Você está na página 1de 10

Prova Digital na criminalidade Tributria

Breve abordagem aos fundamentos e metodologias da Informtica forense Introduo hoje incontestvel que a maior parte da informao produzida, criada e armazenada no formato digital e estima-se que mais de metade da documentao relacionada com a actividade econmica, nunca deixar o domnio digital. Isto significa que os documentos em formato papel, associados ao mundo dos negcios, constituem apenas uma pequena parte, sendo j significativamente maioritrio, o nmero de documentos em formato digital. Esta realidade contrasta com o domnio que o papel continua a exercer no campo da justia, onde predomina ainda este formato. No sou eu que o digo.... a esta concluso chegaram h muito dois ilustres estudiosos destas matrias, Fred e Christine Galves, conforme documenta o seu artigo: Ensuring the Admissibility of Electronic Forensic Evidence and Enhancing Its Probative Value at Trial, publicado na revista Criminal Justice Magazine.

Cincia Forense As cincias forenses tm por objectivo isolar elementos que permitam reconstruir um crime ou incidente, visando identificar suspeitos, apreender culpados, ilibar inocentes, e entender as motivaes que levaram prtica do crime. No mbito da informtica forense, esses elementos so de natureza digital e residem em dispositivos electrnicos de diversas naturezas.

O princpio da troca de Locard que est na base da generalidade das cincias forenses igualmente vlido na Informtica Forense no apenas na envolvente fsica mas sobretudo na vertente digital pois a actividade desenvolvida sobre um computador, por mais simples que seja, cria artefactos que ficam gravados no seu disco rgido que constituem marcas irrefutveis da aco desenvolvida.

M. Delgado

Prova Digital na criminalidade Tributria


Informtica Forense Ramo das cincias forenses que, recorrendo a ferramentas e metodologias cientificamente comprovadas, assegura a identificao, preservao, recolha, validao, anlise, interpretao, documentao e apresentao de evidncias digitais, obtidas a partir de qualquer dispositivo que armazene ou processe informao no formato digital, com o objectivo de facilitar ou favorecer a reconstruo de eventos relacionados com prticas criminalizveis. O mundo fsico que nos rodeia, caracterizado por uma natureza determinstica e finita, no qual, propriedades intangveis tais como o tempo, o espao, a identidade ou a localizao fsica surgem como inalterveis, encontrando-se qualquer delas fora do nosso controlo. No Mundo Digital as aces so virtualmente independentes quer do tempo quer da localizao fsica e no qual, com adequados conhecimentos, possvel alterar cada uma das propriedades antes referidas. Por outro lado, no mundo fsico, o investigador pode observar directamente muitos estados e eventos, usando os seus prprios sentidos, enquanto, no mundo digital, essa observao indirecta pois s com recurso a hardware e software adequados, possvel observar (interpretar) eventos e estados digitais.

Fundamentos da Informtica Forense Num computador ou dispositivo semelhante, quer o respetivo sistema operativo quer as aplicaes informticas executadas, geram e armazenam muito mais informao do que aquela que o utilizador visualiza. Trata-se, na maior parte dos casos de informao ativa, podendo estar acessvel ao utilizador ou residir em localizaes obscuras, por vezes em formatos codificados que impossibilitam a respectiva interpretao. Dispondo dos conhecimentos e ferramentas adequadas, essa mesma informao pode revelar-se esclarecedora quando interpretada e correlacionada.

M. Delgado

Prova Digital na criminalidade Tributria


Quando acessvel ao utilizador, a respectiva interpretao normalmente requer conhecimento especializado, caso dos Metadados. (Os metadados fornecem os recursos necessrios para entender os dados atravs do tempo. Informaes de como os dados foram

criados/derivados, ambiente em que residem e/ou residiram, alteraes feitas, entre outras, so obtidas a partir dos metadados). Por exemplo, o Microsoft Outlook regista a data em que criado um dado contacto, mas poucos de ns personaliza o programa para que mostre o item "data de criao", contudo este item existe e pode revelar-se de grande utilidade num processo de investigao, permitindo por exemplo confirmar com enquadramento temporal, uma ligao entre dois indivduos. Quanto informao residente em locais obscuros, temos como exemplo os ficheiros de log, ficheiros de sistema ocultos e informao registada de forma codificada cuja anlise pode inclusivamente permitir tirar ilaes quanto ao comportamento do utilizador. Para alm da informao Ativa h ainda a considerar vastas regies dos dispositivos de armazenamento que no esto acessveis quer ao sistema operativo quer s aplicaes, as quais podem constituir importantes repositrios de evidncias pois constituem uma espcie de "aterros sanitrios de dados", referenciados como Unallocated clusters e Slack Spaces, onde se podem encontrar muitos dos elementos que, quer utilizadores, quer sistema operativo e aplicaes, foram descartando ao longo do perodo de vida til do equipamento. Aceder e interpretar este vasto conjunto de dados no estruturados, exige o recurso a ferramentas especializadas bem como tcnicas e competncias especficas, e constitui o foco da Informtica Forense.

A Informtica forense apresenta-se assim como um processo especializado que visa a aquisio, interpretao e apresentao dos dados provenientes das trs categorias referidas (Dados activos, dados codificados e Dados residentes em reas no acessveis), juntamente com sua justaposio contra outras informaes disponveis (por exemplo, transaces de cartes de crdito,
3 M. Delgado

Prova Digital na criminalidade Tributria


informao bancria, elementos contabilsticos, registos de telefone, Correio Electrnico, documentos diversos, mensagens instantneas etc.).

A aco da Informtica forense no se limita a computadores pessoais e servidores, mas estende-se a todo o tipo de dispositivos que, de algum modo, possam conter informaes armazenadas electronicamente (ESI).

Entretanto, persiste ainda uma tendncia para considerar que a Informtica Forense tem apenas a ver com um tipo especfico de criminalidade: o designado Hi-Tech crime em que o Computador pode desempenhar quer o papel de Arma quer o de Alvo do crime.

A verdade que o, grau de disseminao das novas tecnologias por toda a sociedade actual faz com que muito poucos crimes possam hoje ser cometidos sem recurso tecnologia, o que faz com que, presentemente, o papel mais comum que o computador desempenha o de Repositrio de evidncias dos crimes praticados. ( esta a situao mais comum na investigao da criminalidade econmica).

Quem realiza este tipo de actividade? A Informtica forense uma disciplina relativamente recente, mormente no nosso pas, onde no existe ainda formao especfica nesta rea, pelo que, parte dos profissionais que aqui exercem este tipo de atividade fazem-no em grande medida como autodidactas.

O que possvel com a Computao Forense? Embora a extenso e fiabilidade das informaes recolhidas a partir de um exame forense possa variar, adiantam-se alguns exemplos de informaes que uma anlise pode revelar:

1. Forma e extenso do roubo de dados de propriedade industrial; 2. Timing e extenso de aes de eliminao de arquivos; 3. Se e quando uma pen-drive ou disco rgido externo, foi conectado a um equipamento;
4 M. Delgado

Prova Digital na criminalidade Tributria


4. Falsificao ou alterao de documentos; 5. Recuperao de e-mail e outro tipo de documentao eletrnica que algum alegou no existir ou ter sido eliminado; 6. O uso da Internet, as pesquisas on-line e transaces de comrcio electrnico (Histrico do uso da Internet); 7. Intruso e acesso no autorizado a servidores e redes; 8. Manipulao do Relgio e Calendrio do sistema; 9. Manipulao de imagens; 10. Retrospectiva, segundo-a-segundo da utilizao do sistema.

O que no possvel fazer com a Informtica Forense:

No obstante o grande potencial da Informtica Forense, h limites sobre o que pode ser feito com recurso e esta cincia, nomeadamente:

A Computao Forense, geralmente no permite:

1. A Recuperao de qualquer informao que tenha sido completamente sobrescrita por novos dados; 2. Identificar de forma conclusiva se as mos que manipularam o teclado de um dado sistema foram efetivamente as do utilizador identificado no sistema; 1. Realizar uma anlise forense aprofundada, sem acesso ao disco rgido original ou a uma imagem pericial do mesmo; 3. Recuperar dados de uma unidade que sofreu dano fsico grave que condicione o respectivo funcionamento; 4. Garantir que a unidade no ir falhar durante o processo de aquisio.

Evidncia Digital A evidncia digital no existe por si s, como algo absoluto, trata-se sim, de material que usado para estabelecer a verdade de um facto particular ou estado de coisas.

M. Delgado

Prova Digital na criminalidade Tributria


A evidncia digital no deixa no entanto de ser um tipo de evidncia fsica, embora menos tangvel. Ela composta por campos magnticos, campos elctricos e pulsos electrnicos que podem ser recolhidos e analisados recorrendo a tcnicas e ferramentas apropriadas.

Caractersticas da Evidncia Digital

Refira-se, contudo, que a evidncia digital possui caractersticas muito particulares, que as diferenciam das demais: Pode ser duplicada com exactido, permitindo a preservao da evidncia original durante a anlise; Com mtodos apropriados, relativamente fcil determinar se uma evidncia digital foi modificada; A evidncia digital extremamente voltil, podendo ser facilmente adulterada durante o processo de anlise; difcil de extinguir pois mesmo apagando um arquivo ou formatando um disco rgido, pode ainda ser possvel recuperar as informaes que este continha. difcil de entender no seu estado puro. Trata-se de campos magnticos, campos elctricos e pulsos electrnicos que necessitam de tcnicas e ferramentas apropriadas para ser recolhidos e analisados.

Propriedades da Evidncia Digital

1. Admissibilidade A evidncia deve reunir condies para ser aceite como prova em juzo. Nos EUA, a lei admite como autnticos os registos gerados pelo computador, desde que os programas que os gerem estejam a funcionar correctamente, considerando, por outro lado, hearsay evidences ou seja evidncias indirectas equiparadas a Testemunhos de ouvir dizer todos os registos em que exista interveno directa ou indirecta do utilizador. Esta regra admite no entanto excepes, uma das quais relativamente aos documentos relacionados com a actividade econmica
6 M. Delgado

Prova Digital na criminalidade Tributria


das empresas, dado o carcter cclico e regular com que os documentos so produzidos, acompanhando a dinmica da actividade. contudo frequente, que a prova digital assuma no processo um papel de complementaridade, reforando ou fundamentando outro tipo de prova produzida, (Hoey A. 1996). No que respeita aos pases da Unio Europeia, de acordo com um estudo realizado em 16 pases, publicado em 2006 pelo Journal of Digital Forensic Practice, revelou que em nenhum deles a legislao faz qualquer referncia ao termo Evidncia Electrnica, nem estipulam nas suas normas legais, uma definio especfica do que entendem por provas electrnicas, sendo a referncia mais directa encontrada no "Police & Criminal Evidence Code" do Reino Unido, referindo: "evidncias so todas as informaes contidas num computador." (Insa, 2006). 2. Autenticidade indispensvel provar que a evidncia est relacionada com o incidente de forma relevante, sob pena desta ser considerada intil. 3. Completude A evidncia no deve mostrar apenas uma perspectiva do incidente, por exemplo que provem os actos criminalizveis. indispensvel fornecer igualmente evidncias que provem a inocncia da vtima. 4. Fiabilidade Para que sejam fiveis, os procedimentos de recolha e anlise no podem levantar dvidas sobre a respectiva autenticidade e veracidade. 5. Legibilidade e Credibilidade A forma como se apresentam as evidncias ao tribunal, deve permitir a sua fcil compreenso e evidenciar credibilidade. Por exemplo, no aceitvel apresentar um dump binrio (de uma tabela de base de dados) se os jurados no tem a mais pequena ideia do que isso significa. As evidncias devem ser apresentadas num formato standard, compreensvel e que possa mostrar a relao com o binrio original, de modo a convencer os jurados de que a informao no foi adulterada.

M. Delgado

Prova Digital na criminalidade Tributria


Ciclo da Investigao Toda a informao relevante deve ser recolhida atravs de um varrimento meticuloso do dispositivo, para posterior anlise, respeitando dois princpios bsicos: o da autenticidade, segundo o qual deve ser garantida a origem dos dados, e o da fiabilidade, que assegura que os dados so fiveis e livres de erros.

Conforme as evidncias digitais vo sendo encontradas, devem ser extradas, restauradas quando necessrio (caso estejam danificadas ou cifradas), documentadas e devidamente preservadas. Em seguida, as evidncias encontradas devem ser correlacionadas, permitindo a reconstruo dos eventos relacionados com o crime praticado. Muitas vezes na anlise das evidncias, ao correlacionar e reconstruir os passos seguidos pelo criminoso, promove-se a descoberta de novas informaes, formando um ciclo no processo de anlise forense.

reas de ocultao Nvel Fsico A unidade base de armazenamento de informao num disco rgido o sector que, na maior parte dos sistemas, corresponde a 512 bytes. Contudo, a generalidade dos sistemas de ficheiros, no utiliza o sector como unidade de atribuio (allocated unit) de espao em disco, dado o peso excessivo que tal representaria em termos de gesto (gerir uma unidade de disco com 20 GB com base em sectores de 512 bytes, implicaria gerir 40 milhes de sectores especficos).

Para tornar mais eficiente a gesto, os sistemas de ficheiros atribuem os sectores em blocos contguos, designando estes blocos por clusters. Um cluster assim definido como a unidade base de atribuio de espao de armazenamento ao nvel do sistema de ficheiros, sendo constitudo por um grupo de sectores consecutivos. O tamanho do cluster (nmero de sectores que abarca), varia com o dispositivo de armazenamento e fixado no momento da formatao.

M. Delgado

Prova Digital na criminalidade Tributria


Qualquer unidade de armazenamento de informao necessita de ser previamente formatada para um dado sistema de ficheiros. assim comum, ter unidades de armazenamento com diversas parties (compartimentos lgicos) formatadas em FAT e/ou NTFS (formatos mais comuns).

Qualquer espao numa partio que no esteja atribudo a um ficheiro particular no pode ser acedido pelo sistema operativo. At que esse espao seja atribudo a um ficheiro, vai permitir ocultar dados.

A criao de uma partio de arranque, obriga a reservar espao para o Master Boot Record (MBR) no incio da unidade. Por fora da geometria das unidades de armazenamento esta formatao gera um desperdcio de 62 sectores onde podero ser escondidos dados. A necessidade de criar parties estendidas vai multiplicar estas reas. (Berghel et all, 2006).

Na criao de parties estendidas que no sejam parties de arranque (boot), vamos ter no 62 mas 63 sectores desperdiados.

Podemos ter parties removidas de forma premeditada para dissimulao do respectivo contedo.

Volume Slack As parties num disco rgido no utilizam a totalidade do espao disponvel, a rea remanescente no pode ser acedida pelo sistema operativo por meios convencionais (por exemplo, atravs do Windows Explorer). Este espao desperdiado chamado de Volume Slack e pode esconder evidncias.

File Slack Todos os arquivos tm dimenso fsica e lgica. Em situaes normais, a dimenso fsica maior do que a dimenso lgica, sendo por vezes igual. A dimenso fsica de um ficheiro, ditada pelo nmero mnimo de clusters inteiros de que ele necessita. Se por hiptese, a unidade base de atribuio do sistema de ficheiros for de 1 Cluster = 4KB, um ficheiro de 6 KB necessitar de
9 M. Delgado

Prova Digital na criminalidade Tributria


2 clusters fsicos (8 KB), sendo que a sua dimenso lgica apenas ir ocupar 3/4 desse espao, deixando (2KB) sem utilizao. A dimenso lgica o tamanho real do ficheiro que, neste caso, de 6 KB. A diferena entre as duas dimenses referenciada como "File Slack" e poder tambm ser utilizada para dissimular dados (Berghel et al, 2006).

Fontes de evidncias Nvel Lgico Sistema Operativo faz uso de diversos ficheiros para registo de elementos com relevante interesse para a investigao, como sejam: Link Files, Swap file, Event Logs, Recycle Bin, Registry, Print Spooling,Hibernation File, etc.

Bem como uma estrutura de directrios igualmente relevantes como: Recent Folder, My Documents, Temp Folder, Send To Folder, Favorites Folder, Cookies Folder, History Folder. Acresce ainda o espao no atribudo, Unallocated Clusters, onde podem igualmente existir importantes evidncias.

A anlise destes ficheiros e directrios, pode revelar-se determinante, quer para a identificao, quer para confirmao de elementos de prova.

10

M. Delgado