Erika Carlos Medeiros

Gliner Dias Alencar

Todos os direitos reservados – Tudors Digital

www.tudors.com.br
facebook.com/tudorsdigital
contato@tudorsdigital.com.br
Até onde seus dados estão seguros?
Forense Computacional

Erika Carlos Medeiros

Gliner Dias Alencar

Recife/2014
 Este livro foi motivado pela força da
Dinastia Tudors, talvez pela imagem de
honra, desafios e batalhas.

iii
Sumário
Introdução e Conceitos.................................................................. 5
Ciências que antecedem a perícia forense.............................. 5
Qual o papel do perito forense?................................................. 6
Qual o papel do perito forense computacional?................... 8
O que são evidências e como se distinguem de 11
evidências digitais?.......................................................................
O que são provas periciais?......................................................... 14
Como preservar a cena do crime?.............................................. 17
Investigação Forense Computacional....................................... 18
Conclusões......................................................................................... 21
Introdução e Conceitos

Este capítulo visa conceituar os termos que são

usados na área de forense, uma vez que perícia
forense, não só computacional, é uma área que
cresce a cada dia e carece de novos profissionais. Os
crimes, muitas vezes, são os mesmos, mas as formas
de praticá-los estão se atualizando a todo o
momento, principalmente com a ajuda de novos e
modernos aparatos tecnológicos. É preciso, para
entender forense, encontrar vestígios que levem a
coleta de evidências que se constituam provas, o
objetivo claro de remontar o passado.

Ciências que antecedem a perícia forense

A ciência forense é usada para busca de vestígios que

gerem evidências com vistas a remontar a cena de
um crime. Há inúmeros exemplos de vestígios, tais
como os humanos (sangue, cabelo, sémen), fósseis
arqueológicos, provas jurídicas, arcada dentária,
testemunhos, observações, entre outros. Portanto,
em sua base de conhecimentos, pode-se afirmar que
a ciência forense deriva-se ou orienta-se a partir de
outras ciências, como antropologia, criminologia,
entomologia, odontologia, psicologia e direito. Os
conhecimentos de todas essas ciências, no exercício
da perícia, são feitos tendo sempre o caráter legal

5
como balizador. Pode-se afirmar, então, que a ciência
forense em uma área de conhecimento é dependente
de outras áreas.

Vestígios coletados na cena de um crime são levados

a laboratórios e devem ser analisados através de
procedimentos formais e especiais (ou seja, por
peritos). Com os avanços das técnicas periciais, nas
mais diversas áreas de conhecimento, pedaços de
vestígios antes descartados, agora viram evidências
e têm muito a dizer. Em cada área de conhecimento,
os peritos usam de substâncias, equipamentos de
manuseio e muita tecnologia, sempre e
inevitavelmente, evitando o contato com os vestígios
coletados na cena do crime.

Qual o papel do perito forense?

Os peritos são profissionais altamente

especializados, capacitados para observar, manusear
de formas adequada e inequívoca todos os vestígios
que possam ajudar a esclarecer um crime, mesmo
em casos que são de muita complexidade. O perito
deve saber se portar na cena do crime, para não
invalidar vestígios ou mexer e descaracterizá-la. A
natureza de cada crime altera sua cena, mas, em
regras gerais o perito deve, depois de isolada a cena

6
do crime, observar tudo atentamente, registrar tudo
e coletar o que puder, da maneira apropriada.

O trabalho do perito não finda na cena do crime.

Todo material coletado é levado para exames
laboratoriais, uma vez que é papel do perito, nesta
fase, analisar e interpretar os vestígios ou possíveis
evidências, além de tentar fazer possíveis
associações entre elas. É possível detectar se houve a
interferência de algum agente estranho nas
evidências coletadas.

O profissional que quer ser perito deve ter noções de

outras áreas de conhecimento, que podem ajudar a
elucidar crimes. Entre essas áreas estão direito civil,
direito criminal e processual, química, engenharia
forense, fotografia forense, análise documentacional,
genética, sendo esta última uma das áreas que mais
avança em termos de pesquisas e descobertas. A
genética usa material humano para identificar
vítimas ou suspeitos, através da análise do DNA. O
uso de amostras de material cada vez menores e
antigas, para descoberta do DNA estão entre os
progressos da genética.

7
Qual o papel do perito forense computacional?

Nunca se produziu tantas linhas de código, quanto

no ano de 2013. Trabalha-se, socializa-se, joga-se,
numa proporção sem precedentes. Segue este
crescimento, a produção de linhas de código, a
produção de malwares, criando vulnerabilidades a
serem exploradas por predadores (sejam em
empresas, sejam em computadores ou dispositivos
de uso pessoal). Cresce, como consequência, a
tendência BYOD (Bring your own device) –
funcionários trazem seus dispositivos móveis para o
trabalho.

Este fenômeno, muito conhecido também por

consumerização, faz com que o setor de TIC tenha

8
dificuldade de controle e visibilidade dos dados
empresariais que são manipulados por dispositivos
móveis de seus funcionários, facilmente postados em
nuvens ou mídias sociais. Tudo e todos estão na
nuvem. A verdade é que BYOD, apps móveis,
compartilhamento de arquivos e redes sociais
deixam os dados saírem e, em alguns casos, o
malware entrar na rede.

Com já sabido, cada vez mais a tecnologia está

presente em todos os setores produtivos (formais ou
informais) e da vida cotidiana, inclusive em
momentos de realizações criminosas, a área de
segurança torna-se desafiadora. Os crimes podem
ser os mesmos, vividos agora no palco da Internet,

9
em computadores, laptops e smartphones, ou podem
ser novos crimes. Ou seja, surgem, com a
consumerização, não só novas formas de praticar
crimes antigos, mas crimes novos e que desafiam os
profissionais de segurança.

É papel do chamado perito forense computacional

dar voz e vez à elucidação de ações criminosas
cometidas com o auxilio da tecnologia da
computação. Algumas das características
consideradas imprescindíveis para um profissional
que enveredou pelos caminhos da perícia forense
computacional são: ser paciente, ser detalhista, ter
conhecimentos comprovados na área de tecnologia,
saber de preferência o inglês, ter conhecimentos das
leis da informática, ter muitas horas de trabalho para
poder periciar casos complexos, ter boa escrita (para
redação dos laudos periciais).

O perito forense computacional tem obrigação de

entender o desencadear de respostas para todos os
tipos de crimes que envolvam tecnologia, ou
entender se há jurisprudência acerca de seu campo
atuação na área da justiça. O campo de perícia
forense pode dar ao profissional a possibilidade de
atuar como perito nas varas cíveis e trabalhistas,
sendo nomeados pelo juiz; de atuar como assessor

10
dos advogados das partes processuais; de trabalhar
como consultor extrajudicial, redigindo laudos
periciais ou em comissões de sindicância que
apuram transgressões funcionais em empresas.

Hackers ou criminosos digitais, cientes da

inexperiência de tantas pessoas no uso de
dispositivos computacionais, têm cometidos desde
delitos simples até crimes graves. O perito forense
computacional surge, portanto, neste cenário, aptos
a colaborar com autoridades na apuração e
elucidação de crimes cometidos na Internet. Este
profissional deve reconstruir o passado, porém
agora no mundo digital, mostrando o que ocorreu,
como ocorreu e criando a materialidade do crime
cometido. A atuação vai desde casos de violação de
direitos autorais, passando por roubos de senhas e
realização de fraudes bancárias, até crimes de
pedofilia na grande rede.

O que são evidências e como se distinguem de

evidências digitais?

A qualidade do serviço prestado pelo perito forense,

cada um na sua área de conhecimento, representa o
pilar do processo que corre. O final do trabalho de
um perito é a redação de um laudo pericial, que será
redigido baseado em todas as análises feitas nas
11
evidências coletadas na cena do crime. Para que este
laudo seja objetivo, claro e sem vícios, é mister o zelo
pelas evidências, que representam seus insumos. É
importante observar os procedimentos de isolar a
cena do crime, ter critérios na identificação, coleta,
acondicionamento, transporte, transferência, análise
e armazenamento ou descarte das evidências.
Evidências são a matéria prima do trabalho do perito
e é nelas que se baseiam as provas detalhadas nos
laudos e juntadas aos processos.

Evidências forenses existem nas várias áreas de

conhecimento das ciências forenses. As evidências
digitais são informações em formato digital capazes
de determinar, por exemplo, se um sistema
computacional sofreu uma violação. Fazendo
analogia a Locard, em seu célebre princípio, toda
pessoa que comete um crime digital deixa rastros no
sistema. Os rastros podem ser deixados ao constatar
o uso de softwares não licenciados, constatar o
destino e origem de e-mails, violação de direitos
autorais de softwares, duplicação indevida de dados
e programas, acessos não autorizados a sistemas de
computador, vícios de fabricação em hardwares,
clonagem discos rígidos e mídias digitais, por
exemplo. Além destes crimes citados, sob a
perspectiva pericial, um celular smartphone é um

12
grande repositório de informações. Muitas
plataformas permitem o perito coletar evidências
diretamente do cartão de memória ou do próprio
aparelho, trazendo a tona informações sobre seu
proprietário e fatos que estão sob investigação.
Desse modo, é possível obter a autoria e
materialização de possíveis crimes cometidos, bem
como fornecer informações ao laudo pericial por
meio da análise e correlação desses dados.

Há que se considerar que a metodologia pericial é

conhecida e bem difundida, entretanto talvez se
torne insuficiente, e portanto um desafio, para
periciar plataformas específicas de celulares. Em
alguns celulares as soluções de hardware e software,
muitas vezes, são minimalistas e dado que os
sistemas operacionais fazem uso intenso de
memórias internas, alguns procedimentos clássicos
da forense podem ser considerados invasivos ou,
pelo menos, possuem algum grau de complexidade
maior. São fontes de evidências forenses todo disco
rígido ou toda mídia. Evidências forenses em discos
rígidos e mídias são rastros para crimes digitais que
devem ser periciados segundo metodologia
abordada neste e-book.

13
O que são provas periciais?

Prova pericial tem como fim a demonstração da

verdade, a respeito de fatos que estão sob
julgamento. A verdade é definida pelo dicionário
como “conformidade a um fato ou realidade; uma
declaração provada como ou aceita como verdadeira;
realidade”. Não existe verdade absoluta? É ilógica tal
pergunta, uma vez que em essência, ela diz que o
próprio fato por não haver verdade absoluta se
constitui uma verdade. Há que se ter a mente aberta
quando se trabalha com forense, dado que podem
existir várias verdades.

A prova pericial interessa ao juiz do processo, dada

que ela pode constituir a verdade, ainda dependente
dos conhecimentos técnicos especializados deste.

14
Registra-se que na prova pericial, pessoas e coisas
são fontes de coleta (respeitando-se os limites
jurídicos para perícias das coisas). Em tempos de
tecnologia que avança, coisas podem ser sistemas
computacionais e telecomunicações. A luz da
legislação que antecede o avanço tecnológico, há que
se alargar os conceitos jurídicos para que provas
sejam melhor acondicionadas em preceitos legais. O
que é documento a luz da legislação? Já há
magistrados que afirmam que “documentos são
todos e quaisquer objetos capazes de cristalizar um
fato transeunte, tornando-o, sob certo aspecto,
permanente”. Portanto, ainda segundo o mesmo
magistrado “pouco importa o material que é
utilizado, bastando a existência de uma coisa que
traga em si caracteres suficientes para atestar que
um fato ocorreu”.

Em se tratando de perícia forense computacional,

provas que sejam constituídas de documentos
eletrônicos, fotografias, entre outros em formato
impresso e que façam parte dos autos, devem ter as
mídias que os originaram juntadas. Desta forma, é
mais fácil demonstrar tecnicamente a integridade de
tais provas. Por vezes, as provas são desqualificadas

15
dos autos por não terem sido concluídas baseadas
em evidências manipuladas de forma adequada.

Para que a prova não seja desqualificada e retirada

dos autos, é mister rigor não somente na coleta e
preservação das evidências, mas em todo o processo
de investigação a que a evidência é submetida. A
garantia da integridade da prova pericial se alcança
seguindo procedimentos legais e científicos no
manipular da evidência que culminam na chamada
cadeia de custódia.

A cadeia de custódia é requisito necessário para

validação da prova pericial e consequentemente do
laudo pericial gerado com base nesta prova. Há o
compartilhamento de todos os envolvidos acerca da
responsabilidade de manutenção da integridade de
todas as fases do processo, ou seja, a cadeia de
custódia é de responsabilidade de todos, inclusive do
perito. Devem existir métodos padronizados para tal
manutenção de modo que as provas periciais
permaneçam confiáveis e incontestáveis. A cadeia de
custódia é uma maneira de preservar provas
periciais, sejam elas digitais ou não.

16
Como preservar a cena do crime?

No momento em que a pericia, bem como a polícia,

chega à cena do crime, há uma lista de
procedimentos que deve ser seguida a risca. A cena
do crime está cheia de vestígios que tem conexão
com o criminoso e o crime e, tais vestígios, são o
ponto de partida para investigação. É de suma
importância que os vestígios sejam bem
manipulados para que a cena do crime não seja
comprometida e pistas sejam destruídas ou
perdidas. A falta de procedimentos vulnerabiliza o
processo de investigação.

Há que se ter a cena do crime isolada de imediato.

Todos os vestígios ou evidências devem ser levados
em conta e, portanto, preservados. O fluxo de

17
pessoas não autorizadas, na cena do crime, é prática
não recomendada, uma vez que estas sempre trazem
algo consigo ou levam algo do lugar por onde
passam, podendo adulterar o ambiente que está
sendo observado e confundir os investigadores.
Deve-se manter o registro de entrada e saída de
pessoas no local.

Depois de observações preliminares, pode-se

concluir se o lugar que está sendo observado é uma
cena do crime primária ou secundária. São
consideradas noções básicas sobre investigações da
cena do crime: introdução sobre investigações da
cena do crime; reconhecimento do local;
documentação da cena; procura de provas e
evidências; coleta de provas; Ciência forense:
analisando as provas.

Ainda há que se levar em conta os pontos de entrada

e saída dos suspeitos da cena do crime.

Investigação Forense Computacional

Faz-se uso da ciência forense para elucidar fatos

acerca de ocorridos no meio cibernético.
Constituem-se fases da investigação forense: a coleta
de dados, o exame dos dados, análise dos dados

18
obtidos na fase anterior para obter informações,
escrita do laudo pericial. A figura abaixo demonstra
de forma ilustrada, que as fases seguem um fluxo,
mas a qualquer momento pode ser necessária a volta
a um ponto anterior.

Na fase de coleta dos dados, devem-se estabelecer

prioridades de salva segundo a volatilidade dos
dados que se apresentam. Dados mais voláteis
devem ser coletados mais prioritariamente. Além da
volatilidade, há prioridades na coleta de dados a
depender da cadeia de confiança do sistema
operacional em questão. Ou seja, como os dados são
acessados e afetados a depender da ordem de acesso.

Em se tratando de investigação forense

computacional, a preservação da cena do crime se dá
através da extração de uma imagem da mídia
coletada e a impressão de um hash nesta imagem. A
imagem será periciada e a mídia será entregue a uma
cadeia de custódia para a preservação da integridade

19
da prova. São arquivados registros sobre quem teve
acesso às evidências e às imagens desta prova. Esta
providência é importante para a admissibilidade das
evidências. Devem-se preservar as evidências desde
esta fase, a fase de coleta dos dados. Cada evidência
coletada deve ter um registro da cadeia de custódia
associada.

Na fase de exame dos dados, deve-se filtrar, avaliar e

extrair as informação que sejam relevantes ao caso.
Muitas vezes, perde-se muito tempo, achando que
tudo deve ser guardado ou avaliado e há casos em
que o tempo é o bem mais precioso. Para esta fase,
deve-se usar dump de memória RAM, recuperação
de dados em discos rígidos ou mídias e, fazer uso de
Librarys (conjunto de assinatura de software) para
filtragem dos dados com vistas a encontrar dados
encriptados ou estaganografados.

Na fase de análise dos dados, deve-se tentar extrair

informações interpretando ou correlacionando os
dados obtidos na fase anterior (ou outras evidências
externas). É necessário identificar os envolvidos,
estabelecer uma ordem cronológica de
acontecimento dos fatos e deve-se fazer o
levantamento de eventos e locais. No levantamento

20
de eventos são levados em conta: a reconstrução do
histórico do uso do computador pelo usuário;
reconstrução da ordem de processos executados;
reconstrução de rotas de rede e acessos remotos;
exame de logs; histórico de acesso de arquivos e
diretórios;

A correlação das evidências podem produzir provas

que venham a estar na redação do laudo pericial.

Na última fase da perícia, que é a construção do

laudo pericial espera-se um documento com uma
redação clara e sem ambiguidades, além de conclusa
e concisa. O laudo deve conter exposição detalhada
dos métodos utilizados e deve ser de fácil
interpretação por qualquer leitor, mesmo os leigos. O
redator não pode esquecer que está escrevendo para
não apenas para técnicos ou magistrados.

Conclusões

Até onde seus dados estão seguros? É uma pergunta

que não tem resposta. A forense computacional
busca responder o que, onde, quando e como um
crime ou incidente ocorreu com seus dados digitais.
Através da perícia forense computacional busca-se
coletar e analisar evidências, com o objetivo de

21
remontar o passado de um sistema. O bom perito se
atem aos dados ou perímetro do sistema que
realmente é importante, evitando perda de tempo ou
desvio de foco. Muitas vezes, a velocidade da
descoberta chega a dar colocar um ponto final em
situações de muita gravidade como fraudes
bancárias ocorridas pela Internet, ou mesmo crimes
de pedofilia.

O perito deve ter em mente que o uso do sistema

computacional irá causar uma perturbação no
mesmo de modo que é importante manter as provas
íntegras, ou seja, dar fé.

Ao se falar em provas para comprovação de algum

ato é comum pensar em achar algo físico e este
objeto comprovar a ação em vias judiciais. Ao se falar
de crimes digitais, como guardar as provas de forma
que sejam válidas em juízo? Por exemplo, um site
com conteúdo ofensivo sobre alguém, como
comprovar aquele ato? Um cliente comprou um
computador pela Internet com a descrição de uma
configuração e foi entregue outro com requisitos
menores, como comprovar? Um print screen, salvar
arquivos ou apenas uma denúncia é válido como
prova? A resposta é não.

22
Se o responsável pelo site retirar o conteúdo ou
alterá-lo de forma a adequar a nova situação,
favorável a ele (o que é bem comum devido ao
dinamismo da Internet), em juízo será apenas a
palavra da vítima e uma arquivo computacional – no
caso, uma figura (que pode ser facilmente
manipulada) contra a palavra do acusado e o site
atual, já modificado.

Uma forma de contornar tal situação e dar fé pública

à prova é fazer uma declaração de fé pública da
existência do crime ou lavrar uma Ata Notorial de tal
conteúdo. Estas ações são realizadas em cartórios e
nada mais são do que a formulação de um
documento formal emitido pelo cartório que relata, e
neste caso, confirma o conteúdo do site ao qual
poderá ser usado pela vítima como prova em juízo.
Há, agora, uma espécie de “carimbo” do cartório que
confirma tal ato. Muito comum para provas digitais é
criar assinaturas hash de cada evidência com
algoritmos como MD5, SHA1, SHA256.

Os hash, assinaturas digitais ou arcabouços

tecnológicos de criptografia, podem servir de forma
análoga aos carimbos do cartório desde que
obedecida algumas premissas legais.

23
As evidências e provas estando íntegras serão
irrefutáveis. Um laudo bem escrito, que use analogias
e exemplos, que faça simulações, ajuda no
convencimento da outra parte ou do juiz.

Em meio a todos os cuidados metodológicos e

técnicos, ainda há que se considerar às leis vigentes
na jurisdição ou políticas organizacionais.

Sem o uso da metodologia adequada e a adequação

aos preceitos legais a coleta e análise de dados se
torna inócua.

Por fim, ressalta-se, que alguns criminosos podem

ter tanto conhecimento na área quanto bons peritos,
utilizando de tais conhecimentos para realizar ações
mais precisas e dificultando cada vez mais o
processo de forense. O que torna necessário
atualizações constantes, em todas as áreas, para se
manter um bom perito e elucidando casos.

24
Todos os direitos reservados – Tudors Digital
Baixe este e-book gratuitamente em:
www.tudors.com.br

www.tudors.com.br
facebook.com/tudorsdigital
contato@tudorsdigital.com.br

25