PERÍCIA FORENSE COMPUTACIONAL
Petter Anderson Lopes[2] Resumo: Devido ao grande avanço tecnológico e a dependência de empresas e pessoas quanto aos equipamentos e sistemas informatizados, os crimes também evoluíram e tomaram esses equipamentos como ferramenta. Deste modo, o levantamento e análise de evidências digitais tanto para fins jurídicos ou comercias, requer um profissional capacitado para tal trabalho, sendo esse o Analista Forense, ou Perito Forense. O estudo a seguir demonstra alguns procedimentos presentes no ciclo da Perícia Forense Computacional, as práticas de preservação, coleta, análise e finalização são elucidadas ao longo do texto. Esclarecimentos acerca das responsabilidades do perito, bem como algumas dicas de investigação também são abordadas, assim como ferramentas gratuitas e alguns aspectos legais gerais que envolvem o assunto. Palavras-chave: Forense. Análise. Evidência. Crimes. Digital.1 INTRODUÇÃO
Dado o fato dos avanços tecnológicos intermitentes e necessários, sejam eles computadores, celulares, GPS’s e afins, os crimes também evoluíram e tomaram esses equipamentos como ferramenta. Deste modo, o levantamento e análise de evidências digitais tanto para fins jurídicos ou comercias, requer um profissional capacitado para tal trabalho, sendo esse o Analista Forense, ou Perito Forense. A computação forense ainda é um ramo pouco explorado, por consequência existem poucos profissionais habilitados e muito trabalho para fazer. Existem vários fatores que implicam na análise ou coleta das evidências. Para Garfinkel (2010) um dos maiores complicadores da computação forense é o aumento da capacidade de armazenamento dos dispositivos digitais, isso sugere que o analista forense possua equipamentos com a mesma capacidade e ainda tenha um tempo maior para coleta e análise. Afim de efetuar um procedimento correto de coleta e análise, visando a excelência na elaboração do laudo, é necessário seguir alguns passos de forma rigorosa e bem documentada, para isso deu-se a elaboração do presente artigo, onde durante a sua leitura será possível fazer a análise crítica acerca deste assunto, o objetivo deste estudo não é esgotar o assunto, pois ainda há muito a ser pesquisado.2 REFERENCIAL TEÓRICO
2.1 O conceito de Perícia Forense Computacional
A Perícia Forense Computacional é definida como ciência multidisciplinar, ela por sua vez aplica técnicas investigativas para determinar e analisar evidências, diferentemente dos outros tipos de perícias forense conhecidos, a análise forense computacional produz resultados diretos e não interpretativos conforme os outros modelos, sendo por sua vez decisivos em um caso. Baseado nas técnicas de recuperação de dados, surgiu a Perícia Forense Computacional ou Computação Forense, com mais de 40 anos de existência, sua finalidade é auxiliar na solução de casos onde são cometidos crimes com o auxílio de dispositivos computacionais. De acordo com o Colégio Notarial do Brasil (CNB) em 2014, baseados nos registros de atas notariais, somente no estado de São Paulo, o total de atos em todo o Brasil chegou a 18.820 em 2012 e a 32.011 em 2013, um aumento de 70% no território nacional. De acordo com o artigo 159, o Código de Processo Penal Brasileiro (CPP) impõe que “O exame de corpo de delito e outras perícias serão realizados por perito oficial, portador de diploma de curso superior”. Sendo assim, a Análise Forense Computacional deverá ser realizada por profissional devidamente habilitado, “destinada a determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crimes, por meio de métodos técnico-científicos, conferindo-lhe validade probatória em juízo” (ELEUTÉRIO / MACHADO, 2011). Ainda para o CPP segundo o artigo 158: “Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado”, desta forma firma-se a importância de um profissional devidamente capacitado, afim de que consiga avaliar as informações em meios digitais, esse profissional recebe o título de Perito Forense Computacional. O perito deve conhecer profundamente o sistema operacional que está destinado a verificar, entender a legislação e o caso em que estiver trabalhando, bem como deve possuir profundo conhecimento em redes, programação e técnicas de coletas de dados, além é claro de ser dotado de bom caráter, ética e profissionalismo.2.2 Procedimentos, técnicas e ferramentas
De acordo com Reis e Geus (2004) a Computação Forense tem como objetivo efetuar um processo de investigação, onde com a maior transparência possível objetiva-se provar o fato ou fatos ocorridos. É também de extrema importância que o perito responsável pela investigação tenha muito cuidado com o manuseio das evidências encontradas, preservando todos os dados obtidos. “Na fase de planejamento, tem que se definir a melhor abordagem para a investigação, identificando as principais atividades que precisarão ser executadas, de acordo com as informações obtidas preliminarmente, de modo a aproveitar melhor a coleta de dados. Dar início a criação de uma cadeia de custódia, ou seja, um histórico dos passos tomados na investigação, reunindo informações sobre os procedimentos, pessoas envolvidas e evidências recolhidas”. (REIS e GEUS, 2004, p.54) Antes de começar a investigar algumas das boas práticas que antecedem coletas de dados são: esterilização das mídias ou usar mídias novas em cada investigação; certificar- se de que todas as ferramentas que serão usadas estão licenciadas e prontas para utilização; deve se providenciar que nada seja alterado sem o consentimento do perito; filmar ou fotografar o local para registrar detalhes. O correto armazenamento das informações é fundamental para garantir a integridade e veracidade das provas e o armazenamento deve ser feito em local seguro por pessoas extremamente éticas e profissionais, para que de forma alguma não caia em mãos erradas. Para iniciar a coleta de novos dados é preciso primeiramente, manter o estado do equipamento, se estiver ligado o mesmo não poderá ser desligado. Dessa forma não haverá modificações nas evidências. Devido a necessidade de uma boa prática na execução dos procedimentos periciais, o perito pode basear-se em 4 etapas, que são elas: Coleta, Exame, Análise e Resultado. Figura 1 – Ciclo de vida da Perícia Forense Computacional.
3 METODOLOGIA
O mesmo foi dividido em duas partes, o primeiro é a pesquisa bibliográfica para aprimorar o embasamento sobre o assunto, técnica que, segundo Gil (2008) constitui-se em ser desenvolvida com base em material já elaborado podendo ser encontrado em livros e artigos científicos. A etapa seguinte é desenvolvida com o auxílio da pesquisa qualitativa por meio de testes práticos.3.1 Método (s) de pesquisa
Nesse estudo o método de pesquisa a ser utilizado é a pesquisa qualitativa que, dar-se-á por meio de técnicas de data carving. Para Godoy (1995) há um conjunto de características que são capazes de identificar uma pesquisa qualitativa, como:- O pesquisador como instrumento fundamental e o ambiente natural como fonte direta de dados;
- O caráter descritivo;
- Enfoque indutivo;
- O significado das coisas e da vida conforme para as pessoas como preocupação do investigador.
3.2 Delimitação da população ou do objeto de estudo e/ou amostragem
A análise deu-se em uma máquina virtual, onde o objeto de estudo foi a imagem de um pendrive com 10MB de capacidade. Os dados foram disponibilizados por meio do site http://eriberto.pro.br/wiki/index.php?title=Forense_caso_02, bem como a ordem de investigação. O caso é fictício e foi elaborado por terceiro para fins educativos.3.3 Técnicas de coletas dos dados
Os dados foram disponibilizados por meio do site http://eriberto.pro.br/wiki/index.php?title=Forense_caso_02, onde encontra-se a imagem de um pendrive com 10MB de tamanho, sob o hash MD5 a5118b4e11592b5fe183cb3abbaf18e2.3.4 Técnicas de análise dos dados
Para a análise de dados foi necessário abordar a análise exploratória e sistemática dos dados, onde foi feito uma pesquisa de termos mais usados para identificar informações de usuários, data, hora, recuperação de arquivos, conforme a própria ferramenta FTK Imager da empresa AccessData, o programa Autopsy versão 4.0.0 para Windows e a distribuição Linux para forense o Caine versão 7. 4 ANÁLISE E DISCUSSÃO DOS RESULTADOS4.1 Tipos de criminosos virtuais
Wizard – Para BEZERRA (2012) este é considerado o mestre dos hackers, possui um grande conhecimento e habilidades variadas, mas nem sempre com má-intenção. Hackers – Dotados de altos conhecimentos em informática, os mesmos utilizam suas técnicas para elevar o ego, invadem sistemas por diversão para exibir-se a sociedade. Para NOGUEIRA (2001) no mundo digital é adotado o termo hacker para descrever o criminoso que atua neste meio, apesar de não haver um consenso entre autores estes são divididos em vários outros termos de acordo com o tipo de crime cometido por eles. Crackers – Conforme ASSUNÇÃO (2002) esses são conhecidos como Hackers antiéticos, pois utilizam o seu conhecimento para penetrar por meio de invasão sistemas e sites, com o objetivo de furtar informações confidenciais, trazem prejuízos para as empresas, pessoas, e também adulteram dados e informações. Phreakers – são especializados em fraudar sistemas de telecomunicação. Utilizam programas e equipamentos para que possam utilizar telefones gratuitamente. De acordo com ASSUNÇÃO (2002) alguns phreakers brasileiros com alta capacidade técnica conseguem acesso direto a centrais de telefonia, podendo ligar ou desligar telefones, assim como apagar contas. Lameré – Este conforme BEZERRA (2012) não possui experiência e apenas faz buscas na internet e livros hacker para explorar falhas já conhecidas, com o uso de ferramentas e técnicas indicadas por hackers. Wannabeés – de acordo com BEZERRA (2012) é um criminoso que se intitula como Hacker ou Cracker, mas na verdade não dispõe das habilidades necessárias para receber esse título. Esse indivíduo limita-se a utilizar programas prontos desenvolvido por algum especialista, e não possui profundos conhecimentos.4.2 Tipos de crimes virtuais
Crimes Contra a Honra – Normalmente cometidos em redes sociais são: difamação, calúnia e injúria. Pornografia Infantil – Para ROSA (2002) as pessoas confundem pedofilia com pornografia infantil., entretanto o mesmo esclarece que a pedofilia é a perversão sexual, onde o adulto tem contato erótico com a criança ou adolescente, no entanto na pornografia infantil, faz-se a comercialização ou distribuição de fotos pornográficas ou eróticas que envolvam crianças e adolescentes. Discriminação – De acordo com ROSA (2002) comumente praticado na internet é um crime relacionado com o preconceito de raça, cor, etnia, religião, nacionalidade, etc. Onde por meio se sites de relacionamentos sociais, são criados comunidades e grupos racistas, onde muitas vezes marcam encontros para praticar o mal. Fraudes Bancárias – normalmente utilizam algum tipo de e-mail malicioso para disseminar programas que se instalados, copiam dados dos usuários. Invasão – É o ato de tomar acesso a determinada conta virtual ou servidor, crime esse muito comum nos dias atuais, necessita de alto conhecimento do atacante. Pode representar um grande poder de prejuízo. Vírus – É o programa de computador desenvolvido com o objetivo de causar algum tipo de dano a um dispositivo computacional.4.3 Objeto da perícia
Conforme já mencionado, o caso da análise é fictício e foi elaborado por terceiros, entretanto apesar de se tratar de uma situação meramente educativa, eu Petter Anderson Lopes, não possuo conhecimento prévio acerca das informações contidas na imagem a ser periciada. Deste modo ainda que fictício o material pode ser examinado como uma situação normal do dia a dia do perito.4.4 A solicitação da investigação
Tabela 1 – Caso fictício para elucidar crime de estelionato, fraude bancária.Caso 02 – O pendrive de um estelionatário Brasília, DF, 10 de maio de 2010 Atualização em: 05 de outubro de 2011 JORNAL DIÁRIO DO DIA DE HOJE São Paulo, SP, 10 de maio de 2010 Agora há pouco foi preso um famoso estelionatário, conhecido como Otavio Santana Souza. Otavio praticava, dentre outras coisas, o crime de desvio de dinheiro de contas bancárias. As senhas das contas eram obtidas por intermédio de técnicas de phishing. Otavio cometia esse tipo de crime em parceria de uma mulher conhecida como “Ka” (dado obtido pela polícia por escuta telefônica). Uma das pessoas mais lesadas com a ação criminosa, ainda no dia de hoje, foi o Sr. Alexandre, que declarou: “só reparei que tinha caído num golpe quando passei o cartão numa loja e não tinha saldo”. A polícia encontrou um pequeno e antigo pendrive com Otavio e está analisando o seu conteúdo. Com base nas informações fornecidas pelo texto anterior, tente levantar todas os dados possíveis sobre as ações criminosas praticadas, analisando a imagem de pendrive fornecida (10 MB de tamanho). O hash MD5 da imagem é a5118b4e11592b5fe183cb3abbaf18e2. |







Name | /img_caso_02.dd/a |
Type | File System |
Size | 805 |
File Name Allocation | Unallocated |
Metadata Allocation | Unallocated |
Modified | 2010-05-10 21:57:38 BRT |
Accessed | 2010-05-09 23:00:00 BRT |
Created | 2010-05-10 21:57:38 BRT |
Changed | 0000-00-00 00:00:00 |
MD5 | c07c69401f4f85c8d29dfb5b95154d9d |
Hash Lookup Results | UNKNOWN |
Internal ID | 55 |
5 CONSIDERAÇÕES FINAIS
Desde a criação do computador e sua atribuição para facilitar os trabalhos humanos, é possível perceber sua grande evolução, bem como a velocidade em que são criadas novas soluções e equipamentos. Da mesma forma em que a tecnologia avança, os crimes que até então só eram praticados no mundo real agora começaram a ganhar outra forma, a forma virtual. Assim é possível afirmar que a necessidade de profissionais especialistas na área de investigação digital é mais do que imprescindível. Atualmente com o grande volume de dados e facilidade em obter equipamentos com uma alta capacidade de armazenamento, faz com que o trabalho do perito computacional seja cada vez mais demorado e complicado, percebemos que o uso de ferramentas antiforense tem aumentado e vem fazendo com que muitas vezes o trabalho da investigação passe a ser impossibilitado. No entanto, não bastando as ferramentas antiforense tornarem-se mais populares, o próprio criminoso tem acesso mais fácil a tais artefatos. Como a internet tem incluído todos esses itens no cotidiano de muitos criminosos, o encontro por tutoriais de utilização das mesmas também é maior. Como podemos ver existem diversos tipos de criminosos digitais, e com os mais variados perfis de conhecimento. Felizmente há pessoas capacitando-se para tornarem-se experts e auxiliar a justiça na elucidação de crimes praticados por meios computacionais. É de extrema importância que empresas e governo tomem conhecimento desse assunto e invistam para sua coibição.6 REFERÊNCIAS
ASSUNÇÃO, Marcos Flávio A. Guia do Hacker Brasileiro. 1. ed. Florianópolis: Visual Books, 2002. BASTA, Alfred, BASTA, Nadine, BROWN, Mary. Segurança de Computadores e Testes de Invasão. Tradução: Lizandra Magnon de Almeida. Cengage Learning Edições LTDA, 2015. ELEUTÉRIO, Pedro Monteiro da Silva, MACHADO, Marcio Pereira. Desvendando a Computação Forense. 1ª ed. São Paulo: Novatec, 2011. GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, 2008. GODOY, Arilda Schmidt. Introdução à pesquisa qualitativa e suas possibilidades. RAE – Revista de Administração de Empresas, São Paulo, v. 35, n. 2, p. 57-63, mar./abr. 1995. Pesquisa qualitativa: tipos fundamentais. RAE – Revista de Administração de Empresas, São Paulo, v. 35, n. 3, p. 30-6, jan./fev. 1995. GUIMARÃES, Célio, OLIVEIRA, Flávio, REIS, Marcelo, GEUS, Paulo de. Forense Computacional: Aspectos Legais e Padronização; Anais do Wseg’2001 (I Workshop de Segurança em Sistemas Computacionais); Florianópolis – Brasil; MEROLA, Antonio. Data CarvingConcepts. SANS InfoSec Reading Room. [S.l.]. 2008. Disponível em: <https://www.sans.org/reading-room/whitepapers/forensics/data-carving-concepts-32969>. Acesso em: 21 abr. 2016. NIST. FORENSIC FILE CARVING TOOL SPECIFICATION. Draft for comments, version 1.0. National Institute of Standards and Technology, abr. 2014. Disponível em: < http://www.cftt.nist.gov/FC-req-public-draft-01-of-ver-01.pdf>. Acesso em: 21 abr. 2016. NOGUEIRA, José Helano Matos. A nova face do crime. Revista Perícia Federal. Ano III n° 9, julho 2001. QUEIROZ, Claudemir e VARGAS, Raffael; Investigação e Perícia Forense Computacional. 1. ed. Rio de Janeiro: Brazport, 2010. REIS, Marcelo Abdalla dos, GEUS, Paulo Lácio de. Análise Forense de Intrusões em Sistemas Computacionais: Técnicas, Procedimentos e Ferramentas. Instituto de Computação -Universidade Estadual de Campinas, 2004, p.54. ROSA, Fabrízio. Crimes de Informática. Campinas: 2. ed. Campinas: Bookseller, 2002- Artigo da APS da Graduação em Segurança da Informação professor supervisor Rafael Kurmann. ↑
- Aluno de Curso de Graduação. ↑
- MD5 comumente utilizado quando você necessita comparar informações. ↑
- SHA-1 é a mais amplamente utilizada das funções de dispersão SHA existentes, sendo empregada em vários protocolos e aplicações amplamente utilizadas. ↑

Petter Anderson Lopes
Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis, Análise da Conduta Humana
Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling
CEO da PERITUM – Consultoria e Treinamento LTDA.
Criminal Profiler e Perito em Forense Digital | Criminal Profiling & Behavioral Analysis | Entrevista Investigativa | OSINT, HUMINT | Neurociências e Comportamento | Autor, Professor
Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik M.S., V.S.M. Supervisory Special Agent, F.B.I. (Ret.) e especialistas da Sección de Análisis del Comportamiento Delictivo (SACD - formada por expertos en Psicología y Criminología) da Guarda Civil da Espanha, chancelado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).
Certificado em Forensic Psychology (Entrevista Cognitiva) pela The Open University.
Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics. Segurança da Informação, Software Developer