1

UNIVERSIDADE CATÓLICA DE BRASÍLIA

TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO

Celso Hatano - UC08089088

Perícia Computacional
Sistematização

Japão
2010
 2

SUMÁRIO

1. INTRODUÇÃO...................................................................................................................5
2. PROCESSO INVESTIGATIVO.......................................................................................6
2.1. Fases...............................................................................................................................7
3. ESTUDO DE CASO............................................................................................................9
3.1. CASO I..........................................................................................................................9

3.1.1. Introdução............................................................................................................9
3.1.2. Características do equipamento apreendido........................................................9
3.1.3. Coleta de dados..................................................................................................10
3.1.4. Exame de dados.................................................................................................12
3.1.5. Análise das Informações....................................................................................13
3.1.5.1. Ferramentas de Perícia Utilizadas.........................................................14
3.1.6. Interpretação dos Resultados.............................................................................18
3.2. CASO II.....................................................................................................................21

3.2.1. Introdução..........................................................................................................21
3.2.2. Características do equipamento apreendido......................................................21
3.2.3. Coleta de dados.................................................................................................23
3.2.4. Exame de dados.................................................................................................24
3.2.5. Análise das Informações....................................................................................25
3.2.6. Interpretação dos Resultados.............................................................................27

4. DISCUSSÃO E CONCLUSÃO.....................................................................................29

5. REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................31
 3

LISTA DE FIGURAS

Figura 1: Fases de um Processo de Investigação........................................................................6

Figura 2: HP Compaq dc 5750 Microtower..............................................................................10

Figura 3: PornStick...................................................................................................................14

Figura 4: comando arp..............................................................................................................15

Figura 5: comando cacls...........................................................................................................15

Figura 6: comando cipher.........................................................................................................16

Figura 7: comando date.............................................................................................................16

Figura 8: File Scavenger...........................................................................................................17

Figura 9: comando netstat.........................................................................................................18

Figura 10: computadores – Thin Clients...................................................................................22

Figura 11: Helix3......................................................................................................................26

Figura 12: Autopsy Forensic Browser......................................................................................27

 4

RESUMO

Esta sistematização apresenta o trabalho técnico de profissionais em perícia digital que foram
contratados para realizar exame de local de crime digital e/ou de falhas de vulnerabilidade em
dois casos ocorridos dentro de ambientes organizacionais. É realizado uma análise e
apresentado as técnicas e ferramentas utilizadas pelos profissionais em perícia forense.
Também constará detalhes sobre o processo de perícia forense aplicada e a importância de
seguir procedimentos específicos imediatamente depois de um crime por computador.

Também são apresentados neste trabalho, conceitos fundamentais de identificação,

preservação, análise e apresentação de evidências, encontradas em uma investigação de
Perícia Forense Computacional.
 5

1. INTRODUÇÃO

As últimas décadas foram marcadas pela integração dos computadores no modo de vida das
pessoas. Não é de se espantar o fato de que essa revolução computacional tenha atingido
também o mundo do crime. A tecnologia dos computadores está envolvida em um número
crescente de atividades ilícitas. Além de serem utilizados como ferramentas para a
consumação de alguns tipos de crimes (como, por exemplo, invasão de sistemas,
disseminação de pornografia infantil e fraude), os computadores podem conter evidências
relacionadas com qualquer tipo de atividade ilícita.
O aumento dramático em crimes relacionados com computadores requer um maior
entendimento de como se obter e utilizar evidências eletrônicas armazenadas em
computadores. Tal entendimento pode ser alcançado através dos conceitos e metodologias da
forense computacional.
A forense computacional compreende a aquisição, preservação, identificação, extração,
restauração, análise e documentação de evidências computacionais, quer sejam componentes
físicos ou dados que foram processados eletronicamente e armazenados em mídias
computacionais.
O propósito do exame forense é a procura e extração de evidências relacionadas com o caso
investigado, que permitam a formulação de conclusões acerca da infração. Existem duas
abordagens no que diz respeito ao objetivo final da análise forense. Na primeira, a análise
forense busca obter informação de valor probante (coerente com as regras e leis das
evidências e admissível em uma corte de justiça) a ser utilizada em um processo criminal. Na
segunda abordagem, o exame é realizado dentro de uma corporação com o objetivo de
determinar a causa de um incidente e assegurar que o mesmo não ocorra novamente, sem que
haja preocupação com formalidades legais.
Mesmo que não haja intenção de se instituir um processo criminal, toda investigação deve
considerar como prática padrão a utilização de metodologias e protocolos que garantam sua
possível aceitação em uma corte de justiça. Tratar todo caso com a formalidade de um
processo criminal ajuda a desenvolver bons hábitos de investigação.
 6

2. PROCESSO INVESTIGATIVO

Existem dois métodos de investigação um com computador ligado e outro com ele desligado,
quando possível em uma investigação os dois métodos são utilizados.
Caso o computador seja entregue para a perícia , ainda ligado, devemos procurar sempre
salvar as informações voláteis antes de desligar o computador para análise. Os dados voláteis
são informações que geralmente são perdidas quando o computador é desligado. É importante
manipular com muito cuidado este tipo de dado. As ferramentas e a ordem em que estas
informações serão coletadas são importantes para não perder ou alterar outras informações
voláteis. Necessitamos dos dados voláteis sempre que houver indícios de informações
relacionadas com o incidente na memória do computador, nas conexões de rede ativas, no
processo em execução nos arquivos temporários que são apagados automaticamente ao fechar
os aplicativos ou ao desligar os computados. Os dados em uma investigação podem estar
tanto localmente como em uma rede. Com o computador desligado é executada através de
uma cópia baseada em bits da evidência original, esta cópia é uma imagem completa
proveniente de uma fonte, inclui o setor de inicialização, partições e espaços de discos não-
alocados. Quando trabalhamos com o computador desligado temos uma maior segurança
relacionada à integridade dos dados. Pois podemos fazer cópias desta imagem e trabalhar
nelas ao invés de trabalhar na evidência original. Este método é recomendado sempre que
possível, pois diminui o risco de danos na evidência original.
Realizar o levantamento e documentar todas as fontes potenciais de dados que poderão ser
úteis na investigação.
A perícia deve seguir quatro procedimentos básicos: todas as evidências precisam ser
IDENTIFICADAS, PRESERVADAS, ANALISADAS E APRESENTADAS. Figura 1

Figura 1: Fases de um processo de investigação

 7

2.1. Fases

 Coleta dos dados

 Manter integridade;

 Gerar provas de que os dados

estão íntegros (HASH)‫‏‬
 Importante para
admissibilidade das evidências

 Identificar e documentar;

 Exame dos dados

 Uso de ferramentas técnicas;

 Filtrar, avaliar e extrair informações
relevantes
 8

 Análise das informações

 Processamento das informações

obtidas na fase anterior;

 Identificação dos envolvidos;

 Estabelecimento de ordem
cronológica;
 Levantamento de eventos e
locais;

 Cruzamento de informações que

levem a provas concretas ou
evidências

 Interpretação dos resultados

 Laudo descrevendo procedimentos e

resultados.

 Conclusão imparcial, clara e

concisa;
 Exposição dos métodos
utilizados;
 Deve ser de fácil interpretação
por uma pessoa leiga.
 9

3. ESTUDO DE CASO

A partir de métodos científicos e sistemáticos, foi reconstruído as ações executadas nos

diversos ativos de tecnologia utilizados nos casos apresentados com intuito de obter
evidências relacionadas à realização dos eventos.

3.1. CASO I

3.1.1. Introdução

CASO: A equipe de perícia policial apreendeu um computador, do tipo PC, utilizado pelo
funcionário Osama Silva, pertencente aos quadros da Empresa Alfa. Tal computador fora
apreendido sob suspeita de ser utilizada como servidor de arquivos pornográficos distribuídos
para uma rede de relacionamentos que possui site e lista de distribuição na Internet. Suspeita-
se também da prática de pedofilia.

3.1.2. Características do equipamento apreendido

 Máquina HP Compaq dc 5750 Microtower; Figura 2

 AMD Athlom (tm) 64X2 Dual Core Processor 4400+;

 2.29 Ghz, 896 MB de RAM; HD 160 GB;

 Sistema Operacional Windows XP professional.

 10

HP Compaq dc 5750 Microtower

Figura 2

O objetivo desta perícia é identificar e apresentar evidências que comprovem ou não o

envolvimento do Sr. Osama Silva com a atividade criminosa realizada na empresa Alfa.

3.1.3. Coleta de Dados

Foi realizado o levantamento e documentado todas as fontes potenciais de dados que poderão
ser úteis na investigação:
 dispositivos de armazenagem da CPU (registradores e caches);
 memória de periféricos (memória de vídeo, por exemplo);
 memória principal do sistema;
 tráfego de rede (pacotes em trânsito na rede);
 estado do sistema operacional (como, por exemplo, estado das conexões de rede e dos
processos em execução e configurações do sistema);
 dispositivos de armazenagem secundária

Sistema Windows

 Dados voláteis (usar preferencialmente aplicativos CUI – Console User Interface).

 Espaço livre ou não-alocado, onde se pode obter informações de arquivos excluídos.
 Logs de eventos.
 Logs dos aplicativos não gerenciados pelo serviço de log de eventos do Windows.
 Registro, que pode ser considerado um enorme arquivo de log.
 11

 Arquivo de troca, que abriga informações alocadas recentemente na RAM

(pagefile.sys).
 Arquivos especiais em nível de aplicativo (cache de navegador).
 Arquivos temporários criados por muitos aplicativos.
 Lixeira (uma estrutura de arquivos lógicos ocultos em que itens recentemente
excluídos podem ser encontrados).
 Spool de impressão.
 E-mails enviados ou recebidos.

Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito,
direto ou indireto, não podendo supri-lo a confissão do acusado.

Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a
autoridade providenciará imediatamente para que não se altere o estado das coisas até a
chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos. (Vide Lei nº 5.970, de 1973)
Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e
discutirão, no relatório, as conseqüências dessas alterações na dinâmica dos fatos. (Incluído
pela Lei nº 8.862, de 28.3.1994)

Art. 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidadede nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas“.

Art. 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da
coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que
instrumentos, por que meios e em que época presumem ter sido o fato praticado".

Depois dos primeiros registros da cena e de garantida a segurança do local e da equipe, foi
voltado toda a atenção para a varredura minuciosa e sistemática da cena.
 12

3.1.4. Exame dos dados

Todo o material coletado é minuciosamente examinado em busca de evidências, permitindo

formular conclusões acerca do incidente que originou a investigação.

 Correlacionamento de logs.
 Análise do tráfego da rede (logs de roteadores, firewalls, ...).
 Histórico do shell.
 MAC Times.
 Recuperação de arquivos apagados ou análise do dump do disco.
 Análise de artefatos encontrados no sistem;.
 Arquivos que haviam sido removidos e foram recuperados;
 Arquivos ocultos;
 Fragmentos de arquivos encontrados nas áreas não alocadas;
 Fragmentos de arquivos.

Foram encontrados arquivos excluídos, trechos de texto encontrados em parte do disco não
alocada pelo sistema de arquivos e trechos de texto encontrados em setores alocados por
outros arquivos.
Foram realizadas buscas por comandos e endereços IP que poderiam gerar os logs
apresentados em formato impresso
Em nenhum momento foi encontrado algum indício de invasão propriamente dita, e sim, um
acesso remoto com um usuário e senha legítimos.
Foram constatados acessos legítimos utilizando credenciais autênticas e válidas.
Foram verificadas seqüências de comandos compatíveis com a geração dos logs impressos.
Foi realizada , então, uma busca por palavras-chave sem a utilização de expressões regulares,
pois se procuravam palavras específicas, incluindo usuário e endereço IP do servidor.
 13

3.1.5. Análise das Informações

É onde o profissional realiza o trabalho de identificação das possíveis evidências relacionadas

com o caso. Utiliza diversas ferramentas para chegar ao objetivo do trabalho que é a chamada
prova legítima.
O perito deve ser cuidadoso ao encontrar a evidência. A chamada prova deve ser
inquestionável. Todas as evidências digitais encontradas precisam ser obrigatoriamente
legítimas para ter validade jurídica. Todas as evidências digitais encontradas precisam estar
em conformidade com a lei, além de serem autênticas, exatas e completas.
Para melhor identificar e validar as evidências encontradas é necessário anotar todo o
processo, pois esta documentação é que vai validar os métodos utilizados assim como as
provas encontradas. Uma investigação bem sucedida tem necessariamente uma boa
documentação e ela deve incluir informações tais como:

 Quem executou uma ação;

 Por que executou tal ação;
 Qual era o objetivo;
 Quais ferramentas foram utilizadas;
 Os procedimentos seguidos;
 Qual foi a data e a hora da execução; e
 Quais os resultados obtidos.

Ao entrar no sistema operacional do Sr. Osama Silva ,utilizando um conjunto de ferramentas

através da unidade de CD, identificamos as seguintes evidências:
 Histórico de navegação na internet com diversas pesquisas sobre assuntos ligados a
sites e imagens de pornografia..
 Várias imagens de pornografia no disco C .
 Um documento texto encontrado na lixeira do Windows XP Professional com
conteúdo sobre pedofilia.
 14

3.1.5.1. Ferramentas de Perícia utilizadas

O profissional de forense computacional deve sempre contar com um conjunto de ferramentas

de hardware ou software que o auxiliem na obtenção das provas durante um processo
investigativo.

 PORNSTICK

PornStick, detector digital de pornografia que realiza uma espécie de varredura no

computador para captar imagens que explorem ou sugiram conteúdo pornográfico. A imagem
é identificada mesmo que tenha sido apenas visualizada na internet ou ainda que o arquivo
tenha sido apagado do computador. Figura 3

Figura 3: PornStick
 15

 Afind.exe

Ferramenta da linha de comando utilizada para listar os arquivos acessados por um

determinado período. Podemos procurar por arquivos modificados nos últimos segundos,
minutos, horas ou dias.

 Arp.exe

Utilitário de linha de comando utilizado para verificar a conversão de endereço IP para um

endereço MAC. Com ele é possível verificar conexões de rede recentes. Figura 4

Figura 4: comando arp

 Cacls.exe

Ferramenta de linha de comando que mostra quem tem acesso ao arquivo e seus respectivos
direitos de acesso. Figura 5

Figura 5: comando cacls

 16

 Cipher.exe

Ferramenta utilizada para verificar a criptografia de arquivos e pastas. Exibe informações do

estado da criptografia. Quando utilizado com a opção /h exibe informações ocultas e atributos
do sistema. Figura 6

Figura 6: comando cipher

 Date.exe

Utilizado para capturar a data e a hora do sistema. O programa pode ser utilizado para
registrar a data e hora de início e fim de uma perícia. Figura 7

Figura 7: comando date

 17

 Dumpel.exe

Esta ferramenta possibilita gerar relatórios de qualquer arquivo de log do Windows XP

Professional.

 File Scavenger

É uma ferramenta de recuperação de arquivos em disco nos formatos FAT12, FAT16, FAT32
e NTFS. Quando os arquivos são excluídos do disco, na realidade eles ainda estão lá, até que
seu espaço utilizado no disco seja subscrito por outro arquivo. Figura 8

Figura 8
 18

 Netstat

Permite visualizar informações sobre as conexões de rede atuais. (endereços IP de origem e

destino, estado das conexões e o programa associado a cada uma das portas, etc.). Figura 9

Figura 9: comando netstat

As ferramentas forneceram resultados relevantes causando o mínimo de distorção possível no

sistema analisado.

3.1.6. Interpretação dos Resultados

O Laudo pericial é um relatório técnico sobre a investigação, onde são apontados os fatos,
procedimentos, análises e resultados. O laudo é considerado como prova em um processo.
Após os exames e análise das informações foi elaborado o laudo pericial, no qual foi utilizada
uma linguagem técnica acessível, sem excessos, seguindo recomendações de normas técnicas
apropriadas. Foi informada toda a metodologia utilizada, técnicas empregadas, incluindo
programas e materiais. Foi explanado conclusões cronológicas sobre o que ocorreu, ou seja,
“a‫ ‏‬reconstrução” do evento. Por fim, foi elaborado afirmações que possam ser provadas e
demonstradas, sobre as quais baseará a conclusão.

O laudo pericial é organizado em seções:

 Finalidade da investigação
 Autor do laudo
 Resumo do incidente
 19

 Relação de evidências analisadas e seus detalhes

 Conclusão
 Anexos
 Glossário (ou rodapés)

Também devem constar no laudo pericial:

 Metodologia
 Técnicas
 Softwares e equipamentos empregados

Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão minuciosamente o que
examinarem, e responderão aos quesitos formulados. (Redação dada pela Lei nº 8.862, de
28.3.1994)

Parágrafo único. O laudo pericial será elaborado no prazo máximo de 10 (dez) dias,
podendo este prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos.
(Redação dada pela Lei nº 8.862, de 28.3.1994)

Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas.

Após as conclusões, foi constatado o ato ilícito tipificado pela lei:

Lei n° 10.764, de 12.11.2003, Pedofilia

Art. 240 do Estatuto da Criança e do Adolescente: Produzir ou dirigir representação teatral,

televisiva, cinematográfica, atividade fotográfica ou de qualquer outro meio visual,
utilizando-se de uma criança ou adolescente em cena pornográfica, de sexo explicito ou
vexatória: (redação dada pela lei n.º 10.764, de 12.11.2003).

Pena: reclusão de dois a seis anos, e multa.

§1º - Incorre na mesma pena quem, nas condições deste artigo, contracena com criança ou
 20

adolescente. (Renumerado do parágrafo único pela lei n.º 10.764, de 12.11.2003).

§2º - A pena é de reclusão de três a oito anos: (incluído pela lei n.º 10.764, de 12.11.2003)

I. Se o agente comete o crime no exercício de cargo ou função;

II. Se o agente comete o crime com o fim de obter para si ou para outrem vantagem
patrimonial.

Art. 241- Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de
comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens
com pornografia ou cenas de sexo explicito envolvendo criança ou adolescente: (redação
dada pela lei n.º 10.764, de 12.11.2003).

Pena – reclusão de dois a (seis) anos, e multa.

§1º. Incorre na mesma pena quem: (incluído pela lei n.º 10.764, de 12.11.2003).

I. Agencia, autoriza, facilita ou, de qualquer modo, intermedia a participação de crianças e

adolescente em produção referida neste artigo;

II. Assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens
produzidas na forma do caput deste artigo;

III. Assegura, por qualquer meio, o acesso, na rede mundial de computadores ou internet, das
fotografias, cenas ou imagens produzidas na forma do caput deste artigo.

§ 2º. A pena é de reclusão de 3(três) a 8(oito) anos (incluido pela lei 10.764, de 12.11.2003).

I. Se o agente comete o crime prevalecendo-se do exercicio de cargo ou funcão;

II. Se o agente comete o crime com o fim de obter para si ou para outrem vantagem
patrimonial.

Art. 244 – A. submeter criança ou adolescente, como tais definidos no caput do art. 2º. Desta
lei, a prostituição ou a exploração sexual: (incluído pela lei n.º 9.975, de 23.06.2000).
 21

Pena – inclusão de 4 (quatro) a 10 (dez) anos, e multa.

§1º. Incorrem nas mesmas penas o proprietário, o gerente ou o responsável pelo local em que
se verifique a submissão de criança e adolescente as práticas referidas no caput deste
artigo.(incluído pela lei n.º 9.975, de 23.06.2000).

§2º. Constitui efeito obrigatório da condenação a cassação da licença de localização e de

funcionamento. (incluído pela lei n.º 9.975, de 23.06.2000).

3.2. CASO II

3.2.1. Introdução

Recentemente o Diretor-Presidente da Consultoria Gama Delta, organização que presta

consultoria em planejamento estratégico para várias grandes empresas e órgãos de governo,
suspeitando que algum de seus funcionários tenha vazado informações sobre contratos e
projetos que estão disponíveis em seus sistemas, contratou uma equipe de profissionais para
realizar trabalho pericial que ensejará em futuras ações nos campos penal, cívil e trabalhista.

3.2.2. Características do equipamento apreendido

A empresa possui a seguinte configuração de arquitetura de TI:

 01 (um) servidor de arquivos, que também funciona como controlador de domínio,

baseado em S.O. Windows 2003 Server;

 01 (um) servidor de correio eletrônico, web e Proxy, baseado em S.O Linux RedHat;

 01 (um) equipamento firewall baseado em S.O Linux RedHat, com IPTABLES;

 22

 10 (dez) network computers (computadores do tipo “clientes‫‏‬magros”‫‏‬ou‫‏‬Thin‫‏‬Clients),‫‏‬

destinados aos usuários finais (funcionários). Tais equipamentos não possuem discos
rígidos, sendo que o armazenamento de arquivos produzidos é todo realizado no
servidor de arquivos; Figura 10

Figura 10: Computadores – Thin Clients

 01 (uma) conexão com a Internet padrão xDSL;

 01 (um) profissional de tecnologia da informação que é responsável pela infra-

estrutura de redes, administração de políticas de usuários e grupos e segurança da
informação.

Dados complementares importantes:

Conforme a política de segurança da informação, conhecida por todos os funcionários, não

permite que sejam utilizados recursos de emails externos à empresa (ex: gmail; Yahoo mail
ou hotmail). Também não permite que as portas USB possam ser utilizadas para inserção de
unidades de armazenamento de massa, tais como PenDrives ou Cartões de Memória.
 23

3.2.3. Coleta de Dados

Foi realizado o levantamento e documentado todas as fontes potenciais de dados que poderão
ser úteis na investigação.

Os mesmos itens seguidos no CASO I.

Sistema Windows

 Dados voláteis (usar preferencialmente aplicativos CUI – Console User Interface).

 Espaço livre ou não-alocado, onde se pode obter informações de arquivos excluídos.
 Logs de eventos.
 Logs dos aplicativos não gerenciados pelo serviço de log de eventos do Windows.
 Registro, que pode ser considerado um enorme arquivo de log.
 Arquivo de troca, que abriga informações alocadas recentemente na RAM
(pagefile.sys).
 Arquivos especiais em nível de aplicativo (cache de navegador).
 Arquivos temporários criados por muitos aplicativos.
 Lixeira (uma estrutura de arquivos lógicos ocultos em que itens recentemente
excluídos podem ser encontrados).
 Spool de impressão.
 E-mails enviados ou recebidos.

Sistema Linux

 Dados voláteis.
 Espaço livre ou não-alocado, onde se pode obter informações de arquivos excluídos.
 Arquivos de Logs.
 Logs dos aplicativos não gerenciados pelo Sistema Operacional.
 Arquivo de troca (Swap).
 Arquivos especiais de configuração.
 Arquivos relevantes.
 Diretórios temporários.
 E-mails enviados ou recebidos.
 24

 Processos marginais.
 Spool de impressão.

Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito,
direto ou indireto, não podendo supri-lo a confissão do acusado.

Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a
autoridade providenciará imediatamente para que não se altere o estado das coisas até a
chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos. (Vide Lei nº 5.970, de 1973)
Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e
discutirão, no relatório, as conseqüências dessas alterações na dinâmica dos fatos. (Incluído
pela Lei nº 8.862, de 28.3.1994)

Depois dos primeiros registros da cena e de garantida a segurança do local e da equipe, foi
voltado toda a atenção para a varredura minuciosa e sistemática da cena.

3.2.4. Exame dos Dados

Todo o material coletado é minuciosamente examinado em busca de evidências, permitindo

formular conclusões acerca do incidente que originou a investigação. Os mesmos itens
seguidos no CASO I.
 25

3.2.5. Análise das Informações

É onde o profissional realiza o trabalho de identificação das possíveis evidências relacionadas

com o caso. Utiliza diversas ferramentas para chegar ao objetivo do trabalho que é a chamada
prova legítima.
O perito deve ser cuidadoso ao encontrar a evidência. A chamada prova deve ser
inquestionável. Todas as evidências digitais encontradas precisam ser obrigatoriamente
legítimas para ter validade jurídica. Todas as evidências digitais encontradas precisam estar
em conformidade com a lei, além de serem autênticas, exatas e completas. Os mesmos itens
seguidos no CASO I.

3.2.5.1. Ferramentas de Perícia utilizadas

 HELIX

Este software oferece a possibilidade de executar vários processos de análise forense

computacional. Suporta diversos sistemas operacionais. Pode ser executado através de um
sistema operacional ou antes do inicio do sistema operacional. O HELIX fornece uma boa
solução com várias ferramentas que facilitam o processo além de organizar melhor o trabalho
de análise. Figura 11
 26

Figura 11: Helix3

 Autopsy Forensic Browser

A aplicação consiste em um servidor web, podendo assim ser acessada através de um

conjunto de máquinas em rede, via navegador. A ferramenta é orientada a Casos, ou seja, um
investigador deve iniciar o processo de investigação criando um novo Caso.

A busca permite que tanto o espaço alocado quanto o espaço livre sejam varridos, em busca
do padrão desejado. Há ainda um conjunto de buscas pré definidas, como busca por endereço
IP, por datas, entre outros. O sistema armazena também um histórico com as últimas buscas e
o número de resultados gerados a partir dela. Através da função "Extract Strings" é possível
extrair os strings da imagem, tornando a busca mais eficiente. Figura 12
 27

Figura 12: Autopsy Forensic Browser

3.2.6. Interpretação dos Resultados

Os mesmos itens seguidos no CASO I.

Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão minuciosamente o que
examinarem, e responderão aos quesitos formulados. (Redação dada pela Lei nº 8.862, de
28.3.1994)

Parágrafo único. O laudo pericial será elaborado no prazo máximo de 10 (dez) dias,
podendo este prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos.
(Redação dada pela Lei nº 8.862, de 28.3.1994)

Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas.
 28

Após as conclusões, foi constatado o ato ilícito tipificado pela lei:

DECRETO-LEI Nº 2.848, de 7 de dezembro de 1940 - CÓDIGO PENAL BRASILEIRO

Artigo 153 do CPB: Violação de segredo – “Divulgar alguém, sem justa causa, conteúdo de
documento particular ou de correspondência confidencial, de que é destinatário ou detentor,
e cuja divulgação possa produzir danos a outrem”.

Artigo 154 do CPB: Violação de segredo profissional – “Revelar alguém, sem justa causa,
segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja
revelação possa produzir dano a outrem”. Note-se que a ação deve ser praticada por quem
possua vínculo profissional com a empresa.

Artigo 155 do CPB: - Furto - “Subtrair para si ou para outrem coisa alheia móvel.”: nesse
rol podemos enquadrar o furto de informações (dados), o desvio de dinheiro entre contas etc.

Artigo 171 do CPB: Estelionato – “Obter, para si ou para outrem, vantagem ilícita, em
prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou
qualquer outro meio fraudulento”.

Art. 163 – “Destruir, inutilizar ou deteriorar coisa alheia”

Pena - detenção, de 1 (um) a 6 (seis) meses, ou multa.

Foram citadas apenas algumas leis, nas quais o criminoso virtual pode ser enquadrado, mas há
várias outras leis que podem ser utilizadas para a finalidade de punição de crime virtual.
 29

4. DISCUSSÃO E CONCLUSÃO

Forense computacional é um tema bastante atual e que tem recebido significativa atenção
tanto da comunidade científica quanto da indústria. Muitas fraudes eletrônicas tem se
baseado na ingenuidade de usuários e conseqüentemente na execução de malwares.
Mesmo com a existência de várias ferramentas e técnicas para destruição de provas,
prejudicando o trabalho do perito, muitas vezes a eliminação total das provas pode não ser
conseguida. Isso pode acontecer devido à ocorrência de falha humana por parte do acusado
na execução de determinada ferramenta, pela ineficiência da mesma, ou pelo esquecimento de
eliminação de alguma pista ou evidência.
Existem diversas ferramentas que podem ser utilizadas em um exame pericial. Algumas
destas ferramentas são gratuitas e podem ser obtidas através da internet, outras são oferecidas
por empresas com custo de aquisição. É importante mencionar que ao escolher as ferramentas
que serão utilizadas em uma perícia forense computacional, deve se considerar o tipo de crime
e o ambiente que será analisado. É extremamente importante seguir as boas práticas de forense para
evitar o descarte de um laudo em um processo judicial.
A validade técnica e jurídica das metodologias para recuperar dados de computadores
envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos
têm que ser tecnologicamente robustos para garantir que toda a informação útil como prova
seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na
evidência original seja alterado, adicionado ou excluído.
A identificação da autoria é possível de ser realizada, mas ainda não é uma tarefa simples,
pois disso depende o armazenamento, por um período determinado, de arquivos de registros
pelos provedores, colaboração dos mesmos, uma cooperação mútua entre todos os países,
aprovação de projetos de leis exigindo armazenamento por determinado período de tempo
pelos provedores.
Devido à globalização dos crimes digitais é de fundamental que sejam feitos, em cada país,
esforços constantes a respeito de legislação local, nacional e internacional em conjunto com a
padronização de procedimentos, criação e uso de manuais de boas práticas aceitas
internacionalmente para a forense computacional.
Deste modo este trabalho mostra que uma investigação para obter o resultado satisfatório deve
passar por uma boa identificação, preservação, análise e apresentação de evidências de crimes
digitais. Estes conceitos têm como objetivo garantir que a evidência encontrada em meio
 30

digital não sofra repúdio perante a um tribunal, garantindo assim a confiabilidade da

investigação realizada.
Ao investigador que trabalha com forense computacional cabe a tarefa de se preparar cada dia
mais. Afinal, sempre haverá trabalho duro a fazer, pois, não existe um ambiente totalmente
seguro e não existe um crime que não deixe rastros, mas os criminosos e as vítimas continuam
existindo, por isso a forense computacional e seus resultados positivos se fazem a cada dia
mais necessário.
 31

5. REFERÊNCIAS BIBLIOGRÁFICAS

BERNARDO, Adauto de Souza. Técnicas computacionais no auxílio à perícia forense na

análise de evidências coletadas em servidores GNU/Linux, junho de 2006. Universidade do
Extremo Sul Catarinense – Curso de Ciência da Computação, 06/2006. Disponível em:
http://www.esnips.com/webfolder/d0961475-0b63-4ba4-8952-f6d3fc7f761c

LEI Nº 2.848, DE 07 DE DEZEMBRO DE 1940. Associação do Ministério Público do

Estado do Rio de Janeiro. Disponível em:
http://www.amperj.org.br/store/legislacao/codigos/cp_DL2848.pdf

ROCHA, Luis Fernando. Forense computacional: A ciência da investigação eletrônica.

Módulo Security Magazine, 27/10/2003. Disponível em:
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2459&pagecounter=0&idiom
=0

COSTA, Marcelo A. Sampaio Lemos. Normas e procedimentos para a computação forense.

Instituto de Criminalística Afrânio Peixoto (ICAP). – Departamento de Polícia Técnica Bahia.
Disponível em:
http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?ModId=70

Dos REIS, Marcelo Abdalla; de GEUS, Paulo Lício. Análise forense de intrusões em sistemas
computacionais: técnicas, procedimentos e ferramentas, 2002. Instituto de Computação –
Universidade Estadual de Campinas. Disponível em:
http://www.las.ic.unicamp.br/paulo/papers/2002-Periciamarceloreis-
forense.tecnicas.procedimentos.pdf

PELLEGRINI, Jerônimo; BERTACCHI, João Eduardo Ferreira; VITA, João Paulo Rechi.
Forense computacional, 22/06/2005. Instituto de Computação – Universidade Estadual de
Campinas. Disponível em:
http://www.ic.unicamp.br/~jeronimo/abstracts/forense.pdf
 32

ARGOLO, Frederico Henrique Bohm. Análise forense em sistemas GNU/Linux – Redes de

Alta Velocidade - Universidade Federal do Rio de Janeiro, abril/2005. Disponível em:
http://www.ravel.ufrj.br/arquivosPublicacoes/projetofinal_fred.pdf

ROCHA, Luis Fernando. Perícia forense computacional em debate – Módulo Security

Magazine, 16/08/2004. Disponível em:
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3204&pagecounter=0&idiom
=0

GUIMARÃES, Cardoso Célio; OLIVEIRA, Flávio de Souza; dos REIS, Marcelo Abdalla; de
GEUS, Paulo Lício. Forense computacional: aspectos legais e padronização – Instituto de
Computação – Universidade de Campinas. Disponível em:
http://www.las.ic.unicamp.br/paulo/papers/2001-WSeg-flavio.oliveiramarcelo.reis-
forense.pdf

COSTA, Marcelo Antonio Sampaio Lemos; Computação Forense-Tratado de Perícia; Editora

Millennium, 2ª edição, 2003.