Computação Forense e Testes de Invasão

Computação Forense
e Testes de Invasão
Prof.ª Rita de Cássia Cordeiro de Castro
Indaial – 2021
1a Edição
Copyright © UNIASSELVI 2021
Elaboração:
Revisão, Diagramação e Produção:

Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri

UNIASSELVI – Indaial.
C355c
Castro, Rita de Cássia Cordeiro de
Computação forense e testes de invasão. / Rita de Cássia

Cordeiro de Castro – Indaial: UNIASSELVI, 2021.
217 p.; il.
ISBN 978-65-5663-852-2
ISBN Digital 978-65-5663-853-9
1. Perícia forense computacional. - Brasil. II. Centro

Universitário Leonardo da Vinci.
CDD 341
Impresso por:
Apresentação
Olá, acadêmico! Seja bem-vindo ao Livro Didático Computação Forense
e Testes de Invasão. Nós iremos abordar diversos temas, primeiramente,
começaremos compreendendo o desenvolvimento tecnológico das últimas
décadas, entendendo como as aplicações, dispositivos e infraestruturas da
Tecnologia da Informação e Comunicação (TIC) têm nos auxiliado nas mais
diversas tarefas do cotidiano, seja no ambiente doméstico ou no corporativo.
A transformação da comunicação é a mudança social mais importante

que vivenciamos nos últimos 40 anos. Seus efeitos vêm causando a chamada
Revolução da Tecnologia da Informação. As redes de computadores, os
softwares de código aberto e o rápido desenvolvimento da capacidade de
comutação e transmissão digital, proporcionaram a expansão da Internet e
consequentemente da World Wide Web, isto é, a sigla WWW. Por outro lado,
a utilização dessa infraestrutura tecnológica para a prática de crimes como
fraudes, roubo de informações e dados pessoais, dentre outros, tem causado
prejuízos e transtornos aos diversos usuários, seja pessoas físicas ou jurídicas.
Neste livro, iremos apresentar os aspectos fundamentais da perícia

forense computacional, também denominada Computação Forense,
enquanto ciência que se utiliza de métodos e técnicas de investigação para
auxiliar na resolução dos crimes cibernéticos e suas vertentes. Aprenderemos
a legislação que a ampara nos processos investigativos e na preservação do
princípio da privacidade.
Na Unidade 1, abordaremos os conceitos gerais da Perícia Forense

Computacional, apresentando sua contextualização histórica e como ela se
consolidou como uma modalidade da ciência forense. Dentro do universo
da investigação computacional, relacionaremos os tipos de exames periciais
e seus procedimentos e traçaremos um panorama do papel do profissional
de Computação Forense: o perito. Além disso, abordaremos os aspectos
mais relevantes da segurança da informação, elencando seus princípios
fundamentais e seus conceitos básicos. Estudaremos as diversas modalidades
dos crimes cibernéticos, indicando sua tipificação. Apresentaremos os tipos
de ataques mais usuais, demonstrando sua anatomia. Finalizando a unidade,
conheceremos as principais ferramentas e técnicas utilizadas pelos ethical
hacker.
Em seguida, na Unidade 2, estudaremos as técnicas de computação

forense e os processos periciais nos mais diversos dispositivos informáticos.
Apresentaremos os equipamentos específicos para o processo de duplicação/
aquisição.
No cenário da governança da segurança cibernética, relacionaremos
as normas para Perícia Forense Computacional, elencando os requisitos
para a definição de uma política de segurança alinhada com o processo
investigativo, por meio da definição das trilhas de auditoria em sistemas e
dispositivos. Finalizaremos abordando os aspectos importantes da legislação
aplicada à Forense Computacional, traçando um cenário no direito brasileiro
e no direito internacional.
Por fim, na Unidade 3, aprenderemos um pouco mais sobre perícias

em arquivos nos mais diversos formatos, como textos, imagens e áudios.
Apresentaremos um conjunto de ferramentas que possui recursos tecnológicos
para realizar perícias nos mais diversos tipos de arquivos e ambientes
informáticos. Estudaremos o método que avalia as vulnerabilidades na
segurança no ambiente computacional, conhecido como teste de penetração
(penetration test – pentest). Abordaremos as metodologias e ferramentas
utilizadas em um teste de penetração. Por fim, demonstraremos a sequência
de execução de um pentest e analisaremos os logs gerado em um ataque em
execução.

Bom estudo!

NOTA
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi-
dades em nosso material.
Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é

o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um
formato mais prático, que cabe na bolsa e facilita a leitura.
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra-
mação no texto, aproveitando ao máximo o espaço da página, o que também contribui
para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente,

apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida-
de de estudá-lo com versatilidade nas telas do celular, tablet ou computador.

Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun-
to em questão.
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa
continuar seus estudos com um material de qualidade.
Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de

Desempenho de Estudantes – ENADE.

Bons estudos!
LEMBRETE
Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela

um novo conhecimento.
Com o objetivo de enriquecer seu conhecimento, construímos, além do livro

que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você
terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen-
tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!

Sumário
UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE
E SEGURANÇA DA INFORMAÇÃO.................................................................... 1
TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE

COMPUTACIONAL...................................................................................................... 3
1 INTRODUÇÃO..................................................................................................................................... 3
2 O QUE É CIÊNCIA FORENSE .......................................................................................................... 4
2.1 A FORENSE COMPUTACIONAL................................................................................................ 5
3 INVESTIGAÇÃO FORENSE COMPUTACIONAL....................................................................... 6
3.1 PRINCÍPIOS BÁSICOS DA FORENSE COMPUTACIONAL................................................... 7
3.2 TERMOS IMPORTANTES.............................................................................................................. 9
3.3 CADEIA DE CUSTÓDIA.............................................................................................................. 12
4 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA.............................................................. 13
4.1 BOAS PRÁTICAS DURANTE A COLETA DE EVIDÊNCIAS................................................ 13
4.2 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA............................................................. 15
4.3 ELEMENTOS DO PROCESSO DE INVESTIGAÇÃO.............................................................. 16
5 O PROFISSIONAL DE FORENSE COMPUTACIONAL .......................................................... 17
5.1 ATUAÇÃO DO PERITO EM COMPUTAÇÃO FORENSE...................................................... 17
5.2 A FORMAÇÃO DO PERITO........................................................................................................ 20
RESUMO DO TÓPICO 1..................................................................................................................... 21
AUTOATIVIDADE............................................................................................................................... 22
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO......................................................................... 25

1 INTRODUÇÃO................................................................................................................................... 25
2 OS PILARES DA SEGURANÇA DA INFORMAÇÃO............................................................... 25
3 CONCEITOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO........................................... 29
3.1 VULNERABILIDADES................................................................................................................. 30
3.1.1 Vulnerabilidades de software............................................................................................. 30
3.1.2 Vulnerabilidades de hardware........................................................................................... 30
3.1.3 Vulnerabilidades de infraestrutura.................................................................................... 31
3.2 AMEAÇAS ..................................................................................................................................... 32
3.3 ATIVO DA INFORMAÇÃO......................................................................................................... 33
3.4 PROBABILIDADE ........................................................................................................................ 34
3.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO.............................................................. 34
4 A IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO (SGSI).................................................................................. 36
5 ARQUITETURA DE SEGURANÇA CIBERNÉTICA.................................................................. 38
5.1 ELEMENTOS FUNDAMENTAIS................................................................................................ 39
5.2 ELEMENTOS COMPLEMENTARES.......................................................................................... 41
5.3 DESAFIOS DA SEGURANÇA CIBERNÉTICA......................................................................... 41
RESUMO DO TÓPICO 2..................................................................................................................... 43
AUTOATIVIDADE............................................................................................................................... 44
TÓPICO 3 — CRIMES CIBERNÉTICOS.......................................................................................... 47

1 INTRODUÇÃO................................................................................................................................... 47
2 CRIMES COMETIDOS COM USO DO COMPUTADOR......................................................... 47
2.1 TIPOS DE CRIMES CIBERNÉTICOS.......................................................................................... 48
3 TIPOS DE ATAQUES CIBERNÉTICOS......................................................................................... 49
3.1 TIPOS DE INVASORES . .............................................................................................................. 49
3.1.1 Scripts Kiddies......................................................................................................................... 50
3.1.2 Hacker.................................................................................................................................... 50
3.1.3 Hacktivistas........................................................................................................................... 51
3.2 TIPOS DE ATAQUES ................................................................................................................... 52
3.2.1 Ataques ativos....................................................................................................................... 52
3.2.2 Ataques passivos................................................................................................................... 52
3.3 MODALIDADES DE ATAQUES ................................................................................................ 52
3.3.1 Negação de serviço . ............................................................................................................ 53
3.3.2 Sniffing ................................................................................................................................... 53
3.3.3 Exploração de vulnerabilidades......................................................................................... 53
3.3.4 Varredura de redes ou Scan................................................................................................. 54
3.3.5 Man-in-the-middle (MiTM)................................................................................................... 54
3.3.6 Ataque de Dia Zero . ............................................................................................................ 54
3.4 CÓDIGOS MALICIOSOS – MALWARES ................................................................................. 54
3.4.1 Worm (vermes)...................................................................................................................... 55
3.4.2 Vírus....................................................................................................................................... 55
3.4.3 Bot .......................................................................................................................................... 55
3.4.4 Spyware................................................................................................................................... 55
3.4.5 Cavalo de Troia (Trojan)....................................................................................................... 55
3.4.6 Rootkits.................................................................................................................................... 56
4 A ENGENHARIA SOCIAL E AS FRAUDES CIBERNÉTICAS................................................. 57
5 ANATOMIA DE UM ATAQUE CIBERNÉTICO.......................................................................... 60
6 FERRAMENTAS E TÉCNICAS DE ETHICAL HACKER............................................................ 64
LEITURA COMPLEMENTAR............................................................................................................. 66
RESUMO DO TÓPICO 3..................................................................................................................... 70
AUTOATIVIDADE............................................................................................................................... 71
REFERÊNCIAS....................................................................................................................................... 73
UNIDADE 2 — TÉCNICAS DE COMPUTAÇÃO FORENSE E LEGISLAÇÃO....................... 77
TÓPICO 1 — TÉCNICAS DE FORENSE COMPUTACIONAL................................................... 79

1 INTRODUÇÃO................................................................................................................................... 79
2 CONCEITOS DE FUNÇÕES HASH E SUA AMPLA APLICAÇÃO
NA COMPUTAÇÃO FORENSE...................................................................................................... 79
2.1 FUNÇÃO HASH............................................................................................................................ 82
3 A PERÍCIA EM DISPOSITIVOS DE ARMAZENAMENTO COMPUTACIONAL.............. 87
4 EQUIPAMENTOS FORENSES ESPECÍFICOS PARA DUPLICAÇÃO/AQUISIÇÃO......... 91
RESUMO DO TÓPICO 1..................................................................................................................... 95
AUTOATIVIDADE............................................................................................................................... 97
TÓPICO 2 — GOVERNANÇA DA SEGURANÇA CIBERNÉTICA........................................... 99

1 INTRODUÇÃO................................................................................................................................... 99
2 NORMAS PARA PERÍCIA FORENSE COMPUTACIONAL DO
CONTEXTO DA SEGURANÇA CIBERNÉTICA ........................................................................ 99
3 A DEFINIÇÃO DE POLÍTICAS DE SEGURANÇA CIBERNÉTICA..................................... 104
4 ESTABELECENDO E INVESTIGANDO TRILHAS DE
AUDITORIA EM SISTEMAS........................................................................................................ 108
4.1 INVESTIGANDO E ESTABELECENDO TRILHAS DE AUDITORIA EM SISTEMAS............ 110
4.2 APLICABILIDADE DE UMA TRILHA DE AUDITORIA..................................................... 112
RESUMO DO TÓPICO 2................................................................................................................... 115
AUTOATIVIDADE............................................................................................................................. 117
TÓPICO 3 — LEGISLAÇÃO APLICADA À FORENSE COMPUTACIONAL....................... 119

1 INTRODUÇÃO................................................................................................................................. 119
2 A PERÍCIA FORENSE COMPUTACIONAL NO DIREITO INTERNACIONAL............... 119
3 A JURISPRUDÊNCIA NACIONAL E ESTRANGEIRA........................................................... 124
4 A PERÍCIA FORENSE COMPUTACIONAL NO DIREITO BRASILEIRO ......................... 126
LEITURA COMPLEMENTAR........................................................................................................... 131
RESUMO DO TÓPICO 3................................................................................................................... 136
AUTOATIVIDADE............................................................................................................................. 138
REFERÊNCIAS..................................................................................................................................... 141
UNIDADE 3 — PERÍCIA EM ARQUIVOS E TESTES DE INVASÃO..................................... 145
TÓPICO 1 — PERÍCIA EM ARQUIVOS........................................................................................ 147

1 INTRODUÇÃO................................................................................................................................. 147
2 PERICIANDO ARQUIVOS............................................................................................................ 147
2.1 TIPOS DE EXAME (ANÁLISE AO VIVO X ANÁLISE OFF-LINE) .................................... 151
2.2 PERÍCIA EM VÍDEOS................................................................................................................. 153
2.3 PERÍCIA EM ÁUDIOS ............................................................................................................... 155
2.4 PERÍCIA EM IMAGENS............................................................................................................. 156
2.5 FERRAMENTAS PARA PERÍCIA EM ARQUIVOS............................................................... 157
RESUMO DO TÓPICO 1................................................................................................................... 161
AUTOATIVIDADE............................................................................................................................. 163
TÓPICO 2 — TESTE DE INVASÃO – PENTEST........................................................................... 165

1 INTRODUÇÃO................................................................................................................................. 165
2 PENTEST............................................................................................................................................. 165
2.1 PENTEST E A ANÁLISE DE VULNERABILIDADES............................................................ 167
2.1.1 Gestão de Vulnerabilidades.............................................................................................. 168
3 ELEMENTOS QUE COMPÕEM UM PENTEST......................................................................... 170
4 METODOLOGIAS E FERRAMENTAS PARA PENTEST......................................................... 172
5 FERRAMENTAS DE ATAQUE E DEFESA.................................................................................. 177
RESUMO DO TÓPICO 2................................................................................................................... 179
AUTOATIVIDADE............................................................................................................................. 181
TÓPICO 3 — ANALISANDO UM TESTE DE INVASÃO.......................................................... 183

1 INTRODUÇÃO................................................................................................................................. 183
2 ANÁLISE DE UM TESTE DE INVASÃO.................................................................................... 183
3 DEMONSTRAÇÃO DE UM TESTE DE INVASÃO.................................................................. 186
4 ANÁLISE E AVALIAÇÃO DE VULNERABILIDADES E RISCO .......................................... 188
5 ANÁLISE DE LOGS......................................................................................................................... 189
6 IDENTIFICANDO UM ATAQUE EM EXECUÇÃO.................................................................. 191
LEITURA COMPLEMENTAR........................................................................................................... 198
RESUMO DO TÓPICO 3................................................................................................................... 201
AUTOATIVIDADE............................................................................................................................. 203
REFERÊNCIAS..................................................................................................................................... 205
UNIDADE 1 —
INTRODUÇÃO À COMPUTAÇÃO
FORENSE E SEGURANÇA DA
INFORMAÇÃO
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
• compreender os principais conceitos na área de computação forense;

• entender o papel do profissional de forense computacional;
• reconhecer a importância da governança da segurança cibernética;
• distinguir tipos de crimes cibernéticos;
• identificar os tipos de ataques cibernéticos.
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.
TÓPICO 1 – CONCEITOS GERAIS DA PERÍCIA FORENSE

COMPUTACIONAL
TÓPICO 2 – SEGURANÇA DA INFORMAÇÃO
TÓPICO 3 – CRIMES CIBERNÉTICOS
CHAMADA
Preparado para ampliar seus conhecimentos? Respire e vamos

em frente! Procure um ambiente que facilite a concentração, assim absorverá
melhor as informações.
1
2
TÓPICO 1 —
UNIDADE 1
CONCEITOS GERAIS DA PERÍCIA

FORENSE COMPUTACIONAL
1 INTRODUÇÃO
Prezado acadêmico, neste tópico abordaremos os conceitos gerais
da Perícia Forense Computacional, veremos que a utilização de ambientes
informáticos cresceu de forma exponencial nas últimas duas décadas, os crimes
praticados nesses ambientes também tiveram sua escalada assustadora. A Figura
1 apresenta os tipos de exames constantes dos processos de investigação dos
crimes digitais.
Métodos e procedimentos oriundos da criminalística foram adaptados e

adequados para a investigação dos crimes praticados no ciberespaço com auxílio
de dispositivos informáticos ou que contenham informações em meio digital. O
subtópico a seguir não tem como objetivo esgotar o assunto sobre o campo da
Perícia Forense Computacional, pois este possui muitas vertentes, principalmente,
quando se trata de investigações de crimes que são aperfeiçoados a cada dia.
FIGURA 1 – PERÍCIA FORENCE COMPUTACIONAL
FONTE: Adaptada de Eleutério e Machado (2019)
3
UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO
A perícia forense computacional alicerça-se em princípios e metodologias

que devem seguir padrões rígidos para que a cena na qual o delito foi cometido
não sofra qualquer tipo de alteração.
Assim como a preservação da integridade das evidências encontradas.

Daí a razão para que o profissional executor da perícia, o perito em computação
forense, deve ter um conhecimento aprofundado nas mais diversas tecnologias
que compõem o ambiente computacional. Para sua atuação, é desejável uma
formação sólida, com certificações na área e um forte senso ético. A Figura 2, a
seguir, apresenta, de forma resumida o principal objetivo da computação forense
e seu propósito.
FIGURA 2 – OBJETIVO E PROPÓSITO DA COMPUTAÇÃO FORENSE
FONTE: Adaptada de Eleutério e Machado (2019)
Esperamos que você aproveite o tema aqui abordado e siga nas leituras e
pesquisas complementares.

2 O QUE É CIÊNCIA FORENSE

Os pilares nos quais uma ciência se constrói devem possuir bases
fundamentadas em metodologias e técnicas que permitam a construção do
conhecimento de tal forma que se alcance a verdade dos fatos. Deve-se basear na
hierarquização, organização e síntese dos conhecimentos, por meio de modelos e
princípios gerais, que incluam as leis, as teorias, os postulados etc.
4
TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL
A aplicabilidade dos métodos de pesquisa de determinado campo da

ciência respalda-se no esforço de pesquisadores e estudiosos, que, ao longo
do tempo, esforçaram-se para desenvolver um conjunto consolidado de
procedimentos para sua utilização em bases científicas.
Segundo Silva, (2020, p. 1), “O desenvolvimento da Ciência Forense vem

percorrendo um longo caminho desde a antiguidade, em que as investigações
criminais levavam em consideração as confissões e testemunhos das pessoas, pois
as práticas forenses não eram padronizadas”. No entanto, um marco importante
na sua trajetória evolutiva é atribuído ao pioneiro Edmond Locard (1877-1966),
que sistematizou a investigação criminal, ao propor a teoria da transferência, a
qual estabelece métodos para recolhimento e análise de vestígios. A teoria de
Locard afirma que quando dois corpos entram em contato, eles deixam vestígios
ou traços de si uns nos outros (VALENTIM; TOGNOLI, 2020, p. 6). Com sua
teoria, Locard contribuiu com os estudos das impressões digitais.
Locard formulou, ainda, o princípio básico da ciência forense, em que

afirma que todo contato deixa uma marca, o que ficou conhecido como o princípio
de Troca de Locard. Os métodos sistematizados por Locard dão suporte à
atividade de investigação até os dias atuais, sendo aprimorados com tecnologias
cada vez mais avançadas. A Figura 3 representa os elementos constantes da teoria
de Locard aplicada aos crimes cibernéticos.
FIGURA 3 – PRINCÍPIO DE LOCARD
FONTE: A autora
2.1 A FORENSE COMPUTACIONAL

De maneira geral, podemos definir a Ciência Forense como um “conjunto
de métodos e técnicas científicas aplicadas para a resolução de crimes” (SILVA,
2020, p. 1, grifo nosso), formando, assim, um arcabouço para apoio à investigação
nas mais diversas modalidades de delitos e atividades criminosas.
5
Sendo assim, com os avanços no uso das mais diversas tecnologias

digitais, seja a informática, a computação de alto desempenho ou a
comunicação móvel, surge a Perícia Forense Computacional. Baseada nos
preceitos da Ciência Forense, a Perícia Forense Computacional, segundo
Eleutério e Machado (2019, p. 12),
[...] tem como objetivo determinar a dinâmica, a materialidade e autoria

de ilícitos ligados à área de informática, ambientes computacionais e
seus dispositivos, tendo como questões principal a identificação e o
processamento de evidências digitais em provas materiais de crime,
por meio de métodos técnicos-científicos, conferindo-lhes validade
probatória em juízo.
TUROS
ESTUDOS FU
Nos próximos subtópicos, iremos nos aprofundar nos conceitos da Perícia

Forense Computacional e seus procedimentos metodológicos.
3 INVESTIGAÇÃO FORENSE COMPUTACIONAL

Já sabemos que a Perícia Forense Computacional se utiliza de métodos
e procedimentos oriundos da Ciência Forense, consequentemente, da ciência
criminalística, para realização de investigações de crimes praticados em ambientes
informáticos ou computacionais. Ela se consolida em um conjunto de aplicações,
técnicas, ferramentas e procedimentos, que juntos irão construir a materialidade
de um crime cibernético. A seguir, iremos abordar os principais princípios que
norteiam seus procedimentos periciais.
A Figura 4 apresenta as etapas constantes de um processo de investigação

forense digital de forma resumida. No decorrer da unidade, abordaremos os
elementos chaves do processo de investigação.
6
FIGURA 4 – A INVESTIGAÇÃO FORENSE
FONTE: A autora
3.1 PRINCÍPIOS BÁSICOS DA FORENSE COMPUTACIONAL

Segundo Hassan (2019, p. 20), “a perícia computacional forense, baseia
se no conhecimento científico para coletar, analisar, documentar e apresentar
evidências digitais relacionadas a crimes no computador”. Os objetivos de todas
essas etapas que são norteados por normas e padrões de referência, é saber o que
foi feito, quando foi feito e quem fez.
Para se alcançar os resultados satisfatórios a que se propõe uma

investigação forense é necessário a implementação de padrões rigorosos que,
segundo Hassan (2019, p. 20), “atendam ao interrogatório cruzado no tribunal.
O que inclui a obtenção de dados (tanto estáticos quanto voláteis), de maneira
legalmente válida”.
Ao utilizar uma classificação generalizada, a perícia computacional

forense divide-se em dois segmentos, que se sustentam, em parte, na volatilidade
dos dados e no estado operacional da cena do crime, a saber: a Live forensics, que
ocupasse do estado operacional dos dispositivos e dos dados voláteis, que possui
um tempo de vida curto; e a perícia post-mortem, que, segundo Hassan (2019,
p. 35, grifo nosso), “trata-se de um cópia espelho das informações armazenadas
eletronicamente (Electronically Stored Information – ESI), a partir da unidade de
disco rígido de um computador, de um celular, de um tablet ou PDA, ou de outra
mídia de armazenamento (como CDs/DVDs e pendrives), entre outros locais, de
maneira sistemática”, tendo seu foco a análise de documentos digitais.
7
A Figura 5, a seguir, apresenta a ordem de investigação dos dados em um

ambiente informático de acordo com a volatilidade de cada dispositivo, como
preconiza os procedimentos para execução de uma perícia do tipo live forensics.
FIGURA 5 – ORDEM DE VOLATILIDADE PARA UM SISTEMA TÍPICO
FONTE: Adaptada de ABNT (2013)
A coleta das evidências nesses dispositivos deverá ser realizada seguindo a

ordem de volatilidade do tempo de vida dos dados. Em um processo investigativo
não devemos menosprezar os dados arquivados nesses componentes, pois muitas
vezes poderemos encontrar informações valiosas que comprovem a autoria do
delito.
Segundo Lopes (2018, p. 27), o processo de investigação forense

computacional pode ser composto pelas etapas a seguir, podendo variar de
nomenclatura entre autores.
• coleta dos dados;

• exame;
• análise;
• relatório.
8
TUROS
ESTUDOS FU
No Subtópico 4.3, veremos um pouco mais das etapas do processo de

investigação forense computacional, e também na Unidade 2, quando iremos abordar as
normas e padrões de referência que estabelecem princípios orientadores para a coleta e
tratamento de evidências digitais.
Por ora, abordaremos os princípios da Perícia Forense Computacional,

originários da criminalística, que devem ser garantidos e observados em uma
investigação, principalmente pelo perito. Encontraremos referências a estes
princípios em Queiroz e Vargas (2010), Eleutério e Machado (2019) e Hassan
(2019):
• Princípio da objetividade: o perito, principal executor da investigação, deve

esclarecer a finalidade dos exames em seu laudo, esclarecendo qual conduta foi
adotada e qual tipo de informação ele deve procurar neste ponto, a equipe de
investigação define as diretrizes e o escopo do trabalho de forma objetiva.
• Princípio da especificidade: para resguardar este princípio, o perito deve
utilizar as ações e buscas especificadas no início da investigação que, por
conseguinte, estejam documentadas. Não se deve direcionar ações técnicas que
não estejam previamente documentadas.
• Princípio da síntese: é a capacidade que o perito deve possuir de consolidar e
demonstrar todo o conjunto de informações coletadas durante o procedimento
pericial. Um cuidado especial deverá ser dado ao uso de definições dos termos
técnicos oriundos da tecnologia da informação. Lembre-se que nem todos tem
conhecimentos dos termos da informática.
• Princípio da máxima preservação: o perito deve fazer uso, sempre que possível,
de técnicas menos invasivas visando à preservação da prova analisada.
• Princípio da celeridade: visa priorizar todos os procedimentos técnicos que
tenham como função garantir o estado das coisas. Neste caso específico, o perito
utiliza o que chamamos de ordem de volatilidade, analisando o material mais
volátil para o menos volátil, de forma a garantir a preservação de evidências
importantes.
3.2 TERMOS IMPORTANTES

Antes de prosseguir, vamos aprender a diferenciar o significado de
conceitos da Forense Computacional que certamente aparecerão em uma perícia.
Por exemplo, em uma investigação, a equipe envolvida trabalha buscando
identificar vestígios, indícios ou evidências de um crime que o autor tenha
deixado. Segundo Aguiar (2019), esses elementos poderão dar materialidade e
indicar a autoria do delito, sendo eles:
9
• Vestígio: segundo Aguiar (2019, p. 12), “[...] é qualquer sinal, objeto ou marca
que possa, supostamente, ter relação como o criminoso”.
• Evidência: segundo Aguiar (2019, p. 12), “[...] é o vestígio que após analisado
tecnicamente pela perícia, constata-se ter ligação com o crime”.
• Indício: o Código de Processo Penal considera indício a circunstância
relacionada com o delito que pressupõe a existência de outras circunstâncias
ou vestígios. Tal definição encontra se no Art. 239 do CPP (BRASIL, 1941).
Daremos especial atenção às evidências encontradas, destacando

características que deverão ser observadas em um procedimento investigativo,
sendo necessário analisar a sua relevância e importância no contexto ou escopo
dos fatos ocorridos. A identificação de evidências exige um conhecimento
aprofundado do perito.
A Figura 6 representa o registro de logs do sistema, em geral, uma fonte

importante de vestígios de crimes virtuais, uma vez que registra atividades
suspeitas no ambiente.
FIGURA 6 – VESTÍGIOS
FONTE: A autora
Vejamos, agora, os parâmetros que medem o valor da evidência e que

devem ser observados no processo pericial (PINHEIRO, 2021, p. 125):
• Admissibilidade: ter condições de ser usada no processo.

• Autenticidade: ser certa e de relevância para o caso.
• Materialidade: é a capacidade da evidência em ajudar a reproduzir os fatos
ocorridos.
• Credibilidade: que é a clareza, de fácil entendimento e interpretação.
• Confiabilidade: não devem existir dúvidas sobre sua veracidade e
autenticidade.
10
Além disso, devemos compreender, ainda, que as evidências digitais são

classificadas em dois tipos, a saber: evidências físicas e evidências demonstrativas,
detalhadas a seguir.
• Evidências físicas: são vestígios coletados no local do delito, que se

relacionam diretamente com o crime. Segundo Hassan (2019, p. 36), “[...] são
evidências criadas pelo usuário com uso de um dispositivo digital”. Devido
às particularidades dos crimes em ambientes informáticos, as evidências
físicas são preservadas a partir da adoção de procedimentos que garantam a
integridade das informações em meio digital. Na Unidade 2 veremos as normas
que estabelecem os procedimentos para tratamentos das evidências. Em um
cenário de investigação de crimes cibernéticos, citamos como evidência física
um computador ligado rodando softwares envolvidos no delito. Neste caso, o
equipamento não poderá ser desligado para que a evidência não seja destruída
ou que a cena seja contaminada. O perito usará procedimentos específicos, que
veremos mais adiante, para preservar a evidência neste caso.
• Evidências demonstrativas: originalmente produzidas a partir da evidência
física. Segundo Hassan (2019, p. 36) “este tipo de evidência digitais são criadas
por máquinas e dispositivos digitais”, tais como, logs de computadores, logs
de roteadores, registros de logs, dados em cache e registradores, dentre outros,
uma vez que se originam das evidências físicas, tais como computadores e seus
periféricos.
Segundo Hassan (2019, p. 40), “[...] a evidência digital deve ser examinada
somente por profissionais treinados que tenham a habilidade e o conhecimento
necessário manipular dados sensíveis. Qualquer manipulação errada na
evidência poderá destruir toda a investigação”. Devido à diversidade de dados,
é possível que alguma evidência importante possa passar despercebida, somente
um profissional bem treinado será capaz de encontrá-la.
Para Aguiar (2019), toda e qualquer informação digital capaz de

determinar que houve uma intrusão ou que se caracterize como alguma ligação
entre o atacante poderá ser considerada como uma evidência. A Figura 7 relaciona
algumas das principais fontes de evidência em um sistema computacional.
No caso da Perícia Forense Computacional, as fontes de evidências podem

ser as descritas a seguir – esta lista não é definitiva, tudo vai depender do escopo
e do cenário do delito, que para Hassan (2019, p. 36) são:
• dispositivos de armazenagem na CPU (registradores e caches);

• memória de periféricos (roteadores, switches, impressoras etc.);
• memória principal;
• tráfego da rede;
• dispositivos de armazenagem secundária;
• logs de utilização do sistema operacional;
• trilhas de auditoria nos sistemas;
• aparelhos celulares e tablets, dentre outros.
11
FIGURA 7 – FONTES DE EVIDÊNCIA
FONTE: A autora
3.3 CADEIA DE CUSTÓDIA

A apreensão envolvendo dispositivos informáticos deve levar em conta a
diversidade de ambientes e equipamentos, que de alguma forma pode armazenar
vestígios e evidências do delito. Portanto, é de suma importância a aplicação dos
procedimentos da cadeia de custódia.
No contexto legal, cadeia de custódia visa resguardar as evidências físicas

ou eletrônicas por meio do registro da documentação cronológica ou histórica
que registra a sequência de custódia, controle, transferência, análise e disposição
(BRASIL, 2013).
Nos registros de custódia, deve ficar estabelecido quem, como e onde

os elementos foram manuseados e analisados, garantindo assim que não houve
adulteração das provas.
Segundo Eleutério e Machado (2019), o perito deve seguir quatro etapas

básicas para que se dê início a cadeia de custódia, a saber:
• O que apreender?
• Como apreender?
• Como descrever o material apreendido?
• Como acondicionar e transportar o material apreendido?
Para garantir que os procedimentos da cadeia de custódia sejam

observados, o perito deve ser capaz de descrever claramente como a evidência foi
encontrada, como ela foi tratada e tudo o que aconteceu com ela.
A NBR ISO/IEC 27037:2013, que veremos na Unidade 2, serve como

orientação para essa tarefa. Dessa forma, devem ser documentados:
12
• onde, quando e por quem a evidência foi descoberta e coletada;

• onde, quando e por quem as evidências foram tratadas ou examinadas;
• quem teve a custódia da evidência, durante o período;
• como foi armazenado;
• quando a evidência mudou de custódia, quando e como ocorreu a transferência
(inclui números de envio etc.).
A RFC 3227 (BREZINSLI; KILLALEA, 2002), embora seja um documento

de referência antigo, estabelece princípios orientadores para a coleta de evidência,
além de descrever os elementos da cadeia de custódia para crimes informáticos.
Veremos na Unidade 2 os procedimentos para execução da cadeia de

custódia, em consonância com as normas vigente que definem as etapas para sua
realização. O não atendimento rigoroso de suas etapas poderá comprometer a
investigação na sua totalidade e, consequentemente, invalidar provas perante o
juiz.
4 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA

Agora que já conhecemos alguns dos princípios que devem ser seguidos
pelo perito em um procedimento pericial, vamos começar a detalhar melhor
os procedimentos e técnicas utilizadas em uma investigação de Forense
Computacional.
4.1 BOAS PRÁTICAS DURANTE A COLETA DE EVIDÊNCIAS

Como visto, a perícia forense computacional busca recuperar, por meio
de um processo de investigação, informações, que possam ser evidências de um
delito, em dispositivos digitais.
O processo forense inclui quatro etapas: coleta, exame, análise e

relatórios. No entanto, é preciso definir um código de boas práticas para que as
evidências não percam seu valor por descuido ou ausência de conhecimento do
perito.
Brezinsli e Killalea (2002), em sua RFC 3227, oferecem diretrizes para

coleta e arquivamento de evidências digitais.
A RFC 3227 estabelece procedimentos para a coleta de evidências digitais

com base na volatilidade dos dados. A cadeia de custódia envolve a coleta,
manuseio e armazenamento seguro de evidências, conforme fluxo representado
na Figura 8.
13
FIGURA 8 – FONTES DE EVIDÊNCIA
FONTE: Adaptada de Brezinsli e Killalea (2002)
Devemos lembrar que o sucesso da investigação depende do correto

manuseio das evidências encontradas, bem como a preservação de todos os dados
obtidos. Cabe ressaltar que as práticas aqui recomendadas estão propostas na sua
integridade na RFC 3227 (BREZINSLI; KILLALEA 2002, p. 2, tradução nossa):
• observe se o local possui uma política de segurança, consulte o

pessoal responsáveis pela resposta a incidente;
• capture uma imagem do sistema;
• seja organizado e anote datas, horários e o máximo de informações
relevantes possível. Observe o fuso horário correto. As notas e
impressões devem ser assinadas e datadas;
• evite modificar ou atualizar os tempos de acesso aos arquivos e
diretórios;
• a coleta da evidência deve ser realizada antes da análise;
• utilize procedimentos automatizados, além de uma metodologia
que respalde sua coleta.
DICAS
Você pode ler a RFC 3227 na íntegra, em: https://bit.ly/3ixmeIJ.
14
4.2 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA

Devido ao aumento da demanda para investigações em ambientes
informáticos, é preciso estabelecer uma padronização para realização dos exames
nos diversos equipamentos, dispositivos, sistemas e aplicações. Eleutério e
Machado (2019) relacionam os tipos de exames de perícia forense computacional
nas seguintes modalidades:
• Exame e procedimentos em locais de crime de informática: segundo Eleutério

e Machado (2019), este tipo de exame caracteriza-se pelo mapeamento,
identificação e correta preservação dos equipamentos computacionais
apreendidos, objetivando a preservação das evidências para posterior exame
em laboratório.
• Exame em dispositivos de armazenamento computacional: são os mais
solicitados, consistindo em analisar arquivos, sistemas e programas instalados
nos diversos meios de armazenamento computacional.
• Exames em aparelhos de telefone celular: utiliza ferramenta de extração de
dados capaz de recuperar dados apagados e informações armazenadas.
• Exame em mensagens eletrônicas (e-mails): correspondem basicamente à
análise das propriedades das mensagens eletrônicas, com vistas a identificar
hora, data, endereço IP e outras informações do remetente da mensagem.
• Exames em sites da internet: consistem principalmente na verificação e cópia
dos conteúdos existentes em sites e servidores remotos dos mais variados
serviços.
Segundo Brezinsli e Killalea (2002, p. 2), “[...] para cada dispositivo, uma
abordagem metódica deve ser adotada, que segue as diretrizes estabelecidas
em seu procedimento de coleta, exame, análise e resultados obtidos”. No ciclo
de investigação forense, as etapas, do procedimento pericial, englobam as fases
descritas na Figura 9, coleta, exame, análise e resultados obtidos.
FIGURA 9 – CICLO DA INVESTIGAÇÃO DE FORENSE COMPUTACIONAL
15
FONTE: Adaptada de <https://bit.ly/3Bdgbjb>. Acesso em: 21 jun. 2021.
4.3 ELEMENTOS DO PROCESSO DE INVESTIGAÇÃO

As etapas listadas no Subtópico 3.1 são definidas em vários padrões de
referência, no Brasil temos a NBR ISO/IEC 27037:2013, que propõe diretrizes
para identificação, coleta, aquisição e preservação de evidência digital. O Internet
Engineering Task Force (IETF) adota como padrão a Request for Comments (RFC)
3227, que apresenta diretrizes para coleta e arquivamentos de evidências digitais.
Nos Estados Unidos o National Institute of Standards and Technology (NIST), agência
reguladora federal, propõe a padronização por meio da sua norma NIST-800-86
(Guia para Integração de Técnicas Forense e Resposta a Incidente).
Agora, iremos conhecer um pouco melhor cada uma dessas etapas, que,
juntas, compõem parte dos procedimentos de investigação.
Coleta dos dados: nesta fase, o perito deve ater-se aos cuidados com
a integridade do material coletado. Para isso, o perito pode contar com uma
variedade de softwares (ferramentas) que o auxiliarão no processo de coleta,
garantindo a adequação aos padrões internacionais que prevê os requisitos para
garantia da integridade da evidência digital. Segundo Brezinsli e Killalea (2002) o
procedimento de coleta deve ser o mais detalhado possível. Deve ser inequívocos
e deve minimizar a quantidade de decisão necessária durante o processo de
coleta. Nesta etapa o perito deve realizar uma captura física da unidade de
armazenamento, ou seja uma cópia bit a bit, que fideliza a imagem coletada
(HASSAN, 2019).
Exame: nesta fase, o trabalho do perito relaciona-se com a aplicação de

métodos, para a recuperação, preservação e organização dos dados obtidos na
coleta. Então, nesta etapa, o uso de ferramentas para forense computacional, como
o EnCase, Sleuth Kit e o Forensics Toolkit (FTK), é importante, pois certificam
a adoção de procedimentos cientificamente comprovados e inquestionáveis.
Convém ressaltar que todo “o processo de exame é realizado na imagem forense
ou disco que foi duplicado na cena do crime” (LOPES, 2018, p. 29).
16
Análise: nesta etapa, o conteúdo dos arquivos de imagem forense é,

de fato, analisado. Aqui o perito deverá aplicar seu conhecimento no uso das
diversas ferramentas de análise forense computacional, “com o objetivo de
encontrar evidências escondidas” (HASSAN, 2019, p. 45). Para auxiliar na etapa
de análise, encontramos no mercado ferramentas especializadas, como o EnCase,
Sleuth Kit, o Volatily e o Forensics Toolkit (FTK), dentre outras. O uso de tais
ferramentas maximiza o tempo de análise do material coletado, além de certificar
que os requisitos de boas práticas em computação forense foram respeitados, pois
são concebidas em conformidade com os padrões de referência internacional.
Resultado: trata-se da última fase do procedimento de investigação forense

computacional, caracterizado pela escrita da redação e apresentação do relatório
que contém o laudo pericial. Para Eleutério e Machado (2019, p. 109) “a redação
do laudo pericial, é o momento em que serão organizadas todas as informações
levantadas durante o processo de investigação”. Por ser o documento que será
apresentado ao juiz, o laudo deverá ter uma redação clara, coerente e caso haja
a necessidade de utilização de termos técnicos será preciso explicá-los. Neste
momento, o perito deverá exercer sua capacidade de síntese, pois o texto deverá
conter o detalhamento das evidências, os métodos utilizados, “descrevendo os
procedimentos, técnicas e ferramentas que foram utilizadas” (HASSAN, 2019,
p. 319). O laudo deverá contar ainda com anexos, onde serão inseridas toda a
documentação gerada.
5 O PROFISSIONAL DE FORENSE COMPUTACIONAL

O profissional habilitado a conduzir e executar perícias e investigações
em ambientes computacionais é o Perito em Computação Forense. Dentre suas
atribuições, está a análise de ambientes digitais (sistemas, hardwares, softwares
e mídias) objetivando a detecção de delitos, fraudes e outras tantas modalidades
de crimes cibernéticos.
A intervenção do perito em ambientes informáticos, onde possa ter

ocorrido um delito, nesses sistemas é necessário realizar o levantamento de
evidências, que servirão como comprovação de um crime. As evidências digitais,
possuem a particularidade de se perder com muita facilidade, devido a sua
característica volátil. Assegurar sua integridade é papel do perito, que precisar
ter conhecimento das ferramentas e procedimentos para esta finalidade. Cabe
ressaltar que o perito deve obedecer aos princípios, já mencionados, da perícia
forense computacional em todas as etapas do procedimento investigatório.
5.1 ATUAÇÃO DO PERITO EM COMPUTAÇÃO FORENSE

Dentre as diversas atribuições que um perito em computação forense lida
no decorrer do seu trabalho podemos citar, segundo Eleutério e Machado (2019, p.
12), “[...] peritos elaborarão o laudo pericial, no qual descreverão minuciosamente
o que examinarem e responderão aos quesitos formulados”.
17
Nos processos de coleta e análise, o perito deve respeitar os princípios

vistos no Subtópico 3.1, atentando para a máxima preservação que garante a
mínima interferência no ambiente periciado, o que exige destreza no manuseio
das ferramentas utilizadas para esses propósitos.
Com relação ao respeito e atendimento às leis e legislação específica, o

quesito que irá garantir a legitimidade e licitude da prova é uma questão central,
uma vez que somente uma evidência adquirida dentro dos procedimentos
padronizados poderá ser aceita em juízo, servindo como prova legalmente válida
para solucionar um crime. Em outras palavras, o perito forense computacional
deve reunir conhecimentos de áreas como direito, uma vez que deverá conhecer
a legislação atualizada, da informática (no trato com as ferramentas, aplicações e
manuseio do hardware), além do domínio da escrita, para elaboração dos laudos,
relatórios e formulação dos quesitos. A atuação do perito em computação forense
pode ser realizada das seguintes formas:
• Perito judicial ou perito nomeado: nomeado pelo juiz, são profissionais

especialistas da área, de nível universitário, devidamente inscritos no órgão de
classe competente. Sendo sua convocação respaldada pelo Código de Processo
Civil, que foi alterado pela Lei nº 13.105, de 16 de março de 2015, que acrescenta
os parágrafos a seguir.
Art. 156 [...]

§ 1º - Os peritos serão escolhidos entre profissionais de nível
universitário, devidamente inscritos no órgão de classe competente,
respeitado o disposto no Capítulo VI, seção VII, deste Código.
§ 2º - Os peritos comprovarão sua especialidade na matéria sobre
que deverão opinar, mediante certidão do órgão profissional em que
estiverem inscritos.
§ 3º - Nas localidades onde não houver profissionais qualificados que
preencham os requisitos dos parágrafos anteriores, a indicação dos
peritos será de livre escolha do juiz” (BRASIL, 2015).
• Assistente técnico: trata-se de um profissional especialista em informática,

geralmente da área de computação forense, contratado por uma das partes
em um processo civil, para formulação de quesitos que exijam domínio da
linguagem técnica e conhecimento para interpretação dos termos. Sua atuação
é garantida pelo Código de Processo Civil, no Art. 159: “§ 3º Serão facultadas ao
Ministério Público, ao assistente de acusação, ao ofendido, ao querelante e ao
acusado a formulação de quesitos e indicação de assistente técnico” (BRASIL,
2015).
• Perito oficial: pode ser nomeado judicialmente, desde que seja ocupante de
cargo público (concursado), atuando como peritos especialistas em informática
da polícia, seja civil (do estado) ou federal (BRASIL, 1941).
• Consultor: profissionais especialistas em informática, que atuam em empresas
privadas na função de auditores de sistemas, por exemplo, ou consultores
independentes, podem proceder uma investigação, quando contratados para
tal (LOPES, 2018). Tendo seu relatório final o mesmo peso que um parecer
perante a corte da lei.
18
O infográfico apresentado na Figura 10 apresenta informações sobre

a classificação e funções desempenhadas pelo perito em um processo de
investigação.
FIGURA 10 – PAPEIS DO PERITO FORENSE
FONTE: Adaptado de Lopes (2018, p. 12)
19
5.2 A FORMAÇÃO DO PERITO

Para atuar profissionalmente como perito em forense computacional,
faz-se necessária a junção de habilidades específicas, iniciando-se por um curso
superior na área e certificações que complementam o perfil do profissional.
Vejamos, a seguir, algumas características do perfil profissional do perito em
computação forense.
• Conhecimento em informática, funcionamento dos sistemas operacionais,

infraestrutura computacional, sistemas de arquivos, dentre outros.
• Conhecimento dos domínios da segurança da informação, principalmente da
gestão de vulnerabilidade, redes de computadores, mecanismos e serviços de
segurança cibernética.
• Conhecimento dos princípios do direito eletrônico e digital.
• Domínio das ferramentas, técnicas e metodologias da perícia forense
computacional.
• Familiaridade com a leitura de logs e registros de trilha de auditorias.
• Pensamento lógico.
• Conhecimento das leis envolvidas.
No Brasil, são ofertadas diversas certificações que capacitam o profissional

a atuar como perito em forense computacional, bastando uma busca rápida na
web para encontrar diversas empresas provedoras das certificações. Por exemplo,
a Computer Hacking Forensic Investigator (CHFI) da EC-Council é uma certificação
que prepara o profissional para a condução de auditorias que visam prevenir
futuros incidentes. Recomenda-se também a System Administration, Networking,
and Security Institute (SANS). No Brasil, é impossível não mencionar o Grupo
Perícia Forense Aplicada à Informática, que, há bons anos, cumpre sua missão de
reunir e servir de apoio aos profissionais de forense digital.
Que tal conhecer um pouco mais da formação de hacker ethical. Verifique o

UNI DICAS que preparamos para você referente ao tema.
DICAS
• CHFI – Computer Hacking Forensic Investigator: https://www.eccouncil.org/.

• GCFA – GIAC Certified Forensic Analyst: https://www.sans.org/cyber-security-courses/.
• GCFE – GIAC Certified Forensic Examiner: https://www.sans.org/cyber-security-courses/.
20
RESUMO DO TÓPICO 1
Neste tópico, você aprendeu que:
• Os princípios que norteiam os processos de investigação de uma perícia

forense computacional são oriundos da criminalística. Esses foram adaptados
e adequados para a investigação dos crimes praticados no ciberespaço e/
ou praticados com auxílio de dispositivos informáticos ou que contenham
informações em meio digital.
• A ordem de volatilidade dos componentes analisados em om procedimento

de Forense Computacional é uma recomendação de boas práticas, que visa
garantir o estado das coisas. Então, a etapa de coleta se iniciará do dispositivo
que possui maior volatilidade de seus dados, para o de menor volatilidade.
• Os padrões de referência auxiliam o perito na escolha dos procedimentos

metodológicos, que respaldarão o resultado da perícia. Uma vez que o laudo
pericial é o documento que será apresentado ao juiz. O qual deverá ter uma
redação clara, coerente e, caso haja a necessidade de utilização de termos
técnicos, será preciso explicá-los.
• As etapas básicas de um procedimento investigativo são executadas com o

auxílio de ferramentas para forense computacional, desenvolvidas para dar
celeridade e conformidade ao processo.
• O mercado oferece certificações para os profissionais que queiram se especiali-

zar e atuar como perito extrajudicial.
• Os peritos judiciais são servidores públicos de carreira, concursados para

exercer esta função.
21
AUTOATIVIDADE
1 Com base nos preceitos da Perícia Forense Computacional, dentre os

quais se incluem a determinação da dinâmica, a materialidade e autoria
de ilícitos ligados à área de informática, em ambientes computacionais
e seus dispositivos. Temos como questões principais a identificação e o
processamento de evidências digitais, como provas materiais de um crime.
Sobre os procedimentos técnicos e científicos adotados em uma perícia,
assinale a alternativa CORRETA:
a) ( ) As evidências encontradas durante o procedimento pericial, por meio

de métodos técnicos-científicos, conferem validade probatória em juízo.
b) ( ) As evidências encontradas durante o procedimento pericial, por meio
de métodos técnicos-científicos, não conferem validade probatória em
juízo.
c) ( ) Se as evidências, ao serem coletadas, não tiveram a ordem de volatilidade
observada, não confere validade em juízo.
d) ( ) As evidências encontradas fora do escopo delineado pela equipe
conferem validade probatória em juízo, uma vez que se caracteriza
como princípio da materialidade.
2 Considera-se os princípios da Perícia Forense Computacional, originários da

criminalística, que devem ser garantidos e observados em uma investigação,
a saber: princípio da objetividade, da síntese e da especificidade. Com base
nas definições de tais princípios, analise as sentenças a seguir:
I- O princípio da objetividade se relaciona ao requisito para esclarecer a

finalidade dos exames no laudo, estabelecendo qual conduta foi adotada
e qual tipo de informação ele deve procurar.
II- O princípio da especificidade se relaciona com ações e buscas, mesmo que
essas diligências não estejam documentas no escopo da investigação.
III- O princípio da síntese se relaciona com a capacidade que o perito deve
possuir de consolidar e demonstrar todo o conjunto de informações
coletadas durante o procedimento pericial.
Assinale a alternativa CORRETA:
a) ( ) As sentenças I e II estão corretas.

b) ( ) Somente a sentença II está correta.
c) ( ) As sentenças I e III estão corretas.
d) ( ) Somente a sentença III está correta.
22
3 No contexto legal, a cadeia de custódia visa resguardar as evidências
físicas ou eletrônicas por meio do registro da documentação cronológica
ou histórica que registra a sequência de custódia, controle, transferência,
análise e disposição. No processo de coleta de uma evidência, em uma cena
de crime em um computador que ainda está ligado, em que você precisa
preservar o máximo de vestígios possíveis, a utilização de boas práticas
é essencial. Seguindo os procedimentos inerentes da cadeia de custódia e
aplicando as melhores práticas, classifique V para as sentenças verdadeiras
e F para as falsas:
( ) Não desligue o computador. Documente o passo a passo de todo o

processo, anotando data, hora e checando o fuso horário do local.
( ) No caso de o computador estar ligado, desligue-o, desconecte todos os
cabos de energia, embale cuidadosamente o computador, etiquete com
dados da cena do crime e leve tudo para o laboratório.
( ) Seja organizado. Anote datas, horários e o máximo de informações
relevantes possível, incluindo os logs de acesso ao computador. Observe
a hora constante no sistema operacional. As notas e impressões devem ser
assinadas e datadas.
Assinale a alternativa que apresenta a sequência CORRETA:
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) F – V – F.
d) ( ) F – F – V.
4 Disserte sobre os procedimentos investigativos que o perito deve adotar em

um cenário de crime de posse, transmissão e/ou produção de pornografia
infanto-juvenil.
5 Em um cenário de buscas e apreensões de informática, o tipo de investigação

é um fator a ser considerado para a tomada de decisão sobre apreender
ou não determinados equipamentos computacionais. Supondo que a
investigação é sobre a falsificação de documentos com impressão, disserte
sobre os princípios que o perito deve observar para a apreensão e análise
dos equipamentos envolvidos no delito.
23
24
TÓPICO 2 —
UNIDADE 1
SEGURANÇA DA INFORMAÇÃO
1 INTRODUÇÃO
Prezado acadêmico, antes de iniciarmos nossos estudos, vamos
compreender a importância da segurança da informação no contexto forense
computacional, campo que ganhou destaque e importância nos últimos anos
devido ao aumento de utilização das TICs. A área é decorrente da expansão do
uso de dispositivos informáticos e especialmente pela utilização das redes de
dados que, por meio de tecnologias como a Internet da Coisas (Internet of Things –
IoT), que possuem a capacidade cada vez maior de coletar, processar, armazenar e
compartilhar grandes quantidades de informações digitais. Esse volume de dados,
que cresce exponencialmente, necessita de infraestruturas computacionais cada
vez mais seguras. Isso porque, quanto mais informações digitais são coletadas e
compartilhadas, mais sua proteção torna-se essencial, pois transformam-se em
alvo potencial para a prática de diversas modalidades de crimes.
O subtópico a seguir tem como objetivo estabelecer uma ligação dos

conceitos do campo da segurança da informação com os preceitos da Computação
Forense, uma vez que um ambiente computacional inseguro possibilita a prática
de crimes informáticos, principalmente em um ambiente organizacional. Devido
à natureza da nossa disciplina, daremos ênfase à proteção de informações
armazenadas em meios digitais, aqui denominada segurança cibernética.
Veremos que a principal motivação para as violações de ambientes digitais

é a rentabilidade nas negociações de informações pessoais ou corporativas. As
invasões e ataques a sistemas no mundo inteiro vêm causando enormes prejuízos
financeiros, que vão muito além da substituição de um dispositivo roubado ou da
recuperação de uma base de dados sequestrada por hackers – vítimas de roubo
ou vazamentos de dados, empresas e indivíduos têm suas reputações destruídas
e perdas financeiras irreparáveis.
2 OS PILARES DA SEGURANÇA DA INFORMAÇÃO

Por trás de um ataque cibernético ou de uma invasão não autorizada a
sistemas, pode haver uma infinidade de motivações, como veremos no tópico
sobre crimes cibernéticos.
25
No entanto, seja qual for esta motivação, seja política, ideológica,

financeira etc., sempre restarão danos monetários, podendo ser em forma de
perda patrimonial ou algum tipo de impacto negativo na reputação da empresa.
Reforçar barreiras de segurança, para minimizar impactos negativos e diminuir as
vulnerabilidades no ambiente computacional é papel da Segurança Cibernética.
Em termos gerias, podemos definir a Segurança Cibernética como o

esforço contínuo para proteger sistemas em rede e todos os dados de usos não
autorizados ou prejudiciais (NBR ISO/IEC 27032:2015). Mas qual seria nosso
papel dentro da Segurança Cibernética no dia a dia? Responderemos esse
questionamento baseado em três cenários: indivíduo; empresa; e Estado. Vejamos
detalhadamente, a seguir.
• Como indivíduo/cidadão/usuário final: você precisa proteger sua identidade,

seus dados e seus dispositivos de computação. Uma das opções é exercendo seu
direito de exigir que as organizações que mantêm algum tipo de relacionamento
protejam seus dados adequadamente de acordo com a Lei Geral de Proteção de
Dados (LGPD).
• Como parte integrante de uma empresa (no ambiente corporativo): é
responsabilidade de todos proteger as informações corporativas, a reputação
da organização, os dados e os clientes da empresa. Para isso, a empresa adotará
os padrões e normais que orientam como implementar um Sistema de Gestão
de Segurança da Informação (SGSI).
• Como Estado: prover leis e recursos para proteção da segurança nacional e
o bem-estar dos cidadãos, assim como planos de contingência e recuperação
para as infraestruturas críticas, que podem ser alvos potencial de criminosos
cibernéticos.
Antes de prosseguirmos, cabe aqui uma referência da LGPD (Lei Geral

de Proteção de Dados), Lei nº 13.709, de 14 de agosto de 2018 (BRASIL, 2018),
que dispõe sobre o tratamento de dados pessoais, inclusive, nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade e de privacidade e
o livre desenvolvimento da personalidade da pessoa natural. Segundo Pinheiro
(2021, p. 20):
[...] a LGPD é um novo marco legal brasileiro de grande impacto,

tanto para as instituições privadas como para as públicas, por
tratar da proteção dos dados pessoais dos indivíduos em qualquer
relação que envolva o tratamento de informações classificadas como
dados pessoais, por qualquer meio, seja por pessoa natural, seja por
pessoa jurídica. É uma regulamentação que traz princípios, direitos
e obrigações relacionados ao uso de um dos ativos mais valiosos da
sociedade digital, que são as bases de dados relacionados às pessoas.
A LGPD regula o tratamento dos dados dos usuários,

principalmente em operações que manipulam de alguma forma seus dados
pessoais. Segundo Pinheiro (2021, p. 36), tais operações podem ser de “coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
26
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO
distribuição, processamento, arquivamento, armazenamento, edição, eliminação,

avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração”. Para a LGPD, dados pessoais (BRASIL, 2018, s. p.) é “toda
informação relacionada a uma pessoa identificada ou identificável, não se
limitando, portanto, a nome, sobrenome, apelido, idade, endereço residencial
ou eletrônico”, nesta categoria estão incluídos “dados de localização, placas
de automóvel, perfis de compras, número do Internet Protocol (IP), dados
acadêmicos, histórico de compras, entre outros” (PINHEIRO, 2021, p. 36).
A LGPD trata, também, dos dados pessoais sensíveis, que segundo

Pinheiro (2021, p. 36-37), são:
[...] dados que estão relacionados a características da personalidade

do indivíduo e suas escolhas pessoais, tais como origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente
a saúde ou a vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural.
A LGPD prevê, ainda, que os dados passem por um processo de

anonimização, que, segundo Pinheiro (2021, p. 37), é “a utilização de meios
técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
A LGPD é uma iniciativa para proteger os dados dos usuários de uso

abusivo, prevendo penalidades para seu vazamento, quando da insuficiência de
controles para sua segurança.
A LGPD em seu Capítulo VII, trata da Segurança e da Boas Práticas,

regulando o Sigilo de Dados em seu Art. 46, que especifica:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança,

técnicas e administrativas aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.
§ 1° A autoridade nacional poderá dispor sobre padrões técnicos
mínimos para tornar aplicável o disposto no caput deste artigo,
considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia, especialmente
no caso de dados pessoais sensíveis, assim como os princípios previstos
no caput do art. 6° desta lei (BRASIL, 2018).
Segundo Pinheiro (2021, p. 129), “no âmbito da promoção da segurança

da informação, os processos e procedimentos devem assegurar a disponibilidade,
integridade e confidencialidade de todas as formas de informação, ao longo de
todo o ciclo de vida do dado”.
Garantindo que a segurança dos procedimentos seja assegurada por

todos os agentes, estabelecendo, fundamentalmente, a preservação da trilha de
auditoria para fins de apuração. Assim, em processo de investigações no ambiente
27
corporativo, as orientações da LGPD, com relação à aderência às boas práticas,

é um instrumento que agrega valor e respaldo jurídico aos procedimentos de
forense digital.
Vimos que a LGPD dispõe sobre a segurança das informações, no tocante

a proteção dos dados pessoais dos indivíduos. Em termos práticos, esse objetivo
será alcançado por meio da implementação de controles que envolvem, também,
a Segurança Cibernética. De modo geral, a segurança da informação engloba os
preceitos da Segurança Cibernética, que é definida por Beal (2005, p. 1), como
“[...] o processo de proteger informações das ameaças para a sua integridade,
disponibilidade e confidencialidade”.
Essas características são tão relevantes que são consideradas os pilares da

segurança da informação, conhecidos também como seus princípios básicos, ou
objetivos fundamentais, representados na Figura 11.
A seguir, apresentaremos a definição de cada um desses objetivos segundo

Stallings e Brown (2014):
• Confidencialidade de dados: garante que informações privadas ou

confidenciais não fiquem disponíveis e nem sejam reveladas a indivíduos não
autorizados.
• Privacidade: “[...] garante que os indivíduos controlem ou influenciem quais
informações sobre eles podem ser coletadas e armazenadas, e por quem e para
quem tais informações podem ser reveladas” (STALLINGS; BROWN, 2014, p.
1).
• Integridade de dados: “[...] garante que iformações e programas sejam alterados
somente de maneira especificada e autorizada” (STALLINGS; BROWN, 2014,
p. 1).
• Integridade de sistemas: “[...] garante que um sistema desempenhe sua função
pretendida de maneira incólume, livre de manipulação não autorizada do
sistema, seja deliberada, seja inadvertida” (STALLINGS; BROWN, 2014, p. 1).
• Disponibilidade: relaciona-se com o pleno funcionamento dos sistemas,
garantindo sua operação sem interrupções. Os mecanismos e aplicações que
promovem a disponibilidade dos sistemas trabalham para evitar que usuários
não autorizados comprometam os serviços providos pelo ambiente.
• Autenticidade: relaciona-se com fato de assegura que a informação não sofreu
qualquer tipo de alteração da fonte até seu destino final.
28
FIGURA 11 – PILARES DA SEGURANÇA DA INFORMAÇÃO
FONTE: A autora
Conhecidos como tríade da segurança da informação, esses três conceitos

podem ser encontrados mais frequentemente na literatura sobre o assunto,
reunindo características que garantem a segurança de dados e informações.
Quando um dos princípios são afetados por algum tipo de ameaça, sinalizamos
que houve um incidente de segurança.
Para garantir o máximo de segurança, possível aos ambientes

computacionais, resguardando seus usuários de danos indesejáveis, é preciso
que as medidas de segurança visem ao atendimento aos princípios da segurança
da informação.
3 CONCEITOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO

Manter uma infraestrutura computacional segura e a salvo das diversas
ameaças advindas do espaço cibernético não é uma tarefa fácil. A adoção de uma
metodologia para identificação dos riscos se torna, então, uma questão central,
sendo a gestão de riscos uma etapa importante no desenho e concepção de um
ambiente seguro na organização.
Para você conhecer um pouco dos riscos de segurança da informação, veja

o UNI que preparamos.
29
E
IMPORTANT
No Brasil, a NBR ISO/IEC 27005:2019 estabelece uma metodologia para gestão

de riscos de segurança da informação. O âmbito de sua aplicação pode ser na organização
como um todo, ou em partes, como os processos de um departamento, uma aplicação de
Tecnologia da Informação (TI) ou uma infraestrutura de TI.
Segundo Fontes (2020, p. 94), “[...] o objetivo principal da Gestão de

Riscos de Segurança da Informação é minimizar os riscos que permitem que
ameaças interfiram na utilização, pelos usuários, da informação ou dos recursos
de informação para o atendimento aos objetivos corporativos”. A seguir, são
apresentados os principais conceitos relacionados a gestão de riscos de segurança.
3.1 VULNERABILIDADES
Vulnerabilidades de segurança são fragilidades existentes no ambiente
computacional, seja no hardware ou no software. São as chamadas brechas
de segurança, um ponto fraco que poderá ser explorado por agentes mal-
intencionados. A maioria dos ataques conhecidos tem sua origem na exploração
de uma vulnerabilidade.
3.1.1 Vulnerabilidades de software

Este tipo de vulnerabilidade normalmente é introduzido por erros no
código do aplicativo ou sistema operacional. Algumas brechas de segurança
surgem sem que os desenvolvedores de software se deem conta, ou seja, passam
despercebidas. Por isso, aplicar os patches de atualização são extremamente
importantes, pois são correções de vulnerabilidades.
3.1.2 Vulnerabilidades de hardware

Este tipo de vulnerabilidade, frequentemente, relaciona-se com falhas
de projeto de hardware. Biryukov (2015) identifica cinco vulnerabilidades de
hardware por ordem de criticidade e exposição a ameaças.
• A líder das vulnerabilidades de hardware está presente no módulo Double-

Data-Rate (DDR) Dynamic Random Access Memory (DRAM), difícil de se resolver,
pois não é possível de solucionar via reparações de softwares. Origina-se na
geometria computacional, que continua a diminuir, com isso os elementos
30
de hardware soldados no chip se aproximam uns aos outros e começam a

interferir. Nas memórias dos chips atuais esse fenômeno pode resultar em
uma espontânea mudança nas células de memória quando recebem um pulso
elétrico de células próximas.
• Nos Hard Disk (HD), o firmware do controlador pode conter erros graves, que
podem conceder controle total do disco a um invasor. Esta vulnerabilidade não
tem correção, ao ser detectada, a solução é a destruição física do disco.
• Este bug relaciona-se com porta USB universal que vinha habilitada no MacBook.
Esta vulnerabilidade permite injetar um código malicioso no controlador do
dispositivo USB (seja de um pen drive ou um teclado, ou qualquer outra coisa).
Nenhum antivírus, incluindo os produtos mais poderosos, é capaz de detectá-
lo. Esta vulnerabilidade já foi corrigida nos dispositivos novos.
• Outra vulnerabilidade específica de porta, visando a Thunderbolt (padrão de
comunicação Intel e Apple, amplamente utilizado em interfaces para conexão
entre computadores e dispositivos como HDs externos e monitores), que
permite o controle dos dispositivos por um agente malicioso.
• As vulnerabilidades de Basic Input/Output System (BIOS), antes bem comuns,
foram resolvidas com a Unified Extensible Firmware Interface (UEFI), com o
objetivo de que as medidas de segurança estejam no lugar correto com os
recursos de inicialização segura.
Verifique o UNI NOTA que preparamos para você, que traz o conceito de
Exploit.
NOTA
Exploit é o termo usado para descrever um programa escrito para utilizar

uma vulnerabilidade conhecida. O ato de usar um exploit contra uma vulnerabilidade é
conhecido como um ataque.
Com base nessa falha, foi criado um exploit chamado Rowhammer, que
ajuda um invasor a ter o controle do computador infectado. Embora os exploits de
hardware sejam mais comuns em ataques altamente específicos, a proteção contra
malware tradicional e o reforço da segurança física são proteções suficientes.
3.1.3 Vulnerabilidades de infraestrutura

Este tipo de vulnerabilidade diz respeito às fragilidades que podem ser
encontradas na infraestrutura do ambiente, como a ausência de um plano de
manutenção dos equipamentos, computadores sem a proteção adequada contra
31
malwares, cabeamento da rede expostos, ausência de proteção contra sobrecarga

elétrica, ausência de controle de acesso à sala de servidores e equipamentos de
conectividade, dentre outras.
3.2 AMEAÇAS
Outro conceito que merece destaque é o termo “ameaça”, por ser a
principal causa de incidentes de segurança, invasões não autorizadas a sistemas e
outras modalidades de crimes. Todos resultam em danos e prejuízos aos usuários
e corporações. De acordo com Santos (2019, p. 7), “Ameaça é tudo o que oferece
algum risco e tem como alvo um ou mais ativos”.
Podemos citar como exemplos de ameaças os malwares, de maneira

geral, os hackers, seja qual for sua intenção, funcionários mal treinados, dentre
outras. Também são consideradas ameaças eventos que advêm da natureza, como
vendavais, terremotos, inundações, enfim, ocorrências que podem causar danos
à infraestrutura computacional e, consequentemente, sua indisponibilidade. A
Figura 12 mostra o relacionamento entre os principais conceitos da Segurança da
Informação (SI).
Segundo a NBR ISO/IEC 27005:2019 (ABNT, 2019, p. 10), “ameaças podem

ter como fonte seres humanos e o ambiente, sendo que seres humanos podem agir
deliberadamente ou acidentalmente”. Dessa forma, quanto à origem, as ameaças
podem ser classificadas em:
• humanas deliberadas;
• humanas acidentais; e
• ambientais.
A NBR 27005:2019, estabelece que as ameaças também podem ser

organizadas quanto ao tipo (ABNT, 2019):
• dano físico: incidente com equipamento, instalação, mídia ou substância que

foi comprometido;
• eventos naturais: incidentes com fontes de água, do solo e subsolo ou do ar;
• comprometimento da informação: interceptação, destruição, furto, cópia
indevida, adulteração de hardware ou software;
• falhas técnicas: falha, defeito, saturação ou violação das condições de uso de
equipamento de informática;
• dentre outras.
32
3.3 ATIVO DA INFORMAÇÃO

O conceito de ativo da informação é utilizado para descrever todos os
equipamentos e dispositivos que de alguma forma armazena, transmite e processa
informação, incluindo nesta categoria os sistemas de informação, bem como os
locais onde estes se encontram.
FIGURA 12 – RELAÇÃO ENTRE OS CONCEITOS DA SI
FONTE: A autora
Santos (2019, p. 7) define ativos da informação como “tudo aquilo que

possui valor para um indivíduo ou organização”. Sendo ainda, qualquer recurso
(pessoas, informações, dispositivos eletrônicos etc.) que possa sofrer algum tipo
de ataque e que precise ser protegido. Vejamos alguns exemplos de ativos:
• a informação propriamente dita: mensagens, textos, dados, informações de

funcionários etc.;
• as tecnologias que suportam a informação: sistemas de informações, correio
eletrônico, computadores, a computação em nuvem etc.;
• as pessoas e processos que utilizam as informações: usuários dos sistemas,
administradores de redes, programadores etc.;
• os ambientes: espaços virtuais com informações protegidas, como sala de
servidores, salas cofre, data centers, espaços para armazenamento de mídias
etc.
O impacto de uma violação da segurança está relacionado com as

consequências que este causa aos usuários, sistemas e aos negócios. Para mensurar
o grau do impacto, é preciso utilizar-se de metodologias para a gestão de riscos,
como a proposta na NBR ISO/IEC 27005 (ABNT, 2019).
33
3.4 PROBABILIDADE
Para Santos (2019, p. 8), “a probabilidade de alguma ameaça explorar uma
vulnerabilidade presente em um ativo, também chamado de risco, que pode ser
alto, médio ou baixo”.
Todas as ações são tomadas para reduzir a probabilidade, as consequências

negativas, ou ambas, associadas a um risco e à exploração de determinada
vulnerabilidade no sistema.
3.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO

É indicado por eventos indesejados ou inesperados que tenham grande
probabilidade de comprometer às operações do negócio e ameaçar a informação,
conforme a NBR ISO/IEC 27001 (ABNT, 2013). Está relacionado com uma
ocorrência que tem a capacidade de causar interrupções no funcionamento dos
sistemas e/ou infraestrutura computacional. Um incidente de segurança sempre
causará a quebra de um ou mais princípios da segurança da informação. A Figura
13 apresenta um modelo de gestão de incidentes de segurança da informação.
O modelo prevê a proteção dos ativos da informação e a garantia dos princípios
da segurança, a confidencialidade, integridade e disponibilidade. Como vimos
anteriormente, as ameaças exploram as vulnerabilidades existentes no ambiente,
afetando os ativos da informação. Dependendo da probabilidade desta ameaça
se concretizar, os controles de segurança são implementados para a proteção do
ativo. No entanto, o sucesso de uma ameaça, ao explorar uma vulnerabilidade,
se caracteriza como sendo um incidente de segurança. Que se relaciona, também,
com a quebra de pelo menos um dos princípios da segurança da informação,
confidencialidade, integridade e disponibilidade.
FIGURA 13 – INCIDENTE DE SEGURANÇA DA INFORMAÇÃO
FONTE: Campos (2006, p. 14)
34
Uma entidade importante no monitoramento dos incidentes de segurança

no Brasil é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil (CERT.br). Trata-se do Grupo de Resposta a Incidentes de Segurança
(GRIS) de responsabilidade nacional, mantido pelo Comitê Gestor da Internet no
Brasil.
O CERT.br monitora os incidentes reportados publicando periodicamente

as estatísticas do cenário de ataques e invasões no Brasil. O Gráfico 1 apresenta a
quantidade de ataques reportados ao CERT.br de 1999 até janeiro de 2020.
GRÁFICO 1 – TOTAL DE INCIDENTES REPORTADOS AO CERT.BR POR ANO
FONTE: <https://www.cert.br/stats/incidentes>. Acesso em 8 jul. 2021.
A NBR ISO/IEC 27001:2013, ao tratar da Gestão da Continuidade do

negócio, relaciona os aspectos relativos à segurança da informação objetivando
“o tratamento de incidentes da informação e recuperação de desastres” (ABNT,
2013, p. 36). O foco é evitar a interrupção das atividades do negócio e proteger os
processos críticos contra efeitos de falhas ou desastres significativos e assegurar a
sua retomada em tempo hábil, se for o caso.
Preocupando-se com a recuperação de desastres em todos os cenários, seja

advindo de desastres naturais ou intencionais. Sendo amparado por um Plano
de Continuidade do Negócio, no qual será definida a criticidade dos recursos
envolvidos e tempo de retorno a sua operacionalidade em caso de interrupção.
A recuperação de desastre utiliza técnicas da computação forense para

restaurar dados perdidos diante de um incidente de segurança. Segundo Hassan
(2019, p. 50-51), a recuperação de desastres (e-discovery),
35
[...] preocupa-se com a busca de evidências interessantes em um

grande volume de conjuntos de dados digitais (por exemplo, fitas de
backup, servidores de armazenamento) que possam ser apresentadas
em um tribunal como parte de investigações corporativas privadas.
Ela não lida com hardware danificado, como ocorre com a recuperação
de dados.
A principal missão do CERT.br é aumentar os níveis de segurança e de

capacidade de tratamento de incidentes das redes conectadas à internet no Brasil.
Por outro lado, as organizações precisam operar em conformidade com as

normas de segurança da informação, para definir seus Planos de Continuidade
de Negócios, para minimizar os danos na infraestrutura computacional em caso
de interrupção decorrente de desastres ou incidente de segurança.
4 A IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO DE

SEGURANÇA DA INFORMAÇÃO (SGSI)
A segurança da informação vai além da segurança de computadores,
seu propósito engloba a implementação de políticas, mecanismos e serviços
para a proteção das informações de indivíduos ou organizações, estando essas
informações armazenadas em meios computacionais ou não.
Os requisitos para a gestão da segurança da informação estão em

conformidade com padrões e normas internacional, que provêm a prática de
adoção de estratégias, métodos, ações e ferramentas, que, juntos, são capazes de
prover um ambiente seguro e com riscos mitigáveis em níveis aceitáveis.
TUROS
ESTUDOS FU
Acadêmico, na Unidade 2 deste livro estudaremos as normas e padrões

utilizados na Computação Forense.
Para se manter um ambiente seguro, é necessária a adoção de metodologias

baseadas no planejamento estratégico, no monitoramento e no cumprimento das
práticas adotadas pela empresa. Portanto, sendo o foco a proteção da informação,
os cenários contemplados são:
• segurança da informação não armazenada em TI;

• segurança da informação baseada em TI.
36
Devido à natureza na nossa disciplina, iremos focar na segurança das

informações baseada em TI e em quais bases se dá a implementação de um
Sistema de Gestão de Segurança da Informação (SGSI).
Em termos gerais um SGSI é uma ferramenta corporativa para abordagem

organizacional de questões relacionadas à implementação de controles de
segurança. Implementá-lo não é uma tarefa simples, pois significa adotar
estratégias, políticas, planos, controles, medidas e diversos outros mecanismos
de gestão (SANTOS, 2019, p.129).
No entanto, para auxiliar as equipes de segurança da informação, a NBR

ISO/IEC 27001 (ABNT, 2013) provê e sugere uma estrutura para sua elaboração.
Na realidade, a NBR ISO/IEC 27001:2013 estabelece um conjunto de

diretrizes para implantação e auditoria de um SGSI, para prover segurança no
uso dos ativos tecnológicos de uma empresa.
ATENCAO
Acadêmico, note que os conceitos abordados neste tópico se relacionam em

um cenário que caracteriza um incidente de segurança. Vulnerabilidades, ameaças e risco,
são elementos que contribuem para a quebra dos princípios da segurança da informação.
Espera-se com a implantação do SGSI a padronização de políticas,

normas e procedimentos de segurança, bem como a definição e aquisição de
ferramentas, mecanismos e serviços para salvaguardar o ambiente tecnológico e
suas informações.
DICAS
A NBR ISO/IEC 27001:2013 especifica os requisitos para estabelecer,

implementar, manter e melhorar continuamente um SGSI dentro do contexto da
organização. Disponível em: https://www.abntcatalogo.com.br/norma.aspx?ID=306580.
Segundo a NBR 27001:2013, o SGSI precisa ser planejado, implementado,

monitorado e melhorado continuamente. Para isso, a norma ISO/IEC 27001:2013
sugere que esta implementação adote o ciclo Plan, Do, Check, Act (PDCA),
método interativo de gestão em quatro fases.
37
FIGURA 14 – MÉTODO PDCA PARA UM SGSI
FONTE: Adaptada de ABNT (2013, p. 6)
A Figura 14 representa o diagrama do ciclo PDCA. Cada etapa do ciclo

PDCA envolve ações e tarefas que englobam os processos da segurança no
ambiente. Segundo a NBR ISO/IEC 27001:2013, o significado das siglas PDCA
vem de:
• P = Plan, de planejamento: estabelecer objetivos, metas e meios para alcançá-

los. Planejamento para implementação dos controles de segurança.
• D = Do, de executar. Implementação dos controles de segurança.
• C = Check, de verificar, avaliar (comparação do executado com o planejado). As
ações nesta fase têm por objetivo identificar falhas.
• A = Act, de agir corretivamente (caso sejam detectados desvios ou falhas a
serem corrigidos). As ações nesta fase buscam corrigir falhas no sistema de
segurança.
No próximo subtópico, veremos os componentes de uma arquitetura

de segurança cibernética baseada nos requisitos que a NBR ISO/IEC 27001:2013
sugere.
5 ARQUITETURA DE SEGURANÇA CIBERNÉTICA

A segurança dos recursos computacionais é uma questão central
no ambiente organizacional. A proteção dos ativos da informação e toda a
infraestrutura que os mantém necessita de um dimensionamento adequado
na concepção dos serviços e mecanismos de segurança no sentido de prover a
proteção eficaz contra as ameaças em potencial.
38
Uma infraestrutura de segurança define uma forma como os dispositivos

são conectados entre si para obter comunicações de segurança de ponta a
ponta. Podemos encontrar diversas maneiras de construir uma infraestrutura de
rede segura, a depender, claro, do tamanho da rede e da criticidade dos recursos
que queremos proteger.
DICAS
Para você se aprofundar no estudo da segurança cibernética, recomendamos

a leitura do livro Guerra Cibernética: a próxima ameaça à segurança e o que fazer (2015),
de Richard A. Clarke e Robert K. Knake.
No entanto, existem alguns designs-padrão que a indústria de rede

recomenda que sejam alcançados para que as redes sejam seguras. Este subtópico,
sem esgotar o tema, apresenta alguns componentes essenciais ao funcionamento
básico das infraestruturas de rede, os vários dispositivos de segurança da rede e
os serviços de segurança utilizados para monitorar e manter a transmissão segura
e eficiente de dados.
5.1 ELEMENTOS FUNDAMENTAIS

Lembre-se que estamos tratando da segurança em ambientes lógicos,
ou seja, quando as informações estão armazenadas em dispositivos de TI. A
relevância deste subtópico para esta disciplina justifica se na apresentação dos
elementos essenciais em uma arquitetura de segurança, passíveis de auditoria
para apuração de responsabilidades. A seguir, veremos os principais componentes
de uma arquitetura de segurança em um ambiente de TI.
Os elementos fundamentais recomendados pelas melhores práticas de

segurança para o estabelecimento de uma arquitetura segura incluem:
• o uso de filtros de pacotes na rede, conhecidos como firewalls;

• a implementação de controles de acesso, com objetivo de garantir que pessoas
não autorizadas não tenham acesso aos sistemas (por exemplo, configuração
automática no Internet Download Manager (IDM);
• configurar funções de usuário e níveis de privilégio, bem como autenticação
forte ao usuário;
• criptografia, com objetivo de garantir a confidencialidade às comunicações na
rede de dados, incluindo e-mails;
• segurança dos protocolos de transmissão;
• segurança dos dados armazenados (por exemplo, evitar plain text);
• exposição e autenticação de serviços Service-Oriented Architecture (SOA).
39
Cabe destacar o conceito de DeMilitarized Zone (DMZ), ou Zona

Desmilitarizada, em português, trata-se de uma arquitetura na qual uma sub-
rede é configurada entre uma rede confiável (a rede da empresa) e uma rede não
confiável (a internet). O objetivo é prover isolamento físico entre as duas redes,
garantido por uma série de regras de controle de acesso, dispositivos e serviços.
A Figura 15 apresenta um exemplo de uma arquitetura segura. Neste modelo
arquitetônico, a configuração de dois sistemas de firewall fortalece o perímetro
de segurança.
FIGURA 15 – EXEMPLO DE ARQUITETURA SEGURA
FONTE: Kurose e Ross (2013, p. 545)
Assim, o firewall mais próximo da borda da rede possui os seguintes

serviços:
• balanceamento de carga;
• prevenção de ataques com um Intrusion Prevention System (IPS), ou sistema de
prevenção de intrusão;
• sistema antinegação de serviço Distributed Denial of Service (DDoS) de ataque;
• Virtual Private Network (VPN), ou seja, rede privada virtual, para acesso remoto
à rede interna;
• proteção dos sistemas do servidor na área DMZ;
• filtragem da web;
• implementação do controle de autenticação para usuário;
• bloqueio de vírus criptografados.
40
Já o segundo firewall tem a função de proteger os servidores contra

ataques externos de hackers.
5.2 ELEMENTOS COMPLEMENTARES

Conforme já sabemos, o custo monetário de uma violação em um ambiente
computacional é muito maior do que somente substituir qualquer dispositivo
perdido ou roubado, muitas vezes, o impacto na reputação da organização leva
anos para ser reparado. Os investimentos em uma infraestrutura segura requerem
planejamento e adoção de medidas eficazes contra as diversas ameaças que rodam
o ciberespaço. Agora, vamos relacionar os elementos complementares de uma
arquitetura segura. Esses elementos complementam as medidas de segurança
implementadas nos sistemas.
O primeiro ponto é estabelecer uma política de segurança da informação

de acordo com os controles e requisitos descritos na NBR ISO/IEC 27001 (ABNT,
2013), por exemplo, políticas de backup; políticas de contas; políticas de senhas;
e controles de acesso.
Depois, o estabelecimento de contramedidas de segurança física tem o

objetivo de restringir o acesso físico aos ativos da rede. Cabe se atentar para os
requisitos de controle de acesso estabelecidos nas normas de segurança.
Já na política de atualizações e patches de segurança, as atualizações

regulares dos sistemas operacionais e demais sistemas da rede devem ser definidas
na política de segurança, garantindo, assim, a correção de vulnerabilidades
existentes nesses sistemas.
Na política de testagem regular, a resposta a incidentes é de suma

importância. A definição de um Plano de Contingência é essencial, para que a
equipe de resposta a incidentes possa testar cenários de emergências regularmente.
Além do mais, uma rede de monitoramento, análise e gerenciamento deve ter
uma política de atualização de ferramentas e soluções bem definida.
Por fim, o treinamento de usuários é o elo mais fraco na cadeia de

segurança da informação, fazendo-se extremamente importante a elaboração de
uma política de treinamento dos usuários e funcionários nos procedimentos de
segurança.
5.3 DESAFIOS DA SEGURANÇA CIBERNÉTICA

Ao longo dos últimos meses, a pandemia do COVID-19, quando o
isolamento e distanciamento social impuseram novas formas de lidarmos com
as tarefas do cotidiano, como o trabalho e ensino remoto, que nos compeliu
41
ao uso ininterrupto das tecnologias digitais. Esse aumento arregimenta uma

série de questões, principalmente relacionadas à segurança cibernética, pois
dados são compartilhados por uma infinidade de aplicativos e aplicações nas
plataformas digitais. Nas quais, a maioria dos usuários estão alheios aos perigos
e principalmente aos cuidados que deverão adotar.
Este cenário é preocupante, pois a postura do usuário, muitas vezes, gera

uma vulnerabilidade potencial, que poderá render, fraudes, golpes e vazamento
de dados. Podemos citar como exemplo a chamada cultura do compartilhamento,
modalidade adotada pelo mercado no sentido de possibilitar maior visibilidade
a produtos e serviços e, consequentemente, gerar aumento de vendas, adesões
e fidelizações. Deixando, em segundo plano, questões ligadas à proteção,
segurança, confidencialidade e privacidade dos usuários. Para coibir o abuso no
uso dos dados pessoais, vimos no Subtópico 2, que a LGPD foi desenvolvida
como mecanismo legal para regular esta prática no Brasil.
No tocante às questões comportamentais e estruturais, a segurança

cibernética tem desafios a enfrentar cada vez mais complexos e que envolvem o
fator humano e a infraestrutura tecnológica, referente ao provimento de serviços
e mecanismos de combate e contenção das ameaças. O uso de aplicativos para
dispositivos móveis, para as mais diversas finalidades, caracteriza se como uma
porta aberta para o monitoramento não consentido e uso indevido de dados.
Claro que nem todos os aplicativos relacionam-se com ameaças, como os de
Internet Banking, que substitui a necessidade de atendimento presencial na
agência bancária para a maioria dos serviços. No entanto, o disposto onde o
aplicativo será instalado deve possuir o nível de segurança adequado, se possível,
com uma solução de segurança de Internet Security (antivírus, antispam, web
reputation etc.).
Os desafios da segurança cibernética na atualidade referem-se a conhecer

e acompanhar a evolução das ameaças que rodam o ciberespaço; conhecer
e identificar em tempo hábil as vulnerabilidades existentes no ambiente,
principalmente às oriundas das fragilidades humanas; segurança dos dispositivos,
pincipalmente dos móveis, com soluções que sejam capazes de deter e neutralizar
as ameaças; manter os usuários esclarecidos quanto às ameaças e perigos que
rodam o ciberespaço.
42
RESUMO DO TÓPICO 2
• As vulnerabilidades não identificadas no ambiente computacional, as

chamadas brechas de segurança, são potencialmente exploradas por agentes
mal-intencionados. A maioria dos ataques conhecidos tem sua origem na
exploração de uma vulnerabilidade.
• A implementação de um Sistema de Gestão de Segurança da Informação

(SGSI), visa, também, identificar e erradicar as vulnerabilidades no ambiente
computacional. Impactando positivamente na redução dos crimes e delitos no
ambiente corporativo.
• Uma arquitetura de segurança cibernética, quando implementada observando

os padrões de segurança, auxilia o processo investigativo, pois fornece dados e
evidências a partir da configuração de seus serviços e dispositivos.
• Uma infraestrutura segura requer planejamento, investimentos e a adoção de

medidas eficazes contra as diversas ameaças que rodam o ciberespaço.
43
AUTOATIVIDADE
1 Com bases nos conceitos fundamentais da segurança da informação,

em relação ao conceito de incidente de segurança, assinale a alternativa
CORRETA:
a) ( ) A indicação de eventos indesejados ou inesperados que tenham grande

probabilidade de comprometer as operações do negócio e ameaçar a
informação.
b) ( ) A indicação de que os mecanismos de segurança da informação estão
implementados de acordo com o princípio da legalidade.
c) ( ) Um evento que se relaciona com a persistência de uma ameaça em
quebrar o princípio da contabilização de dados na rede.
d) ( ) A indicação de eventos desejados ou esperados que tenham grande
probabilidade de comprometer as operações do negócio e ameaçar a
informação.
2 A segurança da informação está alicerçada em três princípios básicos, a

saber: confidencialidade, integridade e disponibilidade. Com relação à
definição dos termos, analise as sentenças a seguir:
I- Confidencialidade é a garantia de que o acesso à informação é restrito aos

seus usuários.
II- Integridade é a garantia de que a entidade comunicante é aquela que
declara ser.
III- Disponibilidade é a garantia de que os sistemas funcionam prontamente,
não havendo negação de serviço a usuários autorizados.

3 Considere um caixa eletrônico no qual usuários fornecem um número de

identificação pessoal (senha) e um cartão para acessar sua conta bancária.
De acordo com os princípios da segurança da informação, classifique V
para as sentenças verdadeiras e F para as falsas:
( ) O princípio da confidencialidade resguarda que o acesso aos dados

bancários só será realizado por usuários legítimos.
( ) O cartão é um mecanismo de autenticação que garante o não repúdio.
( ) A senha de acesso é um mecanismo de autenticação para a autorização de
acesso ao sistema.
44
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) F – V – F.
d) ( ) F – F – V.
4 Durante a pandemia do COVID-19, trabalhadores, estudantes e demais

usuários migraram suas atividades para a internet. Sendo assim, o uso
das tecnologias aumentou consideravelmente. De repente, aulas, compras,
pagamento de contas e o trabalho remoto exigiram o uso contínuo dessas
tecnologias diariamente. Com essas mudanças no nosso cotidiano, surge
um cenário perfeito para fraudadores, golpistas e demais criminoso agirem
sem constrangimentos. Uma pesquisa da empresa TransUnion aponta
que ao comparar os últimos quatro meses de 2020 aos primeiros quatro
meses de 2021, o percentual de suspeitas de tentativas de fraude digital
originadas no Brasil contra empresas de serviços financeiros cresceu 612%.
Globalmente, esse índice registrou aumento de 149%. Disserte sobre esse
cenário e a conscientização dos usuários para não se tornarem vítimas de
cibercriminosos (UM ANO [...], 2021).
FONTE: UM ANO após a pandemia, tentativas de fraude digital aumentam no Brasil. Newsroom,
São Paulo, 27 abr. 2021. Disponível em: https://bit.ly/3bbTBN8. Acesso em: 23 jul. 2021.
5 A segurança lógica utiliza barreiras em torno dos ativos de informação para

proteger a infraestrutura da rede, seus servidores, serviços e mecanismos
de segurança e, principalmente, as informações armazenadas digitalmente.
Nesse contexto, disserte sobre a arquitetura de segurança que a segurança
lógica prover.
45
46
TÓPICO 3 —
UNIDADE 1
CRIMES CIBERNÉTICOS
1 INTRODUÇÃO
Prezado acadêmico, chegamos ao último tópico da Unidade 1. Iremos
abordar, aqui, o universo dos crimes cibernéticos, dando ênfase aos crimes
cometidos com uso do computador, os ataques cibernéticos e a engenharia social.
Veremos que os cibercriminosos são potenciais ameaças, motivados a

ganhar dinheiro usando todos os meios de transferência, inclusive, explorando
as fragilidades inerentes do fator humano, visando ganhar acesso não autorizado
a sistemas computacionais. O cenário que se descortina é que, globalmente, os
cibercriminosos roubam bilhões de consumidores e empresas todos os anos,
causando prejuízos incalculáveis.
Além disso, iremos traçar um panorama das principais ameaças do

ciberespaço, relacionando as categorias de códigos maliciosos que trafegam
pela internet, que, em alguns casos, agem de maneira silenciosa e sorrateira –
invadindo sistemas, roubando informação e causando os mega vazamentos de
dados.
2 CRIMES COMETIDOS COM USO DO COMPUTADOR

A cada dia observamos a escalada dos crimes digitais, ou cibercrimes. Os
meios de comunicação divulgam, quase que diariamente, vazamentos de dados
e formas cada vez mais engenhosa de obtenção de informações ou acessos não
autorizados.
As fraudes, uma das modalidades dos crimes digitais, utilizam-se de meios

de convencimento dos usuários sofisticados para obtenção de ganho financeiro.
Vamos, primeiramente, compreender como estão classificados os crimes digitais.
Segundo Pinheiro (2020, p. 251),
[...] o crime eletrônico é, em princípio, um crime de meio, isto é, utiliza-

se de um meio virtual. Que podem ser enquadrados na categoria de
estelionato, extorsão, falsidade ideológica, fraude, dentre outras. Isso
quer dizer que o meio de materialização da conduta criminosa pode
ser virtual; conduto, em certos casos; o crime não.
Para Eleutério e Machado (2019, p. 12) “[...] a legislação brasileira ainda

não está preparada pata tipificar todas as modalidades específicas de crimes
47
cibernéticos”. É importante diferenciar se o computador é utilizado apenas como

ferramenta de apoio à prática de delitos convencionais ou se é utilizado como
meio para a realização do crime (ELEUTÉRIO; MACHADO, 2019).
Segundo a classificação proposta pelos autores, há algumas especificidades

para esses crimes. O computador como ferramenta de apoio aos crimes
convencionais é, neste caso, apenas uma ferramenta auxiliar para os criminosos.
Segundo Eleutério e Machado (2019, p. 12) se enquadram nessa modalidade
de crime do tipo “[...] sonegação fiscal, compra de votos em eleições, tráfico de
entorpecentes e falsificação de documentos”. Para Eleutério e Machado (2019, p.
13, grifo do original), “o computador está associado ao modus operandi do crime”,
sendo excelente fonte de provas em uma investigação forense computacional.
Já o computador utilizado como meio para realização do crime é, segundo

Eleutério e Machado (2019, p. 13), “[...] peça central para a ocorrência do crime,
ou seja, se o dispositivo não existisse tal crime não seria praticado”. Então novas
formas de crimes surgem, como ataques a sites, Phishing, roubo de senhas, dentre
outros. Por exemplo, o compartilhamento de arquivos de pornografia infanto-
juvenil por meio da internet se caracteriza como evidência de um crime dessa
modalidade.
2.1 TIPOS DE CRIMES CIBERNÉTICOS

Embora não haja, ainda, no Brasil, um amparo legal voltado exclusivamente
para a prática dos crimes cibernéticos, o que dificulta sua tipificação, iremos
relacionar algumas ocorrências que se enquadram como tal. Vejamos, a seguir.
• Crime contra a honra: frequentemente ocorrem em publicações de redes

sociais. Também relacionados com difamação, calúnia e injúria.
• Pornografia infanto-juvenil: quanto a este tipo de crime, a Lei nº 11.829/2008,
em seu Art. 241, estabelece “[...] apresentar, produzir, vender, fornecer, divulgar
ou publicar, por qualquer meio de comunicação, inclusive rede mundial de
computadores ou internet, fotografias ou imagens com pornografia ou cenas
de sexo explícito envolvendo criança ou adolescente” (BRASIL, 2008), sendo a
pena reclusão de dois a seis anos e multa.
• Discriminação: crime relacionado ao preconceito de raça, etnia, religião,
nacionalidade e gênero. Sua maior incidência ocorre nas redes sociais.
• Fraudes: utiliza-se diversos meios, desde e-mails falsos, engenharia social,
ou até clonagem de uma conta do aplicativo de comunicação instantânea
como o WhatsApp. O Gráfico 2 apresenta as tentativas de fraudes financeiras
reportadas ao CERT.br no período de janeiro a dezembro de 2020.
• Invasão: relaciona-se com a obtenção de acesso não autorizado a sistemas com
a finalidade de rouba dados ou informações valiosas.
48
TÓPICO 3 — CRIMES CIBERNÉTICOS
GRÁFICO 2 – TENTATIVAS DE FRAUDES FINANCEIRAS DE JANEIRO A DEZEMBRO DE 2020
FONTE: <https://bit.ly/3EiLk6u>. Acesso em: 16 jul. 2021.
Devido à grande variedade de cibercrimes e suas dinâmicas de operação,

neste tópico, vamos nos concentrar nos ataques cibernéticos. Veremos que a
principal motivação por trás desses crimes é o ganho financeiro, seja por meio
das fraudes ou da comercialização de informações valiosas. Na Unidade 2 iremos
estudar mais a fundo a legislação sobre os crimes cibernéticos.
3 TIPOS DE ATAQUES CIBERNÉTICOS

De modo geral, um ataque pode ser definido como uma tentativa de
acesso não autorizado a um sistema computacional, relacionado com uma ameaça
que é executada. Todo o tempo, as redes e computadores conectados à internet
costumam sofrer tentativas de invasões ou são alvos de ataques que deixam seus
servidores e serviços indisponíveis.
Segundo Stallings e Brown (2014, p. 12), se a tentativa de ataque for “[...]

bem-sucedida resulta em uma violação indesejável de segurança”.
De acordo com o CERT.br (CARTILHA [...], 2012), os ataques têm

motivações diversificadas, visando diferentes alvos e usando variadas técnicas.
Antes de relacionar as técnicas utilizadas em ataques cibernéticos, falaremos um
pouco dos invasores, os cibercriminosos.
3.1 TIPOS DE INVASORES

Os invasores são indivíduos ou grupos que tentam explorar
vulnerabilidades para ganho pessoal ou financeiro (CARTILHA [...], 2012).
49
Eles estão interessados em tudo, de cartões de crédito a projetos de produtos

e qualquer coisa com valor. Esses criminosos utilizam uma rede clandestina de
comercialização de dados e informações, além da venda de ferramentas para
exploração de vulnerabilidades em redes, computadores e demais dispositivos.
A seguir, relacionamos os principais tipos de invasores.
3.1.1 Scripts Kiddies

Este tipo de criminoso, por ser iniciante na prática de ataques, torna-
se uma ameaça a todos os sistemas. Rastreiam qualquer sistema, em qualquer
lugar do mundo, independentemente do valor do sistema (HACKERS, 2021).
Compram e utilizam ferramentas para crimes sem qualquer conhecimento do
funcionamento das tecnologias da internet.
3.1.2 Hacker
Este tipo de criminoso pode agir sozinho ou em grupos, geralmente com o
objetivo de conseguir acesso não autorizado a sistemas e/ou dispositivos. São tidos
como mais experientes e conhecedores das tecnologias da internet (HACKERS,
2021).
Este conhecimento o capacita a buscar potenciais brechas de segurança

em redes e sistemas e explorar tais vulnerabilidades.
A partir da destreza em utilizar tecnologias e ferramentas de exploração

de vulnerabilidades, adotou-se uma classificação para representar a sua forma de
ação, com: chapéu branco (white hat); chapéu cinza (grey hat) e chapéu preto (black
hat).
O Gráfico 3 das estatísticas produzidas pelo CERT.br sobre incidentes

reportados, a série histórica inicia-se em 1999, e demostra a escalada de atuação
de hackers na aplicação dos ataques de Negação de Serviço (Denial of Service -
DoS).
50
GRÁFICO 3 – NOTIFICAÇÃO SOBRE EQUIPAMENTOS PARTICIPANDO EM ATAQUE DoS.
FONTE: <https://www.cert.br/stats/incidentes/2020-jan-dec/dos.html>. Acesso em 8 jul. 2021.
Os hackers denominados white hats, conhecidos também como ethical

hackers, são contratados pela organização para entrar em redes ou sistemas de
computador para descobrir fraquezas, com o objetivo de melhorar a segurança
(HACKERS, 2021). Portanto, com prévia autorização de todos, os resultados são
relatados ao proprietário. Estudaremos um pouco mais das ferramentas e táticas
utilizadas pelos white hats mais adiante.
Os hackers denominados black hats rastreiam vulnerabilidade em redes

ou sistemas visando o ganho pessoal, financeiro ou ganho político (HACKERS,
2021). São invasores dispostos a ter notoriedade entre seus pares, e, acima de
tudo, causar danos com grandes perdas financeiras.
Os grey hats são hackers que rastreiam vulnerabilidades em um sistema

podendo, ou não, relatar o achado aos proprietários do sistema (HACKERS,
2021). A conduta de alguns gray hats pode ser de publicar os achados sobre a
vulnerabilidade para que outros invasores possam explorá-la.
3.1.3 Hacktivistas
São indivíduos ou um grupo que se manifestam e protestam contra
diferentes ideias políticas e sociais (HACKERS, 2021). Uma das formas de protesto
inclui o vazamento de informações confidenciais, ou ataques do tipo DDoS
(negação de serviço). Para Santos (2019, p. 14), “hacktivistas não necessariamente
são hackers, e possuem como participantes de suas causas pessoas das mais
51
diversas áreas”. O intuito é chamar a atenção para alguma causa. Em alguns

casos eles podem se aliar a grupos de black hats, visando conseguir dinheiro para
suas causas.
3.2 TIPOS DE ATAQUES

Stallings e Brown (2014, p. 12) definem ataque como “[...] uma ameaça
que é executada e se bem-sucedido, resulta em uma violação de segurança ou
consequência de uma ameaça”. Para Santos (2019, p. 14) os ataques “Surgem do
interesse por algo que tenha valor (valor financeiro ou não)”, daí as tentativas de
violações e acesso não autorizados. Fernandes (2019, p. 27) os ataques podem ser
analisados a partir “do ponto de vista da estratégia do atacante”.
A seguir, conheça os principais tipos de ataques.
3.2.1 Ataques ativos

Ataques ativos são “tentativas de alterar ativos de sistemas ou afetar
sua operação” (FERNANDES, 2019, p. 28), por exemplo, modificação do fluxo
de dados, criação de um fluxo falso. Os ataques ativos dividem-se em quatro
categorias: “repetição; personificação; modificação de mensagem; repetição”
(STALLINGS; BROWN, 2014, p. 14).
3.2.2 Ataques passivos

Ataques passivos são “tentativas de descobrir ou fazer uso de informações
advindas do sistema que não afeta ativos do sistema” (FERNANDES, 2019, p.
29). Os ataques passivos se dividem em dois tipos: “revelação de conteúdo de
mensagem; análise de tráfego” (STALLING; BROWN, 2014, p. 14).
Uma prática comum, que representa a modalidade de ataques passivos,

é a interceptação (STALLING; BROWN, 2014, p. 14), “modalidade que explora
o contexto de comunicação em uma rede de comunicação, seja cabeado ou sem
fio”. Na interceptação um hacker pode obter acesso ao tráfego da rede, monitorar
pacotes e conteúdo em busca de informação relevantes, como senhas de acesso.
3.3 MODALIDADES DE ATAQUES

Segundo a Cartilha de Segurança para a Internet (2012), para alcançar seus
objetivos, os atacantes costumam usar técnicas variadas que afetam ativos da
informação específicos. A seguir, veremos as técnicas mais usuais.
52
3.3.1 Negação de serviço

Um ataque de Denial of Service (DoS) tem como objetivo quebrar a
disponibilidade de um sistema ou serviço, impedindo o seu funcionamento pleno
(CARTILHA [...], 2012). O alvo de um ataque de negação de serviço pode ser
uma rede específica, um computador, um roteador, um servidor, dentre outros.
Inundando o alvo com requisições ilegítimas, congestionando o tráfego, causando
sobrecarga até o sistema sucumbir.
O exemplo apresentado na Figura 16 representa um esquema de um

ataque de negação de serviço a um roteador, com o intuito de congestionar o
tráfego da rede, causando, assim, lentidão ou interrupção da comunicação. A
máquina atacante (1) utiliza-se de máquinas zumbis (2), controladas do Bots,
malwares que formam as redes de ataques (botnet), para executar o ataque. O
tamanho da botnet influencia no sucesso do ataque. Quanto maior a quantidade
de máquinas zumbis (refletoras), maior o poder de processamento do ataque
(máquina 1), afetando os serviços que estão rodando roteador alvo (3).
FIGURA 16 – EXEMPLO DE ATAQUE DE NEGAÇÃO DE SERVIÇO (DoS)
FONTE: Stallings (2008, p. 439)
3.3.2 Sniffing
Um ataque de espionagem ocorre quando um agente de ameaça captura
e escuta o tráfego da rede, ou seja, é uma interceptação de tráfego. Esse ataque
também é chamado de sniffing (CARTILHA [...], 2012) ou snooping. Geralmente
são executados por ferramentas conhecidas como sniffers.
3.3.3 Exploração de vulnerabilidades

A exploração de vulnerabilidades ocorre quando um atacante se utiliza
de uma vulnerabilidade como porta de entrada a um sistema. Concretizada a
invasão, o atacante inicia sua escalada de ações maliciosas (CARTILHA [...], 2012)
53
3.3.4 Varredura de redes ou Scan

Técnicas que consiste em realizar buscas por vulnerabilidades, portas
lógicas abertas, protocolos mal configurados, computadores ativos etc., com o
intuito de explorar vulnerabilidades (CARTILHA [...], 2012).
3.3.5 Man-in-the-middle (MiTM)

Um ataque MiTM ocorre quando os agentes da ameaça se posicionam
entre a origem e o destino. Agora eles podem monitorar, capturar e controlar
ativamente uma comunicação de forma transparente (MALENKOVICH, 2021).
3.3.6 Ataque de Dia Zero

Segundo artigo do site Kaspersky (O QUE É [...], 2021), o ataque de dia
zero tenta explorar as vulnerabilidades do software que são desconhecidas ou não
divulgadas pelo fornecedor do software. Durante o tempo que os fornecedores de
software demoram para desenvolver e liberar um patch, a rede está vulnerável a
essas explorações.
E
IMPORTANT
Um ataque por força bruta consiste em adivinhar, por meio de tentativas,

senhas de acesso a sistemas. O ataque de força bruta pode ser executado manualmente,
por meio da digitação de senhas ou credenciais de acesso a sites e serviços, ou utilizando-
se ferramentas construídas para esse propósito, como os ataques de dicionário e os
softwares Medusa e Brutus.
3.4 CÓDIGOS MALICIOSOS – MALWARES

Os códigos maliciosos são programas desenvolvidos para executar ações
maliciosas com o objetivo de tornar os sistemas inoperantes, ou infiltrar-se de
forma silenciosa para roubar informações. A seguir, relacionamos os principais
tipos de malwares que ameaçam os sistemas computacionais.
54
3.4.1 Worm (vermes)

Segundo o CERT.br (CARTILHA [...], 2012, p. 25) é um “[...] programa
capaz de propagar-se automaticamente pelas redes enviando cópias de si mesmo
de computador para computador”. Este tipo de malware consome recursos da
rede, tornando-as lentas. Para que essa propagação ocorra não se faz necessária
qualquer intervenção. Devido a sua capacidade de se alastrar o Worm busca por
meio de se auto propagar. Para isso, se utiliza de diversas formas, seja acessando
a lista de contatos e e-mails dos usuários do sistema, por meio de pastas
compartilhadas ou executando login remoto em outro sistema, passando-se por
um usuário. Após obter acesso a um sistema remoto, o worm utiliza comandos
para copiar a si mesmo de um sistema para outro e, então, enviar cópias de si
mesmo para outros computadores.
3.4.2 Vírus
Segundo o CERT.br (CARTILHA [...], 2012, p. 24), “O vírus é um
programa que se propaga inserindo cópias de si mesmo e se tornando parte de
outros programas ou arquivos”. Para se tornar ativo, o vírus depende de uma
intervenção, seja humana ou de outro programa.
3.4.3 Bot
Segundo o CERT.br (CARTILHA [...], 2012, p. 26), “Programa que dispõe
de mecanismo de comunicação com o invasor, permitindo que o computador
infectado seja controlado remotamente”. Ele torna o computador uma espécie
de zumbi, executando uma série de programas maliciosos e abrindo portas para
outras ameaças.
3.4.4 Spyware
Segundo o CERT.br (CARTILHA [...], 2012, p. 27), “Programa projetado
para monitorar as atividades de um sistema e enviar as informações coletadas
para terceiros”.
3.4.5 Cavalo de Troia (Trojan)

São programas desenvolvidos com funções maliciosas disfarçadas em
softwares inofensivos. Os trojans são usados para executar funções indiretamente,
que um usuário não autorizado não poderia executar diretamente, como obter
acesso aos arquivos de outro usuário em um sistema compartilhado.
55
3.4.6 Rootkits
Segundo o CERT.br (CARTILHA [...], 2012, p. 29), “Conjunto de programas
e técnicas que permite esconder e assegurar a presença de um invasor ou de outro
código malicioso em um computador comprometido”.
DICAS
Você pode conhecer melhor as atividades do CERT.br em:

https://cartilha.cert.br/livros.
O CERT.br monitora e divulga os principais tipos de ataques a redes de

dados e infraestrutura computacional no Brasil. O Gráfico 4 apresenta a incidência
dos principais ataques, reportados ao CERT.br de janeiro a junho de 2020.
GRÁFICO 4 – TIPOS DE ATAQES REPORTADOS AO CERT.BR: JANEIRO A JUNHO DE 2020
FONTE: <https://bit.ly/3152uGN>. Acesso em 8 jul. 2021.
Esses tipos de ataques reportados ao CERT.br, são apenas uma amostra dos
acontecimentos diários nos ambientes informatizados. Nem todas as ocorrências
são reportadas, embora tal procedimento caracterize-se como uma boa prática.
A prática de monitoramento de ciberataques proporciona um panorama das
principais ameaças em atividade nos ambientes naquele momento.
56
4 A ENGENHARIA SOCIAL E AS FRAUDES CIBERNÉTICAS

Segundo Hadnagy (2018, p. 23), “Engenharia social é qualquer ato que
influencia uma pessoa a realizar uma ação que pode ou pode não atender aos
seus melhores interesses”.
Com o advento da expansão das TICs e seus ambientes computacionais,

no qual muitos segredos são guardados, esta modalidade ganhou novas formas
e intentos. Aqui os engenheiros sociais, muitas vezes criminosos, em busca de
acesso aos sistemas, se utiliza de disfarce para “enganar” usuários legítimos,
aproveita-se de fraquezas inerentes da natureza humana.
Os engenheiros sociais são conhecedores da natureza humana e da

psicologia que envolve os aspectos comportamentais esperado da vítima,
utilizando-se de técnicas de influência e manipulação de indivíduos. Hadnagy
(2018, p. 166) relaciona os princípios da manipulação, como por exemplo:
• Princípio da maior suscetibilidade: o agente da ameaça mapeia o

comportamento da vítima, escolhendo como alvo aquela que tem maior
suscetibilidade em relevar alguma informação relevante.
• Princípio do controle ambiental: quando, ao definir e identificar o alvo, o
agente irá exercer algum tipo de controle sob a vítima e seu ambiente.
• Princípio da intimidação: neste ponto, o agente utiliza-se de informações
que possam causar um sentimento de intimidação na vítima. Podendo estar
agindo em nome, ou passar-se por um superior hierárquico, ou, ainda, por
uma autoridade.
Dentre as informações procuradas pelos engenheiros sociais, destacam-se

as seguintes:
• senhas de acesso;
• topologia da rede;
• endereços IP em uso;
• nomes de hosts em uso;
• listas de usuários;
• tipos e versões de sistemas operacionais usados;
• tipos e versões de serviços de rede usados;
• dados sigilosos de produtos e processos da organização.
Além do engenheiro social ser uma pessoa com um grande poder de

convencimento, ele de saber explorar as vulnerabilidades relacionadas ao fator
humano. Ele explora sentimentos que nem sempre são percebidos pelas demais
pessoas e usuários.
Umas técnicas de engenharia social mais conhecidas é o Phishing, sendo

considerada uma das técnicas mais empregadas atualmente. Para Hadnagy (2018,
p. 242, grifo nosso), “Phishing é o ato de enviar e-mails maliciosos que fingem ser
de fontes confiáveis”. Os objetivos do Phishing podem ser divididos da seguinte
forma:
57
• Para entregar cargas maliciosas que dão acesso a atacantes remotos.

• Para coletar credenciais.
• Para reunir outras informações para futuros ataques.
Sendo que o objetivo do e-mail de Phishing determina seu conteúdo,

pretexto e método de entrega.
As principais táticas utilizadas por um engenheiro social incluem a

capacidade de se disfarçar, fazendo-se passar por outra pessoa, alguém da equipe
de suporte técnico, por exemplo, que precisa de determinadas informações para
resolver um suposto problema. Geralmente esta abordagem se dá via telefone
ou e-mail. O Quadro 1 relaciona as principais técnicas utilizadas pelos engenheiros
sociais para ganhar acesso a sistemas e ambientes. Um destaque importante é o
SMiShing, técnica que utiliza o envio de mensagens do tipo Short Message Service
(SMS) para lançar uma isca para a vítima.
QUADRO 1 – TÉCNICAS DE ENGENHARIA SOCIAL
FONTE: A autora
Você sabe o que é um Request for Comments (RFC)? Verifique o UNI que
preparamos para você.
58
NOTA
Request for Comments (RFC) ou pedido para comentários, em português.

São documentos técnicos desenvolvidos e mantidos pelo Internet Enginnering Task Force
(IETF), instituição que especifica os padrões que serão implementados e utilizados em toda
a internet. Aqui, utilizamos como referência a RFC 2828.
Uma maneira eficaz de evitar os danos de um ataque por engenharia

social é identificar e divulgar suas táticas, por meio de uma campanha de
conscientização, para os usuários do ambiente computacional. A política de
segurança tem papel crucial no combate à engenharia social, pois é nela que são
definidas as normas para proteção da informação na organização. A Figura 17
apresenta regras que podem auxiliar no combate aos ataques por engenharia
social no ambiente corporativo, baseando se nas diretrizes apresentada na
Política de Segurança.
FIGURA 17 – PRÁTICAS RECOMENDADAS DE PROTEÇÃO DE ENGENHARIA SOCIAL
FONTE: A autora
59
Vimos que as principais táticas utilizadas por um engenheiro social

incluem a capacidade de se disfarçar, fazendo-se passar por outra pessoa,
alguém da equipe de suporte técnico, por exemplo, que solicita aos usuários
determinadas informações, fingindo resolver um suposto problema. Geralmente
essa abordagem se dá via telefone ou e-mail.
No entanto, o engenheiro social também pode se utilizar de informações

divulgadas em redes sociais, fórum público da internet ou por um usuário da
rede para respaldar seus argumentos. Para então de enviar programas maliciosos
ou instruções especialmente preparadas para um administrador ou usuário,
com o objetivo de abrir brechas na segurança da rede ou coletar o máximo de
informações possível.
O combate e prevenção aos ataques por engenharia social está diretamente

relacionado com a conscientização e treinamento do usuário. As campanhas
educacionais no âmbito corporativo minimizam os impactos dos danos causados
pelas intrusões por engenharia social nos ambientes computacionais.
5 ANATOMIA DE UM ATAQUE CIBERNÉTICO

Vimos, até então, que diversas ameaças rondam os sistemas de informação
em um ambiente corporativo, seja em meio informático ou não. Porém a
infraestrutura de TI é o principal alvo quando se trata de invasões e ataques
cibernéticos. Seja para causar transtornos operacionais, como a indisponibilidade
de máquinas servidores, ou com o intento de roubar informações estratégicas
e segredos corporativos. Engana se quem espera uma trégua nessa guerra. Os
profissionais responsáveis pela segurança da informação enfrentam batalhas
diárias, contra as ameaças que rodam as redes de dados, e seus ambientes
computacionais, e que se aperfeiçoam a cada dia. Para Melo (2017, p. 3), “[...]
ataques inteligentes e sincronizados, como os DDoS (Distributed Denial of Service),
revelam muitos problemas de segurança existente nos diversos protocolos de
serviços da internet”.
Somando-se a crescente ousadia dos atacantes, as vulnerabilidades

inerentes dos protocolos da internet e a ausência de investimentos em
infraestrutura computacional mais robusta e resiliente, se estabelece um cenário
perfeito para ataques e invasões, que, a cada dia, impactam em vazamentos de
dados cada vez maiores.
Sabemos que por trás de uma tentativa de ataque e a consumação de

uma invasão bem-sucedida, há motivações diversas, tais como, ganho financeiro,
comercialização de informações, espionagem, dentre outras. Mas como proteger
nossos sistemas de informação e infraestrutura de TI? Já conhecemos as intenções
dos invasores, agora precisamos conhecer sua forma de atuação. Primeiramente
iremos compreender o modo como os invasores agem, como eles se organizam
e as etapas que antecedem uma ação de ataque a um ambiente cibernético. Melo
(2017, p. 3, grifo nosso) divide um ataque em três etapas, a saber:
60
Footprint: é a etapa de organização de ideias como um todo, tentando

criar o melhor e mais completo perfil do alvo.
Fingerprint: é parte do Footprint que tem como objetivo identificar o
sistema operacional do alvo.
Enumeração: extração de informações do ambiente-alvo, como contas
de usuários, recursos compartilhados e mal protegidos, principais
serviços disponíveis.
A etapa denominada Footprint é o início da escolha do alvo. Quando o

atacante começa um levantamento de informação que nortearão a dinâmica do
ataque. Pode ser iniciada por uma pesquisa em redes sociais, um telefonema, ou
até mesmo escutando partes de conversas em lugares públicos.
De posse das informações satisfatórias, inicia-se a etapa de Fingerprint,

que geralmente se utiliza um software de scanner, com o objetivo de descobrir
e varrer informações valiosas, bem como a versão do Sistema Operacional
do alvo. Finalmente, a etapa de Enumeração, que se caracteriza pela busca às
vulnerabilidades na infraestrutura, tais como serviços e portas lógicas habilitadas.
Para facilitar a compreensão das dinâmicas envolvidas na ação de

ataques cibernéticos, a Figura 18 apresenta um fluxograma das etapas descritas
anteriormente (Footprint, Figerprint e Enumeração). Como esta é uma visão
simplificada do modo de atuação de um atacante, veremos que entidades ligadas
à segurança cibernética vêm aprimorando alguns modelos e frameworks, que
veremos resumidamente a seguir.
FIGURA 18 – ESQUEMA DA ANATOMIA DE UM ATAQUE
FONTE: Melo (2017, p. 7)
61
DICAS
Você quer conhecer mais das ferramentas de scanner de vulnerabilidade? Aqui

vai uma pequena lista: Nikto, Nessus, Nmap, Queso, Portscan, Silo e Asaka.
Atualmente no mercado de produtos de segurança cibernética, podemos

encontrar modelos e frameworks, destinados a traçar cada vez mais com precisão a
categorização de ataques e seus agentes de ameaças. Tais modelo foram concebidos
para mapear o perfil dos invasores por meio de um estudo minucioso de seus
procedimentos e ferramentas de ataque. Vamos falar rapidamente de dois desses
grandes modelos de segurança cibernética, usados para investigar invasões:
Cadeia de destruição cibernética: o mais referenciado dos três modelos

aqui apresentados, conhecido como Cyber Kill Chain (2020), é amplamente
utilizado desde 2011. Estabelece sete etapas para execução de uma invasão, a
saber: reconhecimento; armamento; entrega; exploração; instalação; comando e
controle; e ações sobre os objetivos. Representadas na Figura 19.
O Cyber Kill Chain “fornece um modelo das operações dos invasores,

altamente eficaz que auxilia diretamente na sua mitigação e resposta ao incidente
de segurança” (CALTAGIRONE; PENDERGAST; BETZ, 2013, p. 6) utilizado com
eficiência nos ambientes corporativos (CYBER, 2020).
FIGURA 19 – ETAPAS DA CADEIA ATAQUE – CYBER KILL CHAIN
FONTE: Cyber (2020, p. 5)
O modelo de diamante de análise de intrusão: como o modelo Cyber Kill

Chain, este também se concentra nos padrões de comportamentos de hackers e
criar um modelo que auxilia os profissionais de segurança cibernética a identificar
as relações entre as motivações do invasor, a vítima e a tecnologia usada para
realizar um ataque (CALTAGIRONE; PENDERGAST; BETZ, 2013, p. 8).
62
Segundo Klinczak (2019, p. 19), “os modelos são complementares, onde

o modelo Diamond reune informações para posterior aplicação no Cyber Kill
Chain”. Compondo, assim, uma poderosa ferramenta para auxiliar o entendimento
das fases da invasão.
O modelo foi apresentado pela primeira vez em 2006 e depois o publicaram

em 2013 (CALTAGIRONE; PENDERGAST; BETZ, 2013). Segundo Klinczak (2019,
p. 19), “o modelo é utilizado para descobrir e detectar eventos através de seus
vértices, que são conectados por arestas que demonstram as relações naturais
entre os recursos, podendo descobrir as operações do adversário, infraestruturas,
recursos e a vítima”. Com esse modelo, cada evento, como uma intrusão, é
representado por um diamante, conforme exposto na Figura 20.
FIGURA 20 – MODELO DIAMANTE DE ANÁLISE DE INTRUSÃO
FONTE: Caltagirone, Pendergast e Betz (2013, p. 27)
Segundo Caltagirone, Pendergast e Betz (2013, p. 9), “[...] o modelo se

compara a um diamante, um evento tem quatro quadrantes, e cada quadrante
descreve os principais recursos”.
As etapas do modelo são descritas a seguir, baseado em Caltagirone,

Pendergast e Betz (2013) e Klinczak (2019):
• Adversário: o atacante ou grupo de intrusos.

• Infraestrutura: redes de dados, endereços IP, domínio, roteadores ou endereços
de e-mail.
63
• Capacidades: o que o adversário pode fazer (por exemplo, malware, exploits,

manipular infraestrutura) (CALTAGIRONE; PENDERGAST; BETZ, 2013).
Ainda segundo Klinczak (2019, p. 19), relaciona se com “recursos, ferramentas
e técnicas usadas pelo adversário no evento".
• Vítima: “a vítima é sempre o alvo, podendo ser uma pessoa ou organização, e
os ativos da vítima que estão relacionados a parte tecnológica” (KLINCZAK,
2019, p. 19). Pode incluir pessoas, serviços, ativos de rede ou informações.
Um resultado do Diamond Model é que “ajudou a transformar a atividade de
detecção de intrusão de uma arte em uma ciência - onde a atividade pode ser
ensinada e replicada” (CALTAGIRONE; PENDERGAST; BETZ, 2013, p. 14).
DICAS
Você quer conhecer mais um pouco do modelo Cyber Kill Chain? Acesse o
site do desenvolvedor em: https://lmt.co/2ZgTmhc.
6 FERRAMENTAS E TÉCNICAS DE ETHICAL HACKER

Vimos anteriormente que os white hats são hackers contratados para testar
a segurança da rede e dos ativos da informação. As técnicas utilizadas por esses
profissionais são as mesmas que de um invasor malicioso, afinal, a robustez da
rede está sendo testada.
E
IMPORTANT
Stallings e Brown (2014) classificam, ainda, os ataques com base na sua origem,
sendo ataque interno e ataque externo. O ataque interno é iniciado por uma entidade que
está dentro do perímetro de segurança, um insider, usuário autorizado a acessar o sistema.
Já o ataque externo inicia-se de fora do perímetro por um usuário não autorizado a acessar
o sistema, um outsider. Para Hassan (2019) O ataque interno é potencialmente o mais
perigoso já que pode perdurar por um longo período sem ser descoberto. Já os ataques
externos configuram-se como os maiores ataques contra empresas no mundo todo,
arquitetado por um hacker black hat, capaz de invadir redes de computador da empresa-
alvo a partir de outro país para ganhar acesso não autorizado.
Em um cenário no qual as ameaças utilizam técnicas e ferramentas

cada vez mais sofisticadas, altamente automatizadas, para a prática de ataques
audaciosos, é imprescindível conhecer a forma de atuação desses criminosos e
tentar antever suas ações.
64
Muitas das ferramentas utilizadas por um ethical hacker são baseadas em

Linux ou UNIX, e um conhecimento delas é útil para um profissional de segurança
cibernética. As ferramentas incluem:
• crackers de senhas;
• ferramentas hacking sem fio;
• ferramentas de varredura e hacking de segurança de rede;
• ferramentas de criação de pacotes;
• sniffers de pacotes;
• detectores de rootkit;
• dentre outras.
Os hackers white hat usam ferramentas forenses para farejar qualquer

vestígio de evidência em um sistema de computador específico. Exemplos de
ferramentas incluem Sleuth Kit; Helix; Maltego e Encase.
Já para os crackers da senha, as senhas, dependendo da forma como

são criadas ou armazenadas, são consideradas uma vulnerabilidade fácil de ser
explorada. A partir de uma busca rápida na internet, encontramos uma variedade
de ferramentas de quebra de senhas. Conhecidas como crackers de senhas,
utilizam algoritmos para decifrar e quebrar senhas, com intuito e obter acesso não
autorizado a sistemas. Algumas dessas ferramentas incluem: John the Ripper;
Ophcrack; L0phtCrack; THC Hydra; RainbowCrack e Medusa.
Por fim, o scanner de vulnerabilidades são ferramentas que examinam uma

rede ou sistema para identificar portas abertas. Eles também podem ser usados
para identificar vulnerabilidades e verificar máquinas virtuais, dispositivos
Bring Your Own Device (BYOD) e bancos de dados dos clientes. Exemplos dessas
ferramentas: Nipper; Securia PSI; Core Impact; Nessus; SAINT e Open VAS.
TUROS
ESTUDOS FU
Na Unidade 3, demonstraremos as formas de atuação de um ethical hacker.

Acompanhe!
65
LEITURA COMPLEMENTAR
FORENSE DIGITAL: POR QUE VOCÊ DEVE CONSIDERAR ESSA

PROMISSORA CARREIRA ENTENDA AS PRINCIPAIS TÉCNICAS,
TENDÊNCIAS E COMO SE CERTIFICAR PARA SER
UM PROFISSIONAL DA ÁREA
Josh Fruhlinger
A análise forense digital, às vezes chamada de computação forense, é

a aplicação de técnicas de investigação científica a crimes e ataques digitais. É
um aspecto crucial do direito e dos negócios na era da Internet e pode ser uma
carreira recompensadora e lucrativa.
Jason Jordaan, principal cientista forense da DFIRLABS, da África do

Sul, define análise forense digital como "[...] a identificação, preservação, exame
e análise de evidências digitais, usando processos cientificamente aceitos e
validados, e a apresentação final dessa evidência em um tribunal para responder
a algumas exigências legais".
Essa é uma ótima definição, embora haja uma ressalva: o termo às vezes
é usado para descrever qualquer tipo de investigação de ataques cibernéticos,
mesmo que a aplicação da lei ou o sistema judiciário não estejam envolvidos.
Especialistas em análise forense digital trabalham nos setores público e

privado. O Champlain College, nos EUA, que tem seu próprio programa forense
digital, tem uma descrição mais generalizada: "Profissionais forenses digitais
são chamados a entrar em ação assim que uma violação ocorre e trabalham para
identificar o hack, entender a fonte e recuperar os dados comprometidos."
História
A aplicação da lei foi um pouco lenta para entender a necessidade de

aplicar técnicas forenses a computadores e equipamentos de alta tecnologia. Em
sua maior parte, nos anos 1970 e 1980, os primeiros pioneiros forenses digitais
eram pessoas que trabalhavam na polícia ou em agências policiais federais e
que também mexiam em computadores como hobby. Uma das primeiras áreas
que chamou a atenção da polícia foi o armazenamento de dados, uma vez que
os investigadores trabalharam durante muito tempo para apreender, reter e
analisar documentos de suspeitos - começaram a perceber que grande parte
dessa documentação não estava mais comprometida com o papel. Em 1984, o
FBI lançou o Magnet Media Program para se concentrar nesses registros digitais, o
primeiro programa forense digital oficial em uma agência policial.
66
Enquanto isso, muitas das técnicas usadas para rastrear e identificar

hackers quando se intrometiam em sistemas de computadores foram
desenvolvidas no setor privado. Um momento importante foi em 1986, quando
Cliff Stoll, administrador de sistemas do Lawrence Berkeley National Laboratory,
tentou descobrir uma discrepância de US$ 0,75 em um registro contábil e acabou
rastreando um hacker alemão que estava invadindo sistemas sensíveis e vendendo
dados para o KGB, Comitê de Segurança do Estado – serviço secreto da antiga
União das Repúblicas Socialistas Soviéticas (URSS), então inimiga dos EUA. Ao
longo da pesquisa, Stoll criou o que provavelmente foi a primeira armadilha
do honeypot ferramenta que tem a função de propositalmente simular falhas de
segurança de um sistema e colher informações sobre o invasor.
Grande parte da especialização e profissionalização da perícia digital nos

anos 90 e 00 surgiu em reação a duas realidades desagradáveis: a disseminação
da pornografia infantil on-line, que levou à tomada de enormes volumes de
evidências digitais; e as guerras no Afeganistão e no Iraque, nas quais as tropas
norte-americanas frequentemente acabavam capturando laptops e telefones de
insurgentes inimigos e precisavam extrair informações úteis deles. Outro marco
foi em 2006, quando as Regras do Processo Civil dos Estados Unidos foram
revisadas para implementar um regime obrigatório de descoberta eletrônica.
Como a perícia digital é usada em investigações
Existem vários modelos de processos para análise forense digital, que

definem como os examinadores forenses devem proceder em sua busca para
coletar e entender as evidências. Embora estes possam variar, a maioria dos
processos segue quatro etapas básicas:
• Coleção, na qual a evidência digital é adquirida. Isso geralmente envolve a

apreensão de ativos físicos, como computadores, telefones ou discos rígidos.
É preciso ter cuidado para garantir que nenhum dado seja danificado ou
perdido. A mídia de armazenamento pode ser copiada ou gravada nesta etapa
para manter o original em um estado original como referência.
• Exame, no qual vários métodos são usados para identificar e extrair dados.
Esta etapa pode ser dividida em preparação, extração e identificação. Decisões
importantes a serem tomadas neste estágio são: lidar com um sistema que
esteja ativo (por exemplo, ligar um laptop apreendido) ou morto (por exemplo,
conectar um disco rígido apreendido a um computador de laboratório).
Identificação significa determinar se os dados individuais são relevantes para
o caso em questão – particularmente quando os mandados estão envolvidos,
os examinadores da informação podem aprender podem ser limitados.
• Análise, na qual os dados coletados são usados para provar (ou desmentir!) o
caso que está sendo construído pelos examinadores. Para cada item de dados
relevante, os examinadores responderão às perguntas básicas sobre ele – quem
o criou? quem editou? como foi criado? quando tudo isso aconteceu? – e tentar
determinar como isso se relaciona com o caso.
67
• Reportar, na qual os dados e análises são sintetizados em um formato que pode

ser entendido pelos leigos. Ser capaz de criar tais relatórios é uma habilidade
absolutamente crucial para qualquer pessoa interessada em análise forense
digital.
Ferramentas forenses digitais
Qualquer profissional forense digital terá uma grande variedade de

ferramentas em seu kit. Em uma extremidade do espectro, você tem ferramentas
de código aberto de finalidade única, como o sniffer de pacotes Wireshark ou
o HashKeeper, um programa gratuito que pode acelerar o exame de arquivos de
banco de dados. No outro extremo, você tem poderosas plataformas de software
comercial com múltiplas funções e capacidades de relatórios inteligentes, como
o Encase, ou o CAINE, uma distribuição Linux inteira dedicada ao trabalho
forense.
Programas de graduação forense digital e certificações
Tradicionalmente, os profissionais forenses digitais vinham de uma

formação mais geral em ciência da computação, e frequentemente eram
administradores de sistemas experientes que já estavam confortáveis com
muitas das ferramentas básicas usadas na análise forense digital. No entanto, em
consonância com a especialização crescente dentro da indústria, algumas escolas
agora oferecem graus ou concentrações específicas para forense digital.
No Brasil, algumas opções de cursos são: Academia de Forense;

Digital; 4Linux; LegalTech e Daryus.
Trabalhos na área
Os trabalhos em análise forense digital tendem a ter títulos como

"investigador", "técnico" ou "analista", dependendo de seu nível de antiguidade
e especialização. A maioria dos empregos no campo forense digital está no
setor público - na aplicação da lei, em agências estaduais ou nacionais, ou em
laboratórios criminais, embora o último possa ser privado e contratar agências
públicas.
No entanto, com os laboratórios públicos de cibercrime sobrecarregados

- e menos ágeis do que poderiam ser devido à burocracia - as grandes empresas
estão começando a administrar seus próprios laboratórios, criando outro
caminho lucrativo para os profissionais forenses digitais. A partir de 2017, havia
seis laboratórios forenses digitais credenciados pela Sociedade Americana de
Diretores de Laboratórios Criminais em empresas privadas, incluindo Target,
Walmart e American Express.
68
Que tipo de salário um profissional forense digital pode esperar? De

acordo com a PayScale, o analista de computação forense médio ganha cerca de
US$ 70 mil por ano nos EUA (cerca de R$ 280 mil, ou R$ 23 mil por mês), embora
haja uma faixa bastante ampla que pode ir de cerca de US$ 45 mil a cerca de US$
115 mil.
Carreira
Com tudo isso dito, você pode decidir que a computação forense é o
caminho da carreira para você. E é fascinante! Mas talvez demore um pouquinho
na decisão: como qualquer plano de carreira na aplicação da lei, isso pode colocá-
lo em contato com alguns dos piores aspectos da natureza humana. John Irvine
tem um post sombrio no lado mais sombrio da computação forense. Lembre-
se de como dissemos que grande parte do campo forense computacional se
profissionalizava na busca por pornógrafos infantis e terroristas? Bem, como
descreve Irvine, isso pode custar muito aos investigadores, já que eles precisam
examinar e observar muito do material que encontram. É um pensamento difícil,
mas necessário, ao considerar uma carreira forense digital.
FONTE: <https://bit.ly/3Bfo9Z9>. Acesso em: 20 jul. 2021.
69
RESUMO DO TÓPICO 3
• Os crimes cibernéticos podem ser enquadrados na categoria de estelionato,

extorsão, falsidade ideológica, fraude, dentre outras. Ou seja, crimes que
podem ser praticados no meio físico. Que, no caso do primeiro, embora a
materialização da conduta criminosa, o delito, seja praticado no meio virtual, o
crime não.
• O Centro de Estudos e Resposta a Incidentes de Segurança no Brasil (CERT.

br), é uma entidade que monitora o avanço dos ataques e crimes cibernéticos
no Brasil e em diversos países. Disponibiliza diversas publicações na área de
segurança da informação e crimes cibernéticos.
• Os criminosos por trás dos ataques cibernéticos comentem seus delitos com
propósitos diversos, sendo os mais comuns, o ganho financeiro, a notoriedade
e o furto de informações estratégicas.
• O ethical hacker utiliza as mesmas técnicas e ferramentas dos hackers que agem
com intento criminoso. Sendo o ethical hacker um profissional contratado para
testar a segurança cibernético da empresa.
• Os ataques que empregam as táticas de engenharia social podem ter sua eficácia
reduzida por meio de campanhas de conscientização dos usuários da rede.
CHAMADA
Ficou alguma dúvida? Construímos uma trilha de aprendizagem

pensando em facilitar sua compreensão. Acesse o QR Code, que levará ao
AVA, e veja as novidades que preparamos para seu estudo.
70
AUTOATIVIDADE
1 Os ataques ocorrem a todo tempo na internet, com motivações variadas,

visando diferentes alvos e aplicando técnicas cada vez mais diversificadas.
Qualquer serviço, computador ou rede que seja acessível via internet pode
ser alvo de um ataque. O atacante estabelece um alvo e inicia a exploração
da vítima. Sobre os tipos de ataques, assinale a alternativa CORRETA:
a) ( ) Ataques ativos são tentativas de alterar ativos de sistemas ou afetar sua

operação, por exemplo, modificação do fluxo de dados, criação de um
fluxo falso.
b) ( ) Ataques ativos são tentativas de alterar ativos de sistemas que não
afetam sua operação.
c) ( ) Ataques passivos são tentativas de descobrir ou fazer uso de informações
advindas do sistema que afeta de forma definitiva os ativos do sistema.
d) ( ) A personificação é um tipo de ataque passivo.
2 Considera-se que invasores são indivíduos ou grupos que tentam explorar

vulnerabilidades para ganho pessoal ou financeiro. Eles estão interessados
em tudo, de cartões de crédito a projetos de produtos e qualquer coisa com
valor. Com base nas definições de perfis de hackers, analise as sentenças a
seguir:
I- Os hackers denominados white hat, conhecidos também como ethical

hacker, são contratados pela organização para entrar em redes ou sistemas
de computador para descobrir fraquezas com o objetivo de melhorar a
segurança.
II- Os hackers denominados gray hat, conhecidos também como ethical
hacker, são contratados pela organização para entrar em redes ou sistemas
de computador para descobrir fraquezas com o objetivo de melhorar a
segurança.
III- Os black hats são potencialmente danosos aos sistemas computacionais.
Por trás de suas motivações está geralmente o ganho financeiro.

3 Levando em consideração os diversos tipos de códigos maliciosos, que

se caracterizam como potenciais ameaças aos ambientes computacionais,
classifique V para as sentenças verdadeiras e F para as falsas:
71
( ) Spyware é um programa espião projetado para monitorar as atividades de
um sistema e enviar as informações coletadas para terceiros.
( ) Trojans são programas que dispõem de mecanismo de comunicação
com o invasor, que permite que o computador infectado seja controlado
remotamente. Ele torna o computador uma espécie de zumbi, executando
uma série de programas maliciosos e abrindo portas para outras ameaças.
( ) Worm é um software capaz de se propagar automaticamente pelas redes
enviando cópias de si mesmo de computador para computador.
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) F – V – F.
d) ( ) F – F – V.
4 Atualmente, devido ao aumento de ataques e ameaças no ambiente digital,

um tipo de ataque que chama atenção é conhecido como exploração de dia
zero, que é um ataque virtual que ocorre no mesmo dia em que um ponto
fraco do software é descoberto, sendo explorado antes que o fornecedor
disponibilize uma correção. Disserte sobre o modo de execução do ataque
de dia zero.
5 A engenharia social refere-se à utilização de táticas de disfarces e manipulação

psicológica de pessoas para a execução de ações ou divulgar informações
confidenciais. É uma técnica de intrusão para acesso a sistemas sem
autorização legítima. A engenharia social depende fortemente de interação
humana e envolve enganar outras pessoas para quebrar procedimentos de
segurança. Nesse contexto, disserte sobre quais sentimentos são explorados
por um engenheiro social.
72
REFERÊNCIAS
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC
27001: tecnologia da informação e requisitos para implementação de um sistema
de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.

27032. Diretrizes para a governança de segurança da informação. Rio de Janeiro:
ABNT, 2015
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/

IEC 27005: tecnologia da informação, técnicas de segurança e gestão de riscos de
segurança da informação. Rio de Janeiro: ABNT, 2019.
AGUIAR, L. L. Investigação forense computacional nível I. São Paulo: Atlas,

2019.
BEAL, A. Segurança da informação: princípios e melhores práticas para

proteção de ativos. São Paulo: Atlas, 2005.
BIRYUKOV, V. Cinco ameaças para o hardware. Kaspersky Daily, Ameaça, São

Paulo, 2015. Disponível em: https://www.kaspersky.com.br/blog/5-ameacas-
para-o-hardware/5101/. Acesso em: 4 jul. 2021.
BITTENCOURT, L. Crimes no universo digital: sobre os crimes praticados na

Internet. Rio de Janeiro: Amazon do Brasil, 2020. E-book
BUENO. F. Introdução aos testes de invasão: técnicas de ataque para melhorar

suas defesas. Tubarão: Editora Fabrício Bueno, 2016.
BRASIL. Decreto-lei nº 3.689, de 3 de outubro de 1941. Código de Processo

Penal. Rio de Janeiro: Diário Oficial [da] União, 13 out. 1941.
BRASIL. Lei nº 5.869, de 11 de janeiro de 1973. Institui o Código de Processo

Civil. Brasília, DF: Diário Oficial [da] União, 17 jan. 1973.
BRASIL. Lei n. 11.829, de 25 de novembro de 2008. Altera a Lei no 8.069, de

13 de julho de 1990. Estatuto da Criança e do Adolescente. Brasília, DF: Diário
Oficial [da] União, 26 nov. 2008. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2007-2010/2008/lei/l11829.htm. Acesso em: 14 jul. 2021.
BRASIL. Secretaria Nacional de Segurança Pública. Procedimento operacional

padrão: perícia criminal. Brasília, DF: Ministério da Justiça, 2013.
73
BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil.
Brasília, DF: Presidência da República, 2015. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm. Acesso em: 14 jul.
2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados.

Brasília, DF: Diário Oficial [da] União, 15 ago. 2018. Disponível em: http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 14 jul.
2021.
BREZINSLI, D; KILLALEA, T. RFC 3227 – guidelines for evidence collection

and archiving. [S. l.]: IETF, 2002. Disponível em: https://datatracker.ietf.org/doc/
html/rfc3227. Acesso em: 27 jul. 2021.
CALAZANS, C. H.; CALAZANS, S. M. Ciência forense: das origens à ciência

forense computacional. In: SEMINÁRIO REGIONAL DE INFORMÁTICA, 15.,
2005, Santo Ângelo. Anais [...]. Santo Ângelo: Universidade Regional Integrada;
2005. Disponível: https://bit.ly/36HN5fo. Acesso em: 1 out. 2021.
CAMPOS, L. N. Sistema de segurança da informação: controlando riscos. Rio

de Janeiro: Visual Books, 2006.
CARTILHA de segurança para Internet, versão 4.0 / CERT.br. São Paulo: Comitê
Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/.
Acesso em: 14 jul. 2021.
CALTAGIRONE, S.; PENDERGAST, A. D.; BETZ, C. The diamond model

of intrusion analysis. [S. l.: s. n.], 2013. Disponível em: https://www.
activeresponse.org/wp-content/uploads/2013/07/diamond.pdf . Acesso em: 5
ago. 2021.
CYBER kill chain: a proteção da TI e do negócio. São Paulo: 4SECURITY,

2020. Disponível em: https://www.4security.com.br/wp-content/
uploads/2020/02/4Security-Cyber-Kill-Chain.pdf Acesso em: 8 jul. 2021.
ECKERT, W. G. Introduction to forensic sciences. 2. ed. Califórnia: CRC Press,

1997.
ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense.

São Paulo: Novatec, 2019.
FARMER, D.; VENEMA, W. Perícia forense computacional: teoria e prática

aplicada – como investigar e esclarecer ocorrências no mundo cibernético. São
Paulo: Pearson Prentice Hall, 2007.
FERNANDES, E. A. Segurança em cloud e dispositivos wireless. São Paulo.

Editora Senac. Edição do Kindle. 2019.
74
FONTES, E. L. G. Segurança da informação: gestão e governança –
conformidade para a LGPD. São Paulo, Livro Eletrônico, 2020.
HACKERS de chapéu preto, chapéu branco e chapéu cinzento: definição

e explicação. Kaspersky, São Paulo, c2021. Disponível em: https://www.
kaspersky.com.br/resource-center/definitions/hacker-hat-types. Acesso em: 27
jul. 2021
HADNAGY, C. Engenharia social: a ciência do hackeamento humano. Nova

Jersey: John Wiley & Sons, 2018.
HASSAN, A. N. Perícia forense digital: um guia prático com uso do sistema

operacional Windows. São Paulo, Editora Novatec, 2019.
JUSTINO, E. J. R.; OLIVEIRA, L. E. S. Protocolo para execução de mandato de

busca e apreensão em cenários de crimes digitais. Âmbito Jurídico, São Paulo,
2 dez. 2006. Disponível em: https://ambitojuridico.com.br/edicoes/revista-35/
protocolo-para-execucao-de-mandato-de-busca-e-apreensao-em-cenarios-de-
crimes-digitais. Acesso em: 30 jun. 2021.
KLINCZAK, M. Uso da inteligência na detecção de ameaças cibernéticas. In:

INTERNACIONAL CONFERENCE ON FORENSIC COMPUTER SCIENCE
AND CYBER LAW, 11., 2019, São Paulo. Anais […]. São Paulo: ICOFCS, 2019.
p. 15-22. Disponível em: http://icofcs.org/2019/ICoFCS2019-002.pdf.Acesso em:
08. jul. 2021
KUROSE, J. F.; ROSS, K. W., Redes de computadores e a internet: uma

abordagem Top-Down. 6. ed. São Paulo: Pearson Education, 2013.
LOPES, P. A., Fundamentos de computação forense: uma visão direta e

objetiva. Rio de Janeiro: Amazon do Brasil, 2018. E-book.
MARTINELLI, V. Introdução à computação forense: teoria e visão prática. Rio

de Janeiro: Bookmakers, 2013.
MALENKOVICH, S. O que é um ataque Man-in-the-Midlle? Kaspersky, São

Paulo, c2021. Disponível em: https://www.kaspersky.com.br/blog/what-is-a-
man-in-the-middle-attack/462/. Acesso em: 27 jul. 2021.
MARTINS, A. B. S., SAIBEL, C. A., Uma metodologia para implantação de

um Sistema de Gestão de Segurança da Informação. JISTEM - Journal of
Information Systems and Technology Management, [s. l.], v. 2, n. 2, p. 121-136,
2005. Disponível em: https://doi.org/10.4301/S1807-17752005000200002. Acesso
em: 20 jul. 2021.
MELO, S. Exploração de vulnerabilidade em redes TCP/IP. 3. ed. Rio de

Janeiro: Alta Books, 2017.
75
O QUE É um ataque de dia zero? Definição e explicação. Kaspersky, São
Paulo, c2021. Disponível em: https://www.kaspersky.com.br/resource-center/
definitions/zero-day-exploit. Acesso em: 27 jul. 2021.
PRÁTICAS de segurança para administradores de rede e internet. São Paulo:

Cert.BR, 2003. Disponível em: https://www.cert.br/docs/seg-adm-redes/. Acesso
em: 14 jul. 202.1
PINHEIRO, P. P. Direito digital. 2. ed. São Paulo: Saraiva, 2008.
QUEIROZ, C., VARGAS, R., Investigação e perícia forense computacional:

Certificações, Lei Processuais e Estudo de Casos. Rio de Janeiro. Editora
Brasport, 2010.
SANTOS, C. Segurança digital: guia indispensável para usuários não técnicos

protegerem seus dados e dispositivos nos mundos online e offline. Rio de
Janeiro: Amazon do Brasil, 2019. E-book.
SILVA, G. O que é ciência forense. Educa mais Brasil, [s. l.], 30 nov. 2020.
Disponível em: https://www.educamaisbrasil.com.br/educacao/carreira/o-que-e-
ciencia-forense. Acesso em: 28 jun. 2021.
SPITZNER, L. E. O ataque do script kiddie. Traduzido por Cristiano Gerlach.

News Generation, [s. l.], v. 3, n. 3, 1999. Disponível em: https://memoria.rnp.br/
newsgen/9905/kiddie.html. Acesso em: 14 jul. 2021.
STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 4. ed.

São Paulo: Pearson Prentice Hall, 2008.
STALLINGS, W.; BROWN, L. Segurança de computadores: princípios de

práticas. 2. ed. Rio de Janeiro: Elsevier, 2014.
UM ANO após a pandemia, tentativas de fraude digital aumentam no Brasil.

Newsroom, São Paulo, 27 abr. 2021. Disponível em: https://newsroom.
transunion.com.br/um-ano-apos-a-pandemia-tentativas-de-fraude-digital-
aumentam-no-brasil-segundo-estudos-da-transunion/. Acesso em: 23 jul. 2021.
VALENTIM, R. T.; TOGNOLI, N. B. Convergências e divergências entre a

diplomática digital e a ciência forense digital. Brazilian Journal of Information
Science: research trends, v. 14, n. 4, p. 1-25, 2020. Disponível em: https://
revistas.marilia.unesp.br/index.php/bjis/article/view/10528/6783. Acesso: 21 jul.
2021
76
UNIDADE 2 —
TÉCNICAS DE COMPUTAÇÃO
FORENSE E LEGISLAÇÃO
• aplicar os requisitos de segurança da informação constantes nas normas;

• conhecer os aspectos legais da forense computacional;
• reconhecer a Governança da Segurança Cibernética;
• compreender a aplicação do conceito de hash na forense computacional;
• identificar a necessidade da implementação de uma política de segurança
corporativa.
PLANO DE ESTUDOS
apresentado.
TÓPICO 1 – TÉCNICAS DE FORENSE COMPUTACIONAL
TÓPICO 2 – GOVERNANÇA DA SEGURANÇA CIBERNÉTICA
TÓPICO 3 – LEGISLAÇÃO APLICADA À FORENSE COMPUTACIONAL
CHAMADA

77
78
TÓPICO 1 —
UNIDADE 2
TÉCNICAS DE FORENSE COMPUTACIONAL
1 INTRODUÇÃO
Acadêmico, no Tópico 1, abordaremos os meios de se garantir a integridade
das evidências digitais. Apresentaremos o valor comprobatório das evidências
digitais junto ao processo e em juízo: a função de hash, conhecida como função
de autenticação. A função hash destaca-se pela sua aplicabilidade em assegurar
a integridade de dados, tendo papel relevante na preservação das evidências
digitais. Veremos os procedimentos inerentes da cadeia de custódia, e a legislação
vigente, que trata dos requisitos para preservar o valor da prova pericial diante
do tribunal.
Além das ferramentas tecnológicas que auxiliam o perito, há também

os padrões de referência que tratam do método adotado na investigação para
preservar a integridade da evidência digital. Utilizando-se de meios práticos
aceitáveis mundialmente, com o objetivo de padronizar a investigação. Por
fim, conheceremos a padronização do tratamento de evidências digitais e a
preservação de sua integridade.
2 CONCEITOS DE FUNÇÕES HASH E SUA AMPLA APLICAÇÃO

NA COMPUTAÇÃO FORENSE
A investigação de um fato que envolve a suspeita da ocorrência de um
crime ou ato ilícito, para que se reconstrua com máximo possível de exatidão a
sequência das etapas do evento, é disciplinada por lei, uma vez que os indícios
encontrados serão apresentados perante a justiça como prova pericial. A Lei nº
13.964/2019, que aperfeiçoa o Código Processo Penal, define um elemento central
no processo investigatório, a cadeia de custódia. Descrita no Art. 158-A como:
[...] Art. 158-A. Considera-se cadeia de custódia o conjunto de todos

os procedimentos utilizados para manter e documentar a história
cronológica do vestígio coletado em locais ou em vítimas de crimes,
para rastrear sua posse e manuseio a partir de seu reconhecimento até
o descarte.
§ 1º O início da cadeia de custódia dá-se com a preservação do local
de crime ou com procedimentos policiais ou periciais nos quais seja
detectada a existência de vestígio (BRASIL, 2019).
Segundo a Lei nº 13.964/2019, a cadeia de custódia compreende o

rastreamento do vestígio, definido, à luz da investigação criminal, como “[...]
todo objeto ou material bruto, visível ou latente, constatado ou recolhido, que se
79
UNIDADE 2 — TÉCNICAS DE COMPUTAÇÃO FORENSE E LEGISLAÇÃO
relaciona à infração penal” (BRASIL, 2019, s. p.). A Figura 1 apresenta as etapas

constantes da cadeia de custódia definidas no Art. 158-B do Código de Processo
Penal. Atualizado pela Lei nº 13.964/2019.
FIGURA 1 – ETAPAS DA CADEIA DE CUSTÓDIA – SEGUNDO A LEI 13.964/2019
FONTE: Adaptada de Brasil (2019)
A lei estabelece as etapas e procedimentos mínimos para que a prova

pericial detenha seu valor jurídico diante do tribunal, como resultado de uma
investigação criminal. Lembrando, que a investigação criminal, em seu objetivo
primário de apuração de responsabilidade e autoria do crime, deve ser norteada
por métodos formalizados e procedimentos que garantam sua autenticidade e
validade. Para se alcançar tais objetivos, a estruturação do processo investigatório
encontra suporte, também, nas normas e padrões com reconhecimento
internacional.
No Tópico 2 desta unidade veremos que a NBR ISO/IEC 27037:2013,

levando em consideração o princípio de adequação dos procedimentos à
preservação de integridade da evidência digital, a norma estrutura e formaliza
os métodos e técnicas que possibilita, ainda, sua identificação, coleta e aquisição.
Os procedimentos são organizados de acordo com as regras instituídas

para correta observância da cadeia de custódia. A norma foi desenvolvida devido
à complexidade de se manter os arquivos digitais inalteráveis, pois estão sujeitos
80
TÓPICO 1 — TÉCNICAS DE FORENSE COMPUTACIONAL
às volatilidades dos meios de armazenamento e até mesmo a modificações

acidentais. Dessa forma, o perito em forense computacional deverá utilizar-se
das tecnologias que fornecerão autenticidade, integridade e legitimidade às
evidências. Como veremos no subtópico a seguir, a tecnologia que fornece os
requisitos para garantia da integridade da evidência digital é o Hash criptográfico.
A Figura 2 apresenta as etapas para aquisição de evidências digitais de

acordo com a NBR ISO/IEC 27037:2013, obedecendo os procedimentos para
garantia do atendimento à cadeia de custódia.
FIGURA 2 – PROCEDIMENTOS PARA ESTABELECIMENTO DA CADEIA DE

CUSTÓDIA EM UM PROCESSO DE PERÍCIA FORENSE DIGITAL
FONTE: Adaptada da ABNT (2013a)
Sabemos que a NBR ISO/IEC 27037:2013 padroniza as atividades inerentes

à aquisição, ao tratamento e à preservação de evidências digitais, definindo,
ainda, seus pilares fundamentais, representados na Figura 3. Para além dessas
características fundamentais, precisamos ter em mente que, em se tratando de
perícia em arquivos digitais, o perito poderá utilizar ferramentas e técnicas que
garantirão outro aspecto importante: a integridade das evidências de acordo com
os princípios mantenedores da cadeia de custódia.
81
FIGURA 3 – PILARES DA EVIDÊNCIA DIGITAL
FONTE: A autora
A seguir, iremos descrever a aplicabilidade das funções de hash,

como mecanismo que visa garantir a integridade das evidências digitais,
compreendendo mais das funcionalidades das principais ferramentas para
perícia forense computacional.
2.1 FUNÇÃO HASH

Sabemos que a perícia forense computacional está diretamente relacionada
com componentes, dispositivos, mídias digitais e uma variedade de formatos de
arquivos digitais.
Conforme Eleutério e Machado (2019, p. 123), “[...] quando existe a

necessidade de anexar grande quantidade de dados ao laudo do processo
pericial, em formatos como vídeos, áudios, dentre outros, uma solução viável é a
utilização de mídias específicas”.
Para garantir que tais mídias não sofreram qualquer alteração ou

substituição a solução é utilizar um mecanismo que permita a verificação
da integridade e da autenticidade dos dados gravados. A solução para esta
problemática é a utilização de hash.
O hash é uma função matemática, com papel relevante na verificação

de integridade de mídias (ELEUTÉRIO; MACHADO, 2019, p. 124), com forte
aplicabilidade como função de autenticação, tornando possível a detecção
de alterações em arquivos ou mídias digitais. Para uma melhor compreensão,
imagine o processo de triturar amendoins para fazer uma boa paçoca.
O processo de trituração seria uma analogia para explicar a função

unidirecional. É simples triturar os amendoins em um pilão até que vire uma
farinha, entretanto, unir todos os pedaços novamente para reconstruir os
amendoins originais é praticamente impossível.
82
“Toda e qualquer informação armazenada em meio digital utiliza-se

de códigos binários, formados por combinações e sequências de 0 e 1 (bits)”
(HASSAN, 2019, p. 53), que é a única linguagem compreendida pelos componentes
computacionais.
A ordem em que a sequência de bits é estabelecida indica seu valor e

relevância, segundo Hassan (2019, p. 54, grifo nosso) “[...] o bit de ordem mais
alta se localiza à extrema esquerda e tem o maior valor, sendo chamado de
Bit Mais Significativo (MSB – Most Significant Bit), já o bit de valor mais baixo
fica à extrema direita e é chamado de Bit Menos Significativo (LSB – Least
Significant Bit)”.
O Quadro 1 apresenta a representação de um número binário, no qual

é possível identificar o valor dos bits a partir de sua posição ao trabalhar com
números binários.
QUADRO 1 – REPRESENTAÇÃO DE UM NÚMERO BINÁRIO
FONTE: Hassan (2019, p. 54).
A função hash foi concebida para usar esta característica de tal forma que
o princípio da integridade de dados seja garantido, através da aplicação de um
algoritmo (função hash) em uma de cadeias de bits de tamanho variável.
O produto da aplicação da função hash, em uma cadeia de bits, referente a

determinado arquivo, produz sempre um resultado de tamanho fixo, denominado
valor de hash.
A segurança da função deve-se a uma particularidade, o fato dela ser

unidirecional, ou seja, matematicamente é impossível de ser revertida. Qualquer
modificação ou alteração na sequência de bits, mesmo que seja apenas em um bit, o
valor de hash sofre alteração. Isso porque toda vez que os dados são modificados,
o valor de hash também altera.
A Figura 4 apresenta a representação da aplicação da função hash em uma

mensagem longa, tendo como saída um resumo de mensagem de tamanho fixo.
83
FIGURA 4 – FUNÇÕES DE HASH
FONTE: Adaptada de Kurose e Ross (2013, p. 508).
O tamanho da sequência de bits gerada depende do algoritmo que está

sendo utilizado. Segundo Hassan (2019, p. 64), atualmente os algoritmos de hash
mais utilizados são:
• Message Digest 5 (MD5): gera um valor de hash de comprimento de 128 bits.

• Secure Hash Algorithm 1 (SHA1): gera um valor de hash de 160 bits.
• Secure Hash Algorithm 256 (SHA-256): gera um valor de hash de 256 bits.
• Secure Hash Algorithm 512 (SHA-512): gera um valor de hash de 512 bits.
Uma função hash criptográfica tem as seguintes propriedades:
• “não importa o tamanho do texto de entrada. o resultado terá um tamanho

fixo” (HASSAN, 2019, p. 65);
• “o resultado (função de saída) terá sempre o mesmo comprimento” (HASSAN,
2019, p. 65);
• “é uma função unidirecional, matematicamente impossível reverter”
(ELEUTÉRIO; MACHADO, 2019, p. 124);
• solução eficiente para armazenamento de senhas com segurança.
Dessa forma, o hash é uma opção eficiente na preservação de evidência

digitais, já que qualquer intervenção em um arquivo será detectada, pois gerará
um novo valor de hash. Outro ponto interessante é o fato de quando aplicado
em um disco em sua totalidade, gerará apenas um valor de hash com o mesmo
tamanho.
A Figura 5 ilustra o cálculo do valor de hash em hexadecimal calculado

pela função SHA-1 sobre o conteúdo “1112”.
84
FIGURA 5 – ILUSTRAÇÃO DO CÁLCULO DE VALOR DE HASH
FONTE: Eleutério e Machado (2019, p. 125)
Iremos abordar três métodos simples para calcular o hash de um arquivo.

Cabe destacar que, atualmente, todas as suítes de ferramentas para forense digital,
oferece o algoritmo para cálculo de hash imbutidos.
Para a geração de hash a partir de software simples on-line basta uma

rápida pesquisa na internet para encontrar uma série de sites que oferecem a
geração de hash de arquivo ou pasta on-line.
Por exemplo:
• http://andti.com.br/tool/hash;
• https://www.convertstring.com/pt_PT/Hash/SHA256;
• https://securityxploded.com/hashgenerator.php.
Tais ferramentas são úteis para a verificação da integridade de um

arquivo, quando não há um software para cálculo de hash no computador ou
dispositivo. Também tem aplicabilidade para checar se o arquivo passou por
alguma modificação no processo de download, ou ainda, se possui algum código
malicioso.
Por outro lado, gerando hash a partir de uma ferramenta específica, temos:
• Febooti Hash and CRC (www.febooti.com): é preciso instalar a aplicação em

seu computador. Atenção, o Febooti Hash é compatível apenas com o Windows.
• QuickHash (https://www.quickhash-gui.org/downloads/): gerador de hash de
código aberto, compatível com os sistemas operacionais Windows, macOS e
Linux. A Figura 6 apresenta a interface do software QuickHash, onde é possível
selecionar o algoritmo para geração do hash.
85
FIGURA 6 – JANELA DE UTILIZAÇÃO DO QUICKHASH
FONTE: <https://bit.ly/2ZwEA6r>. Acesso em: 20 set. 2021.
Os sistemas operacionais atuais possuem embutidas funções de hash,

embora limitados na disponibilização de padrões, os que são apresentados
servem bem ao propósito de verificação de integridade de arquivos. O sistema
operacional Windows, a partir do utilitário PowerShell, disponibiliza a função de
hash SHA256. Para acessar a função hash do Windows execute o seguinte passo
a passo: a partir do menu Iniciar do Windows, digite o comando PowerShell. A
janela a seguir irá surgir (Figura 7).
FIGURA 7 – TELA DO WINDOWS POWERSHELL
FONTE: A autora
Digite o comando Get-filehash e o caminho do arquivo em que será

aplicado o hash. Neste caso é o arquivo temperos.docx, tecle enter. O arquivo de
hash foi gerado utilizando o algoritmo SHA256, conforme mostra a Figura 8.
86
FIGURA 8 – SAÍDA DO ARQUIVO DE HASH EM SHA256.
FONTE: A autora.
Para alterar a função hash basta adicionar o parâmetro -Algorithm após

o caminho do arquivo seguido por um dos hashes criptográficos a seguir (SHA1,
SHA256, SHA384, SHA512, MD5) (HASSAN, 2019, p. 66).
3 A PERÍCIA EM DISPOSITIVOS DE ARMAZENAMENTO

COMPUTACIONAL
A publicação do grupo de trabalho Scientific Working Group on Digital
Evidence (SWGDE), (SWGDE, 2018, p. 4), apresenta as melhores práticas para
aquisição forense em computadores. Segundo a SWGDE (2018, p. 4) “o princípio
orientador para aquisições forenses em computadores é minimizar, o máximo
possível, as alterações nos dados de origem”. Por se tratar de uma publicação
que norteia e padroniza o processo pericial, vamos destacar definições relevantes
apresentadas na publicação sobre o processo de aquisição forense computacional.
Segundo a SWGDE (2018, p. 8), os tipos de aquisição são classificados em: Física
e lógica, descritas a seguir.
A aquisição física caracteriza-se por ser uma duplicata de fluxo de bits dos
dados contidos em um dispositivo. Os equipamentos envolvidos nesse processo
são os bloqueadores de gravação de hardware ou software, que devem ser usados
para evitar o comprometimento da mídia que está a evidência.
Há ainda a geração das imagens forenses, que devem ser adquiridas

usando hardware ou software específicos, por exemplo, Forensics Tool Kit (FTK),
Encase, Autopsy, dentre outras. O objetivo deste tipo de aquisição é capturar uma
imagem de fluxo de bits completa da mídia original.
Já a aquisição lógica, segundo o SWGDE (2018, p.4), “[...] é o processo

de aquisição de pastas e arquivos enquanto utiliza o sistema de arquivos nativo
em que residem”. Nesse tipo de aquisição também se utiliza bloqueadores de
gravação de hardware ou software. A geração de imagens forenses é realizada
usando hardware ou software específico, por exemplo, FTK, Encase, Autopsy,
dentre outras. O objetivo desse tipo de aquisição é capturar uma imagem lógica
da mídia original.
87
O processo de aquisição é uma etapa essencial de uma investigação

forense computacional. Ao apresentar os objetivos práticos da perícia forense
digital, Hassan (2019, p. 21) expõe que esta tem como alvo:
[a] busca de evidência legal em dispositivos de computação e

preservação de sua integridade para que seja considerada admissível
no tribunal; preservação e recuperação de evidências a partir de
procedimentos técnicos aceitos pela corte; identificação de vazamentos
de dados dentro de uma empresa; e apresentação dos resultados em
um relatório formal adequado a submissão à corte.
Os objetivos não se resumem somente a esses, dependendo dos achados

a investigação poderá desencadear outros processos, como, por exemplo, ao
analisar os logs de uma aplicação, encontrar indícios de um vazamento de dados
que esteja ocorrendo nos sistemas da empresa, mas que não tenha relação com o
fato primário investigado. Consequentemente, outro processo investigatório será
iniciado.
Para se alcançar o objetivo primário de um processo de perícia forense

digital, a busca de evidências, que se consolide como prova jurídica de um crime
digital, é essencial a utilização de uma metodologia que legitime a prova perante
o tribunal. Portanto, a preservação correta da evidência digital é normatizada.
Nesse caso, a norma da Associação Brasileira de Normas Técnica (ABNT),

em conjunto com as entidades International Organization of Standardization e
International Electrotechnical Commission (ISO/IEC), denominada 27037:2013,
especifica que na etapa de preservação da evidência digital é importante manusear
e acondicionar os artefatos, identificados como indícios e possível evidência,
de modo que seja minimizada a possibilidade de danos, como a espoliação ou
adulteração (ABNT, 2013b).
O conceito de espoliação refere-se à perda da integridade dos

dispositivos de armazenamento, proveniente de algum tipo de degradação
ou alteração de suas propriedades. Nesse caso, quando a evidência está
armazenada em algum meio computacional, como: Hard Disks (HDs);
Compact Disc (CDs); pen drives etc.
Já o conceito de adulteração relaciona-se com evento que executou

alterações intencionais ou acidentais em meios de armazenamento de
evidência digital.
O processo de preservação resguarda a integridade, a autenticidade da

evidência digital e sua cadeia de custódia. Segundo a ABNT (2013b, p. 5), “[...] a
fase de identificação, na qual ocorre o processo para identificar e priorizar a coleta
da evidência”, é baseada na volatilidade dos dispositivos e componentes, garan-
tindo assim a correta ordem dos processos de coleta e aquisição, minimizando o
risco de dano à evidência digital em potencial.
88
O Quadro 2 retrata os aspectos fundamentais que devem ser observados

na aquisição de evidências digitais. A não observância desses critérios poderá
afetar a autenticidade da evidência. Incorrendo em seu questionamento em um
processo judicial.
QUADRO 2 – ASPECTOS FUNDAMENTAIS DAS EVIDÊNCIAS DIGITAIS
FONTE: Adaptada de Norma ABNT NBR ISO/IEC 2703, 2013.
A NBR ISO/IEC 27037:2013 tem por finalidade a adoção de um modelo de

referência, aceito mundialmente, para o tratamento de evidências digitais. Visa,
ainda, preservar a sua integridade e autenticidade (ABNT, 2013b).
O conhecimento das normas, padrões e legislação e de suma importância

para que se alcance os objetivos da investigação, garantindo sua validação jurídica.
A Figura 9 apresenta, de forma resumida, ações necessárias para a realização

de um processo pericial em dispositivos de armazenamento computacional, de
acordo com a NBR ISO/IEC 27037:2013, e a Special Publication (SP) do National
Institute of Standard and Technology (NIST) conhecida como NIST SP-800-86, um
guia para integração de técnicas forenses na resposta a incidentes.
FIGURA 9 – PRESERVAÇÃO DA EVIDÊNCIA DIGITAL
89
FONTE: Adaptada da ABNT (2013a)
O processo de preservação da integridade da evidência digital, segundo

Fontes (2020, p. 9) é construído por quatro etapas essenciais. Vejamos, a seguir:
• Segurança física e lógica dos dados.

• Geração dos números de hash no ato da aquisição dos dados.
• Verificação do número de hash obtido.
• Releitura da imagem/dados periciados.
Veremos a seguir o processo de aquisição de evidências digitais na

memória principal, conhecida como Random Access Memory (RAM), Hard Disks
(HDs) e em computadores como um todo. Consideramos que o computador
envolvido no delito esteja ligado e ainda com os indícios do crime presente no
sistema/ambiente.
Por isso esse processo de coleta de dados é conhecido como “coleta de

dados de sistemas on-line” ou “coleta a quente”. É de suma importância atenção
e cuidados redobrados nesse tipo de coleta, pois o manuseio incorreto das
ferramentas (hardware e software) pode interferir na preservação da evidência.
A coleta de dados na memória RAM é o procedimento para investigação

e aquisição dos dados na memória RAM, inicia se pela reprodução do conteúdo
armazenado na memória, técnica denominada de “dump” (FONTES, 2020, p. 9). A
necessidade em se coletar o mais rápido possível os dados da RAM se deve a sua
alta volatilidade. Caso haja uma interrupção da energia elétrica, todos os dados
ali armazenados serão perdidos. Algumas ferramentas open source realizam o
processo de dump, tais como: volatily; Forensic ToolKit (FTK) Imager; Digital
Forensics Framework (DFF); e Autopsy, dentre outras.
90
A coleta de dados em HDs é considerada a captura física, técnica

conhecida como imagem de fluxo de bits (HASSAN, 2019, p. 140). Nesse tipo
de procedimento, é gerada uma imagem fidedigna do HD, na qual os bits são
copiados um a um. Não se trata de uma cópia de backup.
A imagem gerada é capaz de espelhar, segundo Hassan (2019, p.140)

“[...] os metadados do sistema de arquivos, arquivos excluídos, fragmentos de
arquivos excluídos e espaço não alocado também são capturados”. Um cuidado
que deverá ser adotado é com relação ao tamanho da unidade de destino, que
deverá ser idêntica a unidade de origem. As ferramentas forenses disponíveis
no mercado possuem um módulo para a realização da duplicação forense, tais
como: o Autopsy; FTK Imager; o DFF; Encase, dentre outras.
Ao realizar uma coleta de evidências em um computador como um todo,

lembre-se que esta é a cena de um possível crime, portanto, deverá ser preservada
o máximo possível. Todos os detalhes são passíveis de interesse. Conforme vimos
no subtópico sobre a coleta de dados em HDs, gere uma imagem forense dos
dispositivos de armazenamento, e realize um “dump” da memória principal. Gere
o hash da imagem forense, conferindo o número obtido. Desligue o equipamento
de forma apropriada. Segundo Fontes (2020, p. 12) “[...] cada peça coletada deve
ser protegida contra modificação/acesso não autorizado e a cadeia de custódia
deve ser mantida conforme descrita nos procedimentos”. Embale e identifique
cada componente coletado.
4 EQUIPAMENTOS FORENSES ESPECÍFICOS PARA

DUPLICAÇÃO/AQUISIÇÃO
As melhores práticas norteiam o trabalho do perito no que diz respeito
à análise dos equipamentos apreendidos e demais etapas do processo pericial.
O que “possibilita que o perito tenha condições de realizar tais procedimentos”
(HASSAN, 2019, p. 332), de acordo com os padrões internacionalmente
reconhecidos.
Dentro das etapas previstas, o processo de duplicação, também, conhecido

como espelhamento, estabelece o momento em que os dados são copiados,
utilizando-se de técnicas e ferramentas de geração de imagem idêntica dos dados
para uma outra mídia, para posterior análise destes objetivando a confecção do
laudo.
A duplicação forense realiza a cópia do dispositivo periciado, até mesmo

dos dados já excluídos. Desde que o perito utilize ferramentas e equipamentos
especificamente destinados a esta finalidade. Todo o processo de análise será
realizado na imagem gerada, resguardando a evidência de alterações e danos
(HASSAN, 2019).
91
A utilização de equipamentos específicos para duplicação minimiza a

probabilidade de os dados serem corrompidos, ou a ocorrência de problemas
físico durante o processo de duplicação, evitando, assim, o comprometimento
de sua análise. Ainda segundo Hassan (2019, p. 50), ao “procurar dados ocultos
e arquivos excluídos”, o perito, deverá atentar-se para o estabelecimento de
procedimentos que garantirão o sucesso da extração. Sucintamente, são eles:
• conhecer as propriedades dos arquivos (nome, extensão e tamanho), e

estabelecer regras de filtragem de arquivos;
• estabelecer regras de busca por palavras-chave, possivelmente, constantes em
arquivos periciados;
• estabelecer um procedimento para quebra de senhas de acesso ou de
dispositivos criptografados.
No decorrer deste livro, estamos sempre apontando a necessidade de o

perito dominar ferramentas, softwares e hardwares que o auxiliarão no processo
de perícia forense computacional, sem os quais seu trabalho se torna impossível.
Neste subtópico, iremos aprender um pouco mais dos equipamentos existentes
no mercado que propicia a devida assistência ao processo investigativo de uma
perícia forense computacional.
DICAS
Para um pouco mais dos métodos de sanitização de mídias, você encontrará

dois padrões, a saber: DoD 5220-22 M, padrão do Departamento de Defesas dos Estados
Unidos criado de 2006; e o NIST 800-88 (The National Institute for Standards and
Technology), criado também em 2006 e revisado em 2012.
A utilização de ferramentas, seja em hardware ou em software, é parte

integrante do processo de aquisição, que, segundo a NBR ISO/IEC 27037, consiste
na produção da cópia da evidência digital e documentação dos métodos usados
e atividades realizadas (ABNT, 2013a).
A norma recomenda ainda que ambas as fontes (original e cópia) da

evidência digital produzam o mesmo resultado. O processo de duplicação refere-
se aos dados que já estão em formato digital, por exemplo:
• meios de armazenamento digitais usados em computadores, como Hard Disk

(HD), disquetes, Compact Disc (CD), Digital Versatile Disc (DVD), pen drives;
smartphones, tabletes, Personal Digital Assistants (PDA),
• Personal Electronic Devices (PED), cartões de memória;
• Sistema de Navegação Móvel (Global Positioning System – GPS);
92
• sistemas embarcados;
• câmeras digitais de vídeos e fotografia, incluído Circuito Fechado de TV
(CFTV);
• desktops e notebooks;
• redes baseadas no Transmission Control Protocol (TCP) e no Internet Protocol
(IP) e outros protocolos digitais.
Para executar a duplicação forense, “o perito utiliza ferramentas

conhecidas como duplicadores de hardware ou ferramentas de criação de imagens
de software como o comando Data Definition (DD) do Linux para duplicar
unidades” (HASSAN, 2019, p. 45). Quando conduzir o processo de duplicação,
lembre-se de que a unidade de disco rígido suspeita deve estar protegida contra
gravação para evitar a adulteração da evidência original. A Figura 10 mostra um
modelo de hardware duplicador forense para a aquisição de imagens forense de
mídias questionadas.
FIGURA 10 – DUPLICADOR DE MÍDIAS
FONTE: <https://www.klipartz.com/es/sticker-png-vguqx>. Acesso em: 20 set. 2021.
O mercado oferece diversos modelos de equipamentos para duplicação

de dados, que dispõem de funcionalidades importantes no processo pericial.
Uma característica importante é a função de sanitização de dados, que consiste
em apagar bit a bit, todo o espaço de armazenamento, evitando, assim, que
fragmentos de arquivos existentes na mídia, para onde a cópia será realizada
interfira na imagem coletada. A Figura 11 mostra um modelo de equipamento
com múltiplas funções para o processo de coleta de evidências.
93
FIGURA 11 – EQUIPAMENTO DE DUPLICAÇÃO COM MULTIPLAS FUNÇÕES
FONTE: <https://www.flashmemorybrasil.com.br/images/FR100.jpg>. Acesso em: 20 set. 2021.
O processo de duplicação forense, além do domínio de hardware e

soluções específicas, requer o conhecimento do funcionamento e configuração de
sistemas operacionais, principalmente, no que diz respeito às especificidades dos
sistemas de arquivos e armazenamento de dados.
TUROS
ESTUDOS FU
Não se preocupe! Ainda nesta unidade, estudaremos as normas e padrões que

definem procedimentos para a coleta de evidências digitais.
94
RESUMO DO TÓPICO 1
• A fase de identificação, quando se identifica e se prioriza a coleta da evidência,

é baseada na volatilidade dos dispositivos e componentes, garantindo, assim,
a correta ordem dos processos de coleta e aquisição, minimizando o risco de
dano à evidência digital.
• A cadeia de custódia é o conjunto de todos os procedimentos utilizados para

manter e documentar a história cronológica do vestígio coletado em locais de
crimes. No caso dos crimes digitais, todo e qualquer equipamento ou dispositivo
relacionado ao crime deverá ser custodiado, seguindo os procedimentos vistos.
• A integridade de arquivos e evidências digitais é fator crucial para sua

admissibilidade no tribunal. A função hash é a tecnologia que auxilia o perito
na preservação da integridade das mídias e arquivos que contenham evidências
de um delito.
• O processo de espoliação é resultado da degradação magnética, degradação

elétrica, devido a alguns fatores como: temperatura elevada; exposição à alta
ou baixa umidade; e choques e vibrações.
• A padronização do tratamento de evidências digitais visa preservar sua

integridade, de maneira a permitir sua admissibilidade junto ao tribunal.
• Os equipamentos específicos para a duplicação forense minimizam a

probabilidade de os dados serem corrompidos ou a ocorrência de problemas
físicos durante o processo de duplicação, evitando assim o comprometimento
de sua análise.
• A Lei nº 13.964/2019 estabelece as etapas e procedimentos mínimos para que

a prova pericial detenha seu valor jurídico diante do tribunal, como resultado
de uma investigação criminal. Lembrando que a investigação criminal, em seu
objetivo primário de apuração de responsabilidade e autoria do crime, deve
ser norteada por métodos formalizados e procedimentos que garantam sua
autenticidade e validade. Para se alcançar tais objetivos, a estruturação do
processo investigatório encontra suporte, também, nas normas e padrões com
reconhecimento internacional.
• A NBR ISO/IEC 27037:2013 padroniza as atividades inerentes à aquisição,

ao tratamento e à preservação de evidências digitais, definindo, ainda, seus
pilares fundamentais.
95
• Os sistemas operacionais atuais possuem embutidas funções de hash, embora
limitados na disponibilização de padrões, os que são apresentados servem bem
ao propósito de verificação de integridade de arquivos. O sistema operacional
Windows, a partir do utilitário PowerShell, disponibiliza a função de hash
SHA256.
• A aquisição física se caracteriza por ser uma duplicata de fluxo de bits dos dados
contidos em um dispositivo. Os equipamentos envolvidos nesse processo são
os bloqueadores de gravação de hardware ou software, que devem ser usados
para evitar o comprometimento da mídia que está a evidência. Há ainda a
geração das imagens forenses, que devem ser adquiridas usando hardware ou
software específicos, por exemplo, Forensics Tool Kit (FTK), Encase, Autopsy,
dentre outras. O objetivo desse tipo de aquisição é capturar uma imagem de
fluxo de bits completa da mídia original.
• A aquisição lógica é o processo de aquisição de pastas e arquivos enquanto

utiliza o sistema de arquivos nativo em que residem. Nesse tipo de aquisição,
também, se utiliza bloqueadores de gravação de hardware ou software.
A geração de imagens forenses é realizada usando hardware ou software
específico, por exemplo, FTK, Encase, Autopsy, dentre outras. O objetivo desse
tipo de aquisição é capturar uma imagem lógica da mídia original.
96
AUTOATIVIDADE
1 Para entendermos melhor o papel da aplicação das funções de hash

criptográficos para assegurar a integridade de dados, é preciso compreender
seu funcionamento. Sendo assim, assinale a alternativa CORRETA com
relação ao funcionamento de uma função hash:
a) ( ) O hash é um algoritmo criptográfico baseado em cifras de transposição

de bits que garante a confidencialidade dos dados coletados em um
processo pericial.
b) ( ) O hash é uma aplicação baseada em uma função matemática
unidirecional muito eficiente para garantir a integridade de dados nas
evidências digitais.
c) ( ) O hash é uma ferramenta que assegura a disponibilidade e integridade
de dados através da conversão de um arquivo (dados binários) para
produzir um string de tamanho fixo, denominado valor de hash.
d) ( ) A função de hash é considerada bidirecional porque computacional-
mente produz dois conjuntos de dados distintos como resultado de
saída.
2 Acerca das propriedades essenciais que uma função de hash deve possuir,
analise as sentenças a seguir:
I- A entrada de uma função de hash pode ser de qualquer comprimento. O

que inclui arquivos pequenas até arquivos extremamente grandes.
II- A saída de uma função de hash tem um comprimento fixo,
independentemente do tamanho do arquivo que a gerou.
III- A função de hash é bidirecional e não é reversível.
a) ( ) As sentenças I e III estão corretas.

c) ( ) As sentenças I e II estão corretas.
3 A duplicação forense realiza a cópia do dispositivo periciado, até

mesmo dos dados já excluídos. É necessário que se utilize ferramentas e
equipamentos especificamente destinados a esta finalidade. Classifique V
para as sentenças verdadeiras e F para as falsas:
( ) A utilização de equipamentos específicos para duplicação minimiza

a probabilidade de os dados serem corrompidos, ou a ocorrência de
problemas físico durante o processo de duplicação. Evitando, assim, o
comprometimento de sua análise.
97
( ) No processo de duplicação o perito pode realizar a recuperação de
arquivos ou fragmentos de arquivos excluídos, sem o perigo de danificar
a mídia questionada.
( ) No processo de recuperação de dados excluídos, é importante atentar-se
para as metodologias que possibilitem a sanitização das mídias envolvidas
na perícia forense.
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) V – V – F.
d) ( ) F – F – V.
4 A utilização de ferramentas, seja em hardware ou em software, é parte

integrante do processo de aquisição que, segundo a NBR ISO/IEC 27037:2013,
consiste na produção da cópia da evidência digital e documentação dos
métodos usados e atividades realizadas. Disserte sobre a admissibilidade
da evidência digital em um processo judicial.

5 O hash é uma função matemática que converte os bits de um arquivo em
um valor de string fixo, denominado valor de hash. Nesse contexto, disserte
sobre a como a função hash prover integridade às evidências digitais.
98
TÓPICO 2 —
UNIDADE 2
GOVERNANÇA DA SEGURANÇA CIBERNÉTICA
1 INTRODUÇÃO
Acadêmico, no Tópico 2, trabalharemos acerca das normas que estabelecem
diretrizes para a segurança cibernética, cujo foco é estabelecer controles de
segurança, visando também a redução de ataque e crimes digitais. Veremos
que a infraestrutura da internet que suporta as aplicações do ciberespaço, que
são compartilhadas pelas mais diversas entidades e organizações, necessita de
iniciativas que fortaleça a segurança cibernética. Possibilitada pela definição de
normas e padrões de referência que sejam amplamente adotados.
Abordaremos os domínios que envolvem a governança da segurança

cibernética e os ativos da informação que seus controles procuram proteger no
ambiente corporativo. Bem como seu alinhamento, necessário, com a governança
de TI, no sentido de estabelecer um alinhamento estratégico entre a TI e os
objetivos estratégicos do negócio. Discutiremos, ainda, o papel estratégico da
política de segurança da informação em uma organização, que preconiza a
implantação de um programa de conscientização, treinamento e educação de
segurança, envolvendo os funcionários e os colaboradores da organização.
2 NORMAS PARA PERÍCIA FORENSE COMPUTACIONAL DO

CONTEXTO DA SEGURANÇA CIBERNÉTICA
Entende-se como governança de segurança da informação o sistema no
qual são organizadas as atividades de segurança da informação de organizações,
instituições, entidades etc. A governança deverá ser implementada em
conformidade com leis, regulamentos e contratos, segundo padrões de referência
consolidados. Convém que seja avaliada, analisada e implementada por meio de
uma abordagem de gestão de riscos, apoiada por um sistema de controle interno.
No ambiente corporativo encontraremos alguns modelos de governança,

adequados a natureza específica de cada negócio. Respeitando as especificações
legais as quais o negócio está sujeito. A governança da Tecnologia da Informação
(TI) e a governança organizacional, possuem frameworks para a implementação
em consonância com as especificidades do negócio.
99
Esses frameworks possuem a característica de ser flexíveis, para que se

adequem as mudanças inerentes dos ambientes organizacionais e acima de tudo
aos ambientes tecnológicos. Podemos citar como exemplo desses frameworks para
a governança de TI, o Control Objectives for Information and Related Technologies
Information (COBIT) e o Information Technology Infrastructure Library (ITIL).
A governança de TI objetiva, por meio da aplicação de modelos de

referências, compensar discrepâncias entre os recursos de TI, seu custo e os
processos do negócio. Dimensionando a infraestrutura adequada para a gestão da
informação em toda a sua cadeia de produção (processamento, armazenamento
e disseminação).
Já o escopo da governança da segurança da informação abrange a

confidencialidade, integridade e disponibilidade da informação em meios digitais.
A Figura 12 apresenta a relação organizacional entre a Governança de Tecnologia
da Informação e Comunicação (TIC) e a Gestão de TIC. Os frameworks citados são
aplicados para medir e gerenciar as atividades constantes desta relação.
FIGURA 12 – RELAÇÃO DA GOVERNANÇA DE TIC COM A GESTÃO DE TIC
FONTE: <https://bit.ly/3jEkz4V>. Acesso em: 20 set. 2021.
Observamos que, no cenário corporativo, é de suma importância a

compreensão da dimensão que envolve a segurança das informações armazenadas
nos mais diversos meios digitais. Na atualidade, diante da globalização da
economia, uma empresa que não está conectada ao mundo virtual (ciberespaço),
não terá a devida visibilidade. No entanto, se torna uma questão crítica à empresa
conectada que não se atenta para a segurança de seus dados e a proteção das
informações, essencialmente, pessoais e estratégicas. Principalmente, quando
as ameaças, advindas de diversos lugares, inclusive do próprio ambiente
organizacional, rondam os sistemas em busca de fragilidades de possam ser
exploradas. Por isso, combater e coibir os crimes cibernéticos vem se tornando
um dos maiores desafios da atualidade.
100
TÓPICO 2 — GOVERNANÇA DA SEGURANÇA CIBERNÉTICA
O princípio da legalidade aplicado à Segurança da Informação assegura o

atendimento à legislação em vigor e a observância às resoluções normativas a que
a organização está sujeita (FONTES, 2020, p. 32), além de garantir a adequação
às normas e aos padrões técnicos internacionalmente reconhecidos. Dessa forma,
este princípio certifica que os controles de segurança estão implementados
com qualidade e cumprimento às exigências da lei. Portanto, a preservação da
informação, com objetivo de garantir sua proteção, deve estar em conformidade
com a legislação no aspecto relacionado à natureza do negócio, resguardando,
ainda, os direitos fundamentais dos usuários. Para facilitar esta tarefa é possível
a adoção de padrões de referências relacionadas à gestão da segurança da
informação e da TI, para auxiliar na implementação de diretrizes e melhores
práticas no ambiente corporativo. Sendo assim, controles implementados em
conformidade com o princípio da legalidade são instrumentos de suporte às
investigações corporativas, principalmente em crimes informáticos.
A adoção de normas e padrões auxilia no processo de gestão dos ambientes

de informação, que tem sua estruturação proposta por Fontes (2020, p. 27),
representada no Quadro 3. Os critérios para definição de regras que possibilitem
o estabelecimento de controle e contramedidas de segurança deverão levar em
consideração a complexidade de tais ambientes. Vulnerabilidades humanas e
tecnológicas, as ameaças cibernéticas e a prática de crimes e fraudes digitais são
exemplos de possíveis problemas que deverão ter o risco de sua concretização
mitigado por meio da adoção de códigos de boas práticas. Sendo assim, as
diretrizes constantes das normas, possuem reconhecimento internacional,
tendo ainda, o aporte de serem desenvolvidas por especialista que entendem a
complexidade dos ambientes de informação e suas potenciais ameaças.
QUADRO 3 – AMBIENTES DE INFORMAÇÃO
FONTE: Fontes (2020, p. 27)
101
No contexto da governança da segurança da informação, o padrão de

referência internacional é a NBR ISO/IEC 27001:2013. Na realidade, trata-se
de um conjunto de normas que abarca aspectos e dimensões da segurança da
informação e da segurança cibernética. Esta família de normas tem sua origem
em um conjunto anterior de normas britânicas, a BS7799 (British Standards), de
1992, que estabelecia um código de práticas relativas à gestão da Segurança da
Informação (FONTES, 2020, p. 33). Nomeada anteriormente como ISO 17799:2005,
é dividida em duas partes: a ISO 17999 parte 1, que estabelecia os requisitos para
implantação de um Sistema de Gestão de Segurança da Informação (SGSI); e a
parte 2, que define um código de boas práticas para a gestão de um SGSI.
No Brasil, este padrão é publicado pela Associação Brasileira de Normas

Técnicas (ABNT) e compõe a família ABNT NBR ISO/IEC 27000. O conjunto das
normas que compõe a família 27000 está relacionado no Quadro 4.
QUADRO 4 – FAMÍLIA ABNT NBR ISO/IEC 27000
FONTE: Adaptado de <https://bit.ly/3nyr0Ya>. Acesso em: 20 set. 2021.
Devido ao escopo da nossa disciplina, daremos destaque às normas

que estabelecem diretrizes para a segurança cibernética, cujo foco é estabelecer
controles de segurança, visando à redução de ataque e crimes digitais, e às normas
sobre perícia forense digital.
102
E
IMPORTANT
A norma Britânica ISO 17025:2017, publicada em 1999, se esforça para padronizar

laboratórios de forense computacional em todo o mundo em termos de testes, controle
de qualidade, calibração, e garantir que os resultados gerados por qualquer laboratório
acreditado sejam confiáveis.
FONTE: <https://bit.ly/2ZoEtJC>. Acesso em: 20 set. 2021.
A NBR ISO/IEC 27032:2015 diz respeito ao ciberespaço, que é um espaço

cibernético formado pelas informações que circulam e estão armazenadas em
todos os computadores ligados em rede, especialmente a internet (CLARKE;
KNAKE, 2015, p. 13).
A segurança cibernética amparada nas dimensões que a segurança

da informação abarca: pessoas; processos; e tecnologias. Além de englobar o
estabelecimento de mecanismos e serviços contra medidas no ambiente digital,
visando à prevenção, à mitigação e à recuperação de ataques cibernéticos.
A NBR ISO/IEC 27032:2015 estabelece diretrizes para a segurança

cibernética. A norma é uma iniciativa de padronização do uso compartilhado de
recursos da infraestrutura cibernética, tais como roteadores, cabeamento e links
de dados, no ciberespaço.
Busca estabelecer os papéis de cada parte interessada, no tratamento

dos problemas de segurança (SILVA, 2020, p. 385). Trata-se de uma forma para
estabelecer parcerias colaborativas na resolução dos cenários críticos da segurança
cibernética na infraestrutura da internet.
Especificamente, a NBR ISO/IEC 27032:2015 trata das práticas básicas de

segurança da informação e suas ramificações em outros domínios de segurança,
especificamente na infraestrutura que suporta as aplicações e protocolos
da internet, onde se insere os roteadores, links de dados e cabeamentos
compartilhados. Sendo assim, a norma objetiva ajustar as questões de segurança
no espaço cibernético, que se concentram em preencher as lacunas nos diferentes
domínios de segurança (FONTES, 2020, p. 33).
A norma propõe diretrizes técnicas para tratar os riscos de segurança

cibernética comuns, incluindo a ABNT 27032:2015, como: ataques de engenharia
social; hacking; a proliferação de softwares mal-intencionados (malware) (SILVA,
2020, p. 174); software espião (spyware); outros softwares potencialmente
indesejados. Dentre as diretrizes estabelecidas pela NBR ISO/IEC 27032:2015,
destacamos a definição de controles para lidar com os riscos para (ABNT, 2015):
103
• proteção contra ciberataques em potencial, que podem paralisar ou congestionar

a infraestrutura da internet;
• detectar e monitorar ataques,
• responder a ataques.
Essa norma também fornece uma estrutura para compartilhamento de

informação; coordenação; e gestão de incidentes. Desse modo, a NBR ISO/IEC
27032:2015, faz relação entre segurança na internet, segurança na web, segurança
de rede e segurança cibernética, de tal forma que seja possível detectar anomalias
nos mecanismos e serviços de segurança implementados no ambiente tecnológico.
Outro ponto importante é identificar as partes interessadas com funções na
segurança cibernética, além de oferecer orientação de alto nível sobre como lidar
com problemas comuns da segurança cibernética (ABNT, 2015).
Já a NBR ISO/IEC 27037:2013 estabelece diretrizes para identificação,

coleta, aquisição e preservação de evidência digital. O intuito da norma visa à
padronização dos procedimentos para o tratamento de evidências digitais, tendo
a sua natureza volátil ou de fácil modificação/alteração (ABNT, 2013b, p. 5). A
sua regulamentação estabelece uma linha reguladora, visando à preservação dos
aspectos fundamentais da evidência digital.
3 A DEFINIÇÃO DE POLÍTICAS DE SEGURANÇA CIBERNÉTICA

A governança da segurança da informação possui uma variedade de
princípios fundamentais, no entanto, vamos abordar o NBR ISO/IEC 27014:2013,
tendo em vista que promove um ambiente positivo de segurança.
Tal princípio, baseado na citada norma, especifica que “[...] convém que a
governança da segurança da informação seja construída sobre o comportamento
humano, incluindo as crescentes necessidades de todas as partes interessadas”
(ABNT, 2013b, p. 22), visto que o comportamento humano é um dos elementos
fundamentais para manter o nível apropriado de segurança da informação. A
Figura 13 representa a estruturação da política de segurança da informação
na organização. Uma das formas de implementação desse princípio é o
desenvolvimento de programas de educação, treinamento e conscientização em
segurança.
104
FIGURA 13 – ESTRUTURAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
FONTE: A autora
Um elemento central é a política de segurança da informação, enquanto

norma institucional, que auxiliará os programas de educação, treinamento
e conscientização em segurança. De acordo com a NBR ISO/IEC 27001:2013, o
objetivo da política de segurança da informação é:
[...] prover uma orientação e apoio da direção para a segurança da

informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes. Convém que a direção estabeleça uma
política clara, alinhada com os objetivos do negócio e demonstre apoio
e comprometimento com a segurança da informação por meio da
publicação e manutenção de uma política de segurança da informação
para toda a organização (ABNT, 2013c, p. 22).
Ainda, segundo a NBR ISO/IEC 27001:2013 (ABNT, 2013c), os principais

objetivos da criação da Política da Segurança da Informação são:
• estabelecer uma normativa interna aplicada a todas as áreas da organização,

que proteja seus procedimentos, sistemas e ativos de informação. Existe
a necessidade de alinhar as normativas da política aos processos críticos
da organização, adequando os sistemas de controle interno à expansão dos
recursos computacionais e operacional;
• reduzir os riscos de indisponibilidade do ambiente computacional, seja pela
perda da continuidade dos negócios ou pela perda dos sistemas de contingência,
que causem a descontinuidade, parcial ou total, das operações do negócio;
• diminuir os riscos de vazamentos de informações estratégicas, além de
combater e coibir os eventos de fraudes interna;
105
• alinhar a norma com resoluções de Agências Reguladoras;

• reduzir riscos de não conformidade (Compliance), relacionado aos controles
internos e governança;
• dimensionamento da segurança da informação de acordo com os sistemas de
gestão de riscos em TI, e alinhamento aos padrões de mercado;
• a comunicação de forma efetiva e formal, o uso aceitável quanto à manipulação
de informar os sistemas de TI, estabelecendo, claramente, o que é permitido ou
proibido;
• fixar e comunicar os papéis e responsabilidades de todos os colaboradores. A
não observância da política incorrerá em penalidades e demissões;
De acordo com Pinheiro (2020, p. 112), “[...] a política de segurança da

informação é um documento jurídico no modelo de diretriz que traz todas as
regras, padrões e procedimentos obrigatórios para proteção dos ativos e atividades
da empresa, cada vez mais dependentes da informática, da internet, do e-mail”.
Em consonância com os objetivos da política de segurança da informação,

todos os funcionários, colaboradores, terceirizados e prestadores de serviço
devem ser responsáveis por cumprir a política de segurança da informação da
empresa. Sendo necessária a adoção de medidas para sua divulgação, uma vez
que é imprescindível o conhecimento formal do documento. Algumas empresas
utilizam o contrato de trabalho, que necessita de assinatura física, para dar ciência
da política de segurança da Informação aos seus funcionários. Segundo Pinheiro
(2020, p. 113), “[...] a etapa de divulgação e conscientização dessa política é
fundamental, tanto para prevenção de incidentes como para proteção da empresa
no sentido de que capacitou seus profissionais no correto uso da tecnologia”.
A política de segurança da informação não se resume a um único

documento. Na realidade, ela é composta por uma série de documentos
que orientam desde o comportamento do usuário com relação aos recursos
informáticos, ou não, até as regras de descarte de documentos e lixo corporativo.
Ela abarca a segurança física, através da implementação de controles de acesso,
por exemplo, até a segurança lógica, que norteará a salvaguarda dos recursos
computacionais e informações em meio informático. Dentre os documentos que
compõem uma política de segurança da informação destacamos: a norma e o
procedimento.
A norma é o documento que detalha o aspecto operacional da execução,

por exemplo, “norma de uso de senhas seguras, norma de uso de correio
eletrônico (e-mail), norma de uso de dispositivos móveis e mídias, termo ou
acordo de confidencialidade padrão, termo de responsabilidade etc.” (SANTOS,
2019, p. 67).
O procedimento diz respeito ao documento que detalha o aspecto

técnico da execução, por exemplo, “procedimento para configuração de perfis de
usuários; procedimento para criação de compartilhamento na rede, procedimento
para acesso a uma rede Virtual Private Network (VPN) etc. Os procedimentos são
documentos com especificações e termos técnicos” (SANTOS, 2019, p. 67).
106
Segundo Fontes (2020, p. 47), para a definição da política da informação

baseada na NBR ISO/IEC 27001:2013, primeiramente é preciso “[...] estruturar a
proteção da informação terá como consequência a garantia de que os controles
de segurança existentes, são eficientes e são eficazes ao longo do tempo”.
Com isso, espera-se que os controles sejam efetivos. Assim, a segurança da
informação cumprirá seu papel de maneira adequada, em conformidade com
as especificidades do negócio e ao seu porte. Por meio da implementação
organizacional das dimensões da segurança da informação. Veremos a seguir as
especificidades de cada uma dessas dimensões.
Dimensão política da segurança da informação define as regras de como

a segurança da informação irá funcionar, descrevendo suas responsabilidades,
sua conexão com a Governança da Segurança. Tida como o projeto estrutural da
segurança da informação, define responsabilidades quanto ao seu uso.
Dimensão gestão de riscos de segurança da informação operacionaliza

as regras e controles estabelecidos após a análise de risco.
Dimensão de acesso lógico à informação pode ser compreendida segundo

Fontes (2020, p. 49), como uma dimensão que “[...] implanta e operacionaliza as
regras e os controles necessários para um acesso seguro à informação, tanto no
ambiente de tecnologia (ambiente digital), como no ambiente convencional”.
Nesta dimensão, são considerados os seguintes tipos de controles:
• gestão de identidade do usuário;

• gestão de autenticidade do usuário;
• gestão de autorização do acesso à informação pelo usuário, e
• auditabilidade dos acessos realizados à informação.
Dimensão classificação da informação operacionaliza as regras e os

controles para a classificação da informação no que diz respeito ao seu sigilo
(FONTES, 2020).
Dimensão proteção técnica e recursos de tecnologia relaciona se com a

proteção do ambiente de tecnologia da informação, a proteção do perímetro da
rede contra invasões e ataques. Considera se, aqui, as configurações dos seguintes
ambientes e recursos:
• Ambiente de tecnologia da informação: “para proteção do ambiente digital

contra invasões maliciosas, ataques buscando vulnerabilidades técnicas e
outras ações de criminosos” (FONTES, 2020, p. 51).
• Recursos de tecnologia utilizados pelos usuários: insere-se os recursos e
facilidades de tecnologia, tipo correio eletrônico, internet, redes sociais e
similares, devem ser utilizados pelos usuários, e que devem constar na política
de segurança de forma mais rígida.
107
Dimensão flexibilidade operacional são os chamados controles paralelos,

mas que influenciam fortemente a proteção da informação. Tais como:
• Gestão de Mudanças no Ambiente da Informação.

• Gestão de Problemas no Ambiente da Informação.
• Gestão de Recursos de Informação.
O Quadro 5 apresenta a estrutura de implantação de uma política de

segurança da informação e suas principais dimensões.
QUADRO 5 – POLÍTICA DE SEGURANÇA
FONTE: Fontes (2020, p. 60).
4 ESTABELECENDO E INVESTIGANDO TRILHAS DE AUDITORIA

EM SISTEMAS
A auditoria é uma atividade comum em empresas e órgão governamentais,
que visa ao exame sistemático das atividades que envolvem as operações,
processos, sistemas e demais controles inerentes aos ambientes corporativos.
Cabe ressaltar que as averiguações amparadas pelos procedimentos de auditoria
destinam-se à verificação de controles internos previamente definidos. O foco
é medir sua eficiência, eficácia e forma de execução, indicando um controle às
mudanças na sua forma de implementação. Em um processo de auditoria, inclui-
se ainda a necessidade de se apurar a responsabilidade de ato ou fato que feriu,
de alguma forma, as políticas institucionais, sendo instrumento investigativos
para apuração prévia de fraudes ou delitos interno.
108
Com o advento dos sistemas informatizados, surge a necessidade de se

avaliar a integridade e a credibilidade dos registros produzidos nesses sistemas.
A auditoria eletrônica surge com o intuito de averiguar a existência de indícios de
atos ilícitos em ambientes informáticos. A auditoria está diretamente vinculada
aos softwares, aplicações, infraestrutura de TI, controles de segurança da
informação, enlace da dados, dentre outros.
Deste modo, emerge um conceito novo: o registro eletrônico, resultado das

intervenções nos mais diversos tipos de sistemas em um ambiente computacional.
A maioria dos registros são provenientes de configurações de monitoramento nos
sistemas, que geram informações em uma base de dados específica, conhecida
como log, que são as famosas trilhas de auditoria, componente importantíssimo
em um processo de apuração de responsabilidade e atos ilícitos em ambientes
corporativos.
A configuração do monitoramento e registro das atividades nos sistemas

e aplicação, gerando os arquivos de log, denomina-se trilha de auditoria. Stallings
e Brown (2014, p. 520), definem a trilha de auditoria de segurança como
[...] o registro cronológico de atividades de sistema que é suficiente

para habilitar a reconstrução e o exame da sequência de ambientes e
atividades que cercam ou levaram a uma operação, procedimento ou
evento em uma transação relevante para a segurança desde o início até
os resultados finais.
Complementando a definição clássica descrita anteriormente, LogSentinel

(2020, s. p.) estabelece que:
[...] uma trilha de auditoria é um registro de todas as ações, eventos ou

atividades que um usuário ou sistema realizou com seus dados. Assim,
pode estar relacionado à criação, modificação, exclusão de registros ou
pode ser uma sequência de ações automatizadas do sistema (Syslog).
As tecnologias embutidas nos dispositivos, como sensores, roteadores,

pontos de acesso, sistemas em geral, geram logs, quando habilitados pelo
administrador do sistema. Essa característica motivou os diversos fabricantes a
buscarem uma solução para centralização, geração e análise de logs padronizados,
mínimo de interferência sobre a funcionalidade do sistema. O objetivo é facilitar
sua interpretação e otimização dos alertas de eventos indesejados. Segundo Moraes
e Hayashi (2021, p. 32), o resultado desta iniciativa foi o “[...] desenvolvimento de
uma plataforma centralizada para envio e análise dos logs”.
Atualmente, podemos encontrar no mercado aplicações do tipo Security

Information and Event Management (SIEM), que sinaliza, por meio do monitoramento
de logs, se determinada ação fora da política de segurança está sendo executada
(MORAES; HAYASHI, 2021, p. 33). O SIEM coleta dados via protocolo SYSLOG,
que vai desde antivírus, firewalls, proxies, roteadores etc. Outra funcionalidade de
aplicações do tipo SIEM é a sua utilização na computação forense, pois consolida
109
em uma única plataforma os logs de intervenções nos sistemas, sendo uma

fonte valiosa para coleta de evidências. A Figura 14, apresenta um modelo para
implementação do monitoramento de logs baseado na NBR ISSO/IEC 27001:2013
e na Lei Geral de Proteção de Dados (LGD).
FIGURA 14 – ESTRUTURA DA SEGURANÇA COM MONITORAMENTO
FONTE: <https://bit.ly/3bgsP6t>. Acesso em: 20 set. 2021.
Segundo LogSetinel (2020, s. p.), a trilha de auditoria é crucial para

qualquer organização porque:

1. Deve estar em conformidade – se realmente há a necessidade de ter
uma trilha de auditoria.
2. Deve evitar fraude interna - muitos sistemas ou muitos
usuários acessando seus dados..
3. Deve evitar a violação de dados - a cada ano que passa, os
cibercriminosos estão ficando mais ativos e inventivos. Estabeleça as
trilhas de auditoria no uso de dados confidenciais e dados pessoais,
que são altamente sensíveis.
Diante da complexidade do ambiente computacional, as atividades de

monitoramento dos logs de auditoria, para LogSetinel (2020, s. p.), torna-se uma
tarefa “[...] bastante desafiadora, pois acompanhar todas as atividades consome
muito tempo” e recursos.
4.1 INVESTIGANDO E ESTABELECENDO TRILHAS DE

AUDITORIA EM SISTEMAS
As trilhas de auditoria mantêm arquivados em uma base de dados os
registros das atividades no sistema, o que pode gerar arquivos de logs muito
grande, causando problemas de armazenamento ou impacto no sistema.
110
O primeiro requisito para implementação de uma trilha de auditoria é a

escolha de quais dados coletar.
Segundo LogSentinel (2020, s. p.), a trilha de auditoria deve ser

especificada em conformidade com as diretrizes do negócio, pois “acompanhar
todas as atividades dos usuários e sistemas, consome muito tempo” e recursos de
processamento.

Ao estabelecer uma linha para monitoramento baseado em trilhas
de auditoria, considere os objetivos e as metas a serem alcançadas. Segue aos
exemplos a se considerar em um projeto de trilhas de auditoria.
• monitorar e gerenciar eventos decorrentes do uso de software de auditoria,

visando a apuração de responsabilidade em caso de modificações indevidas;
• monitorar e gerenciar os eventos provenientes do uso dos mecanismos de
segurança do sistema;
• monitorar e gerenciar os acessos a aplicação, definidas pelo administrador do
sistema;
• monitorar e gerenciar os eventos proveniente do uso dos vários mecanismos
de segurança de detecção e prevenção.
A Figura 15 demonstra um arquivo de registro de log de sistema,

proveniente do sistema operacional Windows 10. Um detalhe importante é a
disposição da ordem cronológica dos eventos.
FIGURA 15 – AMOSTRA DOS ARQUIVOS DE LOG
FONTE: A autora
Outro ponto a se considerar em um projeto de implementação de uma

trilha de auditoria é a definição das categorias que serão contempladas. Aqui,
utilizaremos duas categorias: as trilhas de auditoria em nível de sistema e as
trilhas de auditoria em nível de aplicação.
111
Segundo Stallings e Brown (2014, p. 526) as trilhas de auditoria em nível

de sistema “[...] são usadas para monitorar e otimizar o desempenho do sistema,
mas podem servir também com função de auditoria de segurança”. Por exemplo,
captura de tentativas de login bem-sucedidas e malsucedidas, dispositivos usados
e funções do sistema operacional usadas.
As trilhas de auditoria em nível de aplicação “[...] são usadas para

detectar violação de segurança dentro de uma aplicação ou falhas na interação da
aplicação com o sistema” (LOGSENTINEL, 2020, s. p.). Por exemplo, para uma
aplicação de distribuição de vírus em uma rede por meio de pen drive, uma trilha
de auditoria pode registrar o computador e o usuário que usou o pen drive.
As trilhas de auditoria em nível de usuário monitora as ações dos usuários

da rede, coleta informação de login, tempo de duração da sessão, aplicações
usadas, documentos impressos, dentre outras. Esta trilha de auditoria serve como
instrumento para apuração de responsabilidades no ambiente da rede.
Por fim, as trilhas de auditoria de acesso são configuradas para realizar

a captura dos registros gerados pelos dispositivos responsáveis pelo controle de
acesso físico.
4.2 APLICABILIDADE DE UMA TRILHA DE AUDITORIA

É importante ter em mente a aplicabilidade de um projeto de trilha de
auditoria, isso porque já sabemos que os arquivos de logs podem ocupar espaço
de armazenamento e impactar da performance do ambiente como um todo. Então
é bom ter em mente o propósito principal do projeto. Segundo Logsentinel (2020),
os propósitos de um projeto de trilha de auditoria são divididos em seis grupos:
segurança da informação; conformidade regulamentar; integridade de dados;
análise forense digital; análise de negócios; e detecção de fraudes e anomalias.
A Figura 16 resume os tipos de trilhas de auditoria para os diversos tipos de
sistemas e aplicações.
A segurança da informação identifica a conformidade com a política de

segurança estabelecida na organização. A conformidade regulamentar tem o
intuito de garantir o atendimento às leis e regulamentação, assegurando que os
registros de auditoria são seguros e à prova de violações.
112
FIGURA 16 – TIPOS DE TRILHAS DE AUDITORIA
FONTE: Adaptado de LogSentinel (2020)
A análise forense digital permite atestar a autoria de um delito por meio

das premissas da forense computacional, ou seja, quem fez o quê e quando. Já a
integridade dos dados possibilita a reconstituição dos dados que passaram por
um processo de modificação, sendo os detalhes como data e hora são registrados
como informações relevantes. Na análise de negócios o monitoramento dos
processos do negócio e adequação ao controle interno serve para balizar a eficácia
dos sistemas de informação e aderência às necessidades do negócio. Por fim, a
detecção de fraudes e anomalias é a trilha de auditoria que possibilita, de forma
clara e segura, a apuração de intervenções realizadas no sistema, identificando
fraudes e delitos por meio de alarmes pré-configurados.
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD),

as trilhas de auditoria é um mecanismo para a garantia do cumprimento do
regulamento. Dependendo da natureza do negócio, suas resoluções e legislação
específicas, podemos encontrar mecanismos legais e padrões de referência
diversos, como a LGPD e a NBR ISO/IEC 27001:2013.
Na prática, os equipamentos e serviços que geram logs de monitoramento

na infraestrutura computacional são:
• As soluções de firewall (Logs de firewall), que são implementados como

mecanismos gerenciáveis baseados no Internet Protocol (IP), no qual é possível
monitorar todas as regras definidas e as tentativas de violação delas.
• Logs dos serviços de autenticação, que os logs de auditoria dos serviços
de autenticação responderão à pergunta "quem fez o quê", sendo possível
identificar usuários e serviços que tentaram acessos não autorizados.
• Logs de segurança do sistema operacional que os registra erros, uso de
dispositivos e modificações em arquivos e pastas.
• Logs de consulta de banco de dados que registra os tipos de autenticação em
bancos de dados.
113
Segundo Logsentinel (2020, s. p.), “[...] a trilha de auditoria está no

centro de todos os padrões e regulamentações publicados na última década,
independentemente do seu propósito”. No entanto, como é um mecanismo
imprescindível no controle interno, deve se observar a legislação em vigor, a
implementação de monitoramento por meio de trilhas de auditoria, precisa estar
em conformidade com os principais padrões, normas e referências. No Brasil a
NBR ISO/IEC 27007:2021, recém-publicada, apresenta diretrizes para a auditoria
de Sistemas de Gestão de Segurança da Informação.
114
RESUMO DO TÓPICO 2
• A governança da cibersegurança juntamente com a governança de TI deve ser

implementada em conformidade com leis, regulamentos e contratos, segundo
padrões de referência consolidados. Convém que sejam avaliadas, analisadas e
implementadas por meio de uma abordagem de gestão de riscos, apoiada por
um sistema de controle interno.
• A auditoria é uma atividade comum em empresas e órgãos governamentais, que

visa o exame sistemático das atividades que envolvem as operações, processos,
sistemas e demais controles inerentes aos ambientes corporativos. Cabe
ressaltar que as averiguações, amparadas pelos procedimentos de auditoria,
destinam-se à verificação de controles internos previamente definidos.
• Em consonância com os objetivos da política de segurança da informação,

todos os funcionários, colaboradores, terceirizados e prestadores de serviço
devem ser responsáveis por cumprir a política de segurança da informação da
empresa.
• A trilha de auditoria está no centro de todos os padrões e regulamentações

publicados na última década, independentemente do seu propósito, as trilhas
de auditoria devem estar em vigor, protegidas de maneira indiscutível e em
conformidade dos principais padrões, normas e referências.
• Que uma trilha de auditoria é um recurso importante para o monitoramento

das atividades e ações dos usuários ou dispositivos na rede. Servindo como
instrumento para apuração de responsabilidade em eventos adversos no
sistema.
• Uma trilha de auditoria possibilita a análise forense digital, de tal forma que
seja possível atestar a autoria de um delito por meio das premissas da forense
computacional, ou seja, quem fez o quê e quando.
• O objetivo da política de segurança da informação é prover uma orientação e

apoio da direção para a segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações relevantes. Convém que a
direção estabeleça uma política clara, alinhada com os objetivos do negócio
e demonstre apoio e comprometimento com a segurança da informação por
meio da publicação e manutenção de uma política de segurança da informação
para toda a organização.
115
• A política de segurança da informação não se resume a um único documento.
Na realidade, ela é composta por uma série de documentos que orientam desde
o comportamento do usuário com relação aos recursos informáticos, ou não, até
as regras de descarte de documentos e lixo corporativo. Ela abarca a segurança
física, através da implementação de controles de acesso, por exemplo, até a
segurança lógica, que norteará a salvaguarda dos recursos computacionais e
informações em meio informático.
• Ao estabelecer uma linha para monitoramento baseado em trilhas de auditoria,

considere os objetivos e as metas a serem alcançadas. Segue aos exemplos a
se considerar em um projeto de trilhas de auditoria. Monitorar e gerenciar
eventos decorrentes do uso de software de auditoria, visando a apuração de
responsabilidade em caso de modificações indevidas; monitorar e gerenciar os
eventos provenientes do uso dos mecanismos de segurança do sistema;
• Os equipamentos e serviços que geram logs de monitoramento na infraestrutura

computacional são: as soluções de firewall (logs de firewall) – implementados
como um mecanismo gerenciáveis baseado no Internet Protocol (IP) –, com as
quais é possível monitorar todas as regras definidas e as tentativas de violação
delas; logs dos serviços de autenticação – os logs de auditoria dos serviços
de autenticação responderão à pergunta "quem fez o quê", sendo possível
identificar usuários e serviços que tentaram acessos não autorizados; logs
de segurança do sistema operacional – os registra erros, uso de dispositivos
e modificações em arquivos e pastas; e logs de consulta de banco de dados
– registra os tipos de autenticação em bancos de dados.
116
AUTOATIVIDADE
1 A governança de TI tem como principal objetivo equilibrar, equalizar e

gerenciar os recursos necessários para adquirir, processar, armazenar
e disseminar a informação no ambiente corporativo. Por outro lado, a
governança da segurança da informação abrange as seguintes características.
a) ( ) O escopo da governança da segurança da informação abrange a

disseminação da informação.
b) ( ) O escopo da governança da segurança da informação abrange a
confidencialidade, integridade e disponibilidade da informação em
meios digitais.
c) ( ) Abrange exclusivamente o requisito de não repúdio proporcionado
pelos algoritmos de criptografia.
d) ( ) O escopo da governança da segurança cibernética abrange os requisitos
da segurança física, como os controles de acesso físico.
2 Com o advento dos sistemas informatizados, surge a necessidade de avaliar

a integridade e credibilidade dos registros produzidos nesses sistemas. A
auditoria eletrônica tem como intuito averiguar a existência de indícios de
atos ilícitos em ambientes informáticos. Estando diretamente vinculadas
aos softwares, aplicações, infraestrutura de TI, controles de segurança da
informação, enlace de dados, dentre outros. De acordo com o exposto,
analise as sentenças a seguir:
I- O registro eletrônico é resultado das intervenções nos mais diversos tipos

de sistemas em um ambiente computacional.
II- Os registros eletrônicos são provenientes de configurações de
monitoramento nos sistemas que geram informações em uma base de
dados específica que conhecemos como “log”.
III- Os registros eletrônicos são provenientes de configurações
de monitoramento nos sistemas, no entanto, as informações
geradas não podem ser utilizadas como evidências digitais.

3 Um ponto importante na definição de um projeto de trilha de auditoria

relaciona-se com o fato de que, ao implementar um monitoramento, deve-se
levar em consideração o mínimo de interferência sobre a funcionalidade do
sistema. Sobre tipos de trilhas de auditoria, classifique V para as sentenças
verdadeiras e F para as falsas:
117
( ) O desempenho dos sistemas pode ser monitorado por meio da configuração
de trilhas de auditoria. Um cuidado especial deve ser dado ao tamanho
do arquivo de log, para não impactar na performance do sistema.
( ) A trilha de auditoria pode rastrear a atividade de usuários da rede, desde
que esteja devidamente configurada, gerando logs dos registros de login
da rede, tempo de uso da sessão e aplicações usadas.
( ) É possível monitorar os acessos físicos a determinados ambientes, seja
por cartões, biometria ou reconhecimento facial, e registros que podem
ser auditáveis.
a) ( ) V – F – F.
b) ( ) V – V – V.
c) ( ) F – V – F.
d) ( ) F – F – V.
4 A NBR ISO/IEC 27001:2013 recomenda que a implementação de

contramedidas de segurança da informação aborde os objetivos do controle
de segurança da informação decorrentes de riscos à confidencialidade,
integridade e disponibilidade da informação. Disserte sobre o princípio
da privacidade no trato das informações pessoais, na implementação de
contramedidas de monitoramento.
5 O principal objetivo da política de segurança da informação é assegurar

apoio para a segurança conforme requisitos determinados e leis de
regulamentação. Nesse contexto, disserte sobre a abrangência da política
de segurança da informação e seus benefícios.
118
TÓPICO 3 —
UNIDADE 2
LEGISLAÇÃO APLICADA À FORENSE

COMPUTACIONAL
1 INTRODUÇÃO
Acadêmico, no Tópico 3, abordaremos as questões de legislação, que
envolvem a computação forense e os crimes cibernéticos. Devido ao aparato
legal em que um processo de investigação se apoia, é importante que o perito
em computação forense conheça a legislação aplicada ao processo pericial e à
legitimidade das provas eletrônicas. Bem como conhecer as características da
prova eletrônica e a legislação que ampara a sua admissibilidade em um tribunal.
Neste tópico, traremos o cenário jurídico das leis que tratam dos crimes
cibernéticos e o quanto se tem evoluído com relação a novas lei e acordos de
cooperação com outros países, uma vez que as fronteiras físicas do ciberespaço
não são facilmente definidas.
Apresentaremos as referências das principais leis brasileiras que tratam de

crimes cibernéticos. A mais recente, Lei nº 14.155/2021, que promove as alterações
no Código Penal brasileiro, tornando mais graves os crimes de violação de
dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela
internet. Por último, apresentaremos alguns aspectos relevantes da Convenção do
Cibercrime, mais conhecida como Convenção de Budapeste, e sua importância na
cooperação internacional no combate aos crimes cibernéticos.
2 A PERÍCIA FORENSE COMPUTACIONAL NO DIREITO

INTERNACIONAL
Devido a algumas características específicas do ciberespaço, como a
definição de fronteiras físicas para se estabelecer a aplicabilidade de leis, já
que cada país possui suas leis, criminalizar delitos cibernéticos se torna algo
problemático. Nem todos os países possuem uma legislação suficientemente
abrangente para punição e combate aos crimes cibernéticos.
O estabelecimento de uma política de cooperação internacional, na qual os

tratados abarquem questões legais, que superem a ausência de fronteiras físicas
da internet depende de um esforço das nações, para punir as condutas criminosas
no ciberespaço.
119
Primeiramente, iremos analisar os cenários que propiciam a proliferação

de crimes cibernéticos. Uma pesquisa recentemente, publicada pelas entidades
We Are Social e Hootsuite, (KEMP, 2021), revela em seus relatórios que 4,66
bilhões de pessoas em todo o mundo usaram a Internet em janeiro de 2021, um
aumento de 316 milhões (7,3%) desde o ano passado. A penetração global da
Internet agora é de 59,5%. Já o número de usuários de telefone celular chega a
5,22 bilhões de pessoas, o que equivale a 66,6% da população total do mundo,
que era de 7,83 bilhões no início de 2021. Já que o número total de conexões
móveis aumentou 72 milhões (0,9 por cento) para atingir um total de 8,02 bilhões
no início de 2021. O infográfico apresentado na Figura 18 consolida as estatísticas
descritas anteriormente.
FIGURA 18 – INFOGRÁFICO DO DIGITAL EM TODO O MUNDO
FONTE: <https://bit.ly/3A7coDy>. Acesso em: 20 set. 2021.
O cenário revelado tanto pela pesquisa publicada pela We Are Social

quanto pelo Global Digital Report (KEMP, 2021), mostra a consequência da
migração das atividades presenciais para o ambiente digital durante as medidas
restritivas impostas pela pandemia do coronavírus. Momento em que o ensino e
o trabalho remoto passam a fazer parte do cotidiano como alternativa à ausência
das atividades presenciais. Se sobrepondo as habilidades no uso das tecnologias
por parte dos usuários, e aos cuidados e proteção contra as ameaças inerentes do
ambiente digital. Um terreno fértil para a aplicação de todos os tipos de fraudes
digitais e crimes cibernéticos. A Figura 18 apresenta as estatísticas de 48 países
no uso da internet pela população. O espaço amostral da pesquisa englobou os
usuários de serviços da internet como mídias e redes sociais, sites de notícias
e uso de sites de e-commerce. A pesquisa mostra que os usuários da Internet
120
TÓPICO 3 — LEGISLAÇÃO APLICADA À FORENSE COMPUTACIONAL
aumentaram em mais de um quarto de bilhão desde de junho de 2020, registrando

um crescimento anual de cerca de 6%. Segundo a pesquisa, existem agora 4,48
bilhões de usuários de mídia social em todo o mundo, o que equivale a quase 57%
da população total do mundo.
Segundo Bittencourt (2020, p. 8), “[...] os crimes cibernéticos (próprios)

não podem existir sem um equipamento informático, estando ou não conectado à
internet”. Para essa classificação, é obrigatória a existência de equipamentos que:
• com auxílio da internet, alguém acessa indevidamente um desktop, laptop ou

servidor de rede ou aplicação, introduzindo malwares (vírus, trojans, worms
etc.), com objetivo de monitorar as atividades de determinada pessoa ou
máquina;
• através de algum dispositivo físico infectado (mídias removíveis: pen drive,
Hard Disk, CD etc.), instala malwares na máquina sob ataque.
O Estados Unidos da América, país que possui um avançado sistema de leis

anticrimes cibernéticos, por meio de seu Departamento de Justiça (REPOSITORY,
2021), classifica crimes cibernéticos com base no papel que o computador
desempenha e no modo como o delito foi praticado. Sendo assim, os crimes
praticados com auxílio de computadores são classificados da seguinte forma:
computadores como alvos; computadores como dispositivo de armazenamento;
e computadores como ferramenta de comunicação. Vejamos, a seguir.
• Computadores como alvos: como o próprio nome já indica, ocorre quando

um computador ou sistema torna-se um alvo. Esse tipo de crime diz respeito à
obtenção de informações armazenadas no computador ou no controle remoto
dele.
• Computadores como dispositivo de armazenamento: podem ser utilizados
para desenvolver atividades ilegais, através do armazenamento passivo, por
exemplo, usar o computador para jogos ilegais ou fraude.
• Computadores como ferramenta de comunicação: são crimes tradicionais
cometidos on-line, por exemplo, quando o computador é utilizado, também,
para guardar informações roubadas ou ilegais.
Segundo Bittencourt (2020, p. 7), “[...] os crimes praticados na internet, tam-

bém, são definidos como fatos típicos, antijurídicos e culpáveis. Fato típico quer di-
zer que as ações praticadas devem ser passíveis de punição”. No entanto, as ações
criminosas praticadas com o auxílio de tecnologias, são caracterizadas como novas
condutas ainda não tipificadas, dirigidas contra a liberdade individual, contra o
direito à intimidade ou ao sigilo das comunicações. Essas ações ainda se encontram
sem a devida repressão jurídico-penal. Segundo Bittencourt (2020, p. 16):
[...] as práticas ou ações ofensivas atípicas, segundo a norma brasileira,

são aquelas caracterizadas pela falta de enquadramento jurídico.
Pode-se considerar como sendo práticas ofensivas, aquelas extensíveis
a fatos ou situações que só poderiam existir no mundo virtual.
121
Bittencourt (2020), baseada na conceituação dos crimes por computador,

propõe a seguinte classificação.
• Crimes Informáticos Impróprios: quando o computador é utilizado como

um instrumento para executar o crime. Exemplos: calúnia (Art. 138 do CP
Brasileiro), difamação (Art. 139 do CP Brasileiro) e injúria (Art. 140 do CP
Brasileiro).
• Crimes informáticos próprios: diz respeito ao crime em que o bem jurídico
é protegido pela normal penal. Por exemplo, interceptação telemática ilegal,
prevista no Art. 10 da Lei nº 9.296/1996.
• Delitos informáticos mistos: são crimes em que o uso do computador e da
internet é uma condição necessária para que aconteça.
• Crimes informáticos mediatos ou indiretos: quando o delito meio é o praticado
com auxílio dos computadores para consumar outro tipo de crime. Por exemplo,
a invasão a um computadores para furtar números de cartão de créditos.
O aumento desenfreado dos crimes cibernéticos, obrigará governos a

criar e atualizar leis para seu combate e penalização. O Brasil tem avançado na
segurança da informação, ainda que não participe da Convenção de Budapeste,
que trata do cibercrime. Lima (2011) compreende o combate ao crime cibernético
internacionalmente, analisando o Direito Penal Informático em algumas regiões
geográficas. Segundo o site da UNODC (REPOSITORY, 2021, s. p.):
[...] muitos países têm aprovado leis projetadas especificamente para

lidar com os cibercrimes. Alemanha, Japão e China, por exemplo,
alteraram os dispositivos relevantes de seus códigos penais para
combater os cibercrimes. Os países também têm usado leis já
existentes, projetadas para lidar com crimes do mundo real (offline),
para enfrentar certos cibercrimes e seus autores. Como outro exemplo,
no Iraque, o código civil existente (Código Civil iraquiano, Lei nº 40,
de 1951) e o código penal (Código Penal iraquiano, Lei nº 111, de
1969) têm sido usados para a persecução de crimes do mundo real
(por exemplo, fraude, extorsão e falsa identidade) perpetrados pela
Internet e por meio de tecnologias digitais.
No continente europeu há uma legislação penal, porém ainda insuficiente

para abarcar todas as questões jurídico-penais. No entanto, a União Europeia
vem buscando uma uniformização de entendimento e tipificação, por exemplo,
a criação do repositório de crimes cibernéticos do United Nations Office on Drugs
and Crime (UNODC), que disponibiliza para consulta legislações para combate
desses delitos, em diversos países. Dando visibilidade de como países, como
Israel, Paquistão e Costa Rica, estão lidando com a formulação de leis de combate
ao cibercrime.
Nos países da América Latina há uma preocupação em reformar as

legislações regionais, considerando a tipificação de novas figuras delitivas e
intensificando as relações comerciais eletrônicas.
Nos Estados Unidos, as leis para combate, repressão e punição aos crimes
122
cibernéticos vêm sendo desenvolvidas e aperfeiçoada desde a década de 1970. O

repositório sobre crimes cibernéticos, o Sharing Electronic Resources and Laws on
Crime (SHERLOC) (REPOSITORY, 2021), reúne a legislação dos Estados Unidos
sobre o combate aos crimes cibernéticos.
O National Institute os Standards and Technology (NIST) é o principal órgão

regulador das leis que tratam da segurança cibernética. A forte estrutura jurídica
para combate aos crimes cibernético nos EUA, sinaliza que este tipo de delito está
dentre as prioridades no ordenamento jurídico-penal. O fato é que os Estados
Unidos é um dos países pioneiros no estabelecimento de uma legislação de
combate aos crimes cibernéticos, contando uma respeitável estrutura legislativa
para proteção contra-ataques aos sistemas informáticos. O Quadro 6, baseado
nas informações do repositório de crimes cibernéticos do UNOCD, apresenta
algumas legislações internacionais.
QUADRO 6 – LEGISLAÇÃO INTERNACIONAL
FONTE: Adaptado de <https://bit.ly/3mi8AeS>. Acesso em: 20 set. 2021.
A França promulgou várias emendas à sua legislação para adaptar-se à

evolução do crime cibernético (REPOSITORY, 2021, s. p.). A Alemanha alterou seu
Código Penal em 2009 para cobrir todas as disposições de direito substantivo da
Convenção de Budapeste, embora os seus poderes processuais sejam abrangidos
pelo Código de Processo Penal. Por fim, a Itália realizou várias alterações da
legislação criminal relacionadas ao crime cibernético e aos poderes processuais.
As regras adicionais foram introduzidas em 2008, de acordo com o Protocolo da
Convenção de Budapeste.
Em 2015, o United Nations Office on Drugs and Crime (UNODC), escritório

das Nações Unidas que trata dos crimes cibernéticos, inclusive, lançou o
repositório de crimes cibernéticos. Trata-se “[...] um banco de dados central
de legislação, jurisprudência e lições aprendidas sobre crimes cibernéticos e
evidências eletrônicas” (REPOSITORY, 2021, s. p.).
123
O repositório de crimes cibernéticos visa auxiliar os países em seus esforços

para prevenir e processar efetivamente os criminosos cibernéticos. Nesse sentido,
o repositório de crimes cibernéticos abarca três bancos de dados de leis e crimes
cibernéticos, além de lições aprendidas com o objetivo de facilitar a cooperação
internacional contra o crime cibernético. Vejamos, a seguir.
• Banco de dados de leis: contém jurisprudência, bem como registros de

operações bem-sucedidas de aplicação da lei, sobre crimes cibernéticos e
crimes relacionados a evidências eletrônicas. Isso permite que os usuários
vejam como os Estados-Membros estão lidando com os casos de cibercrime,
tanto operacionalmente quanto em seus tribunais (REPOSITORY, 2021).
• Banco de dados de legislações: contém leis processuais e de crimes cibernéticos
e pode ser pesquisado por país, crime cibernético e aspectos processuais. Ao
mesmo tempo que permite o acesso a documentos legislativos completos, o
Banco de Dados fornece trechos de leis relevantes para crimes cibernéticos
específicos e questões transversais, permitindo ao usuário encontrar
rapidamente disposições relacionadas à consulta de pesquisa (REPOSITORY,
2021).
• Banco de dados de lições aprendidas: contém práticas e estratégias
internacionais de prevenção e combate ao crime cibernético (REPOSITORY,
2021).
A colaboração internacional é essencial para unir esforços à prevenção

e à punição dos cibercriminosos. Muitas vezes, o autor do crime e a vítima
encontrarem-se em países diferentes ou possuem nacionalidade distintas. Por
isso, é preciso definir uma legislação linear que possibilite um diálogo judicial e
policial efetivo.
3 A JURISPRUDÊNCIA NACIONAL E ESTRANGEIRA

A Convenção Internacional do Cibercrime, mais conhecida como
Convenção de Budapeste, é o primeiro acordo que trata de crimes na internet
(CONVENÇÃO [...], 2001). A convecção é uma iniciativa da União Europeia
e, atualmente, conta com 62 países. O intuito é estabelecer uma doutrina que
possibilite a cooperação internacional em crimes cibernéticos e evidência digitais,
por meio da harmonização de leis nacionais, aperfeiçoando métodos e técnicas de
investigação e possibilitando a colaboração entre países.
DICAS
Para conhecer a historicidade e o conceito de crimes cibernéticos, leia o artigo

“Crimes Cibernéticos: Phishing”, disponível em https://bit.ly/3jCT8Iu.
124
Com a finalidade de oferecer suporte ao disposto na Convenção do

Cibercrime, o Conselho da Europa instituiu o Cybercrime Programme Office of the
Council of Europe (C-PROC) em Bucareste, Romênia,
[o escritório] é responsável por ajudar os países em todo o mundo a

fortalecer a capacidade de seus sistemas jurídicos para responder aos
desafios colocados pelo crime cibernético e evidências eletrônicas com
base nos padrões da Convenção do Cibercrime (CYBERCRIME [...],
2011, s. p).
Dessa forma, apesar da Convenção do Cibercrime ter sido criada há mais

de 20 anos, entidades como o C-PROC são responsáveis por aumentar a eficácia da
cooperação internacional, por meio de projetos e estabelecimento de legislações
aderente à Convenção. Garantindo assim uma abordagem atual ao documento.
A convenção foi criada em 2001, na Hungria, pelo Conselho da Europa, entrando
em vigor em 2004. Ela fornece uma base jurídica a partir da criminalização de
condutas, que vão desde o acesso ilegal, dados e interferência de sistemas em
fraudes relacionadas a computadores e pornografia infantil (CONVENÇÃO [...],
2001). A Convenção de Budapeste caracteriza-se, como:
• uma ferramenta de direito processual para investigar crimes cibernéticos e

evidências eletrônicas seguras em relação a qualquer crime;
• um instrumento de cooperação internacional eficiente.
Ela é uma estrutura doutrinária que permite aos praticantes das

partes compartilharem experiências e criarem relacionamentos que facilitem
a cooperação em situações de emergência, além das disposições específicas
(CONVENÇÃO [...], 2001). O país que deseja tornar-se consignatário deverá
desenvolver uma legislação doméstica consistente com a convenção, de tal forma
que viabilize a cooperação internacional (COMISSÃO [...], 2021). É importante
ressaltar que o Brasil ainda não é membro, no entanto, há uma possibilidade de
sua adesão até dezembro de 2022. A adesão será um marco nos esforços que os
legisladores brasileiros vêm fazendo à perseguição penal dos crimes cibernéticos,
especialmente, na esfera internacional.
A convenção tipifica os principais crimes cometidos na Internet

(CONVENÇÃO [...], 2001), como:
• interceptação ilegal e não autorizada executada por meios técnicos, de

transmissões não públicas de dados computacionais para/de/dentro de um
sistema de computador;
• fraude relacionada a computador que cause a perda de pertences de outra
pessoa;
• qualquer entrada, alteração, eliminação ou supressão de dados de computador;
• Qualquer interferência com o funcionamento de um sistema de computador,
com o intento fraudulento ou desonesto de buscar, sem autorização, benefício
econômico para si ou para outrem.
125
Portanto, os países consignatários da Convenção Internacional do

Cibercrime, contam com o suporte do Cybercrime Programme Office of the
Council of Europe (C-PROC), conforme mencionado anteriormente, questão
empenhados em desenvolver uma doutrina para repressão e combate ao crime
cibernético. Nos últimos anos, o Brasil está estruturando leis que se adequem às
características do ciberespaço, com o intuito de participar da convenção.
4 A PERÍCIA FORENSE COMPUTACIONAL NO DIREITO

BRASILEIRO
Até 2012 os crimes cibernéticos, específicos da informática, não tinham
tipificação na lei brasileira. Após dezembro desse ano o cenário começou a mudar.
Duas leis federais foram sancionadas para regulamentar especificamente os
crimes cibernéticos, são elas: a Lei nº 12.735/2012 e a Lei nº 12.737/2012 (BRASIL,
2012a; BRASIL, 2012b).
Segundo Aguiar (2019, p. 18), “[...] fazer um vírus, divulgá-lo,

compartilhá-lo ou espalhá-lo não constituía crime no Brasil”. No entanto, devido
ao aumento dos crimes digitais, foi necessária a criação de leis especificas para
punir os criminosos. Cabe ressaltar que os crimes que não estão tipificados em
uma legislação específica assumem o disposto em uma legislações já existente
na forma de adaptação. Portanto, é possível enquadrar a maior parte dos delitos
do ciberespaço que causem danos a outrem na legislação existente, por exemplo,
pelo Código Penal Brasileiro (CPB).
Ainda que lentamente, a legislação brasileira caminha para definir

leis que prevejam os mais diversos tipos de crimes digitais existentes, bem como
sua forma de atuação. Vejamos as leis que abarcam os crimes informáticos na
legislação brasileira.
• Lei nº 9.983/2000: altera o Código Penal sobre as penas para inserção de dados
falsos ou modificação não autorizada de sistema informatizado (BRASIL,
2000). Prevendo também o crime de apropriação indébita previdenciária.
• Lei nº 11.829/2008: modifica a Lei nº 8.069, de 13 de julho de 1990, Estatuto da
criança e do Adolescente, destina-se a estabelecer um mecanismo jurídico para
coibir e reprimir a pornografia e a exploração sexual infanto-juvenil em meios
digitais (BRASIL, 2008). A Lei criminaliza a aquisição, o armazenamento e a
posse de material relacionado à pedofilia na internet.
• Lei 12.737/2012: criou as figuras previstas no Art. 154-A e 154-B do Código
Penal; apelidada de Lei Carolina Dieckmann, que “[...] dispõe sobre a
tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7
de dezembro de 1943 – Código Penal; e dá outras providências” (COMISSÃO
[...], 2021, s. p.).
• Lei 12.735/2012: determina a criação de delegacias especializadas no combate
aos crimes cibernéticos (BRASIL, 2012a).
126
• Lei nº 12.965/2014: estabelece princípios, garantias, direitos e deveres para o

uso da Internet no Brasil, conhecida como o Marco Civil da Internet (BRASIL,
2014).
• Lei nº 13.185/2015: propõe a combater o bullying praticado pela internet
(BRASIL, 2015).
• Lei nº 13.709/2018: Lei Geral de Proteção de Dados Pessoais (LGPD) (BRASIL,
2018a).
• Lei nº 13.718/2018: introduzindo na lei penal o Art. 218-C que criminaliza a
divulgação de senas de sexo, nudez ou estupro sem o consentimento da vítima,
entre outras (BRASIL, 2018b).
• Lei nº 14.063/2020: dispõe sobre o uso de assinaturas eletrônicas em interações
com entes públicos, em atos de pessoas jurídicas e em questões de saúde e sobre
as licenças de softwares desenvolvidos por entes públicos (BRASIL, 2020).
• Lei nº 14.155/2021: promove alterações no Código Penal brasileiro, para tornar
mais graves os crimes de violação de dispositivo informático, furto e estelionato
cometidos de forma eletrônica ou pela internet (COMISSÃO [...], 2021).
No Brasil, é imprescindível o estabelecimento de uma legislação que

alcance todos as dimensões dos crimes cibernéticos e que crie mecanismos de
proteção aos usuários e cidadãos, tendo em vista o cenário de expansão dos
dispositivos de Tecnologia da Informação e Comunicação (TIC). A pesquisa
realizada pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade
da Informação (CETIC.br), apresenta os indicadores sobre o uso da internet no
Brasil durante a pandemia.
A pesquisa denominada “TIC domicílios – 2020”, revela que o Brasil tem

152 milhões de usuários de Internet, o que corresponde a 81% da população do
país com 10 anos ou mais (TIC, 2021).
O Gráfico 1 representa uma pesquisa referente aos domicílios no Brasil

com dispositivos de TIC com alguma forma de acesso a internet. Este cenário foi
alavancado pelo crescimento do trabalho remoto, instaurado pela pandemia do
coronavírus. Proporcionando, consequentemente, um crescimento exponencial
das ameaças que rodam o ciberespaço, como os crimes virtuais, por exemplo.
GRÁFICO 1 – DOMICÍLIOS NO BRASIL COM DISPOSITIVOS DE TIC
127
FONTE: Adaptado de <https://bit.ly/3GlCNSt>. Acesso em: 20 set. 2021.
No entanto, sem um arcabouço legal forte, investigar os crimes virtuais

pode encontrar obstáculos jurídicos e legais. Segundo Pinheiro (2021, p. 125),
“[...] uma das principais questões que geram conflito na computação forense é
a investigação versus o direito à privacidade”. Em outras palavras, como saber
até onde se pode ir sem violar a privacidade das pessoas envolvidas direta ou
indiretamente no processo de perícia? Como saber se os direitos fundamentais
dos envolvidos, enquanto cidadãos, estão sendo respeitados ou violados.
Pinheiro (2021) sugere que todo o processo de investigação esteja baseado

e fundamentado nas leis que estão relacionadas ao caso para que a privacidade
alheia seja preservada. Outra questão importante diz respeito à natureza jurídica
da prova, que é a forma pela qual se apura a verdade em juízo, instituto do direito
processual. Portanto, a prova é um meio usado pelas partes para atingir um
resultado (PINHEIRO, 2021).
Uma questão importante a ser tratada pela legislação é a utilização de

prova eletrônica. No Brasil, uma legislação específica que trate da aceitação de
documentos e provas eletrônica ainda não foi implementada. Mas como vimos
na questão dos crimes cibernéticos e suas penalidades, encontramos esse suporte
no Código Civil e no Código de Processo Civil, que aceitam o uso, desde que
sejam atendidos os padrões técnicos de coleta e guarda. Caso os procedimentos
para aquisição da prova eletrônica não respeitem uma metodologia prevista em
padrões e normas, sua integridade e validade poderá ser questionada no tribunal
(PINHEIRO, 2021).
Segundo Pinheiro (2021, p. 120), “[...] a evidência digital é toda informação

ou assunto de criação, intervenção humana ou não, que pode ser extraído de
um compilado ou depositário eletrônico”. Vimos as especificidades da evidência
eletrônica ao longo do Tópico 2 desta unidade. A seguir, destacamos os artigos do
Código Civil que são empregados para a aceitação de provas eletrônicas.
Art. 225 - as reproduções fotográficas, cinematográficas, os registros

fonográficos e, em geral, quaisquer outras reproduções mecânicas ou
eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte,
contra quem forem exibidos, lhes impugnar a exatidão”.
Art. 332 - todos os meios legais, bem como os moralmente legítimos,
ainda que não especificados neste Código, são hábeis para provar a
verdade dos fatos, em que se funda a ação ou a defesa (BRASIL, 2018).
128
ATENCAO
A adequação do Código Civil brasileiro e do Código Processual Civil para

com os delitos informáticos pode ser aplicada para outros artigos. Tanto para resguardar a
validação da prova eletrônica quanto da atuação do perito.
No Brasil, a Medida Provisória nº 2.200/2001 institui a Infraestrutura de

Chaves Públicas Brasileira (ICP-Brasil), sua finalidade é, segundo seu Art. 1º,
“[..] garantir a autenticidade, a integridade e a validade jurídica de documentos
em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que
utilizem certificados digitais, bem como a realização de transações eletrônicas
seguras” (BRASIL, 2001). Segundo Pinheiro (2021, p. 120):
[...] a assinatura eletrônica é, portanto, uma chave privada, ou seja,

um código pessoal e irreproduzível que evita os riscos de fraude e
falsificação. Para o Direito Digital, uma chave criptográfica significa
que o conteúdo transmitido só pode ser lido pelo receptor que possua
a mesma chave e é reconhecida com a mesma validade da assinatura
tradicional.
A assinatura digital conta com o suporte de protocolos, “baseado em

algoritmos criptográficos, que reforçam a segurança e seu reconhecimento
da origem de um ato e também identifica um usuário aceito e permitido em
determinada transação” (PINHEIRO, 2021, p. 121). Em 2020 entrou em vigor
a Lei 14.063/2020, que regulamenta o uso e aplicação de assinaturas digitais e
certificados digitais em interações com entes públicos. Seu Art. 1º estabelece o
alcance para aplicabilidade da assinatura digital,
Art. 1º Esta Lei dispõe sobre o uso de assinaturas eletrônicas em

interações com entes públicos, em atos de pessoas jurídicas e em
questões de saúde e sobre as licenças de softwares desenvolvidos por
entes públicos, com o objetivo de proteger as informações pessoais e
sensíveis dos cidadãos, com base nos incisos X e XII do caput do Art. 5º
da Constituição Federal e na Lei nº 13.709, de 14 de agosto de 2018 (Lei
Geral de Proteção de Dados Pessoais), bem como de atribuir eficiência
e segurança aos serviços públicos prestados sobretudo em ambiente
eletrônico (BRASIL, 2020, grifo do original).
Até o momento não há uma legislação especificamente direcionada para

o uso da assinatura digital à forense computacional. No entanto, existem normas
gerais que abrangem procedimentos o pericial, como o Código de Processo Penal
e os padrões de referência, que orientam como preservar a autenticidade de uma
evidência digital. O perito deve seguir as orientações contidas no Código de
Processo Penal dentre elas pode-se destacar duas para exemplificar
129
Art. 160. Os peritos elaborarão o laudo pericial onde descreverão

minuciosamente o que examinarem, e responderão aos quesitos
formulados.
Parágrafo único. O laudo pericial será elaborado no prazo de 10
dias, podendo este prazo ser prorrogado, em casos excepcionais, a
requerimento dos peritos.
Art. 169. Para o efeito de exame do local onde houver sido praticada
a infração, a autoridade providenciará imediatamente para que
não se altere o estado das coisas até a chegada dos peritos, que
poderão instruir seus laudos com fotografias, desenhos ou esquemas
elucidativos (BRASIL, 1941).
A aplicabilidade da assinatura digital, no processo de investigação

forense, é a possibilidade de se fazer cópias assinadas digitalmente das mídias
que estão sendo investigadas para que possam ser feitas análises futuras se
necessário. No repositório de Crimes Cibernéticos do UNODC (REPOSITORY,
2021), países como Estados Unidos, União Europeia e Paquistão, apresentam
legislações consolidadas sobre o uso de assinaturas eletrônicas, especificamente,
no uso de transações financeiras e nas evidências digitais.
130
O COMBATE AOS CYBERCRIMES E A NOVA LEI N.º 14.155 DE 2021
Pedro Ganem
A era digital tem revolucionado a forma de vida do ser humano na Terra.

Compras, salas de estudos, reuniões, profissionalizações, relacionamentos,
enfim, tudo pode ser praticado pelos canais digitais. Hoje não se imagina a vida
do homem moderno sem, ao menos, um smartphone.
A tecnologia que facilita a vida também a torna complexa. No mundo

digital, a falácia do anonimato tem encorajado pessoas a praticarem as mais
diversas condutas no cyber mundo.
Se alguns destes comportamentos são apenas objetos de valorações morais,

outros extrapolam os limites daquilo que é socialmente admitido, configurando-
se como verdadeiros ilícitos penais.
Com a atual pandemia, os índices de crimes praticados tendo como meio o

universo digital é assustadoramente crescente. No Brasil, as denúncias de crimes
pela internet mais que dobraram de 2019 para 2020.
A variedade de ilícitos também é assombrosa, indo desde uma ameaças

simples, a delitos de racismo, pornografia infantil, estelionato, entre outros.
Importante destacar que os cybercrimes ou crimes virtuais, segundo a doutrina,
são “aqueles em que a tecnologia foi utilizada como ferramenta-meio ou alvo-fim
da atividade criminosa no meio ambiente computacional da sociedade complexa
da informação e comunicação” (PINHEIRO; GROCHOCKI. 2016. p. 555).
Logo, ainda que seja um crime comum como a ameaça, se praticado pelos
meios eletrônicos, é considerado um crime cibernético.
Visando amplificar o combate a essas novas configurações delitivas,

o Poder Legislativo brasileiro tem editado diversas leis, tanto para punir mais
severamente crimes praticados pelo meio eletrônico, como também para criar
figuras típicas que, no nascedouro do Código Penal de 1940, eram inimagináveis.
Considerando a bem encaminhada adesão brasileira à Convenção de

Budapeste[2], tratado internacional sobre os cibercrimes, também o legislador
pátrio tem se preocupado com o combate a estas infrações penais.
Dessa forma, não exaustivamente, podemos descrever como as principais

leis que buscaram tratar do tema: a Lei nº 11.829/2008, ao promover alterações
no Estatuto da criança e do adolescente, buscando reprimir a pornografia e a
exploração sexual infanto-juvenil virtuais; a Lei nº 9.983/2000, que inseriu no
131
Código Penal as novas figuras típicas previstas nos arts. 313-A e 313-B sobre
inserção de dados falsos ou modificação não autorizada de sistema informatizado;
a Lei nº 12.737/2012 que, sobretudo, criou as figuras previstas no Art. 154-A e 154-
B do Código Penal; a Lei nº 12.735/12 que estabeleceu a criação de delegacias
especializadas no combate aos crimes cibernéticos; a Lei nº 13.185/2015, que
se propõe a combater o bullying praticado pela internet; a Lei nº 13.718/2018,
introduzindo na lei penal os Art. 218-C que criminaliza a divulgação de senas de
sexo, nudez ou estupro sem o consentimento da vítima, entre outras.
Lei n.º 14.155 de 2021
Acrescentando ao rol exemplificativo da lista supra, recentemente, tivemos

a promulgação da Lei nº 14.155/2021, que promoveu alterações no Código Penal
brasileiro, especialmente no quantum da pena dos crimes de violação de dispositivo
informático, furto e estelionato praticados pela internet, e no Código de Processo
Penal brasileiro, para especificar a competência em crimes de estelionato.
Mas inicialmente, vamos à análise das mudanças promovidas no CPB.
O Art. 154-A do CPB passou a ter a seguinte redação:
Invadir dispositivo informático de uso alheio, conectado ou não

à rede de computadores, com o fim de obter, adulterar ou destruir
dados ou informações sem autorização expressa ou tácita do usuário
do dispositivo ou de instalar vulnerabilidades para obter vantagem
ilícita: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
§ 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da
invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações
eletrônicas privadas, segredos comerciais ou industriais, informações
sigilosas, assim definidas em lei, ou o controle remoto não autorizado
do dispositivo invadido: Pena – reclusão, de 2 (dois) a 5 (cinco) anos,
e multa.
No caput do citado dispositivo ocorreram diversas alterações, a começar

pela pena, que antes não passava de 1 ano e agora, pode redundar em até 4 anos
de reclusão. Assim, o crime previsto no Art. 154-A deixa de ser de menor potencial
ofensivo, para se caracterizar como médio potencial ofensivo. Na prática, isso
significa que, se preso em flagrante, o autor do delito será submetido a lavratura
de auto de prisão em flagrante e não mero termo circunstanciado de ocorrência,
como anteriormente se admitia.
O delito sai da alçada do Juizado Especial Criminal (rito sumaríssimo) e

não mais admite transação penal. Contudo, como sua pena não excede a 4 anos,
ainda é possível o arbitramento de fiança pelo Delegado de Polícia; a suspensão
condicional do processo, prevista no Art. 89 da Lei nº 9.099/95; o acordo de
não persecução penal (Art. 28-A do CPP) e a interceptação telefônica, salvo a
captação ambiental[3], admitida apenas para delitos com pena superior a 4 anos
de reclusão.
132
As mudanças do dispositivo secundário da norma adotaram um viés

nitidamente recrudescedor, tratando de forma mais severa o delito que estava
presente em nosso ordenamento desde 2012, com a edição da Lei Carolina
Dieckmann (Lei nº 12.737/12).
Contudo, também no dispositivo primário houve mudanças que refletem

na caracterização do tipo penal. A primeira delas diz respeito a propriedade do
dispositivo alheio que, na nova redação, é um irrelevante jurídico, desde que seu
uso seja alheio e não haja autorização deste usuário.
O delito é doloso e possui, para sua caracterização, o especial fim de agir

de obter, adulterar ou destruir dados ou informações ou instalar vulnerabilidades
para obter vantagem ilícita.
O legislador perdeu a oportunidade de ampliar a incidência do tipo

para abarcar os comportamentos que violam aplicativos sem violar o aparelho
telefônico, conduta essa não contemplada pelo tipo penal em análise e que tem
feito um grande número de vítimas. Como exemplo, podemos citar a clonagem
de aplicativos (como WhatsApp ou Instagram) sem que o aparelho telefônico do
usuário tenha sido violado. A mera violação do aplicativo é um indiferente penal,
salvo se chegar a caracterizar um crime mais grave.
No § 2º, que traz a majorante, houve um incremento do quantum de

majoração que passou de 1/6 a 1/3 para ser de 1 a 2/3, aplicada sempre que a
invasão resultar prejuízo econômico para a vítima.
A figura qualificada, prevista no § 3º, que antes possuía uma pena

de 6 meses a 2 anos, passou a ter nova punição de 2 a 5 anos de reclusão e,
consequentemente, transformou-se de um crime de menor para maior potencial
ofensivo.
Além dessas alterações significativas, a nova lei também acrescentou no

crime de furto uma nova figura qualificada, prevista no § 4º-B, que assim dispõe:
A pena é de reclusão, de quatro a oito anos, e multa, se o furto mediante

fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou
não à rede de computadores, com ou sem a violação de mecanismo de segurança
ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento
análogo.
Ademais, a pena dessa nova figura qualificada ainda pode sofrer um

aumento, levando-se em consideração a relevância do resultado gravoso. Nesse
sentido, dispõe o § 4º-C que o aumento será de 1/3 a 2/3, se o crime é praticado
mediante a utilização de servidor mantido fora do território nacional e de 1/3 ao
dobro, se praticado contra idoso ou vulnerável.
133
Sobre estes novos patamares, destaca-se que o furto qualificado inserido

pela Lei nº 14.155/21 alterou em pouco os valores dos outros furtos qualificados
já existentes no CP e punidos com reclusão de 2 a 8 anos. Contudo, as causas de
aumento de pena descritas no §4º-C já têm sido objeto de críticas da doutrina
quanto à sua desproporcionalidade[4].
Como última alteração promovida no Código Penal, a citada lei trouxe a

figura da fraude eletrônica, prevista no §2º-A do Art. 171 com a seguinte dicção:
A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a fraude é

cometida com a utilização de informações fornecidas pela vítima ou por terceiro
induzido a erro por meio de redes sociais, contatos telefônicos ou envio de
eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo.
Destaca-se que com essa redação tem-se, na verdade, a criação de um

estelionato qualificado, sendo a causa de sua qualificação a forma como as
informações fornecidas pela vítima foram obtidas pelo autor, dando-se ênfase aos
meios eletrônicos como forma de execução do crime, independente se realizado
on-line ou não. Esse novo tipo penal vai na mesma mão de direção de diversos
novos golpes que estão sendo praticados por estelionatários, passando-se por
parentes em necessidades, falso sequestro, falso namoro, falsa dívida, entre tantas
outras hipóteses vivenciadas, sobretudo, no cotidiano policial.
E, assim como no furto mediante meio eletrônico ou informático, a fraude

eletrônica conta com uma causa de aumento de pena caso o servidor utilizado
pelo autor seja mantido fora do território nacional (§2º-B) ou se praticado contra
idoso ou vulnerável (§ 4º).
No que tange a ação penal, nenhuma mudança foi acrescida na legislação,

continuando os crimes de furto e de invasão de dispositivo sendo processados
mediante ação penal pública incondicionada e, o estelionato, conforme alteração
promovida pelo Pacote Anticrime, dependente de representação.
Todas as mudanças promovidas no Código Penal, por representarem

uma alteração mais severa da lei, devem respeitar o princípio da irretroatividade
da lei penal, aplicando-se os novos patamares apenas aos fatos ocorridos após a
entrada em vigor dos novos textos, ou seja, a partir de 28/05/2021.
Já no Código de Processo Penal, a Lei nº 14.155/21 também promoveu

modificações referentes à competência no crime de estelionato. Aqui,
diferentemente do que ocorre no direito material, vigora o princípio do tempus
regit actum, e os novos dispositivos têm aplicação imediata. O Art. 70 do CPP,
passou a contar com o §4º, assim dispondo:
Nos crimes previstos no Art. 171 do Decreto-Lei nº 2.848, de 7 de dezembro

de 1940 (Código Penal), quando praticados mediante depósito, mediante emissão
de cheques sem suficiente provisão de fundos em poder do sacado ou com o
134
pagamento frustrado ou mediante transferência de valores, a competência será

definida pelo local do domicílio da vítima, e, em caso de pluralidade de vítimas,
a competência firmar-se-á pela prevenção.
Com a nova regra imposta, o entendimento sumulado[5] que regia

a temática restou prejudicado, já que a nova lei estabeleceu a competência do
domicílio da vítima como regra nos casos de estelionato praticados mediante
depósito, cheque sem fundos ou transferência de valores, e não mais o local de
recusa do pagamento.
Sob um viés pragmático, percebe-se a preocupação do legislador em

buscar acompanhar as mudanças sociais e as novas modalidades de delitos que
surgem nessa era digital. Buscou-se facilitar a denúncia e acompanhamento das
investigações pelas vítimas com o estabelecimento da nova diretriz de competência,
mas ainda houve falhas em não punir de forma específica comportamentos que
violam aplicativos e não, necessariamente, os aparelhos de terceiros.
Contudo, talvez o mais importante para que estas leis de combate aos
cibercrimes não tenham um mero efeito simbólico seja a adoção de uma política
pública de valorização do trabalho investigativo, promovendo aprimoramento
técnico cada vez maior das Polícias Judiciárias, acrescido da aquisição de
equipamentos modernos que viabilizem o alcance de bons resultados nas
investigações de crimes dessa natureza. Outro não pode ser o caminho para um
país que busque verdadeiramente a promoção do combate a esta modalidade
delitiva.
FONTE: <https://bit.ly/3BoalM4>. Acesso em: 20 ago. 2021.
135
RESUMO DO TÓPICO 3
● A Lei nº 14.155/2021 torna mais graves os crimes de violação de dispositivo

informático, furto e estelionato cometidos de forma eletrônica ou pela internet.
Estabelecendo a penalidades para os diversos tipos de delitos.
● Embora ainda sejam incipientes, o Brasil se movimenta para a definição de

uma legislação que abarque leis que prevejam os mais diversos tipos de crimes
digitais existentes, bem como sua forma de atuação, prevenção e punição.
● Ainda há a necessidade em se fortalecer a cooperação internacional entre as

nações, para o combate e punição aos crimes cibernéticos. Tendo sua principal
iniciativa na Convenção Internacional do Cibercrime, conhecida como
Convenção de Budapeste.
● No Brasil, uma legislação específica que trate da aceitação de documentos

e provas eletrônica ainda não foi implementada. No entanto, poderemos
encontrar esse suporte no Código Civil e no Código de Processo Civil, que
aceitam o seu uso, desde que sejam atendidos os padrões técnicos de coleta e
guarda.
• Os crimes de computador, ou cibercrimes, são tipificados de acordo com as

atividades criminais nas quais computadores ou redes de computadores são
uma ferramenta ou alvo. Tipificados como: computadores como alvos: como o
próprio nome já indica, ocorre quando um computador ou sistema torna-se um
alvo, este tipo de crime diz respeito à obtenção de informações armazenadas
no computador ou no controle remoto dele; computadores como dispositivo
de armazenamento: podem ser utilizados para desenvolver atividades ilegal,
através do armazenamento passivo, por exemplo, usar o computador para
jogos ilegais ou fraude; computadores como ferramenta de comunicação: são
crimes tradicionais cometidos on-line, por exemplo, quando o computador é
utilizado, também, para guardar informações roubadas ou ilegais.
● Para oferecer suporte no estabelecimento e leis para combate ao cibercrime, a

ONU, buscando uma uniformização de entendimento e tipificação dos crimes
cibernéticos, criou um de repositório de crimes cibernéticos do United Nations
Office on Drugs and Crime (UNODC), que disponibiliza para consulta legislações,
para combate desses delitos, em diversos países. Dando visibilidade de como
países, como Israel, Paquistão e Costa Rica, estão lidando com a formulação de
leis de combate ao cibercrime.
136
• Com a finalidade de oferecer suporte ao disposto na Convenção do
Cibercrime, o Conselho da Europa instituiu o Cybercrime Programme Office
of the Council of Europe (C-PROC), localizado em Bucareste, na Romênia. O
escritório é responsável por ajudar os países em todo o mundo a fortalecer a
capacidade de seus sistemas jurídicos para responder aos desafios colocados
pelo crime cibernético e evidências eletrônicas com base nos padrões da
Convenção do Cibercrime. Fortalecendo, assim, a cooperação internacional.
CHAMADA

137
AUTOATIVIDADE
1 Os crimes de computador, ou cibercrimes, são tipificados de acordo com as

atividades criminais nas quais computadores ou redes de computadores são
uma ferramenta ou alvo. Assinale a alternativa CORRETA que apresenta
crimes em que os computadores são alvos:
a) ( ) Quebra da integridade de mensagens em trânsito.

b) ( ) Ataque à disponibilidade.
c) ( ) Crimes de lavagem de dinheiro, uso do comércio eletrônico de
mercadorias ou dinheiro.
d) ( ) Pornografia infantil, como difusão pela rede de fotografias, imagens,
figuras, filmes e afins.
2 O aumento desenfreado dos crimes cibernéticos obrigará governos a criar e

atualizar leis para seu combate e penalização. O Brasil tem avançado nesse
sentido, criando leis para o combate e repressão aos crimes cibernéticos.
Acerca da legislação sobre os crimes cibernéticos, analise as sentenças a
seguir:
I- A adequação do Código Civil Brasileiro e do Código Processual Civil,

para com os delitos informáticos, pode ser aplicada para outros artigos.
Tanto para resguardar a validação da prova eletrônica quanto da atuação
do perito.
II- O Brasil é signatário da Convenção de Budapeste desde sua entrada em
vigor em 2004.
III- A Lei nº 12.965/2014, estabelece princípios, garantias, direitos e deveres
para o uso da Internet no Brasil, conhecida como o Marco Civil da Internet.

3 A assinatura digital permite comprovar a autenticidade e a integridade de

uma informação, ou seja, se ela foi realmente gerada por quem diz ter feito
isso e que ela não foi alterada. Ela baseia-se no fato de que apenas o dono
conhece a chave privada e que se ela foi usada para codificar uma informação,
então, apenas o dono poderia ter feito. Acerca do uso de assinatura digital
em documentos eletrônicos, classifique V para as sentenças verdadeiras e F
para as falsas:
138
( ) A assinatura digital inviabiliza o reconhecimento da origem de um ato
e também identifica um usuário aceito e permitido em determinada
transação.
( ) Para o Direito digital, uma chave criptográfica significa que o conteúdo
transmitido só pode ser lido pelo receptor que possua a mesma chave e é
reconhecida com a mesma validade da assinatura tradicional.
( ) No Brasil, a Medida Provisória nº 2.200/2001 institui a Infraestrutura de
Chaves Públicas Brasileira (ICP-Brasil).
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) F – V – V.
d) ( ) F – F – V.
4 A fraude eletrônica é cometida com uso de documento eletrônico, sendo

entendida como conduta de invasão, alteração ou modificação. Disserte
sobre os limites de aceitação da prova eletrônica.
5 Em um cenário de conformidade com a legislação vigente, as empresas

precisam buscar a adequação às normas, padrões e leis para a implementação
de um Sistema de Gestão de Segurança da Informação. Nesse contexto,
disserte sobre a legislação e padrões de Segurança da Informação.
139
140
REFERÊNCIAS
2019.

IEC 27014. Tecnologia da informação. técnicas de segurança. governança de
segurança da informação. Rio de Janeiro: ABNT, 2013a.

27037. Diretrizes para identificação, coleta, aquisição e preservação de evidência
digital. Rio de Janeiro: ABNT, 2013b.

IEC 27001. Tecnologia da informação e requisitos para implementação de um
sistema de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013c.

27032. Diretrizes para a governança de segurança da informação. Rio de Janeiro:
ABNT, 2015

27005. Tecnologia da informação, técnicas de segurança e gestão de riscos de

IEC 27007. Segurança da informação, segurança cibernética e proteção da
privacidade – Diretrizes para auditoria de sistemas de gestão da segurança da
informação. Rio de Janeiro: ABNT, 2021.
BEAL, A. Segurança da informação: princípios e melhores práticas para

proteção de ativos. São Paulo: Atlas, 2005.
BITTENCOURT, L. Crimes no universo digital: sobre os crimes praticados na

Internet. Rio de Janeiro: Amazon do Brasil, 2020. E-book
BRASIL. Lei nº 9.296, de 24 de julho de 1996. Regulamenta o inciso XII, parte

final, do Art. 5° da Constituição Federal. Brasília, DF: Diário Oficial [da] União,
25 jul. 1996. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9296.htm.
BRASIL. Lei nº 9.983, de 14 de julho de 2000. Altera o Decreto-Lei no 2.848, de 7

de dezembro de 1940 – Código Penal. Brasília, DF: Diário Oficial [da] União, 17
jul. 2000. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9983.htm.
141
BRASIL. Medida Provisória nº 2.200-2, de 24 de agosto de 2001. Institui a
Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, transforma o Instituto
Nacional de Tecnologia da Informação em autarquia, e dá outras providências.
Brasília, DF: Diário Oficial [da] União, 27 ago. 2001. Disponível em: http://www.
planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm. Acesso em: 25. jul. 2021.
BRASIL. Lei nº 11.829, de 25 de novembro de 2008. Altera a Lei no 8.069, de

13 de julho de 1990. Estatuto da Criança e do Adolescente. Brasília, DF: Diário
Oficial [da] União, 26 nov. 2008. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2007-2010/2008/lei/l11829.htm. Acesso em: 14 jul. 2021.
BRASIL. Lei nº 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei nº

2.848, de 7 de dezembro de 1940 [...]. Brasília, DF: Diário Oficial [da] União,
3 dez. 2012a. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2012/lei/l12735.htm. Acesso em: 23.jul.2021
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação

criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro
de 1940 - Código Penal; e dá outras providências. Brasília, DF: Diário Oficial
[da] União, 3 dez. 2012b. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2012/lei/l12737.htm. Acesso em: 23 jul. 2021.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias e

deveres para o uso da Internet no Brasil. Brasília, DF: Diário Oficial [da] União,
24 abr. 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/lei/l12965.htm. Acesso em: 24 jul. 2021.
BRASIL. Lei nº 13.185, de 6 de novembro de 2015. Institui o Programa de

Combate à Intimidação Sistemática (Bullying). Brasília, DF: Diário Oficial [da]
União, 9 nov. 2015. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2014/lei/l12965.htm. Acesso em: 24 jul. 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados.

Brasília, DF: Diário Oficial [da] União, 15 ago. 2018a. Disponível em: http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em:
14 jul. 2021.
BRASIL. Lei nº 13.718, de 24 de setembro de 2018. Altera o Decreto-Lei nº 2.848,

de 7 de dezembro de 1940 (Código Penal) [...]. Brasília, DF: Diário Oficial [da]
União, 15 ago. 2018b. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2015-2018/2018/lei/L13718.htm. Acesso em: 22 jul. 2021.
BRASIL. Lei nº 13.964, de 24 de dezembro de 2019. Aperfeiçoa a legislação

penal e processual penal. Brasília, DF: Diário Oficial [da] União, 24 dez. 2019.
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/
L13964.htm. Acesso em: 23 ago. 2021.
142
BRASIL. Lei nº 14.063, de 23 de setembro de 2020. Dispõe sobre o uso de
assinaturas eletrônicas em interações com entes públicos [...]. Brasília, DF: Diário
Oficial [da] União, 24 set. 2020. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2019-2022/2020/lei/L14063.htm. Acesso em: 23 ago. 2021.
BRASIL. Lei nº 14.155, de 27 de maio de 2021. Altera o Decreto-Lei nº 2.848, de 7

de dezembro de 1940 (Código Penal) [...]. Brasília, DF: Diário Oficial [da] União,
28 maio 2021. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-
2022/2021/lei/L14155.htm. Acesso em: 23 jul. 2021.
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética. Rio de Janeiro. BRASPORT.

2015.
COMISSÃO discute acordo internacional sobre crimes cibernéticos. Câmara

dos Deputados, Relações Exteriores, Brasília, DF, 14 jun. 2021. Disponível
em: https://www.camara.leg.br/noticias/771314-comissao-discute-acordo-
internacional-sobre-crimes-ciberneticos. Acesso em: 8 ago. 2021.
CONVENÇÃO sobre o cibercrime. Budapeste, Hungria: Conselho da Europa,

2001. Disponível em: https://rm.coe.int/CoERMPublicCommonSearchServices/
DisplayDCTMContent?documentId=09000016802fa428. Acesso: 25.jul.2021
CYBERCRIME Programme Office. Council of Europe. Bucharest, RO, c2021.

Disponível em: Cybercrime Programme Office. Acesso em: 15 set. 2021.
DELLA VECCHIA, E. A fronteira entre a investigação e a perícia digital. Revista

Eletrônica Direito & TI, [s. l.], v. 1, n. 1, p. 4-4, 2015.

FONTES, E. L. G. Segurança da informação: gestão e governança. São Paulo,

Livro Eletrônico, 2020.
HASSAN, H. A. Perícia forense digital: guia prático com uso do sistema

operacional Windows. São Paulo: Novatec, 2019.
KEMP, S. Digital 2021 july global statshot report. NewYork: Hootsuite; We are
Social, c2021. Disponível em: https://datareportal.com/reports/digital-2021-july-
global-statshot. Acesso em: 4 out. 2021.
KENT, K. et al. Guide to integrating forensic techniques into incident

response: SP 800-86. USA. 2006. Disponível em https://nvlpubs.nist.gov/
nistpubs/Legacy/SP/nistspecialpublication800-86.pdf. Acesso em: 2 set. 2021.
KUROSE, J. F.; ROSS, K. Redes de computadores e a internet. 6. ed. São Paulo:

Pearson, 2013.
143
LIMA, P. M. F. Crimes de computadores e segurança computacional. 2. ed. São
Paulo: Editora Atlas, 2011.
LOGSENTINEL. Trilha de Auditoria: finalidade importância e melhores

práticas. Privacy Tech. Rio de Janeiro, 12 jun. 2020. Disponível em: https://
www.privacytech.com.br/protecao-de-dados/trilha-de-auditoria-finalidade-
importancia-e-melhores-praticas,360850.jhtml. Acesso em: 27 jul. 2021.
MORAES, A.; HAYASHI, V. T. Segurança em IoT: entendendo os riscos e

ameaças em internet das coisas. Rio de Janeiro: Alta Books, 2021.
PINHEIRO, P. P. Direito digital. 7. ed. São Paulo: Saraiva Educação, 2021.
REPOSITORY cybercrime. UNODC, About us, c2021. Disponível em: https://

sherloc.unodc.org/cld/en/about-us/index-cybrepo.html. Acesso em: 8 ago. 2021.
SANTOS, C. Segurança digital: guia indispensável para usuários não técnicos

protegerem seus dados e dispositivos nos mundos on-line e offline. Rio de
Janeiro: Amazon do Brasil, 2019. E-book.
SILVA, C. F. G. Técnicas de invasão de sistemas e pentest. São Paulo: Editora

Dialética, 2020.
STALLINGS, W., BROWN, L. Segurança de computadores: princípios de

práticas. 2. ed. Rio de Janeiro: Elsevier, 2014.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE.

SWGDE best practices for computer forensic acquisitions. [S.
l.]: SWGDE, 2018 Disponível em: https://drive.google.com/file/
d/1KeEI1DUkSE2DSPZyPFEFIGfzbZS3-zZC/view. Acesso em: 14 set. 2021.
TIC Domicílios – 2020: tabelas de proporções, totais e margens de erro amostral

para download (versões em português e espanhol). Cetic.br, Indicadores,
São Paulo, c2021. Disponível em: https://cetic.br/pt/pesquisa/domicilios/
indicadores/. Acesso em: 25 ago. 2021.
VIANNA, T. L. Fundamentos de direito penal informático. Rio de Janeiro:

Forense, 2003.
144
UNIDADE 3 —
PERÍCIA EM ARQUIVOS
E TESTES DE INVASÃO
• utilizar técnicas e ferramentas adequadas na coleta e análise de evidências

digitais;
• identificar sistemas comprometidos e definir técnicas de recuperação;
• conduzir e analisar um teste de invasão;
• identificar por meio da análise de logs um ataque em execução;
• realizar perícia em arquivos e outras mídias.
PLANO DE ESTUDOS
apresentado.
TÓPICO 1 – PERÍCIA EM ARQUIVOS
TÓPICO 2 – TESTE DE INVASÃO – PENTEST
TÓPICO 3 – ANALISANDO UM TESTE DE INVASÃO
CHAMADA

145
146
TÓPICO 1 —
UNIDADE 3
PERÍCIA EM ARQUIVOS
1 INTRODUÇÃO
Acadêmico, nas Unidades 1 e 2 apresentamos a importância de se garantir
a segurança da informação e abordamos seus principais conceitos. Isso porque os
serviços, mecanismos e controles implementados por um Sistema de Gestão de
Segurança da Informação (SGSI) desempenham um papel de suporte importante
às investigações de crimes digitais. Uma vez que os relatórios e logs de auditoria são
fontes de evidências consideráveis. Agora, ao falarmos da verificação da eficácia
deste aparato tecnológico, e a garantia de uma segurança cibernética eficiente,
abordaremos uma preocupação constante, a exploração de vulnerabilidades
pelos diversos tipos de ameaças, seja do universo virtual ou no mundo real. Um
ponto importante que introduziremos nesse tópico, além dos Testes de Penetração
(Penetration Test ou Pentest), é o processo de gestão de vulnerabilidades, as normas
que orientam sua execução e os controles que a implementa.
Agora, no Tópico 1, abordaremos os processos de investigação forense

digital em arquivos, que são orientados por padrões de referência e normas. O
objetivo é abordar diretrizes propostas pelos códigos de boas práticas. Veremos
que a integridade das evidências digitais é uma preocupação constante. Para
preservá-la o perito deverá seguir procedimentos básicos para não as perder ou
contaminá-las
Inserimos conceitos novos como a fonética forense, que se enquadra nos

exames relacionados a registros de áudio. Além de apresentar particularidades
do processo pericial em arquivos de imagem e vídeo. Hoje fortemente
disseminados, devido ao uso dos dispositivos de tipos smartphones no nosso
dia a dia. Mostraremos a diferença conceitual e nos procedimentos relativos a
forense off-line e a forense ao vivo. Por fim, veremos que as ferramentas para
computação forense, em sua maioria, também são utilizadas para identificar,
analisar e, em alguns casos coibir, incidentes de segurança da informação. Dado
à grande variedade de ferramentas no mercado, abordaremos as principais,
destacando as funcionalidades mais importante.
2 PERICIANDO ARQUIVOS
A investigação de um fato que envolve a suspeita da ocorrência de um
crime ou ato ilícito, envolve fases bem definidas, conforme vimos na unidade
anterior, quando apresentamos a estruturação de um processo pericial digital.
147
UNIDADE 3 — PERÍCIA EM ARQUIVOS E TESTES DE INVASÃO
Segundo Lopes (2018, p. 29), “[...] é fundamental e indispensável total atenção do

perito no trato com arquivos, uma vez que deve possuir profundo conhecimento
no sistema operacional investigado”. Isso por que se faz necessário analisar
todos os arquivos possíveis, não somente os arquivos convencionais. Devido à
característica do sistema operacional de guardar muito mais informações do que
as comumente dirigidas ao usuário comum (HASSAN, 2019, p. 47).
Uma técnica que garante a extração do máximo possível de informações

sobre arquivos é denominada Data Carving. Segundo Lopes (2018, p. 29, grifo
nosso). “Carving é a técnica que favorece a recuperação de arquivos já eliminados
do sistema”. De acordo com NIST (2014, p. 3, grifo nosso), “[...] carving é o processo
de reconstrução de arquivos deletados, de um espaço de armazenamento não
alocado ou extração de arquivos embutidos em um contêiner de arquivos.
Segundo Hassan (2019, p. 58, grifo nosso),
Entender como os computadores armazenam e representam dados

é essencial na perícia forense digital; por exemplo, o investigador
pode ter de extrair e abrir um arquivo a partir de espaço em disco não
alocado da unidade de disco rígido alvo ou de um conjunto de dados
bruto sem usar o programa (como o MS Word) que originalmente o
criou. Essa técnica é chamada de remontar arquivos (file carving) e é
usada eficientemente para recuperar arquivos excluídos e fragmentos
de arquivos de unidades de disco rígido com conteúdo apagado ou
danificadas.
Podemos encontrar uma variedade de exames periciais em arquivos

digitais. Devido à natureza de sua constituição em formato binário, se enquadram
nas ciências forenses, classificadas pelo site Infoperícia (PERÍCIA [...], 2019, s. p.,
grifo do original) como:
Fonética forense – se enquadram todos os exames relacionados a

registros de áudio.
Forense em imagens – se enquadram todos os exames relacionados a
registros fotográficos estáticos de caráter digital.
Forense em vídeos – se enquadram todos os exames relacionados
a registros de imagens em movimento sejam com ou sem trilhas de
áudio.
As investigações periciais em arquivos de audiovisuais (áudio, vídeo e

imagens) depende de propósitos diversos. Segundo o site Infoperícia (PERÍCIA
[...], 2019, s. p.), esses exames podem ser aplicados com os seguintes objetivos:
• Comparação e autenticidade de locutor.

• Verificação de edição de arquivo de vídeo, áudio ou fotografia digital;
• Exame de atribuição de equipamento gravador;
• Exame de biometria facial (prosopografia);
• Aferição de estatura, velocidade e distâncias em foto e vídeo (fotogrametria);
• Transcrição judicial de áudio e vídeo;
• Melhorar a qualidade de áudio, imagem ou vídeo;
• Identificar pessoas, números, símbolos ou sinais.
148
TÓPICO 1 — PERÍCIA EM ARQUIVOS
O momento de coleta de evidências na cena do crime é extremamente

delicado, pois qualquer erro poderá comprometer toda a investigação. Todo
investigador deverá possuir um kit de ferramentas para auxiliar no processo de
perícia. No entanto, ao chegar na cena do crime é aconselhável o uso de ferramentas
que possibilitarão a captura adequada das evidências. O perito deve ter em mente
que, devido à volatilidade dos dados, dependo do dispositivo no qual irá fazer
a coleta, todas os recursos que possibilitarão o sucesso da investigação deverão
estar em mãos. Dessa forma é aconselhável que o perito tenha a disposição os
seguintes itens (HASSAN, 2020, p. 115-116):
• etiquetas e fitas adesivas;

• canetas marcadoras coloridas;
• bloco de notas;
• luvas e pulseira antiestática;
• lente de aumento e lanterna;
• embalagens plásticas de vários tamanhos; devem ser embalagens
antiestáticas para preservar a integridade da evidência;
• câmera (que possa capturar tanto vídeo quanto imagens e seja
configurada para exibir a data/hora de quando a captura ocorreu) ou
smartphone;
• material de proteção contra radiofrequência para impedir que
dispositivos apreendidos (por exemplo, smartphones e tablets com
cartões SIM) recebam chamadas ou mensagens (conhecido como
embalagem de blindagem de Faraday). Essa embalagem também
protegerá a evidência contra relâmpagos e descargas eletroestáticas;
• formulários de cadeia de custódia;
• unidade de disco rígido externa segura e sanitizada para armazenar
imagens de provas digitais;
• pen drives (pelo menos dois) e CDs inicializáveis;
• hub USB;
• cabos de rede e diferentes cabos/conectores para computador;
• bloqueador de gravação em hardware;
• ferramenta de captura de RAM;
• ferramenta de captura em unidade de disco rígido;
• software forense para executar análise elementar nos dados
capturados se necessário;
• adaptadores de energia de diferentes tamanhos e filtro de linha de
proteção múltipla;
• chaves de fenda especializadas, alicates padrão e cortadores de fio;
• um laptop, além de uma estação de trabalho forense portátil;
• solução VPN para proteger as comunicações do responsável;
• acesso a repositórios on-line seguros no qual mais ferramentas
forenses estejam armazenadas caso sejam necessárias na cena do
crime.
Vimos na Unidade 2 que o processo de investigação forense digital é

orientado por padrões de referência e normas, além de mecanismos judiciais e
legais para garantir a integridade e segurança das evidências.
O perito deverá seguir procedimentos básicos para não perder ou

contaminar as evidências. Hassan (2019) lista alguns desses procedimentos. Então
ao chegar no local de investigação é preciso adotar procedimentos básicos como:
149
• Atentar para as câmeras de vigilância e o armazenamento das imagens.

• Observe se o computador, envolvido no delito, está destruindo as evidências,
por exemplo, executando um software especializado para limpar a unidade de
disco rígido e, consequentemente, destruir a evidência digital. Observe o LED
da unidade de disco rígido, se permanecer continuamente acesa e a ventoinha
estiver se movendo com rapidez, algum tipo de atividade está sendo executada.
Neste caso, desligue o computador imediatamente, desconectando o cabo de
energia.
• Se o computador estiver desligado, não deverá ser ligado. Coloque-o em uma
embalagem antiestática e transporte-o seguramente para o laboratório forense.
• Se o computador estiver ligado e não houver indícios de que um programa de
destruição está em operação, siga as orientações apresentadas na Figura 1.
FIGURA 1 – PROCESSO DE COLETA DE EVIDÊNCIA
FONTE: Adaptado de Hassan (2019, p. 116)
Cabe ressaltar que o processo de obtenção do conteúdo da memória volátil

(RAM), conhecido como dump, é executado com a utilização de ferramentas
especializadas. A Figura 2 apresenta a interface da ferramenta Forense Forensics
ToolKit (FTK). Para Hassan (2019, p. 117), “A captura da memória RAM é uma
etapa importante antes do desligamento da máquina, já que ela pode conter
muitas informações, como chaves criptográficas, logs de chat de mensageiro
instantâneo”, conteúdo descriptografado, conteúdo de área de transferência e
informações de processos, dentre outras informações.
150
FIGURA 2 – DUMP DE MEMÓRIA RAM NO FTK
FONTE: Barrett et al. (2012, s. p.)
Ainda sobre as orientações para observar as especificações dos

procedimentos básicos, é importante que o perito cheque se o computador está
conectado a um dispositivo de rede (roteador ou switch). Segundo Hassan (2019, p.
118), é preciso “[...] obter as informações relacionadas à rede (endereço IP, sessões
abertas, portas abertas, tabela de roteamento, endereços de LAN, endereço de
broadcast e número da placa de interface de rede)”. Também será preciso evitar
que uma conexão remota seja estabelecida com o dispositivo suspeito, isso pode
destruir evidências importantes, principalmente se o caso envolver a investigação
de uma invasão de rede.
2.1 TIPOS DE EXAME (ANÁLISE AO VIVO X ANÁLISE

OFF-LINE)
Reforçamos aqui a regra básica para coleta de evidência digitais, a
necessidade de adotar procedimentos que resguarde a integridade da prova.
Sendo assim, para resguardar as características originais da evidência, a execução
da chamada cópia forense se faz necessária. No momento da coleta, a geração das
cópias fiéis ou imagem forense, como são conhecidas, exige software e hardware
especializados, como o FTK. Iremos explicar o que diferencia a análise forense ao
vivo, da análise forense off-line.
No subtópico anterior, ao relacionarmos os procedimentos padrões para

a coleta de evidências, diferenciamos as ações a serem tomadas quando um
computador está ligado e quando ele está desligado. A confecção da cópia forense
se aplica em ambos os casos, pois trata-se de uma etapa essencial na perícia. O
que difere é o cenário que o perito encontra no local do delito. Ao encontrar o
computador envolvido no delito ligado, o perito irá proceder a captura e análise
dos dados voláteis imediatamente.
151
Outro ponto importante é que a habilidade do perito em lidar com a

análise da ameaça em tempo real é essencial. Então o tempo de resposta a esta
análise é imediato. Por exemplo, a análise dos processos rodando na máquina
se caracteriza como forense ao vivo. Embora, nesses casos, os resultados sejam
mais rápidos, esses resultados são passíveis de contestação judicial em função
da impossibilidade de nova perícia posterior por falta de mídia de destino e,
naturalmente, alterações das mídias de provas.
A análise post-mortem ou forense off-line é estruturada pelos procedimentos

básicos do processo pericial. Conhecida como perícia forense tradicional, uma vez
que captura a imagem forense para posterior análise. A Figura 3 mostra a janela
de configuração do FTK para a criação da imagem forense de um disco físico.
FIGURA 3 – SELECIONANDO UNIDADE DE DISCO PARA CLONAGEM NO FTK
FONTE: A autora
A forense off-line é a metodologia de perícia mais usual, pois os

procedimentos são realizados sobre as cópias das mídias de provas, diminuindo
a probabilidade de contestação das evidências no tribunal.
A escolha entre um tipo de perícia e o outro, depende do cenário do delito,

caso a máquina esteja ligada, e a resposta a ameaça. A Figura 4 apresenta a janela
do software FTK, na qual o tipo da imagem a ser gerada é definido.
152
FIGURA 4 – DEFINIÇÃO DO TIPO DE IMAGEM NO FTK
FONTE: A autora
A cópia forense é gerada com o auxílio de hardware específico, em um

processo denominado duplicação forense, conforme vimos na Unidade 2. A
Figura 5 apresenta um equipamento para geração de cópias forense, extrações e
análise de dispositivos móveis, mas que se adequa aos demais cenários periciais.
FIGURA 5 – DISPOSITIVO DE ANÁLISE FORENSE MULTIFUNCIONAL
FONTE: <https://bit.ly/3jCucRx>. Acesso em: 4 out. 2021.
2.2 PERÍCIA EM VÍDEOS

Sabemos que a perícia forense computacional está diretamente relacionada
aos componentes, dispositivos, mídias digitais e registros em mídias do cotidiano
dos usuários de smartphones. Os arquivos gerados por essas mídias estão em
uma infinidade de formatos, seja áudio, vídeos ou imagens. Neste tópico, iremos
abordar o processo pericial nos arquivos de vídeos. Pois tornaram-se uma
evidência digital cada vez mais presentes em processo de investigação. Segundo
o site Infoperícia (PERÍCIA [...], 2019, s. p.), “[...] o direito estabelece que a prova
153
processual pode ser apresentada e interpretada em seu formato digital para fins
de análise pericial”. Veremos agora particularidades do processo pericial em
arquivos de vídeos.
Segundo Lewiski (2019), os exames em vídeo destinam-se à análise de

digitalização e verificação de edição, caracterizada com exames em arquivos
audiovisuais. O tratamento de registros de vídeo digital, visa, ainda, melhorar a
compreensão dos registros de vídeo (ex.: interpolação, brilho/contraste, ampliação
de trecho de interesse etc.), sendo um recurso para melhorar a qualidade da
evidência.
As principais dificuldades encontradas para a realização das perícias

solicitadas consistem na baixa qualidade do conteúdo (ex.: baixa resolução, ruídos
e compactações), na falta de delimitação do material e no objetivo da perícia
não especificado. A publicação SWGDE (2018, p. 6) especifica que “o exame em
arquivos de vídeo pode incluir as seguintes etapas: coleta de metadados; análise
de macro bloco; conversão de formato; reconstrução de sequência de cronograma
e informações de padrão ou quadro de vídeo”.
O SWGDE (2018, p. 6) disponibiliza um guia com práticas recomendadas

para análise de vídeo forense digital. “As tarefas de exame também incluem
imagem e esclarecimento de vídeo, média de quadros, estabilização de vídeo,
sincronização e outros atividades de processamento de vídeo destinadas a
melhorar a aparência visual dos recursos em um vídeo”. Segundo SWGDE (2018),
os tipos de exames em vídeo envolvem:
• Coleta de metadados: o uso de ferramentas de software para analisar dados

incorporados contido em arquivos de vídeo.
• Conversão de formato: o uso de software para converter formatos de arquivo
de vídeo para exame, análise e/ou reprodução.
• Reconstrução da sequência da linha do tempo: o processo de relacionar vídeo,
imagens, áudio, ou outros dados entre si em uma sucessão cronologicamente
ordenada. Analistas deve estar ciente de que sincronizar arquivos multimídia
com diferentes vídeos e propriedades, se não forem devidamente consideradas,
podem resultar em um desvio na sincronização.
• Velocidade ou análise de movimento: a determinação da velocidade de um
objeto e/ou direção usando informações de quadro do vídeo gravado.
• Extração de quadros de vídeo: produzindo com precisão um indivíduo ou um
grupo de imagens estáticas ou imagens de vídeo gravado, mantendo atributos
técnicos, bem como conteúdo visual.
• Esclarecimento de vídeo: o uso de técnicas e ajustes para fornecer uma visão
e informações relacionadas aos dados visuais de um quadro de vídeo. Isso
pode incluir padrão ou remoção de ruído, média de quadros, ajustes de níveis,
estabilização, interpolação, e afiação da borda.
• Comparação: a análise do vídeo para extrair frames individuais e preparar
imagens para comparação. Este tipo de exame pode ser aplicado a objetos
ou pessoas para fins de identificação. Requer treinamento adequado e uma
metodologia de comparação.
154
• Recuperação ou reconstituição de arquivos de vídeo: o conhecimento aplicado

ao arquivo de vídeo, codec e informações de quadro para recuperar vídeo não
disponíveis por meio tradicional.
DICAS
O Grupo de Trabalho Científico sobre Evidências Digitais (Scientific Working

Group on Digital Evidence – SWGDE) reúne organizações ativamente engajadas na área
de evidências digitais e multimídia para promover a comunicação e a cooperação, bem
como para garantir a qualidade e consistência dentro da comunidade forense. Acesse
em: https://www.swgde.org/home.
2.3 PERÍCIA EM ÁUDIOS

Processo de periciais em áudios tem se tornado cada vez mais frequentes,
isso devido à grande disseminação do uso de aplicativo que possibilita a gravação
de voz em substituição à digitação.
A publicação do Scientific Working Group on Digital Evidence (SWGDE, 2020)

estabelece um guia de melhores práticas para o aprimoramento de áudio digital.
O guia auxilia no processo de perícia forense em áudio digital, relacionando as
dificuldades e limitações do trabalho em áudios. Por exemplo, o guia esclarece
que gravações de áudio forenses são normalmente gravadas em situações não
ideais e pode sofrer fortes distorções e uma baixa relação sinal-ruído. O objetivo
de aumentar a inteligibilidade ou a qualidade do sinal pode não ser alcançável.
Segundo SWGDE (2020), o processo geral de aprimoramento de áudio, no

processo de perícia forense, é composto pelas seguintes etapas:
• prepare uma cópia de trabalho forense do material probatório;

• localize a região de interesse, Region Of Interest (ROI) que contém o sinal de
destino;
• avalie os desafios de inteligibilidade e qualidade do sinal;
• descreve desafios comuns e estratégias de mitigação propostas;
• identifique o processamento necessário para mitigar os desafios identificados;
• planeje um fluxo de trabalho para aplicar o processamento necessário sem criar
artefatos indesejados;
• aplique o fluxo de trabalho de processamento, combinado com as revisões
necessárias para o fluxo de trabalho à medida que são identificados;
• prepare os resultados finais para distribuição.
Segundo Lewiski (2019, s. p.), o uso de áudios digitais em processos

judiciais se aplica nos seguintes casos:
155
Análise de Conteúdo de Registros de Áudio: exame em que se realiza

a oitiva de áudios com dúvidas na compreensão do conteúdo, a fim
de apontar temáticas e outros eventos sonoros que sejam de interesse
criminalístico;
Tratamento de Registros de Áudio: tratamento digital que visa
melhorar a compreensão dos registros de áudio (ex. eliminar chiados,
aumentar volume etc.);
Comparação de Locutor: exame que busca determinar se duas falas
foram produzidas por um mesmo falante;
2.4 PERÍCIA EM IMAGENS

A popularização dos dispositivos de telefonia móvel do tipo smartphones,
insere os arquivos audiovisuais no nosso cotidiano de forma definitiva.
Registramos nossas atividades diárias, compromissos e lazer em nossos aparelhos
de celular, gerando um grande volume de imagens, vídeos e áudios. Sendo
assim, temos em nossas mãos uma fonte poderosa de evidências, que por meio
das técnicas, ferramentas e tecnologias corretas, são capazes de auxiliar de forma
inequívoca um processo de investigação forense.
A análise pericial de conteúdo de imagens, segundo Lewiski (2019, s. p.)

“[...] visa a constatação de conteúdo (ex.: crime, presença de pessoas ou objetos etc.),
confronto de imagens (ex.: pessoas, objetos, locais), identificação diversas (ex.:
placas de veículos), estimativa de medidas (ex.: altura de suspeito)”.
Outro objetivo da perícia em imagens digitais é o exame de reconhecimento

facial (LEWISKI, 2019, s. p.), caracterizado como “[...] a aferição da identidade de
uma pessoa através do confronto de imagens, sejam estas estáticas (fotografias)
ou em movimento (vídeos)”.
Procedimentos periciais em imagens digitais destinam-se, também, à

detecção de montagens e fraudes em fotografias. A técnica de comparação de
imagens forenses, descrita em melhores práticas como Scientific Working Group on
Digital Evidence (SWGDE), permite a análise de correspondência entre imagens,
baseada e técnicas específicas para imagens forenses.
Segundo SWGDE (2018, p. 2), “[...] os exames de comparação de imagens

forenses podem ser realizados em praticamente qualquer assunto ou item
retratado em imagens”. Fontes comuns de imagens usadas na comparação de
imagens incluem vídeo de vigilância, reserva de fotos e imagens recuperadas da
Internet e de dispositivos móveis.
Os pedidos de comparação podem incluir (mas não estão limitados a)

imagens que representem (SWGDE, 2018, p. 5):
• rostos e outras partes / áreas do corpo;

• veículos;
• armas;
• confecções;
• bagagem;
• mobiliário;
• paisagens e estruturas.
156
O guia de boas práticas SWGDE (2018, p. 7), “[...] estabelece que para
interpretar com precisão o conteúdo de uma imagem em exame, é imperativo
que o examinador reconhece as condições e limitações que ocorreram durante
a captura da imagem, processamento ou edição”. Uma vez que as condições de
imagem podem afetar a aparência de assuntos ou objetos retratado. Condições
importantes a serem entendidas incluem, mas não estão limitadas a:
• Resolução: determina o grau de detalhe registrado na imagem.

• Propriedades do arquivo: pode causar a perda permanente de detalhes na
imagem por meio da compressão.
• Defeitos ópticos: podem causar efeitos visuais devido a aberrações da
lente, distorção de grande angular, mudança de cor, limpeza imprópria (ou
inexistente) da lente, obscurecimentos na linha de vista etc.
• Defeitos de sensor: podem introduzir ruído, artefatos de imagem ou pixels
"quentes" ou "mortos", possivelmente devido a imperfeições ou limpeza
inadequada do sensor.
De modo geral, um processo pericial em imagens digitais, buscará

identificar em um primeiro momento a detecção de cópias e colagem, discrepância
na estrutura de iluminação, manipulações realizadas.
A Figura 6 exibe o painel de análise de imagem da ferramenta FTK.
FIGURA 6 – MÓDULO DE ANÁLISE DE IMAGEM DO FTK
2.5 FERRAMENTAS PARA PERÍCIA EM ARQUIVOS

Encontramos no mercado uma infinidade de ferramentas para a execução
de um processo de perícia forense digital. Uma busca rápida na Internet irá
resgatar diversas ferramentas com funcionalidades que irão atender a execução
das fases da perícia. Devido à limitação de espaço, listaremos aqui as principais
ferramentas, que, na verdade, se caracterizam por ser uma suíte de soluções que
atenderão às necessidades do perito na realização do seu trabalho.
157
DICAS
Para acessar uma lista completa de ferramentas com propósitos variados

acesse o Handbook_June_2018 do Open Source INTelligence (OSINT), sigla para ou
Inteligência de Fontes Abertas. Disponível em: https://bit.ly/3Fgx4wJ.
Forensic ToolKit (FTK), versão atual 7.4.2 – O FTK, é uma plataforma

de investigações digitais que utiliza mecanismos de indexação de evidências
relevantes dos casos de investigação, que podem ser acessadas rapidamente,
reduzindo drasticamente o tempo de realização da análise. O FTK é comercializado
pela empresa AccessData. O FTK reune as principais funcionalidades que
possibilitam a execução de exames forenses em dispositivos de armazenamento
de dados. A Figura 7 apresenta a tela de instalação do FTK. “O FTK ainda tem
módulos para duplicação de dados (Imager) e para visualização dos registros
internos do sistema operacional (Registry Viewer)”, (ELEUTÉRIO; MACHADO,
2019, p. 73).
FIGURA 7 – TELA DE INSTALAÇÃO DO FTK
FONTE: <https://ebookreading.net/view/book/EB9781118067659_67.html>.
EnCase, software produzido pela empresa OpenText, possui diversos

recursos que auxiliam o perito na execução de todas as etapas do processo de
pericial. Segundo Eleutério e Machado (2019, p. 73), com o Encase “[...] é possível
recuperar arquivos apagados, pesquisar por palavras-chave, visualizar arquivos
em formato adequado, entre outras funcionalidades”. O EnCase possui, ainda,
158
funcionalidades de duplicação de discos, recuperação de arquivos e visualização

adequada. A Figura 8 representa a interface do Encase, a ferramenta, oferece,
dentre outras, as seguintes funcionalidades:
• gerenciamento de múltiplos processos de investigação;

• pesquisa e análise utilizando palavras-chave, hashes, assinaturas e filtros;
• suporte aos sistemas de arquivos: FAT12 (disquete), FAT16, FAT32, NTFS, HFS,
HFS+, Solaris UFS, EXT2/3, Reiser, BSD FFS, Palm, CDFS, Joliet, UDF e ISSO
9660;
• gallery view, que visualiza rapidamente todos os arquivos de imagens (BMP,
JPG, GIF e TIFF);
• timeline view, que permite visualizar atividades em sistemas de arquivos por
meio do tempo;
• report view, relatórios do caso podem ser gerados em RTF ou HTML com
detalhes sobre a estrutura de dados/disco analisado.
FIGURA 8 – INTERFACE DO ENCASE
The Sleuth Kit (TSK) é um pacote de software forense popular, gratuito

e de código aberto. TSK é uma coleção de ferramentas de linha de comando que
fornece gerenciamento de mídia e funcionalidade de análise forense (OPEN
SOURCE [...], 2020, s. p.). O TSK é um conjunto de ferramentas (biblioteca) de
código aberto, desenvolvido na linguagem C, que possui como característica
principal o uso de linha de comando para seu manuseio. A versão atual do Sleuth
Kit é a V. 4.11, usada nos bastidores da ferramenta Autopsy, e de muitas outras
ferramentas forenses comerciais e de código aberto, que permite analisar imagens
de disco e recuperar arquivos delas. O Sleuth Kit usa a interface de linha de
comando para executar as seguintes tarefas:
159
• localizar e listar arquivos alocados e não alocados (excluídos) e até arquivos

ocultos pelos rootkits;
• listar arquivos por tipos;
• exibir informações de metadados;
• criação da timeline do evento.
Autopsy 4.19.1, é um programa fácil de usar, baseado em interface gráfica

do usuário, que permite a análise eficiente de discos rígidos e smartphones. Possui
uma arquitetura de plug-in que permite localizar módulos complementares ou
desenvolver módulos personalizados em Java ou Python.
160
RESUMO DO TÓPICO 1
• A perícia em arquivos exige o conhecimento do modo como os sistemas

operacionais gerencias o armazenamento de arquivos. Que o perito deve utilizar
a técnica de Datacarving para a extração do máximo possível de informações
sobre arquivos, além de possibilitar a reconstrução de arquivos deletados de
um espaço de armazenamento não alocado, ou extração de arquivos embutidos
em um contêiner de arquivos. Trata-se de uma técnica valiosa na análise de
dispositivos de armazenamento que passaram por um processo de formatação
de dados.
• Inseridos na tipologia das ciências forenses, podemos encontrar suporte nas

técnicas e processos das seguintes áreas: fonética forense – se enquadram
todos os exames relacionados a registros de áudio; forense em imagens – Se
enquadram todos os exames relacionados a registros fotográficos estáticos
de caráter digital; e forense em vídeos – se enquadram todos os exames
relacionados a registros de imagens em movimento sejam com ou sem trilhas
de áudio.
• Relacionamos um conjunto de 22 itens, dentre ferramentas e procedimentos,

que o perito deverá ter em mãos ao chegar à cena do crime. Os itens relacionados
podem servir de base para a confecção de um checklist.
• As investigações periciais em arquivos de audiovisuais (áudio, vídeo e imagens)

dependem de propósitos diversos, tais como: comparação e autenticidade de
locutor; verificação de edição de arquivo de vídeo; áudio ou fotografia digital;
exame de atribuição de equipamento gravador; exame de biometria facial
(prosopografia); aferição de estatura, velocidade e distâncias em foto e vídeo
(fotogrametria); transcrição judicial de áudio e vídeo; melhorar a qualidade de
áudio, imagem ou vídeo; identificar pessoas, números, símbolos ou sinais.
• No processo de coleta de evidências, quando o computador envolvido no delito

estiver ligado, não o desligue. Fotografe e recolha o máximo de informações
possíveis. Faça um dump da memória RAM e execute o procedimento de cópia
forense, com cuidado para não haver atividade de leitura ou gravação no disco.
• O que difere a análise ao vivo da análise forense off-line, é o cenário que o

perito encontra no local do delito. Ao encontrar o computador envolvido no
delito ligado, o perito irá proceder a captura e análise, dos dados voláteis
imediatamente, prática denominada forense ao vivo. Outro ponto importante
é que a habilidade do perito em lidar com a análise da ameaça em tempo real é
essencial. Já a forense off-line, lida com práticas da forense tradicional.
161
• A técnica de comparação de imagens forenses permite a análise de
correspondência entre imagens baseada e técnicas específicas para imagens
forenses.
• O processo para aprimoramento de áudio, no processo de perícia forense, é

composto pelas seguintes etapas: preparação da cópia de trabalho forense do
material probatório; localização da região de interesse, avaliação os desafios
de inteligibilidade e qualidade do sinal; planejamento de um fluxo de trabalho
para aplicar o processamento necessário sem criar artefatos indesejados e
preparação dos resultados finais para distribuição.
• As principais ferramentas para perícia forense computacional são: Forensic

ToolKit (FTK) versão atual 7.4.2; Encase; Sleuth Kit (TSK) e Autopsy.
162
AUTOATIVIDADE
1 Para entendermos melhor a técnica de Data Carving na perícia de mídias

digitais, podemos afirmar que ela se caracteriza como um método
importante na investigação. Sendo assim, assinale a alternativa CORRETA
em relação ao funcionamento de uma função hash:
a) ( ) O datacarving é uma ferramenta para perícias em arquivos de vídeo.

b) ( ) O datacarving é o processo de reconstrução de arquivos deletados de
um espaço de armazenamento não alocado, ou extração de arquivos
embutidos em um contêiner de arquivos.
c) ( ) O datacarving é uma ferramenta que assegura a disponibilidade e
integridade de dados, por meio da conversão de um arquivo (dados
binários), em strings hexadecimais.
d) ( ) A função de datacarving auxilia no processo de pericial quando da
comparação de arquivos no formato de imagens.
2 Acerca dos procedimentos básicos adotados pelo perito, ao chegar no local

do crime, é importante observar. Analise as sentenças a seguir:
I- Caso o computador envolvido no delito esteja ligado, convém desligá-lo

imediatamente. Tomando cuidado para embalá-lo em sacos antiestática.
II- Se o computador estiver desligado, não deverá ser ligado. Coloque-o
em uma embalagem antiestática e transporte-o seguramente para o
laboratório forense.
III- Observar as câmeras de vigilância e o armazenamento das imagens. Pois
são fontes de evidências.
a) ( ) As sentenças I e III estão corretas.

c) ( ) As sentenças II e III estão corretas.
3 A duplicação forense realiza a cópia do dispositivo periciado até mesmo

dos dados já excluídos. Tanto na análise forense ao vivo, quanto na análise
forense off-line, esse processo se faz necessário. Classifique V para as
sentenças verdadeiras e F para as falsas:
( ) A análise forense off-line é realizada no local do crime quando o

equipamento envolvido no delito está ligado.
( ) A análise forense ao vivo e também conhecida como Live Forense.
( ) A análise forense off-line é conhecido como forense post mortem.
163
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) F – V – V.
d) ( ) F – F – V.
4 Devido à proliferação do uso de dispositivos tipo smartphones e a utilização

de aplicativos de comunicação e das mídias sociais, atualmente, temos
sempre a possibilidade de criar vídeos, imagens ou áudios. Disserte sobre
a disseminação desses tipos de arquivos digitais e sua utilização como
evidência digital em um processo judicial.

5 O perito deverá seguir procedimentos básicos para não perder ou
contaminar as evidências no local do crime. Ele deve desenvolver um
checklist dos procedimentos e ferramentas que certamente serão utilizadas
nesse momento. De acordo com o exposto, disserte sobre o processo de
perícia em arquivos.
164
TÓPICO 2 —
UNIDADE 3
TESTE DE INVASÃO – PENTEST
1 INTRODUÇÃO
Acadêmico, no Tópico 2, iremos compreender o propósito de um teste de
penetração (pentest) e sua aplicabilidade no ambiente corporativo. Veremos que
o principal objetivo do pentest é a varredura de vulnerabilidades em serviços,
mecanismos e infraestrutura do ambiente computacional. Além, é claro, testar
a possibilidade de uma invasão a partir da aplicação de técnicas de engenharia
social. Lembrando de o fator humano é considerado o elo mais fraco da segurança
da informação. Portanto o papel do pentest é encontrar e corrigir vulnerabilidades,
antes que estas sejam exploradas por ameaças ambientais.
Apresentaremos os principais frameworks e padrões de referências que

orientam a execução dos pentests nos ambientes corporativos. Aplicados em
conjunto com uma metodologia para a gestão de vulnerabilidades, que não se
aplicará apenas a sistemas e serviços eletrônicos, ela engloba tudo que possa existir
de valor no ambiente. Por fim, veremos que os teste de penetração geralmente
inclui métodos não técnicos de ataque, como a engenharia social. Com objetivo de
fortalecer a segurança e a resiliência dos sistemas em todas as áreas e ambientes.
2 PENTEST
Devido às complexidades de serviços, mecanismos e infraestrutura do
ambiente computacional, encontrar e corrigir vulnerabilidades não é uma tarefa
das mais simples. Muitas vulnerabilidades estão ocultas nos ambientes, até que
uma ameaça a explore. Encontrar e corrigir vulnerabilidades exige conhecimento
e abstração de como o ambiente está configurado e até mesmo administrado. No
próximo subtópico, abordaremos mais um pouco da gestão de vulnerabilidades.
Por ora, vamos conhecer um pouco mais dos testes de invasão, e nos demais
tópicos desta unidade iremos demonstrar o uso das ferramentas mais utilizadas
para sua execução.
A publicação especial 800-115 do National Institute of Standards and

Technology (NIST) apresenta um Guia Técnico para Teste de Segurança da
Informação e avaliação (SCARFONE et al., 2008, p. 1), o documento fornece “[...]
diretrizes para as organizações no planejamento e condução testes e avaliações de
segurança da informação”.
165
O guia fornece recomendações práticas para projetar e implementar

processos e procedimentos de teste e avaliação de segurança, que podem ser
usados para encontrar vulnerabilidades em um sistema ou rede e ainda verificar
a conformidade com uma política ou outros requisitos. Segundo a SP 800-115
(SCARFONE et al., 2008, p. 3), um teste de penetração pode ser definido como
Teste de segurança em que os avaliadores imitam ataques do mundo

real na tentativa de identificar maneiras de contornar os recursos de
segurança de um aplicativo, sistema ou rede. Os testes de penetração
geralmente envolvem a emissão de ataques reais em sistemas e dados
reais, usando as mesmas ferramentas e técnicas usadas por invasores
reais. A maioria dos testes de penetração envolve a procura de
combinações de vulnerabilidades em um único sistema ou em vários
sistemas que podem ser usados para obter mais acesso do que poderia
ser obtido por meio de uma única vulnerabilidade.
Segundo Silva (2020, p. 6), “O Pentest ou Penetration Test (Teste de

Penetração) é um processo que envolve a simulação de ataques reais a riscos
associados a potenciais vulnerabilidades em seu ambiente, que devem ser
corrigidas”. O teste de penetração pode também pode ser útil para determinar:
• o quão bem o sistema tolera padrões de ataque no estilo do mundo real;

• o nível provável de sofisticação de que um invasor precisa para comprometer
o sistema com sucesso;
• contramedidas adicionais que podem mitigar ameaças contra o sistema;
• a capacidade dos defensores de detectar ataques e responder de forma
adequada.
O pentest é uma abordagem de diagnóstico de segurança, no qual uma

invasão é simulada, com ferramentas e métodos aplicados em uma invasão real,
a diferença é que esta é executada com o consentimento da empresa/organização.
O executor e avaliador do teste de penetração, é denominado pentester (do inglês
penetration tester) (CLARKE; KNAKE, 2015, p. 269). O trabalho do pentester é usar
de todas as ferramentas e técnicas que estejam disponíveis a usuários maliciosos
com o objetivo de simular ataques aos sistemas sob avaliação.
O teste de penetração pode ser inestimável, mas é muito trabalhoso e

requer grande experiência para minimizar o risco para os sistemas visados. Os
sistemas podem ser danificados ou tornados inoperantes durante o curso de teste
de penetração, mesmo que a organização se beneficie em saber como um sistema
pode ser processado inoperável por um intruso. Embora testadores de penetração
experientes possam mitigar esse risco, ele nunca pode ser totalmente eliminado.
O teste de penetração deve ser realizado apenas após consideração

cuidadosa, notificação e planejamento. Para Clarke e Knake (2015, p. 269-270), os
objetivos e escopo do pentest resumem-se em:
166
TÓPICO 2 — TESTE DE INVASÃO – PENTEST
• Quais sistemas serão testados e contra que classes de ataques?

• Janelas de execução e efeitos colaterais aceitáveis.
• Há restrições de horário para a execução dos testes?
• Há sistemas para os quais a possibilidade de determinados tipo de
dano – por exemplo, indisponibilidade – é inaceitável?
• Prazo. Qual o tempo de execução desejado pelo cliente e qual o
prazo exequível pelo fornecedor do Teste de Invasão?
Segundo Fraga (2020, p. 34) “[...] todas as ferramentas de Pentest podem

ser usadas para fortalecer a segurança e a resiliência dos sistemas, mas, de fato,
em mãos erradas, ou quando usadas com más intenções, podem comprometer
sistemas e obter acesso não autorizado a dados confidenciais”.
TUROS
ESTUDOS FU
Não se preocupe! Ainda nesta unidade, estudaremos a aplicação dos testes de

penetração em ambientes computacionais com scanners de vulnerabilidades.
Levando em consideração a diversidade de ambientes, tecnologias e

processos, podemos considerar, sem esgotar os cenários possíveis, os seguintes
tipos de pentest:
• Teste de penetração de rede.

• Teste de penetração de aplicativos da Web.
• Teste de penetração de aplicativo móvel.
• Teste de penetração sem fio.
• Teste de penetração de Application Programming Interface (API).
• Teste de penetração Internet of Things (IoT).
• Teste de penetração de engenharia social.
• Teste de penetração contínua.
A definição de políticas para planejamento e execução dos tipos de pentests

listados serão estabelecidas baseadas nos padrões de referência disponíveis, que
veremos no Subtópico 4.
2.1 PENTEST E A ANÁLISE DE VULNERABILIDADES

Podemos encontrar uma definição atualizada para o termo “superfície de
ataque”, relacionado à análise de vulnerabilidades e a aplicação de um teste de
penetração.
167
Segundo OWASP (2020, s. p.), “a superfície de ataque descreve todos

os diferentes pontos em que um invasor pode entrar em um sistema e de onde
pode obter dados”. Está diretamente relacionada a grupos de vulnerabilidades
existentes em um sistema ou dispositivo, e que são suscetíveis de serem exploradas.
Segundo OWASP (2020, s. p.), a superfície de ataque de um aplicativo é:
• a soma de todos os caminhos para dados / comandos dentro e fora

do aplicativo;
• o código que protege esses caminhos (incluindo conexão de recursos
e autenticação, autorização, registro de atividades, validação de dados
e codificação);
• todos os dados valiosos usados no aplicativo, incluindo segredos
e chaves, propriedade intelectual, dados comerciais críticos, dados
pessoais;
• o código que protege esses dados (incluindo criptografia e somas de
verificação, auditoria de acesso e integridade de dados e controles de
segurança operacional).
A diminuição de uma superfície de ataque é resultado de processos como

mapeamento de vulnerabilidades, análise de ameaças e aplicação de testes de
penetração. Alguns elementos e recursos podem ser analisados para a diminuição
da superfície de ataque, como por exemplo:
• Cabeçalhos HTTP e cookies.

• APIs.
• Arquivos.
• Bancos de dados.
• Unidades de armazenamento local.
• E-mail e outros tipos de mensagens.
• Regras do Firewall.
• Dentre outros.
Cabe ressaltar que a complexidade de uma superfície de ataque aumenta

de acordo com os recursos do sistema computacional e o perfil dos usuários
que acessam os sistemas. Já o processo de mapeamento de vulnerabilidades
depende da aplicação segura de técnicas e ferramentas que atuam, muitas vezes,
de maneira invasiva no ambiente organizacional. Sendo necessário abarcar os
elementos constantes e identificados na superfície de ataque. Para isso é preciso
estabelecer um processo de gestão de vulnerabilidades.
2.1.1 Gestão de Vulnerabilidades

A infraestrutura computacional, devido a sua complexidade e diversidade
de dispositivos, serviços e usuários, é passível da existência de fragilidades, ou
pontos de falhas, caracterizadas como vulnerabilidades de segurança. A NBR ISO/
IEC 27001:2013 define vulnerabilidade como um ponto de falha relacionado a um
elemento do ambiente computacional, passível de ser explorado por uma ameaça
168
(ABNT, 2013). Sua exploração poderá afetar não só o ativo da informação que a
contém, mais todo o ambiente operacional. Com a existência de vulnerabilidades
no ambiente, consequentemente nos ativos da informação, sempre existirá
uma incerteza associada, tornando a mensuração dos danos causados por sua
exploração difíceis de serem avaliados.
Para facilitar o processo de identificação e correção de vulnerabilidades, a

NBR ISO/IEC 27005:2019 (ABNT, 2019, p. 12) sugere que, para a identificação de
vulnerabilidades, é preciso elaborar uma lista de ameaças conhecidas, os ativos
afetados e os controles existentes.
De acordo com a NBR ISO/IEC 27005:2019 (ABNT, 2019, p. 12),

vulnerabilidades podem ser identificadas nas seguintes áreas:
• organização;
• processos e procedimentos;
• rotinas de gestão;
• ambiente físico;
• configuração do sistema de informação;
• hardware, software ou equipamentos de comunicação;
• dependência de entidades externas.
A presença de uma vulnerabilidade se torna crítica diante da existência de

uma ameaça que a explore. Muitas vezes uma vulnerabilidade desconhecida pelos
gestores dos sistemas, já se tornou um alvo em potencial de uma ameaça. Caso
não haja uma ameaça relacionada à vulnerabilidade, a norma sugere que não há
necessidade de implementar um controle de segurança, mas é aconselhável seu
monitoramento e reavaliação periódica, estabelecendo, assim, um processo de
gestão de vulnerabilidades.
Segundo Fraga (2018, s. p.), “[...] uma análise de vulnerabilidades não se

aplica apenas a sistemas e serviços eletrônicos; ela engloba tudo que possa existir,
desde uma simples caneta até pessoas, sendo possível aplicar engenharia social
das mais diversas formas”. Com isso, aproveitando-se das fraquezas humanas,
criminosos fazem da engenharia social uma ferramenta muito poderosa para
conseguir o que desejam, envolvendo aplicar golpes, desde o funcionário de
mais baixo cargo em uma empresa até funcionários do alto escalão. Por isso, um
processo de gestão de vulnerabilidades se torna primordial.
A gestão de vulnerabilidades é um processo contínuo que, além de proteger

as informações valiosas da organização, protege também os recursos críticos
da rede e a propriedade intelectual, sendo sua implementação recomendada
pela NBR ISO/IEC 27002 (ABNT, 2013). Seu processo gerencial deve ocorrer de
maneira efetiva, sistemática e de forma repetível com medições de confirmação
de efetividade.
A norma sugere que se obtenha informação, em tempo hábil, das

vulnerabilidades existentes nos ativos de informação, avaliadas a exposição e
tomadas as medidas apropriadas para o tratamento da falha.
169
Segundo a norma ISO/IEC 27002 (ABNT, 2013), para um programa de

gestão de vulnerabilidades obter sucesso, este deve apresentar alguns elementos
chaves, descritos a seguir. Estes elementos são essenciais para implementar um
processo eficiente e eficaz para localizar e tratar vulnerabilidades.
• Avaliar os ativos de informação: a base de dados que guarda as informações de

cartão de crédito do cliente, por exemplo, é mais importante do que o servidor
que contém arquivos de rotina. Atribuir um valor aos ativos de informação é a
base para dar prioridade aos seus esforços de gestão de vulnerabilidade.
• Analisar e documentar a importância de cada ativo: é crítico saber quais são
as informações que devem ser protegidas primeiramente. Dessa forma será
possível prever as consequências de um ataque com sucesso e mensurar o
impacto sobre a produtividade da empresa e a continuidade dos negócios.
• Classificar as ameaças: o uso de um esquema e/ou modelo de classificação
auxilia na categorização das vulnerabilidades e ameaças, segundo sua
probabilidade de se concretizar. O esquema de classificação também deve
incluir os ativos alvos e o impacto no negócio desses tipos de ataques.
• Controlar o fluxo de informação: o volume de informação sobre novas
vulnerabilidades e ameaças pode facilmente sobrecarregar a rede e as equipes
de segurança. As vulnerabilidades de diversos produtos e sistemas operacionais
são divulgadas a cada semana e a equipe responsável pela segurança necessita
estar informada de todas aquelas que possam vir a afetar o ambiente da
empresa.
As metodologias que apresentaremos no Subtópico 4, apresentam em seus

processos, para definição de regras e escopo de um pentest, esquemas para análise
e avaliação de vulnerabilidades. Além de propor diretrizes para modelagem de
ameaças nos ambientes analisados.
DICAS
Acadêmico, o framework CHECK é uma metodologia proposta pela entidade

inglesa National Cyber Security Center, para condução de pentest. No site do National
Cyber Security Center, você pode baixar a documentação completa do CHECK e ler as
disposições e diretrizes do serviço que podem contribuir na condução de um pentest.
Disponível em: https://www.ncsc.gov.uk/information/check-penetration-testing.
3 ELEMENTOS QUE COMPÕEM UM PENTEST

Segundo o Computer Security Resource Center (ATTACK SURFACE, 2021, s.
p.), a definição de superfície de ataque é “[...] o conjunto de pontos no limite de um
sistema, um elemento do sistema ou um ambiente onde um invasor pode tentar
170
entrar, causar um efeito ou extrair dados desse sistema, elemento do sistema ou

ambiente”. Ou ainda, segundo o CSRC (ATTACK SURFACE, 2021, s. p.), “[...] O
conjunto de pontos no limite de um sistema, um componente do sistema ou um
ambiente onde um invasor pode tentar entrar, causar um efeito ou extrair dados
desse sistema, componente ou ambiente”. Segundo Fraga (2018, s. p., grifo nosso)
as fases de um processo de invasão são basicamente divididas em três etapas,
definidas a seguir:
Conhecer – resume-se em coletar informações do alvo que será

invadido, através dos mais diversos meios, como coletar endereços de
e-mails, pessoas que se conectam ao alvo, rastrear usuários, explorar
o Google Hacking etc.
Analisar – a partir dos dados coletados na etapa anterior, vamos
analisar cada dado para extrair o máximo de informação do alvo.
Esta é a principal etapa para uma invasão bem-sucedida, a qual
inclui, por exemplo, a realização de varredura de IP, serviços, sistema
operacional, versões de serviços etc.
Explorar – esta etapa se resume em explorar todas as informações que
foram analisadas para ganhar acesso ao alvo, como utilizar exploits,
realizar ataques para quebras de senhas, engenharia social etc.
A observância das fases descritas anteriormente, auxiliam na definição do

escopo de um teste de penetração, que, indiscutivelmente é um dos componentes
mais importantes neste processo. Para auxiliar na definição do alcance que o
teste terá, a metodologia Penetration Test Execution Standard (PTES), que veremos
mais detalhadamente no próximo subtópico, sugere o uso de questionários para
direcionar as ações e projetar as métricas que serão utilizadas. A metodologia
PTES (2014), propõe o seguinte questionário para a esquematização, baseadas em
perguntas, para teste de penetração na rede.
• Por que o cliente está realizando o teste de penetração em seu ambiente?

• O teste de penetração é necessário para um requisito de conformidade
específico?
• Quando o cliente deseja que as partes ativas (varredura, enumeração, exploração
etc.) do teste de penetração seja realizado?
ᵒ Durante o horário comercial?
ᵒ Após o horário comercial?
ᵒ Nos finais de semana?
• Quantos endereços IP no total estão sendo testados?
ᵒ Quantos endereços IP internos, se aplicável?
ᵒ Quantos endereços IP externos, se aplicável?
• Há algum dispositivo instalado que possa afetar os resultados de um teste de
penetração, como firewall, sistema de detecção / prevenção de intrusão, firewall
de aplicativo da web ou balanceador de carga?
• No caso de um sistema ser invadido, como a equipe de teste deve proceder?
ᵒ Executar uma avaliação de vulnerabilidade local na máquina comprometida?
ᵒ Tentar obter os privilégios mais altos (root em máquinas Unix, SYSTEM ou
Administrador em máquinas Windows) na máquina comprometida?
ᵒ Executar ataques de senha, de dicionário ou exaustivos contra hashes de
senha locais?
171
Como ataques de engenharia social são constantes e exploram as

vulnerabilidades inerentes do fator humano, a metodologia PTES também propõe
uma série de perguntas para definição do escopo do teste de penetração, para
avaliação das falhas humanas. Segue os questionamentos (PTES, 2014)
• O cliente tem uma lista de endereços de e-mail contra os quais gostaria que um
ataque de engenharia social fosse realizado?
• O cliente tem uma lista de números de telefone contra os quais gostaria que um
ataque de Engenharia Social fosse realizado?
• A Engenharia Social está aprovada para obter acesso físico não autorizado? Se
então:
ᵒ Quantas pessoas serão almejadas?
Diversas organizações e entidades propõem metodologias para a execução

de testes de penetração, conforme veremos no próximo subtópico. Conhecer o
que cada uma oferece é importante para o entendimento da estruturação dos
testes que se deseja executar.
4 METODOLOGIAS E FERRAMENTAS PARA PENTEST

O teste de penetração geralmente inclui, também, métodos não técnicos
de ataque. Por exemplo, um tester poderia violar os controles e procedimentos
de segurança física para se conectar a uma rede, roubar equipamentos, capturar
informações confidenciais (possivelmente instalando um malware do tipo
keylogger) ou interromper as comunicações.
Ou ainda, utilizar táticas de engenharia social para convencer um

usuário/funcionário a fornecer a senha de acesso aos sistemas. Ou seja, um tester
terá autorização para agir tal qual um criminoso mal-intencionado no ambiente
corporativo. Por esse motivo o pentest deve ser regulado por contrato, para que se
defina até onde um tester poderá chegar, para não expor informações importantes
e estratégicas da empresa.
Devido a importância para o estabelecimento de ambientes seguros

e a aplicação de pentest dentro das normas e padrões de referência algumas
metodologias são propostas por entidades reconhecidamente competentes nesta
área. Geralmente os testes de penetração são baseados em uma das seguintes
estruturas comuns:
• NIST SP 800-115.
• The Open Source Security Testing Methodology Manual (OSSTMM3): manual de
metodologia de teste de segurança de código aberto.
• Penetration Test Execution Standard (PTES): padrão de execução de teste de
penetração.
172
As recomendações para condução e estabelecimento de pentest não se

limitam a estes frameworks. Abordaremos aqui os principais.
• NIST SP 800-115
Anteriormente, apresentamos rapidamente a publicação especial 800-115

do National Institute of Standards and Technology (NIST), que estabelece um Guia
Técnico para Teste de Segurança da Informação e avaliação (SCARFONE et al.,
2008). O documento é utilizado como referência e modelo para desenvolvimento
de testes de penetração. Nesse caso, fornece diretrizes para o planejamento
e condução das avaliações de segurança da informação. Cabe ressaltar que a
SP 800-115 não trata de forma abrangente e com detalhes técnicos os pentests,
mas serve como orientação para as organizações planejar e conduzi-los. Dentre
as orientações propostas, a publicação 800-115 (SCARFONE et al., 2008, p. 19)
disponibiliza diretrizes para:
ᵒ Técnicas de validação de vulnerabilidade alvo:

- quebra de senha;
- teste de penetração;
- engenharia social.
ᵒ Técnicas de identificação e análise de alvos:
- descoberta de rede;
- porta de rede e identificação de serviço;
- verificação de vulnerabilidade;
- varredura sem fio.
ᵒ Atividades pós-teste:
- recomendações de mitigação;
- comunicando;
- remediação.
A Figura 9 representa as quatro fases do teste de penetração de acordo

com a NIST SP 800-115.
FIGURA 9 – FASES DO TESTE DE PENETRAÇÃO
FONTE: Adaptado de Scarfone et al. (2008)
173
Na fase de planejamento, as regras são identificadas, aprovadas pela

gerência, documentadas, e as metas de teste são definidas. A fase de planejamento
define a base para um teste de penetração bem-sucedido. Segundo a publicação
NIST SP 800-115 (SCARFONE et al., 2008, p. 37), “[...] nenhum teste real ocorre
nesta fase”.
Na fase de ataque, ocorre o processo de verificação de vulnerabilidades

potenciais previamente identificadas, por meio de táticas de ataques. O objetivo é
explorar a vulnerabilidade. Se um ataque for bem-sucedido, a vulnerabilidade é
verificada e as proteções são identificadas para mitigar a exposição de segurança
associada. A publicação NIST SP 800-115 (SCARFONE et al., 2008, p. 38) mostra
que “[...] algumas explorações permitem que os testadores escalem seus
privilégios no sistema ou rede para obter acesso a recursos adicionais”. Se isso
ocorrer, análises e testes adicionais são necessários para determinar o verdadeiro
nível de risco para a rede, como identificar os tipos de informações que podem
ser recolhidos, alterados ou removidos do sistema.
Se testadores são capazes de explorar uma vulnerabilidade, durante a fase

de ataque do teste de penetração, eles podem instalar mais ferramentas no sistema
ou rede de destino para facilitar o processo de teste (SCARFONE et al., 2008).
Essas ferramentas são usadas para obter acesso a sistemas ou recursos

adicionais na rede e obter acesso a informações sobre a rede ou organização.
Testes e análises em sistemas múltiplos devem ser conduzidos durante um teste
de penetração para determinar o nível de acesso que um adversário pode obter.
Esse processo é representado no ciclo de feedback, representado pela etapa
denominada Comunicado (SCARFONE et al., 2008).
Executar um ataque é o cerne de qualquer teste de penetração. A Figura 10

representa as subfases contidas na etapa de ataque. O esquema mostra que há uma
forte interação entre a etapa de ataque e de descoberta de um teste de penetração.
FIGURA 10 – FASES DA ETAPA DE ATAQUE DE UM PENTEST
FONTE: Adaptado de Scarfone et al. (2008)
174
Embora o processo de verificação de vulnerabilidade foque a possível

existência de uma fragilidade, a fase de ataque de um o teste de penetração
explora a vulnerabilidade para confirmar sua existência. Segundo a SP 800-115
(SCARFONE et al., 2008), a maioria das vulnerabilidades exploradas por o pentests
se enquadra nas seguintes categorias:
ᵒ Configurações incorretas: configurações de segurança mal dimensionadas,

particularmente configurações padrão inseguras, são geralmente facilmente
exploráveis.
ᵒ Falhas do kernel: o código do kernel é o núcleo de um sistema operacional e
impõe o modelo geral de segurança para o sistema, portanto, qualquer falha
de segurança no kernel coloca todo o sistema em perigo.
ᵒ Estouros de buffer: um estouro de buffer ocorre quando os programas não
verificam adequadamente a entrada de comprimento apropriado. Quando
isso ocorre, o código arbitrário pode ser introduzido no sistema e executado
com os privilégios – geralmente no nível administrativo – do programa em
execução.
• Penetration Test Execution Standard (PTES)
O padrão Penetration Testing Execution Standard (PTES), prover uma

metodologia consolidada que possui sete sessões organizadas em um cronograma
de engajamento (PTES, 2014, s. p.). Cobrindo as etapas do início ao fim do pentest,
resumindo-se nas seguintes fases:
ᵒ Interações de pré-engajamento: envolve o levantamento de pré-requisitos

para o início do pentest. Aqui é definido o escopo do processo do teste e as
regras para seu desenvolvimento.
ᵒ Coleta de informações: nesta fase ocorre a descoberta de informações sobre
o cliente. Essas informações são úteis para fases posteriores do teste.
ᵒ Modelagem das ameaças: nesta etapa as informações dos ativos e processos
de negócio são reunidas para analisar o cenário de ameaças. É importante
que as informações de ativos sejam usadas para determinar quais sistemas
serão direcionados para o teste. Com base nas informações de destino, as
ameaças e os agentes de ameaças podem ser identificados e mapeados para
as informações de ativos. O resultado é o modelo de ameaças que uma
organização é suscetível de enfrentar.
ᵒ Análise de vulnerabilidades: esta fase envolve a descoberta de falhas e
fraquezas, com o auxílio de métodos e ferramentas de teste.
ᵒ Exploração: é nesta etapa que são exploradas, de fato, as vulnerabilidades
encontradas, para obter acesso aos destinos.
ᵒ Pós-exploração: uma vez que conseguimos o acesso a um sistema, precisamos
determinar se ele tem algum valor para o nosso propósito e precisamos
manter o controle sobre o sistema.
ᵒ Relatórios: é necessário documentar o nosso trabalho e apresentar ao cliente
em forma de um relatório que apoie o cliente a melhorar sua postura de
segurança descoberta durante o teste.
175
• The Open Source Security Testing Methodology Manual (OSSTMM3)
O Open Source Security Testing Methodology (OSSTMM) é um manual que

atualmente está com sua quarta edição em desenvolvimento, porém, para ter
acesso a este manual é necessário ser membro, o que envolve a realização de
alguns cursos e um programa de certificação de três níveis para essa metodologia.
Trata-se de uma metodologia completa para testes de penetração e segurança,
análise de segurança e medição de segurança operacional para construir as
melhores defesas de segurança possíveis para sua organização (HERZOG, 2010).
A Figura 11 representa o processo denominado Quatro Pontos (4PP), proposto
pela metodologia, que divide um teste do início à sua conclusão.
FIGURA 11 – PROCESSO QUATRO PONTOS (4PP)
FONTE: Herzog (2010, p. 43)
O Processo de Quatro Pontos (4PP) divide um teste do início até sua

conclusão, apresentando as seguintes etapas:
ᵒ Indução (Z): estabelecimento de verdades principais sobre o alvo a partir de

leis e fatos ambientais. O analista determina os princípios factuais sobre o
alvo a partir do ambiente no qual o alvo reside. Como o alvo será influenciado
por seu ambiente, seu comportamento será determinável dentro desta
influência. No qual o alvo não é influenciado por seu ambiente, existe uma
anomalia para ser entendida.
ᵒ Investigação (C): investigação das emanações do alvo. O analista investiga
as emanações do alvo e quaisquer rastros ou indicadores dessas emanações.
Um sistema ou processo geralmente deixará uma assinatura de sua existência
por meio de interações com seu ambiente.
ᵒ Interação (A / B): como testes de eco, interações padrão e não padrão com
o alvo para acionar respostas. O analista irá inquirir ou agitar o alvo para
acionar respostas para análise.
176
ᵒ Intervenção (X / Y / Z): alterando as interações dos recursos com o alvo ou

entre os alvos. O analista irá intervir com os recursos que o alvo requer de seu
ambiente ou de suas interações com outros alvos para entender os extremos
sob os quais ele pode continuar operando adequadamente.
O Manual de Metodologia de Teste de Segurança de Código Aberto

fornece uma metodologia para um teste de segurança completo. Por ser uma
metodologia, foi projetada para ser consistente e repetível. Além disso, por se
tratar de um projeto de código aberto, permite qualquer testador de segurança
contribuir com ideias para executar uma segurança mais precisa, acionável e
testes eficiente.
5 FERRAMENTAS DE ATAQUE E DEFESA

Um teste de penetração simula um ataque ou invasão real aos ambientes,
tecnológicos ou não, da organização. Naturalmente, as técnicas e ferramentas
deverão ser as mesmas que um black hat utilizaria. Em uma busca rápida na
internet encontraremos uma infinidade de ferramentas e tutoriais para executar
um processo de varredura de vulnerabilidades, ou iniciar uma invasão. O Quadro
1 é um apanhado das ferramentas mais utilizadas em um pentest. O domínio de
cada uma delas é de suma importância para o sucesso do pentest. Lembre se,
o pentest simula um cenário real, aplicando diversas técnicas em seu ambiente
operacional, qualquer erro na execução poderá paralisar sua rede, causando um
caos no seu ambiente tecnológico.
QUADRO 1 – FERRAMENTAS PARA TESTES DE PENETRAÇÃO
177
FONTE: A autora
As ferramentas listadas no Quadro 1 servirão como referencial para

iniciar as atividades práticas em um processo de validação da segurança de uma
rede. A maioria foi desenvolvida para fins escusos, portando, é preciso ter todo
cuidado ao selecionar um alvo para aplicá-las. É importante que tais ferramentas
sejam utilizadas com ética e única e exclusivamente para fins de proteção e
fortalecimento dos recursos de segurança dos ambientes computacionais.
178
RESUMO DO TÓPICO 2
• Os controles implementados por um Sistema de Gestão de Segurança da

Informação (SGSI) desempenham um papel de suporte importante às
investigações de crimes digitais. Uma vez que os relatórios e logs de auditoria
são fontes de evidências consideráveis.
• O pentest é uma abordagem de diagnóstico de segurança, no qual uma invasão

é simulada, com ferramentas e métodos aplicados em uma invasão real, a
diferença é que esta é executada com o consentimento da empresa/organização.
O objetivo principal é varrer a infraestrutura computacional, em busca de
vulnerabilidades que possam ser explodas pelas ameaças ambientais.
• O National Institute of Standards and Technology (NIST) apresenta um “Guia técnico

para teste de segurança da informação e avaliação”. A publicação especial 800-
115 fornece diretrizes para as organizações no planejamento e condução testes e
avaliações de segurança da informação. O guia fornece recomendações práticas
para projetar e implementar processos e procedimentos de teste e avaliação
de segurança, que podem ser usados para encontrar vulnerabilidades em um
sistema ou rede e ainda verificar a conformidade com uma política ou outros
requisitos.
• Todas as ferramentas de pentest podem ser usadas para fortalecer a segurança e

a resiliência dos sistemas, mas, de fato, em mãos erradas, ou quando usadas com
más intenções, podem comprometer sistemas e obter acesso não autorizado a
dados confidenciais.
• A superfície de ataque de um dispositivo é definida como o grupo das

vulnerabilidades presentes nele e possíveis de serem exploradas, portanto, o
objetivo durante a criação de um sistema considerado seguro é diminui-la. A
identificação dessas vulnerabilidades, bem como sua comunicação aos gestores
faz parte dos processos do pentest.
• Que se um ataque for bem-sucedido, na aplicação do pentest, a vulnerabilidade

é verificada e as proteções são identificadas para mitigar a exposição de
segurança associada. Algumas explorações permitem que os testadores escalem
seus privilégios no sistema ou rede para obter acesso a recursos adicionais.
No entanto, dependendo da criticidade da vulnerabilidade o testador deverá
comunicação à gestão imediatamente, para que a operação do ambiente não
seja comprometida.
• Adotar um processo de gestão de vulnerabilidades, possibilita a identificação

de ameaças conhecidas e os ativos que serão afetados, caso ela se concretize.
179
• As vulnerabilidades podem ser identificadas nas seguintes áreas da organização:
processos e procedimentos; rotinas de gestão; ambiente físico; configuração do
sistema de informação; hardware, software ou equipamentos de comunicação;
e dependências de entidades externas.
• As fases de um processo de invasão são basicamente divididas em três etapas:

conhecer – resume-se em coletar informações do alvo que será invadido; analisar
– analisar cada dado para extrair o máximo de informação do alvo; e explorar –
explorar todas as informações que foram analisadas para ganhar acesso ao alvo.
• Os testes de penetração são baseados em metodologias, tais como: NIST SP

800-115; The Open Source Security Testing Methodology Manual (OSSTMM3) –
“Manual de metodologia de teste de segurança de código aberto”; Penetration
Test Execution Standard (PTES) – padrão de execução de teste de penetração.
180
AUTOATIVIDADE
1 Na fase de planejamento de um teste de penetração, as regras são definidas e

aprovadas pela gerência. Com relação à fase de ataque, assinale a alternativa
CORRETA:
a) ( ) Na fase de ataque, as bases do teste de penetração são definidas.

b) ( ) Na fase de ataque, as informações dos ativos e processos de negócio são
reunidas para analisar o cenário de ameaças.
c) ( ) Na fase de ataque, ocorre o processo de verificação de vulnerabilidades
potenciais previamente identificadas.
d) ( ) Na fase de ataque, a modelagem das ameaças é implementada para a
execução do teste.
2 A superfície de ataque de um dispositivo é definida como o grupo das

vulnerabilidades presentes nele e possíveis de serem exploradas, portanto,
o objetivo durante a criação de um sistema considerado seguro é diminui-
la. Analise as sentenças a seguir:
I- A modelagem de ameaças permite identificar a superfície de ataque a

partir das informações levantadas dos ativos da informação.
II- A aplicação de testes de penetração visa, também, reduzir a superfície de
ataque.
III- A configuração de filtros no tráfego interno da rede.

3 A gestão de vulnerabilidades é um processo contínuo que, além de proteger

as informações valiosas da organização, protege também os recursos críticos
da rede e a propriedade intelectual. Sobre a gestão de vulnerabilidades,
( ) O processo de classificação de ameaças destina-se a criar uma visão do

cenário de vulnerabilidades no ambiente.
( ) Ao classificar as ameaças o esquema de classificação deve incluir os ativos
alvos e o impacto no negócio desses tipos de ataques.
( ) O controle do fluxo de informação sobre novas vulnerabilidades e ameaças
pode facilmente sobrecarregar a rede e as equipes de segurança.
181
a) ( ) V – F – F.
b) ( ) F – V – V.
c) ( ) F – V – F.
d) ( ) F – F – V.
4 A gestão de vulnerabilidade no ambiente organizacional é um processo de

extrema importância, respaldado pela aplicação da NBR ISO/IEC 27001:
2013. As recomendações são direcionadas para a proteção dos ativos da
informação. Disserte sobre o processo de análise de vulnerabilidade no
ambiente corporativo.
5 A engenharia social é a manipulação de pessoas com o intuito de conseguir

informações para fins de fraude ou acesso não autorizado a sistemas. Nesse
contexto, disserte sobre a engenharia social e seus impactos.
182
TÓPICO 3 —
UNIDADE 3
ANALISANDO UM TESTE DE INVASÃO
1 INTRODUÇÃO
Acadêmico, no Tópico 3, abordaremos as questões técnicas de um teste
de penetração. Veremos que, quando o pentest é executado com a técnica correta,
ao encontrar a vulnerabilidade, o testador deve tentar explorá-la, desde que não
afete a operacionalidade da rede. Abordaremos o monitoramento por meio de
logs, tarefa essa facilitada pelas ferramentas de visualização e gerenciamento de
logs. A experiência na análise de logs é para o acompanhamento de anomalias no
tráfego da rede e a detecção da ação de ameaças. Neste tópico, traremos, ainda,
o cenário de um pentest, juntamente com as fases que o compõe, juntamente com
a metodologia de teste de penetração, denominada Information Systems Security
Assessment Framework (ISSAF). Projetada para avaliar redes, sistemas e controles
de aplicativos.
Veremos a aplicabilidade da ferramenta Nmap para varredura de

vulnerabilidades na rede, e sua capacidade de encontrar protocolos com possíveis
falhas de configuração. Exemplificado em um processo de escaneamento de
portas, técnica que geralmente faz parte de um ataque de reconhecimento,
utilizada até mesmo por invasores sem experiência. Além disso, demonstraremos
como identificar portas abertas na configuração de protocolos, por meio da
demonstração de um processo de TCP Port Scanning.
Por fim, veremos como a captura de pacotes e monitoramento do tráfego

da rede, com a ferramenta wireskark, identifica uma intrusão. Por último,
apresentaremos as formas de distribuição da ameaça conhecida como Dridex,
que geralmente utiliza a estrutura dos certificados digitais, e, consequentemente,
o protocolo HTTPS, para executar o vazamento de informações.
2 ANÁLISE DE UM TESTE DE INVASÃO

Segundo Kovacs (2019, p. 10-11, grifo nosso), “[...] o pentest, quando
executado com a técnica correta, ao encontrar a vulnerabilidade procura explorá-
la”. Isso dependerá dos termos acertados no contrato e na metodologia adotada.
Evitando algumas questões sobre as quais se deve conversar, como se proteger
legalmente. Vimos que o objetivo do pentest é, por meio de um processo pré-
estruturado, aplicar ataques reais, objetivando encontrar vulnerabilidades e
corrigir as falhas de segurança, sendo elas graves ou não.
183
Segundo Kovacs (2019, p. 11, grifo nosso), “Um detalhe a se observar é

que ao encontrar problemas importantes durante o pentest, não é aconselhável
esperar que o teste termine; em vez disso, a boas práticas orientam a notificação
imediatamente”. Isso se deve a necessidade de garantir a continuidade da
organização e respeitar as regulamentações. Uma vez que a confiança e a
reputação da empresa são muito importantes, pois a paralização da infraestrutura
computacional afetará todos os setores.
Uma metodologia para a aplicação de testes de penetração, é proposta

pelo Open Information Systems Security Group (OISSG), denominada Information
Systems Security Assessment Framework (ISSAF, 2006). O esquema estrutural
da metodologia está representado na Figura 12. A metodologia se baseia na
execução das seguintes fases: Fase (1) – Planejamento e Preparação, nesta fase
um mapeamento do ambiente é realizado, identificando o escopo de aplicação do
teste e os termos e acordos são acertados entre a equipe de execução e os gestores
do ambiente.
FIGURA 12 – ESTRUTURA DA METODOLOGIA ISSAF
FONTE: ISSAF (2006, p. 16)
Na Fase (2), acontece todo o processo de avaliação dos ativos que compõem
o escopo do pentest, serão testados.
184
TÓPICO 3 — ANALISANDO UM TESTE DE INVASÃO
Seguindo a ordem das subfases: (1) levantamento de informações; (2)

mapeamento de redes; (3) identificação de vulnerabilidades; (4) penetração; (5)
escalação de privilégios e ganho de acesso; (6) enumeração; (7) comprometer
usuário/sites; (8) mantendo o acesso e (9) apagando os rastros.
Na Fase 3 (Reporting, Clear Up and Destroy Artifacts), ocorre a apresentação

do resultado do teste de penetração e a sugestão para resolução dos problemas
encontrados. Nesta fase, a equipe executa a limpeza, removendo todas as
ferramentas e códigos utilizados no ataque.
A metodologia de teste de penetração ISSAF é projetada para avaliar

redes, sistemas e controles de aplicativos e consiste em três fases de abordagem e
nove etapas de avaliação. A abordagem inclui as seguintes fases:
• Fase I: planejamento e preparação.

• Fase II: avaliação.
• Fase III: relatório, limpeza e destruição de artefatos.
O resumo das etapas de cada fase, proposta pela ISSAF, está representado
na Figura 13. Cada fase possui etapas de execução bem definidas.
A fase em que o teste de penetração se dá de fato é a FASE II, denominada

avaliação. Nesta fase, uma abordagem em camadas deve ser seguida, na qual
cada camada representa um nível maior de acesso aos ativos de informação. As
seguintes camadas são previstas:
• Coleta de informações.
• Mapeamento de rede.
• Identificação de vulnerabilidade.
• Penetração.
• Obtenção de acesso e escalonamento de privilégios.
• Enumerando mais.
• Comprometer usuários/sites remotos.
• Manter o acesso.
• Faixas de cobertura.
FIGURA 13 – FASES DA METODOLOGIA ISSAF
185
FONTE: Adaptado de ISSAF (2005, p. 14)
As etapas de execução são cíclicas e iterativas. A etapa de coleta de

informações, essencial para o início do teste (ISSAF, 2006, p. 18), “consiste
basicamente em usar a Internet para encontrar todas as informações sobre
o alvo (empresa e/ou pessoa) usando métodos técnicos (DNS / WHOIS) e não
técnicos (motores de pesquisa, grupos de notícias, listas de correio etc.)”. Este é
o estágio inicial de qualquer auditoria de segurança da informação, que muitas
pessoas tendem a ignorar. Ao realizar qualquer tipo de teste em um sistema de
informações, a coleta de informações e a mineração de dados são essenciais e
fornecem todas as informações possíveis para continuar com o teste.
3 DEMONSTRAÇÃO DE UM TESTE DE INVASÃO

O Quadro 2 traz a estrutura de um pentest que tem como objetivo encontrar
serviços em execução, e as portas abertas a eles vinculadas. Para isso será
realizada uma varredura de portas. Ao mesmo tempo em que esses serviços são
encontrados, as informações da versão também deverão ser coletadas e também
relacionadas ao sistema operacional. Essas informações possibilitam descobrir
quais serviços estão em execução.
O teste de penetração aplicado seguiu a metodologia Information Systems

Security Assessment Framework (ISSAF, 2006, p. 90).
186
QUADRO 2 – ENCONTRANDO PORTAS ABERTAS
FONTE: A autora
187
4 ANÁLISE E AVALIAÇÃO DE VULNERABILIDADES E RISCO

Uma maneira usual de buscar vulnerabilidades no ambiente de
infraestrutura da rede é utilizando software de escaneamento. Devido à
complexidade dos dispositivos e serviços, que utilizam a infraestrutura da rede
para trocar mensagens de controle de sua situação operacional, o monitoramento
e gerenciamento dos recursos torna-se uma tarefa que precisa ser otimizada e
controlada. Principalmente para que portas de comunicação que, porventura,
foram mal configuradas, não se tornem uma fragilidade. Segundo artigo do site
DNSstuff (SYSLOG, 2020, s. p.), “[...] as portas abertas devem ser restringidas
o máximo possível, porque certas portas podem tornar sua rede vulnerável a
hackers”. Se um hacker identificar uma porta aberta, ele pode lançar ataques,
reconfigurando serviços para distribuir conteúdo ou praticar um ataque passivo.
A varredura de portas geralmente faz parte de um ataque de

reconhecimento. Há uma variedade de métodos de varredura de portas que
podem ser usados. Vamos explorar como usar o utilitário Network Mapper
(Nmap). O Nmap é um utilitário de rede poderoso usado para descoberta de rede
e auditoria de segurança. A Figura 14 propõe uma topologia de rede que permite
a configuração do Nmap para varredura de vulnerabilidades.
FIGURA 14 – TOPOLOGIA DE REDE
FONTE: A autora
O Nmap é uma ferramenta de código aberto para exploração de rede e

auditoria de segurança. Ele utiliza pacotes do Internet Protocol (IP) para deter-
minar quais hosts estão disponíveis na rede, quais serviços (nome do aplicativo
e versão) esses hosts estão oferecendo, quais sistemas operacionais (e versões de
SO) eles estão executando (NMAP, 2021), que tipo de filtros de pacotes/firewalls
estão em uso e dezenas de outras características. Embora o Nmap seja comumen-
te usado para auditorias de segurança, “[...] muitos sistemas e administradores de
rede o consideram útil para tarefas de rotina, como inventário de rede, gerencia-
mento de agendas de atualização de serviço e monitoramento de host” ou tempo
de atividade de serviço (NMAP, 2021, s. p.).
A Figura 15 exibe a varredura de portas em uma rede por meio do

comando # sacnme.nmap.org -A -T4 localhost. O Nmap encontrou 955 portas
fechadas, e as portas: 22/TCP, usada pelo protocolo SSH; 80 HTTP Apache; 646/
TCP ldp; 1720/TCP H.23; 9929/TCP n-ping echo. A versão do sistema operacional
é o Linux 2.6.39.
188
FIGURA 15 – SCANNING DE PORTA COM NMAP
FONTE: <https://nmap.org/book/man.html>. Acesso em: 4 out. 2021.
Segundo Nmap (2021, s. p.), “Embora a funcionalidade do Nmap tenha

crescido ao longo dos anos, ele começou como um scanner de porta eficien-
te e essa continua sendo sua função principal”. A capacidade do varredor de
vulnerabilidades é de 1.000 portas no host alvo. Alcançada pelo comando sim-
ples nmap <target>. Ele divide o estado das portas em seis estados: open, clo-
sed, filtered, unfiltered, open|filtered, ou closed|filtered (NMAP, 2021).
DICAS
Acadêmico, para se aprofundar e conhecer um pouco mais das diversas

funcionalidades do Nmap acesse o guia de referência em: https://nmap.org/book/man.html.
5 ANÁLISE DE LOGS
Os arquivos de logs gerados pelos diversos dispositivos da rede são
importantes para o monitoramento de configurações, vulnerabilidades e tentativas
de acessos não autorizados. No ambiente de infraestrutura computacional da
rede, é uma prática comum concentrar os arquivos de log em um computador de
monitoramento. Atualmente, encontramos uma variedade de ferramentas para
monitoramento de logs. Apresentaremos aqui a mais popular, o Syslog.
O Syslog é um sistema projetado para permitir que dispositivos enviem

seus arquivos de log para um servidor centralizado, conhecido como servidor de
syslog. A Figura 16 exibe a arquitetura de uma aplicação para monitoramento do
syslog. Os clientes se comunicam com um servidor syslog usando o protocolo
189
syslog. O syslog é comumente implantado e oferece suporte a praticamente todas

as plataformas de computador. Devido à sua capacidade de integração com as
diversas distribuições de sistemas operacionais, e popularidade, o protocolo sys-
log se caracteriza como uma ferramenta versátil. O syslog também pode ser com-
patível com o Microsoft Windows por meio de ferramentas de terceiros. Segundo
artigo do site DNSstuff (SYSLOG, 2020), o syslog tem três camadas como parte da
definição padrão:
• Conteúdo do syslog: as informações na mensagem do evento.

• Aplicação syslog: a camada que gera, roteia, interpreta e armazena a mensagem.
• Transporte syslog: a camada que transmite a mensagem.
FIGURA 16 – ARQUITETURA PARA O SYSLOG
FONTE: A autora
Para acessar o Syslog a partir do prompt de comando do Linux, use o

comando cat como root para listar o conteúdo do arquivo /var/log/syslog.1. Este
arquivo contém as entradas de log que são geradas pelo sistema operacional
e enviadas para o serviço syslog. Segue uma amostra do arquivo de log a ser
exibido, na Figura 17.
FIGURA 17 – ARQUIVO DE LOG DO SYSLOG
FONTE: A autora
190
Observe que o arquivo /var/log/syslog armazena somente as entradas de

log mais recentes. Para manter o arquivo syslog pequeno, o sistema operacional
rotaciona periodicamente os arquivos de log, renomeando arquivos de log mais
antigos como syslog.1, syslog.2 e assim por diante. Use o comando cat para listar
arquivos syslog mais antigos:
root@analyst ~$ sudo cat /var/log/syslog.2

Para facilitar o monitoramento dos logs, é aconselhável utilizar uma

solução de terceiros, que apresenta uma interface amigável e facilita a busca por
mensagens. Oferecendo, ainda, um banco de dados no qual as mensagens de
syslog são coletadas e um software para gerenciamento e filtragem, para facilitar
a busca por mensagens, configurar relatórios de syslog e automatizar partes da
carga de trabalho (SYSLOG, 2020, s. p.). A Figura 18 exibe parte do monitoramento
do Syslog utilizando a ferramenta Kiwi Syslog Web Access.
FIGURA 18 - INTERFACE DE LOG DO KIWI SYSLOG
FONTE: <https://bit.ly/3EBF627>. Acesso em: 4 out. 2021.
6 IDENTIFICANDO UM ATAQUE EM EXECUÇÃO

O software Wireshark veio substituir o Ethereal, que é um analisador
de tráfego de rede. A principal diferença entre o Wireshark e o tcpdump é sua
interface gráfica e amigável, mas ambos utilizam a mesma lógica de escaneamento
e modo de trabalho. Ele organiza o tráfego da rede por protocolos, facilitando a
análise. Outra facilidade é a utilização de filtros.
191
DICAS
O Wireshark monitora e controlar o tráfego de uma rede analisando os dados

de entrada e de saída. Segundo Bueno (2016, p. 62), “[...] ele é capaz de capturar tráfego
Ethernet, wireless, Bluetooh e outros”. Com ele é possível, inclusive, “grampear” uma
chamada telefônica feita por VoIP (Voz sobre IP). Este software pode ser baixado do site
www.wireshark.org.
Neste subtópico analisaremos um ataque do malware Dridex. Para tal,

utilizaremos arquivos Packet Capture PCAP, previamente gerados no software
Wireshark. Os artefatos utilizados nesta demonstração encontram-se no site
malware-traffic-analysis.net.
Dridex é o nome de uma família de malware para roubo de informações,

conhecido como trojan bancário. Apareceu pela primeira vez em 2014, e está ativo
desde então (DUNCAN, 2020). O Dridex é comumente distribuído por meio de
spam malicioso. Alguns e-mails que entregam o Dridex contém documentos do
Microsoft Office anexados ou links para baixar o malware. Segundo Duncan
(2020, s. p.), “[...] o arquivo malicioso inicial pode ser um documento do Microsoft
Office com uma macro maliciosa ou pode ser um executável do Windows (EXE),
disfarçado de algum tipo de documento”.
De qualquer forma, é necessária a interação da vítima, como clicar para

acessar o malware a partir do arquivo inicial. Os ataques do Malware Dridex
permitem que hackers mal-intencionados digitem instruções SQL em um site e
recebam uma resposta do banco de dados. Isso permite que atacantes adulterem
dados atuais no banco de dados, identidades falsas e maliciosas.
Segundo Duncan (2020, s. p.) “[...] a IBM X-Force descobriu uma nova
versão do Trojan bancário Dridex que tira proveito de uma técnica de injeção
de código chamada AtomBombing para infectar sistemas”. AtomBombing é uma
técnica para injetar código malicioso nas 'tabelas atômicas' que quase todas as
versões do Windows usam para armazenar certos dados do aplicativo. Segundo
Duncan (2020, s. p.) o Dridex
É uma variação dos ataques de injeção de código típicos que

aproveitam os erros de validação de entrada para inserir e executar
código malicioso em um processo ou aplicativo legítimo. O Dridex v4
é o primeiro malware que usa o processo AtomBombing para tentar
infectar sistemas.
A Figura 19 demostra a cadeia de eventos de distribuição do Didrex por

meio de arquivos anexos infectados. Nessa forma de distribuição do Dridex, o
arquivo malicioso inicial pode ser um documento do Microsoft Office com uma
192
macro maliciosa ou pode ser um executável do Windows (EXE) disfarçado como

algum tipo de documento, anexado em um e-mail. Nesse caso, é um arquivo
de macro com formato de planilha Excel (XLS). Ao clicar para abrir o arquivo
XLS, a vítima aciona a instalação do malware. O código malicioso recupera um
instalador Dridex (Installer DLL for Dridex). O instalador do Dridex recupera
arquivos DLL do Dridex de 64 bits sobre o tráfego de rede criptografado de
comando e controle (C2) (HTTPS C2 TRAFFIC). O malware baixa atualizações de
sua versão e novamente atua sob o tráfego de rede criptografado.
FIGURA 19 – CADEIA DE EVENTOS DE DISTRIBUIÇÃO DO DRIDEX COMO ANEXOS DE E-MAIL
FONTE: <https://bit.ly/3pLTVuy>. Acesso em: 4 out. 2021.
Segundo Duncan (2020, s. p.), o malware Dridex é:
[...] uma variante de malware evasiva e que rouba informações; seu

objetivo é adquirir o maior número possível de credenciais e devolvê-
las por meio de um túnel criptografado a um servidor de comando e
controle (C&C). Esses servidores C&C são numerosos e espalhados
por toda a Internet, se o malware não conseguir chegar a um servidor,
ele tentará outro. Por esse motivo, medidas baseadas em rede, como
bloquear os IPs C&C, são eficazes apenas no curto prazo.
A Figura 20 exibe a cadeia de distribuição do Didrex utilizando um

link com arquivo ZIP. De forma muito semelhante, a dinâmica de distribuição
vista anteriormente, neste caso, o instalador do Didrex chega até à vítima em
um e-mail que possui um link para um arquivo .ZIP. Direcionado para o tráfego
criptografado (HTTPS). O instalador do malware aciona o download do arquivo
.ZIP, recuperando arquivos DLL do Dridex de 64 bits sobre o tráfego de rede
criptografado de comando e controle (C2) (HTTPS C2 TRAFFIC). O malware
atualiza-se automaticamente, sempre utilizando o tráfego de rede criptografado
(HTTPS).
193
FIGURA 20 – CADEIA DE DISTRIBUIÇÃO DRIDEX
FONTE: <https://bit.ly/3vRi5VJ>. Acesso em: 4 out. 2021.
Segundo Duncan (2020, s. p.), “[...] tráfego de distribuição do Didrex

geralmente é HTTPS, o que torna o arquivo inicial ou o instalador do Dridex
difícil de detectar porque está criptografado”. Felizmente, o tráfego pós-infecção
causado pela atividade do Dridex C2 é distinto o suficiente para ser identificado.
Como o tráfego de distribuição do Didrex geralmente utiliza o protocolo

HTTPS, falaremos brevemente dos certificados digitais. Um certificado digital
é usado para criptografia SSL/TLS de tráfego HTTPS (DUNCAN, 2020). Ao
visualizar um site usando HTTPS, um certificado é enviado pelo servidor da
web para o navegador da web do cliente. Os dados desse certificado digital são
usados para estabelecer uma conexão HTTPS. Os certificados contêm a chave
pública de um site e confirmam a identidade do site. Os certificados digitais são
emitidos por Autoridades Certificadoras (ACs), comumente conhecida como CA,
do inglês Certification Authority (CA). As CAs podem emitir certificados digitais
para vários sites. Os certificados são vendidos para empresas e sites comerciais.
A Figura 21 mostra a captura de um arquivo PCAP gerado pelo Wiresahrk,
que exibe as informações do certificado que podem ser visualizadas do tráfego
HTTPS. Vamos nos concentrar nas duas seções a seguir:
• Dados do emissor sobre a CA.

• Dados do assunto sobre o site.
Os dados do emissor revelam a CA que emitiu o certificado digital. Os

dados do assunto verificam a identidade do site.
194
FIGURA 21 – CAPTURA DO TRÁFEGO HTTPS
FONTE: <https://bit.ly/3pFJbOr>. Acesso em: 4 out. 2021.
Agora iremos analisar e identificar a infiltração do Didrex por meio do

tráfego HTTPS. A Figura 22, exibe um arquivo PCAP que mostra o log do tráfego
filtrado.
FIGURA 22 – TRÁFEGO PCAP FILTRADO NO WIRESHARK
FONTE: <https://bit.ly/3vPe43S>. Acesso em: 4 out. 2021.
195
Verificando os domínios, há três domínios que não são da Microsoft

usando tráfego HTTPS, que podem estar vinculados à atividade inicial de infecção
do Didrex:
• dsimportaciones [.] com

• murfreesboro.fair wayconcierge [.] com
• r yner.net [.] au
Uma vez que esses são específicos de URL, e o conteúdo não é mostrado,
vamos nos concentrar no tráfego Dridex C2 pós-infecção. Aplicando o filtro a
seguir no Wireshark, para examinar os dados do emissor do certificado para
tráfego HTTPS, nos dois endereços IP sem nomes de domínio no tráfego HTTPS:
tls.handshake.type eq 11 e (ip.addr eq 67.79.105.174

ou ip.addr eq 14 4.202.31.138)
Depois de aplicar o filtro, selecionamos o primeiro quadro, na seção de

detalhes do quadro procure uma lista de linhas que começam com o termo item
RDNSequence. A Figura 23 mostra como chegar lá no arquivo PCAP capturado
para 67.79.105 [.] 174 .
FIGURA 23 – ENCONTRANDO DADOS DO EMISSOR DO CERTIFICADO

PARA TRÁFEGO DRIDEX HTTPS C2
FONTE: <https://bit.ly/3vMGwDC>. Acesso em: 4 out. 2021.
196
Verifique os dados do emissor para ambos os endereços IP para encontrar

os dados listados a seguir. Dados do emissor do certificado para tráfego Dridex
HTTPS C2 em 67.79.105.174 .
• id-at-countr yName = MN
• id-at-stateOrProvinceName = Listth Thearere8 berponedt tithsalet
• id-at-LocalityName = Ulaanbaatar
• id-at-organizationName = Massol SE
• id-at-commonName = Atid7brere.Speso_misetr.stada
Dados do emissor do certificado para tráfego Dridex HTTPS C2

em 144.202.31.138 :
• id-at-countr yName = SS
• id-at-LocalityName = Cartum
• id-at-organizationName = Hedanpr Spa
• id-at-commonName = psprponounst.aquarelle
DICAS
Acadêmico para conhecer os padrões de comportamento dos códigos

maliciosos que circulam na rede, acesse o site malware-traffic-analysis.net. Trata se uma
fonte rica de tutoriais para quem quer se aprofundar em análise de tráfego de redes e
malware.
Buscamos, por meio desta demonstração, ilustrar a atividade do

malware Dridex, utilizando arquivos de log pcap com tráfego de rede, gerados
no Wireshark. O malware explora vulnerabilidades presentes no sistema
operacional Windows. No entanto, para conseguir acesso aos sistemas depende
de uma interação do usuário, pois se propaga por meio de links e arquivos do
Microsoft Office em e-mails. Uma vez que o malware utiliza-se do tráfego HTTPS,
seguro e criptografado, os dados do emissor do certificado digital são essenciais
para identificar uma infecção pelo Dridex, uma vez que esses padrões parecem
exclusivos do Dridex.
DICAS
Você pode treinar os comandos e análises de logs em uma máquina virtual

Linux. Baixe a imagem da máquina metasploit em: https://www.metasploit.com/get-started
e comece a praticar.
197
A FRONTEIRA ENTRE A INVESTIGAÇÃO E A PERÍCIA DIGITAL
Evandro Della Vecchia

INTRODUÇÃO
Há aproximadamente duas décadas as pessoas registravam

compromissos, contatos e outras informações em agendas de papel, blocos de
anotações, cadernos, e, raramente, em computadores. Na atualidade o contrário
é verdadeiro, sendo comum que sejam utilizados smartphones, tablets e outros
dispositivos eletrônicos compactos para registrar tais informações.
Desta forma, quando há a necessidade de investigação (tanto criminal,

quanto cível), o conhecimento necessário passa a ser aquele que apenas
profissionais da área de informática costumavam ter no passado. Isso é verdade
não apenas para investigadores, mas também para os operadores do Direito.
O principal objetivo deste artigo é mostrar as diferenças entre

“investigação” e “perícia digital”. Desta forma, o leitor terá condições de saber
em que situações a “investigação” consegue resolver um caso e em que momento
a “perícia” é necessária.
De outra parte, não serão mostrados conceitos avançados ou muito

técnicos. Tais conceitos e técnicas mais avançadas serão exploradas em análises
(artigos) futuras.

1 A INVESTIGAÇÃO DIGITAL
O principal conceito a ser aprendido (na investigação digital) deve ser

o endereçamento IP, o identificador único na rede mundial de computadores.
Quando um usuário se conecta à Internet, ele recebe um endereço IP e este será
sempre o mesmo enquanto tal conexão existir. Ao se desconectar e conectar-se
novamente, o endereço pode mudar.
Os registros de conexão de cada cliente (endereço IP recebido, a data e

horário de início e fim de tal conexão) são de responsabilidade do provedor de
acesso, e o tempo que tais registros devem permanecer armazenados (um ano)
está regulado pelo Marco Civil da Internet.
Depois de conectado à Internet, o usuário pode utilizar diversos serviços,

tais como redes sociais, e-mails, blogs etc. Tais serviços geralmente registram o
endereço IP do visitante ou de quem enviou alguma mensagem, e-mail ou outro
tipo de dado. O tempo de armazenamento do registro do endereço IP, data e
horário de utilização do serviço também é regulado pelo Marco Civil da Internet
(seis meses).
198
Por exemplo, se uma mensagem caluniosa for enviada por meio de uma
rede social, fazendo uso de um perfil falso, o investigador tem condições de
solicitar (via ordem judicial) à empresa que provê o serviço, o endereço IP que
o usuário possuía quando enviou a mensagem. Se for uma investigação cível,
é extremamente recomendável que uma Ata Notarial seja realizada, mostrando
ao tabelião, ou oficial escrevente, a mensagem caluniosa, o nome do perfil que
enviou a mensagem e outras informações consideradas importantes. Desta
forma, mesmo que a mensagem seja excluída, a Ata Notarial comprova que ela
existiu e quando foi enviada, ou seja, foi dada fé pública àquele dado/informação
encontrado na web.
Diante do endereço IP informado pela empresa fornecedora do serviço, é

possível identificar o responsável, por meio de uma consulta às bases de dados
públicas. Porém, na grande maioria das vezes, consegue-se identificar que o
endereço IP pertence a um provedor de conexão à Internet. Isso ocorre porque,
com exceção de poucas empresas (ou até mesmo usuários domésticos), a maioria
dos consumidores de Internet recebem um endereço IP dinâmico, como já foi
explicado anteriormente, e este endereço pertence a uma faixa que o provedor
disponibiliza. Logo, somente o provedor poderia informar qual cliente possuía
tal endereço IP em determinada data e horário.
Então, é necessária uma nova solicitação judicial, agora destinada ao

provedor de conexão à Internet, solicitando os dados do cliente (nome e endereço,
por exemplo). Após receber tais informações, o investigador tem condições de
analisar se é necessário solicitar a realização de perícia de aparelhos de telefone
celular, computadores, ou qualquer outro dispositivo que tenha conexão com a
Internet (para o caso do exemplo mostrado).
Há situações em que é solicitado ao juiz um mandado de busca e apreensão

e realizada uma análise no próprio local. Por exemplo, se houver a suspeita de
uso de um aparelho de telefone celular ou de um notebook de alguém para o
envio da mensagem pela rede social, o investigador pode ir até a casa do suspeito,
com o mandado judicial. Se o suspeito admitir a culpa, entrar na rede social,
mostrar que foi ele mesmo, pode evitar a busca e apreensão dos equipamentos.
Caso contrário, a apreensão pode ser realizada para posterior envio à perícia.

2 PERÍCIA DIGITAL
A perícia digital, também conhecida como computação forense, entre

outros nomes, pode ser realizada, basicamente: ao vivo (live forensics), com o
equipamento ligado, em um flagrante; ou, após o desligamento do equipamento
(post mortem forensics). Quando for ao vivo, deve haver um profissional
qualificado (perito) para tal, pois o investigador pode não ter o conhecimento
suficiente e pode inclusive contaminar a prova.
Na perícia também podem ser realizadas tarefas como rastreamento de ori-

gem de e-mail, ou outras que podem ser realizadas na investigação. Mas como já foi
mostrado na seção anterior, não teria o porquê enviar para perícia uma tarefa que
poderia ser realizada na própria investigação, tornando o resultado mais rápido.
199
Diante dos equipamentos (no local da busca ou apreendidos), o perito tem

condições de realizar os procedimentos, de acordo com as melhores práticas. Tais
práticas recomendam, resumidamente: (1) identificação do material questionado;
(2) proteção da mídia de armazenamento questionada contra gravação; (3)
duplicação forense (espelhamento) dos dados para uma outra mídia; (4) análise
dos dados espelhados; (5) elaboração do Laudo Pericial.
A duplicação forense realiza a cópia até mesmo dos dados já excluídos.

Desta forma, o perito pode realizar recuperação de arquivos ou fragmentos de
arquivos excluídos, sem o perigo de danificar a mídia questionada. Somente se
houver algum problema físico durante a duplicação dos dados, a análise pode
ficar comprometida.
Além da recuperação de dados excluídos, outras atividades importantes

na perícia incluem:
1. Filtros de arquivos: busca por arquivos por meio da extensão, tipo, tamanho,
nome, entre outros atributos;
2. Busca por palavras-chave: busca por arquivos ou trechos de arquivos em toda
a cópia dos dados, incluindo a possibilidade de expressões regulares (ex.: ####-
#### significa um telefone com oito dígitos separado por hífen);
3. Quebra de senhas: arquivos, partições de disco ou o disco inteiro podem estar
criptografados. Peritos utilizam técnicas de quebra de senha por meio de
diversas tentativas automatizadas, de palavras conhecidas de um dicionário
ou dos dados pessoais, entre outras.
Para facilitar a realização de tais atividades periciais são

utilizados softwares forenses. Quando o sistema de arquivos da mídia questionada
é conhecido (utilizados em Windows, Linux etc.), existem diversos softwares,
incluindo alguns gratuitos.
Quando um sistema proprietário é analisado, como por exemplo um

sistema utilizado em um Digital Video Recorder (DVR) de um fabricante específico,
a análise fica mais complexa, pois geralmente não há softwares que auxiliam. Desta
forma, o perito deve estudar o sistema para verificar como analisar, ou tentar
contato com o fabricante para solicitar ajuda.

CONCLUSÃO
O foco deste artigo foi mostrar a diferença básica entre a investigação

(criminal) e a perícia digital, ou seja, no qual termina uma e começa a outra
(quando for necessária a segunda). Não foram mostrados conceitos ou atividades
muito complexos, pois detalhes de técnicas de investigação e de perícia em meios
digitais serão explorados em artigos futuros.
FONTE: DELLA VECCHIA, E. A fronteira entre a investigação e a perícia digital. Revista Eletrônica
Direito & TI, [s. l.], v. 1, n. 1, p. 1-4, 2015. Disponível em: https://bit.ly/3jGPkpR. Acesso em: 4 out. 2021.
200
RESUMO DO TÓPICO 3
● Ao executar um pentest e uma vulnerabilidade grave for encontrada, não é

aconselhável esperar que o teste termine. Em vez disso, a boas práticas orientam
a notificação imediatamente. Isso deve a necessidade de garantir a continuidade
da organização e respeitar as regulamentações.
• A metodologia para a aplicação de testes de penetração, do Open Information

Systems Security Group (OISSG), denominada Information Systems Security
Assessment Framework (ISSAF), foi projetada para avaliar redes, sistemas e
controles de aplicativos e consiste em três fases de abordagem e nove etapas
de avaliação. A abordagem inclui as seguintes fases: Fase I – planejamento e
preparação; Fase II – avaliação; Fase III – relatório, limpeza e destruição de
artefatos.
● A varredura de portas geralmente faz parte de um ataque de reconhecimento,

técnica utilizada até mesmo por invasores sem experiência. Há uma variedade
de métodos de varredura de portas que podem ser usadas. Aqui utilizamos a
ferramenta Network Mapper (Nmap), para scannear portas na rede.
● O monitoramento dos logs pode ser facilitado com a utilização de soluções de

terceiros. O Syslog não fornece uma interface amigável, mas é compatível com
diversos softwares. Tais ferramentas oferecem, ainda, um banco de dados no
qual as mensagens de Syslog são coletadas e um software para gerenciamento
e filtragem, para facilitar a busca por mensagens.
● O protocolo Syslog possui três camadas como parte da definição padrão, são
elas: conteúdo do Syslog – as informações na mensagem do evento; aplicação
Syslog – a camada que gera, roteia, interpreta e armazena a mensagem; e
transporte Syslog – a camada que transmite a mensagem.
● Malwares que se utilizam de ataques de injeção de código típicos se aproveitam

dos erros de validação de entrada para inserir e executar código malicioso em
um processo ou aplicativo legítimo.
● Uma maneira usual de buscar vulnerabilidades no ambiente de infraestrutura

da rede é utilizando software de escaneamento. Devido à complexidade
dos dispositivos e serviços que utilizam a infraestrutura da rede para trocar
mensagens de controle de sua situação operacional, o monitoramento e
gerenciamento dos recursos torna-se uma tarefa que precisa ser otimizada e
controlada. Principalmente para que portas de comunicação que foram mal
configuradas não se tornem uma fragilidade.
201
● O analisador de pacote wireskark é uma ferramenta útil na identificação de
agentes de intrusão na rede. Conforme foi exemplificado com o malware
Dridex.
● Um certificado digital é usado para criptografia SSL/TLS de tráfego HTTPS. Que,

ao visualizar um site usando HTTPS, um certificado é enviado pelo servidor da
web para o navegador da web do cliente. Os dados desse certificado digital são
usados para estabelecer uma conexão HTTPS. Os certificados contêm a chave
pública de um site e confirmam a identidade do site. Os certificados digitais
são emitidos por Autoridades Certificadoras (ACs) – comumente conhecida
como CA, do inglês Certification Authority. As CAs podem emitir certificados
digitais para vários sites. Os certificados são vendidos para empresas e sites
comerciais.
CHAMADA

202
AUTOATIVIDADE
1 Assinale a alternativa CORRETA que apresenta o objetivo principal de um

teste de penetração:
a) ( ) O pentest tem como objetivo a análise das fragilidades do ambiente

organizacional, seja a verificação dos recursos tecnológicos e não
técnicos.
b) ( ) O pentest destina apenas a buscar vulnerabilidades no ambiente
informáticos, pois nos demais ambiente, não há possibilidades de
invasão.
c) ( ) As metodologias para pentests não preveem sua aplicação em pessoas
(funcionários).
d) ( ) O pentester não tem necessidade de adotar metodologias pré-definidas.
2 Podemos encontrar no mercado diversas ferramentas que auxiliarão a

execução de um pentest. Seja em qualquer nível de sua aplicação. Acerca da
ferramenta Nmap, analise as sentenças a seguir:
I- O Nmap é uma ferramenta de código aberto para exploração de rede e

auditoria de segurança.
II- O Nmap utiliza pacotes do Internet Protocol (IP) para determinar quais
hosts estão disponíveis na rede.
III- O Nmap não consegue determinar quais serviços (nome do aplicativo e
versão) os hosts da rede estão oferecendo.

3 Os arquivos de logs gerados pelos diversos dispositivos da rede são

importantes parar o monitoramento de configurações, vulnerabilidades
e tentativas de acessos não autorizados. No ambiente de infraestrutura
computacional da rede, é uma prática comum concentrar os arquivos de
log em um computador de monitoramento. Acerca do protocolo Syslog,
( ) O Syslog não é compatível com o sistema operacional Windows.

( ) O Syslog é um sistema projetado para permitir que dispositivos enviem
seus arquivos de log para um servidor centralizado.
( ) O Syslog é comumente implantado em redes e oferece suporte a
praticamente todas as plataformas de computador.
203
a) ( ) V – F – F.
b) ( ) V – F – V.
c) ( ) F – V – V.
d) ( ) F – F – V.
4 A preocupação com vulnerabilidades não conhecidas no ambiente

computacional é uma constante para os administradores de redes e sistemas.
O cenário se agrava com as diversas formas que as ameaças tentam ganhar
acesso aos sistemas sem autorização. Disserte sobre a ameaça que os exploits
representam aos sistemas.
5 A definição de um cenário para a execução de um teste de penetração

envolve uma série de requisitos que deverão ser levados em consideração
na hora da contratação. Nesse contexto, disserte sobre a cuidados na hora
da contratação do teste de penetração.
204
REFERÊNCIAS
27001: tecnologia da informação e requisitos para implementação de um sistema
de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.

IEC 27005: tecnologia da informação, técnicas de segurança e gestão de riscos de

2019
ATTACK SURFACE. In: CSRS – COMPUTER SECURITY RESOURCE CENTER.

Glossary. Gaithersburg, 2021. Disponível em: https://csrc.nist.gov/glossary/
term/attack_surface. Acesso em: 2 set. 2021.
BARRETT, D. et al. Computer forensics jumpstart. 2. ed. Indianápolis, EUA:

John Wiley & Sons, 2012. Disponível em: https://ebookreading.net/view/book/
EB9781118067659_1.html. Acesso em: 2 set. 2021.
BUENO, F. Introdução aos testes de invasão: técnicas de ataque para melhorar

suas defesas. Rio de Janeiro: Amazon do Brasil, 2016. E-book.
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética. Rio de Janeiro. BRASPORT.

2015.
SYSLOG monitoring guide: best syslog monitors and viewers. DNSstuff. [s. l.],
2020. Disponível em: https://www.dnsstuff.com/syslog-monitoring. Acesso em:
2 set. 2021.
DUNCAN, B. Examinado o tráfego de infecção Dridex. Paloalto Networks, Palo

Alto, CA, 23 out. 2020. Disponível em: https://unit42.paloaltonetworks.com/
wireshark-tutorial-dridex-infection-traffic/. Acesso em: 2 set. 2021.

FRAGA, B. Técnicas de invasão. São Paulo: Editora Labrador, 2018
FONTES, E. L. G. Segurança da informação: gestão e governança. São Paulo,

Livro Eletrônico, 2020.
HASSAN, H. A. Perícia forense digital: guia prático com uso do sistema

operacional Windows. São Paulo: Novatec, 2019.
205
HERZOG, P. OSSTMM 3: the open-source security testing methodology
manual. Cardedeu: Isecom, 2010. Disponível em: https://www.isecom.org/
OSSTMM.3.pdf. Acesso em: 2 set. 2021.
ISSAF – Information Systems Security Assessment Framework Draft 0.2 1B.

Doha, QA: OISSG, 2006. Disponível em: http://cuchillac.net/archivos/pre_
seguridad_pymes/2_hakeo_etico/lects/metodologia_oissg.pdf Acesso em: 9 set.
2021.
LOPES, P. A., Fundamentos de computação forense: uma visão direta e

objetiva. Rio de Janeiro: Amazon do Brasil, 2018. E-book.
LEWISKI, L. Dicas de perícia – perícias audiovisuais. MPPR, Curitiba, 2021.

Disponível em: https://criminal.mppr.mp.br/pagina-1463.html . Acesso em: 2 set.
2021.
NMAP network scanning. NMAP.org, Palo alto, CA, c2021. Disponível em:
https://nmap.org/book/man.html#man-description. Acesso em: 2 set. 2021.
OPEN SOURCE digital forensics. Sleuthkit.org, [s. l.], 2020. Disponível em:
https://www.sleuthkit.org/. Acesso em: 2 set. 2021.
OWASP mobile security testing guide. OWASP, Our Vision, Wakefield, MA,
2020. Disponível em: https://owasp.org/www-project-mobile-security-testing-
guide/. Acesso em: 2 set. 2021.
PERÍCIA em sinais (áudio, imagem e vídeo). Infoperícia, Natal, 2019.

Disponível em: https://infopericia.com.br/pericia-em-sinais-audio-imagem-e-
video/. Acesso em: 2 set. 2021.
PTES – Penetration Testing Execution Standard: technical guidelines. High level

organization of the standard. Main Page. 16 aug. 2014. Disponível em: http://
www.pentest-standard.org/index.php/Main_Page . Acesso em: 2 set. 2021.
SCARFONE, K. et al. Technical guide to information security testing and

assessment: SP 800-115. USA. 2008. Disponível em: https://nvlpubs.nist.gov/
nistpubs/Legacy/SP/nistspecialpublication800-115.pdf . Acesso em: 2 set. 2021.
SILVA, C. F. G. Técnicas de invasão de sistemas e pentest. São Paulo: Editora

Dialética, 2020.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Core

competencies for forensic audio. [S. l.]: SWGDE, 2017. Disponível em: https://
drive.google.com/file/d/1Foire2snjUrD3RK8H-dVH5c4pthtCYru/view. Acesso
em: 2 set. 2021.
206
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Best
practices for digital forensic video analysis. [S. l.]: SWGDE, 2018. Disponível
em: https://drive.google.com/file/d/1vXMav2QS8N5iiC7UcW6ZoTsH0OHI7FQi/
view. Acesso em: 3 set. 2021.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Best

practices for enhancement of digital audio. [S. l.]: SWGDE, 2020. Disponível
em: https://drive.google.com/file/d/1x6j2IWjlVJqWE_YMeEEe1VfVEucFODhU/
view. Acesso em: 2 set. 2021.
207

Computação Forense e Testes de Invasão

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Computação Forense e Testes de Invasão

Enviado por

Direitos autorais:

Formatos disponíveis

Computação Forense

Prof.ª Rita de Cássia Cordeiro de Castro

Revisão, Diagramação e Produção:

Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri

Castro, Rita de Cássia Cordeiro de

Computação forense e testes de invasão. / Rita de Cássia

217 p.; il.

1. Perícia forense computacional. - Brasil. II. Centro

A transformação da comunicação é a mudança social mais importante

Neste livro, iremos apresentar os aspectos fundamentais da perícia

Na Unidade 1, abordaremos os conceitos gerais da Perícia Forense

Em seguida, na Unidade 2, estudaremos as técnicas de computação

Por fim, na Unidade 3, aprenderemos um pouco mais sobre perícias

Prof.ª Rita de Cássia Cordeiro de Castro

Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é

Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente,

Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de

Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela

Com o objetivo de enriquecer seu conhecimento, construímos, além do livro

Conte conosco, estaremos juntos nesta caminhada!

TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE

TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO......................................................................... 25

TÓPICO 3 — CRIMES CIBERNÉTICOS.......................................................................................... 47

UNIDADE 2 — TÉCNICAS DE COMPUTAÇÃO FORENSE E LEGISLAÇÃO....................... 77

TÓPICO 1 — TÉCNICAS DE FORENSE COMPUTACIONAL................................................... 79

TÓPICO 2 — GOVERNANÇA DA SEGURANÇA CIBERNÉTICA........................................... 99

TÓPICO 3 — LEGISLAÇÃO APLICADA À FORENSE COMPUTACIONAL....................... 119

UNIDADE 3 — PERÍCIA EM ARQUIVOS E TESTES DE INVASÃO..................................... 145

TÓPICO 1 — PERÍCIA EM ARQUIVOS........................................................................................ 147

TÓPICO 2 — TESTE DE INVASÃO – PENTEST........................................................................... 165

TÓPICO 3 — ANALISANDO UM TESTE DE INVASÃO.......................................................... 183

• compreender os principais conceitos na área de computação forense;

TÓPICO 1 – CONCEITOS GERAIS DA PERÍCIA FORENSE

TÓPICO 2 – SEGURANÇA DA INFORMAÇÃO

TÓPICO 3 – CRIMES CIBERNÉTICOS

Preparado para ampliar seus conhecimentos? Respire e vamos

CONCEITOS GERAIS DA PERÍCIA

Métodos e procedimentos oriundos da criminalística foram adaptados e

FIGURA 1 – PERÍCIA FORENCE COMPUTACIONAL

FONTE: Adaptada de Eleutério e Machado (2019)

A perícia forense computacional alicerça-se em princípios e metodologias

Assim como a preservação da integridade das evidências encontradas.

FIGURA 2 – OBJETIVO E PROPÓSITO DA COMPUTAÇÃO FORENSE

FONTE: Adaptada de Eleutério e Machado (2019)

2 O QUE É CIÊNCIA FORENSE

A aplicabilidade dos métodos de pesquisa de determinado campo da

Segundo Silva, (2020, p. 1), “O desenvolvimento da Ciência Forense vem

Locard formulou, ainda, o princípio básico da ciência forense, em que

FIGURA 3 – PRINCÍPIO DE LOCARD

2.1 A FORENSE COMPUTACIONAL

Sendo assim, com os avanços no uso das mais diversas tecnologias

[...] tem como objetivo determinar a dinâmica, a materialidade e autoria

Nos próximos subtópicos, iremos nos aprofundar nos conceitos da Perícia

3 INVESTIGAÇÃO FORENSE COMPUTACIONAL

A Figura 4 apresenta as etapas constantes de um processo de investigação

FIGURA 4 – A INVESTIGAÇÃO FORENSE

3.1 PRINCÍPIOS BÁSICOS DA FORENSE COMPUTACIONAL

Para se alcançar os resultados satisfatórios a que se propõe uma

Ao utilizar uma classificação generalizada, a perícia computacional

A Figura 5, a seguir, apresenta a ordem de investigação dos dados em um

FIGURA 5 – ORDEM DE VOLATILIDADE PARA UM SISTEMA TÍPICO

FONTE: Adaptada de ABNT (2013)

A coleta das evidências nesses dispositivos deverá ser realizada seguindo a

Segundo Lopes (2018, p. 27), o processo de investigação forense