ESCOLA ESTADUAL DE EDUCAO PROFISSIONAL DR.

SOLON TAVARES
CURSO DE TCNICO DE INFORMTICA

Jorge Alberto Martins Nunes

UM ESTUDO DE SOBRE PERCIA FORENSE COMPUTACIONAL

Os crimes cibernticos e a legislao brasileira

Guaba
2015

Jorge Alberto Martins Nunes

UM ESTUDO DE SOBRE PERCIA FORENSE COMPUTACIONAL

Os crimes cibernticos e a legislao brasileira

Trabalho apresentado a Escola Estadual

de Educao Profissional Dr. Solon Tavares como requisito para a obteno do ttulo de Tcnico em Informtica.
Orientador: Prof. Csar Augusto Neves

Guaba
2015

UM ESTUDO DE SOBRE PERCIA FORENSE COMPUTACIONAL

Os crimes cibernticos e a legislao brasileira

Trabalho de Concluso apresentado Escola Estadual de Educao Profissional Dr.

Solon Tavares como requisito parcial para obteno do ttulo de Tcnico em
Informtica.
AVALIADO POR

Prof. Csar Augusto Neves Licenciatura em Letras - UFRGS

Aprovado em

DEDICATRIA

Isto para os loucos. Os desajustados. Os rebeldes. Os criadores de caso.

Os que so peas redondas nos buracos quadrados. Os que vem as coisas de
forma diferente. Eles no gostam de regras. E eles no tm nenhum respeito pelo
status quo. Voc pode cit-los, discordar deles, glorific-los ou difam-los. Mas a
nica coisa que voc no pode fazer ignor-los. Porque eles mudam as coisas.
Eles empurram a raa humana para frente. Enquanto alguns os vem como loucos,
ns vemos gnios. Porque as pessoas que so loucas o suficiente para achar que
podem mudar o mundo so as que, de fato, mudam.
A Apple Inc.
(Traduzido do original The Crazy Ones)

AGRADECIMENTOS

Agradecer primeiramente ao Supremo Criador do Universo, por me iluminar e

abenoar minha trajetria.
Aos meus queridos pais Joo Alberto e Ladislaide (in memoriam), que me
trouxeram com todo o amor e carinho a este mundo, dedicaram, cuidaram e doaram
incondicionalmente seu sangue e suor em forma de amor e trabalho por mim, despertando e alimentando em minha personalidade, ainda na infncia, a sede pelo co
- nhecimento e a importncia deste em minha vida.
Aos meus amados filhos Isadora e Leonardo, que sempre elevaram minha autoestima e principalmente por acreditarem e reascenderem em mim, o interesse pelo
antigo sonho de me formar na rea de Informtica.
minha esposa, Sandra, pacientemente sempre me dando conselhos, fora,
coragem e incentivo.
Aos meus ancestrais, pela proteo e inspirao.
Aos professores Rodrigo Warzak e Eduardo Sarturi, que no princpio foram de
suma importncia para a realizao desse estudo.
Ao meu orientador Csar Augusto Neves pelo apoio e conhecimento transmitido.
Aos abutres, por me ajudarem com a coleta dos dados.
A todos que de alguma forma ajudaram, agradeo por acreditarem no meu
potencial, nas minhas ideias, nos meus devaneios, principalmente quando nem eu
mais acreditava.

 A principal meta da educao criar homens que sejam capazes de fazer coisas
novas, no simplesmente repetir o que
outras geraes j fizeram. Homens que
sejam criadores, inventores, descobridores. A segunda meta da educao formar mentes que estejam em condies de
criticar, verificar e no aceitar tudo que a
eles se prope.
(Jean Piaget)

RESUMO

O presente trabalho se constitui em uma pesquisa bibliogrfica, documental e normativa voltada reunio de subsdios suficientes para a composio de uma proposta de estrutura para a
insero da competncia de percias forenses computacionais na grade curricular do Curso de
Tcnico de informtica. Visando atingir o objetivo proposto, foram analisadas recomendaes
de organizaes relevantes ligadas percia forense computacional, modelos de estruturas
adotados por organizaes governamentais engajadas na realizao da percia, alm dos padres estabelecidos pela Associao Brasileira de Normas Tcnicas. Foram considerados, ainda, os preceitos da legislao Brasileira, bem como a realidade normativa da Administrao
Pblica Federal, de modo a alcanar a maior completude, abordando desde a misso da estrutura at o perfil dos peritos, passando pela estrutura de gerenciamento de laboratrios.

Palavras chaves: percia computacional cibercrime - segurana

ABSTRACT

This work constitutes a literature, document and rules search aimed to gather sufficient subsidies to the composition of a proposed structure for inserting the competence of computer forensic skills in the curriculum of Computer Technician Course. In order to achieve the proposed objective, we analyzed relevant organizations of recommendations related to computer forensics, structural models used by government organizations engaged in realization of expertise in addition to the standards established by the Brazilian Association of Technical Standards.
The precepts of the Brazilian legislation and the normative reality of the Federal Public Administration have been considered also in order to achieve greater completeness, addressing
from the mission's structure to the profile of experts, through laboratory management structure.

Keywords: computer forensics cybercrime security

LISTA DE FIGURAS

Figura 1: Fases de um processo de Investigao...........................................................25

Figura 2: Exemplo de formulrio de cadeia de custdia...............................................28
Figura 3: Exemplo de ocultamento de uma mensagem.................................................30

SUMRIO

1 INTRODUO..................................................................................................................11
2 REFERENCIAL TORICO.............................................................................................13
2.1 CONCEITOS................................................................................................................13
2.1.1 Criminalstica.......................................................................................................13
2.1.2 Crimes...................................................................................................................14
2.1.3 Crimes Computacionais...................................................................................15
2.1.4 Percia Forense...................................................................................................18
2.1.5 Percia Forense Computacional.....................................................................18
2.2 ETAPAS DA FORENSE DIGITAL..............................................................................22
2.2.1 Coleta de Evidncia em Equipamentos Computacionais.......................22
2.2.2 Exame de Evidncia em Equipamentos Computacionais......................23
2.2.3 Anlise de Evidncia em Equipamentos Computacionais.....................23
2.2.4 Apresentao dos Resultados.......................................................................24
2.2.5 Metodologia Forense Computacional..........................................................25
2.2.6 Investigao Forense........................................................................................26
2.2.7 Procedimentos e mtodos aplicados percia computacional............27
2.3 FERRAMENTAS FORENSES...................................................................................31
2.3.1 Ferramentas para Coleta das Informaes.................................................32
2.3.2 Ferramentas para Exame das Informaes................................................33
2.3.3 Ferramentas para Anlise das Informaes...............................................34
2.3.4 Ferramentas Forenses de Primeiro Atendimento.....................................34
3 A CONVENO DE BUDAPESTE...............................................................................35
4 LEGISLAO BRASILEIRA.........................................................................................38
4.1 CONSTITUIO FEDERAL......................................................................................39
4.2 CDIGO DE PROCESSO PENAL...........................................................................40
5. METODOLOGIA...............................................................................................................43
4.1 RESULTADOS E ANLISE DE DADOS..................................................................45
6 CONSIDERAES FINAIS.............................................................................................46
REFERNCIAS BIBLIOGRFICAS..................................................................................48

10

1 INTRODUO
Devido ao aumento exponencial da utilizao de computadores e da Internet
nos ltimos anos, tornou-se essencial a apurao dos crimes realizados atravs de
ambientes computacionais. Assim, para a investigao e coleta de evidncias de
atos ilcitos cometidos por meio de computadores surgiu a Forense Computacional,
definida como a inspeo cientfica e sistemtica em ambientes computacionais,
com o objetivo de coletar evidncias digitais, com a finalidade de promover a
reconstituio dos eventos encontrados, podendo determinar se o ambiente em
anlise foi utilizado na realizao de atividades ilegais ou no autorizadas.
Assim, considerando-se a quantidade de softwares e mtodos existentes para
a investigao de crimes digitais nos dias de hoje, o presente trabalho objetiva
analisar ferramentas e tcnicas de Forense Computacional utilizadas na coleta de
informaes e percias em imagens de mdias digitais, muitas das quais so
disponibilizadas na Internet para estudo de peritos digitais e uma busca

na

legislao brasileira e internacional que trata do assunto, assim como uma pequena
exposio da Conveno de Budapeste.
A escolha do tema Percia Forense Computacional foi motivada por sua
importncia na composio da Segurana Ciberntica e, tambm, por sua relevncia
no desempenho de atividades voltadas na resoluo de casos e crimes no mundo
ciberntico. Nos dias atuais, existe a necessidade de criar mtodos eficientes e
realizar aes eficazes contra a prtica de atividades ilegais que ocorrem
diariamente no mundo virtual. Deste modo, importante que a Percia Forense
Computacional atue no apoio a Justia, com a finalidade de investigar crimes que
ocorrem com certa frequncia no espao ciberntico praticados por usurios
maliciosos e invasores de sistemas.

Portanto, o presente trabalho pretende

contribuir com o conhecimento cientfico por meio de um estudo sobre a execuo

do servio de Percia Forense Computacional, atividade esta desempenhada por
peritos e profissionais especializados na rea.
Este relatrio est dividido da seguinte forma: Aps o levantamento e anlise
das diversas fontes, nos tpicos seguintes so apresentados os

resultados,

agrupados por sua natureza. No item 2.1. so apresentadas recomendaes e

padres propostos por organizaes que, em nvel nacional e mundial, so
reconhecidas como referenciais para a percia computacional. Em seguida, no item 3

so mostrados os preceitos contidos na legislao Brasileira julgadas pertinentes

para a pesquisa. Aps essa abordagem, no item 4 so exibidos modelos e dados
relevantes de organizaes governamentais que tem a realizao da percia
computacional entre suas atribuies.
Espera-se com isso mostrar se houve evoluo nos mtodos utilizados pelos
cibercriminosos para a perpetuao de um crime atravs na rede mundial de
computadores, propondo tambm identificar se as tcnicas para eliminao de
provas so eficazes e podem resultar no sucesso do criminoso. Dever apresentar
as qualidades necessrias de um perito para a realizao do trabalho investigativo e
o que pode ser esperado no futuro em relao tica desse profissional com o
aumento de seu conhecimento tcnico. necessrio esclarecer se a identificao da
autoria dos crimes possvel ou se o anonimato garantido. Em casos de sucesso
na identificao do autor do crime como esto as leis atuais para julgamento e leis
existentes.

2 REFERENCIAL TORICO
Considerando

percia

forense

computacional

como

uma

atividade

relativamente recente, em relao a qual ainda h lacunas, foi buscado na literatura

uma base com a maior solidez possvel, visando ao embasamento para a fase de
discusso. A seguir, so apresentados alguns conceitos relacionados atividade de
percia forense computacional, seguidos de consideraes a respeito de entidades
relevantes a ela relacionadas. Por fim, so apresentados alguns dos principais
desafios relacionados percia computacional.

2.1 CONCEITOS
2.1.1 Criminalstica
A criminalstica considerada uma disciplina nascida da Medicina Legal, esta
quase to antiga quanto a prpria humanidade. Isto porque nas pocas passadas o
mdico era pessoa de grande saber sendo, portanto sempre consultado, mas com
os avanos dos diversos ramos das cincias, como a Qumica, a Biologia e a Fsica,
houve a necessidade de especializao, o que fez com que outros profissionais
passassem a ser consultados. Afirma-se que a criminalstica nasceu com HANS
GROSS, o qual considerado o pai, j que foi ele quem cunhou este termo, juiz de
instruo e professor de direito penal austraco, autor da obra System Der
Kriminalistik, em 1893. Considerada um manual de instrues dos juzes de direito,
a qual definia a criminalstica como O estudo da fenomenologia do crime e dos
mtodos prticos de sua investigao. Criminalstica definida como disciplina cujo
objetivo o reconhecimento e interpretao dos indcios materiais que no fazem
parte do corpo humano ou identidade das pessoas envolvidas no delito.
Englobando conhecimentos estruturados em vrias outras disciplinas como a
Matemtica, Qumica, Tecnologia, a criminalstica tem como objetivo principal, a
ampliao do conhecimento e desenvolvimento de novas tcnicas para

aperfeioamento da evidncia, fornecendo assim a justia provas objetivas. A

criminalstica pode ser dividida em duas fases, sendo a primeira aquela em que se

buscava a verdade atravs de mtodos primitivos, mgicos ou atravs da tortura,

considerando que na maioria das vezes no se conseguia obter uma confisso do
acusado de forma espontnea. A segunda fase procurava a verdade atravs de
mtodos racionais, surgindo assim os fundamentos cientficos da criminalstica
deixando de lado as crenas nos milagres e mgicas. Paralelamente verificou-se
que atravs das cincias naturais possvel interpretar os vestgios do delito atravs
da analise das evidncias do fato e sua autoria. Desde o seu surgimento a
criminalstica visa estudar o crime de forma a no distorcer os fatos, zelando pela
integridade e sempre perseguindo a evidncia de forma a oferecer a justia, um
meio de obter os argumentos decisrios para a prolao da sentena (ZARZUELA,
1996).

2.1.2 Crimes
Crime definido como toda a ao ou omisso, tpica, antijurdica, tal que:
a) Ao ou omisso: Significa que o crime sempre praticado atravs de uma
conduta positiva (ao). Ou atravs de uma forma negativa (omisso). b) Tpica:
Significa que a ao ou omisso praticada pelo criminoso deve ser tipificada, isto ,
descrita em lei como delito. c) Antijurdica: Significa que a conduta sendo ela positiva
ou negativa, alm de tpica, deve ser antijurdica, isto , contrria ao direito. Ser
antijurdica a conduta que no encontrar uma causa que venha a justific-la. d)
Culpvel: Significa o que se passa na mente do criminoso que praticou um delito,
podendo ter desejado um resultado criminoso (agiu com dolo direto); ter se arriscado
e produzido um resultado criminoso (agiu com dolo direto eventual); ou, ainda no
ter desejado aquele resultado criminoso, mas o mesmo ocorreu por imprudncia,
negligncia ou impercia (agiu com culpa) (ELEUTRIO, 2008).
Para que um crime seja considerado, necessrio percorrer toda uma rota de
evidncias, apreciando e analisando todas as caractersticas que o delito deve
apresentar e apenas depois disso chegar a uma concluso. O conceito de crime
ainda esta em evoluo, porm acredita-se que o conceito adotado perdurar por
muito tempo (ELEUTRIO, 2008).

2.1.3 Crimes Computacionais

Os crimes computacionais, crimes eletrnicos, crimes informticos, entre
outros termos utilizados surgiram no final do sculo XX e compreendem todas as
formas de conduta consideradas ilegais realizadas utilizando o computador, como a
pirataria de softwares, manipulao de dados ou informaes, espionagem, acesso
no autorizado a redes e computadores, abusos nos sistemas de telecomunicao
entre muitos outros. Desde o seu surgimento os crimes computacionais tm
preocupado o mundo, porm, no h um consenso para a classificao dos crimes
computacionais. Para ARAS (2008) na doutrina brasileira, tem-se asseverado que
os crimes informticos podem ser puros (prprios) e impuros (imprprios).
Os crimes considerados puros ou prprios so aqueles praticados atravs do
computador os quais se realizam tambm por meio eletrnico, onde a informtica
o objeto jurdico tutelado. J nos crimes considerados impuros ou imprprios so
aqueles em que para se produzir o resultado naturalstico que atue no mundo fsico
ou o espao real, lesando outros bens no-computacionais da informtica
(DAMSIO apud ARAS, 2008). Muitos crimes realizados com o uso da internet
podem ser considerados como prprios ou imprprios, como o pishing, trojan e
spam. Atualmente estes crimes geram prejuzos enormes, os bancos estipulam
valores em centenas de milhes de reais. O pishing um tipo de fraude eletrnica
com o objetivo de se obter dados valiosos para posteriormente realizar uma fraude
ou um roubo. Estas informaes so obtidas atravs de sites falsos, e-mails falsos
usando sempre de pretextos falsos para enganar a quem recebe a mensagem. No
caso do trojan ou cavalo de tria, tem como principal objetivo entrar no computador
e liberar o acesso do mesmo atravs de uma porta para que o criminoso possa
acess-lo posteriormente e procurar por senhas no computador da vtima. O spam
toda mensagem enviada para vrios destinatrios que no solicitaram a mesma. O
termo spam nome de um tipo de carne enlatada da empresa norte-americana
Hormel Food, este termo tornou-se sinnimo de incomodo na dcada de 70 em um
dos episdios de um grupo humorstico ingls Monty Pyton, no qual o grupo de
vikings repetia incansavelmente a palavra spam, importunando a todos que
estavam em um bar. Com o surgimento da internet o termo spam virou sinnimo de
mensagens indesejadas. Muitas vezes estas mensagens trazem links para pishing e
trojans.

De acordo com Zillo Neto (2006) o SPAM :

[...] Um problema de segurana e at mesmo de produtividade que
continua sendo explorado, afinal ainda existem usurios que "clicam"
nos e-mails indesejados. Se o "recurso" de Spam continua sendo
utilizado, com certeza ele ainda d "lucros". Fica comprovado que as
"caixinhas" no resolvem esses problemas definitivamente, a
educao e conscientizao de usurios deve ser uma estratgia
complementar.

No mundo digital adotado o termo hacker para descrever o criminoso que

atua neste meio, apesar de no haver um consenso entre autores estes so
divididos em vrios outros termos de acordo com o tipo de crime cometido
(NOGUEIRA, 2001). Hackers em geral so simples invasores de sistemas, os quais
realizam tais invases como forma de desafiar seus prprios conhecimentos e
segurana de sistemas informatizados do governo ou grandes empresas privadas,
tendo como objetivo o reconhecimento de suas habilidades mesmo que agindo de
forma annima, apenas por assim dizer para alimentar o seu ego. No incio foram
recebidos como os grandes heris da informtica, pois atravs de seus atos teriam
contribudo diretamente para o aperfeioamento dos computadores pessoais e
corporativos, a segurana dos sistemas informticos bem como para

desenvolvimento da indstria do software. Estes hackers por sua contribuio e

tambm por no terem como objetivo o abuso ou furto de informaes ou prejuzo a
empresas e governo so considerados os hackers ticos. Os crackers so
considerados os hackers antiticos, pois agem como os hackers, porm utilizam o
seu conhecimento para invadir sistemas informticos, furtar informaes, adulterar
dados, prejudicar pessoas, empresas, governos e o que mais for necessrio para
obter o que desejam, causando os mais diversos tipos de prejuzo as vtimas e
tambm a sociedade.
Os phreakers so os hackers por assim dizer especializados em fraudar
sistemas de telecomunicao, fraudando linhas de telefone

convencionais e

celulares para fazer uso destas de forma gratuita. O Lamer o indivduo que realiza
seus ataques baseado em informaes encontradas em sites e livros de hackers
para invadir redes ou computadores pessoais com segurana frgeis. O Wannabe
o indivduo que se intitula hacker ou cracker, porm ainda no possui
conhecimento necessrio para denominar-se assim. De posse de programas

para

realizar invaso a computadores apenas sabe como utiliz-los e no os conhece a

fundo o funcionamento dos mesmos. O Wizard tido entre os criminosos como o
mestre dos hackers, seus conhecimentos so profundos e variados, no sendo
necessariamente mal-intencionado. Tem o status de mito, com direito a lendas e
casos sobre ele (NOGUEIRA, 2001). No mundo computacional ainda existem vrias
outras definies para os criminosos eletrnicos, como os cyberpunks e os
cyberterrorists que aplicam seus conhecimentos para o desenvolvimento de vrus de
computador com objetivos de sabotar redes de computadores, roubar dados
confidenciais e em alguns casos realizar ataques de negao de servio. Apesar de
todas as definies utilizadas para os criminosos eletrnicos a grande maioria das
pessoas utiliza a palavra hacker para identificar o criminoso.
Os crimes computacionais podem ocorrer de diversas formas utilizando-se de
recursos como a Engenharia Social onde nem mesmo necessrio conhecimento
tcnico, mas o importante ter o conhecimento do comportamento humano afim de
que se consigam as informaes do alvo atingido de forma que ele mesmo no
perceba que estas foram passadas. Quebras de senha tambm so ataques
comuns, pois nesses casos os hackers tentam obter as senhas de redes as quais
esto conectados utilizando-se de vrios mtodos como, por exemplo, o ataque de
fora bruta onde so efetuadas vrias tentativas at que se consiga descobrir a
senha e credencial correta ou atravs de programas quebradores de senha os quais
tambm utilizam tentativa e erro para a descoberta de credenciais. Existem tambm
os ataques de backdoor, ou porta dos fundos, onde os programadores deixam
portas abertas em programas para futuras manutenes. Os ataques DoS (Denial of
Service), ou seja, um ataque com o objetivo de realizar solicitaes a um mesmo
computador atravs de uma rede de computadores, fazendo com que o mesmo no
consiga atender a todos os chamados onde o computador atacado fica inoperante
(NOGUEIRA, 2001).
No so incomuns atualmente casos de perseguio, ameaas, pedofilia,
violao de privacidade, crimes contra a honra, liberdade individual atravs de
computadores. Nestes casos ento o computador serve como o instrumento do
crime, ou seja, so diversos crimes j conhecidos executados atravs de um
computador (SHINDER, 2002). Todos estes crimes mostram o quanto inevitvel e
imprescindvel atuao da Justia Penal na informtica, porm para assessorar

mesma so necessrias metodologias cientficas capazes de identificar seus autores

e neste momento em que a percia forense entra para auxiliar a Justia.

2.1.4 Percia Forense

O termo Percia vem do latim e significa destreza, competncia e habilidade, e
Forense se refere ao foro judicial, relativo aos tribunais. Pode-se dizer ento, que a
percia forense o termo adotado para identificar os mtodos cientficos da
criminalstica para se identificar e obter a evidncias necessrias para o auxlio da
justia. A percia forense trabalha investigando o fato de um crime buscando
materializar o ato criminoso, por meio da confeco de provas de ordem tcnicocientfica, que comprovem a veracidade do fato, de forma a no deixar dvida sobre
as evidncias investigadas. Tal funo deve-se ao fato de que o juiz, pessoa dotada
de grande conhecimento jurdico, no dispe de grande saber cientfico, o que torna
obrigatrio a presena dos Peritos, profissionais detentores de grande conhecimento
em reas cientficas e de confiana do juiz, o qual utilizar de seus conhecimentos
para realizao da percia no objeto questionado (indcio), sendo que o resultado de
seu trabalho ser exposto por meio de um laudo, o qual deve ter uma linguagem
simples, mas sem omitir dados tcnicos, que possam ser compreendidos por no
especialistas (BUSTAMANTE, 2006).

2.1.5 Percia Forense Computacional

A Percia Forense Computacional (PFC) a rea da criminalstica que
trabalha em busca da veracidade dos fatos em delitos realizados com uso

ou

atravs de computadores. Com o avano da tecnologia e o aumento destes crimes

na mesma proporo torna-se cada vez mais necessrio o emprego desse tipo de
percia. Para realizar a anlise e coleta de evidncias so seguidos procedimentos
rgidos para que no exista nenhuma irregularidade durante a investigao do fato, o
que pode fazer com que o juiz considere a prova inadmissvel. O processo de coleta
de evidncias regido por leis, toda a evidncia deve ser autenticada, o

que

significa que alguma testemunha tem o dever de testemunhar sua autenticidade. No

caso da evidncia digital este poder ser um testemunho pessoal, no qual o

indivduo tenha conhecimento dos elementos de prova como um perito, por exemplo.
Tambm existem as evidncias as quais no necessitam de testemunho como
documentos pblicos e publicaes oficiais (SHINDER, 2002).
Existem trs categorias de provas:
- Provas fsicas: consiste em objetos materiais que podem ser vistos e tocados;
- Provas de testemunho direto: o depoimento de uma testemunha que pode narrar
os fatos de acordo com sua experincia pessoal atravs dos cinco sentidos;
- Provas circunstanciais: no baseadas em observao pessoal, mas em
observao ou conhecimento de fatos que tendem a apoiar uma concluso
indiretamente, mas no provam isto definitivamente.
Em casos de crimes computacionais as provas so classificadas

pelas

normas SWGDE (Scientific Working Group on Digital Evidence) / IOCE (The

International Organization of Computer Evidence ) (SHINDER, 2002):
- Provas digitais: informao de valor para um processo penal que est
armazenada ou transmitida de forma digital;
- Dados objetos: consiste em objetos de valor para um processo penal o qual est
associado a itens fsicos;
- Itens fsicos: consiste nas mdias fsicas onde a informao digital armazenada ou
pelo qual transmitido ou transferido.
Para se iniciar um processo de percia computacional necessrio seguir
procedimentos rigorosos, visando integridade das provas. So estes requisitos que
tornam a prova admissvel em um tribunal. Primeiramente a prova deve ser obtida
de forma legal atravs de um mandato de busca e apreenso. A maior parte dos
profissionais que trabalham obtendo as provas necessrias para investigao
concorda com alguns princpios bsicos (SHINDER, 2002):
- A prova original deve ser preservada em um estado to prximo quanto possvel
do estado em que estava quando foi encontrado.

- Se possvel, uma cpia exata (imagem) do original deve ser feita, sendo que esta
ser utilizada para anlise de forma a no prejudicar a integridade do original.
- A cpia dos dados deve ser realizada em uma mdia que esteja sem nenhuma
informao pr-existente, ou seja, totalmente limpa e verificada que a mesma
est livre de vrus e defeitos.
- Todas as evidncias devem ser etiquetadas, documentadas e preservadas, e cada
passo da anlise forense deve ser documentado em detalhes.
Os primeiros a chegar a cena do crime devem tomar algumas precaues
para que se possa garantir a integridade das evidncias, tentando no modificar,
desligar equipamentos ou obter provas, a menos que os mesmos sejam treinados
em forense computacional, afinal, muitos criminosos podem deixar cavalos de tria e
outros mecanismos que programem a destruio das provas do equipamento, assim
que sejam desligados ou manipulados incorretamente. Os primeiros a chegar a cena
do crime devem se preocupar com (SHINDER, 2002):
- Identificar a cena do crime: Verificar a extenso da cena do crime e definir um
permetro. Isso pode incluir desde uma sala, vrias salas ou ainda edifcios inteiros
se o suspeito estiver atuando em uma complexa configurao de computadores em
rede.
- Proteger a cena do crime: quando se pretende obter evidncias digitais todos os
equipamentos laptops, notebooks, desktops, PDAs (Personal Digital Assistant) entre
outros devem ser protegidos. Estes itens podem ser limitados devido ao mandado
mas at que o investigador do caso chegue no deve ser descartado nenhum
equipamento.
- Preservar as evidncias frgeis e temporrias: no caso de evidncias que possam
desaparecer antes dos investigadores chegarem, como informaes sendo exibidas
no monitor e mudando constantemente, os primeiros a chegar ao local do crime
devem tomar quaisquer medidas possveis para preservar ou gravar estas
evidncias. Se uma cmera estiver disponvel, fotos devem ser tiradas e na
ausncia desta os presentes na cena do crime devem tomar notas detalhadas e
estarem dispostos a testemunharem em um tribunal, sobre o que foi observado na
cena do crime.

20

Os investigadores ao chegarem a cena do crime podem se deparar com uma

equipe j trabalhando na mesma, porm, a partir deste momento os mesmos devem
ser coordenados pelo investigador policial, o qual tambm desempenha o seguinte
papel (SHINDER, 2002):
- Estabelecer a cadeia de comando: o investigador snior deve garantir que todos
esto cientes da cadeia de comando e as decises importantes so filtradas por
ele. Computadores e demais equipamentos no devem ser desligados

ou

manuseados sem instrues diretas do investigador snior. Se o investigador a

cargo da investigao precisar deixar a cena do crime deve designar um membro da
equipe para que fique em seu lugar e tambm manter contato freqente com este
durante toda sua ausncia.
- Conduzir a pesquisa na cena do crime: deve direcionar a pesquisa e anlise das
evidncias na cena do crime, se o mandado de busca permitir deve-se verificar todo
o hardware, software, manuais, notas escritas e tudo que se relacione ao uso dos
equipamentos como computadores, notebooks, scanners, PDAs, disquetes, CDs
(Compact Disk), DVDs (Digital Vdeo Disk), fitas, discos removveis e todos os
demais discos que possam ser vistos ao redor.
- Manter a integridade da evidncia: os investigadores devem continuar a proteger
as evidncias, como a preparao para preservar evidncias volteis, duplicando os
discos e desligando os sistemas corretamente. O investigador deve supervisionar
todas as aes tcnicas na cena do crime e transmitir todas as consideraes que
devem ser tomadas com base na natureza do caso e conhecimento do suspeito.
De acordo com Shinder (2002, p. 554):
Os tcnicos em crimes informticos devem ser treinados em
computao forense possuindo uma slida experincia na rea de
tecnologia computacional, conhecer como discos so estruturados,
como trabalha o sistema de arquivos e como e onde os dados so
gravados.

Geralmente os tcnicos em crimes informticos ou peritos em crimes

informticos, so responsveis pelo seguinte (SHINDER, 2002):

- Preservar evidncias volteis e duplicar discos: informaes que esto na

memria do equipamento, processos sendo executado, duplicar discos antes de
desligar o equipamento.
- Desligar sistemas para transporte: desligar o equipamento de forma correta
muito importante para que se possa garantir integridade da prova em alguns
mtodos a forma correta encerrar todos os programas e desligar o computador
normalmente, em outros se desliga o equipamento tirando o cabo de energia
para evitar que algum programa destrua os dados durante o processo de desligar
o equipamento normalmente. Este ltimo mtodo no deve ser adotado em
sistemas baseados em UNIX, j que este procedimento pode danificar dados, alguns
profissionais indicam mudar de conta de usurio atravs do comando su se a senha
do usurio root for conhecida e utilizar o comando halt antes de desligar o
equipamento.
- Etiquetar e anotar as evidncias: todas as provas devem ser marcadas com as
iniciais do tcnico ou perito, hora e data em que foi coletada, nmero do
processo e dados de identificao.
- Embalar os elementos de prova: evidncias digitais, principalmente as que
possuem circuitos expostos como discos rgidos, devem ser embalados em sacos
antiestticos para o transporte. Documentos e manuais devem ser embalados em
sacos plsticos ou protegidos de outra forma.
- Transportar os elementos de prova: todas as evidncias devem ser transportadas
o mais rpido possvel para sala de armazenamento de provas. Durante o transporte
as evidncias no devem entrar em contato com campos magnticos (inclusive
rdios policiais ou equipamentos eletrnicos no veculo), ficar expostas ao sol ou em
locais com temperatura acima de 24 C.
- Processar os elementos de prova: a partir da cpia realizada dos discos devese realizar a percia no equipamento atravs de ferramentas forenses.
Atualmente as tcnicas utilizadas pela PFC atentem aos

requisitos

necessrios para que se consiga a evidncia e a veracidade dos fatos de forma

ntegra, porm o conceito de realizar uma cpia do contedo da memria ainda no
um procedimento padro no sendo adotado usualmente.

2.2 ETAPAS DA FORENSE DIGITAL

2.2.1 Coleta de Evidncia em Equipamentos Computacionais
A primeira etapa compreendida pela coleta dos dados. Nesta etapa o perito
deve mapear, manipular os vestgios, chegar integridade das informaes e
proteger o contedo. Deve estar sempre atento aos dados temporrios e volteis
que podem ser perdidos quando o equipamento for desligado. Cabe ressaltar que a
coleta de dados envolve alguns desafios do ponto de vista forense que so
importantes para preservar as evidncias. As informaes, quando se trata de
equipamentos computacionais, so divididas em trs grandes reas: informaes
baseadas em hosts, informaes baseadas em redes, e outras informaes. Estas
grandes

reas

seguem

metodologias

distintas,

conforme

Gondim

(GSIC5502009/2011, p. 16).

2.2.2 Exame de Evidncia em Equipamentos Computacionais

A segunda etapa compreendida pela preveno das evidncias, no qual o
perito realiza as cpias para no danificar as originais. Nesta etapa vivel a
utilizao de ferramentas para efetuar as cpias, a fim de ganhar tempo. Esta fase
consiste basicamente na recuperao de todas as informaes contidas na cpia
dos dados (ELEUTRIO & MACHADO, 2011).

2.2.3 Anlise de Evidncia em Equipamentos Computacionais

A terceira etapa compreendida pela anlise das evidncias coletadas na
segunda etapa. Esta etapa consiste na anlise fsica e anlise lgica que ao final se
consolidam na composio do Laudo Pericial (ELEUTRIO & MACHADO, 2011).
Mais uma vez, para que se resguarde a idoneidade do processo necessrio que se
conserve o local do crime, e que se mantenha material suficiente para novas
anlises. Sobre este aspecto o Decreto-lei n 3.689, Art. 169, diz que: Para o efeito
de exame do local onde houver sido praticada a infrao, a autoridade providenciar

imediatamente para que no se altere o estado das coisas, at a chegada dos

peritos. A anlise fsica consiste no exame de sequncias e a extrao de dados de
toda a imagem pericial ou na cpia restaurada das evidncias, resguardando a
integridade da imagem pericial, podendo o perito realizar vrias cpias desta
imagem em mdias distintas para no comprometer os dados coletados na etapa da
anlise lgica (ELEUTRIO & MACHADO, 2011). A anlise lgica consiste no
exame dos arquivos das parties. Nesta etapa o sistema de arquivos investigado
no formato nativo, examinando a rvore de diretrios do mesmo modo que se faz
quando se utiliza um computador comum. Tal procedimento dever ser realizado
com um software capaz de identificar a estrutura sistmica do sistema operacional
investigado (ELEUTRIO & MACHADO, 2011). Nesta etapa onde adentra a
habilidade tcnica do perito, que consiste numa etapa mais demorada, pois muitas
vezes o perito depende da utilizao de equipamentos e ferramentas forense para
realizao da anlise.

2.2.4 Apresentao dos Resultados

A quarta etapa compreendida pela etapa de apresentao dos resultados,
etapa onde o perito elabora o laudo e dever ser padronizado de fcil entendimento,
traduzindo a linguagem tcnica para que todos possam compreender o que de fato
aconteceu de maneira clara e sustentada pelas provas recolhidas.
O laudo Pericial um documento elaborado de forma clara e objetiva que
consiste na traduo dos dados coletados pelos peritos por meio das evidncias
encontradas, consistente dos tpicos introdutrio, componentes do caso, descrio
do ambiente onde ser realizada a percia, descrio do material disponibilizado
para contribuir com a coleta dos dados, local adequado para relatar as evidncias
coletadas, tpico para descrever a anlise das evidncias e respostas concreta aos
quesitos apresentados pela autoridade que determinou a percia. Conforme

Cdigo de Processo Penal , pargrafo nico, o laudo Pericial ser dado vista s
partes, no prazo de trs dias. A percia forense na informtica tambm segue
padres estabelecidos pela legislao.
No meio computacional, tudo que se realiza pode gerar vestgios, at mesmo
o simples ligar e desligar de um determinado computador. Os vestgios mais comuns

podem ser encontrados at mesmo em hosts1, por meio dos logs de acesso, cabe
ressaltar que para solucionar problemas preciso estar atento a pequenos detalhes,
como bem cita o trecho abaixo:
Quando voc procura algo especfico, suas chances de encontr-lo
so bem menores. Porque, entre todas as coisas no mundo, voc
est procurando apenas uma. Ao procurar qualquer coisa, suas
chances de encontra - l so bem maiores. J que, entre todas as
coisas no mundo, voc tem a certeza de encontrar algumas delas
(DARRYL ZERO, The Zero Effect apud VENEMA & FARMER, 2007,
p.3).

Quando se procura por algo de maneira ampla, atento a pequenos detalhes a

probabilidade de se encontrar o problema ou de solucion-lo bem maior. A anlise
forense de um sistema tem incio na coleta de dados, fator este primordial para
compreenso do problema apresentado. importante trabalhar de maneira
cuidadosa e bem planejada com os sistemas que no esto em execuo, evitando
alteraes no estado original do sistema e tambm nos vestgios ali deixados.

2.2.5 Metodologia Forense Computacional

A metodologia forense computacional aplicada informtica uma cincia
que estuda os mtodos de identificar, coletar, preservar, analisar e apresentar as
evidncias importantes para resolver crimes computacionais. Quando se fala de
metodologia forense importante descrever estas principais etapas do processo da
Percia Forense Computacional que so necessrias para garantia da validade
probatria perante os tribunais. Neste princpio, peritos devero utilizar de mtodos
cientficos que esto compreendidos distintamente em cada uma das etapas,
conforme Figura 1.

Host qualquer mquina ou computador conectado a uma rede. Os hosts variam de

computadores pessoais a supercomputadores, dentre outros equipamentos, como roteadores.

Figura 1: Fases de um processo de Investigao (Fonte: Silva, 2010)

Eleutrio & Machado (2011), afirmam que as etapas para anlise de um

dispositivo computacional variam de acordo com o tipo de equipamento analisado.
Mas no caso especfico de mdias de armazenamento computacional, na maioria
dos exames correspondem a quatro principais etapas que devem ser executadas, as
quais so a preservao, extrao, anlise e formalizao. No caso de telefonia
celular, eles aconselham a utilizao da etapa de extrao manual e automtica.
A Percia

Forense

Computacional

se

baseia

em

conhecimentos

metodolgicos para se conduzir uma boa investigao. A metodologia forense

considerada como o principal instrumento utilizado pelos peritos na prtica forense,
a fim de conduzir a investigao ao seu estado de verdade, j que de nada vale uma
boa investigao se no for possvel reconstituir aquilo que importante do que se
deseja saber. So utilizados mtodos cientficos e um conjunto de tcnicas e
processos para consolidar com preciso uma determinada investigao para que
sejam aceitas no mundo tcnico e jurdico. Normalmente a atividade de Percia
Forense Computacional ocorre nas fases de investigao do incidente, formulao
de uma estratgia de resposta e produo de relatrio. Desta forma, pode-se afirmar
que a Percia Forense Computacional trabalha em conjunto com a equipe

de

resposta a incidente de segurana, visto que as atividades executadas pela equipe

de segurana se complementam com a de um perito. De acordo com Gondim
(GSIC550-2009/2011, p. 8), a metodologia de resposta a incidente de segurana
composta por seis componentes:
Preparao pr-incidente;
Resposta inicial;
Formulao de uma estratgia de resposta;
Investigao do incidente;
Produo de relatrios; e
Resoluo do incidente.
Sendo assim, a Percia Forense Computacional permite tratar com preciso
casos que ocorreram no passado e reconstituir eventos e fatos a partir das
evidncias, que por sua vez podem produzir provas capazes de inocentar ou indicar
a culpa de algum num determinado delito.

2.2.6 Investigao Forense

A investigao forense em equipamentos computacionais compreendida
pelo processo que envolve tcnica, habilidade, consistncia e integridade dos dados
coletados. Ela surge no momento em que se tem a necessidade de identificar o
objeto do delito e as evidncias a serem periciadas. Para ganhar tempo, o perito
deve procurar o que importante, focar no necessrio, conforme o disposto no
paragrafonico do Art. 169 do Decreto-lei 3.689.O Art. 160 do mesmo Decreto
determina que Os peritos elaboraro o laudo pericial, onde

descrevero

minuciosamente o que examinarem, e respondero aos quesitos formulados. Os

quesitos que tratam este artigo so formulados pela autoridade que determina a
percia. Estes quesitos devem ser apresentados de maneira direta, focados nos
objetivos com a utilizao de perguntas de acordo com o propsito da investigao.

2.2.7 Procedimentos e mtodos aplicados percia computacional

Segundo Andrei Rodrigues de Freitas (2007), a percia forense possui quatro
procedimentos bsicos: todas as evidncias devem ser (a) identificadas, (b)
preservadas, (c) analisadas e (d) apresentadas.
No caso de crimes cometidos atravs de um computador, as evidncias
normalmente so dados lgicos e virtuais, cabendo ao perito identificar de forma
correta e aplicvel ao meio que se encontra como preservar e armazenar essas
provas. No necessariamente devem-se utilizar todas as etapas descritas acima.
Pode-se utilizar somente uma etapa, a maioria ou todas elas.
Existem inmeros crimes virtuais e, consequentemente, h

diversas

evidncias que o perito necessita avaliar se ou no necessrio para o laudo

tcnico pericial. Na identificao, o perito deve-se atentar para o tipo de crime
praticado. Por exemplo, o perito buscar por evidncias de logs, conexes, alterao
de arquivos confidenciais, caso o crime seja de acesso no autorizado. Caso o crime
seja de pornografia com menores, o perito deve identificar imagens e vdeos no HD
do usurio, verificar o histrico e arquivos temporrios do navegador. Portanto, ao
identificar uma evidncia digital, a parte fsica - hardware - do computador ou de
equipamento digital de muita importncia para descobrir provas e pistas. Existe a
anlise ao vivo que consiste na percia do equipamento a ser averiguado ainda em
funcionamento. Nesses casos, o perito deve atentar para os processos que estavam
em execuo no momento e as portas abertas pela rede.
Na etapa de preservao, a veracidade da evidncia o principal foco dos
peritos. Para se garantir que no foram alterados, substitudos, perdidos

ou

corrompidos os dados, utiliza-se a Cadeia de Custdia. Assim, a

de

Cadeia

Custdia viabiliza o controle sobre o trmite da amostra com a identificao nominal

das pessoas envolvidas em todas as fases do processo, caracterizando as suas
responsabilidades, as quais so reconhecidas institucionalmente, uma vez que,
como j foi citado, as mesmas foram treinadas para estas atividades. Portanto, o
fato de assegurar a memria de todas as fases do processo, constitui um protocolo
legal que permite garantir a idoneidade do resultado e rebater as possveis
contestaes. (Lopes et al, 2008). Todo o processo da Cadeia de Custdia, deve ser
lavrado em formulrio prprio, conforme Figura 2.

Figura 2: Exemplo de formulrio de cadeia de custdia (autor)

2.2.8 Live Analisys versus Postmortem

Em uma investigao forense podem ocorrer anlises em sistema onde
existem situaes em que houve o desligamento do sistema ou no. Nomeia-se Live
Analisys o processo realizado sem o desligamento da mquina vtima (PEREIRA,
2007). A importncia deste tipo de investigao consiste na existncia

de

informaes volteis, as quais sero perdidas com o desligamento da mquina.

Informaes como conexes de redes e processos em execuo so exemplos de
dados coletados durante este tipo de anlise. Ocorrem situaes onde a mquina
analisada ainda pode estar sobre domnio do atacante, desse modo o sistema pode
estar executando programas que escondam informaes e dificultem o trabalho do
perito. Baseando-se neste fato, o perito necessita usar um conjunto de ferramentas
confiveis e assim poder garantir a integridade das tarefas realizadas com o auxlio
das mesmas (PEREIRA, 2007). J o processo de investigao realizado nas cpias
da mdia original chama-se Postmortem. Este tipo de anlise executado com o
auxlio de um computador, denominado estao forense, preparada

com

ferramentas apropriadas, alm de sistema operacional adequado e uma grande

capacidade de armazenagem de dados (PEREIRA, 2007). Na anlise Postmortem
tcnicas de pesquisa de arquivos como logs de dados, verificao de data de dados

e recuperao de informaes excludas e escondidas so exemplos de operaes

realizadas trivialmente. Uma das grandes dificuldades da investigao Postmortem
atualmente trata-se do aumento da capacidade de armazenamento dos discos
rgidos, de modo que o tempo e o esforo necessrio para criar imagens
diretamente proporcional ao tamanho do disco (ADELSTEIN, 2006). Enquanto a
imagem est sendo criada, a mdia precisa permanecer off-line, sendo assim
considera-se inaceitvel perder horas em casos de incidentes em sistemas de tempo
real ou at mesmo os de comrcio eletrnico. Por causa disso, muitos juzes no
ordenam mais o desligamento de servidores (ADELSTEIN, 2006).

2.2.9. Anti-Forense
A investigao de crimes digitais, do mesmo modo que a apurao de crimes
do mundo real, no uma tarefa trivial. Podem ocorrer muitas dificuldades na coleta
e anlise de vestgios deixados na mquina utilizada no ato ilcito, sendo que a
quantidade de evidncias deixadas inversamente proporcional s habilidades
apresentadas pelo criminoso (REIS, 2003).
Sendo assim, do mesmo modo que a Forense Computacional surgiu para a
investigao de atos ilcitos, criminosos podem utilizar mtodos denominados antiforenses para esconder, danificar ou excluir seus rastros digitais na cena do crime.
Portanto, a Anti-Forense pode ser definida como a tentativa negativa de alterar a
existncia, quantidade e qualidade dos vestgios eletrnicos, ou tambm, dificultar
ou impossibilitar a realizao da investigao destas evidncias (ROGERS, 2006).
Embora

seja

utilizada

principalmente

para

aes

negativas,

existem

profissionais de Forense Computacional que estudam tcnicas de Anti-forense para

no serem deixados para trs.

2.2.10 Tcnicas anti-forenses

A Anti-Forense um campo relativamente novo, mas enquadram diversos tipos
de atividades, tais como ocultao de dados, limpeza de registros, destruio de
traos, ataques contra ferramentas forenses, entre outras (ROGERS, 2006).

30

2.2.11 Ocultao de dados

Existem vrias tcnicas utilizadas para evitar a deteco de dados. Uma das
maneiras mais conhecidas e utilizadas trata-se da esteganografia. Pode-se definir
esta tcnica como sendo um processo realizado para mascarar informaes com a
finalidade de evitar a sua descoberta (ROCHA, 2004). O processo de esteganografia
consiste em esconder uma informao atravs de uma mensagem de menor
importncia, conhecida como mensagem de cobertura. Aps inserir os dados na
mensagem de cobertura, obtm-se o chamado estego-objeto, que uma mensagem
incua que contm secretamente uma mensagem de maior importncia (ROCHA,
2004). Atualmente utilizam-se recursos como imagens, udios e vdeos como meios
de mensagem de cobertura (KESLER, 2007). Um exemplo de como feito o
processo de ocultamento pode ser visto na Figura 3. A olho nu no se percebem as
alteraes nos arquivos que possuem os dados escondidos, porm existem casos
onde eles podem ser percebidos devido ao aumento do tamanho do arquivo. Caso
contrrio, o investigador no ser capaz de fazer uso da evidncia se no obter
mtodos para recuperar a informao escondida no outro arquivo.

Figura 3: Exemplo de ocultamento de uma mensagem (ROCHA, 2004)

Outra maneira utilizada para esconder dados trata-se de fraquezas exploradas

do protocolo TCP/IP (KESLER, 2007). Atravs de falhas de segurana deste
protocolo, invasores conseguem omitir informaes e assim so capazes de criar um
canal de comunicao encoberto em redes pblicas e privadas. Espaos
desalocados em setores como reas localizadas no MBR (The Master Boot Record)
e na BIOS (Basic Input/ Output System) tambm permitem o armazenamento oculto
de dados e, alm disso, aceitam dados criptografados. Profissionais habilidosos de
Forense Computacional conseguem descobrir informaes escondidas em espaos
desalocados utilizando ferramentas adequadas, porm dados omitidos so mais
difceis de ser encontrados e tambm de ser utilizados como evidncias em
audincias no-tcnicas (KESLER, 2007).

2.3 FERRAMENTAS FORENSES

Nesta seo so apresentadas algumas ferramentas forenses de livre
distribuio e outras ferramentas proprietrias disponveis no mercado e que so
necessrias para realizao da atividade de Percia Forense Computacional durante
as fases de coleta, exame e anlise das evidncias. Optou-se por apresentar
ferramentas simples, utilizadas para atender a demanda operacional de suporte
tcnico da organizao, mas aps realizao de testes e homologao podero
servir para realizar coletas em primeiro escalo.

2.3.1 Ferramentas para Coleta das Informaes

A fase de coleta de dados, de acordo com Eleutrio & Machado (2011, p.25),
depende do objeto a ser investigado, considerando que um local de crime de
informtica nada mais do que um local de crime convencional acrescido de
equipamentos computacionais que podem ter relao com o delito investigado,
neste caso, quando se realiza a coleta de dados em dispositivos de armazenamento
computacional as fases so as mesmas, mas a metodologia pode ser diferente no
caso de investigao em um aparelho de telefonia celular, por exemplo.

A principal tcnica utilizada para coletar dados em dispositivos

de

armazenamento computacional a cpia para um arquivo de imagem, conhecida

como espelhamento2. Para realizar este mtodo, algumas ferramentas so
necessrias. Inicialmente estas ferramentas no tinham o objetivo de coletar dados,
mas tornar mais fcil uma duplicao de instalaes de sistemas operacionais em
um parque computacional padronizado. Em um microcomputador, para instalar o
sistema operacional, configurao dos drives e aplicativos adicionais, que antes
demoraria vrias horas, com essa tcnica em menos de dez minutos

microcomputador estar pronto para utilizao.

Algumas ferramentas independem do sistema operacional, mas caso seja
necessrio levantar o sistema em outro ambiente muito formidvel que a
plataforma seja idntica a dos dados coletados. A ferramenta forense EnCase 3 um
exemplo de soluo utilizada nessa etapa de investigao. Alm de permitir fazer o
espelhamento de discos, a ferramenta proporciona outras funcionalidades, como
exemplo, aumentar a segurana por no atuar na mdia original ou no disco
espelhado; permite montar discos virtuais contra escritas e organizar cada evidncia,
alm de possuir uma interface grfica bem amigvel. Entretanto, a ferramenta
forense EnCase porttil composta por um dispositivo USB, tipo pen-drive de quatro
gigabyte de memria com o software EnCase Portable instalado, um dispositivo USB
de dezesseis gigabyte de memria para armazenamento adicional, um HUB USB de
quatro portas, um dongle4 de uso do EnCase Portable, um guia de referncia do
usurio e uma maletinha para transporte. Esta pequena ferramenta foi projetada
para permitir que qualquer pessoa com conhecimentos bsicos de informtica possa
aprender a us-la com poucos minutos de treinamento.
Marcella & Menendez (2008) orientam que a deciso de coletar dados volteis
do prprio investigador, mas esta deciso deve ser tomada rapidamente para
evitar a perda das informaes. A coleta deve ser feita em um sistema em operao,
ou seja, que no tenha sido desligado ou reiniciado, Os autores alertam que, embora
seja uma deciso dos investigadores, tal procedimento poderia facilitar a tomada de
deciso dos peritos forenses. Quase sempre o perito se depara com uma mdia
2

Eleutrio & Machado (2011), definem espelhamento de disco como sendo uma cpia exata e fiel
dos dados (bit a bit) contidos em um dispositivo de armazenamento computacional para outro.
3
O EnCase um sistema integrado de anlise forense.
4
Dongle, ou hardlock, um dispositivo externo conectado a um computador, utilizado para autorizar
o funcionamento de um determinado programa.

formatada ou apagada, neste caso a tecnologia dispe de recursos para auxiliar na

recuperao

das

informaes

perdidas

propositalmente

ou

indevidamente.

Atualmente, existem diversos softwares para recuperao de dados,

muitos

proprietrios e outros gratuitos. Contudo, algumas ferramentas possuem diversas

deficincias na recuperao dos dados, uma s recupera o que monitorado, outras
no conseguem identificar se o arquivo perdido era texto, planilha ou foto e outras
no recuperam fotografias apagadas de uma simples cmera digital.

2.3.2 Ferramentas para Exame das Informaes

A fase de exame consiste na extrao dos dados, conforme Eleutrio &
Machado (2011, p.61), consiste basicamente na recuperao de todas

as

informaes contida na cpia dos dados coletados na fase anterior. Outra

ferramenta muito importante nessa fase a Autopsy Forensic Browser,de cdigo
aberto e gratuito, conhecida como AFB. Ela rene as ferramentas do TASK 5 em uma
interface grfica e amigvel. O seu grande diferencial a sua consistncia e
mobilidade, alm do seu acesso ser possvel por vrios usurios ao mesmo tempo
por meio de um servidor web. Essa opo permite que vrios peritos utilizem do
mesmo recurso para trabalhar no mesmo caso ou caso distinto.

2.3.3 Ferramentas para Anlise das Informaes

Uma das tcnicas mais importante para realizao de anlise em informaes
coletadas de equipamentos computacionais a utilizao de uma mquina virtual
que pode ser configurada facilmente com o Virtual Box. Este software gratuito e
permite emular vrios sistemas operacionais que podem ser utilizados para testar
diversas ferramentas em diversos tipos de sistemas operacionais, sem afetar a
integridade do computador. Uma vez com os dados coletados, preservados e que
foram extrados na etapa anterior, a recuperao das informaes deve ser feita em
5

O TASK um conjunto de ferramentas de cdigo aberto e gratuito, criado por Brian Carrier,
para a anlise de sistemas de arquivos UNIX e Microsoft.

mais de uma cpia para no correr o risco de perder informaes no momento em

que se faz a anlise.
Nesta etapa, alm da utilizao de uma mquina virtualizada, importante o
apoio de outras ferramentas confiveis que possam garantir a integridade das
informaes coletadas. Essa garantia pode ser alcanada por meio de nmeros e
letras que determinam as caractersticas de um arquivo. A integridade alcanada
por meio de clculo realizado com a utilizao de funes de autenticao
unidirecionais conhecida como hash (ELEOTRIO & MACHADO, 2011, p.128). O
software MD5 Checker um exemplo de programa que realiza a funo hash
chamado MD5. Esta tcnica muito usada por distribuio linux e serve

para

garantir a integridade do produto, por exemplo, caso queira baixar o ubuntu11.04alternate-amd64.iso

cdigo

MD5

de

qualidade

do

produto

8468300a61ea1e3b7607f46f7643b57a. Aps baixar a ISO do Ubuntu, basta

utilizar o MD5 Checker para verificar a autenticidade do arquivo. Caso a comparao
seja falsa no interessante fazer a instalao do sistema operacional ou
reproduo dessa ISO em uma mdia de DVD, dessa forma, se d uma anlise de
disco. O perito deve utilizar um sofware para criar o hash do disco, antes de iniciar
qualquer tipo de anlise, com o objetivo de preservar a integridade das informaes.

2.3.4 Ferramentas Forenses de Primeiro Atendimento

A Portaria n 005/DCT (2007), determina que todos os softwares de prateleira
devero passar por uma metodologia de avaliao. Dessa forma, todas

as

ferramentas julgadas eficientes para realizao de uma percia forense em

equipamentos computacionais, devero atender essa metodologia, a fim de que as
informaes coletadas por meio das ferramentas homologadas tenham validade
jurdica nos laudos de laboratrios, previsto no Art. 170 do Decreto-lei 3.689: Nas
percias de laboratrio, os peritos guardaro material suficiente para a eventualidade
de nova percia. Um computador totalmente configurado para realizar a execuo
de um servio de Percia Forense Computacional composto por vrios programas
que aps a homologao destes softwares, podero ser denominados

de

Ferramentas Forenses. Existem muitos softwares que podem ser utilizados para tal
finalidade: o Firebug, bem mais simples, componente do prprio navegador livre

MozillaFirefox que atua na inspeo de cdigos HTML, CSS e Java script;

EnCase, mais complexo e software proprietrio utilizado por muitos profissionais da
rea de Percia Forense Computacional.

3 A CONVENO DE BUDAPESTE
O Estado no desaparece, porm. apenas redimensionado na Era
da Informao. Prolifera sob a forma de governos locais e regionais
que se espalham pelo mundo com seus projetos, formam
eleitorados e negociam com governos nacionais, empresas
multinacionais e rgos internacionais. (...) O que os governos locais
e regionais no tm em termos de poder e recursos compensado
pela flexibilidade e atuao em redes.
CASTELLS, 2007.

Criada em 2001, na Hungria, pelo Conselho da Europa, e em vigor desde

2004, aps a ratificao de cinco pases, a Conveno de Budapeste, ou Conveno
sobre o Cibercrime, engloba mais de 20 pases (EDERLY, 2008) e tipifica os
principais crimes cometidos na Internet.
Segundo seu Prembulo, a Conveno prioriza uma poltica criminal comum,
com o objetivo de proteger a sociedade contra a criminalidade no ciberespao,
designadamente, atravs da adoo de legislao adequada e da melhoria da
cooperao internacional e reconhece a necessidade de uma cooperao entre os
Estados e a indstria privada. Ademais, ainda em seu escopo inicial, ressalta o
obrigatrio respeito: (I) Conveno para a Proteo dos Direitos do Homem e das
Liberdades Fundamentais do Conselho da Europa (1950); (II) ao Pacto Internacional
sobre os Direitos Civis e Polticos da ONU (1966); (III) Conveno das Naes
Unidas sobre os Direitos da Criana (1989); e (IV) Conveno da Organizao
Internacional do Trabalho sobre as Piores Formas do Trabalho Infantil (1999).
O Tratado de 2001 possui quatro Captulos (Terminologia, Medidas a Tomar a
Nvel Nacional, Cooperao Internacional e Disposies Finais, respectivamente) e
48 artigos encorpados num texto de fcil compreenso, sobretudo porque no traz
informaes deveras tcnicas.
O principal destaque da Conveno que ela define (Captulo I) os
cibercrimes, tipificando-os como infraes contra sistemas e dados informticos
(Captulo II, Ttulo 1), infraes relacionadas com computadores (Captulo II, Ttulo
2), infraes relacionadas com o contedo, pornografia infantil (Captulo II, Ttulo 3),
infraes relacionadas com a violao de direitos autorais (Captulo II, Ttulo 4).
Todos dentro do Direito Penal Material.
Matrias do Direito Processual so as que se seguem: mbito das disposies
processuais,

condies

salvaguardas,

conservao

expedita

de dados

informticos armazenados, injuno, busca e apreenso de dados informticos

armazenados, recolha em tempo real de dados informticos e interceptao de
dados relativos ao contedo.
Competncia e Cooperao Internacional so vistas no Artigo 22, o qual
aponta quando e como uma infrao cometida, alm de deixar a critrio das
Partes a jurisdio mais apropriada para o procedimento legal (CONVENO
SOBRE CIBERCRIME, p. 14).
Extradio um assunto tratado no Artigo 24, a qual ficar sujeita s
condies previstas pelo direito interno da Parte requerida ou pelos tratados de
extradio aplicveis (idem, p. 15).
Tal acordo parte da premissa de que o combate ao cibercrime deve ser
realizado atravs de um Regime Internacional 6. Desse princpio, pode se partir para
outro:
A prtica do crime to antiga quanto a prpria humanidade. Mas o
crime global, a formao de redes entre poderosas organizaes
criminosas e seus associados, com atividades compartilhadas em
todo o planeta, constitui um novo fenmeno que afeta
profundamente a economia no mbito internacional e nacional, a
poltica, a segurana e, em ltima anlise, as sociedades em geral.
CASTELLS, 2007, p. 203.

notrio que, com o fenmeno da globalizao e da popularizao da Internet,

as fronteiras indelimitveis do ciberespao abrigaram no apenas criaes em prol
da cidadania e da participao universal (por exemplo: leitores de telas para cegos,
teclados e aparelhos especiais para deficientes fsicos, fruns de discusso etc.),
como tambm facilitaram que crimes, comumente praticados no mundo real, se
moldassem ao ciberespao.
Mais uma vez se retoma Castells, quando este afirma, por exemplo, que a
internacionalizao das atividades criminosas faz com que o crime organizado (...)
estabelea alianas estratgicas para cooperar com as transaes pertinentes a
cada organizao, em vez de lutar entre si (CASTELLS, 2007, p. 205). Hoje, h um
leque de ferramentas on-line que, em sinergia e bem orquestrado, pode colocar em
risco no apenas indivduos especficos, mas tambm Estados. Por exemplo, uma
6

Regime Internacional entendido como um mecanismo que ajuda a estabilizar o sistema

internacional, e que definido como um conjunto de normas, regras e procedimentos que regulam as
relaes estatais numa rea especfica. Neste caso e em especfico, no combate ao cibercrime.

organizao terrorista pode planejar um atentado e, para tal, utilizar-se dos

seguintes meios:
- troca de mensagens criptografadas via: bate-papos, correio eletrnico, mensageiros
instantneos, redes sociais etc.
- escolha do local, atravs de programas GPS, mapas on-line, previso meteorolgica,
trfego da malha rodoviria atravs de cmeras ao vivo etc.
- obteno/compra de artefatos atravs de stios virtuais que vendam produtos de
segunda-mo e/ou que no declaram impostos.
Sob esse prisma, a Internet parece ser um celeiro propcio para a proliferao
do que h de pior na humanidade. Porm, esses perigos reais so as grandes
excees do mundo virtual, que a
O grande debate, que ser melhor visto na prxima parte deste trabalho, diz
respeito s liberdades e direitos das pessoas que no fazem parte dessa minoria
criminosa. Elas tambm sero punidas? nesse sentido que Castells afirma que a
pornografia infantil on-line um dos principais argumentos favorveis criao de
mecanismos de censura7 na Internet. (CASTELLS, 2007, p. 185). Tal afirmao
remonta CPI da Pedofilia, presidida pelo parlamentar Magno Malta, no ano de
2008, qual uma grande empresa de tecnologia estava se negando a fornecer
dados de supostos pedfilos, uma vez que, ao se cadastrar num de seus stios
virtuais, o internauta se assegura de que suas informaes no so repassadas a
terceiros. Aps muitas negociaes, depoimentos e interveno do

Ministrio

Pblico Federal, a empresa multinacional cooperou. Tal demora se deu pelo fato de
que, apesar do suposto crime de pornografia infantil ter envolvido brasileiros, o
servidor que hospedava as fotos se encontrava noutro Estado, portanto, noutra
jurisdio, fora, portanto, do alcance das leis brasileiras. Nesse caso, por exemplo,
se o Brasil fosse membro da Conveno de Budapeste 8, provavelmente,

cooperao com autoridades estadunidenses teria acelerado o desenvolvimento da

CPI, possibilitando uma represso mais clere ao delito.
7

Alertados pelo professor Alexandre Belo, durante a apresentao deste artigo, os autores tomaram
precauo ao mencionar a palavra censura no mesmo. Ficam aqui os agradecimentos ao
supracitado professor.
8
Vide Ttulo 3 do Captulo 3, Princpios Gerais relativos ao auxlio mtuo, e, sobretudo, o Ttulo 4 do
mesmo Captulo, Procedimentos relativos aos pedidos de auxlio mtuo na ausncia de acordos
internacionais aplicveis.

4 LEGISLAO BRASILEIRA
A legislao brasileira no aborda a percia forense computacional de forma
particular. De fato, os cdigos de processo penal e penal militar apenas abordam a
percia de forma generalizada, de maneira independente do ramo, o que somente
possibilita uma tentativa de interpretao aplicada ao contexto computacional, de
maneira a possibilitar sua aplicao percia forense computacional, ora em estudo.
A respeito da discrepncia existente entre o avano da informtica e do direito, Neto
(2005)

afirma:

Destarte,

comparando-se

dinmico

desenvolvimento

da

informtica, verifica-se que o mesmo no acontece com o Direito que, considerado

sob o prisma positivo, isto , visto como conjunto de regras escritas evolui
lentamente, gerando por vezes discrepncia entre a realidade dos fatos sociais
emergentes e o tratamento jurdico dos mesmos. Essa diferena de velocidade na
avano da informtica e do direito possibilita a existncia de lacunas, as quais, por
vezes, podem inviabilizar as atividades de percia forense computacional.

Constituio Federal de 1988 (BRASIL, 1988), aborda aspectos que podem impactar
os procedimentos da percia forense computacional, influenciando, entre outros
aspectos, na admissibilidade de evidncias. Um aspecto relevante que deve ser
destacado que os cdigos penais tem data de publicao bastante anterior s
primeiras atividades relacionadas percia forense computacional realizadas no
mbito mundial, o que, muitas vezes, impede a adequao de seu contedo
realidade da atividade de percia forense computacional.

4.1 CONSTITUIO FEDERAL

A Constituio Federal, no to antiga quanto os cdigos penais, datando
de 1988. Desde sua promulgao, diversas emendas constitucionais alterao seu
texto, de maneira a evitar sua caducidade. Brasil (1988), aborda diversos aspectos
relacionados garantia dos direitos individuais. O Art 5 trata da inviolabilidade da
intimidade, da vida privada, da casa e das comunicaes, entre outros. Dessa forma
a

atividade

de

percia

forense

computacional

deve

estar

limitada,

no

exclusivamente, aos princpios constitucionais, no sendo admitidas evidncias

obtidas em desacordo com a carta magna. Brasil (1940), em seus Art 153 e 154

40

tipifica os crimes contra a inviolabilidade dos segredos, o que alcana, ainda, o sigilo
das informaes obtidas durante a execuo da percia. Pelo exposto, verifica-se a
necessidade de capacitao adequada por parte dos peritos, a fim de que, no
exerccio de suas atribuies, no venham a incorrer em falhas que possam
prejudicar o processo, ou mesmo em aes ilegais.

4.2 CDIGO DE PROCESSO PENAL

O Cdigo de Processo Penal (BRASIL, 1941) aborda questes diversas
relacionadas percia, como a definio da quantidade de peritos necessrios
realizao da atividade, alm dos requisitos necessrios aos peritos designados,
apontando para a necessidade de habilitao tcnica relacionada natureza do
exame. Com relao quantidade peritos necessrios execuo de uma percia,
Brasil (1941) prev que as percias sejam realizadas por dois peritos, devendo estes
elaborarem laudo pericial. Quanto s situaes de incompatibilidade e impedimento,
as quais justificam a absteno dos peritos da execuo de uma percia, Brasil
(1941) apresenta como causas de suspeio: possuir vinculao de parentesco
com juiz, defensor ou advogado, rgo do Ministrio Pblico, autoridade policial,
auxiliar da justia ; ser testemunha do fato em apurao ter interesse parcial ou
direto no feito. ser credor ou devedor, tutor ou curador, de qualquer das partes;
envolvidas no fato em apurao; e ser scio, acionista ou administrador de
sociedade interessada no processo. Com relao nomeao de perito, Brasil
(1941) preconiza se tratar de um encargo obrigatrio, o qual no poder ser
recusado, salvo escusa justificada. Encerrando a abordagem da percia, Brasil
(1941) aponta para a necessidade da preservao das evidncias, dando instrues
quanto aos procedimentos para comprovao da situao em que as mesmas foram
encontradas pelo perito.

4.3 LEGISLAO APLICVEL

Anteriormente ao ano de 2012, a falta de legislao especfica tornava muito
difcil a apurao dos crimes virtuais, uma vez que a legislao at ento vigente

havia sido direcionada aos crimes de forma geral, independentemente do meio

utilizado para a sua prtica. Nesse sentido, podemos citar, dentre outros, o Cdigo
Penal (CP), o Estatuto da Criana e do Adolescente (Lei n. 8.069/90) e Lei dos
crimes de software (ou lei antipirataria, Lei n. 9.609/98) e a Lei de Segurana
Nacional (Lei n 7.170/83).
Dessa forma, ante a no especificidade da legislao, era muito difcil a
identificao dos sujeitos e a obteno de provas para a condenao criminal
quanto aos crimes virtuais, que exige certeza.
Entretanto, no ms de maio de 2012, foi notcia na mdia a divulgao de
imagens da intimidade da atriz Carolina Dieckmann em diversos stios eletrnicos da
rede mundial de computadores, o que causou uma grande comoo social, o que
abriu campo para a edio da Lei n. 12.737, de 30/11/2012, publicada no DOU de
03/12/2012, com vacatio legis de 120 (cento e vinte) dias, apelidada de Lei Carolina
Dieckmann, que, dentre outras providncias, disps sobre a tipificao criminal dos
delitos informticos, introduzindo os arts. 154-A, 154-B, e alterando os arts. 266 e
298, todos do Cdigo Penal.
importante destacar o art. 154-A do Cdigo Penal, que trouxe para o
ordenamento jurdico o crime novo de Invaso de Dispositivo

Informtico,

consistente na conduta de invadir dispositivo informtico alheio, conectado ou no

rede de computadores, mediante violao indevida de mecanismo de segurana e
com fim de obter, adulterar ou destruir dados ou informaes sem autorizao
expressa ou tcita do titular do dispositivo ou instalar vulnerabilidades para obter
vantagem ilcita. A pena prevista para o crime simples de deteno de 3 meses a
um ano e multa, havendo, entretanto, a previso das formas qualificada e causas de
aumento de pena.
Esmiuando o art. 154-A do CP, chega-se ao bem jurdico tutelado como
sendo a liberdade individual, a privacidade e a intimidade das pessoas como um
todo.
O crime em questo comum, o sujeito ativo do crime ciberntico pode ser
qualquer pessoa (fsica ou jurdica, de direito pblico ou de direito privado), o mesmo
se dizendo em relao ao sujeito passivo, que pode ser qualquer pessoa passvel de
sofrer dano moral ou material decorrente da violao do seu sistema de informtica.
O tipo objetivo o misto alternativo, sendo um crime de ao mltipla ou
contedo variado, apresentando os ncleos invadir e instalar, podendo o

agente

praticar ambas as condutas e responder por crime nico, desde que num mesmo
contexto.
Quanto culpabilidade, a conduta criminosa do crime

ciberntico

caracteriza-se somente pelo dolo, no havendo a previso legal da conduta na

forma culposa.
Relativamente consumao e tentativa, o crime do caput do art. 154-A
formal, que se consuma com a mera invaso ou instalao de vulnerabilidade, no
sendo importante para a consumao a obteno ou no da vantagem ilcita pelo
agente. J na forma qualificada (art. 154, 3, do CP), referida abaixo, o crime
material, pois exige para a consumao a obteno efetiva de contedos ou o
controle remoto no autorizado do dispositivo.
O art. 154-A, 1, do CP, por seu turno, prev a forma equiparada do crime
ciberntico, incriminando com a mesma pena do caput a conduta de quem produz,
oferece, distribui, vende ou difunde dispositivo ou programa de computador com o
intuito de permitir a prtica da conduta definida no caput, sendo esse, tambm, um
crime de ao mltipla que exige dolo especfico, tal qual o caput do art. 154-A do
CP.
O art. 154-A, 2, do CP prev causa de aumento de pena de um sexto a
um tero, no caso da ocorrncia de prejuzo de carter econmico/financeiro para a
vtima, sendo tal causa de aumento aplicvel somente para a forma simples do
delito, e no para a forma qualificada, prevista no pargrafo seguinte, em razo da
topografia do dispositivo em comento.
O art. 154-A, 3, do CP prev pena e regime prisional diferenciado (seis
meses a dois anos de recluso e multa) para as seguintes hipteses: 1) quando a
invaso possibilitar a obteno de contedo de comunicaes eletrnicas privadas;
2) quando possibilitar a obteno do contedo de segredos

comerciais ou

industriais; 3) quando possibilitar a obteno do contedo de informaes sigilosas,

assim definidas em lei; e 4) quando possibilitar o controle remoto no autorizado do
dispositivo invadido.Ressalte-se que as figuras qualificadas acima

descritas

configuram crime subsidirio, de subsidiariedade expressa, pois que em seu preceito

secundrio prev a norma que ela somente ser aplicada se a conduta no constitui
crime mais grave.

Por fim, os pargrafos 4 e 5, I a IV, do CP, preveem causas de aumento de

pena, aplicveis somente para a forma qualificada do delito ( 3, do art. 154-A, do
CP).
O legislador no contemplou a invaso de sistemas, como os de clouding
computing, optando por restringir o objeto material quilo que denominou dispositivo
informtico, sem, contudo, defini-lo. Atividades de comercializao de cracking
codes e de engenharia reversa de software tambm no foram objeto da norma.
Alm das imperfeies na redao dos tipos, as penas cominadas na nova lei so
nfimas se considerada a potencial gravidade das condutas incriminadas, bastando
dizer que um ataque de denegao de servio pode colocar em risco vidas de uma
populao inteira.
Implicam, por outro lado, a competncia do Juizado Especial Criminal, cujo
procedimento sumarssimo incompatvel com a complexidade da investigao e da
produo da prova de crimes de alta tecnologia (percia no dispositivo informtico
afetado, por exemplo).
Numa sntese, os tipos e penas da Lei n 12.737/2012 no conseguem dar as
respostas esperadas pela Sociedade para desestimular aqueles que abusam das
facilidades tecnolgicas.

5. METODOLOGIA
Face situao exposta, verificou-se que o trabalho de pesquisa no poderia
estar focado exclusivamente na literatura ou em padres impostos por normas
tcnicas, devendo contemplar tambm a realidade institucional, na busca da
concepo de uma proposta que pudesse efetivamente ser implementada na
formatao de uma grade curricular para o Curso de Tcnico em Informtica. Por
esse motivo, considerando o escopo do trabalho e a fim de alcanar os objetivos
propostos para o presente trabalho tcnico, foi planejada a realizao de uma
pesquisa documental e normativa voltada para as leis brasileiras e para o universo
relacionado Administrao Pblica Federal e Estadual, passando, ainda, pela
consulta ao arcabouo literrio nacional e mundial vinculado ao tema. Alm da
consulta documental, informaes adicionais foram obtidas por meio da observao
direta e indireta, uma vez que, a despeito da inexistncia de uma estrutura formal
estabelecida, inserida no contexto do tratamento de incidentes de segurana. A
respeito da existncia de fontes de informao no registradas, Souto (apud DA
SILVA, 2010) cita:
Alm das fontes de informao registradas fisicamente,
existem, tambm, as fontes no registradas, presentes nos
canais informais. Assim, importante destacar que o sistema
de comunicao de qualquer rea constitudo por canais
formais e informais.

Dessa forma, a experincia e as observaes do prprio pesquisador, na

condio de integrante da estrutura de tratamento de incidentes de segurana, como
Perito Criminal, foram bastante relevante no que concerne ao estabelecimento dos
pontos que deveriam ser pesquisados e dos tpicos que deveriam constar da
proposta para estrutura de percia forense computacional, produto final do trabalho
de pesquisa.
Outra fonte relevante de informaes para a pesquisa o contato com a
Associao Brasileira de Especialistas em Alta Tecnologia (ABEAT). Que me
possibilitou o estabelecimento de contatos com profissionais de alto nvel vinculados
percia forense computacional, os quais, entre outras contribuies, indicaram
fontes confiveis para auxiliar a coleta de dados. Cabe, tambm, destacar a carncia
de fontes relacionadas estruturao da percia forense computacional, tanto no

contexto nacional quanto mundial, o que dificultou sobremaneira a delineao da

proposta, uma vez que, para alguns itens, praticamente no havia fontes para
comparao e avaliao.
Quanto classificao, a presente pesquisa pode ser analisada sob dois
aspectos: quanto natureza e quanto forma de abordagem do problema.
Quanto natureza, por ser destinado especificamente ao contexto

da

elaborao do Trabalho de Concluso de Curso, o trabalho pode ser classificado

como pesquisa aplicada, a qual, conforme definido por da Silva e Menezes (2005,
p20) objetiva gerar conhecimentos para aplicao prtica e dirigidos soluo de
problemas especficos. Analisando a pesquisa quanto abordagem do problema,
verifica-se que o presente trabalho se enquadra como pesquisa exploratria, uma
vez que visa proporcionar maior familiaridade com o problema com vistas a torn-lo
explcito () Assume, em geral, as formas de Pesquisas Bibliogrficas e Estudos de
Caso. , conforme descrito por da Silva e Menezes (2005, p20).
Sob o ponto de vista dos procedimentos tcnicos, verifica-se que foram
utilizadas a pesquisa bibliogrfica e a pesquisa documental, justificados pela
necessidade da reviso da literatura e do arcabouo normativo a respeito do assunto
abordado.
Prosseguindo na descrio da metodologia adotada, os

procedimentos

realizados foram os seguintes:

Reviso da bibliografia relacionada ao tema, no mbito nacional e internacional;
Identificao e estudo da literatura produzida por entidades, no mbito mundial,
vinculadas percia forense computacional: publicaes do Scientific Working
Group on Digital Evidence (SWGDE); publicaes de The International
Organization on Computer Evidence (IOCE), publicaes de The International
Association, of Computer Investigative Specialists (IACIS);
Reviso da literatura normativa, no mbito nacional: norma ABNT NBR/ISO
27002:2005;
Reviso da legislao brasileira, relacionada ao tema: Constituio Federal
Brasileira; Cdigo de Processo Penal;

 Reviso do arcabouo normativo no mbito da Administrao Pblica Federal:

Instruo Normativa N 1, do Gabinete de Segurana Institucional da Presidncia da
Repblica (GSI/PR);
Reviso e organizao dos dados coletados;
Identificao dos aspectos a serem considerados e dos quesitos a serem
respondidos durante a confeco da proposta;
Anlise dos dados coletados e resposta aos quesitos;
Composio da proposta.

4.1 RESULTADOS E ANLISE DE DADOS

Durante a fase de pesquisa, diversas fontes foram consultadas, de maneira a
garantir a maior abrangncia possvel para a composio da proposta. O critrio
inicial para definio da relevncia das fontes baseou-se na prpria condio do
pesquisador, enquanto Perito Criminal, com especializao, junto ao Exrcito
Brasileiro. Alm disso, o levantamento das principais organizaes no mundo
relacionadas percia forense computacional conduziu descoberta de

novas

fontes e padres relevantes ao estudo realizado. Sites especializados em anlise e

percia digital tambm foram bastante teis para a indicao de autores e
organizaes relevantes pesquisa. Aps o levantamento e anlise das diversas
fontes, nos tpicos seguintes so apresentados os resultados, agrupados por sua
natureza.
Na presente pesquisa so apresentadas recomendaes e padres propostos
por organizaes que, em nvel nacional e mundial, so reconhecidas como
referenciais para a percia computacional. Em seguida, so exibidos modelos e
dados relevantes de organizaes governamentais que tem a realizao da percia
computacional entre suas atribuies. Aps essa abordagem, so expostas as
consideraes das normas da Associao Brasileira de Normas Tcnicas que foram
apreciadas e tidas como relevantes para a confeco da proposta. No item 4 so
mostrados os preceitos contidos na legislao Brasileira julgadas pertinentes para a
pesquisa. H coletnea das informaes consideradas teis, que foram verificadas
nas normas do Gabinete de Segurana Institucional para toda a Administrao
Pblica Federal. Por fim, so apresentados resultados da pesquisa em outras fontes,

que incluem artigos de pesquisadores, os estudos de casos realizados durante as

disciplinas do Curso de Especializao em Percia Criminal e informaes coletadas
sobre o curso de segurana ciberntica, realizado pela Secretaria Nacional de
Segurana Pblica, em parceria com a Polcia Federal.

5 CONSIDERAES FINAIS
O presente trabalho propunha a realizao de uma pesquisa bibliogrfica,
documental e normativa acerca da percia forense computacional. Quanto ao
questionamento acerca do relacionamento da percia forense computacional com o
tratamento de incidentes, verifica-se que foi respondido quando da apresentao da
proposta de estabelecimento da estrutura de percia na atual estrutura de tratamento
de incidentes.
Quanto ao objetivo especfico de revisar a literatura nacional e mundial
especializada na rea de percia forense computacional, verifica-se que foi
alcanado por meio do levantamento e estudo de significativo nmero de livros,
artigos e relatrios, relacionados ao tema. Quanto ao objetivo especfico de revisar a
legislao brasileira, aplicada execuo percia forense, verifica-se que foi
alcanado por meio da anlise da Constituio Federal, dos Cdigos de Processo
Penal, alm de outras leis e decretos relacionado ao assunto. Quanto ao objetivo
especfico de revisar a documentao normativa da Administrao Pblica Federal e
Estadual, relacionada segurana da informao, ao tratamento de incidentes e
realizao de auditorias e percias, verifica-se que foi alcanado por meio da anlise
das Instrues Normativas e Normas Complementares do Gabinete de Segurana
Institucional da Presidncia da Repblica.
O nico bice concluso da proposta foi dificuldade encontrada na coleta
de informaes sobre estruturas de organizaes de percia, a fim de levantar
vantagens e desvantagens relacionadas aos modelos adotados. Tanto o FBI quanto
a Polcia Federal no apresentavam documentao relevante, que possibilitasse a
extrao de dados significativos. Para contornar o problema, foram buscados
subsdios em organizaes menos relevantes, alm de trabalhos do meio
acadmico. No foram encontrados muitos trabalhos relevantes acerca de alguns
temas pesquisados, podendo ser alvo de trabalhos futuros:
Anlises especficas sobre laboratrios de percia forense computacional;
A incluso de competncia, no Curso de Formao em Tcnico de Informtica, para
a execuo da percia forense computacional;
Ferramentas para a gesto de laboratrios de percia;

 Estudos de parmetros e mtricas de qualidade para a realizao de percias, de

maneira a definir mtricas e parmetros mais representativos.
Devido ao foco do trabalho estar no estabelecimento de uma estrutura, no
foram abordados de maneira aprofundada o processo nem as diversas tcnicas para
a realizao da percia forense computacional, os quais tambm podem ser alvo de
trabalhos futuros assim como o estudo da viabilidade da anlise ao vivo de sistemas.

50

REFERNCIAS BIBLIOGRFICAS

ABEAT ASSOCIAO
TECNOLOGIA. --------

BRASILEIRA

DE

ESPECIALISTAS

EM

ALTA

ABNT ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da

Informao Tcnicas de Segurana Cdigo de Prtica para a Gesto da
Segurana da Informao. NBR ISO/IEC 27002:2005.
ABNT ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
Informao Tcnicas de Segurana Gesto de riscos de segurana da
informao. 2008.
BRASIL. Decreto-Lei N 3.689, de 3 de outubro de 1941: Cdigo de Processo Penal.
BRASIL. Constituio da Repblica Federativa do Brasil, promulgada em 05 de
outubro de 1988. BRASIL. Lei N 8069, de 13 de julho de 1990, alterada pela Lei N
11829, de 25 de novembro de 2008, Art. 241: Estatuto da Criana e do Adolescente.
BRASIL. Gabinete de Segurana Institucional da Presidncia da Repblica.
Instruo Normativa N 1 Disciplina a Gesto de Segurana da Informao e
Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras
providncias. 2008.
BRASIL. Polcia Federal. Apresentao sobre a Polcia Federal no II Encontro
Nacional de Qumica Forense da USP. 2010
BUSTAMANTE, Leonardo. Computao forense: preparando o ambiente
de
trabalho.
Uol,
julho,
2006.
Disponvel
em:
<http://imasters.uol.com.br/artigo/4335/forense/computacao_forense preparando_o
_ambiente_de_trabalho/>. Acesso em: 04 maio 2015.
CASTELLS, Manuel. Fim do Milnio. 4. ed. Traduo de Klauss Brandini Gerhardt e
Roneide Venancio Majer. So Paulo: Paz e Terra, 2007. (A Era da Informao:
economia, sociedade e cultura; v. 3).
CONVENO
SOBRE
O
CIBERCRIME.
Disponvel
em:
http://ccji.pgr.mpf.gov.br/documentos/docs_documentos/convencao_cibercrime.pdf
Acessado em: 14 maio 2015.
ELEUTRIO, Pedro Monteiro da Silva / MACHADO, Marcio Pereira. Desvendando a
Computao Forense. 1 ed. So Paulo: Novatec, 2011.
FREITAS, Andrey Rodrigues. Pericia Forense Aplicada Informtica. So Paulo
SP. Instituto Brasileiro de Propriedade Intelectual IBPI, 2007.
GONDIM, Joo Jos Costa. Tratamento de Incidentes de Segurana: GSIC651
(Notas de Aula). Curso de Especializao em Gesto da Segurana da Informao e

Comunicaes: 2009/2011. Departamento de Cincias da Computao da

Universidade de Braslia. 2010. 23 p.
LOPES, M; GABRIEL, M.M. ; BARETA, G. M. S., Cadeia de Custdia: uma
abordagem preliminar. Paran PR, UFPR, 2008.
MARCELLA, Albert J. & Menendez, Doug: Cyber forensics - a eld manual for
collecting, examining, and preserving evidence of computer crimes, 2008
SWGDE SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Response
the Preliminary Outline of Draft Forensic Reform Legislation. 2010.

to

SWGDE SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Guidelines &

Recommendations for Training in Digital & Multimedia Evidence. 2010.
US-CERT. How the FBI investigates Computer Crime. 2004.