Computação Forense e a Prova Pericial

Computer Forensics and an Expert Evidence

 

 Capítulo do livro: Cibernética Juridica, Estudos sobre o direito digital, lançado pela EDUEPB.

 

Petter Anderson Lopes[1]

Resumo: O presente artigo aborda a importância da computação forense na investigação digital, para obtenção de provas. As mudanças tecnológicas constantes, exigem que compreendamos de forma assertiva os conceitos de prova e perícia, bem como uma está atrelada a outra. O crime tem sua parcela na mudança porque a natureza dos ativos valiosos alvejados também mudou, neste cenário cabe uma compreensão maior dos profissionais que trabalham com investigação. Profissionais denominados peritos, são especialistas em provas, sendo que no decorrer deste artigo, de forma clara e objetiva, estão definidos os conceitos de prova e computação forense, bem como as principais etapas que envolvem o trabalho do perito.

Palavras-chave: Computação Forense. Analise. Evidência. Perito. Prova.

Abstract: This paper discusses the importance of computer forensics in digital research to obtain evidence. Constant technological changes require that we assertively understand the concepts of proof and skill, as well as one is linked to the other. Crime has its share in the change because the nature of the targeted valuable assets has also changed, in this scenario fits a greater understanding of professionals. Professionals known as experts are experts in evidence, and throughout this article, clearly and objectively, the concepts of proof and forensic computing are defined, as well as the main steps involving the expert’s work.

Palavras-chave: Computer Forensics. Analysis. Evidence. Expert. Proof.

.

1 INTRODUÇÃO

A tecnologia está em constante mudança, tudo ao nosso redor está mudando, a maneira como nos comunicamos, como fazemos nosso trabalho, como armazenamos ou recuperamos dados. O crime também tem avançado fronteiras com a era digital, pois a natureza dos ativos valiosos alvejados mudou.

Os dispositivos móveis desempenham um papel importante no cotidiano, por meio deles, as pessoas realizam transações bancárias em qualquer lugar e, também é comum a troca de informações de trabalho, seja por meio de correio eletrônico ou qualquer outro comunicador de mensagens instantâneas.

Esta variedade de dispositivos tem trazido um enorme desafio para a investigação e computação forense, tanto para acompanhar todos os aspectos técnicos dos sistemas, quanto para a própria coleta deste material. Um crescente número de variedades de tecnologias também apresenta um desafio para os métodos científicos e jurídicos de tratamento das provas.

Nas corporações e empresas de diferentes tamanhos e tipos geralmente trocam seus dados sensíveis usando sua rede local. Muitas empresas possibilitam que seus colaboradores levem seus próprios dispositivos para executar suas tarefas. Entretanto, se levarmos em conta que praticamente todas as pessoas hoje em dia possuem um Smartphone, então podemos dizer que em sua totalidade, todos produzem informação digital.

Deve-se levar em consideração a necessidade de avaliar e coletar o material pericial nesta grande variedade de dispositivos. Nenhum dispositivo deve ser ignorado quando está sendo instaurada uma investigação e, neste momento, é importante manter o foco e pensamento estratégico para já no momento do primeiro contato com o material, saber o que e onde coletar, pois no final representará a prova e, esta somente será composta após a correlação de informações presentes em cada dispositivo.

Nesta linha de raciocínio, observamos a clara necessidade de apresentar os elementos técnicos de forma organizada, para o entendimento do que é computação forense e como ela pode auxiliar na elucidação de casos.

Ainda neste ato, deve-se ficar claro as etapas de coleta, exame, análise e resultados no procedimento efetuado pelo perito. Os aspectos das diferenças entre vestígio, evidência, prova e indício também necessitam clareza, bem como as diretivas que compões de forma organizada o conceito e tratamento da prova conforme o CPC de 2015. Para auxílio da justiça e demais colegas, foi então elaborado este estudo, afim de fortalecer e esclarecer eventuais dúvidas acerca destes assuntos.

2 DEFINIÇÃO DA COMPUTAÇÃO FORENSE

De acordo com Eleutério e Machado (2011), a Computação Forense vem sendo apresentada como uma ciência de investigação criminal aplicada em sistemas digitais, objetivando-se em utilizar métodos técnico-científicos para preservar, coletar, validar, identificar, analisar, interpretar e documentar as evidências conferindo-lhe validade probatória em juízo.

A Computação Forense é aplicada nas esferas civil, penal e administrativa, onde seu objetivo é auxiliar na busca pela verdade e cabe ao perito juntar as provas pertinentes. Contudo, é importante observar que dispositivos informáticos são amplamente utilizados pelos cidadãos, sendo uma fonte riquíssima de evidências em diversos casos, tanto que envolvam o dispositivo como um meio para a prática do crime como é o caso dos crimes exclusivamente cibernéticos, ou como os crimes cibernéticos abertos, onde não há necessidade do meio informático para sua prática.

Conforme Teixeira (2014), ainda podemos classificar os crimes informáticos em três tipos, sendo os puros, mistos e comuns: “o primeiro são aqueles em que o sujeito visa especialmente o sistema de informática; as ações materializam, por exemplo, por atos de vandalismo contra a integridade do sistema ou pelo acesso desautorizado ao computador. Crime de informática misto se consubstancia nas ações em que o agente visa o bem juridicamente protegido diverso da informática, porém o sistema de informática é ferramenta imprescindível. E os crimes de informática comum são condutas em que o agente utiliza o sistema de informática como mera ferramenta, não essencial à consumação do delito”.

Ainda nesta linha de raciocínio, nos deparamos com a figura do perito, onde temos algumas variações dos cargos, por exemplo perito federal, perito estadual, perito judicial, perito particular. O perito é o profissional especialista na matéria em questão, sendo este quem irá materializar as provas, auxiliando no processo judicial, ou ainda dando seu parecer técnico para casos extrajudiciais onde exige o envolvimento de uma pessoa imparcial e esse parecer técnico servirá como prova e poderá ser utilizado em juízo caso necessário.

 

3 A PERÍCIA E A PROVA PERICIAL

A perícia é o meio pelo qual profissionais imparciais e especialistas na matéria em questão, verificam e relatam os fatos por meio de um laudo pericial, levando a prova até o juiz. Compreende-se que a perícia surge da necessidade da apuração de provas, afim de apurar um fato.

De acordo com o C.P.C. – Código de Processo Civil o art. 131 prevê que: “O juiz apreciará livremente a prova, atendendo aos fatos e circunstâncias constantes dos autos, ainda que não alegados pelas partes; mas deverá indicar, na sentença, os motivos que lhe formaram o convencimento”, ao observar esta citação, notamos que a prova é o elemento que permite ao juiz estar convicto sobre os fatos.

Ainda no Código de Processo Civil, no art. 145 consta que: “Quando a prova de fato depender de conhecimento técnico ou científico, o juiz será assistido por perito, segundo o disposto no artigo 421”, nota-se neste artigo que a figura do perito é necessária para auxiliar o juiz na correta interpretação, o perito neste momento é conhecido como um auxiliar da justiça.

A demonstração da veracidade das alegações é dada por meio da prova, entretanto, é importante refletir que não há a intenção da repetição idêntica dos fatos, visto que a reprodução com absoluta exatidão não é possível. Segundo Montenegro Filho (2009), a prova “pretende demonstrar a certeza aproximada”, ou seja, a prova tem a capacidade tão somente de aproximar-se da realidade, não podendo ser reproduzida em sua totalidade.

De acordo com Bonfim (2008), a prova pericial possui as seguintes características:

a) é um meio de prova;

b) é o resultado da atividade humana, e não é uma atividade humana;

c) o destino da prova é o processo, ainda que a atividade se realize fora do processo;

d) deve ser realizada por experts no tema sobre o qual versa o laudo;

e) deve versar o laudo sobre fatos e não sobre questões jurídicas;

f) deve nascer de uma obrigação – investidura no cargo ou nomeação ad hoc -, portanto, se não existe

um vínculo legal ou judicial, não se pode falar em perícia, já que não existe perícia espontânea;

g) os fatos sobre os quais versam o laudo devem ser especiais, ou seja, devem requerer conhecimentos especializados, científicos, artísticos ou técnicos;

h) o laudo é uma declaração da ciência, assim, o perito declara o que sabe e o juiz o valora como meio de prova.

Fluxograma da Prova Pericial no CPC, Fonte: https://www.researchgate.net/figure/Figura-1-Fluxograma-de-procedimentos-periciais-contabeis_fig1_309390526, acesso em 24/07/2019.

 

Ainda sobre a prova pericial, vale reforçar que segundo o art. 156 do CPC/15 o “juiz será assistido por perito quando a prova de fato depender de conhecimento técnico ou científico” e “os peritos serão nomeados entre os profissionais legalmente habilitados (§1o)”. O perito deve ser “especializado no objeto da perícia” (art. 465, CPC) e deve apresentar currículo que comprove essa condição (art. 465, §2o, II, CPC).

Ao passo em que provas documentais, confissões, entre outros elementos apresentados nos autos não forem suficientes para o julgamento, a prova pericial tornar-se-á fundamental para o magistrado. Costumamos dizer que o perito é os olhos do juiz e a prova pericial é sua bússola.

De acordo com previsto no art. 437 do CPC.: “O juiz poderá determinar, de ofício ou a requerimento da parte, a realização de nova perícia, quando a matéria não lhe parecer suficientemente esclarecida.”, sendo assim, caso o laudo pericial apresentado não seja satisfatório ou deixar dúvidas, então por solicitação das partes ou do juiz, poderá ser determinado realização de nova perícia. Entretanto, a nova perícia não substitui a primeira, desta forma, o juiz pode apreciar a que melhor lhe agradar.

3.1 Vestígio, Evidência, Prova e Indício

 

O Princípio da Troca de Locard, é um dos princípios fundamentais da forense, sendo que de acordo com esse princípio, qualquer um, ou qualquer coisa, que entra em um local de crime leva consigo algo do local e deixa alguma coisa para trás quando parte. O mesmo princípio também se aplica na computação forense, pois também são deixados rastros, mesmo que digitais, e esses rastros são comumente tratados como vestígios; Para Locard (2010) todo contato deixa um vestígio.

Os vestígios são os artefatos buscados pelo perito na atividade pericial, são os primeiros materiais que aparecem em uma investigação. Após a identificação dos vestígios, o perito parte para a fase de exame, onde será identificado se o vestígio pode ser atrelado ao caso para então transformá-lo em evidência, no entanto, o vestígio poderá ser descartado caso não seja necessário. A evidência surge no momento em que o vestígio que após ter sido estudado, processado, analisado, constata-se que está fortemente relacionado com o fato.

O indício, que pode ser interpretado como hipótese, ou seja, pode ser verdade ou não, é a denominação dada aos vestígios e as evidências na fase de investigação, estando inclusos não somente os vestígios e evidências como também a todas as informações que estão relacionados com o fato, como testemunhos por exemplo, já a prova diz respeito aos atos e meios utilizados pelas partes para demonstrar a verdade.

 

 

4 EVIDÊNCIA DIGITAL

Atualmente qualquer dispositivo que possa armazenar ou processar dados pode ser uma fonte de evidências, a tecnologia está mudando tudo, inclusive os meios e formas de crime, pois a natureza dos ativos valiosos alvejados mudou, a agora o alvo é digital. Os crimes virtuais estão ganhando um grande espaço, por exemplo, em vez de invasão física a bancos ou empresas, os criminosos usam meios digitais para tal prática. Hoje em dia, as informações pessoais, detalhes da conta bancária e seu banco de dados corporativo são algumas das metas criminosos digitais.

Como uma reação normal, a mudança na tecnologia levou a uma mudança de possíveis evidências, como em comparação com a evidência tradicional. Todos os componentes do sistema de computador podem ser fontes evidência, como por exemplo:

  • O disco rígido do criminoso ou da vítima
  • Os artefatos do sistema operacional e arquivos especiais
  • O tráfego de rede
  • A memória do computador
  • Celulares e tablets
  • Armazenamento na nuvem
  • Armazenamento compartilhado
  • Dispositivos de rede
  • Logs dos sistemas
  • Logs dos dispositivos
  • Dispositivos GPS

Todo o processo de investigação depende da manipulação de dispositivos digitais é uma tarefa muito significativa. Esta é considerada uma das principais necessidades que devem ser cumpridas para realizar uma análise digital bem-sucedida.

Devido a existência de uma gama enorme de evidências possíveis, o manipulador de incidentes ou o primeiro profissional que manusear e processar os dispositivos disponíveis na cena do incidente deve ter extremo cuidado e bastante experiência em lidar com qualquer tipo de evidência que possa ser encontrada no local.

O objeto principal na análise forense digital é o dispositivo digital relacionado ao incidente sob investigação. O dispositivo digital pode ter sido usado para cometer um crime, para um ataque, ou é uma fonte de informação para o analista. Os objetivos da fase de análise no processo forense digital diferem de um caso para outro, por exemplo, em um caso de assassinato, pode haver um dispositivo móvel encontrado com a vítima, esse dispositivo poderá conter evidências necessárias para identificar o criminoso. Pode ser usado para apoiar ou refutar

hipóteses contra indivíduos ou entidades, ou pode ser usado para investigar incidentes de segurança localmente no sistema ou em uma rede.

 

4.1 Etapas (Coleta, Exame, Análise e Resultados)

Devido a necessidade de uma boa prática na execução dos procedimentos periciais, o perito pode basear-se em 4 etapas, que são elas: Coleta, Exame, Análise e Resultado.

ciclo

Fonte: https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-de-investigacao. Acesso em 25 de julho de 2016.

Coleta – Nesta fase, o perito deve ater-se aos cuidados com o a integridade do material coletado, ou seja, as informações jamais deverão sofrer quaisquer alterações durante a investigação e processo.

Exame – Nesta fase, o perito deve elaborar e executar um conjunto de procedimentos afim de recuperar e catalogar os dados contidos no dispositivo, esses procedimentos devem possuir embasamento científico. Ainda na fase de exame o perito deve extrair o máximo de informações possíveis, a utilização da técnica denominada Data Carving, técnica que favorece a recuperação de arquivos já eliminados do sistema.

“carving é feito em um disco quando o arquivo está em um espaço não alocado do sistema de arquivos, e ele não pode ser identificado devido à falta de informação sobre sua alocação, ou em capturas de rede onde os arquivos são extraídos do tráfego capturado utilizando-se as mesmas técnicas.” (Merola, 2008, p.4)

De acordo com NIST (2014, p. 3), carving é o processo de reconstrução de arquivos deletados, de um espaço de armazenamento não alocado ou extração de arquivos embutidos em um contêiner de arquivos, baseada no conteúdo do arquivo; metadados do sistema de arquivos devem ser considerados de forma secundária ou completamente ignorados.

“O ato de extrair, localizar e filtrar somente as informações que possam contribuir, de forma positiva, em uma investigação ocorre na segunda etapa, denominada “exame de evidências”. Considera-se esta, a etapa mais trabalhosa do processo de investigação criminal, principalmente pela quantidade de diferentes tipos de arquivos existentes (áudio, vídeo, imagem, arquivos criptografados, compactados, etc.) que facilitam o uso de esteganografia, o que exige que o perito esteja ainda mais atento e apto a identificar e recuperar esses dados” (Farmer, Venema, 2007, p.41)

Análise – Nesta fase, o perito examinará as informações coletadas no procedimento anterior, neste momento é feito a busca pelas evidências relacionada ao delito. Esta fase pode ser uma das mais demoradas no ciclo da perícia forense computacional.

Resultado – Nesta fase, é elaborado o laudo pericial ou parecer técnico, de acordo com procedimentos e argumentos cientificamente comprovados, neste momento as evidências encontradas são apresentadas. O perito deve estar atento as orientações para a criação do laudo, e redigi-lo com a maior clareza possível para facilitar a sua compreensão, além de apresentar a conclusão de forma imparcial.

 

5 CONSIDERAÇÕES FINAIS

O grande volume de dados e a igualmente a imensa quandidade de dispositos, tornam o trabalho do perito cada vez mais demorado e complicado, no entanto, com pensamento estratégico e o conhecimento técnico adequado, é possível obter bons resultados.

Notamos no estudo apresentado que o procedimento da perícia pode ser composto por algumas fazes que facilitam a organização do trabalho do perito e investigador. Também, da mesma forma, o fluxograma da prova de acordo com CPC de 2015, mostra o caminho a ser percorrido desde a necessidade da prova até o fim do seu tratamento.

Ficou evidente a necessidade de padrões para a condução adequada de uma investigação, bem como ter o esclarecimento necessário acerca dos termos mais comuns na área da perícia, transforma o trabalho que é extremamente complexo em determinados casos, em algo mais amigável e célere para o compromisso com a verdade no cumprimento da justiça.

 

6 REFERÊNCIAS

BONFIM, Edilson Mougenot. Curso de processual penal. São Paulo: Saraiva, 2008.

ELEUTÉRIO, Pedro Monteiro da Silva, MACHADO, Marcio Pereira. Desvendando a Computação Forense. 1ª ed. São Paulo: Novatec, 2011.

LOCARD, Edmond. Manual de Técnica Policíaca. Trad. A. Bon. 1ª ed. Valladolid (España): Editorial Maxtor, 2010.

MEROLA, Antonio. Data CarvingConcepts. SANS InfoSec Reading Room. [S.l.]. 2008. Disponível em: <https://www.sans.org/reading-room/whitepapers/forensics/data-carving-concepts-32969>. Acesso em: 23 jul. 2019.

MONTENEGRO FILHO, Misael. Curso de direito processual civil. 5. ed. São Paulo: Atlas, 2009. p. 410.

NIST. FORENSIC FILE CARVING TOOL SPECIFICATION. Draft for comments, version 1.0. National Institute of Standards and Technology, abr. 2014. Disponível em: < http://www.cftt.nist.gov/presentations/aafs-2014-lyle-ayers-file-carving.pdf >. Acesso em: 23 jul. 2019.

TEIXEIRA, Tarcisio. Curso de direito e processo eletrônico: doutrina, jurisprudência e prática. São Paulo: Saraiva, 2014.

  1. Perito Judicial, Ethical Hacker, Especialista em Computação Forense e DPO.

Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Perito em Forense Digital, Investigação de Fraudes | Perfilação Criminal e Análise Comportamental | OSINT, HUMINT | Autor e Professor | SI, Arquitetura Segura e Software Developer

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Psicologia Forense, Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics.

CBO 2041-10  "Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos"

FEATURED

Cursos populares

Curso Perito Forense Digital

Atualizações constantes

Seja um Perito Forense Digital

 A estrutura essencial para você poder entrar no mercado da perícia digital.

Neste curso de 20h, você encontrará aulas de conhecimento obrigatório para quem deseja se aventurar na Forense Digital. Compreendendo OSINT, Forense em Memória, Forense em e-mails, introdução à Investigação, Inteligência Cibernética e muito mais.

Operadores da lei que desejam entender os procedimentos iniciais de uma atuação na perícia digital e alguns exemplos de análise/exame de material digital coletado. Compreender os princípios básicos da Forense Digital. Os conceitos irão fazer a diferença na sua carreira profissional.

OSINT - Investigação Cibernética em Fontes Abertas

Certificado em Investigação Cibernética em Fontes Abertas

(OSINT, HUMINT, SIGINT)

Este curso irá te apresentar conceitos, técnicas e ferramentas para conduzir uma Investigação Cibernética em Fontes Abertas. Aqui será possível entender como fazer a investigação e manter-se no anonimato, investigar incidentes cibernéticos para apoio a equipes de resposta a incidentes. São abordados também assuntos como Criminal Profiling e o Ciclo de Inteligência do FBI, ampliando a visão no processo de investigação.

.

Curso Perfilação Indireta da Personalidade

Certificado

Curso - Introdução à Perfilação Indireta da Personalidade

A aplicação da Perfilação Indireta da Personalidade permite uma avaliação da personalidade do sujeito sem que ele saiba que está sendo avaliado, por meio de seus comportamentos e relações interpessoais. É uma técnica para coletar informações sobre a personalidade tanto da vítima quanto do agressor e a relevância da personalidade cruzada entre ambos.
Qual a contribuição para Análise de Credibilidade e Investigação de Fraudes? Qual a sua importância para  a Entrevista (forense, recrutamento e seleção, em casos de negociação com reféns, negociação empresarial, interrogatório, etc...)? É útil conhecer a personalidade de alguém para planejar uma intervenção policial com ele? A personalidade pode nos ajudar a entender por que um determinado crime ocorreu? É útil com um entrincheirado? com uma testemunha? com fonte humana? Para preparar um disfarce para um agente disfarçado? Para esclarecer um crime simulado?
Importante também no procedimento de autópsia psicológica.
Conteúdo:
1.Criminal Profiling;
2.Perfil Criminal;
3.Negociação (Com reféns, comercial, etc…);
4.Persuasão;
5.Entrevista (vítimas, suspeitos, testemunhas, …);
6.Levantamento de informações de fontes humanas (HUMINT);
7.Atendimento ao público (clínicas, hospitais, etc…)

.

Engenharia Reversa na Forense Digital - Udemy

Em nova plataforma

Atualizações constantes

Certificado em Engenharia Reversa e Análise de Malwares na Forense Digital

Aqui você compreenderá a utilização da Engenharia Reversa aplicada em Forense Digital, bem como a Análise de Malware.

O curso aborda diversos conceitos de forma prática. O estudo é baseado, em sua maioria, no .NET e .NET Core, pois é uma tecnologia que está sempre em evolução, sendo adicionada inclusive em Linux e MAC, ou seja, com o .NET Core, agora é multiplataforma.

Introdução ao Criminal Profiling

Análise de casos reais

Curso - Introdução ao Criminal Profiling

O Criminal Profiling é o processo de observação e reflexão com base na análise das evidências coletadas na cena do crime . A técnica de criação de perfil visa identificar e interpretar o comportamento ou as ações do crime com o objetivo de prever a personalidade do infrator, seu modus operandi e, possivelmente, as motivações para o crime. O objetivo da definição de perfil é, no entanto, não apenas obter uma possível identificação de características importantes do ofensor, mas também evitar a repetição de crimes semelhantes no futuro.

Aqui você conhecerá:

O que é Criminal Profiling?
A História do Criminal Profiling
A Psicologia Investigativa
Método BEA
Vitimologia
Transtornos de personalidade
Mass Murder, Spree Killer, Serial Killer
Predador Sexual em Série, Mitos
Abordagem Geográfica, Clínica, Top Down, Bottom Up
Modus Operandi e Assinatura
Coleta e Processamento de informações
Avaliação do crime
Hipóteses de perfil
Uso investigativo