (2) extração seletiva de evidências a baixo nı́vel a partir da
mı́dia digital.
As exigências iniciais da metodologia estão focadas sobre o modo em que a coleta dos
dados relacionados é feita, como é garantida a conexão e de como os dados são lidos, copiados
e interpretados.
2. Integridade dos dados: a integridade dos dados vai de mão dada com a coleta de
evidências dada as exigências probatórias de confiabilidade, integridade, precisão e veri-
50
(b) Medidas de proteção lógica dos dados provenientes dos equipamentos de rede (ACLs,
Firewall, NID);
(c) Medidas de proteção fı́sica dos dados provenientes dos dispositivos locais (Controle
de acesso fı́sico - segurança do local de crime e ao próprio disco ou mı́dia).
Segundo Farmer (2007), na maioria das vezes mais de 90% dos arquivos de um computador
não foram utilizados no último ano. Isto que dizer que a maioria das atividades acessa os
mesmos dados, programas e outros recursos repetidamente.
Conforme o Sistema continua tratando os mesmos arquivos repetidamente, ele está, literal-
mente, repisando suas próprias pegadas, portanto, vestı́gios das operações anteriores são perdi-
das pois são substituı́das pelos vestı́gios de operações mais recentes.
Por essa razão, vestı́gios de atividades incomuns não apenas se destacam mas também são
percebidos por um longo perı́odo de tempo haja vista que a maioria das informações em um
sistema é raramente tocada.
Dentro do campo de crime digital e análise forense, “normas” equivalentes provêm de di-
versas fontes internacionais governamentais ou não, algumas já citadas:
• US Secret Service;
• Interpol;
• Scotland Yard;
Figura 5.1: (Common findings of a forensic examination as they relate to specific crime catego-
ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition)
53
Figura 5.2: (Common findings of a forensic examination as they relate to specific crime catego-
ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition - cont.)
54
Figura 5.3: (Common findings of a forensic examination as they relate to specific crime catego-
ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition - cont.)
55
o Sistema operando “In Vivo”, utilizando procedimentos válidos e confiáveis de modo a tornar
as evidências digitas em provas legalmente defensáveis, pode ser representada pelo processo
descrito na figura 5.4.
A abordagem sugerida é projetada para ser mais sensı́veis em termos de custos em virtude
da redução no tempo e dos recursos necessários tanto para investigadores forenses, bem como
para os detentores dos dados. O tempo de geração de imagem e, subseqüente tempo de análise
pode ser demasiadamente reduzido pela minimização da coleta de dados irrelevantes que nor-
malmente está “diluı́do” no corpo dos dados recolhidos através da metodologia de bit-stream, e
que acabam sendo filtrados somente durante a fase de exame.
volvidos (vı́timas, proprietários, etc) pode ser diminuı́do pela minimização da inatividade do
sistema se comparado com a atual abordagem de imagem off-line, resultando em diminuição
das receitas das empresas perturbações e perda, bem como a redução no tempo de elaboração
dos laudos periciais.
Não existem normas especı́ficas que regem a forense computacional no Brasil, o perito
segue à risca as normas contidas no Código de Processo Penal (Lei 3.689/41) e no Código de
Processo Civil (Lei 5.869/73), normas estas que abrangem todos os tipos de perı́cias. Abaixo foi
extraı́do do Código Processo Penal um trecho que pode ser adotado no âmbito computacional.
Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletrônica
enquanto não se tem uma padronização das metodologias de análise forense.
Pode-se analisar também o Código de Processo Civil, onde existem parágrafos que tratam
das provas e regem a perı́cia em geral (Artigos 420 a 439).
Art. 332 - Todos os meios legais, bem como os moralmente legı́timos, ainda
que não especificados neste Código, são hábeis para provar a verdade dos fatos,
em que se funda a ação ou a defesa.
Art. 429. Para o desempenho de sua função, podem o perito e os assisten-
tes técnicos utilizar-se de todos os meios necessários, ouvindo testemunhas,
obtendo informações, solicitando documentos que estejam em poder de parte
ou em repartições públicas, bem como instruir o laudo com plantas, desenhos,
fotografias e outras quaisquer peças.
Este artigo dá o referido suporte para apreender equipamentos caso necessários para efetuar
perı́cias no ambiente computacional.
Além destas leis, que provê ao Perito, o amparo legal para efetuar seus serviços de perı́cia,
algumas normas brasileiras e internacionais, indicam as melhores práticas para o serviço do
perito.
No âmbito Internacional, a polı́cia federal norte americana, FBI (Federal Bureau of Inves-
tigation ) recomenda que:
A RFC 3227 (IETF), que trata das Recomendações para Coleta e Armazenagem de Evidências
Digitais, traz o seguinte:
“Minimize as alterações nos dados que estão sendo coletados. Isto não se
limita à modificações no conteúdo, deve-se evitar a atualização do arquivo ou
o acesso ao diretório.”
“Os métodos usados para coletar evidências devem ser transparentes e repro-
dutı́veis. Você deve estar preparado para reproduzir com precisão os métodos
utilizados, e esses métodos deve, ser testados por peritos independents.”
Além de toda disposição legal, seja brasileira ou internacional, apresentada acima, não
podemos deixar de citar também o Princı́pio da Razoabilidade.
Razoável, de uma forma geral, significa prudência, ponderação, sapiência, tolerância, moderação.
Partindo-se da questão: “Será que não haveria um meio menos gravoso e igualmente efi-
caz?” - é que justifica-se a proposição da metodologia de Live Acquisition onde, conhecendo
de ante-mão o delito e, com base nas tabelas compiladas pelo NIJ/DoJ, faz-se a busca de apre-
ensão pontual de evidências, sem os transtornos e encargos que envolvem a atual metodologia
de análise Post-Mortem.
59
Antes da evidência ser admitida, ela deve estar em conformidade com os padrões de auten-
ticidade. A autenticidade requer que o responsável pela coleta da evidência demonstre que os
dados recolhidos e oferecidos como evidência por este método, são o que ela pretende ser.
Crı́ticos da metodologia sugerida defendem que nessa pesquisa dinâmica e seletiva, a co-
leta e extração do corpus digital torna-se incompleta, inadequada, e com evidências de difı́cil
verificação . Por exemplo, a imagens “ao vivo” do sistema não podem ser verificadas comparando-
as com a sua fonte digital ou mı́dia de origem, porque toda a cena digital não é “congelada”
e necessariamente irá mudar como um resultado natural do funcionamento do sistema ope-
racional, e, uma análise subseqüente dos dados não adquiridos na filtragem inicial não será
possı́vel, afetando assim, possivelmente, a precisão das conclusões tiradas. Considerando do
ponto de vista da metodologia tradicional, em outras palavras, o disco original nunca deve ser
comparado com a cópia (imagem) forense como garantia que uma cópia exata do original foi
apreendida. A prática inferência é que este processo pode se tornar tendencioso, resultando na
exclusão de evidência ilibada e dúvida sobre a sua autenticidade.
enfatiza a facilidade com que os registros podem ser alterados sem visı́vel detecção. Este argu-
mento não é diferente do qual a metodologia tradicional é pressionada contrariamente.
• A cadeia de custódia das evidências deve ser montada, relatando o nome da pessoa que
está de posse da evidência, data, hora e atividades executadas;
• Para geração das cópias, as mı́dias deverão estar devidamente saneadas (wipe2 )
Ainda, em SWGDE - Best Practices for Computer Forensics Version 2.1 (2006) quando
trata da apreenção da evidência, em suas recomendações gerais, afirma:
O conceito tradicional de documento, também aceito para fins penais, é o de uma represen-
tação exterior de um fato. Esta representação é feita em um meio acessı́vel ao conhecimento
humano, deixando assim de qualquer forma registrada a ocorrência fática para eventual prova
futura. Outra caracterı́stica apontada pela doutrina quanto ao documento eletrônico é a ine-
xistência de original. É o que nos esclarece Marcacini (2001):
6 CONCLUSÃO
A vantagem de recolher “tudo” é que a busca de evidências relevantes pode ser prolongada
e alargada ou revista conforme preceitua o processo legal. No entanto, os custos associados
à aquisição de “todos os dados”, em comparação com os custos de tomar uma abordagem
conforme a presente metodologia.
Esta realidade está se tornando mais favorável na forense digital, quando uma enxurrada
de artefatos digitais está indiscriminadamente impedindo a apreensão dos “conglomerados”
digital.
Esta aceitação, deve ser formalizada por endosso a partir de organismos competentes no
âmbito da comunidade de forense digital
Ferramentas e técnicas estão evoluindo com as pressões relativas ao meio forense a fim
de oferecer a capacidade para a condução da metodologia de coleta seletiva de evidências “in
Vivo”.
Finalizando, assim como uma ferramenta (software) não faz o exame completo em um
computador, utilizar-se de apenas um modelo de processo forense também é limitante.
Referências Bibliográficas
HOUCK, Max M. Forensic Science: modern methods of solving crime. 1 ed. USA. Praeger.
2007.
CALAZANS, Carlos Henrique; CALAZANS, Sandra Maria. Ciência Forense: das Origens
à Ciência Forense Computacional. 2005. Artigo. Escola Politécnica. Universidade de São
Paulo. São Paulo. 2005.
CHISUM, Jerry W.; TURVEY, Brent E..Evidence Dynamics: Locard’s Exchange Principle
& Crime Reconstruction. 2000. Artigo. Journal of Behavioral Profiling. Vol. 1. No. 1. 2000.
SÊMOLA, Marcos. Primeiro contato com a Ciência Forense. Coluna Firewall. Revista
IDGNow. Junho. 2007
NG, Reynaldo. Forense Computacional Corporativa. 1 ed. Brasport. Rio de Janeiro. 2007.
GUIMARÃES, Célio Cardoso; OLIVEIRA, Flávio de Souza; REIS, Marcelo Abdalla dos;
GEUS, Paulo Lı́cio de. Forense Computacional: Aspectos Legais e Padronização. Artigo.
Universidade Estadual de Campinas. 2001.
65
NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.. Recovering and
Examining Computer Forensic Evidence. Forensic Sciense Communications. Vol. 2. No. 4.
Outubro de 2000.
PIRES, Paulo S. Da Motta. FORENSE COMPUTACIONAL: UMA PROPOSTA DE
ENSINO. Artigo. Universidade Federal do Rio Grande do Norte. 2006.
QUINTELA, Victor Manoel Dias de Oliveira; et al. TRATADO DE PERÍCIAS
CRIMINALÍSTICAS. 1 ed. Sagra-DC Luzzatto. Porto Alegre.1995.
DOS REIS, Marcelo Abdalla; DE GEUS, Paulo Licio. Análise Forense de Intrusões em
Sistemas Computacionais: Técnicas, Procedimentos e Ferramentas. Artigo. Universidade
Estadual de Campinas. 2002.
MOZAYANI, Ashraf; NOZIGLIA, Carla. The Forensic Laboratory Handbook – Procedures
and Practice. 1 ed. Humana Press. New Jersey. 2006.
FREITAS, Andrey Rodrigues de. Pericia forense aplicada à Informática: ambiente
Microsoft. 1 ed.. Brasport. Rio de Janeiro. 2006.
COSTA, Marcelo Antonio Sampaio Lemos. Computação Forense. 2 ed. Editora Millenium.
Campinas, SP. 2003.
ROBINSON, James K. Internet as the scene of crime. Disponı́vel em
http://www.usdoj.gov/criminal/cybercrime/roboslo.htm. Acesso em 22 de agosto de
2008.
CARVALHO, Daniel Baparda de. Criptografia: Métodos e Algoritmos. 1 ed. Book Express.
Rio de Janeiro. 2000.
DAVIS, Chris; COWEN, David; PHILIPP, AARON. HACKING EXPOSED – COMPUTER
FORENSICS – SECRETS & SOLUTIONS. 1 ed. McGraw-Hill/Osborne. Califórnia, USA.
2005.
CASEY, Eoghan. Handbook of Computer Crime Investigation – Forensic Tools and
Technology 2 ed. Academic Press. Califórnia, USA. 2003.
ROSA, Fabrı́zio. Crimes de Informática. 2 ed. BookSeller. Campinas, SP. 2006.
DA SILVA, Rita de Cássia Lopes. Direito Penal e Sistema Informático. 1 ed. Revista dos
Tribunais. São Paulo, SP. 2003.
DE CASTRO, Carla Rodrigues Araújo. Crimes de Informática e seus Aspectos Processuais.
1 ed. Lúmen Júris. Rio de Janeiro, RJ. 2001.
SIEBER, Ulrich. Computer crime and criminal information Law: new trends in
the international risk and information society. Disponı́vel em http://www.jura.uni-
wuerzburg.de/sieber/mitis/ComCriCriInf.htm Acesso em 15 mar 2009.
PLANTULLO, Vicente Lentini. ESTELIONATO ELETRÔNICO. 1 ed. Editora Juruá.
Curitiba, PR. 2003.
KENNEALY, Erin E.; Brown, Christopher L.T. Risk sensitive digital evidence collection.
Artigo. Digital Investigation Journal. Elsevier. Vol 2. 2005.
66
GRECO FILHO, Vicente. “Algumas observações sobre o direito penal e a Internet. Boletim
IBCCRIM, edição especial. Ano 08, n. 95, outubro 2000.
ROSSINI, Augusto. Informática, Telemática e Direito Penal. 1 ed. Memória Jurı́dica. São
Paulo, SP. 2004.
McNAMARA, Joel. Secrets of Computer Espionage. 2 ed. Wiley Publishing. Indiana, USA.
2003.
IEONG, Ricci S.C., FORZA – Digital forensics investigation framework that incorporate
legal issues. Elsevier Journal, disponı́vel em ¡http://www.sciencedirect.com/¿
Middleton, Bruce. Cyber Crime Investigator’s Field Guide. CRC Press, Florida, USA, 2002.
U.S. DoJ, National Institute of Justice. Eletronic Crime Scene Investigation: A Guide
for First Responders. NCJ 187736, Julho de 2001.
Association of Chief Police Officers’ (ACPO). Good Practice Guide for Computer-
Based Electronic Evidence. 4a Edição, Londres, UK.
MIRABETE, Julio Fabbrini. Código Penal interpretado. São Paulo – SP. Atlas. 1999.
BARYAMUREEBA, V., & Tushabe, F. The Enhanced Digital Investigation Process Model.
Proceeding of Digital Forensic Research Workshop. Baltimore, MD. (2004).
BEEBE, N. l., & Clark, J. G. A Hierarchical, Objectives-Based Framework for the Digital
Investigations Process. Proceedings of Digital Forensics Research Workshop. Baltimore, MD.
(2004).
BRILL AE, Pollitt M. The evolution of computer forensic best practices: an update on
programs and publications. Journal of Digital Forensic Practice, 1:3–11(2006).
CARRIER, B., & Spafford, E. H. Getting Physical with the Digital Investigation Process.
International Journal of Digital Evidence , 2 (2). (2003).
CASEY, E. Digital Evidence and Computer Crime (2ed.). Elsevier Academic Press. (2004).
CIARDHUAIN, S. O. An Extended Model of Cybercrime Investigations. International
Journal of Digital Evidence , 3 (1). (2004).
FREILING, F. C., & Schwittay, B. A Common Process Model for Incident Response
and Computer Forensics. Proceedings of Conference on IT Incident Management and IT
Forensics. Germany. (2007).
K.ROGERS, M., Goldman, J., Mislan, R., Wedge, T., & Debrota, S. Computer Forensics
Field Triage Process Model. Proceedings of Conference on Digital Forensics, Security and
Law, (pp. 27-40). (2006).
KENT, K., Chevalier, S., Grance, T., & Dang, H. Guide to Integrating Forensic Techniques
into Incident Response, NIST Special Publication 800-86. Gaithersburg: National Institute of
Standards and Technology. (2006).
KOHN, M., Eloff, J., & Oliver, M. Framework for a Digital Forenisc Investigation.
Proceedings of Information Security South Africa (ISSA) 2006 from Insight to Foresight
Conference. South Afrika. (2006).
M.POLLITT, M. Computer Forensics: an Approach to Evidence in Cyberspace.
Proceeding of the National Information Systems Security Conference, (pp. 487-491).
Baltimore, MD. (1995).
MCCOMBIE, & Warren. Computer Forensics: An Issue of Definition. Proceeding of First
Australian Computer, Network and Information Forensics Conference.Perth. (2003).
MCKEMMISH, R. What is Forensic Computing? .Canberra Australian Institute of
Criminology . (1999).
U.S. DoJ, National Institute of Justice. Results from Tools and Technologies Working
Group. Goverors Summit on Cybercrime and Cyberterrorism. Princeton NJ. (2002).
PALMER, G. DTR - T001-01 Technical Report. A Road map for Digital Forensic Research.
Utica, New York. (2001).
REITH, M., Carr, C., & Gunsch, G. An Examination of Digital Forensic Models.
International Journal Digital Evidence , 1 (3). (2002).
ROGER, M. DCSA:Applied Digital Crime Scene Analysis. In Tipton & Krause. (2006).
STEPHENSON, P. A Comprehensive Approach to Digital Incident Investigation. Elsevier
Information Security Technical Report. Elsevier Advanced Technology. (2003).
WILLASSEN, S. Y., & Mjolsnes, S. F. Digital Forensics Research. Disponı́vel em
www.telenor.com/telektronikk/volumes/pdf/1.2005/Page 092-097.pdf (2005).
CARRIER, B. D. A Hypothesis-based Approach to Digital Forensic Investigations.
CERIAS Tech Report 2006-06, Purdue University, Center for Education and Research in
Information Assurance and Security, West Lafayette. (2006).