Cybercrime Analise e Ferramentas de Investigacao

Cybercrime: Análise e Ferramentas de
Investigação
Brasília-DF.
Elaboração
Rayssa Falcão Freitas
Produção
Equipe Técnica de Avaliação, Revisão Linguística e Editoração

Sumário
APRESENTAÇÃO.................................................................................................................................. 5
ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6
INTRODUÇÃO.................................................................................................................................... 8
UNIDADE I
CRIME E CYBERCRIME......................................................................................................................... 11
CAPÍTULO 1
CRIME.................................................................................................................................... 12
CAPÍTULO 2
CYBERCRIME.......................................................................................................................... 14
CAPÍTULO 3
TIPOS DE CYBERCRIME........................................................................................................... 27
CAPÍTULO 4
MARCOS LEGAIS..................................................................................................................... 43
UNIDADE II
ANÁLISE DE CYBERCRIMES................................................................................................................... 56
CAPÍTULO 1
EVIDÊNCIA DIGITAL................................................................................................................. 56
CAPÍTULO 2
FORENSE DIGITAL.................................................................................................................... 64
CAPÍTULO 3
FRAUDE FINANCEIRA: ESTUDO DE CASO................................................................................. 76
CAPÍTULO 4
CYBERCRIME EM NÚMEROS.................................................................................................... 80
UNIDADE III
INTELIGÊNCIA ARTIFICIAL E CYBERCRIMES............................................................................................ 83
CAPÍTULO 1
INTELIGÊNCIA ARTIFICIAL......................................................................................................... 83
CAPÍTULO 2
DEEP LEARNING...................................................................................................................... 88
CAPÍTULO 3
INTERNET DAS COISAS........................................................................................................... 103
CAPÍTULO 4
BIG DATA.............................................................................................................................. 110
UNIDADE IV
FERRAMENTAS.................................................................................................................................... 113
CAPÍTULO 1
VISÃO GERAL........................................................................................................................ 113
CAPÍTULO 2
FERRAMENTAS FORENSE DESKTOP......................................................................................... 117
CAPÍTULO 3
FERRAMENTAS FORENSE MÓVEL............................................................................................ 125
REFERÊNCIAS................................................................................................................................. 130
Apresentação
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

entendem necessários para o desenvolvimento do estudo com segurança e qualidade.
Caracteriza-se pela atualidade, dinâmica e pertinência de seu conteúdo, bem como pela
interatividade e modernidade de sua estrutura formal, adequadas à metodologia da
Educação a Distância – EaD.
Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade

dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos
específicos da área e atuar de forma competente e conscienciosa, como convém
ao profissional que busca a formação continuada para vencer os desafios que a
evolução científico-tecnológica impõe ao mundo contemporâneo.
Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

a facilitar sua caminhada na trajetória a ser percorrida tanto na vida pessoal quanto na
profissional. Utilize-a como instrumento para seu sucesso na carreira.
Conselho Editorial
5
Organização do Caderno
de Estudos e Pesquisa
Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos
básicos, com questões para reflexão, entre outros recursos editoriais que visam tornar
sua leitura mais agradável. Ao final, serão indicadas, também, fontes de consulta para
aprofundar seus estudos com leituras e pesquisas complementares.
A seguir, apresentamos uma breve descrição dos ícones utilizados na organização dos
Cadernos de Estudos e Pesquisa.
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor
conteudista.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita
sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante
que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As
reflexões são o ponto de partida para a construção de suas conclusões.
Sugestão de estudo complementar
Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

discussões em fóruns ou encontros presenciais quando for o caso.
Atenção
Chamadas para alertar detalhes/tópicos importantes que contribuam para a

síntese/conclusão do assunto abordado.
6
Saiba mais
Informações complementares para elucidar a construção das sínteses/conclusões

sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informações relevantes do conteúdo, facilitando o

entendimento pelo aluno sobre trechos mais complexos.
Para (não) finalizar
Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

ou estimula ponderações complementares sobre o módulo estudado.
7
Introdução
Grupos de crime organizado estão usando a Internet para grandes atividades

de fraude e roubo, com foco no comércio eletrônico de bancos. A diversificação
do crime organizado em várias formas de crime na Internet está intimamente
relacionada a outra tendência discernível, ou seja, o envolvimento do crime
organizado no que antes era classificado como crime de colarinho branco.
Como a fraude de ações relacionada à Internet resulta em uma perda de mais
10.000 milhões de dólares por ano para os investidores, ela oferece uma área
particularmente lucrativa para o envolvimento do crime organizado.
O crescimento da “cyberextortion” é uma terceira tendência significativa. Uma

quarta tendência é o uso de vírus de computador para obter acesso a senhas
de contas em instituições financeiras. Outras tendências são: iniciar crimes
cibernéticos a partir de jurisdições que possuam poucas ou nenhuma lei contra
eles e/ou pouca capacidade para fazer cumprir tais leis; o uso da Internet para
lavagem de dinheiro através do comércio internacional; e conexões de rede entre
hackers ou pequenos criminosos e o crime organizado.
Além do desenvolvimento de leis apropriadas que visam aos métodos de

cybercrime do crime organizado, também é importante que os governos e as
agências policiais desenvolvam a capacidade de implementar e fazer cumprir
essas leis. Isso requer o desenvolvimento de conhecimento em tecnologia do
crime cibernético, bem como o compartilhamento eficaz de informações entre
agências dentro de um país e além das fronteiras nacionais. Outro componente
importante de uma estratégia para combater o cybercrime é a parceria entre
governos e indústria, especialmente o setor de tecnologia da informação.
Nessa disciplina, estudaremos a diferença entre crime e cybercrime, tipos

de cybercrime e instrumentos legais; abordaremos também o processo de
análise de um cybercrime, conceituando evidência digital e forense digital e,
por fim, mostraremos as principais aplicações da Inteligência Artificial que
são amplamente usadas no combate e na propagação do cybercrime, além de
apresentar as principais ferramentas utilizadas na análise de crimes cibernéticos.
Bons estudos!
8
Objetivos
» Capacitar os estudantes a saber diferenciar crime de cybercrime.
» Conhecer os tipos e instrumentos legais aplicados ao cybercrime.
» Compreender as etapas da análise de um cybercrime.
» Compreender as principais aplicações da Inteligência Artificial

usadas no combate e na propagação do cybercrime.
» Capacitar os estudantes a selecionar de acordo com o cybercrime. a

ferramenta de análise apropriada.
9
10
CRIME E UNIDADE I
CYBERCRIME
Embora o cybercrime seja tratado como uma entidade separada do crime

tradicional, ele é praticado pelos mesmos tipos de criminosos pelas mesmas
razões. Esses hackers podem ser: ladrões profissionais, gangues criminosas,
funcionários descontentes, competição profissional, ativistas, jovens desiludidos,
adversários políticos etc. Eles têm as mesmas motivações que os criminosos
tradicionais, como tédio e vandalismo, apoio político ou ideológico, malícia ou
vingança, ganho monetário por extorsão ou venda de dados obtidos ilegalmente,
terrorismo ou notoriedade e sensacionalismo. A figura 1 ilustra as diferentes
maneiras que um hacker usa para praticar seus crimes.
Figura 1. Ataque hacker.
Fonte: Vectorstock (2019).
Os métodos que os cybercriminosos usam para coletar dados e realizar um ataque

são comparáveis aos crimes físicos “tradicionais”. Por exemplo, vamos comparar
como uma quadrilha criminosa pode invadir um banco para roubar dinheiro e
como uma quadrilha criminosa virtual pode invadir uma rede de computadores
para roubar dados.
Além do uso da tecnologia, qual é a diferença entre o cybercrime e o crime

tradicional? É o que veremos nesta unidade!
11
CAPÍTULO 1
Crime
Quanto à definição de crime, a Lei de Introdução do Código Penal n o 2.848

deixa claro que:
Art. 1o – Considera-se crime a infração penal a que a lei comina pena

de reclusão ou de detenção, quer isoladamente, quer alternativamente
ou cumulativamente com a pena de multa; contravenção, a infração
penal a que a lei comina, isoladamente, pena de prisão simples ou de
multa, ou ambas, alternativa ou cumulativamente. (BRASIL, 1941)
Infelizmente, o crime em nossa sociedade é não só uma realidade, mas também

um fenômeno social. Presente no nosso dia a dia, o conceito de crime evoluiu
e se modificou ao longo do tempo, não podendo ser apenas classificado como
imutável, estático e único, no espaço e no tempo.
Formalmente, o conceito de crime consiste numa violação à lei penal

incriminadora. É um conceito que resulta do aspecto da técnica jurídica, ou seja,
do ponto de vista da lei (JESUS, 1980). Em relação a este conceito emergem
várias definições: Pimentel (1990) caracteriza o crime como sendo todo ato
ou fato que a lei proíbe sobre ameaça de uma pena; enquanto Fragoso (1995)
descreve crime como uma conduta contrária ao Direito, a que lhe atribui pena.
Crime pode ser definido materialmente como uma ação ou omissão que se
proíbe e se procura evitar, ameaçando-a com pena, porque constitui ofensa
(dano ou perigo) a um bem jurídico individual ou coletivo. Segundo Noronha
(1983), crime, segundo o conceito material, é a conduta praticada pelo ser
humano que lesa ou expõe a perigo o bem protegido pela lei penal.
Independente da definição, os crimes são definidos e punidos pelos estatutos

e pela lei comum. A maioria dos crimes de direito comum é tão conhecida e
tão precisamente apurada quanto aquelas definidas por estatutos; contudo,
pela dificuldade de definir e descrever exatamente todos os atos que devem ser
punidos, o princípio vital e de preservação foi adotado, de que todos os atos
imorais que tendem ao prejuízo da comunidade são puníveis pelos tribunais
de justiça.
A doutrina brasileira confere aos crimes algumas classificações, ora pela forma
de execução, ora pela gravidade do fato, pelos agentes, quanto à lesividade, entre
outros. A figura 2 apresenta os crimes segundo a classificação doutrinária.
12
CRIME E CYBERCRIME │ UNIDADE I
Com o crescimento tecnológico, a forma de transmitir informações aumentou

consideravelmente, em que os dados podem ser espalhados de forma
instantânea para todo mundo. Tal avanço pode ser visto de forma benéfica
para muitos, em que a comunicação rápida ajuda a fortalecer laços e manter
a comunicação sem barreira geográfica. No entanto, o avanço tecnológico
não vem apenas com o lado positivo, uma nova forma de crime surgiu: o
crime virtual. São crimes cometidos via internet e podem ser enquadrados no
código penal, onde terá punições de acordo com cada caso. É o que veremos
em detalhes nos próximos capítulos.
Figura 2. Classificação doutrinária dos crimes.
CRIMES
Classificação Doutrinária
Crime que não exige qualidade alguma do sujeito, pode ser praticado
CRIME COMUM
por qualquer pessoa. Ex.: homicídio.
Não se consuma apenas com o perigo, é necessário que ocorra uma

CRIME DE DANO
efetiva destruição a um bem jurídico penalmente protegido.
Só se consuma se houver RESULTADO. A lei prevê uma conduta e um

CRIME MATERIAL
resultado e exige o resultado para fins de comprovação.
O crime é praticado por um comportamento ativo, mediante uma ação,

CRIME COMISSIVO
uma atividade, um comportamento atuante. Uma ação.
CRIME OMISSIVO O agente comete o crime ao deixar de fazer alguma coisa. Omissão.
CRIME Há consumação imediata, em único instante. A consumação não se

INSTANTÂNEO prolonga. A afetação ao bem jurídico protegido é instantânea.
O agente prevê o resultado lesivo de sua conduta e, mesmo assim,

CRIME DOLOSO
leva-a adiante, produzindo o resultado.
Conduta voluntária, sem intenção de produzir o resultado ilícito, porém,

CRIME CULPOSO
previsível. Poderia ser evitado. Negligência, imperícia ou imprudência.
CRIME DE FORMA
Pode ser executado por qualquer forma ou meio.
LIVRE
CRIME DE AÇÃO Descrito em um único verbo, uma única forma de atuação. Também é
ÚNICA chamado de crime uninuclear.
CRIME SIMPLES Comporta apenas um crime no tipo penal. Ex.: Furto.
Aquele que é a reunião de mais de um crime em um único tipo penal.

CRIME COMPLEXO
Ex.: furto + violência.
Exige uma qualidade especial do sujeito, ou seja, só pode ser praticado

CRIME PRÓPRIO
por alguém específico. Ex.: infanticídio – mãe.
O sujeito passivo é uma universalidade, uma coletividade destituída de

CRIMES VAGOS
personalidade jurídica. Não há vítimas específicas. Ex.: família.
A consumação depende de um lapso temporal para se concretizar. Ex.:

CRIMES À PRAZO
sequestro.
CRIME PERMANENTE A consumação se prolonga, arrasta, alonga no tempo. Ex.: maus tratos.
Fonte: Adaptado de Lopes (2019).
13
CAPÍTULO 2
Cybercrime
Não existe uma definição universalmente aceita sobre cybercrime ou crime

cibernético. No entanto, a seguinte definição inclui elementos comuns às
definições de crimes cibernéticos existentes. O cybercrime é um ato que viola a
lei, que é praticado usando a tecnologia da informação e comunicação (TIC) para
direcionar redes, sistemas, dados, sites e/ou tecnologia ou facilitar um crime
(GOODMAN; BRENNER, 2002).
O cybercrime difere do crime tradicional, pois “não conhece fronteiras físicas ou

geográficas” e pode ser conduzido com menos esforço, maior facilidade e com
maior velocidade do que o crime tradicional (embora isso dependa do tipo de
crime cibernético e do tipo de crime que está sendo praticado).
A Europol (2018) diferencia o cybercrime em crimes dependentes da

cybercriminalidade, ou seja, qualquer crime que só possa ser cometido
usando computadores, redes de computadores ou outras formas de
tecnologia de informação e comunicação; e crimes cibernéticos, isto
é, crimes tradicionais facilitados pela Internet e tecnologias digitais. A
principal distinção entre essas categorias de crimes cibernéticos é o papel
das TIC na ofensa – seja ela alvo da ofensa ou parte do modus operandi (ou
método de operação) do ofensor. Quando as TIC são o alvo da ofensa, esse
crime cibernético afeta negativamente a confidencialidade, a integridade ou
disponibilidade de dados ou sistemas de computadores.
Confidencialidade, integridade e disponibilidade compõem o que é conhecido

como “Tríade da CIA” (ROUSE, 2014): simplificando, as informações privadas
devem permanecer privadas, não devem ser alteradas sem a permissão
do proprietário e os dados, serviços e sistemas devem estar acessíveis ao
proprietário em todos os momentos. Quando as TIC fazem parte do modus
operandi, o cybercrime envolve um crime tradicional (por exemplo, fraude e
roubo) facilitado de alguma forma pela Internet e pelas tecnologias digitais.
Essas categorias e os tipos de crimes cibernéticos abrangidos por elas são
explorados em mais detalhes no capítulo 3.
O cybercrime pode ser praticado por indivíduos, grupos, empresas e

estados-nação. Embora esses atores possam usar táticas semelhantes (por
exemplo, usando software malicioso) e atacar alvos semelhantes (por
14
exemplo, um sistema de computador), eles têm motivos e intenções diferentes

para cometer crimes cibernéticos.
Origem e evolução do cybercrime

Você pode ter se perguntado onde ou qual foi o primeiro caso de cybercrime,
e as respostas podem surpreendê-lo. As primeiras instâncias do cybercrime
foram cometidas antes mesmo da Internet existir e envolver... roubo de dados.
Computadores, redes de computadores e a Internet foram criados para criação,
armazenamento e transferência de informações governamentais e corporativas,
informações muito valiosas para as pessoas certas. A criação de métodos
digitalizados pode ter empurrado a humanidade para o século XXI, mas fez o
mesmo com os criminosos. Eles querem o que temos e quanto mais difícil for
encontrar, recuperar e utilizar, mais eles vão querer levá-lo. Se não for para
ganhos pessoais, apenas porque eles podem.
A história e a evolução do cybercrime são fáceis de rastrear e coincidem com a

evolução da própria Internet. Os primeiros crimes foram, obviamente, simples
ataques a informações de redes locais, mas à medida que a Internet se tornou
mais estabelecida, o mesmo aconteceu com os ataques.
Embora o cybercrime existisse antes da Internet, o primeiro grande ataque

de crime cibernético ocorreu com a proliferação de e-mails no final dos anos
1980. Ele permitiu que uma série de golpes ou malware fossem entregues na
caixa de entrada do e-mail. Você se lembra do golpe do príncipe nigeriano?
“Saudações, sou um príncipe da Nigéria. Preciso de ajuda para tirar milhões
do meu país e tudo o que você precisa fazer é enviar-me algum dinheiro
primeiro para configurar a transferência. Uma vez feito, vou compartilhar
meus milhões com você”.
O próximo ataque na linha do tempo da história do cybercrime ocorreu nos

anos 1990, com o avanço dos navegadores da web. Naquela época, havia uma
infinidade de opções, muito mais do que hoje, e a maioria era vulnerável a
vírus. Os vírus eram entregues através de conexões com a Internet sempre que
sites questionáveis eram visitados. Alguns causaram lentidão no computador,
outros causaram anúncios pop-up irritantes na tela ou redirecionavam você
para os sites pornográficos mais desagradáveis.
O cybercrime realmente começou a decolar no início dos anos 2000, quando

as redes sociais ganharam vida. O aumento de pessoas que colocaram todas as
15
UNIDADE I │ CRIME E CYBERCRIME
informações possíveis em um banco de dados de perfis criou uma enxurrada de

informações pessoais e o aumento do roubo de identidade. Os ladrões usavam
as informações de várias maneiras, incluindo acesso a contas bancárias, criação
de cartões de crédito ou outras fraudes financeiras. O que não é diferente do que
continua acontecendo hoje em dia!
Mas qual a origem exata do cybercrime? A origem exata seria a primeira instância
em que alguém cometeu um crime através de uma rede de computadores, ou
seja, é impossível saber! O que é possível saber é o primeiro grande ataque a
uma rede digital e, em seguida, usá-lo como um ponto de referência de evento
na evolução do cybercrime. Vejamos alguns fatos na história.
1971: John Draper criou o conceito de “phreaker” (nome dado aos hackers
da telefonia). Ele conseguiu fazer ligações gratuitas de longa distância
utilizando um apito de plástico que vinha de brinde em um caixa de cereal,
que reproduzia fielmente o tom de 2.600 Hz, usado para acessar diretamente
o satélite nas chamadas de longa distância. Assim, era possível fazer as
chamadas sem pagar pela ligação. Dessa forma, os casos de fraude eletrônica
subiram significativamente, obrigando os EUA a trocar a sinalização de
controle de seus sistemas de telefonia.
1973: Um caixa de um banco local de Nova York usou um computador para

desviar mais de dois milhões de dólares.
1978: O primeiro sistema de comunicação eletrônica on-line (Bulletin Board

System) surgiu e rapidamente se tornou o método preferido de comunicação
para o mundo cibernético. Permitiu troca rápida e gratuita de conhecimentos,
incluindo dicas e truques para invadir redes de computadores.
1981: Ian Murphy, conhecido como Capitão Zap para seus fãs, foi a primeira
pessoa condenada por um cybercrime. Ele invadiu a rede da AT&T e alterou o
relógio interno para cobrar taxas fora do horário de expediente nos horários de
pico. Ele recebeu 1.000 horas de serviço comunitário e 2,5 anos de liberdade
condicional. Podemos dizer que a punição não foi “nada” em comparação com as
penalidades de hoje, e foi a inspiração para o filme Sneakers.
1982: Elk Cloner, um vírus, é escrito como uma piada por um garoto de 15
anos. É um dos primeiros vírus conhecidos a deixar o sistema operacional
original e se espalhar em outras mídias. Ele atacou os sistemas operacionais
Apple II e se espalhou por disquetes.
16
1983: O filme War Games é lançado e aborda a atuação de hackers. O filme

mostra um adolescente que invade um sistema de computador do governo por
uma porta dos fundos e quase leva o mundo à Terceira Guerra Mundial.
1986: O Congresso aprova a Lei de Fraude e Abuso de Computadores,

tornando ilegal o uso de hackers e roubos.
1988: Robert T. Morris Jr., um estudante de graduação em Cornell, lançou um vírus

autorreplicante no ARPANET, projeto do Departamento de Defesa dos Estados
Unidos. A ARPANET é o precursor da Internet como a conhecemos hoje. O vírus
saiu do controle, infectou mais de 600.000 computadores em rede e deu a Morris
uma multa de 10 milhões de doláres e três anos de liberdade condicional.
Você sabe o que foi a ARPANET?
ARPANET (Advanced Research Projects Agency Network) ou rede de longa

distância, criada a partir de 1965 pela Agência de Pesquisas Avançadas
– ARPA, em consórcio com as principais universidades e centros de
pesquisa dos EUA, com o objetivo específico de investigar a utilidade
da comunicação de dados em alta velocidade para fins militares. É
conhecida como a rede mãe da Internet de hoje, e foi colocada fora
de operação em 1990, posto que estruturas alternativas de rede já
cumpriam o seu papel, nos EUA.
1989: O primeiro caso em larga escala de ransomware é relatado. O vírus foi

incluído num questionário sobre o vírus da AIDS e, uma vez baixado, manteve
os dados dos computadores como reféns por 500 dólares. Ao mesmo tempo,
outro grupo é preso roubando dados do governo e do setor privado dos EUA e
os vendendo para a KGB.
1990: The Legion Of Doom e Masters Of Deception, duas gangues cibernéticas,

se envolvem em guerra online. Eles bloqueiam ativamente as conexões um do
outro, invadem computadores e roubam dados. Esses dois grupos eram phreaks
telefônicos em larga escala, famosos por vários ataques na infraestrutura de
mainframe dos telefones. A proliferação dos dois grupos, juntamente com
outras gangues cibernéticas, promoveu roubo de cartão de crédito e fraude
eletrônica.
1993: Kevin Poulson é pego e condenado por invadir os sistemas telefônicos.

Ele assumiu o controle de todas as linhas telefônicas que entravam em uma
estação de rádio de Los Angeles para garantir a vitória em um concurso de
17
chamadas. A certa altura, ele apareceu no America’s Most Wanted, quando

as linhas telefônicas daquele programa ficaram misteriosamente silenciosas.
Quando o FBI começou a busca, ele fugiu, mas acabou sendo pego. Ele foi
condenado a cinco anos de prisão na penitenciária federal e foi o primeiro a ter
o uso da Internet proibido em sua sentença.
1994: É lançada a World Wide Web (WWW). Um estudante no Reino Unido usou
as informações contidas lá para invadir o programa nuclear da Coreia, a NASA e
outras agências dos EUA usando apenas um computador pessoal e um programa
encontrado online.
1995: Os macrovírus aparecem. Macrovírus são vírus escritos em linguagens

de computador incorporadas nos aplicativos. Essas macros são executadas
quando o aplicativo é aberto, como documentos de processamento de texto ou
planilha, e são uma maneira fácil de os hackers entregarem malware. É por
isso que abrir anexos de e-mail desconhecidos pode ser muito arriscado. Os
macrovírus ainda são difíceis de detectar e são a principal causa de infecção
por computador.
1996: O diretor da CIA, John Deutsch, testemunha ao Congresso que as

organizações criminosas estrangeiras tentaram invadir redes governamentais
e corporativas dos EUA. Uma empresa dos EUA anunciou que seus arquivos
foram atacados por hackers pelo menos 650.000 vezes, e que pelo menos em
60% das tentativas tiveram êxito.
1997: O FBI relata que mais de 85% das empresas americanas foram invadidas
e a maioria nem sabe disso. O Chaos Computer Club invadiu o software Quicken
e poderá fazer transferências financeiras sem que o banco ou o titular da conta
tenham conhecimento.
1999: O vírus Melissa é lançado. Torna-se a infecção mais virulenta do

computador até o momento e resulta em uma das primeiras condenações de
alguém que está desenvolvendo malware. O vírus Melissa era um macrovírus
com a intenção de assumir contas de e-mail e enviar correspondências em
massa. O criador do vírus foi acusado de causar mais de 80 milhões de dólares
em danos às redes de computadores e condenado a cinco anos de prisão.
2000: O número e os tipos de ataques online aumentam exponencialmente.

O varejista de música em CD, Universal, é extorquido em milhões depois
que as informações do cartão de crédito de seus clientes foram publicadas
online. Ataques de negação de serviço (DDoS) são lançados várias vezes
18
contra a AOL, Yahoo! eBay e muitos outros. Notícias falsas fazem com que
as ações da Emulex quebrem quase 50%. O vírus I Love You se espalha pela
Internet. Em seguida, o presidente Clinton diz que não usa o e-mail para
conversar com a filha porque a tecnologia não é segura.
2002: O site Shadow Crew é lançado. O site era um quadro de mensagens e um

fórum para hackers. Os membros podem postar, compartilhar e aprender como
cometer vários crimes cibernéticos e evitar a captura. O site durou cerca de
dois anos antes de ser fechado pelo Serviço Secreto. Vinte e oito pessoas foram
presas nos EUA e em outros seis países.
2003: O SQL Slammer se torna o vírus de mais rápido crescimento na história.

Ele infectou servidores SQL e criou um ataque de negação de serviço que
afetou a velocidade da Internet por um bom tempo. Em termos de velocidade
de infecção, se espalhou por quase 75.000 máquinas em menos de 10 minutos.
2007: O aumento de hackers, roubo de dados e infecções por malware

disparam. O número de registros roubados, as máquinas infectadas aumentam
para milhões, a quantidade de danos causados aos bilhões. O governo chinês é
acusado de invadir os EUA e outros sistemas governamentais.
Tendências do cybercrime
Agências regionais e internacionais de aplicação da lei (por exemplo, Europol e

Interpol) e organizações regionais (por exemplo, União Africana e Organização
dos Estados Americanos) publicam informações sobre tendências de crimes
cibernéticos e segurança cibernética. As tendências do cybercrime também
podem ser identificadas a partir de relatórios anuais e/ou dados analisados de
várias ferramentas oficiais de medição de crimes e pesquisas de vitimização: por
exemplo, o Sistema Nacional de Notificação Baseado em Incidentes (Estados
Unidos); Pesquisa Social Geral (Canadá); Pesquisa de Crime para Inglaterra
e País de Gales (Inglaterra e País de Gales). Essas ferramentas de medição de
crimes e pesquisas sobre vitimização variam de acordo com os tipos de dados
de crimes cibernéticos coletados e analisados e os métodos usados na coleta e
análise de dados.
Sistema Nacional de Notificação Baseado em Incidentes.
Disponível em: <https://www.fbi.gov/services/cjis/ucr/nibrs>.
Pesquisa Social Geral.
19
Disponível em: <https://www150.statcan.gc.ca/n1/pub/89f0115x/89f0115x

2013001-eng.htm>.
Pesquisa de Crime para Inglaterra e País de Gales.
Disponível em: <https://www.crimesurvey.co.uk/en/index.html>.
As empresas de segurança cibernética e outras organizações privadas que se

concentram na segurança, risco comercial e/ou análise de ameaças em todo o
mundo publicam relatórios de tendências de crimes cibernéticos e segurança
cibernética com base em incidentes históricos de segurança cibernética e seus
tipos, frequência e impacto. Por exemplo, em 2018, o ransomware foi identificado
como uma tendência de crimes cibernéticos. Com essa forma de cybercrime, os
sistemas de computadores são infectados com código malicioso (malware) e
os dados contidos neles ficam indisponíveis e inacessíveis aos proprietários ou
usuários legítimos até que uma taxa seja paga ao cybercriminoso.
Embora os ataques de ransomware não sejam novos, o número, a frequência,

a intensidade e o alcance desses ataques aumentaram. Os autores desse tipo de
crime cibernético visavam inicialmente indivíduos e solicitavam pequenas somas
de dinheiro, depois começaram a visar negócios, empresas e organizações e,
finalmente, outros nos setores público e privado que prestam serviços críticos
(por exemplo, hospitais). Um exemplo deste último é o ataque de ransomware
WannaCry de 2017, que afetou aproximadamente 150 países (REUTERS, 2017),
incluindo mais de 80 organizações do Serviço Nacional de Saúde, somente na
Inglaterra, resultando em quase 20.000 consultas canceladas e 600 cirurgias,
tendo que voltar a usar o modo manual (caneta e papel).
Com o advento de novas tecnologias (por exemplo, Internet das Coisas, drones,
robôs, carros autônomos), novas tendências de crimes cibernéticos serão
identificadas. Além disso, as medidas de aplicação da lei e de segurança afetam
o cybercrime e as táticas, ferramentas e alvos dos cybercriminosos. Essas
medidas, portanto, também influenciarão e impactarão as tendências futuras
do crime cibernético.
Deep/Dark Web
A interpretação incorreta de termos como darknet, dark web e deep web

sempre foi predominante. No mundo da segurança cibernética, esses termos
vieram à tona com a exposição de técnicas usadas pelos cybercriminosos para se
comunicar, colaborar e participar de atividades maliciosas. A figura 3 ilustra a
diferença entre deep e dark web.
20
Figura 3. Diferença entre deep e dark web.
Web de Superfície
Deep Web
Dark Web
Fonte: Gnipper (2017).
A web de superfície foi projetada como uma plataforma para bilhões de pessoas
interagirem na Internet. A área mais comum da web que é acessível ao público é
chamada de web de superfície. Isso inclui todos os sites ou páginas que podem ser
encontrados usando mecanismos de busca, tais como: Google, Yahoo, Bing, dentre
outros.
O que permite que esses sites sejam encontrados pelos mecanismos de busca
são scripts especialmente programados, chamados de rastreadores da web.
Esses rastreadores percorrem muitos diretórios comuns de sites e usam os
links presentes nessas páginas para encontrar os sites. Os mecanismos de
busca possuem rastreadores web avançados que reúnem todos os links de
centenas de bilhões de páginas da web diariamente e indexam cada link para
otimização da pesquisa. O processo de indexação categoriza cada site e suas
páginas de acordo com o conteúdo e o texto em cada local. Resumindo, a web
de superfície inclui sites indexáveis e pesquisáveis e páginas da web.
Um passo adiante da World Wide Web, encontramos a deep web (ou web
profunda). Os sites ou páginas da web que impedem que os mecanismos
de busca tradicionais os indexem são categorizados como deep web. Essa
21
prevenção ocorre quando os rastreadores da web não conseguem acessar e

coletar links desses sites, portanto, eles não seriam pesquisáveis. Pode ser
uma decisão intencional do proprietário do site ou um efeito devido à natureza
do site. Existem vários métodos que um proprietário de site pode usar para
manter o site oculto dos rastreadores da Web e impedir que as páginas
sejam indexadas. Alguns desses métodos incluem garantir que nenhum site
de superfície contenha links para suas páginas, limitar o acesso a páginas
por meios técnicos (por exemplo, CAPTCHAs) ou exigir login para acessar as
páginas.
Um exemplo da deep web inclui a grande quantidade de conteúdo publicada em

Pastebin. Devido à frequência extremamente alta de informações publicadas, a
maioria das páginas não possui links que redirecionam para a fonte e só pode
ser encontrada usando ferramentas de pesquisa específicas. Outro exemplo são
portais criados para um grupo específico de pessoas, que só pode acessar as
páginas da web usando suas credenciais de login.
Pastebin é uma aplicação web, ou seja, uma aplicação online na qual

você pode enviar trechos de código e saídas de terminal. Nele, você pode
determinar o tempo em que o código ficará armazenado no site, como
também quem poderá ver. Em seguida, o aplicativo Partebin vai gerar um
link único o qual você poderá compartilhar com diversas pessoas para
que elas tenham acesso.
Já a dark web é usada para descrever uma rede criptografada construída

na parte superior da Internet, que só pode ser acessada usando software
especializado. O termo darknets também pode ser usado para descrever essas
redes. Os sites aqui encontrados não são indexados, portanto, a dark web
está dentro da deep web. Essas redes são descritas como escuras, devido
às características que ajudam os usuários a esconder suas identidades e a
popularidade de apoiar atividades ilegais. As dark webs podem ser na forma
de redes de privacidade, como Tor ou Freenet, ou como redes ponto a ponto.
Essas formas de rede dependem do roteamento de tráfego pela rede através de
camadas de criptografia, para dar suporte ao anonimato dos usuários.
O método mais comum de acessar a darknet é acessar uma rede privada

que estabelece restrições para garantir um alto nível de segurança para seus
usuários. A escolha mais popular é o navegador The Onion Router (Tor),
criado pela Marinha dos EUA para permitir o anonimato da Internet em todo o
mundo. O Tor alcançou sua popularidade devido ao seu alto nível de segurança,
22
facilidade de uso e gratuito para todos os softwares que podem ser baixados
e configurados em minutos. O anonimato pode ser alcançado roteando o
tráfego da rede através de vários servidores Tor localizados globalmente.
Isso significa que, se algum dos pacotes de transmissão for interceptado, o
remetente e o receptor parecerão nós aleatórios na rede Tor, tornando quase
impossível identificar o que um usuário está fazendo na rede.
Muitos sites só podem ser acessados usando o Tor. Esses sites têm um domínio
de primeiro nível especial “.onion” ao invés dos mais usados, como “.com”
ou “.org”. As conexões com esses sites são aceitas apenas por navegadores ou
aplicativos executados na rede Tor, como os aplicativos móveis Orbot e Orfox ou
extensões de navegadores da web.
Existem vários métodos alternativos para acessar um darknet, como o uso do

Invisible Internet Project (I2P), um serviço ponto a ponto que funciona de
maneira semelhante ao Tor, mas pode ser executado em navegadores da web.
O que diferencia os métodos de acesso às dark webs é seu principal objetivo
de uso, geralmente focado na navegação, mensagens ou compartilhamento
anonimamente; outro aspecto crítico será o nível de segurança, que depende de
seus protocolos de criptografia e roteamento usados.
Como há muitas informações pessoais usadas e publicadas online, é comum que

hackers ponham as mãos em algumas delas. Essas informações incluem números
de cartão de crédito, imagens de cartões de identificação, passaportes, registros
médicos e muitos tipos de credenciais de conta, como endereços de e-mail, contas
de redes sociais e até contas de assinatura como a Netflix.
A darknet se mostrou útil como um local perfeito para hospedar um mercado

de informações roubadas por hackers e que desejam vender, mantendo
suas identidades protegidas. Devido à natureza desses sites, os hackers
podem encontrar facilmente pessoas interessadas em comprar esse tipo de
informação. Assim que as criptomoedas estavam disponíveis ao público, elas
foram rapidamente adotadas como uma opção preferida de pagamento para
transações ilegais, devido à sua capacidade de ocultar as identidades de seus
usuários. De acordo com Brook (2019), em 2016 para 2017 cada registro médico
foi vendido por cerca de 50 dólares e informações pessoais a 12 dólares. Quando
não são vendidas, essas informações são publicadas na deep web, e é comum
que organizações paguem a esses hackers para protegerem suas empresas,
assim como os dados dos seus clientes.
23
A dark web está democratizando o cybercrime.
Disponível em: <https://hackernoon.com/the-dark-web-is-democratizing-

cybercrime-75e951e2454>.
Dark Web: como atuam os criminosos brasileiros na parte mais

sombria da internet. Disponível em: <https://epocanegocios.globo.
com/Tecnologia/noticia/2019/04/dark-web-como-atuam-os-criminosos-
brasileiros-na-parte-mais-sombria-da-internet.html>.
Indústria do cybercrime organizado cresce e se estabelece na Deep

Web. Disponível em: <https://computer world.com.br/2017/04/05/
industria-do-cibercrime-organizado-cresce-e-se-estabelece-na-deep-
web/>.
Desafios
Os desafios do combate ao cybercrime podem ser divididos em técnicos,

legais, éticos e operacionais.
Desafios técnicos
Existem várias razões técnicas que dificultam o combate ao cybercrime. A

primeira é a atribuição, em que qualquer computador conectado à Internet pode
se comunicar com qualquer outro computador que também esteja conectado.
Normalmente, podemos ver o endereço IP público de um computador quando
ele se conecta ao nosso computador. O endereço IP é um número global
geralmente exclusivo que nos permite identificar de que país e provedor de
serviços de Internet o computador está se conectando. O problema é que existem
várias maneiras de um invasor ocultar seu endereço IP ou até fingir estar se
conectando a partir de um endereço IP diferente. Além disso, os criminosos
podem usar uma variedade de ferramentas para evitar a detecção por agências
policiais, obscurecer o acesso e ocultar sites na deep web.
A segunda questão técnica trata do software. Programas de computador são

softwares. Os aplicativos do seu telefone ou tablet são software. Os serviços aos
quais você se conecta na Internet, como um site, também são softwares. Muitas
vezes, o software possui vulnerabilidades. Uma vulnerabilidade pode ser um
problema em um programa ou uma configuração incorreta que permite que um
invasor faça algo que não deveria ser capaz de fazer (como baixar informações do
cartão de crédito do cliente).
24
As empresas de software podem não detectar facilmente vulnerabilidades,

especialmente aquelas que envolvem grandes projetos de software que
mudam com frequência. De acordo com Bilge e Tudor (2012, p. 1), “embora
a vulnerabilidade permaneça desconhecida, o software afetado não pode ser
corrigido e os produtos antivírus não podem detectar o ataque através da
verificação baseada em assinatura”. A empresa toma conhecimento desse tipo
de vulnerabilidade quando é explorada por criminosos cibernéticos para atacar
a confidencialidade, integridade ou disponibilidade do software e de seus
usuários.
Em 2017, o Equifax – um serviço de relatório de crédito dos EUA – perdeu dados

pessoais sensíveis de 143 milhões de americanos devido a uma vulnerabilidade
de software (TIMBERG et al., 2017). Essa vulnerabilidade foi explorada por três
meses, até ser corrigida. As vulnerabilidades que levam à perda de dados são
relativamente comuns, mesmo para as principais organizações, porque é difícil
criar, configurar e proteger sistemas digitais adequadamente.
Outro desafio técnico é a infraestrutura de tecnologia da informação

virtualizada (por exemplo, nuvem). Quando a infraestrutura de uma
organização é movida para uma nuvem, isso implica que:
» A empresa transfere parte da responsabilidade de segurança

cibernética para o provedor de nuvem (por exemplo, segurança do
sistema físico, segurança do data center).
» Quando violações acontecem, a empresa precisa trabalhar com o

provedor de nuvem para investigar os incidentes, o que pode levar a
desafios técnicos e legais.
Desafios legais
O cybercrime é um crime transnacional e os autores e vítimas podem ser

localizados em qualquer lugar do mundo com uma conexão à Internet. Por esse
motivo, os investigadores de crimes cibernéticos geralmente exigem acesso e
compartilhamento de dados através das fronteiras. Isso pode ser conseguido
se os dados solicitados forem retidos pelos prestadores de serviços e existirem
medidas existentes que permitam às agências policiais acessar dados.
25
Os principais desafios legais para investigar crimes cibernéticos e processar os

cybercriminosos são:
» Os diferentes sistemas jurídicos entre os países.
» Variações nas leis nacionais de crimes cibernéticos.
» Diferenças nas regras da prova e no procedimento criminal (por

exemplo, o processo pelo qual as autoridades policiais podem
acessar as evidências digitais; outro exemplo, com ou sem uma
ordem legal, como um mandado de busca).
» Variações no escopo e na aplicabilidade geográfica dos tratados

regionais e multilaterais sobre crimes cibernéticos.
» Diferenças nas abordagens de proteção de dados e respeito aos

direitos humanos.
Desafios éticos
As agências de aplicação da lei devem investigar legal e eticamente o crime

(e o cybercrime), manipular, analisar e interpretar. Além da aplicação da lei,
surgem desafios éticos no uso de indivíduos, grupos, empresas, organizações
e governos da tecnologia da informação e comunicação (TIC). Por exemplo, a
conduta ética usando as TIC envolve abster-se de prejudicar outros, sistemas e
dados e respeitar o estado de direito e os direitos humanos.
Desafios operacionais
Um dos principais desafios operacionais das investigações sobre cybercrimes

está relacionado à cooperação com outros países. Cooperação internacional
em investigações de cybercriminalidade exige leis harmonizadas entre países
cooperantes, tais como assistência jurídica mútua, tratados (ou seja, acordos
pelos quais as partes concordam em cooperar nas investigações e processos de
crimes criminalizados de acordo com suas leis nacionais), que podem ser usados
para fazer pedidos formais de assistência de um país para outro. No entanto,
as solicitações de apoio internacional podem levar muito tempo e podem não
produzir resultados úteis, como prevenir o crime ou produzir evidências para
uso em tribunal. Os desafios operacionais também estão presentes devido ao
déficit de capacidade nacional (especialmente da perspectiva de um país em
desenvolvimento) para lidar com o cybercrime.
26
CAPÍTULO 3
Tipos de cybercrime
O cybercrime abrange um amplo espectro de atividades. De um lado, estão crimes

que envolvem violações fundamentais da privacidade pessoal ou corporativa,
como ataques à integridade das informações mantidas em depositários digitais e
o uso de informações digitais obtidas ilegalmente para chantagear uma empresa
ou indivíduo. Também neste lado do espectro está o crescente crime de roubo de
identidade.
No meio do espectro, há crimes baseados em transações, como fraude, tráfico de

pornografia infantil, pirataria digital, lavagem de dinheiro e falsificação. Estes
são crimes específicos com vítimas específicas, mas o criminoso se esconde
no anonimato fornecido pela Internet. Outra parte desse tipo de crime envolve
indivíduos de corporações ou órgãos do governo, alterando deliberadamente os
dados para fins políticos ou de lucro.
No outro extremo do espectro, estão aqueles crimes que envolvem tentativas de

interromper o funcionamento real da Internet. Eles variam de spam, hackers e
ataques de negação de serviço a sites específicos a atos de ciberterrorismo – ou seja,
o uso da Internet para causar distúrbios públicos e até a morte. O ciberterrorismo
concentra-se no uso da Internet por atores não estatais para afetar os aspectos
econômicos e tecnológicos de uma nação. Desde os ataques de 11 de setembro
de 2001, a conscientização pública sobre a ameaça do ciberterrorismo cresceu
dramaticamente.
Roubo de identidade e invasão de privacidade
O cybercrime afeta o mundo virtual e o mundo real, mas os efeitos sobre cada
um são diferentes. Esse fenômeno é mais claro no caso de roubo de identidade.
Nos Estados Unidos, por exemplo, os indivíduos não têm uma identidade
oficial (como o RG no Brasil), mas um Número do Seguro Social que há muito
tempo serviu como um número de identificação de fato.
Os impostos são coletados com base no número de Seguro Social de cada

cidadão, e muitas instituições privadas usam esse número para acompanhar
seus funcionários, estudantes e pacientes. O acesso ao número de Seguro
Social de um indivíduo oferece a oportunidade de reunir todos os documentos
relacionados à cidadania dessa pessoa – ou seja, roubar sua identidade; até
27
mesmo informações roubadas do cartão de crédito podem ser usadas para

reconstruir a identidade de um indivíduo.
Quando os criminosos roubam os registros de cartões de crédito de uma

empresa, eles produzem dois efeitos distintos. Primeiro, eles partem com
informações digitais sobre indivíduos que são úteis de várias maneiras. Por
exemplo, eles podem usar as informações do cartão de crédito para gerar
grandes contas, forçando as empresas de cartão de crédito a sofrer grandes
perdas, ou podem vender as informações para outras pessoas que possam
usá-las de maneira semelhante. Segundo, eles podem usar nomes e números
de cartões de crédito individuais para criar novas identidades para outros
criminosos. Por exemplo, um criminoso pode entrar em contato com o
banco emissor de um cartão de crédito roubado e alterar o endereço para
correspondência na conta. Em seguida, o criminoso pode obter um passaporte
ou carteira de motorista com sua própria foto, mas com o nome da vítima.
Com uma carteira de motorista, o criminoso pode facilmente adquirir um
novo cartão de Seguro Social; então é possível abrir contas bancárias e
receber empréstimos – tudo com o histórico de crédito da vítima. O titular
do cartão original pode não ter conhecimento disso até que a dívida seja
tão grande que o banco entre em contato com o titular da conta. Só então o
roubo de identidade se torna visível. Embora o roubo de identidade ocorra
em muitos países, pesquisadores e agentes da lei são atormentados pela falta
de informações e estatísticas sobre esse tipo de crime em todo o mundo.
Contudo, o cybercrime é claramente um problema internacional.
Em 2015, o Bureau of Justice Statistics (BJS) dos EUA divulgou um relatório

sobre roubo de identidade; no ano anterior, quase 1,1 milhão de americanos
tiveram suas identidades fraudulentamente usadas para abrir contas bancárias,
de cartão de crédito ou de serviços públicos. O relatório também afirmou que
outros 16,4 milhões de americanos foram vítimas de roubo de contas, como o
uso de cartões de crédito roubados e cartões de caixa eletrônico. O relatório
da BJS mostrou que, embora o número total de vítimas de roubo de identidade
nos Estados Unidos tenha aumentado cerca de 1 milhão desde 2012, a perda
total por indivíduos diminuiu desde 2012 em cerca de U$ 10 bilhões a U$
15,4 bilhões. A maior parte desse declínio foi devido a uma queda acentuada
no número de pessoas perdendo mais de U$ 2.000. A maioria dos roubos
de identidade envolvia pequenas quantias, com perdas inferiores a U$ 300,
representando 54% do total.
28
Fraude na internet
Esquemas para fraudar consumidores são abundantes na Internet. Entre os mais

famosos está o Golpe Nigeriano, ou “419”; o número é uma referência à seção da lei
nigeriana que a fraude viola. Embora esse golpe tenha sido usado tanto com o fax
quanto com o correio tradicional, ele ganhou nova vida pela Internet.
No esquema, um indivíduo recebe um e-mail afirmando que o remetente precisa de

ajuda para transferir uma grande quantia de dinheiro da Nigéria ou de outro país
distante. Normalmente, esse dinheiro está na forma de um ativo que será vendido,
como petróleo, ou uma grande quantidade de dinheiro que requer “lavagem” para
ocultar sua fonte; as variações são infinitas e novas especificidades estão sendo
constantemente desenvolvidas. A mensagem pede que o destinatário cubra alguns
custos de transferência dos fundos para fora do país em troca de receber uma quantia
muito maior em um futuro próximo. Se o destinatário responder com um cheque
ou ordem de pagamento, é informado que as complicações se desenvolveram;
é necessário mais dinheiro. Com o tempo, as vítimas podem perder milhares
totalmente irrecuperáveis.
Em 2002, o Internet Crime Complaint Center (IC3) informou que mais de

U$ 54 milhões foram perdidos por uma variedade de fraudes e esquemas;
isso representou um aumento triplo em relação às perdas estimadas de U$
17 milhões em 2001. As perdas anuais cresceram nos anos subsequentes,
atingindo U$ 125 milhões em 2003, cerca de U$ 200 milhões em 2006, perto
de U$ 250 milhões em 2008 e mais de U$ 1 bilhão em 2015.
Nos Estados Unidos, a maior fonte de fraude é o que o IC3 chama de “falta de
pagamento/falta de entrega”, na qual os bens e serviços são entregues, mas não
pagos, ou pagos, mas não entregues. Ao contrário do roubo de identidade, no qual
o roubo ocorre sem o conhecimento da vítima, essas formas mais tradicionais de
fraude ocorrem à vista de todos. A vítima voluntariamente fornece informações
privadas que permitem o crime; portanto, esses são crimes transacionais. Poucas
pessoas acreditariam em alguém que andasse na rua e lhes prometesse riquezas
fáceis, contudo, receber um e-mail não solicitado ou visitar uma página aleatória da
web é suficientemente diferente para que muitas pessoas abram suas carteiras com
facilidade. Apesar de grande parte da educação do consumidor, a fraude na Internet
continua sendo uma indústria em crescimento para criminosos e promotores. A
Coreia do Sul está entre os países mais conectados do mundo, e suas estatísticas
de fraude de crimes cibernéticos estão crescendo a um ritmo alarmante. O Japão
também experimentou um rápido crescimento de crimes semelhantes.
29
Fraude em caixas eletrônicos
Os computadores também possibilitam tipos mais comuns de fraude. Há o do

caixa eletrônico, por exemplo, que é geralmente o local onde muitas pessoas
agora recebem dinheiro. Para acessar uma conta, um usuário fornece um
cartão e uma senha. Os criminosos desenvolveram meios para interceptar
os dados na tira magnética do cartão e senha do usuário. Por sua vez, as
informações são usadas para criar cartões falsos usados para sacar fundos da
conta do indivíduo. Em 2002, o New York Times informou que mais de 21.000
contas bancárias americanas foram acessadas por um único grupo envolvido
na aquisição ilegal de informações do caixa eletrônico.
Uma forma particularmente eficaz de fraude envolveu o uso de caixas eletrônicos

em shopping centers e lojas de conveniência. Essas máquinas são independentes
e não fazem parte fisicamente de um banco. Os criminosos podem facilmente
configurar uma máquina que se parece com uma máquina legítima; em vez de
arrecadar dinheiro, no entanto, a máquina reúne informações sobre os usuários
e informa apenas que a máquina está com defeito após digitar a senha. Dado que
os caixas eletrônicos são o método preferido para distribuir dinheiro em todo o
mundo, a fraude em caixas eletrônicos se tornou um problema internacional.
Fraude eletrônica
A natureza internacional do cybercrime é particularmente evidente com a

fraude eletrônica. Um dos maiores e mais bem organizados esquemas de fraude
eletrônica foi orquestrado por Vladimir Levin, programador russo de uma
empresa de software de computadores em São Petersburgo. Em 1994, com a
ajuda de dezenas de associados, Levin começou a transferir cerca de U$ 10
milhões de subsidiárias da Citibank, NA, na Argentina e Indonésia, para contas
bancárias em San Francisco, Tel Aviv, Amsterdã, Alemanha e Finlândia. De
acordo com o Citibank, todos, exceto U$ 400.000, foram depois recuperados
quando os cúmplices de Levin tentaram retirar os fundos. O próprio Levin
foi preso em 1995, enquanto estava em trânsito pelo aeroporto de Heathrow,
em Londres (na época, a Rússia não tinha tratado de extradição por crimes
cibernéticos). Em 1998, Levin foi finalmente extraditado para os Estados Unidos,
onde foi condenado a três anos de prisão e ordenado a reembolsar ao Citibank
U$ 240.015. Exatamente como a Levin obteve os nomes e senhas necessários
para fazer retiradas das contas nunca foi divulgado, mas nenhum funcionário do
Citibank foi cobrado em relação ao caso.
30
Compartilhamento de arquivos e pirataria
Nos anos 1990, as vendas de discos compactos (CDs) foram a principal fonte de
receita para as gravadoras. Embora a pirataria – ou seja, a duplicação ilegal de
materiais protegidos por direitos autorais – sempre tenha sido um problema,
especialmente no Extremo Oriente, a proliferação nos campi de faculdades
através dos computadores pessoais, capazes de capturar músicas de CDs e
compartilhá-las em conexões de Internet de alta velocidade (“banda larga”) se
tornou o maior pesadelo da indústria fonográfica.
Nos Estados Unidos, a indústria fonográfica, representada pela Associação

da Indústria de Gravação da América (RIAA), atacou um único serviço de
compartilhamento de arquivos, o Napster, que de 1999 a 2001 permitiu que
os usuários da Internet acessassem arquivos de música armazenados no
formato de compactação de dados conhecido como MP3, nos computadores de
outros usuários, por meio do computador central do Napster. De acordo com a
RIAA, os usuários do Napster violavam regularmente os direitos autorais dos
artistas e o serviço teve que parar. Para os usuários, os problemas não eram
tão claros. No centro do caso Napster estava a questão de uso justo. As pessoas
que compraram um CD tinham claramente permissão para ouvir a música,
seja em estéreo doméstico, sistema de som de automóvel ou computador
pessoal. O que eles não tinham o direito de fazer, argumentou a RIAA, era
disponibilizar o CD para milhares de outras pessoas que pudessem fazer uma
cópia digital perfeita da música e criar seus próprios CDs. Os usuários se
juntaram novamente ao fato de que compartilhar seus arquivos era um uso
justo de material protegido por direitos autorais pelo qual pagaram um preço
justo. No final, a RIAA argumentou que havia nascido uma nova classe de
criminosos cibernéticos – o pirata digital –, que incluía praticamente qualquer
pessoa que tivesse compartilhado ou baixado um arquivo MP3. Embora a
RIAA tenha fechado com sucesso o Napster, surgiu um novo tipo de serviço
de compartilhamento de arquivos, conhecido como redes peer-to-peer ou
rede ponto a ponto (P2P). Esses sistemas descentralizados não dependem de
um computador facilitador central; em vez disso, eles consistem em milhões
de usuários que abrem voluntariamente seus próprios computadores para
terceiros para compartilhamento de arquivos.
Saiba Mais sobre Redes Peer-to-peer (P2P), ou rede ponto a ponto.
Em uma rede P2P, os “pares” são sistemas de computadores conectados

entre si pela Internet. Os arquivos podem ser compartilhados diretamente
31
entre sistemas na rede sem a necessidade de um servidor central. Em

outras palavras, cada computador em uma rede P2P se torna um servidor
de arquivos e um cliente.
Os únicos requisitos para um computador ingressar em uma rede ponto

a ponto são uma conexão à Internet e um software P2P. Os programas de
software P2P comuns incluem Kazaa, Limewire, BearShare, Morpheus e
Aquisição. Esses programas se conectam a uma rede P2P, como “Gnutella”,
que permite ao computador acessar milhares de outros sistemas na rede.
Uma vez conectado à rede, o software P2P permite pesquisar arquivos

nos computadores de outras pessoas. Enquanto isso, outros usuários
da rede podem procurar arquivos no seu computador, mas geralmente
apenas em uma única pasta que você designou para compartilhar.
Embora a rede P2P torne o compartilhamento de arquivos fácil e
conveniente, também levou a muita pirataria de software e downloads
ilegais de música. Portanto, é melhor estar do lado seguro e baixar
apenas software e músicas de sites legítimos.
A RIAA continuou a combater essas redes de compartilhamento de arquivos,

exigindo que os ISPs entregassem registros de seus clientes que movimentam
grandes quantidades de dados em suas redes, mas os efeitos foram mínimos.
A outra tática da RIAA tem sido pressionar o desenvolvimento de tecnologias
para fazer valer os direitos digitais dos detentores de direitos autorais, chamado
“a tecnologia de gerenciamento de direitos digitais” (DRM); é uma tentativa
de impedir a pirataria por meio de tecnologias que não permitirão que os
consumidores compartilhem arquivos ou possuam “muitas” cópias de um
trabalho protegido por direitos autorais.
O que são ISPs
Internet Service Providers (ISPs) ou Provedores de Serviços de Internet é uma

organização que oferece serviços de acesso, participação ou utilização da
Internet. Provedores podem ser organizados de várias maneiras, tanto
comercialmente, sem fins lucrativos ou em comunidades. Além de oferecer
serviço a Internet, provedores geralmente também oferecem serviços de
e-mail, hospedagem de sites ou blogs, entre outros.
No início do século XXI, os proprietários de direitos autorais começaram a se

acomodar com a ideia de distribuição digital comercial. Os exemplos incluem as
vendas online da iTunes Store (administrada pela Apple Inc.) e da Amazon.com de
32
músicas, programas de televisão e filmes em formatos para download, com e sem

restrições de DRM. Além disso, há também vários provedores de cabo e televisão
por satélite, muitos jogos eletrônicos sistemas (Sony Corporation’s PlayStation 3 e
Microsoft Corporation ‘s Xbox 360) e streaming como Netflix, que permitem aos
clientes baixar filmes e programas para reprodução imediata ou posterior.
O compartilhamento de arquivos trouxe uma reconstrução fundamental da

relação entre produtores, distribuidores e consumidores de material artístico.
Nos EUA, as vendas de CDs caíram de quase 800 milhões de álbuns em 2000
para menos de 150 milhões em 2014. Embora a indústria da música vendesse
mais álbuns digitalmente do que os CDs em seu auge, a receita caiu mais da
metade desde 2000. À medida que as conexões à Internet de banda larga
proliferam, o setor de filmes enfrenta um problema semelhante, embora o
disco digital de vídeo (DVD) tenha sido lançado no mercado com criptografia
e várias tentativas internas de evitar os problemas de um vídeo Napster. No
entanto, surgiram sites como The Pirate Bay, especializados em compartilhar
arquivos grandes como os de filmes e jogos eletrônicos.
Falsificação digital
O compartilhamento de arquivos de propriedade intelectual é apenas um aspecto

do problema nas cópias. Outro aspecto mais mundano reside na capacidade dos
dispositivos digitais de renderizar cópias quase perfeitas dos artefatos materiais,
passando do crime tradicional à falsificação. Até recentemente, a criação de
moeda aceitável exigia uma quantidade significativa de habilidade e acesso
a tecnologias que os indivíduos geralmente não possuíam, como impressoras,
chapas de gravação e tintas especiais. O advento de copiadoras e impressoras
coloridas baratas e de alta qualidade trouxe falsificação às massas.
As impressoras a jato de tinta agora representam uma porcentagem crescente

de moeda confiscada pelo Serviço Secreto dos EUA. Em 1995, a moeda de
jato de tinta representava 0,5% da moeda americana falsificada; em 1997, as
impressoras a jato de tinta produziram 19% do dinheiro ilegal. Em 2014, quase
60% do dinheiro falsificado recuperado nos EUA vinha de impressoras a jato
de tinta. O amplo desenvolvimento e uso da tecnologia de computador levou
o Tesouro dos EUA a redesenhar a moeda em papel dos Estados Unidos para
incluir uma variedade de tecnologias anticontrafação.
A moeda da União Europeia, o euro, tinha segurança projetada nele desde o

início. Recursos especiais, como hologramas de papel alumínio gravados e fitas
33
e papel especiais, foram projetados para dificultar a falsificação. De fato, a

mudança para o euro apresentou uma oportunidade sem precedentes para os
falsificadores de moedas nacionais preexistentes. O grande receio era que a
moeda falsificada fosse lavada em euros legais. Felizmente, não era o problema
que alguns acreditavam que seria.
A moeda também não é o único documento sendo copiado. Os documentos de

imigração estão entre os mais valiosos e são muito mais fáceis de duplicar do
que a moeda. Após os ataques de 11 de setembro, esse problema foi alvo de
crescente apuração nos Estados Unidos. Em particular, nos EUA, o General
Accounting Office (GAO) publicou vários relatórios durante o final dos anos 1990
e início dos anos 2000, sobre a extensão da fraude de documentos perdida pelo
Serviço de Imigração e Naturalização (INS). Finalmente, um relatório de 2002
do GAO relatou que mais de 90% de certos tipos de reivindicações de benefícios
eram fraudulentos e afirmou, ainda, que a fraude de imigração estava “fora de
controle”. Parcialmente em resposta a essas revelações, o INS foi dissolvido e
suas funções assumidas pelos EUA pelo recém-constituído Departamento de
Segurança Interna em 2003.
Pornografia infantil
Com o advento de quase todas as novas tecnologias de mídia, a pornografia tem

sido seu “aplicativo matador”, ou o aplicativo que impulsionou a implantação
precoce de inovações técnicas em busca de lucro. A Internet não foi exceção,
mas há um elemento criminoso nessa bonança comercial – a pornografia
infantil, que não tem relação com os lucrativos negócios da pornografia legal
orientada para adultos. A posse de pornografia infantil, definida aqui como
imagens de crianças menores de 18 anos envolvidas em comportamento sexual,
é ilegal nos Estados Unidos, na União Europeia e em muitos outros países, mas
continua sendo um problema que não tem solução fácil. O problema é agravado
pela capacidade dos sites de “pornografia infantil” de disseminar seu material
proveniente de locais, como estados da antiga União Soviética e do Sudeste
Asiático, que carecem de leis sobre crimes cibernéticos. Algumas organizações
policiais acreditam que a pornografia infantil representa uma indústria de U$
3 bilhões por ano e que mais de 10.000 locais da Internet fornecem acesso a
esses materiais.
A Internet também fornece pedófilos com uma oportunidade sem precedentes de

cometer atos criminosos através do uso de “salas de bate-papo” para identificar e
atrair vítimas. Aqui, o mundo virtual e o mundo real se cruzam de uma maneira
particularmente perigosa. Em muitos países, as autoridades estaduais agora
representam crianças em salas de bate-papo; apesar do amplo conhecimento dessa
34
prática, os pedófilos continuam a entrar em contato com essas “crianças” para

encontrá-las “offline”. O fato de uma reunião como essa suscitar um alto risco de
prisão imediata não parece impedir os pedófilos.
Hacking
Embora violar a privacidade para detectar crimes cibernéticos funcione

bem quando os crimes envolvem roubo e uso indevido de informações,
desde números de cartão de crédito e dados pessoais até compartilhamento
de arquivos e várias mercadorias – música, vídeo ou pornografia infantil
–, o que dizer dos crimes que tentam causar estragos, ainda no próprio
funcionamento das máquinas que compõem a rede?
A história dos hackers remonta à década de 1950, quando um grupo de “phreaks”

(abreviação de “malucos por telefone”) começou a sequestrar partes das redes
telefônicas do mundo, fazendo chamadas interurbanas não autorizadas e
estabelecendo “linhas de festa” especiais para colegas. Com a proliferação dos
sistemas de BBS (Computer Bulletin Board Systems) no final dos anos 1970,
a cultura de phreaking começou a se juntar em grupos quase organizados
de indivíduos que se formaram na rede telefônica para “invadir” sistemas
corporativos e governamentais de redes de computadores.
Embora o termo hacker anteceda computadores e tenha sido usado em

meados da década de 1950 em conexão com entusiastas de eletrônicos, a
primeira instância registrada de seu uso em conexão com programadores
de computadores que eram adeptos da escrita ou “hacking” parece ter saído
de um artigo de 1963 em um jornal estudantil do Instituto de Tecnologia de
Massachusetts (MIT). Depois que os primeiros sistemas de computador foram
vinculados a vários usuários por meio de linhas telefônicas no início dos
anos 1960, hacker passou a se referir a indivíduos que obtiveram acesso não
autorizado a redes de computadores, seja de outra rede de computadores ou
como computadores pessoais. A maioria dos hackers não é de criminosos no
sentido de serem vândalos ou de buscar recompensas financeiras ilícitas. Em
vez disso, a maior parte tem sido jovens motivados por curiosidade intelectual;
muitas dessas pessoas se tornaram arquitetos de segurança de computadores.
No entanto, como alguns hackers buscaram notoriedade entre seus pares,
suas façanhas levaram a crimes bem definidos. Em particular, os hackers
começaram a invadir sistemas de computadores e depois se gabar de suas
façanhas, compartilhando documentos furtados como troféus para provar suas
vantagens. Essas explorações cresceram à medida que os hackers não apenas
invadiram, mas às vezes assumiram o controle das redes de computadores
governamentais e corporativas.
35
Um desses criminosos foi Kevin Mitnick, o primeiro hacker a entrar para a

“lista dos mais procurados” do FBI (Federal Bureau of Investigation) dos EUA.
Ele supostamente invadiu o computador do Comando de Defesa Aeroespacial
da América do Norte (NORAD) em 1981, quando tinha 17 anos, um feito que
trouxe à tona a gravidade da ameaça representada por essas violações de
segurança. A preocupação com o hackeamento contribuiu primeiro para uma
revisão das sentenças federais nos Estados Unidos, com a Lei de Controle
de Crimes Abrangentes de 1984, e depois com a Lei de Fraudes e Abusos de
Computadores de 1986.
A escala dos crimes de hackers está entre as mais difíceis de avaliar, porque as
vítimas geralmente preferem não denunciar os crimes – às vezes por vergonha
ou medo de outras violações de segurança. As autoridades estimam, no entanto,
que o hacking custa à economia mundial bilhões de dólares anualmente.
Hackear nem sempre é um trabalho externo – um empreendimento criminoso
relacionado envolve indivíduos de corporações ou órgãos do governo alterando
deliberadamente os registros do banco de dados para fins políticos ou de lucro.
As maiores perdas resultam do roubo de informações proprietárias, às vezes
seguidas pela extorsão de dinheiro do proprietário original para o retorno dos
dados. Nesse sentido, o hacking é uma espionagem industrial antiquada por
outros meios.
Um dos maiores casos conhecidos de hackers foi descoberto no final de

março de 2009. Envolveu computadores governamentais e privados em pelo
menos 103 países. A rede mundial de espionagem conhecida como GhostNet
foi descoberta por pesquisadores da Universidade de Toronto, solicitados
por representantes do Dalai Lama para investigar os computadores do líder
tibetano exilado em busca de possíveis malwares. Além de descobrir que
os computadores do Dalai Lama estavam comprometidos, os pesquisadores
descobriram que o GhostNet havia se infiltrado em mais de mil computadores
em todo o mundo. A maior concentração de sistemas comprometidos
estava nas embaixadas e escritórios de relações exteriores ou localizadas
nos países do sul da Ásia e do sudeste asiático. Segundo informações,
os computadores foram infectados por usuários que abriram anexos de
e-mail ou clicaram nos links das páginas da Web. Depois de infectados
com o malware GhostNet, os computadores começaram a fazer phishing
de arquivos em toda a rede local – até ligando câmeras e dispositivos de
gravação de vídeo para monitoramento remoto. Três servidores de controle
que executavam o malware estavam localizados em Hainan, Província de
Guangdong e Sichuan na China, e um quarto servidor foi localizado na
Califórnia.
36
Vírus
A liberação de vírus de computador prejudiciais é outro tipo de crime

cibernético. De fato, esse foi o crime de escolha da primeira pessoa a ser
condenada nos Estados Unidos sob a Lei de Fraude e Abuso de Computador de
1986. Em 2 de novembro de 1988, um estudante de ciência da computação da
Universidade Cornell, chamado Robert Morris, lançou um software “worm”
na Internet do MIT (como convidado no campus, ele esperava permanecer
anônimo). O worm era um programa de computador experimental de auto
propagação e replicação que se aproveitava de falhas em certos protocolos
de e-mail. Devido a um erro na programação, em vez de apenas enviar cópias
de si mesmo para outros computadores, esse software se replicava em cada
sistema infectado, preenchendo toda a memória disponível do computador.
Antes que uma correção fosse encontrada, o worm parou cerca de 6.000
computadores (um décimo da Internet). Embora o worm de Morris tenha
custado tempo e milhões de dólares para consertar, o evento teve poucas
consequências comerciais, pois a Internet ainda não havia se tornado uma
questão de assuntos econômicos. O fato de o pai de Morris ser o chefe de
segurança de computadores da Agência de Segurança Nacional dos EUA levou a
imprensa a tratar o evento mais como um drama de alta tecnologia do que como
um prenúncio do que estava por vir.
Ataques de negação de serviço
Compare o worm de Morris com os eventos da semana de 7 de fevereiro

de 2000, quando “mafiaboy”, um hacker canadense de 15 anos de idade,
orquestrou uma série de ataques de negação de serviço (DoS) contra vários
sites de comércio eletrônico, incluindo a Amazon.com e eBay.com. A figura 4
ilustra o funcionamento do Ataque de Negação de Serviço, na perspectiva do
operador e na perspectiva dos agentes.
Esses ataques usaram computadores em vários locais para sobrecarregar os

computadores dos fornecedores e desligar os sites da World Wide Web (www) para
legitimar o tráfego comercial. Os ataques prejudicaram o comércio na Internet,
com o FBI estimando que os sites afetados sofreram danos de U$ 1,7 bilhão. Em
1988, a Internet teve um papel apenas na vida de pesquisadores e acadêmicos;
em 2000, tornou-se essencial para o funcionamento do governo e da economia
37
dos EUA. O cybercrime passou de uma questão de transgressão individual a uma

questão de segurança nacional.
Os ataques DoS distribuídos são um tipo especial de hacking. Um criminoso

detém um conjunto de computadores com programas de computador que
podem ser acionados por um usuário externo. Esses programas são conhecidos
como Cavalos de Troia, uma vez que entram nos computadores dos usuários
desconhecidos como algo benigno, como uma foto ou documento anexado a
um e-mail. Em um horário pré-designado, esse programa de cavalo de Troia
começa a enviar mensagens para um site predeterminado. Se um número
suficiente de computadores tiver sido comprometido, é provável que o site
selecionado possa ser ligado de maneira tão eficaz que pouco ou nenhum
tráfego legítimo possa alcançá-lo.
Figura 4. Como funciona o Ataque de Negação de Serviço.
Controle do Tráfego sob Controle do Tráfego sob

perspectiva do operador perspectiva dos agentes
Operador Controle
Hacker
Controle
Ataque DoS
Agentes
Controle
Agentes
Vítima
Fonte: GTA (2019).
Um insight importante oferecido por esses eventos foi que muitos softwares
são inseguros, facilitando até mesmo um hacker não qualificado comprometer
um grande número de máquinas. Embora as empresas de software ofereçam
regularmente correções para corrigir vulnerabilidades de software, nem todos
os usuários implementam as atualizações e seus computadores permanecem
vulneráveis para criminosos que desejam lançar ataques DoS.
Em 2003, o provedor de serviços de Internet PSI Net Europe conectou um servidor

desprotegido à Internet. Dentro de 24 horas, o servidor foi atacado 467 vezes e,
após três semanas, mais de 600 ataques foram registrados. Somente regimes de
segurança vigorosos podem proteger contra esse ambiente. Apesar das alegações
sobre a natureza pacífica da Internet, é melhor pensar nela como um exemplo
moderno do oeste selvagem da tradição americana – com o xerife longe.
38
Spam
O e-mail gerou uma das formas mais significativas de crime cibernético –

spam ou anúncios não solicitados de produtos e serviços, que, segundo os
especialistas, representam cerca de 50% dos e-mails que circulam na Internet.
O spam é um crime contra todos os usuários da Internet, pois desperdiça as
capacidades de armazenamento e de rede dos ISPs, além de frequentemente
ser ofensivo. No entanto, apesar de várias tentativas de legislá-lo, ainda não
está claro como o spam pode ser eliminado sem violar a liberdade de expressão
em uma política democrática liberal. Diferentemente do lixo eletrônico, que
tem um custo de postagem associado, o spam é quase gratuito para os autores
– normalmente custa o mesmo para enviar 10 mensagens e enviar 10 milhões.
A figura 5 nos fornece a história do spam.
Um dos problemas mais significativos no desligamento de spammers envolve

o uso de computadores pessoais de outras pessoas. Normalmente, várias
máquinas conectadas à Internet são infectadas pela primeira vez com um vírus
ou cavalo de Troia que oferece controle secreto ao spammer. Essas máquinas
são conhecidas como computadores zumbis, e suas redes, geralmente
envolvendo milhares de computadores infectados, podem ser ativadas para
inundar a Internet com spam ou para instituir ataques de DoS.
Embora o primeiro possa ser quase benigno, incluindo solicitações para compra
de bens legítimos, os ataques de negação de serviço foram implementados
em esforços para chantagear sites, ameaçando desligá-los. Os cyberexperts
estimam que os Estados Unidos representam cerca de um quarto dos 4-8
milhões de computadores zumbis no mundo e são a origem de quase um terço
de todo o spam.
O e-mail também serve como um instrumento para criminosos tradicionais e

terroristas. Enquanto libertários louvam o uso descriptografia para garantir
privacidade nas comunicações, criminosos e terroristas também podem usar
meios criptográficos para ocultar seus planos. As autoridades policiais relatam
que alguns grupos terroristas incorporam instruções e informações nas imagens
através de um processo conhecido como esteganografia, um método sofisticado
de ocultar informações à vista de todos. Mesmo reconhecendo que algo está
oculto dessa maneira, muitas vezes requer quantidades consideráveis de poder
de computação; decodificar as informações é quase impossível se não houver a
chave para separar os dados ocultos.
39
Figura 5. A História do spam.
A História do spam
1898-2018
O PRISIONEIRO ESPANHOL
O New York Times relata que
mensagens não solicitadas
circulam em associação com
uma fraude antiga.
CORREIO
O anúncio com base em
conteúdo não solicitado é
enviado por correio por
nossos serviços por mais de
ARPANET um século.
O primeiro caso relatado de
spam de e-mail é atribuído à
Digital Equipment Corporation
e distribuído a 400 usuários
da ARPANET. A EPIDEMIA DE E-MAIL
Uma fração crescente de e-
mails é spam. Plataformas e
ISPs começam a investir em
técnicas de filtragem de spam.
MECANISMOS DE PESQUISA
O spam de conteúdo da web e
os milhares de links são formas
comuns de spamdexing, a
manipulação da classificação
dos resultados de pesquisa na REDES SOCIAIS
web. A ascensão do Facebook,
Twitter e Reddit leva a novas
oportunidades para os
spammers atingirem bilhões de
usuários de redes sociais.
COMENTÁRIOS FALSOS
Gigantes do comércio eletrônico,
como Amazon e Alibaba,
combatem a manipulação da
popularidade dos produtos por
spam de opinião. ROBÔS SOCIAIS
Milhões de contas operadas por
software preenchem as mídias
sociais para realizar
campanhas de spam nefastas
NOTÍCIAS FALSAS
Sites de spam são criados para
propagar deliberadamente
notícias de desinformação em
questões políticas, de saúde e SPAM E INTELIGÊNCIA
sociais. ARTIFICIAL (IA)
Sistemas baseados em IA
podem manipular a realidade,
produzindo alternativas
indistinguíveis. A IA também
pode ser alvo de manipulação
e spam para provocar
comportamentos do sistema
de IA ou de seus usuários.
Fonte: Adaptado de Ferrara (2019).
Em um tipo de golpe chamado compromisso de e-mail comercial (BEC), um

e-mail enviado a uma empresa parece ser de um executivo de outra empresa com
a qual a empresa está trabalhando. No e-mail, o “executivo” pede que o dinheiro
40
seja transferido para uma determinada conta. O FBI estimou que os golpes do
BEC custaram às empresas americanas cerca de U$ 750 milhões.
Às vezes, os e-mails que uma organização deseja manter em segredo são

obtidos e liberados. Em 2014, hackers que se autodenominavam “Guardiões
da Paz” divulgaram e-mails de executivos da empresa de filmes Sony Pictures
Entertainment, além de outras informações confidenciais da empresa. Os
hackers exigiram que a Sony Pictures não liberasse The Interview, uma
comédia sobre um plano da CIA para assassinar o líder norte-coreano Kim
Jong-Un, e ameaçou atacar os cinemas que exibiam o filme. Depois que as
redes americanas de cinema cancelaram as exibições, a Sony lançou o filme
online e em versão limitada no cinema. O hacking por e-mail afetou até a
política.
Em 2016, os e-mails do Comitê Nacional Democrata (DNC) foram obtidos

por hackers que se acredita estarem na Rússia. Pouco antes da Convenção
Nacional Democrata, a organização de mídia WikiLeaks divulgou o e-mail,
que mostrava uma preferência acentuada dos funcionários do DNC pela
campanha presidencial de Hillary Clinton sobre a de seu desafiante Bernie
Sanders. A presidente do DNC Debbie Wasserman Schultz renunciou e
alguns comentaristas americanos especularam que o lançamento do e-mail
mostrasse a preferência do governo russo pelo candidato republicano
Donald Trump.
Sabotagem
Outro tipo de pirataria envolve o sequestro de sites de um governo ou corporação.

Às vezes, esses crimes foram cometidos em protesto contra a prisão de outros
hackers; em 1996, o site da Agência Central de Inteligência (CIA) foi alterada
por hackers suecos para obter apoio internacional por seu protesto contra a
acusação do governo sueco de hackers locais e, em 1998, o site do New York
Times foi invadido por apoiadores do hacker preso Kevin Mitnick. Outros
hackers ainda usaram suas habilidades para se envolver em protestos políticos:
em 1998, um grupo que se autodenominava Legião do Subterrâneo declarou
“guerra cibernética” na China e no Iraque em protesto a supostos abusos dos
direitos humanos e um programa para construir armas de destruição em massa,
respectivamente. Em 2007, sites do governo da Estônia, bem como sites de
bancos e mídia, foram atacados. Suspeitaram-se de hackers russos porque a
Estônia estava em uma disputa com a Rússia pela remoção de um memorial de
guerra soviético em Tallinn.
41
Às vezes, o sistema de computador de um usuário ou organização é atacado e

criptografado até que um resgate seja pago. O software usado em tais ataques
foi apelidado de ransomware. O resgate geralmente exigido é o pagamento
em uma forma de moeda virtual, como o Bitcoin. Quando os dados são de
vital importância para uma organização, às vezes o resgate é pago. Em 2016,
vários hospitais americanos foram atingidos por ataques de ransomware, e
um hospital pagou mais de U$ 17.000 pela liberação de seus sistemas.
Desfigurar sites é uma questão menor, quando comparado com o espectro

de ciberterroristas que usam a Internet para atacar a infraestrutura de uma
nação, redirecionando o tráfego de companhias aéreas, contaminando o
suprimento de água ou desativando as salvaguardas de usinas nucleares.
Uma consequência dos ataques de 11 de setembro na cidade de Nova York
foi a destruição de um importante centro de comutação de telefone e
Internet. Lower Manhattan foi efetivamente isolada do resto do mundo,
exceto por rádios e telefones celulares. Desde aquele dia, não houve outra
tentativa de destruir a infraestrutura que produz o que foi chamado de
“alucinação consensual”. A guerra cibernética em larga escala (ou “guerra
de informação”) ainda está por acontecer, iniciada por estados desonestos
ou organizações terroristas, embora ambos os escritores e formuladores de
políticas a tenham imaginado com muitos detalhes.
No final de março de 2007, o Laboratório Nacional de Idaho divulgou um

vídeo demonstrando que danos catastróficos poderiam resultar de sistemas
utilitários comprometidos por hackers. Vários utilitários responderam
dando permissão ao governo dos EUA para executar uma auditoria em
seus sistemas. Em março de 2009, os resultados começaram a vazar com
um relatório no The Wall Street Journal. Em particular, o relatório indicou
que os hackers instalaram software em alguns computadores, o que lhes
permitiria interromper os serviços elétricos. A porta-voz da Segurança
Interna, Amy Kudwa, afirmou que não ocorreram interrupções, embora
continuem as auditorias de eletricidade, água, esgoto e outras empresas de
serviços públicos.
42
CAPÍTULO 4
Marcos legais
A lei de crimes cibernéticos identifica padrões de comportamento aceitável

para usuários de tecnologias de informação e comunicação (TIC); estabelece
sanções sociolegais para o cybercrime; protege os usuários de TIC, em geral, e
mitiga e/ou evita danos a pessoas, dados, sistemas, serviços e infraestrutura,
em particular; protege os direitos humanos; permite investigar e processar
crimes cometidos online (fora das configurações tradicionais do mundo real); e
facilita a cooperação entre países em questões de cybercrime.
A lei de crimes cibernéticos fornece regras de conduta e padrões de

comportamento para o uso da Internet, computadores e tecnologias digitais
relacionadas, além de ações do público, governo e organizações privadas;
regras de prova e procedimento criminal e outros assuntos de justiça criminal
no ciberespaço; e regulamentação para reduzir riscos e/ou mitigar os danos
causados a indivíduos, organizações e infraestrutura, caso ocorra um crime
cibernético. Consequentemente, a lei de crimes cibernéticos inclui leis
substantivas, processuais e preventivas.
Direito substantivo
Um ato ilegal precisa ser claramente descrito e proibido por lei. De acordo
com o princípio moral de nullum crimen sine lege (latim para “nenhum crime
sem lei”), uma pessoa não pode ser punida por um ato que não foi proibido
por lei no momento em que a pessoa cometeu o ato. A lei substantiva define
os direitos e responsabilidades de pessoas jurídicas, que incluem pessoas,
organizações e estados. As fontes do direito substantivo incluem estatutos
e portarias promulgadas pelas legislaturas municipais, estaduais e federais
(lei estatutária), constituições federais e estaduais e decisões de tribunais.
Alguns países, em vez de desenvolver novas leis especiais contra o

cybercrime, alteraram sua legislação ou códigos nacionais, adicionando
parágrafos específicos para tratar do cybercrime. Com essa prática,
uma consequência interessante a ser considerada é que alguns países
decidiram criminalizar separadamente o uso ilegal de tecnologia da
informação e comunicação para cometer qualquer crime. Assim, se o
43
autor usasse o acesso ilegal para cometer falsificação ou fraude, esse

comportamento constituiria dois crimes ao mesmo tempo.
A lei substantiva de crimes cibernéticos inclui leis que proíbem tipos

específicos de crimes cibernéticos e pune o não cumprimento dessas leis. O
cybercrime inclui crimes tradicionais do mundo real offline (por exemplo,
fraude, falsificação, crime organizado, lavagem de dinheiro e roubo)
perpetrados no ciberespaço que são crimes “híbridos” ou “habilitados para
cyber”, além de “novos” ou crimes “dependentes de cibernética” que foram
possíveis com o advento da Internet e das tecnologias digitais ativadas pela
Internet. Por esses motivos, muitos países desenvolveram leis projetadas
especificamente para lidar com o cybercrime. Por exemplo, Alemanha, Japão
e China alteraram as disposições relevantes de seu código criminal para
combater o cybercrime. Os países também usaram leis existentes que foram
projetadas para crimes do mundo real (offline) para atacar certos crimes
cibernéticos e cybercriminosos. Como outro exemplo, no Iraque, o código
civil existente (código civil iraquiano n o 40 de 1951) e o código penal (código
penal iraquiano n o 111 de 1969) são usados para processar crimes do mundo
real (por exemplo, fraude, chantagem, identidade roubo) perpetrados via
Internet e tecnologia digital.
O direito substantivo concentra-se na substância do crime, como os elementos

de um crime que inclui a conduta proibida (actus reus – “ato culpado”) e o
elemento mental (mens rea – “mente culpada”). Diferentes estados podem
optar por criminalizar diferentes condutas, escolhendo diferentes elementos
que constituem um crime. Como alternativa, os estados podem criminalizar a
mesma conduta, mas as leis ainda podem diferir quanto ao “estado de espírito”
que os torna culpados por sua conduta (ou seja, nível de culpabilidade criminal).
Para esse fim, as leis que criminalizam, por exemplo, o acesso não autorizado
a sistemas e dados de computadores varia entre os países, dependendo do
grau de intenção de um suposto criminoso, a quadro 1 apresenta os níveis de
culpabilidade criminal.
Quadro 1. Níveis de Culpabilidade Criminal.
Tipo Descrição
Uma pessoa comete um dolo quando há intenção em cometer o crime e assume

Dolo as suas consequências. Ex.: homicídio doloso (a pessoa matou porque tinha essa
intenção).
44
Tipo Descrição
Uma pessoa comete um dolo eventual quando não há intenção de causar danos/
Dolo Eventual morte/lesões, mas está ciente que isso pode acontecer e assume os riscos. Ex.:
dirigir embriagado e causar acidente fatal.
A negligência ocorre por falta de uma ação. O crime culposo por negligência
Culposo por negligência consiste em deixar de tomar determinado cuidado obrigatório antes de realizar
determinada ação. Ex.: deixar de reparar pneus e verificar os freios antes de viajar.
A imprudência é o ato realizado sem a cautela necessária. O crime culposo por

imprudência ocorre sempre de forma ativa: o autor não deve agir de determinada
Culposo por imprudência forma, mas não respeita a precaução por entender que esse ato causará maiores
consequências. No crime culposo por imprudência, a culpa surge no mesmo
instante em que se desenvolve a ação. Ex.: ultrapassagem proibida.
A imperícia é a incapacidade, falta de conhecimento ou habilidade em determinada
profissão. O crime culposo ocorre, portanto, quando um profissional, que não
Culposo por imperícia conhece a técnica, causa um resultado previsto como crime à vítima. Ex.: atirador
de elite que mata a vítima.
Fonte: Adaptado de Escolano (2014).
É importante observar duas coisas aqui. Em primeiro lugar, a aplicação da lei

local (processo) só ocorrerá quando for do interesse público processar, mas
muitos crimes cibernéticos em massa, como pequenas fraudes na Internet, são
insignificantes, na medida em que são individualmente considerados como de
menor impacto para serem investigados pela polícia e processados. No entanto,
eles podem ter um considerável impacto coletivo internacionalmente, portanto
precisam estar sujeitos ao direito internacional. Em segundo lugar, “onde uma
forte justificativa para a criminalização de uma conduta específica não existe
na lei, pode surgir um risco de supercriminalização moral ou cultural. Nesse
sentido, a lei internacional de direitos humanos representa uma ferramenta
importante para a avaliação das leis penais contra um padrão internacional
externo” (UNODC, 2013, p. 54).
Direito processual
A lei processual demarca os processos e procedimentos a serem seguidos para

aplicar a lei substantiva e as regras para permitir a aplicação da lei substantiva.
Uma parte importante do direito processual é o processo criminal, que inclui
regras e diretrizes abrangentes sobre a maneira pela qual as pessoas suspeitas,
acusadas e condenadas devem ser tratadas e processadas pelo sistema de justiça
criminal e seus agentes.
Por fim, a lei processual de crimes cibernéticos inclui disposições sobre poderes
de jurisdição e investigação, regras de evidência e procedimentos criminais
relacionados à coleta de dados, escutas telefônicas, buscas e apreensões,
45
preservação e retenção de dados. O cybercrime apresenta certos desafios únicos

em relação a procedimentos, especialmente no que diz respeito a jurisdição,
investigações e evidências digitais.
Jurisdição: A aplicação da lei somente pode realizar uma investigação de

crimes cibernéticos, e os tribunais nacionais somente podem julgar casos
de crimes cibernéticos, se o estado interessado tiver jurisdição. Jurisdição
refere-se ao poder e autoridade de um estado para fazer cumprir leis e
punir o não cumprimento das leis. A jurisdição está ligada à soberania do
Estado, que é o direito de um país exercer autoridade sobre seu próprio
território. A jurisdição é comumente associada ao território geográfico ou
local onde o crime foi cometido, pelo qual os estados reivindicam jurisdição
e processam os crimes cometidos em seu território (territorialidade). Como
não há fronteiras e territórios geográficos no ciberespaço, o local não pode
ser usado para determinar a jurisdição. Por esse motivo, os estados contam
com uma infinidade de outros fatores para determinar a jurisdição: um
desses fatores é a nacionalidade do ofensor (princípio da nacionalidade;
princípio da personalidade ativa). Esse princípio sustenta que os estados
têm autoridade para processar seus indivíduos, mesmo que estejam fora do
seu território. Em menor grau, a nacionalidade da vítima pode ser usada
para afirmar a jurisdição sobre um crime (princípio da nacionalidade;
princípio da personalidade passiva). Um estado pode estabelecer ainda
mais a jurisdição porque o crime cometido em outro estado (por exemplo,
traição ou espionagem) impactou os interesses e a segurança do estado que
busca jurisdição sobre o caso (princípio de proteção). Finalmente, qualquer
estado pode estabelecer jurisdição sobre certos crimes transnacionais, como
atrocidades em massa (por exemplo, genocídio), que são vistos como afetando
todos os seres humanos, independentemente da localização geográfica,
quando o estado em que o crime foi cometido não está disposto ou não pode
processar o infrator (princípio da universalidade).
Investigação: A evidência digital de crimes cibernéticos apresenta desafios

particulares, tanto em termos de manuseio quanto de uso em processos judiciais.
De acordo com UNODC (2013), embora algumas dessas ações investigativas
possam ser alcançadas com poderes tradicionais, muitas disposições processuais
não se traduzem bem de uma abordagem espacial orientada a objetos para uma
que envolva armazenamento de dados [digitais] e fluxos de dados em tempo
real, exigindo, portanto, poderes especializados para a investigação. Esses
poderes especializados são prescritos por lei e abrangem não apenas o acesso às
informações necessárias, mas também incluem salvaguardas para garantir que
46
os dados sejam obtidos de acordo com as ordens legais apropriadas e acessados

apenas na extensão necessária e autorizada por lei.
Essas salvaguardas (isto é, a exigência de ordem legal), no entanto, não

são exigidas por todos os países. Em 2014, a Turquia alterou a Lei 5651 da
Internet para exigir que os provedores de serviços da Internet retenham
dados do usuário e os disponibilizem às autoridades mediante solicitação,
sem exigir que primeiro obtenham uma ordem legal (por exemplo, uma
ordem judicial ou mandado de busca) para obter esses dados. Esses poderes
de investigação vão além da mera coleta de evidências, incluindo a obtenção
de assistência e o trabalho com outros agentes da justiça criminal em casos
de crimes cibernéticos. Da mesma forma, na Tanzânia, a Lei de Crimes
Cibernéticos de 2015 forneceu à polícia poderes de investigação excessivos e
irrestritos em crimes cibernéticos. Particularmente, a autorização da polícia
é o único requisito para permitir a busca e apreensão de evidências e obrigar
a divulgação de dados. Adequadamente, busca e apreensão e outros poderes
de investigação podem ocorrer sem as ordens legais apropriadas. Além dessa
preocupação, existe um perigo para “fuga da missão” ou “fuga da função” (ou
seja, termos usados para descrever a expansão da lei e/ou outras medidas em
áreas além do seu escopo original), no qual leis e poderes de investigação são
introduzidos para atingir um alvo.
Evidências digitais: A lei processual de crimes cibernéticos abrange a

identificação, coleta, armazenamento, análise e disseminação de evidências
digitais. Evidência digital (ou evidência eletrônica) refere-se a “qualquer tipo
de informação que possa ser extraída de sistemas de computador ou outros
dispositivos digitais e que possa ser usada para provar ou refutar uma ofensa”
(MARAS, 2014). A evidência digital pode apoiar ou refutar testemunhos de
vítimas, testemunhas e suspeitos, apoiar ou refutar a verdade de uma questão
afirmada, identificar o motivo, a intenção e a localização de um agressor,
identificar o comportamento de um agressor (ações e comportamentos
passados) e determinar a culpabilidade criminal.
As regras de prova e o procedimento criminal incluem os critérios usados

para determinar se a evidência digital é admissível em tribunal. Essas regras
prescrevem a maneira pela qual a evidência digital é documentada, coletada,
preservada, transmitida, analisada, armazenada e protegida para garantir
sua admissibilidade nos tribunais nacionais. Para ser admissível, a evidência
digital é autenticada e sua integridade é estabelecida. Os procedimentos de
autenticação envolvem a identificação da fonte/autor da evidência digital (ou
47
seja, informações de identidade da fonte) e a verificação da integridade da

evidência (ou seja, que ela não foi alterada, manipulada ou danificada de forma
alguma). A manutenção de uma cadeia de custódia, um registro detalhado sobre
as evidências, a condição das evidências, sua coleta, armazenamento, acesso
e transferência e os motivos para seu acesso e transferência é essencial para
garantir a admissibilidade das evidências digitais na maioria dos tribunais. As
regras de prova e o processo criminal não são padronizados entre os países.
Regras semelhantes de evidência e procedimentos criminais são necessárias
para o cybercrime, porque essa forma de crime transcende fronteiras e afeta
dispositivos e sistemas digitais em qualquer lugar do mundo com uma conexão
à Internet.
Direito preventivo
A lei preventiva se concentra na regulamentação e mitigação de riscos. No

contexto do cybercrime, a legislação preventiva procura impedir o cybercrime
ou, no mínimo, mitigar os danos resultantes da prática de um cybercrime. Leis
de proteção de dados (por exemplo, o Regulamento Geral de Proteção de Dados
da UE de 2016 e a Convenção da União Africana sobre Segurança Cibernética
e Proteção de Dados Pessoais de 2014) e leis de cibersegurança (por exemplo,
A Lei de Ucrânia sobre os princípios básicos da garantia da cibersegurança de
2017) foram projetados para diminuir os danos materiais causados por violações
criminais de dados privados, caso ocorra um crime cibernético, e/ou minimizar
a vulnerabilidade privada ao crime cibernético. Outras leis permitem que os
agentes de justiça criminal identifiquem, investiguem e processem crimes
cibernéticos, garantindo que as ferramentas, medidas e processos necessários
estejam em vigor para facilitar essas ações (por exemplo, a infraestrutura dos
provedores de serviços de telecomunicações e comunicações eletrônicas é tal
que permite escutas telefônicas e dados preservação). Nos Estados Unidos,
a Lei de Assistência às Comunicações para a Aplicação da Lei (CALEA) de
1994 exigia que prestadores de serviços de telecomunicações e fabricantes de
equipamentos garantissem que seus serviços e produtos permitissem às agências
governamentais autorização legal (ou seja, com a ordem legal apropriada) para
acessar as comunicações.
Instrumentos internacionais
Existem diversos tratados internacionais sobre crimes cibernéticos. Um

exemplo é a Convenção do Conselho da Europa sobre Crimes Cibernéticos, de
48
2001. Esta convenção busca harmonizar as leis nacionais, melhorar as técnicas

de investigação de crimes cibernéticos e melhorar a cooperação internacional.
Também fornece orientação aos signatários sobre as medidas necessárias em
nível nacional para lidar com o cybercrime, incluindo emendas e adições à
lei substantiva (ou seja, para estabelecer ofensas à cybercriminalidade na lei
criminal) e à lei processual criminal (ou seja, para estabelecer os procedimentos
para crimes cibernéticos) investigações e processos. A convenção fornece ainda
aos signatários, orientação sobre assistência mútua e atua como um tratado de
assistência jurídica mútua (ou seja, um acordo entre países para cooperar em
investigações e processos de certas e/ou todas as ofensas proscritas por ambas
as partes sob a lei nacional) para países que não possuem uma com o país
solicitando assistência.
Existem diversos tratados sobre crimes cibernéticos, são eles:
» A Convenção Árabe da Liga Árabe (anteriormente conhecida como

Liga dos Estados Árabes) de Combate às Ofensas da Tecnologia
da Informação de 2010. O objetivo principal desta convenção é
fortalecer a cooperação entre os estados para permitir que eles se
defendam e protejam suas propriedades, pessoas e interesses do
crime cibernético.
» O Acordo da Organização de Cooperação de Xangai sobre cooperação

no campo da segurança internacional da informação de 2010.
O foco deste acordo se estendeu além do crime cibernético e da
cibersegurança, incluindo a segurança da informação (INFOSEC)
dos Estados membros como um de seus principais objetivos, bem
como o controle nacional dos sistemas e conteúdo.
» Projeto de Convenção da União Africana para o Estabelecimento de

um Quadro Legal Condutivo à Cibersegurança na África (Projeto de
Convenção da União Africana) de 2012. Esta convenção promove
o fornecimento e manutenção de recursos humanos, financeiros
e técnicos necessários para facilitar as investigações de crimes
cibernéticos.
» Convenção da União Africana sobre Segurança Cibernética e

Proteção de Dados Pessoais de 2014. Esta convenção inclui,
entre outras coisas, um apelo aos estados da União Africana para
criar e/ou alterar leis nacionais para combater adequadamente
o cybercrime, harmonizar as leis nacionais, criar tratados de
49
assistência jurídica mútua onde eles não existem, facilitam o

compartilhamento de informações entre os estados, facilitam
a cooperação regional, intergovernamental e internacional e
utilizam os meios existentes disponíveis para cooperar com outros
estados e até o setor privado.
Leis Modelos
Crime de Computador e Cybercrime. Southern African Development

Community (SADC).
Disponível em: <https://www.itu.int/en/ITU-D/Cybersecurity/Documents/

SADC%20Model%20Law%20Cybercrime.pdf>.
Harmonização das políticas de TIC, legislação e procedimentos

regulatórios no Caribe (crimes cibernéticos/crimes eletrônicos).
Disponível em: <https://www.itu.int/en/ITU-D/Projects/ITU-EC-ACP/
HIPCAR/Pages/default.aspx>.
Leis Específicas sobre Crimes Cibernéticos
Projeto de Lei sobre crimes cibernéticos – África do Sul. Disponível em:

<https://www.michalsons.com/focus-areas/cybercrime-law/cybercrimes-bill-
south-africa>.
Lei de compartilhamento de informações sobre segurança cibernética –

Estados Unidos da América. Disponível em: <https://www.congress.gov/
bill/114th-congress/senate-bill/754/text>.
Rede e diretivas de Segurança da Informação – União Europeia.

Disponível em: <https://www.michalsons.com/blog/eu-cybersecurity-
rules/18090>.
Lei sobre crimes cibernéticos – Austrália. Disponível em: <https://www.

legislation.gov.au/Details/C2004A00937>.
Lei de segurança cibernética – China. Disponível em: <https://www.

chinalawtranslate.com/cybersecuritylaw/?lang=en>.
Leis de crimes de computador – Malásia. Disponível em: <http://www.

jtu.sabah.gov.my/publication/data/Pub-Images/Content/Computer%20
Crimes%20Act%201997.pdf>.
50
Lei de prevenção de crimes cibernéticos – Filipinas. Disponível em:

<https://en.wikipedia.org/wiki/Cybercrime_Prevention_Act_of_2012>.
Lei sobre crimes de computador – Tailândia. Disponível em: <https://www.

samuiforsale.com/law-texts/computer-crime-act.html>.
Lei sobre crimes cibernéticos – Tanzânia. Disponível em: <https://www.itu.

int/osg/spu/cybersecurity/contributions/Tanzania_Ulanga_paper.pdf>.
Instrumentos nacionais
Atualmente, nosso país ocupa o quarto lugar em número de usuários de

internet, segundo dados da Conferência das Nações Unidas sobre Comércio
e Desenvolvimento. Os crimes cibernéticos crescem de forma proporcional à
quantidade dos adeptos virtuais.
Tais ilícitos geralmente se referem a condutas que lesionam a esfera íntima

e pessoal das vítimas. Busca-se enquadrar as ilicitudes nas figuras penais
típicas, porém, o Código Penal vigente é de 1940, desta forma, não abarca
determinados comportamentos da sociedade moderna.
No Brasil, há um número exorbitante de casos de publicações de fotos privadas

sem consentimento da pessoa exposta. Recentemente, tivemos o caso de uma
adolescente de 15 anos que se enforcou no estado de Mato Grosso do Sul por
receio de ter suas fotos íntimas divulgadas. Aos 14 anos, ela se relacionou
com um rapaz de 17, que a ameaçou pelas fotos tiradas por ele, que nem ao
menos sabia se realmente existiam. Assim, os crimes virtuais não atingem
apenas o computador, ou a rede social de um indivíduo, traz transtornos
psicológicos que podem provocar danos irreversíveis.
No cenário contemporâneo, muitos dependem de mecanismos eletrônicos

para armazenamento de informações, sejam referentes à vida íntima ou
profissional. Caso como mencionado acima, demonstra que os dispositivos
de proteção aos recursos computacionais não são competentes em sua
integralidade. A história da jovem que se suicidou também demonstra que os
usos de aparelhos eletrônicos por pessoas desprovidas de discernimento moral
trazem consequências além da esfera digital. Desta forma, é imprescindível a
criação de meios eficazes para garantir a proteção e segurança dos indivíduos,
51
que devem gozar de sua intimidade e vida privada, tal como assegura a
Constituição Federal de 1988 em seu Art o 5 o , V.
5o Todos são iguais perante a lei, sem distinção de qualquer natureza,

garantindo-se aos brasileiros e aos estrangeiros residentes no
País a inviolabilidade do direito à vida, à liberdade, à igualdade, à
segurança e à propriedade, nos termos seguintes:
X – são invioláveis a intimidade, a vida privada, a honra e a

imagem das pessoas, assegurado o direito a indenização pelo dano
material ou moral decorrente de sua violação; (BRASIL, 1988)
Uma ocorrência que teve extensa repercussão em âmbito nacional foi da

atriz Carolina Dickman, que sofreu uma invasão em seu computador de
uso pessoal, e como consequência os invasores subtraíram seus arquivos e
publicaram suas fotos por intermédio das redes sociais. A atriz, assim como
na Lei Maria da Penha, cedeu seu nome à lei no 12.737/12, que trouxe alterações
ao Código Penal Brasileiro, ordenando acerca da tipificação criminal de
crimes informáticos. Mais recentemente, tivemos o caso do ator Stênio
Garcia, que vítima de hackers, teve suas fotos intimas juntamente com sua
esposa “vazadas” na internet.
Em nosso país, são inúmeros os casos de divulgação de conteúdo sem autorização,

e que ocorrem por meio de invasão computacional. Pesquisas apontam que as
mulheres são vítimas recorrentes de tal conduta. Segundo a Safernet Brasil, em
2016, 300 pessoas tiveram suas fotos íntimas vazadas. Destas, 202 eram mulheres.
Há situações em que casais trocam fotos, popularmente conhecida como “nude”,

ou seja, fotos sem vestimentas, por sentir segurança em seu parceiro, mas que
ao término de relacionamento, como forma de vingança ou de não aceitação, um
deles acaba por divulgar o conteúdo, que pode acarretar danos irreparáveis à
pessoa exposta.
Apesar de haver tipificação para tal conduta, as punições não são suficientes
para coibir os criminosos. Um indivíduo espalha as fotos, ele comete o crime,
porém quem sofre as maiores consequências é a pessoa exposta.
A Lei n o 12.737/12, de 30 de novembro de 2012, intitulada Carolina Dickman,

trouxe alterações no Código Penal vigente, acrescentando os artigos 154-A e
52
154-B; assim, originou-se o tipo penal “Invasão de dispositivo informático”,

apresentando-se desta forma:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não

à rede de computadores, mediante violação indevida de mecanismo
de segurança e com o fim de obter, adulterar ou destruir dados
ou informações sem autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1 o Na mesma pena incorre quem produz, oferece, distribui,

vende ou difunde dispositivo ou programa de computador com o
intuito de permitir a prática da conduta definida no caput
§ 2 o Aumenta-se a pena de um sexto a um terço se da invasão

resulta prejuízo econômico.
§ 3 o Se da invasão resultar a obtenção de conteúdo de

comunicações eletrônicas privadas, segredos comerciais ou
industriais, informações sigilosas, assim definidas em lei, ou o
controle remoto não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a

conduta não constitui crime mais grave.
§ 4o Na hipótese do §3o, aumenta-se a pena de um a dois terços se

houver divulgação, comercialização ou transmissão a terceiro, a
qualquer título, dos dados ou informações obtidas.
§ 5o Aumenta-se a pena de um terço à metade se o crime for

praticado contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de

Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito
Federal ou de Câmara Municipal; ou
IV – Dirigente máximo da administração direta e indireta federal,

estadual, municipal ou do Distrito Federal”.
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede

mediante representação, salvo se o crime é cometido contra a
53
administração pública direta ou indireta de qualquer dos Poderes

da União, Estados, Distrito Federal ou Municípios ou contra
empresas concessionárias de serviços públicos. (BRASIL, 2012)
O bem jurídico amparado por estes artigos é a inviolabilidade dos dados

informáticos, busca-se preservar, desta forma, a privacidade e intimidade,
constadas no artigo 5 o da Constituição Federal de 1988. O sujeito ativo
é qualquer indivíduo que não está licenciado ao acesso às informações. Já
o sujeito passivo é qualquer pessoa, podendo esta ser física ou jurídica,
proprietária dos dados computacionais.
Porém, uma das maiores críticas acerca da lei encontra-se no sujeito ativo,
pois é atípica a conduta de pessoa que invade aparelho computacional próprio
para obter dados de outrem que lá estejam, por exemplo, em uma Lan House,
o proprietário não irá cometer crime se acessar as informações do locador do
computador. Desta forma, há falha na lei, pois quem cometeu o crime deveria
ser punido, não devendo importar quem quer que o praticou. Outra falha, ou
melhor, lacuna, apresentada por esta lei, encontra-se nos “mecanismos de
segurança”, uma vez que um usuário inexperiente que não faz uso de aparatos
de segurança, como antivírus ou senhas de acesso, não será amparado pelos
artigos, sendo o crime atípico.
Além destas falhas, temos a pena apresentada, que é detenção de três meses
a um ano, portanto, considerada uma conduta de médio potencial ofensivo.
Ademais, este tipo de penalidade permite o cumprimento no regime semiaberto
ou imediatamente no regime aberto, podendo até mesmo com base no artigo 44,
§2o do Código Penal, ser substituída por pena pecuniária. Há também chance de
ser substituída por pena alternativa ou restritiva de direitos. Desta forma, uma
conduta que pode causar danos irreparáveis a suas vítimas tem uma punição
branda e pouco impactante.
No ano de 2014, foi sancionada a lei n o 12.965/014, intitulada “Marco Civil

da Internet”. Esta foi produzida com o intuito de preencher as lacunas de
nosso sistema jurídico no tocante aos crimes virtuais. Inicialmente trata dos
fundamentos e conceitos, elencando os direitos dos usufruidores. Tipifica
princípios, tais como, liberdade, neutralidade e privacidade, além de determinar
garantias, direitos e deveres no ambiente virtual. Um destaque se dá ao direito
e garantia a inviolabilidade da intimidade e da vida privada. Contudo, sabemos
que no momento de punição ao desrespeito de tais princípios as penas são
plácidas e não atingem um resultado satisfatório. Além disto, para requisições
de informações privadas é necessária ordem judicial, não podendo o provedor
54
de a internet fornecer dados como IP, senha e login dos criminosos, deixando
o trabalho de investigação moroso. Por mais válida que seja a tipificação de
garantias e direitos, tais artigos não abarcam por completo o campo de atividade
dos criminosos virtuais, ficando as lacunas a mercê de suprimento advindo
de outras legislações, como por exemplo, casos de compras online, que são
regulamentadas pelo CDC (Código de Defesa do Consumidor).
Ademais, alguns crimes praticados com o auxílio da internet estão tipificados no

Código Penal, tais como os crimes contra a honra, porém o código vigente é do
ano de 1940; portanto, em determinados casos, torna-se ultrapassado ao tratar
de crimes modernos, surgidos no decorrer dos anos, sendo as penas brandas em
relação as consequências sofridas pelas vítimas.
Desta forma, a falta de uma legislação específica aos crimes cibernéticos

no Brasil traz em muitos casos a impunidade dos criminosos, uma vez que
determinadas condutas não são tipificadas e as que são, tal como a Lei
n o 12.737/12, traz lacunas e dúbias interpretações. Com o avanço tecnológico
e o crescente número de usuários, se torna indispensável a criação de uma
lei que defina as condutas criminosas praticadas no meio virtual, com penas
destinadas aos seus agentes proporcionais aos resultados danosos que estes
produzem.
55
ANÁLISE DE UNIDADE II
CYBERCRIMES
Forense digital é um campo científico dedicado a coleta, preservação e

análise de evidências digitais. Essa ciência é capaz de dissecar informações
digitais e descobrir fatos no formato digital de uma maneira que nenhuma
outra ciência pode. Em essência, os investigadores forenses digitais são uma
espécie de polícia digital. Esses profissionais e empreendimentos forenses
podem ser encontrados em órgãos públicos de aplicação da lei, bem como
em instituições privadas.
O primeiro passo no processo forense é adquirir a evidência digital. Para isso,

é necessário utilizar ferramentas especializadas e softwares forense de uma
maneira que não perturbe os dados originais de forma alguma. Nesta unidade,
estudaremos em detalhes a evidência digital e a ciência forense digital.
CAPÍTULO 1
Evidência digital
Os dispositivos digitais estão em toda parte no mundo de hoje, ajudando as

pessoas a se comunicarem local e globalmente com facilidade. A maioria das
pessoas pensa imediatamente em computadores, telefones celulares e na Internet
como as únicas fontes de evidência digital, mas qualquer peça de tecnologia
que processa informações pode ser usada de maneira criminosa. Por exemplo,
jogos portáteis podem transmitir mensagens codificadas entre criminosos e
até eletrodomésticos mais novos, como uma geladeira com uma TV embutida,
podem ser usados para armazenar, visualizar e compartilhar imagens ilegais.
A evidência digital é definida como informações e dados de valor para uma

investigação que é armazenada, recebida ou transmitida por um dispositivo
56
ANÁLISE DE CYBERCRIMES │ UNIDADE II
eletrônico. Essa evidência pode ser adquirida quando dispositivos eletrônicos

são apreendidos e protegidos para exame. A evidência digital:
» está latente (oculta), como impressões digitais ou evidência de DNA;
» atravessa fronteiras jurisdicionais de maneira rápida e fácil;
» pode ser alterada, danificada ou destruída com pouco esforço;
» pode ser sensível ao tempo.
Existem muitas fontes de evidência digital, no entanto, este material aborda

as três principais categorias forenses de dispositivos, em que é possível
encontrar evidências: Internet, computadores e dispositivos móveis.
Essas áreas tendem a ter diferentes processos de coleta de evidências,
ferramentas e análises, e diferentes tipos de crimes tendem a utilizar um
dispositivo ou outro.
Princípios da evidência digital

As informações armazenadas eletronicamente são consideradas “digitais” porque
foram divididas em dígitos; unidades binárias de “uns” (1) e “zeros” (0), que
são salvas e recuperadas usando um conjunto de instruções chamado software
ou código. Qualquer tipo de informação – fotografias, palavras, planilhas –
pode ser criada e salva usando esse tipo de instruções. Encontrar e explorar
evidências salvas dessa maneira é uma área crescente da ciência forense e muda
constantemente à medida que a tecnologia evolui.
Internet: o lançamento da Internet, ou da World Wide Web, em meados da

década de 90, deu início à “era do acesso”. Pela primeira vez, indivíduos fora
do mundo acadêmico poderiam usá-lo para conectar-se a outras pessoas (e
seus computadores) em uma marca. A Internet abriu o acesso a um mundo
de informações e recursos, mas também forneceu uma via para o tráfego de
imagens, informações e espionagem ilegais.
Devido ao acesso global à informação e a outros computadores, os criminosos

podem usar esse acesso para invadir sistemas financeiros e de comunicação,
grandes empresas e redes governamentais para roubar dinheiro, identidades e
informações ou sabotar sistemas. Um dos maiores desafios do crime na Internet
é o de investigadores, pessoal técnico e de laboratório para entender como
o processo funciona e permanecer intimamente envolvido com os avanços em
software e tecnologias de rastreamento.
57
UNIDADE II │ ANÁLISE DE CYBERCRIMES
Qualquer computador que se conecta a um provedor de serviços de Internet

(ISP) se torna parte da rede do ISP, seja um único computador ou parte de
uma rede local (LAN) no local de trabalho. Cada ISP se conecta a outra rede,
e assim por diante. Dessa forma, a Internet é literalmente uma rede de redes
na qual as informações podem ser enviadas e recebidas para qualquer ponto
da web a partir de qualquer outro ponto. Essa coleção global de redes não tem
“proprietário” ou rede de controle geral; portanto, ela funciona como uma
comunidade com todos os prós e contras que você pode encontrar em qualquer
outra comunidade.
Computadores: no final dos anos 1970, os funcionários do Flagler Dog Track,

na Flórida, usaram um computador para criar e imprimir bilhetes vencedores
fraudulentos. Isso levou a Flórida a promulgar a primeira lei de crimes por
computador, a Lei de Crimes de Computadores da Flórida.
Os crimes por computador continuam sendo um problema crescente no

setor público e privado. Um único computador pode conter evidências de
atividades criminosas realizadas na web, ou o uso criminoso pode estar
contido no próprio computador, como pornografia, violação de direitos
autorais, extorsão, falsificação e muito mais. As evidências digitais estão
localizadas no disco rígido do computador e nos equipamentos periféricos,
incluindo mídia removível, como pen drives e discos de CD-ROM.
Dispositivos móveis: embora os dispositivos portáteis de transmissão

de voz usando transmissão por rádio estejam em uso desde os anos 1940
(por exemplo, o Walkie-Talkie), a primeira versão do que chamaríamos de
telefone celular não foi desenvolvida até os anos 1980. O uso de celulares em
todo o mundo disparou nos anos 1990 e atingiu 4,6 bilhões de assinaturas
de celulares até o final de 2009. A tecnologia de telefonia celular e sem fio
se expandiu para incluir muitos tipos de dispositivos móveis, como tablets e
videogames portáteis.
Antes usados apenas para comunicações de voz, os telefones celulares de hoje

também são usados para tirar fotos e fazer vídeos digitais, enviar mensagens
instantâneas, navegar na web e executar muitas das mesmas tarefas que um
computador. Os dispositivos móveis permitem que os criminosos se envolvam
em uma variedade cada vez maior de atividades, e os dispositivos controlam
cada movimento e mensagem. É esse recurso de rastreamento que transforma os
dispositivos móveis em evidências importantes em muitos casos.
58
A evidência digital pode ser usada em qualquer investigação criminal séria,

como assassinato, estupro, perseguição, assalto a carro, roubo, abuso ou
exploração infantil, falsificação, extorsão, jogo, pirataria, crimes de propriedade
e terrorismo. As informações pré e pós-crime são mais relevantes, por exemplo,
se um criminoso estava usando um programa online como o Google Maps™
ou o street view para processar uma informação antes de um crime; ou postar
itens roubados à venda no Mercado Livre ou em redes sociais; ou comunicar via
mensagem de texto com os cúmplices para planejar um crime ou ameaçar uma
pessoa. Alguns crimes podem ser cometidos inteiramente por meios digitais,
como, fraudes econômicas ou roubo de identidade.
Em qualquer uma dessas situações, um rastro eletrônico de informações é

deixado para trás para que uma equipe de investigação experiente reconheça,
aproveite e explore. Como em qualquer coleta de evidências, é essencial seguir
os procedimentos adequados e produzir os dados mais valiosos. Não seguir os
procedimentos adequados pode resultar em provas perdidas ou danificadas, ou
torná-las inadmissíveis no tribunal.
Como é coletada uma evidência digital
Documentos do computador, e-mails, mensagens de texto e instantâneas,

transações, imagens e históricos da Internet são exemplos de informações
que podem ser coletadas de dispositivos eletrônicos e usadas de maneira
muito eficaz como prova. Por exemplo, dispositivos móveis usam sistemas
de backup online, também conhecidos como “nuvem”, que fornecem aos
investigadores forenses acesso a mensagens de texto e fotos tiradas de um
telefone específico. Esses sistemas mantêm uma média de 1.000 a 1.500 ou
mais das últimas mensagens de texto enviadas e recebidas desse telefone.
Além disso, muitos dispositivos móveis armazenam informações sobre

os locais onde o dispositivo esteve e quando esteve lá. Para obter esse
conhecimento, os investigadores podem encontrar uma média dos últimos
200 locais acessados por um dispositivo móvel. Os sistemas de navegação
por satélite e os rádios por satélite nos carros podem fornecer informações
semelhantes. Até fotos postadas em redes sociais como o Facebook podem
conter informações de localização. As fotos tiradas com um dispositivo
ativado pelo Sistema de Posicionamento Global (GPS) contêm dados
do arquivo que mostram quando e exatamente onde a foto foi tirada. Ao
obter uma intimação para uma conta específica de dispositivo móvel,
os investigadores podem coletar uma grande quantidade de histórico
relacionado a um dispositivo e à pessoa que o utiliza.
59
De acordo com o Instituto Nacional de Justiça dos Estados Unidos da América,

as evidências digitais devem ser examinadas apenas por aqueles treinados
especificamente para esse fim. Com a grande variedade de dispositivos
eletrônicos em uso hoje e a velocidade com que eles mudam, acompanhar
pode ser muito difícil para a aplicação da lei. Muitas agências não têm um
especialista em evidências digitais à mão e, se o fizerem, o policial pode ser
especialista em telefones celulares, mas não em redes sociais ou fraudes
bancárias. Um detetive pode conseguir acessar o Mercado Livre e procurar
por propriedades roubadas, mas pode não conseguir capturar históricos de
mensagens de texto do celular e pode destruir evidências apenas tentando.
Muitos se interessam pela área e aprendem o que podem, mas não existe um
caminho único para o conhecimento em evidências digitais – as qualificações
e certificações não são padronizadas em todo o mundo.
Os dispositivos digitais podem ser coletados de diversas maneiras, a fim de se

obter a evidência digital. Vejamos alguns exemplos.
Suponha que uma pessoa qualquer jogou um telefone celular em um lago

ou danificou o computador em um movimento ou numa tempestade, as
informações armazenadas digitalmente são muito sensíveis e facilmente
perdidas. Existem práticas recomendadas para apreender adequadamente
dispositivos e computadores. Uma vez que a cena foi garantida e a autoridade
legal para apreender as evidências foi confirmada, os dispositivos podem ser
coletados. Quaisquer senhas, códigos ou PINs devem ser coletados das pessoas
envolvidas, se possível, bem como carregadores, cabos, periféricos e manuais
associados. Pen drives, telefones celulares, discos rígidos e similares são
examinados usando diferentes ferramentas e técnicas, e isso geralmente é feito
em um laboratório especializado.
Os investigadores precisam tomar cuidado especial com os dispositivos

digitais, além dos procedimentos normais de coleta de evidências, para evitar
a exposição a fatores como temperaturas extremas, eletricidade estática e
umidade.
No caso dos dispositivos móveis, os mesmos devem ser desligados

imediatamente e as baterias removidas, se possível. Desligar o telefone
preserva as informações de localização da torre de celular e os registros de
chamadas e impede que o telefone seja usado, o que pode alterar os dados
no telefone. Além disso, se o dispositivo permanecer ligado, os comandos de
destruição remota poderão ser usados sem o conhecimento do investigador.
60
Alguns telefones têm um timer automático para ligar o telefone para

atualizações, o que pode comprometer os dados, portanto, a remoção da
bateria é ideal.
Se o dispositivo não puder ser desligado, ele deve ser isolado de sua torre de
celular, colocando-o em uma bolsa Faraday ou outro material de bloqueio, definido
no modo avião, ou o Wi-Fi, Bluetooth ou outro sistema de comunicação deve
estar desativado. Os dispositivos digitais devem ser colocados em embalagens
antiestáticas, como sacos de papel ou envelopes e caixas de papelão. O plástico
deve ser evitado, pois pode transmitir eletricidade estática ou permitir o acúmulo
de condensação ou umidade.
Você sabe o que é uma bolsa Faraday?
Bolsa de Faraday foi um experimento de Michael Faraday. Realizado

em 1836, através dele o químico Faraday provou o efeito da blindagem
eletrostática, ou seja, mostrou que há “espaço neutro” num campo
elétrico.
Essa bolsa permite criar uma barreira isolante em dispositivos elétricos

e eletrônicos, de forma que o campo elétrico ou magnético gerado
no interior de um dispositivo não cause interferências em outros
dispositivos próximos a ele.
Veja mais em: <https://www.mundodaeletrica.com.br/gaiola-de-faraday-o-

que-e-qual-a-sua-aplicacao/>.
Ao enviar dispositivos digitais para o laboratório, o investigador deve indicar

o tipo de informação que está sendo procurada, por exemplo, números de
telefone e histórico de chamadas de um telefone celular, e-mails, documentos
e mensagens de um computador ou imagens em um tablet.
Já no caso de computadores e equipamentos independentes, o investigador,

para impedir a alteração de evidências digitais durante a coleta, deve primeiro
documentar qualquer atividade no computador, componentes ou dispositivos,
tirando uma fotografia e gravando qualquer informação na tela. O investigador
pode mover o mouse (sem pressionar os botões ou girar o scroll) para determinar
se algo está na tela. Se o computador estiver ligado, é altamente recomendável
chamar um especialista forense em computadores, pois as conexões com
atividades criminosas podem ser perdidas desligando o computador. Se um
computador estiver ligado, mas executando um software destrutivo (formatação,
61
exclusão, remoção ou limpeza de informações), a energia do computador deverá

ser desconectada imediatamente para preservar o que resta na máquina.
Os ambientes de escritório fornecem uma situação desafiadora de coleta

devido a redes, perda potencial de evidências e responsabilidades para
a agência fora da investigação criminal. Por exemplo, se um servidor é
desligado durante uma apreensão que está fornecendo um serviço a clientes
externos, a perda de serviço para o cliente pode ser muito prejudicial. Além
disso, equipamentos de escritório que possam conter evidências como
copiadoras, scanners, câmeras de segurança, máquinas de fax e unidades
de identificação de chamadas devem ser coletados.
Como e onde a análise é realizada
Depois que as evidências digitais forem enviadas ao laboratório, um analista

qualificado executará as seguintes etapas para recuperar e analisar dados:
1. Evite a contaminação: é fácil entender a contaminação

cruzada em um laboratório de DNA ou na cena do crime, mas
as evidências digitais têm problemas semelhantes que devem
ser evitados pelo responsável pela coleta. Antes de analisar a
evidência digital, é criada uma imagem ou cópia de trabalho do
dispositivo de armazenamento original. Ao coletar dados de um
dispositivo suspeito, a cópia deve ser armazenada em outra forma
de mídia para manter o original intocado. Os analistas devem usar
mídia de armazenamento “limpa” para evitar a contaminação ou
a introdução de dados de outra fonte. Por exemplo, se o analista
colocar uma cópia do dispositivo suspeito em um pen drive que já
contenha informações, essas informações poderão ser analisadas
como se estivessem no dispositivo suspeito. Embora a mídia de
armazenamento digital, como pen drives e cartões de dados, seja
reutilizável, simplesmente apagar os dados e substituí-los por
novas evidências não é suficiente. A unidade de armazenamento de
destino deve ser nova ou, se reutilizada, deve ser “limpa” de forma
forense antes de usar. Isso remove todo o conteúdo, conhecido e
desconhecido, da mídia.
2. Isolar dispositivos sem fio: telefones celulares e outros

dispositivos sem fio devem ser examinados inicialmente em uma
câmara de isolamento, se disponível. Isso evita a conexão com
62
qualquer rede e mantém as evidências o mais limpas possível. A

bolsa Faraday pode ser aberta dentro da câmara e o dispositivo pode
ser explorado, incluindo informações de telefone, informações da
Federal Communications Commission (FCC), cartões SIM etc. O
dispositivo pode ser conectado ao software de análise de dentro da
câmara. Se o laboratório não tiver uma câmara de isolamento, os
investigadores normalmente colocarão o dispositivo em uma bolsa
Faraday e mudarão o telefone para o modo avião para impedir a
recepção.
3. Instale o software de bloqueio de gravação: para impedir

qualquer alteração nos dados do dispositivo ou da mídia, o analista
instalará um bloco na cópia de trabalho para que os dados possam
ser visualizados, mas nada possa ser alterado ou adicionado.
4. Selecione os métodos de extração: depois que a cópia de

trabalho for criada, o analista determinará a marca e o modelo do
dispositivo e selecionará o software de extração projetado para
“analisar os dados” da maneira mais completa possível ou exibir
seu conteúdo.
5. Envie o dispositivo ou a mídia original para o exame

de evidência tradicional: quando os dados são removidos,
o dispositivo é enviado de volta à evidência. Pode haver DNA,
vestígios, impressões digitais ou outras evidências que possam ser
obtidas com ele e o analista digital agora pode trabalhar sem ele.
6. Prossiga com a investigação: neste ponto, o analista usará o

software selecionado para visualizar os dados. O analista poderá ver
todos os arquivos na unidade, verificar se as áreas estão ocultas e
até restaurar a organização dos arquivos, permitindo a visualização
de áreas ocultas. Os arquivos excluídos também são visíveis, desde
que não tenham sido substituídos por novos dados. Arquivos
parcialmente excluídos também podem ter valor.
Arquivos em um computador ou outro dispositivo não são a única evidência que

pode ser coletada. O analista pode precisar trabalhar além do hardware para
encontrar evidências que residam na Internet, incluindo salas de bate-papo,
mensagens instantâneas, sites e outras redes de participantes ou informações.
Ao usar o sistema de endereços da Internet, informações de cabeçalho de e-mail,
carimbos de hora em mensagens e outros dados criptografados, o analista pode
reunir cadeias de interações que fornecem uma imagem da atividade.
63
CAPÍTULO 2
Forense digital
O processo forense digital ou computação forense envolve: pesquisa, aquisição,

preservação e manutenção de evidências digitais; descrição, explicação e
estabelecimento da origem da evidência digital e seu significado; a análise das
evidências e sua validade, confiabilidade e relevância para o caso; e o relato de
evidências pertinentes ao caso.
O campo da computação forense tem facetas diferentes e não é definido por um

procedimento específico. Em um nível muito básico, a computação forense é a
análise das informações contidas e criadas com os sistemas de computadores,
geralmente com o objetivo de descobrir o que aconteceu, quando aconteceu,
como aconteceu e quem estava envolvido.
Em muitos casos, as informações coletadas durante um exame forense em

computadores não estão prontamente disponíveis ou visíveis para o usuário
comum. Isso pode incluir itens como arquivos excluídos e fragmentos de
dados que podem ser encontrados no espaço alocado para arquivos existentes,
conhecido pelos especialistas em computação forense como “espaço livre”.
São necessárias habilidades e ferramentas especiais para obter esse tipo de
informação ou evidência.
Normalmente, confirmar ou impedir um crime ou violação por meio de um exame

forense de computador é uma medida reativa a uma circunstância. Atualmente, no
entanto, os exames forenses de computador são frequentemente usados de forma
proativa para o monitoramento contínuo da mídia eletrônica. Em alguns casos,
a computação forense é usada até mesmo em um processo de interrogatório para
funcionários que saem de uma empresa.
Dentre os objetivos essenciais do processo forense digital estão:
» Ajudar a recuperar, analisar e preservar computadores e materiais

relacionados de maneira que ajude a agência de investigação
a apresentá-los como evidência em um tribunal. Isso ajuda a
postular o motivo por trás do crime e da identidade do principal
culpado.
» Conceber procedimentos em uma cena de crime suspeita, o que

ajuda a garantir que as evidências digitais obtidas não sejam
corrompidas.
64
» Aquisição e duplicação de dados: recuperação de arquivos e partições

excluídos da mídia digital para extrair as evidências e validá-las.
» Ajudar a identificar as evidências rapidamente e permitir estimar o

impacto potencial da atividade maliciosa na vítima.
» Produzir um relatório forense de computador que ofereça um

relatório completo sobre o processo de investigação.
» Preservar a evidência seguindo a cadeia de custódia.
Processo de análise forense digital

Embora existam muitas outras caracterizações dos processos envolvidos na
forma de lidar com a evidência forense digital, a perspectiva adotada aqui
supõe, sem limite, que a evidência forense digital deve ser identificada,
coletada, preservada, transportada, armazenada, analisada, interpretada,
atribuída, talvez reconstruída, apresentada e, dependendo das ordens
judiciais, destruída. Tudo isto deve ser realizado de maneira a atender aos
padrões legais da jurisdição e do caso. A figura 6 apresenta as etapas que
compreendem o processo de análise forense digital.
Figura 6. Etapas do processo de análise forense digital.
EVIDÊNCIA
Identificação
Coleta
Preservação
Transporte
Armazenamento
Análise
Interpretação
Atribuição
Reconstrução
Apresentação
Destruição
Fonte: Autoria própria.
65
Identificação
Para ser processada e aplicada, a evidência deve primeiro, de alguma forma,

ser identificada como evidência. É comum que haja uma enorme quantidade de
evidência potencial disponível para uma questão jurídica e a grande maioria das
evidências em potencial nunca ser identificada. Para entender isso, considere que
toda sequência de eventos em um único computador pode causar interações com
arquivos e os sistemas de arquivos nos quais eles residem. Em um ambiente de
rede, essa se estende a todos os dispositivos em rede, potencialmente em todo
o mundo. A evidência de uma atividade que causou a evidência forense digital
pode estar contida em um registro de data e hora associado a um programa de
computador do outro lado do mundo que foi compensado por seu padrão usual
de comportamento em alguns microssegundos. Se a evidência não puder ser
identificada como uma evidência relevante, ela nunca poderá ser coletada ou
processada, e pode até não continuar a existir em formato digital quando for
descoberto que tem relevância.
Coleta
Para serem consideradas úteis para uso em tribunal, as evidências identificadas

devem ser coletadas de maneira a preservar sua integridade durante todo o
processo, inclusive a preservação de informações relacionadas à cadeia de
custódia sob a qual foi coletada e preservada. Existe o dever de preservar
a evidência forense digital, uma vez que o detentor dessa evidência seja ou
razoavelmente deve estar ciente de que tem valor potencial em uma questão
jurídica. Este dever normalmente é cumprido coletando e preservando
uma cópia da evidência original, para que a mídia original não precise ser
preservada, mas possa continuar a ser usada. A coleta pode envolver muitas
tecnologias e técnicas diferentes, dependendo da circunstância.
O que é coletado é impulsionado pelo que é identificado; no entanto, uma

prática comum na comunidade forense digital tem sido retirar imagens forenses
de todos os bits contidos em cada mídia contendo conteúdo identificado. Isso
significa, então, identificar mais evidências contidas nessa mídia para análise
posterior, presumindo que a cópia da mídia foi adequadamente preservada ao
longo do caminho. O problema com esse processo hoje é que o volume para o
armazenamento necessário tornou-se muito grande em muitos casos, e esse
processo tende a ser altamente perturbador nos negócios operacionais que
usam esses computadores de uma forma ininterrupta. Considere o impacto nos
negócios em um fornecedor de serviço de Internet se tiver que interromper as
operações de um computador que seria usado para preservar evidências.
66
Preservação
Preservação de arquivos de log relevantes e dados de auditoria são

particularmente importantes e sempre devem ser identificados e preservados.
Isso inclui todos os logs associados aos servidores usados para enviar,
receber, processar e armazenar a evidência. Falhar ao fazer isso se torna
particularmente problemático nos casos em que a pureza da evidência
está em questão. Por exemplo, se uma evidência contiver algum conteúdo
corrompido, toda evidência torna-se suspeita. Se não houver registros
originais disponíveis para reabilitar partes relevantes da evidência, todas
as evidências podem ser inadmissíveis. Se houver suspeita de espoliação,
os arquivos de log adicionais e registros relacionados serão necessários
para mostrar que informações redundantes existem e são consistentes com
a criação real do conteúdo em questão. Até informações como falhas no
sistema e reinicializações podem ser críticas para um caso porque o conteúdo
corrompido do arquivo pode ser produzido por esses tipos de eventos, e sem
os logs para mostrar o que aconteceu e quando aconteceu, essa corrupção
pode não ser capaz de ser reconciliada com a necessidade de preservação da
pureza da evidência.
Transporte
Às vezes, as evidências devem ser transportadas de um lugar para outro.

Por exemplo, quando coletadas de uma cena de crime, as evidências
devem, de alguma forma, ser transferidas para um local seguro para serem
adequadamente preservadas até o julgamento. A evidência digital forense
geralmente pode ser transportada através da duplicação exata, no nível de
bits, do conteúdo original. Isso inclui, sem limite, o transporte do conteúdo
através de redes, assumindo as devidas precauções para garantir sua pureza
durante esse transporte. As evidências são frequentemente copiadas e
enviadas eletronicamente, em discos compactos ou em outra mídia, de um
lugar para outro. As cópias originais são normalmente mantidas em um local
seguro, a fim de garantir a integridade da evidência que será introduzida
nos procedimentos legais. Se houver alguma dúvida sobre os bits contidos
na evidência, ela pode ser resolvida retornando à versão original. Prova
fac-símile (ou cópia exata de algo), impressões e outras representações
similares de evidências forenses também podem ser transportadas, mas
não substituem a evidência forense digital original na maioria dos casos,
entre outros motivos, porque tornam muito mais difícil, se não impossível,
67
analisar adequadamente o que os bits originais eram. Muitas sequências de

bits diferentes podem produzir representações de saída e sequências de bits
idênticas podem produzir representações de saídas diferentes. Deve-se tomar
cuidado no transporte para evitar a espoliação também. Por exemplo, em um
carro quente, a mídia digital tende a perder bits.
Cada vez mais as evidências são transportadas eletronicamente de um lugar

para outro, e até os erros mais simples podem fazer com que os dados que
cheguem sejam incorretos ou indevidamente autenticados para fins legais.
Deve-se tomar cuidado para preservar a cadeia de custódia e garantir que uma
testemunha possa falar com precisão sobre o que ocorreu, usando e mantendo
notas contemporâneas e tomando as devidas precauções para garantir que essa
evidência não é espoliada e é tratada adequadamente ao longo do caminho.
Armazenamento
No armazenamento, a mídia digital deve ser mantida adequadamente pelo

período necessário para os fins do julgamento. Dependendo da mídia específica,
isso pode envolver vários tipos de requisitos, desde temperatura e umidade,
necessidade de fornecer energia adicional ou reler a mídia. O armazenamento
deve ser adequadamente seguro para garantir uma cadeia de custódia adequada
e, normalmente, para áreas de evidência contendo grandes volumes de
evidência, papeladas associadas a todas as ações relacionadas à evidência devem
ser mantidas para garantir que a evidência não vá a qualquer lugar sem ser
rastreada corretamente. Muitos tipos diferentes de eventos podem acontecer
com o armazenamento incorreto, incluindo deterioração ao longo do tempo,
alterações que resultem na presença ou ausência de uma condição necessária
para preservação ambiental, agressão ambiental direta à mídia, incêndios,
inundações e outros eventos externos alcançando essas evidências, perda de
energia das baterias e outros mecanismos de preservação da mídia que decaem
ao longo do tempo.
Análise, interpretação e atribuição
Análise, interpretação e atribuição da evidência são os aspectos mais difíceis

encontrados pela maioria dos analistas forenses. No campo da evidência forense
digital, existe geralmente apenas um número finito de possíveis sequências de
eventos que poderiam ter a evidência produzida; no entanto, o número real de
possíveis sequências pode ser quase insondavelmente grande. Em essência, quase
68
qualquer execução de uma instrução num ambiente de computação que contém ou

gera a evidência pode ter um impacto nas evidências.
Como é inviável reconstruir todas as sequências possíveis para encontrar todas as

sequências que podem ter produzido a evidência real em qualquer caso particular,
os analistas se concentram em grandes conjuntos de sequências de eventos e
tendem a caracterizar objetos nesses termos. Por exemplo, se a evidência incluir
um arquivo de log que parece estar associado a uma transferência de arquivos, o
nome da transferência e o programa incluído no arquivo de log normalmente
estarão associados ao comportamento comum desse programa e usado como
base para a análise. A identidade do usuário indicada no arquivo de log pode
estar associada a um ser humano ou grupo, e isso cria uma atribuição inicial que
pode ser usada como base para novos esforços para atribuir o padrão de prova
exigido.
Obviamente, a presença desse registro em um rastro de auditoria não significa

que o programa já foi executado ou que o objeto que o registro indica já
ocorreu ou que o usuário identificado causou os eventos de interesse. Existem
várias possíveis sequências de eventos que podem resultar na presença de
um registro. Por exemplo, sem limitar a totalidade das possíveis sequências
de eventos, o registro poderia ter sido colocado lá maliciosamente, poderia
ser um registro produzido por outro programa parecido com o que está
sendo considerado, poderia ter sido um registro produzido pelo programa
mesmo que a transferência do arquivo tenha falhado, o registro poderia ter
sido produzido por um cavalo de Troia agindo para o usuário, ou o registro
pode estar lá devido a uma falha em uma gravação em disco que produziu
uma ligação cruzada entre blocos de disco associados a diferentes tipos de
registros.
O analista que procura interpretar a evidência deve procurar levar em

consideração as explicações alternativas para ela, na tentativa de entender
o que realmente ocorreu e quão certas são as afirmações que fazem. É
razoavelmente comum que supostos especialistas deem saltos e tirem
conclusões que não são justificadas. Por exemplo, um analista pode escrever
um relatório informando algo como “X fez Y produziu Z”, em que X é um
indivíduo ou programa e Y é uma ação que produziu algum elemento da
evidência Z.
Mas isso é excessivo em quase todos os casos. Uma conclusão mais apropriada
pode ser “Com base nas evidências disponíveis para mim neste momento,
69
parece que X fez Y produzindo Z”. E é claro que ajuda se algumas ou muitas das
explicações alternativas exploradas e demonstradas sejam inconsistentes com
a evidência. Essa é uma das razões pelas quais aparentemente uma evidência
irrelevante pode ser muito útil em uma questão jurídica. Por exemplo,
evidência dos logs do sistema pode indicar que não foram detectados erros de
disco, falhas ou reinicializações ou outras anomalias refletidas nos arquivos
de log do período em questão, e que, portanto, as explicações associadas a
esses tipos de anomalias são inconsistentes com a evidência. Mas sem esses
arquivos de log ou algumas outras evidências, essa conclusão não pode ser
tirada.
Em ambientes de rede, há potencialmente muito mais sequências de bits que

podem ser relevantes para as evidências em questão. Como resultado, há
mais evidências disponíveis, e a análise e interpretação desse conjunto maior
de evidências leva a muito mais potenciais recursos analíticos e processos e
produtos interpretativos. Pode-se argumentar que isso aumenta a complexidade
da análise exponencialmente, mas, na realidade, as evidências adicionais
tendem a restringir ainda mais o número de históricos viáveis, a fim de manter
consistência da interoperação entre as evidências. Como exemplo, registro
do arquivo de transferência identificado acima pode ser bastante reforçado
ou refutado com registros correspondentes em sistemas remotos, dos quais
o arquivo foi declarado baixado e através do qual a transferência pode ter
ocorrido.
A análise, a interpretação e a atribuição de evidências forenses digitais também são

conciliadas com evidências não digitais e estipuladas ou demonstradas com
fatos externos. Como por exemplo, se a evidência forense digital parecer
mostrar que a pessoa X estava presente no local de um computador em
Los Angeles duas horas depois de passarem pela alfândega e imigração
em Londres, mesmo que os logs de rede de sistemas distantes mostrem
que a transferência ocorreu, não é uma interpretação razoável afirmar
que o indivíduo estava em Los Angeles. Claramente, há outra explicação,
se existem dois indivíduos, um mecanismo de controle remoto, alteração
de vários logs sistemas múltiplos, alteração de registros alfandegários e de
imigração, relógios alterados, ou qualquer uma de uma longa lista de outras
possibilidades. Enquanto em alguns locais, a abordagem “não me confunda
com os fatos” pode ser aplicada, em um ambiente legal, a investigação forense
digital das evidências deve ser conciliada com a realidade externa.
70
Os fatos-âncora que o analista pode testemunhar são um bom exemplo da

interação entre evidências forenses digitais e realidade física. Um exemplo
de um fato-âncora é o conhecimento do tempo, mantendo mecanismos em
sistemas que interagem com evidência disponível no assunto em questão.
Por exemplo, se o analista opera um sistema que retém registros sonoros e
foi sincronizado com o horário da rede durante o período em questão, e esse
sistema possui um registro de e-mail passando por um sistema relevante
que inclui carimbos de data e hora, o tempo entre o sistema de analistas e
o sistema relevante fornece um fato-âncora que o analista pode usar para
tornar mais definitivas as declarações sobre o que aconteceu e quando. A
interpretação da evidência pode mais definitivamente afirmar que, com
base no conhecimento pessoal da testemunha e os registros que eles têm de
fatos relevantes para o assunto, um registro é consistente com um desvio
de tempo de 18 horas. Isso pode até permitir que o analista possa explicar
como o indivíduo poderia ter aparentado estar Londres, ao mesmo tempo
em que parecia estar em Los Angeles.
Reconstrução
Em muitos casos, a relevância da evidência é específica para hardware e/ou

software. Embora muitos analistas assumam que os mecanismos operam de
acordo com suas especificações, na área de tecnologia da informação, de onde
a evidência forense digital se origina, existem de fato poucos padrões e eles
são liberalmente violados o tempo todo. A documentação geralmente está em
desacordo com a realidade, versões de sistemas e software mudam a uma taxa
alta e registros do que estava em vigor a qualquer momento são muitas vezes
escassos ou inexistentes. Casos legais também muitas vezes são julgados muitos
anos após os eventos reais que os levaram a ocorrer, e evidências que possam
estar presentes no momento do incidente em questão podem não estar mais
disponíveis quando for considerado importante.
Nestes casos, a reconstrução dos mecanismos que produziram os registros de

importação pode ser a única abordagem disponível para resolver, a um nível
razoável de certeza, o que realmente poderia e não poderia ter acontecido.
Por exemplo, se o conteúdo dos metadados em um documento que contém
evidências de intenção indica que uma identidade de usuário específica
modificou o documento em uma determinada data e hora específicas e que
o documento foi editado por 7 minutos e 23 segundos, mas não mostra
modificações específicas feitas por esse indivíduo, e uma versão anterior do
71
documento, uma hora antes, escrita com outra identidade do usuário não
possui o conteúdo com evidência de intenção e possui um tempo de edição de
5 minutos e não existe outra documentação, ela pode parecer forte evidência
de que o indivíduo que escreveu o documento pela última vez adicionou a
conteúdo indicativo da intenção e o fez editando o documento por 2 minutos
e 23 segundos.
Mas essa conclusão depende de um conjunto de suposições em torno do

software que foi usado para editar esse documento. Mesmo que uma versão
atual desse software seja confiável aplicado a este tipo de metadados, pode
ser que a versão do software em uso no tempo e nos ambientes de computação
em questão fez algo bem diferente. Se esta é a única evidência do problema e o
assunto é importante o suficiente para justificar o esforço, uma reconstrução
do processo pelo qual a evidência forense digital foi criada pode ser necessário
para mostrar que a versão específica do software que opera no ambiente
específico em questão poderia ou não ter produzido os resultados contidos
nas evidências e que outras possibilidades existem ou não.
Dado que uma reconstrução deve ser considerada, determinações adicionais

devem ser feitas. Por exemplo, com base nas informações disponíveis, como
pode determinar a versão do hardware, software e ambiente operacional, e
quão importante é reconstruir com precisão a situação original até que nível de
precisão e em que aspectos? A resposta a estas e outras perguntas relacionadas
está intimamente ligada aos detalhes em questão no assunto em questão.
Apresentação
Evidência, análise, interpretação e atribuição devem ser apresentadas em última

análise sob a forma de relatórios de peritos, depoimentos e testemunhos. A
apresentação de evidência e sua análise, interpretação e atribuição tem muitos
desafios, mas é abordada apenas em uma extensão limitada na literatura.
A apresentação é mais uma arte do que uma ciência, mas há uma quantidade
substancial da literatura científica sobre métodos de apresentação e seu
impacto sobre aqueles que observam essas apresentações. Aspectos que
variam da ordem de apresentação das informações ao uso de gráficos e
demonstrações apresentam desafios e são mal definidos.
72
Destruição
Os tribunais geralmente solicitam que evidências e outras informações

associadas a um assunto jurídico sejam destruídas ou devolvidas após
o término do seu uso. Isso se aplica aos segredos comerciais, patentes
confidenciais e informações relacionadas a clientes, trabalhos protegidos por
direitos autorais e informações que as empresas normalmente dispõem, mas
devem reter para a duração do processo legal. A retenção e disposição de
dados abrange extensa literatura envolvendo restrições legais e mandatos de
destruição.
Existem também questões técnicas significativas associadas à destruição dos

dados digitais. Os processos de destruição em questões jurídicas raramente
chegam ao nível necessário para questões de segurança; no entanto, os esforços
envolvidos na evidência de recuperação, às vezes, vão ao extremo.
Tipos, vantagens e desvantagens da forense digital
Existem, atualmente, oito tipos de análise forense digital, são eles:
» Análise forense do disco: lida com a extração de dados da mídia

de armazenamento, pesquisando arquivos ativos, modificados ou
excluídos.
» Rede forense: é um sub-ramo da ciência forense digital. Está

relacionado ao monitoramento e análise do tráfego da rede de
computadores para coletar informações importantes e evidências
legais.
» Forense sem fio: é uma divisão da rede forense. O principal

objetivo da forense sem fio é oferecer as ferramentas necessárias
para coletar e analisar os dados do tráfego da rede sem fio.
» Forense de banco de dados: é um ramo da investigação forense

digital relacionada ao estudo e exame de banco de dados e seus
metadados relacionados.
» Análise forense de malware: este ramo lida com a identificação

de código malicioso, para estudar sua carga útil, vírus, worms etc.
» E-mail forense: lida com recuperação e análise de e-mails,

incluindo e-mails, calendários e contatos excluídos.
73
» Forense da memória: lida com coleta de dados da memória do

sistema (registros do sistema, cache, RAM) na forma bruta e, então,
esculpindo os dados do dump.
» Forense de dispositivos móveis: lida principalmente com o

exame e análise de dispositivos móveis. Ajuda a recuperar contatos
telefônicos, registros de chamadas, SMS recebidos e enviados,
áudios, vídeos etc.
Vantagens da análise forense digital
» Garantir a integridade dos sistemas de computadores.
» Apresentar provas no tribunal, o que pode levar à punição do

culpado.
» Ajudar empresas a capturar informações importantes se seus

sistemas ou redes de computadores estiverem comprometidos.
» Rastrear de forma eficiente os cybercriminosos de qualquer lugar do

mundo.
» Ajudar a proteger o dinheiro e o tempo valioso da organização.
» Permitir extrair, processar e interpretar as vidências factuais,

comprovando a ação cybercriminosa no tribunal.
Desvantagens da análise forense digital
» Evidência digital é aceita em tribunal, no entanto, é necessário

provar que não há adulteração.
» Produzir registros eletrônicos e armazená-los é um ponto

extremamente caro.
» Profissionais do Direito devem ter amplo conhecimento em

informática.
» Necessidade de produzir evidências autênticas e convincentes.
» Se a ferramenta usada para forense digital não estiver de acordo

com os padrões especificados no tribunal, as evidências poderão
ser reprovadas pela justiça.
74
» A falta de conhecimento técnico do investigador pode não

oferecer o resultado desejado.
» De acordo com os conhecimentos obtidos até aqui, forneça uma

definição para o termo forense digital.
» Quais habilidades você acredita que um profissional forense

deve ter?
» Explique como cada habilidade que você citou é necessária

para o sucesso como perito forense.
75
CAPÍTULO 3
Fraude financeira: estudo de caso
O estudo de caso apresentado a seguir é real e foi analisado por uma empresa
especialista em investigação forense. Para mais informações, consulte Global
Digital Forensics (2019).
» Tipo de caso: Forense digital.
» Ambiente: Rede complexa de múltiplas localizações; áreas de trabalho;

redes.
» Organização: Banco.
Cenário
Uma grande empresa de contabilidade foi contratada para auditar certas
atividades relacionadas a empréstimos a pessoas físicas no Conselho de
Administração de um banco médio de capital aberto (o “Banco”). Durante a
auditoria, os auditores precisaram examinar vários sistemas de computador
usados por certos funcionários do Banco, bem como por alguns membros
do Conselho. Os investigadores forenses digitais da empresa X foram
imediatamente contratados e enviados para organizar a análise forense dos
sistemas de computador e procurar evidências corroboradoras em apoio às
suspeitas e descobertas da equipe de auditoria. Os analistas de sistemas da
empresa X analisaram de modo forense laptops dos gerentes que pertenciam
ao departamento de empréstimos e sistemas desktop usados por gerentes e
membros do conselho. Servidores de e-mail (Exchange) e sistemas de correio
de voz também foram examinados.
Informações básicas
Nos dois anos anteriores, o Banco passou por uma série de transições, culminando
em um novo Conselho de Administração e, devido às novas regulamentações
do setor financeiro, foi nomeado um Comitê de Auditoria independente. O
Comitê de Auditoria encarregou certos diretores do Banco de se envolverem
em atividades suspeitas relacionadas a despesas e empréstimos específicos do
Banco que estavam ocultos ou “perdidos” do âmbito de suas práticas contábeis
76
normais. Para manter a conformidade e remediar o que pode ter sido “maçãs
podres” na organização, o Comitê de Auditoria do Banco exigiu que o Conselho
contratasse uma empresa de contabilidade independente para revisar essas
questões e apresentar um relatório formal ao Banco. Devido à imensa pressão
de tempo para resolver essas questões antes que o Banco Mundial divulgasse sua
próxima demonstração financeira obrigatória, um plano conciso, porém completo
foi solicitado, para revisar os registros de despesas e empréstimos, bem como
aplicativos, processos de aprovação e uma infinidade de outros dados financeiros
armazenados em formato eletrônico e formulário em papel. Havia também um
enorme volume de documentos em papel que a empresa de contabilidade estava
revisando e precisava validar e revisar em relação às informações obtidas no exame
digital. Por causa do tamanho e da capitalização de mercado do Banco, ele não
alocou fundos excedentes para esse tipo de situação e os fatores de custo estavam
em primeiro plano, mas não pôde orientar a investigação em nenhum nível
substantivo por medo de viés e falta de diligência.
Envolvimento da empresa X
Imediatamente após serem contratados, os analistas da empresa X revisaram

os sistemas de computador com o departamento de TI dos bancos. Após se
reunir com o Comitê e determinar o foco da auditoria e o que estava disponível
em papel versus analistas eletrônicos da empresa X, foi trabalhado com os
auditores para projetar uma metodologia que permitisse uma análise forense
aprofundada dos dados e documentos eletrônicos que praticamente eliminavam
a duplicação. Esforços dos contadores forenses, forneceu dados e relatórios em
formato eletrônico que poderiam ser facilmente revisados e auditados.
Os analistas da empresa X também foram capazes de utilizar as técnicas

forenses de computador para recuperar artefatos digitais dos laptops e
desktops dos funcionários suspeitos do banco e membros do conselho. Esses
artefatos forenses incluíam e-mail e documentos trocados por várias contas
de e-mail gratuitas baseadas na web. Essas contas foram usadas para enviar
e receber informações sobre várias hipotecas e empréstimos aprovados para
“amigos do banco”, que normalmente seriam negados ou emitidos a taxas de
juros substancialmente mais altas.
Constatações
A empresa X concentrou uma parte de seu exame inicial em sistemas

específicos de desktop e rede usados pelos funcionários suspeitos. Seus
77
investigadores realizaram análises forenses por computador nesses sistemas,

enquanto examinavam simultaneamente os dados fornecidos diretamente
pelo departamento de TI do Banco em relação à rede interna e à atividade
relacionada à Internet dos funcionários suspeitos. Por meio desses exames,
a empresa X extraiu de modo forense artefatos digitais, como e-mail e
documentos excluídos, e criou relatórios de áreas de interesse específicas
com base nos problemas relacionados à investigação geral. Usando essas
informações coletadas, a empresa de contabilidade conseguiu corroborar
aspectos específicos de sua investigação para concluir que certos funcionários
do Banco de fato alteraram as informações fornecidas por determinados
solicitantes de empréstimos e influenciaram as aprovações dos funcionários
do banco para empréstimos e despesas que ficaram muito fora dos critérios
normais de aprovação. Além disso, a empresa X também descobriu certas
atividades dos funcionários suspeitos que os auditores não suspeitavam,
mas que desempenharam um papel importante na investigação geral e no
resultado final.
Os relatórios e análises forenses dos dados dos sistemas bancários internos

dos bancos, incluindo os sistemas, aplicativos desenvolvidos internamente e
aplicativos bancários comercialmente disponíveis nas plataformas distribuídas
(servidores) e no mainframe, permitiram que a equipe de auditoria e as contas
forenses coletassem e analisassem os dados de maneira alinhada e eficiente
em fluxo contínuo. De fato, a empresa X foi capaz de gerar relatórios fora
do padrão e usar os dados obtidos nos registros do mainframe e do banco
de dados para mostrar como os controles internos foram contornados e por
quais usuários do sistema. Nenhuma dessas informações estava disponível
nos relatórios padrão, economizando horas valiosas e caras se as informações
precisassem ser recriadas de outras fontes de dados.
Resultado
Usando os artefatos digitais que a empresa X coletou de maneira forense dos

sistemas que investigou, o Comitê de Auditoria do Banco estava em uma posição
melhor para descobrir que certos funcionários violaram a política do Banco e,
possivelmente, certos regulamentos federais sobre ações de funcionários de
empresas públicas. O Comitê de Auditoria e os contadores forenses, juntamente
com o Novo Conselho de Administração do Banco, puderam demitir alguns
dos funcionários acusados e negociar acordos de solução favoráveis ao Banco
com esses funcionários, incluindo a redução de certos benefícios e pacotes de
indenizações que lhes eram devidos nos contratos de trabalho existentes.
78
O Banco também conseguiu pedir certos empréstimos de alto risco e negociar

taxas de juros e melhores condições de pagamento com os empréstimos
suspeitos, reduzindo o risco dos bancos, beneficiando os acionistas e colocando
o banco em conformidade, reduzindo a exposição a multas severas e publicidade
negativa.
No final, o Banco economizou uma quantia enorme de dinheiro e tempo

ao dispor das evidências digitais para finalizar os problemas relacionados
à investigação e conseguiu estabelecer prazos importantes em relação a
determinados documentos e mandatos regulatórios.
79
CAPÍTULO 4
Cybercrime em números
A maioria dos profissionais de segurança concorda que não é uma questão

de se, mas quando sua empresa será vítima de ataques direcionados que
envolvem malware, ransomware, filtragem de dados ou phishing. De fato,
70% das organizações relataram um incidente de segurança que impactou
negativamente em seus negócios no ano passado, um número consistente com a
realidade de que mais de 390.000 programas maliciosos são registrados todos
os dias. Dado o crescente número de dispositivos conectados e os crescentes
incentivos financeiros para cybercriminosos, a prevalência, o volume e a
sofisticação das ameaças direcionadas estão apenas aumentando. À medida
que aumentam os riscos para os criminosos e as empresas reagem a ataques, o
cenário de ameaças corporativas é impulsionado. Os hackers estão evoluindo
suas ameaças direcionadas e estão encontrando vulnerabilidades nas defesas
de segurança das empresas.
Vejamos em detalhes alguns fatos e estatísticas alarmantes sobre segurança

cibernética.
95% dos registros violados vieram de apenas três setores em 2016:

Governo, varejo e tecnologia. O motivo não é necessariamente porque esses
setores são menos diligentes na proteção dos registros dos clientes. Eles
são apenas alvos muito populares devido ao alto nível de informações de
identificação pessoal contidas em seus registros.
Há um ataque de hackers a cada 39 segundos: Um estudo da Clark

School da Universidade de Maryland (CUKIER, 2007) é um dos primeiros a
quantificar a taxa quase constante de ataques de hackers de computadores
com acesso à Internet – a cada 39 segundos, em média, afetando um em cada
três americanos por ano – e os nomes de usuário não seguros e senhas que
usamos que dão aos hackers mais chances de sucesso.
43% dos ataques cibernéticos têm como alvo pequenas empresas:

64% das empresas sofreram ataques baseados na web; 62% experimentaram
ataques de phishing e engenharia social; 59% das empresas experimentaram
códigos maliciosos e botnets e 51% experimentaram ataques de negação de
serviço (GIBBS, 2018).
80
O custo médio de uma violação de dados em 2020 excederá 150

milhões de dólares: À medida que mais infraestrutura de negócios é
conectada, os dados da Juniper Research 1 sugerem que o Cybercrime
custará às empresas mais de U$ 2 trilhões no total em 2019.
Em 2018, os hackers roubaram meio bilhão de registros pessoais:

Este foi um salto de 126% em relação a 2017. Desde 2013, existem
aproximadamente 3.809.448 registros roubados de violações todos os dias;
158.727 por hora, 2.645 por minuto e 44 a cada segundo de cada dia relatam
a Cybersecurity Ventures 2 .
Mais de 75% do setor de saúde foi infectado por malware no

ano passado: O estudo da Security Scorecard (2016) concluiu que 700
organizações de saúde, incluindo instalações de tratamento médico, agências
de seguro de saúde e empresas de manufatura de saúde, foram infectadas
por malware no ano passado.
Ataques de negação de serviço distribuída em larga escala aumentam

em tamanho em 500%: De acordo com o Relatório de Ameaças do segundo
trimestre de 2018, o relatório trimestral da Nexusguard (2018), o ataque
médio de negação de serviço distribuída (DDoS) cresceu para mais de 26
Gbps, aumentando em tamanho em 500%.
Espera-se que aproximadamente 6 trilhões de dólares sejam gastos

globalmente em segurança cibernética até 2021: As organizações
precisam fazer uma mudança fundamental em sua abordagem à segurança
cibernética e priorizar os orçamentos para se alinhar com essa realidade
recém-definida da nossa sociedade moderna.
Até 2020, haverá cerca de 200 bilhões de dispositivos conectados:

O risco é real com a Internet das Coisas (IoT) e seu crescimento. De acordo
com números compilados em um recente relatório de ameaças à segurança
da Internet da Symantec (2019), existem 25 dispositivos conectados por 100
habitantes nos EUA.
Os empregos não preenchidos de segurança cibernética em todo o

mundo chegarão a 3,5 milhões até 2021: Mais de 300.000 empregos
em segurança cibernética nos EUA não foram preenchidos, e as postagens
aumentaram 74% nos últimos cinco anos (HAMMERVIK, 2017).
1 <https://www.juniperresearch.com/home>.
2 <https://cybersecurityventures.com/cybercrime-diary-whos-hacked-list-of-q3-2018-data-breaches-and-cyberattacks/>.
81
95% das violações da segurança cibernética são causadas por erro

humano: Criminosos cibernéticos e hackers se infiltram em empresas através
do elo mais fraco, que quase nunca está no departamento de TI (Tecnologia da
Informação).
Mais de 77% das organizações não possuem um plano de resposta

a incidente de segurança cibernética: O que é pior? Estima-se que 54%
das empresas dizem ter sofrido um ou mais ataques nos últimos 12 meses
(VIOLINO, 2019).
A maioria das empresas leva quase 6 meses para detectar uma

violação de dados: Informações como senhas, detalhes de cartão de crédito
e números de previdência social já podem estar comprometidas quando a
empresa percebe.
O que é Bitcoin?
Bitcoin é uma criptomoeda, uma forma de dinheiro eletrônico. É uma

moeda digital descentralizada sem um banco central ou administrador
único que pode ser enviado de usuário para usuário na rede blockchain
sem a necessidade de intermediários.
46% de todas as transações de Bitcoin envolvem atividade online

ilegal: A criptomoeda está se tornando um dos maiores mercados não
regulamentados do mundo. Um estudo recente (FOLEY; KARLSEN; PUTNINS,
2018) mostrou que cerca de U$ 76 bilhões em criptomoeda são usados em
atividades criminosas todos os anos.
82
INTELIGÊNCIA
ARTIFICIAL E UNIDADE III
CYBERCRIMES
Atualmente, o que a sociedade entende por Inteligência Artificial ou IA é a

comercialização de tecnologias da informação relacionadas ao aprendizado
de máquina. Diferentemente do software tradicional, os aplicativos de
aprendizado de máquina automatizam tarefas que anteriormente exigiam
a capacidade inata da mente humana de aprender, analisar dados não
estruturados de várias fontes e tomar boas decisões com base na intuição.
Tarefas como reconhecimento de fala e rosto, condução autônoma de carro e
aprovação de empréstimos bancários se enquadram nessa categoria.
A inteligência artificial moderna fica aquém dos robôs de ficção científica,

que possuem inteligência humana e livre arbítrio. Não é “inteligência” em um
sentido relativo. Em vez disso, é mais um tipo de tecnologia da informação,
que não é fundamentalmente diferente do software de computador subjacente
às compras online, pilotos automáticos de aviões e mecanismos de busca.
Embora as tecnologias de IA existentes não possam cometer crimes por
sua própria vontade, elas certamente podem ser usadas por criminosos
cibernéticos, como qualquer nova tecnologia ou serviço de informação. Nesta
unidade, vamos estudar como a IA vem sendo utilizada, tanto na segurança
cibernética, quanto como uma “arma” por cybercriminosos.
CAPÍTULO 1
Inteligência artificial
Uma máquina com a capacidade de desempenhar funções cognitivas, como

perceber, aprender, raciocinar e resolver problemas, é considerada uma
inteligência artificial (IA). A inteligência artificial existe quando uma máquina
possui capacidade cognitiva. A referência para a IA é o nível humano em relação
ao raciocínio, fala e visão.
83
UNIDADE III │ INTELIGÊNCIA ARTIFICIAL E CYBERCRIMES
Existem três níveis de IA:
» IA estreita: Diz-se que uma inteligência artificial é estreita quando

a máquina pode executar uma tarefa específica melhor do que um
humano. Atualmente, a pesquisa da IA está neste ponto.
» IA geral: uma inteligência artificial atinge o estado geral quando

pode executar qualquer tarefa intelectual com o mesmo nível de
precisão que um humano.
» IA forte: uma IA é forte quando pode derrotar humanos em

muitas tarefas.
Atualmente, a IA é usada em quase todos os setores, dando uma vantagem

tecnológica a todas as empresas que integram a IA em escala. Concretamente,
se uma organização usa a IA para sua equipe de marketing, ela pode automatizar
tarefas manuais e repetitivas, permitindo que o representante de vendas se
concentre em tarefas como construção de relacionamento, criação de leads
etc. Em poucas palavras, a IA fornece uma tecnologia de ponta para lidar
com dados complexos que são impossíveis de manusear por um ser humano.
A IA automatiza trabalhos redundantes, permitindo que um trabalhador se
concentre nas tarefas de alto valor agregado. Quando a IA é implementada
em escala, leva a redução de custos e aumento de receita.
A IA pode ser dividida em dois principais campos:
» Aprendizado de Máquina (Machine Learning): O aprendizado

de máquina é a arte de estudar algoritmos que aprendem com
exemplos e experiências. O aprendizado de máquina é baseado
na ideia de que existem alguns padrões nos dados que foram
identificados e usados para previsões futuras. A diferença das
regras de codificação é que a máquina aprende sozinha a encontrar
essas regras.
» Aprendizagem Profunda (Deep Learning): será visto em

detalhes no capítulo 2.
IA versus Machine Learning

A maior parte do nosso smartphone, dispositivo diário ou até a Internet usa
inteligência artificial. Muitas vezes, a IA e o aprendizado de máquina são usados
84
INTELIGÊNCIA ARTIFICIAL E CYBERCRIMES │ UNIDADE III
de maneira intercambiável por grandes empresas que desejam anunciar suas

últimas inovações. No entanto, aprendizado de máquina e IA são diferentes
em alguns aspectos.
Inteligência artificial – é a ciência de treinar máquinas para executar tarefas

humanas. O termo foi inventado na década de 1950, quando os cientistas
começaram a explorar como os computadores poderiam resolver os problemas
por conta própria.
A inteligência artificial é um computador que possui propriedades semelhantes

às humanas. Pegue nosso cérebro; funciona sem esforço e sem problemas para
calcular o mundo à nossa volta. Inteligência Artificial é o conceito de que um
computador pode fazer o mesmo. Pode-se dizer que a IA é a grande ciência que
imita as aptidões humanas.
O aprendizado de máquina é um subconjunto distinto de IA que treina uma

máquina para aprender. Os modelos de aprendizado de máquina procuram
padrões nos dados e tentam concluir. Em poucas palavras, a máquina não precisa
ser explicitamente programada por pessoas. Os programadores dão alguns
exemplos e o computador aprenderá o que fazer com essas amostras.
Onde a IA é usada?
A IA tem amplas aplicações:
» A inteligência artificial é usada para reduzir ou evitar a

tarefa repetitiva. Por exemplo, a IA pode repetir uma tarefa
continuamente, sem fadiga. De fato, a IA nunca descansa.
» A inteligência artificial melhora um produto existente. Antes da era

do aprendizado de máquina, os principais produtos eram baseados
na regra do código rígido. As empresas introduziram inteligência
artificial para aprimorar a funcionalidade do produto, em vez de
começar do zero para projetar novos produtos. Você pode pensar
em uma imagem do Facebook. Alguns anos atrás, você tinha que
marcar seus amigos manualmente. Atualmente, com a ajuda da IA, o
Facebook oferece a recomendação de um amigo.
» A IA é usada em todas as indústrias, do marketing à cadeia de

suprimentos, finanças ao setor de processamento de alimentos.
85
Por que a IA está em constante crescimento?
Uma rede neural existe desde os anos 1990. No entanto, ela começou a se tornar
famosa por volta do ano de 2012. Explicados por três fatores críticos para sua
popularidade são:
» Hardware.
» Dados.
» Algoritmo.
O aprendizado de máquina é um campo experimental, o que significa que

ele precisa ter dados para testar novas ideias ou abordagens. Com o boom
da internet, os dados se tornaram mais facilmente acessíveis. Além disso,
empresas gigantes como NVIDIA e AMD desenvolveram chips gráficos de alto
desempenho para o mercado de jogos.
Hardware
Nos últimos vinte anos, o poder da CPU explodiu, permitindo ao usuário

treinar um pequeno modelo de aprendizado profundo em qualquer laptop.
No entanto, para processar um modelo de aprendizado profundo para
visão computacional, você precisa de uma máquina mais poderosa. Graças
ao investimento da NVIDIA e AMD, uma nova geração de GPU (unidade
de processamento gráfico) está disponível. Esses chips permitem cálculos
paralelos. Isso significa que a máquina pode separar os cálculos em várias
GPU para acelerar os cálculos. Por exemplo, com um NVIDIA TITAN X, são
necessários dois dias para treinar um modelo chamado ImageNet contra
semanas para uma CPU tradicional. Além disso, as grandes empresas usam
clusters de GPU para treinar o modelo de aprendizado profundo com o
NVIDIA Tesla K80, pois ajuda a reduzir o custo do data center e proporcionar
melhores desempenhos.
Dados
O aprendizado profundo é a estrutura do modelo e os dados são o fluido

para torná-lo vivo. Os dados alimentam a inteligência artificial. Sem dados,
nada pode ser feito. As últimas tecnologias ultrapassaram os limites do
armazenamento de dados. É mais fácil do que nunca armazenar uma grande
quantidade de dados em um data center.
86
A revolução da Internet disponibiliza a coleta e distribuição de dados para

alimentar o algoritmo de aprendizado de máquina. Se você conhece o Flickr,
Instagram ou qualquer outro aplicativo com imagens pode adivinhar o
potencial de IA deles. Existem milhões de fotos com tags disponíveis nesses
sites. Essas imagens podem ser usadas para treinar um modelo de rede neural
para reconhecer um objeto na imagem sem a necessidade de coletar e rotular
manualmente os dados.
Inteligência artificial combinada com dados é o novo ouro. Os dados são uma
vantagem competitiva única que nenhuma empresa deve negligenciar. A IA
fornece as melhores respostas dos seus dados. Quando todas as empresas
podem ter as mesmas tecnologias, uma com dados terá uma vantagem
competitiva sobre a outra. Para se ter uma ideia, o mundo cria cerca de 2,2
exabytes, ou 2,2 bilhões de gigabytes, todos os dias.
Algoritmo
O hardware está mais poderoso do que nunca, os dados são facilmente acessíveis,
mas uma coisa que torna a rede neural mais confiável é o desenvolvimento
de algoritmos mais precisos. As redes neurais primárias são uma matriz de
multiplicação simples, sem propriedades estatísticas profundas. Desde 2010,
descobertas notáveis foram feitas para melhorar as redes neurais.
A inteligência artificial usa um algoritmo de aprendizado progressivo para

permitir que os dados façam a programação. Isso significa que o computador
pode aprender a executar tarefas diferentes, como encontrar anomalias,
tornando-se um chatbot.
87
CAPÍTULO 2
Deep Learning
Deep Learning, ou aprendizado profundo, é uma técnica de aprendizado de

máquina que ensina os computadores a fazer o que acontece naturalmente
com os seres humanos: aprender pelo exemplo. O aprendizado profundo é
uma tecnologia essencial por trás dos carros sem motorista, permitindo que
eles reconheçam um sinal de parada ou distingam um pedestre de um poste
de luz. É a chave para o controle de voz em dispositivos de consumo, como
telefones, tablets, TVs e viva-voz. Ultimamente, o aprendizado profundo está
recebendo muita atenção e por boas razões. Está alcançando resultados que
não eram possíveis antes.
No aprendizado profundo, um modelo de computador aprende a executar tarefas

de classificação diretamente de imagens, texto ou som. Modelos de aprendizado
profundo podem alcançar precisão de ponta, às vezes excedendo o desempenho
no nível humano. Os modelos são treinados usando um grande conjunto de
dados rotulados e arquiteturas de rede neural que contêm muitas camadas.
Como o aprendizado profundo atinge

resultados tão impressionantes?
Em uma palavra, precisão. O aprendizado profundo alcança precisão de
reconhecimento em níveis mais altos do que nunca. Isso ajuda os eletrônicos
de consumo a atender às expectativas dos usuários e é crucial para aplicações
críticas de segurança, como carros sem motorista. Os recentes avanços na
aprendizagem profunda melhoraram a tal ponto que a aprendizagem profunda
supera os seres humanos em algumas tarefas, como classificar objetos em
imagens.
Embora a aprendizagem profunda tenha sido teorizada pela primeira vez na

década de 1980, há duas razões principais pelas quais ela só se tornou útil
recentemente:
» O aprendizado profundo requer grandes quantidades de dados

rotulados. Por exemplo, o desenvolvimento de carros sem motorista
requer milhões de imagens e milhares de horas de vídeo.
88
» O aprendizado profundo requer um poder computacional

substancial. GPUs de alto desempenho têm uma arquitetura paralela
eficiente para aprendizado profundo. Quando combinado com
clusters ou computação em nuvem, isso permite que as equipes de
desenvolvimento reduzam o tempo de treinamento de uma rede de
aprendizado profundo de semanas para horas ou minutos.
Como funciona o aprendizado profundo?
A maioria dos métodos de aprendizado profundo usa arquiteturas de

redes neurais, e é por isso que os modelos de aprendizado profundo são
frequentemente chamados de redes neurais profundas.
Saiba mais sobre Redes Neurais
Uma rede neural é um modelo de computação cuja estrutura em camadas

se assemelha à estrutura em rede de neurônios no cérebro, com camadas
de nós conectados. Uma rede neural pode aprender com os dados – para
que possa ser treinada para reconhecer padrões, classificar dados e prever
eventos futuros.
Uma rede neural divide sua entrada em camadas de abstração. Ela pode
ser treinada em muitos exemplos para reconhecer padrões na fala ou
nas imagens, assim como o cérebro humano. Seu comportamento é
definido pela maneira como seus elementos individuais são conectados
e pela força ou pesos dessas conexões. Esses pesos são ajustados
automaticamente durante o treinamento, de acordo com uma regra
de aprendizado especificada, até que a rede neural execute a tarefa
desejada corretamente.
O termo “profundo” geralmente se refere ao número de camadas ocultas na

rede neural. As redes neurais tradicionais contêm apenas 2-3 camadas ocultas,
enquanto as redes profundas podem ter até 150.
Modelos de aprendizado profundo são treinados usando grandes conjuntos

de dados rotulados e arquiteturas de rede neural que aprendem recursos
diretamente dos dados, sem a necessidade de extração manual de recursos.
A figura 7 apresenta redes neurais, organizadas em camadas que consistem
em um conjunto de nós interconectados; lembrando que as redes podem ter
dezenas ou centenas de camadas ocultas.
89
Figura 7. Redes neurais.
Entradas Saídas
Camadas
de saída
Camadas
de entrada Camadas
ocultas
Um dos tipos mais populares de redes neurais profundas é conhecido como

redes neurais convolucionais (CNN ou ConvNet). Uma CNN envolve recursos
aprendidos com dados de entrada e usa camadas convolucionais 2D, tornando
essa arquitetura adequada para o processamento de dados 2D, como imagens.
As CNNs eliminam a necessidade de extração manual de recursos, para que

você não precise identificar os recursos usados para classificar imagens.
A CNN trabalha extraindo recursos diretamente das imagens. Os recursos
relevantes não são pré-treinados; eles são aprendidos enquanto a rede treina
em uma coleção de imagens. Essa extração automatizada de recursos torna os
modelos de aprendizado profundo altamente precisos para tarefas de visão
computacional, como classificação de objetos.
Deep Learning e cibersegurança
Recentemente, várias técnicas foram propostas por pesquisadores que aplicaram

algoritmos de Deep Learning (DL) para detectar ou categorizar malware,
detectar invasões de rede e ataques de phishing/spam e inspecionar alterações
em sites. Agrupamos esses estudos em três grupos principais: detecção e análise
de malware; detecção de intrusos; e outro, que inclui detecção de phishing,
detecção de spam e detecção de desfiguração de sites. A figura 8 resume as
principais aplicações de Deep Learning à cibersegurança.
90
Figura 8. Principais aplicações de Deep Learning à cibersegurança.
Cybersegurança baseada em
Deep Learning
Análise e Detecção de Detecção de

Outros
Malware Intrusos
Malwares Malwares Detecção de Detecção de Detecção Detecção de

baseados em baseados em anomalias Phishing de Spam alteração de
PC Android site
Detecção Classificação
Detecção Classificação Análise
Estático Dinâmico Híbrido
Detecção e análise de malware
De um modo geral, as técnicas de detecção de malware são classificadas em

três grupos: (a) estática, (b) dinâmica e (c) híbrida. Na abordagem estática,
o código-fonte é desmontado e analisado sem ser executado. Embora seja
uma técnica rápida, ela sofre com a alta produção de taxa de falsos positivos.
Além disso, essa técnica falha na detecção de malware ocultos. Monitorando
as interações do código-fonte executado em um ambiente virtual, a técnica
dinâmica aborda os malwares ocultos, no entanto, consome muito tempo e
recursos de memória, enquanto a técnica híbrida emprega as vantagens das
técnicas estática e dinâmica.
Apesar de muitos algoritmos tradicionais de Machine Learning, como Máquina

de Vetores de Suporte, Redes Bayesianas, Regressão Logística e Perceptron
Multicamadas já terem sido aplicados à detecção e categorização de malware,
eles sofrem com arquiteturas fracas que os fazem não escalar bem para grandes
conjuntos de dados. Além disso, a fase de extração de recursos não é automática.
Portanto, os modelos de Deep Learning estão se tornando uma maneira
promissora de superar essas limitações.
91
Machine Learning: o que é, conceito e definição. Disponível em: <https://

www.cetax.com.br/blog/machine-learning/>.
Introdução às Máquinas de Vetores de Suporte. Disponível em: <http://

conteudo.icmc.usp.br/CMS/Arquivos/arquivos_enviados/BIBLIOTECA_113_
RT_192.pdf>.
Redes Bayesianas. Disponível em: <https://andreric.github.io/files/pdfs/

bayesianas.pdf>.
Regressão Logística. Disponível em: <https://edisciplinas.usp.br/pluginfile.

php/3769787/mod_resource/content/1/09_RegressaoLogistica.pdf>.
Perceptron Multicamadas. Disponível em: <http://www.barbon.com.br/wp-

content/uploads/2013/08/RNA_Aula51.pdf>.
Recentemente, vários estudos concentraram-se em algoritmos de Deep

Learning na detecção e análise de malware. Essas técnicas normalmente se
enquadram em duas categorias principais: malware baseado no Android ou
no PC.
Malwares baseados em PC: O malware é um software malicioso criado

para se infiltrar na segurança, integridade e funcionalidade de um sistema.
Diferentes tipos de malware incluem vírus, worms, cavalos de Troia, backdoors,
spyware, redes de bots e assim por diante. Com a crescente prevalência de
usuários da Internet, o malware representa uma séria ameaça à segurança
dos sistemas de computador. Estima-se que um em cada quatro computadores
que operam nos EUA esteja infectado com malware. Um relatório recente da
Kaspersky Lab (HARDY et al., 2016) mostra que até dois bilhões de dólares
foram roubados em instituições financeiras em todo o mundo em dois anos,
devido a ataques de malware. Portanto, a detecção de malware atraiu muita
atenção da indústria antimalware e dos pesquisadores atualmente. A maioria
dos produtos de software antimalware usa métodos de detecção baseados em
assinatura. Uma assinatura é uma sequência curta de bytes, única para cada
malware conhecido.
Embora esses métodos sejam, até certo ponto, promissores na detecção de

malware, sua principal desvantagem reside em ser facilmente contornada
por invasores de malware através de ofuscação de código, polimorfismo
e criptografia. Como resultado, muitos pesquisadores se concentraram na
detecção inteligente de malware aplicando técnicas de Data Mining e Machine
92
Learning, como Redes Neurais, Máquina de Vetores de Suporte, Redes

Bayesianas e Árvores de Decisão. Esses classificadores têm arquiteturas de
aprendizado fracas e ainda são ineficientes para problemas de detecção de
malware. Deep Learning é uma nova tendência na área de Machine Learning.
Uma arquitetura Deep Learning multicamada é usada na engenharia de
recursos e pode obter melhor desempenho em comparação com os algoritmos
tradicionais de Machine Learning.
Como os algoritmos tradicionais de Machine Learning utilizam recursos

criados manualmente, eles não conseguem identificar malwares ocultos.
Aprender o idioma do malware através das instruções executadas pode
ajudar a extrair recursos resistentes. Para atingir esse objetivo, Pascanu
et al. (2015) propuseram um método baseado na Echo State Network e
na Rede Neural Recorrente para classificar amostras de malware. Esses
modelos são treinados de maneira não supervisionada para prever a próxima
chamada da API (Interface de Programação de Aplicativos) e usar o estado
oculto do modelo que contém o histórico de eventos passados como o vetor
de recurso de comprimento fixo. Esse vetor de recurso é fornecido a um
classificador separado, Regressão Logística ou Perceptron Multicamadas,
para classificar cada malware. Para encontrar o melhor modelo híbrido, eles
comparam diferentes combinações de modelos para o estágio de projeção
e classificação, das quais demonstrou ser o melhor Echo State Network
para o modelo recorrente, Perceptron Multicamadas para amostragem não
linear e Regressão Logística para a classificação final. Usando um conjunto
de dados que contém números iguais de malware e arquivos benignos, eles
atingiram 98,3% de taxa positiva verdadeira e 0,1% de taxa de falso positivo,
em comparação com o modelo padrão de três eventos.
Malwares baseados em Android: Recentemente, o Android OS ganhou

muita popularidade, deixando para trás seus concorrentes, como iOS e
Blackberry. O uso generalizado de conexões à Internet e a disponibilidade
de informações pessoais, como mensagens, contatos e credenciais bancárias
atraíram a atenção de muitos desenvolvedores de malware para a plataforma
Android. Existem muitos aplicativos de malware para Android, como cavalos
de Troia, backdoors, worms, botnets, adware e runware que empregam
várias técnicas para penetrar nos sistemas dos usuários. Reempacotando
aplicativos populares, download via drive, carga dinâmica e ofuscação são
alguns exemplos de métodos abundantes aplicados pelos autores de malware
atualmente.
93
A filtragem desses aplicativos maliciosos para Android é, portanto, altamente

exigida pelos mercados de aplicativos. Até agora, muitos pesquisadores se
concentraram em métodos estatísticos e técnicas de Machine Learning que
podem lidar com o volume de ataques de malware em dispositivos móveis.
No entanto, extrair recursos importantes como entradas para os algoritmos
de Machine Learning sempre foi um grande desafio para os cientistas de
dados. Diferentemente das arquiteturas clássicas de Machine Learning, os
modelos de Deep Learning podem aprender recursos automaticamente, sem
a interferência de qualquer agente humano. Por isso tem sido amplamente
empregado, recentemente, na detecção de malware em Android.
Detecção de intrusos
Atualmente, a detecção de intrusos foi alterada para uma nova tendência na

área de segurança de rede. O objetivo da detecção de intrusos é identificar
atividades maliciosas no tráfego de redes de computadores e acionar um alarme
quando uma atividade suspeita for detectada. Embora a maioria das técnicas
tradicionais de aprendizado, como Rede Neural, modelo fuzzy e Hidden
Markov Model, tenham feito grandes conquistas na detecção de intrusos,
elas sofrem com uma arquitetura superficial que leva a algumas limitações
ao lidar com grandes dados de tráfego de rede. Além disso, os métodos
tradicionais de aprendizagem não podem ser aplicados adequadamente a
problemas complexos de classificação devido a suas restrições específicas.
Por outro lado, os modelos de Deep Learning demonstraram excelente
desempenho na análise de dados em larga escala.
Recentemente, muitas técnicas de detecção de anomalias de rede foram

introduzidas para diferenciar comportamentos anômalos e normais para
detectar atividades indesejadas ou suspeitas. Os métodos de detecção
de anomalias podem ser categorizados em três grupos distintos: (a)
supervisionados, (b) semissupervisionados e (c) não supervisionados. Na
detecção supervisionada de anomalias, um conjunto de treinamento de
amostras rotuladas está disponível para as classes normal e anormal. Na
detecção de anomalia semissupervisionada, o conjunto de treinamento contém
apenas instâncias rotuladas da classe normal. Qualquer coisa que não possa ser
caracterizada como normal é, portanto, marcada como anômala. Na detecção
não supervisionada de anomalias, nenhum conjunto de treinamento rotulado
está disponível nem para a classe normal nem para a classe anômala. A qualidade
da tarefa de classificação depende diretamente do modelo de treinamento
94
no qual o modelo de classificação é construído. Se um conjunto completo de

dados de treinamento rotulados estiver disponível, todas as instâncias serão
classificadas corretamente. Visivelmente, eventos anormais aparecem com
menos frequência do que os normais e dados anômalos rotulados no mundo
real não estão prontamente disponíveis. Consequentemente, os sistemas de
detecção de anomalias não devem ser restringidos por nenhum conjunto
predefinido de anomalias e devem ser o mais flexível possível para classificar
qualquer evento desconhecido. Portanto, mais algumas investigações devem
ser feitas sobre a natureza do tráfego anômalo e suas diferenças com o tráfego
normal.
Detecção de phishing
Tendo empregado alguns recursos básicos, como recursos estruturais,

recursos de link, recursos de elementos e recursos de lista de palavras que
capturam as características dos e-mails de phishing, Zhang et al. (2012)
visava a detectar ataques de e-mail de phishing por meio de um Rede Neural
Feed-Forward (FFNN) de três camadas. O FFNN proposto consiste em uma
camada de entrada, uma camada oculta e uma camada de saída, e o número
de neurônios na camada oculta é adquirido testando diferentes configurações.
Para ajustar o conjunto de dados usado, tanh e sigmoid são usados como
funções de ativação e o treinamento de Propagação Resiliente foram usados
para treinar o FFNN. Para fazer as avaliações experimentais, foi usado um
conjunto de dados real de 4.202 e-mails reais e 4.560 e-mails de phishing.
Para conduzir a experiência, foi executado um estágio de pré-processamento
para extrair os recursos mencionados acima dos e-mails usando scripts Perl e
normalizar o conjunto de dados entre o intervalo [0, 1]. Por fim, o conjunto de
dados foi treinado usando o conjunto de treinamento para obter as estimativas
dos parâmetros e, em seguida, testado no conjunto de testes para avaliar o
desempenho da Rede Neural usando validação cruzada. Este procedimento
foi repetido 20 vezes para diferentes tamanhos dos conjuntos de dados de
treinamento e teste. Depois que as métricas de avaliação foram calculadas, os
resultados foram comparados com diferentes configurações de Rede Neurais,
ou seja, o número de unidades na camada oculta e nas funções de ativação.
Além disso, o desempenho da Rede Neural quando comparado com o de outros
algoritmos de Machine Learning foi bem superior ao encontrado nesse teste.
95
Detecção de spam
O crescente número de mensagens de spam enviadas diariamente resultou na

criação de muitos filtros anti-spam. Até agora, muitas técnicas de Machine
Learning e poucas Deep Learning foram empregadas para melhorar a detecção
de spam por e-mail. O Restricted Boltzmann Machine (RBM) mostrou-se
eficaz nessa área, embora o ajuste fino de seus parâmetros seja um grande
desafio. Da Silva et al. [126] apresentaram uma abordagem para aprender
os recursos intrínsecos das mensagens de e-mail dos RBMs para identificar
conteúdo malicioso ou benigno. Para ajustar os parâmetros do RBM, a técnica
de Otimização com base em Harmony Search foi empregada para avaliar a
robustez dos parâmetros no contexto da detecção de spam. Os parâmetros RBM
são taxa de aprendizado, queda de peso, parâmetro de penalidade e número de
unidades ocultas. Os recursos extraídos são então alimentados no classificador
Optimum-Path Forest (OPF) para avaliar a precisão do modelo. O algoritmo
OPF emprega a função de custo de caminho para estimar protótipos, isto é,
amostras de chaves que melhor representam as classes. As experiências em três
conjuntos de dados públicos mostraram que a precisão do classificador OPF
usando 10 recursos aprendidos não supervisionados como entrada é maior do
que a dos 57 recursos originais. Portanto, os RBMs podem ser adequados para
aprender recursos do conteúdo de e-mail.
Detecção de desfiguração de sites
Borgolte et al. (2015) trataram a desfiguração do site como um ataque

perturbador que pode causar sérios danos financeiros a empresas e
organizações e arruinar sua reputação. Eles propuseram o MEERKAT
como um sistema de monitoramento que combina codificador automático
empilhado e rede neural profunda para identificar defeitos. Obtendo ajuda
das regiões de captura de tela (janelas) dos sites, o MEERKAT aprende
automaticamente recursos de alto nível a partir da representação visual de
um site. Diferentemente das abordagens anteriores, ele não se baseia em
informações adicionais fornecidas pelo operador do site, como código-fonte,
conteúdo ou estrutura, nem em recursos criados manualmente, mas requer
apenas o URL do site. Aplicando o MEERKAT no maior conjunto de dados
de desfiguração de sites até o momento, incluindo 10.053.772 desvantagens
observadas de janeiro de 1998 a maio de 2014, eles obtiveram taxas positivas
verdadeiras entre 97,422% e 98,816%, taxas de falsos positivos entre 0,547%
e 1,528% e taxa de detecção Bayesiana entre 98,583% e 99,845%, superando
significativamente o trabalho anterior.
96
Usando deep learning em cybercrimes
Deep Learning e a Inteligência Artificial (AI) estão invadindo os campos de

segurança cibernética e outras tecnologias, e você pode facilmente encontrar
muitas informações sobre o uso do Deep Learning nos dois campos – defesa e
ataques cibernéticos.
O uso do Deep Learning para ataques cibernéticos permanece ambíguo.

No entanto, em 2016, a comunidade de inteligência dos EUA levantou
preocupações sobre a implantação de inteligência artificial, apresentando
ameaças potenciais à segurança cibernética. As descobertas recentes
demonstram como o Deep Learning pode ser usado pelos criminosos
cibernéticos para ataques mais avançados, muito mais rápidos e baratos.
As atividades dos hackers são divididas em cinco grupos principais de alto nível:
» Coleta de informações.
» Representação.
» Acesso não autorizado.
» Ataque.
» Automação.
Coleta de informações
A coleta de informações é o primeiro passo de todo ataque cibernético,

independentemente do número de vítimas. Quanto melhor você coletar
informações, melhores serão as perspectivas de sucesso. As informações podem
ser organizadas em grupos de acordo com os assuntos e podem ser coletadas
online e offline. As informações podem se referir a pessoas ou ativos de TI.
» Coleta de informações online sobre pessoas: Como no caso de phishing

ou preparação de infecções, os hackers podem usar os algoritmos
de classificação para caracterizar uma vítima em potencial como
pertencente a um grupo relevante. Isso significa que, após coletar
milhares de e-mails, um hacker envia malware apenas para aqueles
que clicam no link. Assim, o atacante reduz as chances de detecção
precoce do ataque planejado. Inúmeros fatores podem ajudar
aqui. Por exemplo, o hacker pode separar os usuários de sites
97
de redes sociais que escrevem sobre TI daqueles focados em tópicos

de “comida e gato”. O último grupo pode não ter conhecimento de
ameaças.
» Coleta de informações on-line sobre ativos de TI: A coleta de

informações para ataques direcionados lida com uma vítima e
com uma infraestrutura complexa. O objetivo é gerar o máximo de
informações possível sobre essa infraestrutura.
A ideia é automatizar verificações, incluindo a coleta de informações sobre

a rede. Enquanto ferramentas existentes, como scanners de rede e sniffers,
permitem analisar redes tradicionais, a nova geração de redes baseada em
redes definidas por software (SDN) é muito complicada. É aí que o deep
learning pode ajudar os adversários. Um pouco conhecido, mas útil, o ataque
KYE que permite a coleta de inteligência furtiva sobre a configuração de uma
rede SDN de destino é um exemplo relevante de aplicação do deep learning à
tarefa de coleta de informações. As informações, que podem ser coletadas por
um hacker, variam da configuração de ferramentas de segurança e parâmetros
de virtualização de rede a políticas gerais de rede, como Qualidade de
Serviço (QoS). Um invasor pode inferir informações confidenciais sobre a
configuração da rede analisando as condições sob as quais uma regra de um
dispositivo de rede é enviada para a rede e o tipo da regra.
Durante a fase de análise, o invasor está tentando acionar a instalação de regras

de fluxo em um comutador específico. As características específicas do tráfego de
sondagem dependem das informações que o hacker deseja receber.
Na próxima fase, o invasor está analisando a correlação entre o tráfego de sondagem

gerado durante a fase de sondagem e as regras de fluxo correspondentes que estão
instaladas. Ele ou ela pode deduzir dessa análise que diretiva de rede é imposta
para tipos específicos de fluxos de rede. Por exemplo, o invasor pode descobrir que
a política de defesa é implementada filtrando o tráfego da rede se ele ou ela usar a
ferramenta de verificação de rede na fase de investigação. O trabalho manual pode
levar semanas para coletar dados e ainda são necessários algoritmos com parâmetros
pré-configurados, por exemplo, quantos pacotes são necessários para tomar uma
decisão, pois o número depende de vários fatores. Com a ajuda do deep learning,
os hackers podem automatizar esse processo.
» Coleta de informações off-line sobre pessoas: Se uma atividade

criminosa cibernética envolver alguma atividade física, como
entrar em um prédio protegido, é melhor que um ciberataque
98
possa rastrear guardas de segurança. Eles têm sorte o suficiente,

pois existe uma solução agora.
Os pesquisadores descobriram uma maneira de monitorar os sinais vitais dos

pacientes em um hospital ou em casa, sem dispositivos vestíveis ou apitos
volumosos. O que é mais importante, esse método pode ser usado para ver
através das paredes. Ele captura os reflexos dos sinais sem fio, como o Wi-Fi,
quando eles refletem as pessoas, criando um registro confiável de sinais vitais
para profissionais de saúde e pacientes. Ele fornece dados de rastreamento
detalhados, não apenas se as pessoas estão dormindo ou acordadas, mas
também mostra uma fase do sono. Como a maioria das grandes invenções,
este dispositivo também pode servir a propósitos maliciosos. Imagine como os
cybercriminosos poderiam usar este dispositivo para verificar os guardas de
segurança.
» Coleta de informações offline sobre ativos de TI: Ao pensar na

coleta de informações offline sobre ativos de TI, a primeira ideia
que surge é encontrar câmeras de vídeo e outros dispositivos de
detecção dentro do edifício. Todos esses dispositivos produzem
sinais e, se treinarmos algum algoritmo com os exemplos desses
símbolos, será possível detectá-los.
Representação
A representação permite que os cybercriminosos ataquem as vítimas de maneiras

diferentes, dependendo de um canal de comunicação e de uma necessidade.
Os invasores conseguem convencer as vítimas a clicar no link com exploração
ou malware depois de enviar um e-mail ou usar a engenharia social. Portanto,
mesmo uma ligação telefônica é considerada um meio de representação. A
representação se enquadra em três tipos de atividades cibernéticas: spam,
phishing e falsificação.
» Spam: O spam de e-mail é uma das áreas mais antigas em

que o aprendizado de máquina e o deep learning foi usado no
serviço de segurança cibernética. No entanto, pode ser um dos
primeiros campos envolvendo Deep Learning a espalhar ataques
cibernéticos. Em vez de gerar textos de spam manualmente,
os cybercriminosos podem treinar uma rede neural para criar
e-mails indesejados, o que não suscitará suspeitas.
99
No entanto, é difícil imitar os usuários ao lidar com spams de e-mail. Se

você pedir aos funcionários em um e-mail para alterar suas senhas ou baixar
uma atualização em nome do administrador de uma empresa, poderá deixar
de escrever exatamente da mesma maneira. Você não poderá copiar o estilo,
a menos que veja vários de e-mails escritos por este administrador. Quanto
aos mensageiros que estão se tornando cada vez mais populares hoje em dia, é
ainda mais fácil imitar os humanos.
» Phishing: A maior vantagem do phishing de mídia social sobre o

phishing de e-mail é a publicidade ou o fácil acesso a informações
pessoais. Você pode monitorar e aprender o comportamento dos
usuários lendo suas postagens.
» Falsificação: Na nova era da IA, as empresas podem criar não

apenas textos falsos, mas também uma voz ou vídeos falsos.
Lyrebird, uma startup especializada em mídia e vídeo que pode
imitar vozes, demonstra que eles podem criar um bot que fala
exatamente como você. Com a crescente quantidade de dados e
redes em evolução, os hackers podem mostrar resultados ainda
melhores. Não sabemos como o Lyrebird funciona e os hackers
provavelmente não podem usar esse serviço para suas próprias
necessidades, mas podem descobrir plataformas mais abertas,
como a WaveNet, do Google, que podem fazer o mesmo. Eles
aplicam redes adversárias generativas (GANs).
Acesso não autorizado
Obter acesso não autorizado é um tópico amplo, mas existem pelo menos duas
áreas mais comuns em que o deep learning pode ajudar: desvio de CAPTCHA e
senhas por força bruta.
» Desvio de CAPTCHA: A próxima fase que segue a representação

ou, em alguns casos, é a obtenção de acesso não autorizado a
contas de usuário. Se os criminosos cibernéticos precisam
obter acesso não autorizado à sessão de um usuário, a maneira
óbvia é comprometer a conta. Para hackers em massa, uma das
coisas irritantes é um desvio de captcha. Vários programas de
computador podem resolver testes simples de captcha, mas a
parte mais complicada é a segmentação de objetos.
100
» Senha por força bruta: Outra área em que os cybercriminosos

podem encontrar vantagens com a ajuda do aprendizado de
máquina é a força bruta da senha. Os modelos de Markov foram
os primeiros a gerar suposições de senhas em 2005, muito tempo
antes que o aprendizado profundo se tornasse tópico. Se você
conhece as redes neurais atuais, provavelmente já ouviu falar
de uma rede que gera um texto com base no texto treinado. Se
você der à rede um trabalho de Shakespeare, ele criará um novo
texto com base nela, e o texto recém-gerado terá a aparência de
Shakespeare. A mesma ideia pode ser usada para gerar senhas.
Se você pode treinar uma rede com as senhas mais comuns,
isso gerará muitas similares. Os pesquisadores adotaram essa
abordagem, aplicaram-na a senhas e receberam resultados
positivos, melhores do que a mutação tradicional para criar
listas de senhas como alterar letras para símbolos, por exemplo,
de “s” para “$”.
Ataque
A próxima área em que os cybercriminosos querem usar o deep learning é o

próprio ataque. No geral, existem três objetivos: espionagem, sabotagem e
fraude. Todos eles são executados principalmente com malware, spyware,
ransomware ou qualquer outro tipo de programa malicioso, que os usuários
baixam devido a phishing. Os invasores também os carregam devido a
vulnerabilidades. Juntamente com os ataques de negação de serviço, existem
ataques menos comuns, como o crowdturfing. Esses ataques podem se
beneficiar ainda mais do que os tradicionais.
» Descoberta de vulnerabilidades: um dos métodos mais comuns

de descoberta de vulnerabilidades é o Fuzzing. Isso implica
colocar uma entrada aleatória no aplicativo e monitorar se ele
trava. Existem 2 etapas que requerem automação e auxílio de IA.
O primeiro é a geração de exemplos. Geralmente, se você usar,
por exemplo, um documento PDF, um pesquisador edita esse
documento alterando aleatoriamente alguns campos. O uso de
abordagens mais inteligentes para a geração de mutações pode
acelerar significativamente o processo de localização de novos
exemplos de documentos que travariam a aplicação.
101
» Ataques de negação de serviço: Quais são as maneiras mais

comuns de detectar ataques (Ataque de Negação de Serviço)
DDoS? Localizando padrões comuns em pacotes de rede que
realizam esse ataque. A proteção DDoS sempre se assemelha
a um jogo de gato e rato. Os invasores tentam diferenciar os
pacotes DDoS falsificando todos os campos, e os defensores
tentam identificar padrões comuns nas solicitações falsas. Com
a ajuda da IA, os atacantes podem gerar pacotes DDoS muito
próximos de ações reais do usuário. Eles podem detectar o
tráfego normal e treinar redes neurais como a GAN para enviar
pacotes legítimos. O uso da IA em ataques DDoS pode trazer
mudanças significativas nessa área.
» Crowdturfing: o Crowdturfing é um uso malicioso dos serviços

de crowdsourcing. Por exemplo, uma invasora paga por escrever
críticas negativas online de uma empresa concorrente. Essas
revisões geralmente não são detectadas porque pessoas reais as
escrevem e ferramentas automatizadas procuram invasores de
software. O Fake News é apenas um exemplo de crowdturfing.
Automação
Os hackers experientes podem usar o deep learning para automatizar tarefas

em várias áreas. É quase impossível prever quando e o que exatamente será
automatizado, mas estar ciente de que as organizações de crimes cibernéticos
têm centenas de membros requer diferentes tipos de software, como portais de
suporte ou bots de suporte.
Como em tarefas específicas de cybercrime, existe um novo termo – Hivenet

– que significa botnets inteligentes. A ideia é que, se os cybercriminosos
gerenciam botnets manualmente, os Hivenets podem ter um tipo de cérebro
para atingir um evento específico e mudar o comportamento, dependendo
deles. Vários robôs ficarão nos dispositivos e decidirão com base na tarefa
que usará os recursos da vítima. É como uma cadeia de parasitas que vivem
no organismo.
102
CAPÍTULO 3
Internet das Coisas
A Internet das Coisas (IoT) está se tornando um tópico de conversa cada vez
mais crescente, tanto no local de trabalho quanto fora dele. É um conceito que
não apenas tem o potencial de impactar como vivemos, mas também como
trabalhamos. Mas o que é exatamente a “Internet das Coisas” e que impacto
isso terá sobre você? Existem muitas complexidades em torno da Internet das
Coisas, mas nesse capítulo vamos abordar o básico.
A Internet de banda larga se tornou mais amplamente disponível, o custo

da conexão está diminuindo, mais dispositivos estão sendo criados com
recursos de Wi-Fi e sensores incorporados a eles, os custos de tecnologia
estão diminuindo e a penetração de smartphones está subindo rapidamente.
Tudo isso está criando uma “tempestade perfeita” para a IoT. Então, o que é a
Internet das Coisas?
Simplificando, esse é o conceito de conectar basicamente qualquer dispositivo

com um botão liga/desliga à Internet (e/ou entre si). Isso inclui tudo, desde
telefones celulares, cafeteiras, máquinas de lavar, fones de ouvido, lâmpadas,
dispositivos vestíveis e quase tudo o que você pode imaginar. Isso também
se aplica a componentes de máquinas, por exemplo, um motor a jato de um
avião ou a broca de uma plataforma de petróleo. Como mencionei, se ele
tiver um botão liga/desliga, é provável que faça parte da IoT. A empresa de
analistas Gartner 3 diz que até 2020 haverá mais de 26 bilhões de dispositivos
conectados... Isso é um monte de conexões (alguns até estimam que esse
número seja muito maior, mais de 100 bilhões). A IoT é uma rede gigante
de “coisas” conectadas (que também inclui pessoas). O relacionamento será
entre pessoas-pessoas, pessoas-coisas e coisas-coisas.
A nova regra para o futuro será: “Tudo o que puder ser conectado, será
conectado”. Mas por que se quer tantos dispositivos conectados conversando?
Existem muitos exemplos de como isso pode ser ou qual é o valor potencial.
Digamos, por exemplo, que você está a caminho de uma reunião; seu carro
pode ter acesso ao seu calendário e já sabe o melhor caminho a seguir. Se o
tráfego for pesado, seu carro poderá enviar uma mensagem para a outra
parte notificando que você se atrasará. E se o seu despertador te acordar às
6 da manhã e notificar sua cafeteira para começar a preparar café para você?
E se o seu equipamento de escritório soubesse quando estava com pouco
103
suprimento e encomendasse automaticamente mais? E se o dispositivo

vestível usado no local de trabalho pudesse informar quando e onde você
estava mais ativo e produtivo e compartilhar essas informações com outros
dispositivos usados durante o trabalho? Em uma escala mais ampla, a IoT
pode ser aplicada a coisas como redes de transporte: “cidades inteligentes”,
que podem nos ajudar a reduzir o desperdício e melhorar a eficiência em itens
como uso de energia; isso nos ajuda a entender e melhorar como trabalhamos
e vivemos.
A realidade é que a IoT permite que oportunidades e conexões praticamente

infinitas ocorram, muitas das quais não conseguimos nem pensar ou entender
completamente seu impacto. Não é difícil ver como e por que a IoT é um tópico
tão popular hoje; certamente abre as portas para muitas oportunidades, mas
também para muitos desafios. Segurança é um grande problema que muitas vezes
é abordado. Com bilhões de dispositivos conectados juntos, o que as pessoas
podem fazer para garantir que suas informações permaneçam seguras? Alguém
poderá invadir sua torradeira e, assim, obter acesso a toda a sua rede? A IoT
também abre empresas em todo o mundo para mais ameaças à segurança. Depois,
temos a questão da privacidade e do compartilhamento de dados. Esse é um
tópico importante ainda hoje, portanto, só podemos imaginar como a conversa
e as preocupações aumentarão quando estivermos falando de muitos bilhões
de dispositivos conectados. Outro problema que muitas empresas enfrentam
especificamente é a enorme quantidade de dados que todos esses dispositivos
produzirão. As empresas precisam descobrir uma maneira de armazenar,
rastrear, analisar e entender as vastas quantidades de dados que serão geradas.
Na Internet das coisas, todas as coisas que estão sendo conectadas à Internet
podem ser colocadas em três categorias:
1. Coisas que coletam informações e as enviam.
2. Coisas que recebem informações e depois agem sobre elas.
3. Coisas que fazem ambos.
E todas essas três categorias têm enormes benefícios que se alimentam um do outro.
Coletando e enviando informações

Isso significa instalar sensores. Podem ser sensores de temperatura, sensores
de movimento, umidade, sensores de qualidade do ar, sensores de luz etc. Esses
sensores, juntamente com uma conexão, permitem coletar automaticamente
104
informações do ambiente, o que, por sua vez, nos permite tomar decisões mais
inteligentes.
Na fazenda, a obtenção automática de informações sobre a umidade do solo

pode informar exatamente aos agricultores quando suas colheitas precisam
ser regadas. Em vez de regar demais (o que pode ser um uso excessivo caro de
sistemas de irrigação e desperdiçar o meio ambiente) ou regar muito pouco
(o que pode ser uma perda cara de colheitas), o agricultor pode garantir que
as colheitas obtenham exatamente a quantidade certa de água. Mais dinheiro
para os agricultores e mais comida para o mundo!
Assim como nossa visão, audição, olfato, tato e paladar permitem que nós,
humanos, entendamos o mundo, os sensores permitem que as máquinas
entendam o mundo.
Recebimento e atuação sobre informações
Estamos todos familiarizados com as máquinas que obtêm informações e

agem. Sua impressora recebe um documento e o imprime. Seu carro recebe
um sinal das chaves do carro e as portas se abrem. Os exemplos são infinitos.
Seja simples como enviar o comando “ativar” ou tão complexo quanto enviar
um modelo 3D para uma impressora 3D, sabemos que podemos dizer às
máquinas o que fazer de longe. E daí? O verdadeiro poder da Internet das
Coisas surge quando as coisas podem fazer as duas coisas acima. Coisas
que coletam informações e as enviam, mas também recebem informações e
agem sobre elas.
Fazendo ambas as coisas
Vamos voltar rapidamente ao exemplo da agricultura. Os sensores podem

coletar informações sobre a umidade do solo para informar ao agricultor
quanto regar as plantações, mas você realmente não precisa do agricultor.
Em vez disso, o sistema de irrigação pode ligar automaticamente conforme
necessário, com base na quantidade de umidade existente no solo.
Você também pode dar um passo adiante. Se o sistema de irrigação receber

informações sobre o clima da sua conexão à Internet, ele também poderá saber
quando vai chover e decidir não regar as lavouras hoje, porque elas serão regadas
pela chuva de qualquer maneira. E não para por aí! Toda essa informação sobre
105
a umidade do solo, quanto o sistema de irrigação está regando as colheitas e

quão bem as colheitas realmente crescem podem ser coletadas e enviadas a
supercomputadores que executam algoritmos surpreendentes que podem dar
sentido a todas essas informações.
E esse é apenas um tipo de sensor. Adicione outros sensores, como luz, qualidade
do ar e temperatura, e esses algoritmos podem aprender muito mais. Com
dezenas, centenas e milhares de fazendas coletando todas essas informações,
esses algoritmos podem criar insights incríveis sobre como fazer com que as
culturas cresçam melhor, ajudando a alimentar a crescente população mundial.
IoT e cybersegurança
A IoT lida com qualquer coisa particularmente relacionada à Internet. É como

a extensão da Internet nos dispositivos que usamos diariamente. O objetivo
da IoT é basicamente o gerenciamento do conhecimento, ou seja, utilizar
muitos dados disponíveis para determinados fins úteis. Todos os dispositivos
eletrônicos são equipados com sensores com conectividade à Internet. Esses
sensores coletam os dados sobre o ambiente e se comunicam, possibilitando
que o dispositivo monitore remotamente e controle todos os tipos de dados.
Esse status é relatado para os armazenamentos de dados em que as informações
são armazenadas na forma de vídeos ou imagens de texto que são processados
em mecanismos analíticos para várias deduções.
O aprendizado humano e de máquina são as partes dos mecanismos analíticos.

Uma quantidade enorme de dados é armazenada na nuvem e esse tipo de
dados comerciais confidenciais que podem ser invadidos por hackers podem
causar à empresa grandes perdas em determinadas situações. A proteção
na nuvem é uma questão muito séria, pois os hackers exploram brechas no
software para seu próprio benefício. Haverá uma necessidade considerável
de desenvolvedores da web e especialistas em cibernética que possam lidar
com ameaças tão críticas, pois, com o crescimento da IOT, muitos dispositivos
estarão sendo conectados à internet todos os dias. Os desafios da segurança
cibernética envolvem a segurança do dispositivo, a segurança dos dados e a
proteção da privacidade do indivíduo.
» As consequências desses ataques cibernéticos podem ser muito

perigosas, pois podem levar à perda de dados muito particulares e
importantes, como detalhes bancários e senhas, que podem levar a
vários golpes bancários, resultando em danos econômicos.
106
» Os cyberataques também prejudicam a reputação das empresas,

pois não é possível um relacionamento confiável entre duas
empresas ou entre a empresa e seus clientes, porque os
clientes consideram a empresa indigna de sua confiança, pois
não conseguem lidar com suas informações adequadamente,
resultando em mais perdas para os clientes e lucros.
» Se uma pessoa encarregada de gerenciar os dados do cliente falhar

de alguma forma permitindo que seus dados vazem, eles deverão
sofrer legalmente.
» Se os dados envolvem informações sobre pessoas de um país e são

gerenciados por uma empresa com sede em outro país, as coisas
podem até subir para um nível que pode resultar em aumento das
tensões globais.
Como resolver então problemas de segurança?
» Manutenção de dados precisos de todos os dispositivos IoT, seu

ciclo de vida e características, que nos ajudam a evitar um certo
nível de risco.
» Identificação de todas as ameaças possíveis de software e

firmware, para que as brechas possam ser antecipadas e
corrigidas em tempo hábil.
» Fornecer acesso restrito aos dados ajuda a ser mais seguro.
» O monitoramento de dispositivos também pode ser realizado,

ajudando-nos a identificar qualquer atividade maliciosa que esteja
acontecendo em um dispositivo.
» O backup frequente de dados com atualização regular no software

também pode nos proteger de enfrentar possíveis consequências de
ataques cibernéticos.
Usando IoT em cybercrimes
A Internet das Coisas conquistou o mundo e queremos televisões inteligentes,

dispositivos conectados e tecnologia ao nosso alcance, mas sem a segurança
cibernética adequada, estamos abrindo uma caixa de problemas da pandora com
isso. Recentemente, houve casos de televisões inteligentes sendo usadas para
107
espionar os usuários. As câmeras de segurança foram atacadas e usadas para

espionar os usuários. Isso gera questões muito assustadoras, como:
» Você está assistindo a TV ou sua TV está assistindo a você?
» Você está monitorando usando câmeras de segurança ou as

câmeras de segurança estão monitorando você?
Atualmente, a explosão da conectividade sob a IoT está se espalhando por

todo o mundo, dando origem a vários novos endereços IP via IPv6, permitindo
novas inovações. Há vários crimes cibernéticos ocorrendo diariamente no
campo da IoT. Entre as várias razões, uma das principais para o aumento do
crime cibernético nesse campo é a falta de medidas de segurança e privacidade,
bem como a falta de conscientização dos consumidores para proteger seus
dispositivos contra ameaças e ambiguidades relacionadas à IoT. Vejamos a
seguir alguns tipos de ataques em dispositivos IoT.
» Inundação UDP: Como o próprio nome sugere, sob esse tipo de

ataque de negação de serviço, o pacote UDP (User Datagram
Protocol) é atacado. O principal objetivo desse ataque é inundar
portas aleatórias em hosts remotos, fazendo com que o host
verifique constantemente o aplicativo que está ouvindo nessa
porta e não encontre resposta do aplicativo com o pacote
inacessível de destino, prejudicando os recursos do host, levando
à inacessibilidade do site. A inundação de UDP em um host leva a
um desempenho ruim dele, enquanto um ataque a dois hosts leva
a um congestionamento extremo da rede, afetando novamente seu
desempenho. Esse ataque, no entanto, não pode permitir à parte
nenhum acesso adicional. Qualquer pessoa conectada à Internet
pode causar negação de serviços.
» Inundação de ICMP (ping): Baseado no mesmo princípio que a

inundação UDP é a inundação ICMP. O principal objetivo desse
ataque é enviar pacotes máximos de solicitação de eco ICMP
(ping) o mais rápido possível, o que torna o sistema mais lento,
resultando no consumo de largura de banda de entrada e saída.
» Ping da morte: Nesse tipo de ataque, o atacante envia vários pings

maliciosos para a outra parte. Os atacantes criam pacotes IP que
excedem o tamanho máximo de pacote e, quando esses pacotes
grandes atacam o sistema, ele falha, tornando-o mais vulnerável.
108
» Slowloris: Slowloris é um ataque que permite que um servidor

da web derrube outro sem afetar serviços ou portas de redes
direcionadas. Mantendo muitos servidores para atingir o servidor
da web o maior tempo possível, o que é obtido através da criação
de conexões com os servidores de destino enviando solicitações
parciais. Ele envia cabeçalhos HTTP, mas nenhuma solicitação
completa. Como resultado disso, há um estouro de um conjunto
de conexões simultâneas que leva à negação de serviços dos
clientes.
109
CAPÍTULO 4
Big data
Big data refere-se aos grandes e diversos conjuntos de informações que

crescem a taxas cada vez maiores. Ele abrange o volume de informações e
velocidade na qual elas são criadas e coletadas e a variedade ou escopo dos
pontos de dados cobertos. O big data geralmente vem de várias fontes e chega
em vários formatos.
Big data pode ser classificado como não estruturado ou estruturado. Dados
estruturados consistem em informações já gerenciadas pela organização em
bancos de dados e planilhas; é frequentemente de natureza numérica. Dados
não estruturados são informações desorganizadas e não se enquadram em
um modelo ou formato predeterminado. Ele inclui dados coletados de fontes
de mídia social, que ajudam as instituições a coletar informações sobre as
necessidades dos clientes.
O big data pode ser coletado a partir de comentários compartilhados

publicamente em redes sociais e sites, ou voluntariamente em aplicativos
e eletrônicos pessoais, por meio de questionários, compras de produtos
e check-ins eletrônicos. A presença de sensores e outras entradas em
dispositivos inteligentes permite a coleta de dados em um amplo espectro
de situações e circunstâncias. O big data é frequentemente armazenado
em bancos de dados de computadores e é analisado usando um software
projetado especificamente para lidar com conjuntos de dados grandes
e complexos. Muitas empresas de software como serviço (SaaS) são
especializadas no gerenciamento desse tipo de dados complexos.
Os analistas de dados analisam o relacionamento entre diferentes tipos de

dados, como dados demográficos e histórico de compras, para determinar
se existe uma correlação. Essas avaliações podem ser feitas internamente
dentro de uma empresa ou externamente por terceiros que se concentram no
processamento de big data em formatos digeríveis. As empresas costumam
usar a avaliação de big data por esses especialistas para transformá-lo em
informação acionável.
Quase todos os departamentos de uma empresa podem utilizar as descobertas

da análise de dados, desde recursos humanos e tecnologia até marketing e
vendas. O objetivo do big data é aumentar a velocidade com que os produtos
110
chegam ao mercado, reduzir a quantidade de tempo e recursos necessários

para obter adoção no mercado, atingir o público-alvo e garantir que os clientes
permaneçam satisfeitos.
O aumento na quantidade de dados disponíveis apresenta oportunidades e

problemas.
Em geral, ter mais dados sobre os clientes (e potenciais clientes) deve permitir
que as empresas adaptem melhor seus produtos e esforços de marketing, a
fim de criar o mais alto nível de satisfação e repetir negócios. As empresas
capazes de coletar uma grande quantidade de dados têm a oportunidade de
realizar análises mais profundas e mais ricas.
Embora uma análise melhor seja positiva, o big data também pode criar
sobrecarga e ruído. As empresas precisam ser capazes de lidar com volumes
maiores de dados, enquanto determinam quais dados representam sinais em
comparação com o ruído. Determinar o que torna os dados relevantes se torna
um fator-chave.
Além disso, a natureza e o formato dos dados podem exigir um tratamento

especial antes de serem adotados. Dados estruturados, consistindo em valores
numéricos, podem ser facilmente armazenados e classificados. Dados não
estruturados, como e-mails, vídeos e documentos de texto, podem exigir a
aplicação de técnicas mais sofisticadas antes que se tornem úteis.
Big data e cibersegurança

Os casos de cybercrime parecem estar se reproduzindo como coelhos. De
acordo com a fabricante de software de segurança Malwarebytes, seus
usuários relataram 1 bilhão de incidentes baseados em malware de junho a
novembro de 2016.
Isso foi há três anos. Imagine esse número em 2020. Os ataques de malware
se tornaram mais sofisticados e mais difíceis de detectar e combater. Manter
dados comerciais preciosos protegidos contra malware e hackers é um dos
maiores desafios enfrentados pelas empresas modernas. Essas ameaças
intermináveis de segurança cibernética tornam extremamente difícil sustentar o
desempenho e o crescimento dos negócios.
Alguns dizem que o Big Data é uma ameaça; outros a declaram como o
“salvador”. O big data pode armazenar grandes quantidades de dados
111
e ajudar os analistas a examinar, observar e detectar irregularidades em

uma rede. Isso faz da análise de big data uma ideia atraente para ajudar a
escapar dos crimes cibernéticos. As informações relacionadas à segurança
disponíveis no big data reduzem o tempo necessário para detectar e resolver
um problema, permitindo que os analistas cibernéticos prevejam e evitem as
possibilidades de invasão.
As informações das ferramentas de análise de big data podem ser usadas

para detectar ameaças de segurança cibernética, incluindo ataques de
malware/ransomware, dispositivos comprometidos e fracos e programas
internos maliciosos. É aqui que a análise de big data parece mais promissora
para melhorar a segurança cibernética.
» Gerenciamento inteligente de riscos: para melhorar seus esforços

de segurança cibernética, suas ferramentas devem ser apoiadas
por informações inteligentes sobre gerenciamento de riscos
que os especialistas em big data podem interpretar facilmente.
O principal objetivo do uso dessas ferramentas de automação
deve ser tornar os dados disponíveis para os analistas com
mais facilidade e rapidez. Essa abordagem permitirá que seus
especialistas identifiquem, categorizem e tratem ameaças de
segurança sem demora.
» Visualização de ameaças: os programas de análise de big data

podem ajudá-lo a prever a classe e a intensidade das ameaças
à segurança cibernética. Você pode avaliar a complexidade de
um possível ataque avaliando fontes e padrões de dados. Essas
ferramentas também permitem que você use dados atuais
e históricos para obter entendimentos estatísticos de quais
tendências são aceitáveis e quais não são.
» Modelos preditivos: a análise inteligente de big data permite

que os especialistas criem um modelo preditivo que possa emitir
um alerta assim que encontrar um ponto de entrada para um
ataque de segurança cibernética. O aprendizado de máquina e a
inteligência artificial podem desempenhar um papel importante
no desenvolvimento desse mecanismo. As soluções baseadas em
análise permitem prever e se preparar para possíveis eventos em
seu processo.
112
FERRAMENTAS UNIDADE IV
Durante a década de 1980, a maioria das investigações forenses digitais

consistiu em “análise ao vivo”, examinando a mídia digital diretamente
usando ferramentas não especializadas. Na década de 1990, vários freewares
e outras ferramentas proprietárias (hardware e software) foram criados para
permitir que as investigações ocorram sem modificar a mídia. Esse primeiro
conjunto de ferramentas se concentrou principalmente na análise forense
de computadores, embora nos últimos anos tenham evoluído ferramentas
semelhantes para o campo da análise forense de dispositivos móveis. Nesta
última unidade, você vai conhecer algumas das principais ferramentas
utilizadas na análise forense.
CAPÍTULO 1
Visão geral
O computador é uma testemunha confiável que não pode mentir. A evidência

digital contém um relato não filtrado da atividade de um suspeito, registrado
em suas palavras e ações diretas. Mas algumas pessoas dizem que usar
informações digitais como evidência é uma má ideia. Se é fácil alterar os dados
do computador, como eles podem ser usados como evidência confiável?
Para identificar todos os detalhes ocultos deixados após ou durante um

incidente, o forense do computador é usado. O objetivo das técnicas forenses
de computador é pesquisar, preservar e analisar informações em sistemas de
computador para encontrar evidências em potencial para um julgamento.
Os computadores estão ficando mais poderosos a cada dia, portanto, o campo da

computação forense deve evoluir rapidamente. Logo, as ferramentas forenses
digitais vêm em várias categorias; assim, a escolha exata da ferramenta
depende de onde e como você deseja usá-la. Aqui estão algumas categorias
113
UNIDADE IV │ FERRAMENTAS
amplas para lhe dar uma ideia da variedade que está sob o guarda-chuva das
ferramentas forenses digitais:
» Análise forense de banco de dados.
» Análise de e-mail.
» Análise forense de áudio/vídeo.
» Análise de navegação na Internet.
» Rede forense.
» Memória forense.
» Análise de arquivo.
» Captura de disco e dados.
» Computação forense.
» Análise forense de imagem digital.
Embora essa lista não seja exaustiva, ela fornece uma imagem do que constitui as
ferramentas forenses digitais e o que você pode fazer com elas. Às vezes, várias
ferramentas são agrupadas em um único kit de ferramentas para ajudá-lo a
explorar o potencial das ferramentas relacionadas.
Além disso, é importante observar que essas categorias podem ficar confusas
às vezes, dependendo do conjunto de habilidades da equipe, das condições
do laboratório, da disponibilidade de equipamentos, das leis existentes e das
obrigações contratuais. Por exemplo, tablets sem cartões SIM são considerados
computadores; portanto, eles precisariam de ferramentas forenses de
computador e não de forenses móveis.
Mas, independentemente dessas variações, o importante é que as ferramentas

forenses digitais oferecem uma vasta quantidade de possibilidades para obter
informações durante uma investigação. Também é importante observar que
o cenário da investigação forense digital é altamente dinâmico, com novas
ferramentas e recursos sendo lançados regularmente para acompanhar as
atualizações constantes dos dispositivos.
114
FERRAMENTAS │ UNIDADE IV
Dadas as muitas opções no mercado, não é fácil selecionar a ferramenta

certa que atenda às suas necessidades. Aqui estão alguns aspectos a serem
considerados ao tomar a decisão.
» Nível de habilidade: o nível de habilidade é um fator importante

ao selecionar uma ferramenta forense digital. Algumas ferramentas
precisam apenas de um conjunto de habilidades básicas, enquanto
outras podem exigir conhecimentos avançados. Uma boa regra geral
é avaliar as habilidades que você possui versus o que a ferramenta
exige, para que você possa escolher a ferramenta mais poderosa com
a competência para operar.
» Saída: as ferramentas não são construídas da mesma forma;

portanto, ainda que dentro da mesma categoria, as saídas
variam. Algumas ferramentas retornam apenas dados brutos,
enquanto outras produzem um relatório completo que pode ser
instantaneamente compartilhado com a equipe não técnica. Em
alguns casos, apenas os dados brutos são suficientes, pois suas
informações podem ter que passar por mais processamento,
enquanto em outros, ter um relatório formatado pode facilitar
seu trabalho.
» Custo: o custo é um fator importante, pois a maioria dos

departamentos possui restrições orçamentárias. Um aspecto a ter
em mente aqui – as ferramentas mais baratas podem não ter todos
os recursos que você deseja, pois é assim que os desenvolvedores
mantêm os custos baixos. Em vez de escolher uma ferramenta
baseada apenas no custo, considere encontrar um equilíbrio entre
custo e recursos ao fazer sua escolha.
» Foco: outro aspecto importante é a área de foco da ferramenta, pois

tarefas diferentes geralmente requerem ferramentas diferentes.
Por exemplo, as ferramentas para examinar um banco de dados
são muito diferentes daquelas necessárias para examinar uma
rede. A melhor prática é criar uma lista completa dos requisitos
de recursos antes de comprar. Como mencionado anteriormente,
algumas ferramentas podem abranger várias funcionalidades
em um único kit, o que poderia ser um negócio melhor do que
encontrar ferramentas separadas para cada tarefa.
115
» Acessórios adicionais: algumas ferramentas podem precisar de

acessórios adicionais para operar, e isso também deve ser levado
em consideração. Por exemplo, algumas ferramentas forenses
de rede podem exigir hardware específico ou mídia inicializável
por software. Portanto, verifique os requisitos de hardware e
software antes de comprar.
116
CAPÍTULO 2
Ferramentas forense desktop
Sans sift
O SANS Investigative Forensic Toolkit (SIFT) é um Live CD baseado no Ubuntu
que inclui todas as ferramentas necessárias para conduzir uma investigação
forense ou de resposta a incidentes. Ele suporta a análise dos formatos de
evidência Expert Witness Format (E01), Advanced Forensic Format (AFF) e
RAW (dd). O SIFT inclui ferramentas como log2timeline para gerar uma linha
do tempo a partir dos logs do sistema, Scalpel para gravação de arquivos de
dados, Rifiuti para examinar a lixeira, e muito mais.
Quando você inicializar no ambiente SIFT, sugiro que você explore a

documentação na área de trabalho para ajudá-lo a se acostumar com as
ferramentas disponíveis e como usá-las. Há também uma boa explicação de
onde encontrar evidências em um sistema. Use a barra de menus superior
para abrir uma ferramenta ou a inicie manualmente a partir de uma janela do
terminal.
Principais características:
» Sistema baseado em 64 bits.
» Atualização e personalizações do pacote DFIR automático.
» Compatibilidade cruzada com Linux e Windows.
» Suporte expandido ao sistema de arquivos.
» Opção para instalar o sistema autônomo.
CrowdStrike CrowdResponse
O CrowdResponse é um aplicativo de console leve que pode ser usado como

parte de um cenário de resposta a incidentes para reunir informações
contextuais, como uma lista de processos, tarefas agendadas ou Shim Cache.
Usando assinaturas YARA incorporadas, você também pode verificar se há
malware no host e informar se há algum indicador de comprometimento.
117
» Vem com três módulos – listagem de diretório, módulo de execução

ativo e módulo de processamento YARA.
» Exibe informações de recursos do aplicativo.
» Verifica a assinatura digital do processo executável.
» Verifica memória, arquivos de módulo carregados e arquivos em

disco de todos os processos em execução no momento.
Volatility
Volatility é uma estrutura forense de memória para resposta a incidentes e

análise de malware que permite extrair artefatos digitais de despejos de
memória volátil (RAM). Usando o Volatility, você pode extrair informações
sobre processos em execução, soquetes de rede abertos e conexões de rede,
DLLs carregadas para cada processo, seções de registro em cache, IDs de
processo e muito mais.
» Oferece suporte a uma ampla variedade de formatos de arquivo de

amostra.
» Executa no Windows, Linux e Mac.
» Vem com algoritmos rápidos e eficientes para analisar despejos de

RAM de grandes sistemas.
» Sua API extensível e programável abre novas possibilidades de

extensão e inovação.
Kit Sleuth (+ autópsia)
O Sleuth Kit é um kit de ferramentas forenses digitais de código aberto

que pode ser usado para realizar análises detalhadas de vários sistemas de
arquivos. A autópsia é essencialmente uma GUI que fica em cima do Kit
Sleuth. Ele vem com recursos como análise de linha do tempo, filtragem de
hash, análise de sistema de arquivos e pesquisa de palavras-chave prontos
para uso, com a capacidade de adicionar outros módulos para aumentar a
funcionalidade.
118
» Exibe eventos do sistema através de uma interface gráfica.
» Oferece registro, arquivos LNK e análises de e-mail.
» Suporta os formatos de arquivo mais comuns.
» Extrai dados de SMS, registros de chamadas, contatos e os analisa.
FTK Imager
O FTK Imager é uma ferramenta de visualização e visualização de dados que

permite examinar arquivos e pastas em discos rígidos locais, unidades de rede,
CDs/DVDs e revisar o conteúdo de imagens forenses ou despejos de memória.
Usando o FTK Imager, você também pode criar hashes de arquivos SHA1 ou
MD5, exportar arquivos e pastas de imagens forenses para o disco, revisar e
recuperar arquivos que foram excluídos da lixeira (desde que seus blocos de
dados não tenham sido substituídos) e montar uma imagem forense para exibir
seu conteúdo no Windows Explorer.
» Vem com capacidade de visualização de dados para visualizar

arquivos/pastas, bem como o conteúdo nele.
» Suporta montagem de imagem.
» Usa CPUs com vários núcleos para paralelizar ações.
» Acessa um banco de dados de caso compartilhado, portanto, um

único banco de dados central é suficiente para um único caso.
Linux ‘dd’
O dd vem por padrão na maioria das distribuições Linux disponíveis hoje (por
exemplo, Ubuntu, Fedora). Essa ferramenta pode ser usada para várias tarefas
forenses digitais, como limpar forense uma unidade (zerar uma unidade) e criar
uma imagem bruta de uma unidade.
Nota: O dd é uma ferramenta muito poderosa que pode ter efeitos devastadores
se não for usada com cuidado. É recomendável que você experimente em um
ambiente seguro antes de usar esta ferramenta no mundo real.
119
» Duplica dados entre arquivos, dispositivos, partições e volumes.
» Suporta backup e restauração de registros de inicialização mestre.
» Pode modificar dados facilmente.
» Precisa ser usado com cautela, pois pode limpar um disco completamente.
Caine
O CAINE (Ambiente Investigativo Assistido por Computador) é o Live CD

do Linux que contém uma variedade de ferramentas forenses digitais. Os
recursos incluem uma GUI amigável, criação de relatórios semiautomatizados
e ferramentas para Mobile Forensics, Network Forensics, Recuperação de
Dados e muito mais.
» Vem com uma interface amigável que reúne muitas ferramentas

forenses de código aberto.
» Adere ao procedimento de investigação estabelecido pelas leis

italianas.
» Seu ambiente é otimizado para análises forenses aprofundadas
» Gera relatórios que são facilmente editáveis e exportáveis.
ExifTool
O ExifTool é um aplicativo de linha de comando usado para ler, gravar ou

editar informações de metadados do arquivo. É rápido, poderoso e suporta
uma grande variedade de formatos de arquivo (embora os tipos de arquivo
de imagem sejam sua especialidade). O ExifTool pode ser usado para analisar
as propriedades estáticas de arquivos suspeitos em uma investigação forense
baseada em host, por exemplo.
» Suporta diferentes formatos de arquivo, saídas detalhadas e

despejo hexadecimal baseado em HTML.
» Copia informações de metadados entre arquivos.
120
» Faz backup automático da imagem original.
» Converte a saída em vários idiomas.
Free Hex Editor Neo
O Free Hex Editor Neo é um editor hexadecimal básico desenvolvido para lidar
com arquivos muito grandes. Embora muitos dos recursos adicionais sejam
encontrados nas versões comerciais do Hex Editor Neo, essa ferramenta é útil
para carregar arquivos grandes (por exemplo, arquivos de banco de dados ou
imagens forenses) e executar ações como gravação manual de dados, edição de
arquivos de baixo nível, coleta de informações ou pesquisa de dados ocultos.
» Facilita a localização de padrões de dados em arquivos grandes.
» Suporta processamento de múltiplos núcleos.
» Lida com pesquisas de expressão regular em arquivos.
» Permite criar rapidamente patches de arquivos ou ajustar qualquer

aspecto da interface do usuário.
Bulk-extractor
Bulk_extractor é uma ferramenta forense de computador que verifica uma

imagem de disco, arquivo ou diretório de arquivos e extrai informações como
números de cartão de crédito, domínios, endereços de e-mail, URLs e arquivos
ZIP. As informações extraídas são enviadas para uma série de arquivos de
texto (que podem ser revisados manualmente ou analisados usando outras
ferramentas ou scripts forenses).
» Processa partes diferentes do disco em paralelo.
» Detecta, descomprime e reprocessa automaticamente os dados

compactados.
» Extrai informações críticas, como detalhes de cartão de crédito e

endereços de e-mail, de dados digitais.
» Pode ser usado para processar informações na maioria das mídias digitais.
121
DEFT
O DEFT é outro CD Live do Linux que inclui algumas das mais populares
ferramentas forenses para computadores livres e de código aberto disponíveis.
Ele visa ajudar nos cenários de resposta a incidentes, inteligência cibernética
e computação forense. Entre outras, contém ferramentas para Mobile
Forensics, Network Forensics, Recuperação de Dados e Hashing.
» Inclui um gerenciador de arquivos que vem com o status de uma

montagem em disco.
» Oferece suporte completo para Android e iOS.
» Vem com alguns aplicativos Windows de código aberto e de código

fechado que atualmente não têm alternativa no mundo Unix.
» Uma verificação de integridade é executada antes de qualquer

programa ser iniciado no modo de segurança.
Xplico
O Xplico é uma NFAT (Network Forensic Analysis Tool) de fonte aberta

que visa a extrair dados de aplicativos do tráfego da Internet (por exemplo,
o Xplico pode extrair uma mensagem de e-mail do tráfego POP, IMAP ou
SMTP). Os recursos incluem suporte para vários protocolos (por exemplo,
HTTP, SIP, IMAP, TCP, UDP), remontagem TCP e a capacidade de gerar
dados para um banco de dados MySQL ou SQLite, entre outros.
» Vem com três módulos – um módulo de entrada para entrada de

dados, módulo de saída para decodificar dados e apresentá-los
ao usuário final e módulos de decodificação para decodificar o
protocolo de rede individual.
» Suporta diferentes interfaces de usuário.
» Todos os módulos podem ser carregados ou descarregados

através do arquivo de configuração.
» Pode decodificar chamadas VoIP.
122
DSi USB Write Blocker
O DSi USB Write Blocker é um bloqueador de gravação baseado em software

que impede o acesso de gravação a dispositivos USB. Isso é importante em uma
investigação para impedir a modificação dos metadados ou registros de data e
hora e invalidar as evidências.
» Converte um dispositivo USB em um modo legível para impedir a

exclusão/modificação de dados.
» É executado principalmente no Windows, embora você possa fazer

algumas alterações para executá-lo na versão mais recente do iOS.
» Dá a você a opção de ver o status desse aplicativo na sua barra de tarefas.
FireEye RedLine
O RedLine oferece a capacidade de executar memória e análise de arquivos

de um host específico. Ele coleta informações sobre processos e drivers em
execução da memória e reúne metadados do sistema de arquivos, dados do
registro, logs de eventos, informações de rede, serviços, tarefas e histórico da
Internet para ajudar a criar um perfil geral de avaliação de ameaças.
» Ajuda a identificar quando um arquivo comprometido foi

introduzido e como ele persiste no sistema/rede.
» Use indicadores da lista de permissões para filtrar dados conhecidos.
» Coleta informações de processos, arquivos, imagens e dados do registro

em execução.
PlainSight
O PlainSight é um Live CD baseado no Knoppix (uma distribuição Linux)

que permite executar tarefas forenses digitais, como visualizar históricos da
Internet, gravação de dados, coleta de informações de uso de dispositivos
USB, examinar dumps de memória física, extrair hashes de senha e muito
mais.
123
» Recupera muitos tipos de arquivos, como jpg, png, pdf, mov, wav,
zip, rar, exe e muito mais.
» Usa uma aranha para verificar sistemas que contêm dados

confidenciais.
» Salva os resultados em formatos HTML ou de texto sem formatação.
» É executado a partir de um CD ou USB.
HELIX3
O HELIX3 é um Live CD baseado no Linux, criado para ser usado nos cenários
de resposta a incidentes, computação forense e descoberta eletrônica. Ele
inclui várias ferramentas de código aberto, desde editores hexadecimais a
softwares de gravação de dados, utilitários de quebra de senhas e muito
mais.
» Dobras de dados são usadas para marcar diferentes seções da

memória.
» Vem com um editor de RAM.
» Exporta dados para vários formatos.
» Facilita a divisão ou concatenação de arquivos.
124
CAPÍTULO 3
Ferramentas forense móvel
Existem muitas ferramentas e técnicas disponíveis no forense móvel. No

entanto, a seleção de ferramentas e técnicas durante uma investigação
depende do tipo de dispositivo móvel e da mídia associada.
Como coletar dados de dispositivos móveis?

Os dados podem ser coletados de dispositivos móveis de duas maneiras, a
saber, aquisição física e aquisição lógica.
» A aquisição física, também conhecida como despejo de

memória física, é uma técnica para capturar todos os dados dos
chips de memória flash no dispositivo móvel. Ele permite que
a ferramenta forense colete remanescentes de dados excluídos.
Inicialmente, os dados recebidos estão no formato bruto e não
podem ser lidos. Posteriormente, alguns métodos são aplicados
para converter esses dados em um formato legível por humanos.
» A aquisição lógica, ou extração lógica, é uma técnica para

extrair os arquivos e pastas sem nenhum dos dados excluídos de
um dispositivo móvel. No entanto, alguns fornecedores descrevem
a extração lógica estritamente como a capacidade de reunir um
tipo de dados específico, como imagens, histórico de chamadas,
mensagens de texto, calendário, vídeos e toques. Uma ferramenta
de software é usada para fazer uma cópia dos arquivos. Por
exemplo, o backup do iTunes é usado para criar uma imagem
lógica de um iPhone ou iPad.
Quais tipos de dados podem ser coletados de um

dispositivo móvel?
Os tipos de dados comuns incluem lista de contatos, registro de chamadas,

SMS, imagens, áudio, vídeo, dados GPS e dados de aplicativos. Além disso,
os tipos de dados atuais e excluídos podem ser extraídos de um dispositivo
móvel.
125
» Registros de detalhes da chamada (CDRs): os provedores de

serviços frequentemente usam CDRs para melhorar o desempenho da
rede. No entanto, eles também podem fornecer informações úteis aos
investigadores. CDRs podem mostrar:
› Data/hora de início e término da chamada.
› As torres de terminação e origem.
› Se a chamada foi efetuada ou recebida.
› Duração do tempo de chamada.
› Quem foi chamado e quem fez a ligação.
Quase todos os provedores de serviços mantêm esses registros importantes por

certo tempo. O especialista forense pode coletar esses registros, se necessário.
No entanto, a coleta dessas informações depende das políticas do estado em
questão. Todo estado tem leis diferentes a esse respeito.
» Sistema de Posicionamento Global (GPS): os dados do GPS

são uma excelente fonte de evidência empírica. Se o suspeito
tiver um dispositivo móvel ativo na cena do crime, o GPS poderá
identificar sua localização e seus atos criminosos. O GPS também
localiza os movimentos do suspeito de uma cena de crime para o
esconderijo. Além disso, ajuda a encontrar registros de chamadas
telefônicas, imagens e mensagens SMS. Atualmente, um sistema
GPS inclui 27 satélites em operação.
» Dados do aplicativo: muitos aplicativos armazenam e acessam

dados dos quais o usuário não está ciente. De fato, muitos aplicativos
solicitam permissão durante o processo de instalação para acessar
esses dados. Por exemplo, aplicativos de edição de fotos ou vídeos
solicitam permissão para acessar arquivos de mídia, câmera e GPS
para navegação. Esses dados podem ser uma fonte primária de
evidência para o tribunal.
» SMS: as mensagens de texto são uma forma de comunicação

amplamente usada. As mensagens de texto deixam registros
eletrônicos de diálogo que podem ser apresentados no tribunal
como prova. Eles incluem as informações relevantes, como:
› Data/hora de cada mensagem.
› Número de telefone do remetente e do destinatário.
126
» Fotos e vídeos como evidência: eles podem ser uma tremenda

fonte de evidência, mas sua relevância para o crime e a autenticação
é crucial.
Quais ferramentas e técnicas são comumente

usadas na forense móvel?
As ferramentas de software forense estão continuamente desenvolvendo

novas técnicas para a extração de dados de vários dispositivos celulares. As
duas técnicas mais comuns são extração física e lógica. A extração física é feita
por meio de conexão JTAG ou a cabo, enquanto a extração lógica ocorre via
Bluetooth, infravermelho ou conexão a cabo.
Existem vários tipos de ferramentas disponíveis para fins forenses móveis.

Eles podem ser categorizados como ferramentas de código aberto, comerciais e
não forenses. As ferramentas não forenses e forenses frequentemente usam as
mesmas técnicas e protocolos para interagir com um dispositivo móvel.
» Sistema de classificação de ferramentas: Os analistas forenses

devem entender os vários tipos de ferramentas forenses. O sistema
de classificação de ferramentas oferece uma estrutura para analistas
forenses para comparar as técnicas de aquisição usadas por diferentes
ferramentas forenses para capturar dados. A figura 9 mostra o
sistema:
Figura 9. Sistema de Classificação de Ferramentas Móvel.
Micro-
leitura
Chip-off
Dumping Hexadecimal
Extração Lógica
Extração Manual
127
Extração manual
A técnica de extração manual permite aos investigadores extrair e visualizar

dados através da tela sensível ao toque ou do teclado do dispositivo.
Posteriormente, esses dados são documentados fotograficamente. Além disso,
a extração manual consome tempo e envolve uma grande probabilidade de
erro humano. Por exemplo, os dados podem ser excluídos ou modificados
acidentalmente durante o exame.
As ferramentas populares para extrações manuais incluem:
» Project-A-Phone.
» Fernico ZRT.
» EDEC Eclipse.
Extração lógica
Nesta técnica, os investigadores conectam o dispositivo celular a uma estação

de trabalho ou hardware forense via Bluetooth, infravermelho, cabo RJ-45
ou cabo USB. O computador – usando uma ferramenta de extração lógica
– envia uma série de comandos para o dispositivo móvel. Como resultado,
os dados necessários são coletados da memória do telefone e enviados de
volta à estação de trabalho forense para fins de análise.
As ferramentas usadas para extração lógica incluem:
» XRY Logical.
» Oxygen Forensic Suite.
» Lantern.
Dumping Hexadecimal
Um dump hexadecimal, também chamado de extração física, extrai a imagem

bruta em formato binário do dispositivo móvel. O especialista forense conecta
o dispositivo a uma estação de trabalho forense e empurra o carregador de
inicialização para o dispositivo, que instrui o dispositivo a despejar sua memória
no computador. Esse processo é econômico e fornece mais informações aos
investigadores, incluindo a recuperação dos arquivos excluídos do telefone e do
espaço não alocado.
128
As ferramentas comuns usadas para o dump hexadecimal incluem:
» XACT.
» Cellebrite UFED Physical Analyzer.
» Pandora’s Box.
Chip-off
A técnica de chip-off permite que os examinadores extraiam dados diretamente

da memória flash do dispositivo celular. Eles removem o chip de memória do
telefone e criam sua imagem binária. Esse processo é caro e requer um amplo
conhecimento de hardware. O manuseio inadequado pode causar danos
físicos ao chip e impossibilitar a recuperação dos dados.
As ferramentas e equipamentos populares usados para chip-off incluem:
» iSeasamo Phone Opening Tool.
» Xytronic 988D Solder Rework Station.
» FEITA Digital inspection station.
» Chip Epoxy Glue Remover.
» Circuit Board Holder.
Microleitura
Esse processo envolve a interpretação e visualização de dados em chips

de memória. Os investigadores usam um microscópio eletrônico de alta
potência para analisar os portões físicos dos chips e depois converter o
nível do portão em 1 e 0 para descobrir o código ASCII resultante. Esse
processo é caro e demorado. Além disso, requer um amplo conhecimento
de hardware e sistemas de arquivos. Não há ferramenta disponível para
microleitura.
129
Referências
BILGE, L.; TUDOR, D. Before We Knew It: An Empirical Study of

Zero-Day Attacks in The Real World. Proceedings of the 2012 ACM
conference on Computer and communications security, 2012.
BORGOLTE, K. et al. Meerkat: Detecting website defacements through

image-based object recognition. Proceedings of the 2015 USENIX Security
Symposium, 2015, pp. 595–610.
BRANDÃO, C. Indústria do cibercrime organizado cresce e se

estabelece na Deep Web. Disponível em: https://computerworld.com.
br/2017/04/05/industria-do-cibercrime-organizado-cresce-e-se-estabelece-
na-deep-web/. Acesso em: 31 jan. 2020.
BRASIL. Constituição da República Federativa do Brasil de 1988.

Brasília. 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/
constituicao/constituicao.htm>. Acesso em: 5 de nov. 2019.
BRASIL. Lei n o 12.737, de 30 de novembro de 2012. Brasília, 2012.

Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2012/lei/l12737.htm>. Acesso em: 5 de nov. 2019.
BRASIL. Lei n o 2.848, de 7 de dezembro de 1941. Dispõe sobre a Lei de

introdução do Código Penal. Disponível em: <http://www.planalto.gov.br/
ccivil_03/decreto-lei/Del3914.htm>. Acesso em: 25 out. 2019.
BROOK, C. What’s the Cost of a Data Breach in 2019?. 2019. Disponível

em: <https://digitalguardian.com/blog/whats-cost-data-breach-2019>. Acesso
em: 11 dez. 2019.
BURR, R. To improve cybersecurity in the United States through

enhanced sharing of information about cybersecurity threats, and for
other purposes. 2016. Disponível em: https://www.congress.gov/bill/114th-
congress/senate-bill/754/text. Acesso em: 31 jan. 2020.
COELHO, L. Machine Learning: o que é, conceito e definição. 2019.

Disponível em: https://www.cetax.com.br/blog/machine-learning/. Acesso
em: 31 jan. 2020.
130
CUKIER, M. Study: Hackers Attack Every 39 seconds. 2007. Disponível em:
<https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds>. Acesso
em: 21 de nov. 2019.
Da SILVA, L. A. et al. Learning spam features using restricted

boltzmann machines. International Journal on Computer Science and
Information Systems (IADIS), v. 11, n. 1, 2016, pp. 99-114.
ESCOLANO, I. Dos Crimes – Classificação e Tipificação. 2014. Disponível

em: <https://isabelaescolano.jusbrasil.com.br/artigos/188967993/dos-crimes-
classificacao-e-tipificacao>. Acesso em: 9 dez. 2019.
Europol. Internet Organised Crime Threat Assessment. 2018. Disponível

em: <https://www.europol.europa.eu/activities-services/main-reports/internet-
organised-crime-threat-assessment-iocta-2018>. Acesso em: 25 out. 2019.
FAUSTINO, R. Dark Web: como atuam os criminosos brasileiros

na parte mais sombria da internet. 2019. Disponível em: https://
epocanegocios.globo.com/Tecnologia/noticia/2019/04/dark-web-como-
atuam-os-criminosos-brasileiros-na-parte-mais-sombria-da-internet.html.
Acesso em: 31 jan. 2020.
FBI. National Incident-Bases Reporting System (NIBRS). 2018. Disponível

em: https://www.fbi.gov/services/cjis/ucr/nibrs. Acesso em: 31 jan. 2020.
Federal Register of Legislation. Cybercrime Act 2001. 2001. Disponível em:

https://www.legislation.gov.au/Details/C2004A00937. Acesso em: 31 jan. 2020.
FERRARA, E. The History of Digital Spam. Communications of the ACM,

August 2019, v. 62, n. 8, pp. 82-91.
FOLEY, S.; KARLSEN, J. R; PUTNINS, T. J. Sex, Drugs, and Bitcoin: How

Much Illegal Activity Is Financed Through Cryptocurrencies?. Review of
Financial Studies, Forthcoming, 2018.
FRAGOSO, H. C. Lições de Direito Penal: Parte Geral. Rio de Janeiro:

Editora Forense, 1995.
GARTNER. 2019. Disponível em: https://www.gartner.com/en. Acesso em: 31 jan.

2020.
131
GIBBS. M. 4 Industries likely to get hacked. 2018. Disponível em: <https://
www.cybintsolutions.com/industries-likely-to-get-hacked/>. Acesso em: 21 de
nov. 2019.
Global Digital Forensics. Banking Industry Executive Level Financial

Fraud. 2019. Disponível em: <https://evestigate.com/case-study/banking-
industry-executive-level-financial-fraud/>. Acesso em: 8 de nov. 2019.
GNIPPER, P. Saiba tudo sobre dark web com esse guia para iniciantes.
2017. Disponível em: <https://canaltech.com.br/internet/saiba-tudo-sobre-a-
dark-web-com-este-guia-para-iniciantes-98020/>. Acesso em: 11 dez. 2019.
GONÇALVES, A. R. Redes Bayesianas. 2019. Disponível em: https://andreric.

github.io/files/pdfs/bayesianas.pdf. Acesso em: 31 jan. 2020.
GOODMAN, M. D.; BRENNER, S. W. The Emerging Consensus on Criminal

Conduct in Cyberspace. International Journal of Law and Information
Technology, v. 10, n. 2, pp. 139-223, 2002.
Government of Canada. The General Social Survey: An Overview. 2017.

Disponível em: https://www150.statcan.gc.ca/n1/pub/89f0115x/89f0115x2013001-
eng.htm. Acesso em: 31 jan. 2020.
GTA. Grupo de Teleinformática e Automação. Disponível em: < https://

www.gta.ufrj.br/grad/06_1/dos/ataques.html#2.1 >. Acesso em: 11 dez. 2019.
HAMMERVIK, N. Cyber Jobs are available but Americans don’t realize

they are qualified. 2017. Disponível em: <https://thehill.com/opinion/
cybersecurity/365802-cyber-jobs-are-available-but-americans-dont-realize-they-
are-qualified>. Acesso em: 21 de nov. 2019.
HARDY, W. et al. DL4MD: A deep learning framework for intelligent

malware detection. Proceedings of the 2016 International Conference on Data
Mining (DMIN), WorldComp, 2016, pp. 61–67.
HERN, A. WannaCry, Petya, NotPetya: how ransomware hit the big

time in 2017. The Guardian, 30 December 2017. Disponível em: <https://
www.theguardian.com/technology/2017/dec/30/wannacry-petya-notpetya-
ransomware>. Acesso em: 25 out. 2019.
HOUSE OF REPRESENTATIVES OF THE PHILIPPINES. Cybercrime

Prevention Act of 2012. 2012. Disponível em: https://en.wikipedia.org/wiki/
Cybercrime_Prevention_Act_of_2012. Acesso em: 31 jan. 2020.
132
ITU. Computer Crime and Cybercrime: Southern African Development
Community (SADC) Model Law. 2013. Disponível em: https://www.itu.int/en/ITU-D/
Cybersecurity/Documents/SADC%20Model%20Law%20Cybercrime.pdf. Acesso em:
31 jan. 2020.
ITU. Cyber Security In Tanzania – Country Report. 2019. Disponível em:

https://www.itu.int/osg/spu/cybersecurity/contributions/Tanzania_Ulanga_paper.
pdf. Acesso em: 31 jan. 2020.
ITU. Enhancing competitiveness in the Caribbean through the

harmonization of ICT Policies, Legislation and Regulatory Procedures.
2019. Disponível em: https://www.itu.int/en/ITU-D/Projects/ITU-EC-ACP/
HIPCAR/Pages/default.aspx. Acesso em: 31 jan. 2020.
JESUS, D. E. Direito Penal. 1o V. 2ª Edição, ampliada e atual. São Paulo: Saraiva,

1980.
JUNIPER RESEARCH. Research, Forecasting & Consultancy

for Digital Technology Markets. 2019. Disponível em: https://www.
juniperresearch.com/home. Acesso em: 31 jan. 2020.
KANTAR. Crime Survey for England & Wales. 2015. Disponível em: https://
www.crimesurvey.co.uk/en/index.html. Acesso em: 31 jan. 2020.
LOPES, C. F. Crimes: Classificação Doutrinária. 2019. Disponível em:

<https://i.pinimg.com/originals/80/7d/58/807d5863f0f511f94d5dfe502d02f
8bf.jpg>. Acesso em: 11 dez. 2019.7
LORENA, A. C; CARVALHO, A. C. P. L. F. Introdução às Máquinas de

Vetores Suporte. 2003. Disponível em: http://conteudo.icmc.usp.br/CMS/
Arquivos/arquivos_enviados/BIBLIOTECA_113_RT_192.pdf. Acesso em: 31
jan. 2020.
MARAS, M. H. Computer Forensics: Cybercriminals, Laws and Evidence.

Second edition. Jones and Bartlett, 2014.
MELLO, J. P. Cybercrime Diary, Vol. 3, No. 3: Who’s Hacked?

Latest Data Breaches And Cyberattacks. 2018. Disponível em: https://
cybersecurityventures.com/cybercrime-diary-whos-hacked-list-of-q3-2018-
data-breaches-and-cyberattacks/. Acesso em: 31 jan. 2020.
133
MICHALSONS. Cybercrimes Bill in South Africa | Overview and
Download. 2019. Disponível em: https://www.michalsons.com/focus-areas/
cybercrime-law/cybercrimes-bill-south-africa. Acesso em: 31 jan. 2020.
MICHALSONS. EU Cybersecurity Rules. 2019. Disponível em: https://www.

michalsons.com/blog/eu-cybersecurity-rules/18090. Acesso em: 31 jan. 2020.
MIGLIANO, S. The Dark Web is Democratizing Cybercrime. 2018.

Disponível em: https://hackernoon.com/the-dark-web-is-democratizing-
cybercrime-75e951e2454. Acesso em: 31 jan. 2020.
Mundo da Elétrica. Gaiola de Faraday, o que é? Qual a sua aplicação? 2019.

Disponível em: https://www.mundodaeletrica.com.br/gaiola-de-faraday-o-que-e-
qual-a-sua-aplicacao/. Acesso em: 31 jan. 2020.
NEXUSGUARD. DDoS Threat Report 2018 Q2. 2018. Disponível em: <https://
www.nexusguard.com/threat-report-q2-2018>. Acesso em: 21 de nov. 2019.
NORONHA, E. M. Direito Penal. V. 1. 15. ed. São Paulo: Saraiva, 1983.
PASCANU, R. et al. Malware classification with recurrent networks.

Proceedings of the 2015 International Conference on Acoustics, Speech and
Signal Processing (ICASSP), IEEE, 2015, pp. 1916–1920.
PIMENTEL, M. P. O Crime e a Pena na Atualidade. São Paulo: Revista dos

Tribunais, 1990.
REUTERS. Cyber attack hits 200,000 in at least 150 countries:

Europol. Reuters, 14 May 2017. Disponível em: <https://www.reuters.com/
article/us-cyber-attack-europol/cyber-attack-hits-200000-in-at-least-150-
countries-europol-idUSKCN18A0FX>. Acesso em: 25 out. 2019.
REX, B. A. Computer Crime Act 2007. 2007. Disponível em: https://www.

samuiforsale.com/law-texts/computer-crime-act.html. Acesso em: 31 jan. 2020.
ROUSE, M. Confidentiality, integrity and availability (CIA Triad).

TechTarget, 2014. Disponível em: <https://whatis.techtarget.com/definition/
Confidentiality-integrity-and-availability-CIA>. Acesso em: 25 out. 2019.
SABAH LANDS AND SURVEYS DEPARTMENT. Computer Crimes Act 1997.

2019. Disponível em: http://www.jtu.sabah.gov.my/publication/data/Pub-Images/
Content/Computer%20Crimes%20Act%201997.pdf. Acesso em: 31 jan. 2020.
134
SECURITY SCOPRECARD. Reports Reveals healthcare industry lacking
in basic security awareness among staff, putting entire medical
infrastructure at risk. 2016. Disponível em: <https://www.prnewswire.com/
news-releases/report-reveals-healthcare-industry-lacking-in-basic-security-
awareness-among-staff-putting-entire-medical-infrastructure-at-risk-300352485.
html>. Acesso em: 21 de nov. 2019.
STANDING COMMITTEE OF THE NATIONAL PEOPLE’S CONGRESS. 2016

Cybersecurity Law. 2016. Disponível em: https://www.chinalawtranslate.com/
en/2016-cybersecurity-law/. Acesso em: 31 jan. 2020.
SYMANTEC. Internet security threat report. 2019. Disponível em: <https://

www.symantec.com/content/dam/symantec/docs/reports/istr-24-2019-en.pdf>.
Acesso em: 21 de nov. 2019.
TIMBERG, C. et al. Data of 143 million Americans exposed in hack of credit

reporting agency Equifax. The Washington Post, 2017. Disponível em:
<https://www.washingtonpost.com/business/technology/equifax-hack-hits-
credit-histories-of-up-to-143-million-americans/2017/09/07/a4ae6f82-941a-
11e7-b9bc-b2f7903bab0d_story.html?noredirect=on>. Acesso em: 25 out. 2019.
UNIVERSIDADE ESTADUAL DE LONDRINA. RNA – Perceptron

Multicamadas. 2013. Disponível em: http://www.barbon.com.br/wp-content/
uploads/2013/08/RNA_Aula51.pdf. Acesso em: 31 jan. 2020.
UNODC. Draft Comprehensive Study on Cybercrime. 2013. Disponível

em: <https://www.unodc.org/documents/organized-crime/UNODC_CCPCJ_
EG.4_2013/CYBERCRIME_STUDY_210213.pdf>. Acesso em: 5 de nov. 2019.
USP. Regressão Logística. 2019. Disponível em: https://edisciplinas.usp.br/

pluginfile.php/3769787/mod_resource/content/1/09_RegressaoLogistica.pdf.
Acesso em: 31 jan. 2020.
VECTORSTOCK. Hacker Vectors. Disponível em: <https://cdn1.vectorstock.com/

i/1000x1000/23/75/concept-of-computer-crime-and-hacker-vector-16402375.jpg>.
Acesso em: 11 dez. 2019.
VIOLINO, B. Most organizations ill prepared to defend against cyber

attacks. 2019. Disponível em: <https://www.information-management.com/
news/most-organizations-ill-prepared-to-defend-against-cyber-attacks>.
Acesso em: 21 de nov. 2019.
135
YUAN, Z.; LU, Y.; WANG, Z.; XUE, Y. Droid-Sec: Deep learning in Android
malware detection. ACM SIGCOMM Computer Communication Review,
44, ACM, 2014, pp. 371-372.
ZHANG, N.; YUAN, Y. Phishing detection using neural network. CS229

lecture notes, 2012.
136

Cybercrime Analise e Ferramentas de Investigacao

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cybercrime Analise e Ferramentas de Investigacao

Enviado por

Direitos autorais:

Formatos disponíveis

Cybercrime: Análise e Ferramentas de

Rayssa Falcão Freitas

Equipe Técnica de Avaliação, Revisão Linguística e Editoração

ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6

A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade

Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

Sugestão de estudo complementar

Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

Chamadas para alertar detalhes/tópicos importantes que contribuam para a

Informações complementares para elucidar a construção das sínteses/conclusões

Trecho que busca resumir informações relevantes do conteúdo, facilitando o

Para (não) finalizar

Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

Grupos de crime organizado estão usando a Internet para grandes atividades

O crescimento da “cyberextortion” é uma terceira tendência significativa. Uma

Além do desenvolvimento de leis apropriadas que visam aos métodos de

Nessa disciplina, estudaremos a diferença entre crime e cybercrime, tipos

» Conhecer os tipos e instrumentos legais aplicados ao cybercrime.

» Compreender as etapas da análise de um cybercrime.

» Compreender as principais aplicações da Inteligência Artificial

» Capacitar os estudantes a selecionar de acordo com o cybercrime. a

Embora o cybercrime seja tratado como uma entidade separada do crime

Figura 1. Ataque hacker.

Fonte: Vectorstock (2019).

Os métodos que os cybercriminosos usam para coletar dados e realizar um ataque

Além do uso da tecnologia, qual é a diferença entre o cybercrime e o crime

Quanto à definição de crime, a Lei de Introdução do Código Penal n o 2.848

Art. 1o – Considera-se crime a infração penal a que a lei comina pena

Infelizmente, o crime em nossa sociedade é não só uma realidade, mas também

Formalmente, o conceito de crime consiste numa violação à lei penal

Independente da definição, os crimes são definidos e punidos pelos estatutos

Com o crescimento tecnológico, a forma de transmitir informações aumentou

Figura 2. Classificação doutrinária dos crimes.

Não se consuma apenas com o perigo, é necessário que ocorra uma

Só se consuma se houver RESULTADO. A lei prevê uma conduta e um

O crime é praticado por um comportamento ativo, mediante uma ação,

CRIME Há consumação imediata, em único instante. A consumação não se

O agente prevê o resultado lesivo de sua conduta e, mesmo assim,

Conduta voluntária, sem intenção de produzir o resultado ilícito, porém,

CRIME SIMPLES Comporta apenas um crime no tipo penal. Ex.: Furto.

Aquele que é a reunião de mais de um crime em um único tipo penal.

Exige uma qualidade especial do sujeito, ou seja, só pode ser praticado

O sujeito passivo é uma universalidade, uma coletividade destituída de

A consumação depende de um lapso temporal para se concretizar. Ex.:

Fonte: Adaptado de Lopes (2019).

Não existe uma definição universalmente aceita sobre cybercrime ou crime

O cybercrime difere do crime tradicional, pois “não conhece fronteiras físicas ou

A Europol (2018) diferencia o cybercrime em crimes dependentes da

Confidencialidade, integridade e disponibilidade compõem o que é conhecido

O cybercrime pode ser praticado por indivíduos, grupos, empresas e

exemplo, um sistema de computador), eles têm motivos e intenções diferentes

Origem e evolução do cybercrime

A história e a evolução do cybercrime são fáceis de rastrear e coincidem com a

Embora o cybercrime existisse antes da Internet, o primeiro grande ataque

O próximo ataque na linha do tempo da história do cybercrime ocorreu nos

O cybercrime realmente começou a decolar no início dos anos 2000, quando

informações possíveis em um banco de dados de perfis criou uma enxurrada de

1973: Um caixa de um banco local de Nova York usou um computador para

1978: O primeiro sistema de comunicação eletrônica on-line (Bulletin Board

1983: O filme War Games é lançado e aborda a atuação de hackers. O filme

1986: O Congresso aprova a Lei de Fraude e Abuso de Computadores,