Redes e Forense Computacional

1
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

2
Núcleo de Educação a Distância
PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira.
O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para
a formação de profissionais capazes de se destacar no mercado de trabalho.
O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por
fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem.
GRUPO PROMINAS DE EDUCAÇÃO

Diagramação: Gildenor Silva Fonseca
3
Prezado(a) Pós-Graduando(a),
Seja muito bem-vindo(a) ao nosso Grupo Educacional!

Inicialmente, gostaríamos de agradecê-lo(a) pela confiança
em nós depositada. Temos a convicção absoluta que você não irá se
decepcionar pela sua escolha, pois nos comprometemos a superar as
suas expectativas.
A educação deve ser sempre o pilar para consolidação de uma
nação soberana, democrática, crítica, reflexiva, acolhedora e integra-
dora. Além disso, a educação é a maneira mais nobre de promover a
ascensão social e econômica da população de um país.
Durante o seu curso de graduação você teve a oportunida-

de de conhecer e estudar uma grande diversidade de conteúdos.
Foi um momento de consolidação e amadurecimento de suas escolhas
pessoais e profissionais.
Agora, na Pós-Graduação, as expectativas e objetivos são
outros. É o momento de você complementar a sua formação acadêmi-
ca, se atualizar, incorporar novas competências e técnicas, desenvolver
um novo perfil profissional, objetivando o aprimoramento para sua atua-
ção no concorrido mercado do trabalho. E, certamente, será um passo
importante para quem deseja ingressar como docente no ensino supe-
rior e se qualificar ainda mais para o magistério nos demais níveis de
ensino.
E o propósito do nosso Grupo Educacional é ajudá-lo(a)
nessa jornada! Conte conosco, pois nós acreditamos em seu potencial.
Vamos juntos nessa maravilhosa viagem que é a construção de novos
conhecimentos.
Um abraço,
Grupo Prominas - Educação e Tecnologia
4
5
Olá, acadêmico(a) do ensino a distância do Grupo Prominas!..
É um prazer tê-lo em nossa instituição! Saiba que sua escolha

é sinal de prestígio e consideração. Quero lhe parabenizar pela dispo-
sição ao aprendizado e autodesenvolvimento. No ensino a distância é
você quem administra o tempo de estudo. Por isso, ele exige perseve-
rança, disciplina e organização.
Este material, bem como as outras ferramentas do curso (como
as aulas em vídeo, atividades, fóruns, etc.), foi projetado visando a sua
preparação nessa jornada rumo ao sucesso profissional. Todo conteúdo
foi elaborado para auxiliá-lo nessa tarefa, proporcionado um estudo de
qualidade e com foco nas exigências do mercado de trabalho.
Estude bastante e um grande abraço!
Professora: Juliana Padilha
6
O texto abaixo das tags são informações de apoio para você ao
longo dos seus estudos. Cada conteúdo é preprarado focando em téc-
nicas de aprendizagem que contribuem no seu processo de busca pela
conhecimento.
Cada uma dessas tags, é focada especificadamente em partes
importantes dos materiais aqui apresentados. Lembre-se que, cada in-
formação obtida atráves do seu curso, será o ponto de partida rumo ao
seu sucesso profisisional.
7
Como consequência do aumento da utilização de dispositivos co-
nectados à Internet, houve um aumento dos crimes cibernéticos. Com o
objetivo de auxiliar na solução e redução desses tipos de crimes surgiu a
computação forense, que é o processo de identificação, preservação, aná-
lise e apresentação de evidências digitais obtidas legalmente. As evidên-
cias digitais podem ser encontradas em todos os equipamentos digitais,
discos rígidos, smartphones, cartões de memória, pen drives etc. Porém,
nem sempre é fácil ter acesso a essas evidências, pois existem técnicas
antiforenses, como a criptografia, para destruí-las ou ocultá-las. Esta uni-
dade também apresentará conceitos e dispositivos físicos de rede de com-
putadores.
Rede de Computadores; Protocolos; Computação forense; Ferramentas

Forenses.
8
Apresentação do Módulo ______________________________________ 11
CAPÍTULO 01
FUNDAMENTOS DE REDES DE COMPUTADORES
Introdução à Rede de Computadores ___________________________ 12
Classificação da Rede __________________________________________ 23
Interconexão de Rede __________________________________________ 29
Recapitulando _________________________________________________ 32
CAPÍTULO 02

PROTOCOLOS E ARQUITETURAS DA REDE DE COMPUTADORES
Principais Protocolos de Redes _________________________________ 37
Projeto e Arquitetura de Rede de Computadores _______________ 41
Recapitulando _________________________________________________ 51
CAPÍTULO 03
COMPUTAÇÃO FORENSE
Computação Forense: Introdução e Conceitos __________________ 56
Procedimentos de Investigação _________________________________ 74
Principais Ferramentas de Investigação Forense _________________ 78
Recapitulando __________________________________________________ 87
Considerações Finais ____________________________________________ 92

9
Fechando a Unidade ____________________________________________ 93
Referências _____________________________________________________ 96
10
O mundo tem se tornado cada vez mais interconectado. Atual-
mente, o número de dispositivos conectados à internet tem crescido
bastante, seja para atividades pessoais ou profissionais. Consequente-
mente, os crimes cibernéticos e outros crimes ligados à rede de compu-
tadores também vêm crescendo.
Com o objetivo de auxiliar na solução e na redução desses
tipos de crimes surgiu a computação forense, que é o processo de iden-
tificação, preservação, análise e apresentação de evidências digitais de
uma maneira legitimamente admissível. As evidências digitais podem
ser encontradas em todos os equipamentos digitais, como discos rígi-
dos, smartphones, CDs, tablets, cartões de memória, pen drives, entre
outros. É importante salientar que a evidência digital deve obedecer às
mesmas restrições legais que as evidências físicas, principalmente, as
leis que dizem respeito a duas questões: a integridade e a autenticidade
das evidências.
Se por um lado existe a ciência forense que utiliza o conheci-
mento científico para ajudar a solucionar os cibercrimes. Por outro lado,
há a ciência antiforense, que inclui um conjunto de técnicas, como a
criptografia, para impedir a análise forense, isto é, a utilização de técni-

cas para destruir ou ocultar evidências digitais.
Além disto, no decorrer dessa unidade, serão apresentados os
conceitos básicos de dispositivos físicos de rede de computadores, a
classificação e a topologia da rede, os principais protocolos e as arqui-
teturas de rede. Por fim, serão discutidas etapas do processo de inves-
tigação forense e as ferramentas forenses mais utilizadas.
11
FUNDAMENTOS DE
REDE DE COMPUTADORES
INTRODUÇÃO À REDE DE COMPUTADORES
Uma rede de computadores é composta por no mínimo dois

computadores conectados entre si, o que os torna capazes de se co-
municarem, compartilhar informações e recursos de maneira prática,
como por exemplo, o compartilhamento de impressora em uma mesma
rede local. De acordo com Ribeiro-Santos (2016, pg. 10) o papel da
rede de computadores é “a de estruturar-se para que as informações
distribuídas entre os usuários possam ser processadas corretamente”.
Já Tanenbaum e Wetherall (2011, pg.1) definem rede de computadores
como:
um conjunto de computadores autônomos interconectados por uma única

tecnologia. Dois computadores estão interconectados quando podem trocar
informações. A conexão não precisa ser feita por um fio de cobre; também
12
podem ser usadas fibras ópticas, micro-ondas, ondas de infravermelho e sa-
télites de comunicações. Existem redes de muitos tamanhos, modelos e for-
mas... Elas normalmente estão conectadas para criar redes maiores, com a
Internet sendo o exemplo mais conhecido de uma rede de redes.
A seguir, serão apresentados os tipos de redes de computado-

res e os dispositivos utilizados para realizar a comunicação (intercone-
xão) em uma rede de computadores e, por último, quais as principais
características das topologias de rede física e da lógica.
Assunto: História de Rede de Computadores

Link do assunto: https://www.oficinadanet.com.br/pos-
t/10123-historia-das-redes-de-computadores#:~:text=A%20hist%-
C3%B3ria%20das%20redes%20de,a%20origem%20e%20o%20
destino e também no link: https://tecnologia.culturamix.com/noticias/
historia-das-redes-de-computadores

Tipos de Rede de Computadores
Nessa seção serão apresentados e conceituados três tipos de
redes de computadores: cliente-servidor, peer-to-peer e a rede ubíqua,
assim como suas características e aplicabilidade.
• Cliente-Servidor é o tipo de rede de computadores mais co-
mumente utilizado hoje em dia. Esse tipo de rede possui uma arquite-
tura que foi projetada para um ou mais dispositivos, conforme ilustra a
Figura 1, em que os clientes utilizam os serviços promovidos por outro
dispositivo que é denominado de servidor. O servidor é o responsável
por executar as tarefas ou prover as informações solicitadas pelo cliente.
13
Figura 1 – Representação da Arquitetura Cliente-Servidor
Servidor
Cliente Cliente Cliente
Fonte: Elaborada pela autora, 2020.

• Peer-to-Peer (P2P) ou Ponto a Ponto consiste em um tipo

de rede em que não há necessidade de um servidor para os dispositivos
se comunicarem, conforme ilustra a Figura 2. Consequentemente, toda
a responsabilidade não é atribuída a apenas um só dispositivo, como
ocorre no Cliente-Servidor. Atualmente, a rede P2P é bastante usada
para o compartilhamento simultâneo de informações ou arquivos entre
diversos dispositivos.
Figura 2 – Representação de uma Topologia Física
• Redes Ubíquas ou Redes Pervasivas trata-se de um tipo de

rede que é onipresente, ou seja, é capaz de espalhar-se por toda a par-
te sem a necessidade de uma conexão física. De acordo com Bungart
14
(2017, pg. 16) a principal característica das redes ubíquas é que “devem
funcionar de maneira transparente para os usuários, isto é, sem ser per-
cebida”. Diferentemente do que ocorre nas outras redes que envolvem
o uso direto de dispositivos e comandos para uma máquina. Logo, a
rede ubíqua deve funcionar de forma natural para os usuários. Como
exemplo desse tipo de rede pode-se citar o controle de iluminação de
uma casa por gestos humanos, como o apagar/acender uma lâmpada
batendo as duas mãos (palmas).
Dispositivos de Comunicação de Redes

Nessa seção serão apresentados os principais dispositivos/
equipamentos de comunicação (interconexões) de redes de computa-
dores, assim como suas características, funções e aplicabilidade. Os
principais dispositivos/equipamentos são:
• Host é qualquer equipamento como notebook, computadores
pessoais, roteadores, etc, que estão conectados a uma rede que tem
números de IPs e nomes definidos (FRANCISCATTO; DE CRISTO;
PERLIN, 2014), (VIANA, 2012).
• Nó consiste em um ponto de conexão, ou seja, cada ele-

mento da rede (roteador, impressora, computador host ou um servidor)
independente da função dele.
• Repetidor trata-se de um dispositivo que atua na camada
física (da arquitetura de redes: Modelo OSI e TCP/IP) recebendo um
sinal de entrada, reproduzindo-o e enviando-o para a porta de saída
(MACÊDO, 2012). De acordo com Macêdo (2012) “é um regenerador de
sinais (não um amplificador), pois refaz os sinais originais (deformados
pela atenuação/ruído) tentando anular a interferência do ruído”.
• Hub é também conhecido como um concentrador. Trata-se de
um equipamento que tem a função de conectar os computadores, im-
pressoras, dentro outros de uma rede local possibilitando a transmissão
de informações entre os dispositivos. Um hub possui um endereço de
IP para permitir que os dados trafeguem através das conexões de rede
(CANAL TECH1, acesso em: 11/12/2020). O hub tem um custo e de-
sempenho baixo, pois ele possui uma estrutura de funcionamento sim-
ples. Atualmente, a utilização de hub em redes comerciais e industriais
é rara, pois ao longo dos anos os switches passaram a ter um preço
melhor, que comparado ao seu desempenho oferece é um equipamento
que tem a função de conectar os computadores, impressoras e outros
de uma rede local (BUNGART, 2017).
1 Disponível em: <https://canaltech.com.br/produtos/O-que-e-hub/>.
15
• Switch, assim como o hub, o switch é um equipamento que
tem a função de interligar dispositivos de uma rede local. Entretanto, o
switch opera de uma forma mais inteligente. Sendo a principal diferença
entre esses dois dispositivos o desempenho. Atualmente, com o avanço
da tecnologia é possível encontrar switches que sejam capazes de se
conectar a dispositivos em localidades remotas. Os switches possuem
SAT (Source Address Table) ou uma tabela de endereços MAC (Media
Access Control), que tem o papel de armazenar informações de endere-
ços sobre cada dispositivo que está conectado a ele (BUNGART, 2017).
Segundo Bungart (2017) SAT ou tabela de endereços MAC “registram
os endereços das portas dos dispositivos e, quando uma mensagem é
destinada para um deles, ela só é transmitida para aquela porta e não
para todas, como nos hubs”. Portanto, a transmissão ocorre somente
para um destinatário.
• Roteador trata-se de um equipamento utilizado para realizar
a interconexão entre sub-redes distintas de uma rede local, isto é, co-
nectar diferentes redes criando uma rede de maior porte (BUNGART,
2017).
• Bridge (Ponte) trata-se de um dispositivo utilizado para co-
nectar duas ou mais redes distintas de forma a possibilitar que elas se
comuniquem. Por exemplo, uma rede de um prédio com outro.

• Access Point (Ponto de Acesso) é um dispositivo que serve
para estender a cobertura de redes de internet em áreas em que a co-
bertura fornecida por um roteador é limitada. De acordo com Garre-
tt (2018, s/ pg.) “basicamente, o Access Point pode ser compreendido
como um tipo de repetidor Wi-Fi que usa cabos e não pode ser usado
como um substituto a um roteador”. Segunto Bungart (2017, pg. 20)
o seu uso é comum em redes corporativas, “enquanto em ambientes
residenciais é comum o uso de roteadores wireless (sem fio), que nada
mais são que a junção de diversas funções de rede, como switching,
roteamento, rede sem fio, servidores e até mesmo segurança”.
• Firewall trata-se de um equipamento de segurança cujo o
objetivo é “vigiar” o tráfego que ocorre na rede e também defendê-la
de tentativas de ataques. De acordo com Bungart (2017) os firewalls
podem ser tanto baseados em hardwares como em softwares.
• Switch Multicamadas trata-se de um equipamento que é ca-
paz de operar não só como switch, mas como também um roteador e
até como firewall. Esse tipo de switch é recomendado para redes que
necessitam de mais de uma sub-rede. Assim, ao invés de instalar rotea-
dores e conectá-los a vários switches da rede, basta instalar apenas um
switch multicamadas (BUNGART, 2017).
16
Assunto: Hub, Switch, Roteador e Gateway
Link do assunto: https://canaltech.com.br/produtos/afi-
nal-qual-a-diferenca-entre-roteador-hub-e-switch-66249/#:~:tex-
t=Hubs%20e%20switches%20conectam%20computadores,switch%20
e%20proteger%20sua%20LAN;https://www.infowester.com/hubswit-
chrouter.php e https://www.tutorialspoint.com/what-are-gateways-in-
-computer-network
Assunto: Firewall
Link do assunto: https://www.cisco.com/c/pt_br/products/se-
curity/firewalls/what-is-a-firewall.html#~tipos-de-firewall e no link: ht-
tps://canaltech.com.br/internet/o-que-e-firewall/
Vídeo sobre o assunto: Diferenças entre Switch, Roteador e

Acess Point.
Este vídeo oferece uma explicação bem clara e de forma ilus-

trativa sobre as diferenças entre os três dispositivos de comunicação
em rede: Switch, Roteador e Ponto de Acesso Wireless.
Disponível no link: https://www.youtube.com/watch?v=XyX-
dYFh_mvw
Topologia de Redes
Existem duas categorias para a topologia de redes, que são
(FERREIRA, 2012): a topologia física e a topologia lógica. A topologia
física refere-se ao layout físico, ou seja, como os cabos são conectados
e/ou os meios físicos utilizados, conforme ilustra a Figura 3.
A topologia de rede física são categorizadas em:
• Topologia em Barramento (bus) trata-se de uma topologia
em que todos os elementos compartilham um único meio de transmis-
são (cabo central), conforme ilustra a Figura 4. Nessa topologia as má-
quinas são colocadas em paralelo, semelhante a uma barra. A desvan-
tagem dessa topologia é caso ocorra algum problema de conexão no
barramento, também ocorrerá um problema de comunicação de todas
as máquinas. Outro ponto é que como não existe um ponto central,
como se visualiza na Figura 4, cada máquina trabalha ora como um
transmissor ou ora como receptor. Devido a esses percalços, atualmen-
17
te, essa topologia é pouco utilizada, apesar de ter um baixo custo de
instalação (BUNGART, 2017).
Figura 3 – Representação de uma Topologia Física

Fonte: Cisco2, Acesso em: 20/11/2020.
Figura 4–Topologia em Barramento
Fonte: Santos, 2017.

2 Disponível em: <http://deptal.estgp.pt:9090/cisco/ccna1/course/modu-
le4/4.4.1.2/4.4.1.2.html>.
18
• Topologia em Anel (ring) é semelhante à topologia em
barramento, entretanto, ela possui suas duas pontas conectadas como
se fosse um anel, conforme ilustra a Figura 5. Segundo Bungart (2017,
pg. 25) essa topologia “permite redundância e continuidade, fazendo
com que, caso algum problema aconteça em um elemento do anel, a
comunicação não seja interrompida”.
Figura 5 – Topologia em Anel

Fonte: Eder Carlos, 2020.
• Topologia em Estrela (star) diferentemente das duas topolo-

gias anteriores (Barramento e Anel) essa topologia possui um elemento
central (nó central), que é responsável por realizar a distribuição dos
dados para todas as máquinas, tornando-as independentes, conforme
se vê na Figura 6. Essa disposição das máquinas possibilita que caso
algum problema ocorra com algum dos computadores ou no cabeamen-
to, a comunicação das outras máquinas não será afetada. Entretanto,
caso ocorra um problema no elemento central, a comunicação de toda
a rede será afetada (BUNGART, 2017).
19
Figura 6 – Topologia Estrela

• Topologia Hierárquica ou Árvore trata-se de uma topologia

que se diferencia por diversas barras interconectadas a uma barra cen-
tral (BUNGART, 2017), conforme ilustra a Figura 7.
Figura 7– Topologia Hierárquica ou Árvore
20
• Topologia em Malha (Mesh) possui dispositivos conectados
a mais de um elemento, conforme ilustra a Figura 8. Por essa figura (Fi-
gura 8) é possível perceber que existem diversos caminhos alternativos.
Assim, a disponibilidade da rede aumenta, mesmo que algum problema
ocorra com a interconexão dos dispositivos. Entretanto, quanto mais
caminhos alternativos existirem maior será a disponibilidade da rede,
porém, maior será o seu custo de instalação e manutenção (BUNGART,
2017).
Figura 8 – Topologia em Malha

Fonte: Martins, Acesso em: 20/11/2020.
Vídeo sobre o assunto: Diferenças entre as Topologias de

Redes
Este vídeo oferece uma explicação sucinta e ilustrativa sobre
as características das topologias de rede: barramento, estrela, hierár-
quica e malha.
Disponível no link: https://www.youtube.com/watch?v=XcK_
kZxs65A
21
Segundo Cisco3 a topologia lógica “refere-se ao modo como
uma rede transfere os quadros de um nó para o próximo. Esse arranjo
consiste em conexões virtuais entre os nós de uma rede”, ou seja, ex-
põe o fluxo de dados por meio da rede, conforme se vê na Figura 9. De
acordo com Ferreira (2012) os tipos mais comuns de topologia lógica
são:
• Brodcast (traduzido como transmitir), que é responsável pela
transmissão em larga escala de qualquer tipo de mídia, seja por meio
de cabos, fibras ópticas, ondas de rádio, satélite, etc (PIMENTA, 2020).
Em suma, o nó envia seus dados a todos os demais espalhados na rede
Ethernet4.
Figura 9 - Representação de uma Topologia Lógica

Fonte: Cisco5, acesso em: 20/11/2020.
• E passagem de token (pode ser traduzido como bastão/

mensagem) que se trata de um método de acesso que tem a função
de controlar o envio de dados pela rede Token Ring6. Então, o token é
le4/4.4.1.2/4.4.1.2.html> (Acesso: 20/11/2020, s/ pg.)
4 Ethernet trata-se do método mais utilizado para implementar a conectividade de redes
locais (LANs) entre computadores e dispositivos.
le4/4.4.1.2/4.4.1.2.html>.
6 Token Ring trata-se de um protocolo de redes que utiliza uma topologia lógica de anel
e na topologia física utiliza um sistema de estrela. O Token Ring funciona na camada física e na
camada de enlace do modelo OSI dependendo da aplicação.
22
enviado dentro da rede Token Ring (conforme apresenta a Figura 10)
e cada dispositivo tem uma determinada quantidade de tempo para
receber e/ou responder. Geralmente, o token é mantindo durante um
período limitado, deste modo, assim que o dispositivo recebe o token;
ele poderá começar a transmissão da mensagem e após ela ter sido
enviada, o token poderá passar para o próximo dispositivo (UNIFEI7,
acesso: 20/11/2020).
Figura 10 - Representação de uma Topologia Lógica

Fonte: Nascimento Filho, acesso em: 20/11/2020.
CLASSIFICAÇÃO DA REDE
Uma rede de computador pode ser classificada de diversas

formas, de acordo com a sua topologia física e quanto a sua extensão
geográfica. Nessa seção serão apresentadas as redes: PAN, LAN, MAN
e WAN, classificadas em relação a seu alcance ou distribuição geográ-
fica, como ilustra a Figura 11.
7 Disponível em: <https://neoa.unifei.edu.br/biblioteca/LivroDigital/iee/extensao/auto-

macao/intredes/cap05/pag22/texto.htm#:~:text=Token%20Passing%20%2D%20Token%20Pas-
sing%20%C3%A9,transmiss%C3%A3o%20da%20informa%C3%A7%C3%A3o%20na%20rede.>
23
Figura 11 – Classificação da Rede em relação a sua abrangência ou distribui-
ção geográfica
Fonte: Ribeiro-Santos, 2016.
A seguir esses tipos de redes são conceituados e exemplificados:

• PAN (Personal Area Network) ou Rede Pessoal: Consiste

em um tipo de rede em que os nós (elemento da rede, como os com-
putadores) estão bem próximos um dos outros (aproximadamente 1m²)
com a rede sem fio de curta distância Bluetooth, que é utilizada para co-
nectar dispositivos sem o uso de fios (cabos), conforme ilustra a Figura
12. A tecnologia Bluetooth utiliza o paradigma Mestre/Escravo (Master/
Slave), em que o mestre dá ordens aos escravos, como por exemplo:
(i) quais endereços utilizar; e (ii) quando podem transmitir e por quan-
to tempo. Como exemplo desse paradigma pode-se citar o computa-
dor que, normalmente, é o mestre e os dispositivos de entrada e saída
(E/S): mouse e teclado que são os escravos (TANENBAUM; WETHE-
RALL, 2011).
24
Figura 12 – Exemplificação de uma Rede PAN
Fonte: Franciscatto; De Cristo; Perlin, 2014.
• LAN (Local Area Network) ou Rede Local: São redes que

possuem um alcance maior que as redes PANs, em torno de até 1 km.

Uma rede LAN trata-se de uma rede particular utilizada para conec-
tar computadores de uma residência, escritório e/ou fábrica, ou seja,
elas operam localmente para trocar informações e compartilhar recur-
sos, como impressoras (TANENBAUM; WETHERALL, 2011), conforme
exemplifica a Figura 13. De acordo com Lima (2012) algumas caracte-
rísticas da LAN são: alta velocidade, baixo custo, alta confiabilidade,
flexibilidade na instalação, expansibilidade, facilidade de acesso, ade-
quação à aplicação e padronização. Além disso, são de propriedade
privada e geograficamente limitada.
25
Figura 13 – Exemplificação de uma Rede LAN
• MAN (Metropolitan Area Network) ou Rede Metropolitana:

É um tipo de rede que possui um alcance maior, em torno de 10 km.
Portanto, uma MAN abrange um bairro, uma cidade ou até mesmo uma
região metropolitana, como o seu próprio nome sugere. As redes MAN
possibilitam que universidades e organizações com sedes em diversos

bairros de uma cidade ou de uma região metropolitana possam se co-
municar. A Figura 14 ilustra uma rede MAN, que é caracterizada por um
conjunto de redes LANs.
26
Figura 14 – Exemplificação de uma Rede MAN

• WAN (Wide Area Network) ou Rede a Longa Distância: É

o tipo de rede que abrange uma grande área geográfica, como um país
ou um continente. Segundo Ribeiro-Santos (2016, pg. 23) “são redes
com um custo elevado, pois utilizam circuitos para satélites e enlaces
de micro-ondas”. Conforme exemplifica a Figura 15, as redes WAN’s
possibilitam que a comunicação ocorra a longa distância através da in-
terligação de redes dentro de uma grande região geográfica (FRANCIS-
CATTO; DE CRISTO; PERLIN, 2014).
27
Figura 15 – Exemplificação de uma Rede WAN
Além da classificação em relação a sua abrangência, as redes

de computadores também podem ser classificadas em relação à trans-
missão de informações sem o uso de fios, que são as redes sem fio.
A seguir são apresentadas algumas delas (RIBEIRO-SANTOS, 2016):
• WLAN (Wireless Local Area Network) que é uma rede local
com conexão à internet ou outra rede com conexão através de ondas
de rádio. O padrão adotado para esse tipo de redes (LAN’s sem fios) é
o IEEE 802.11, popularmente conhecimento como Wi-Fi (Wireless Fi-
delity).
• WMAN (Wireless Metropolitan Area Network) trata-se de
uma rede metropolitana sem fio, usada em cidades e/ou região metro-
politana. Comumente, o padrão usado para esse tipo de redes 802.16,
WiMax (Worldwide Interoperability for Microwaves Access).
• WWAM (Wirelles Wide Area NetWork) são redes de longa
distância sem fio, que são comumente usadas para criação de redes de
telefonia celular.
28
Vídeo sobre o assunto: Tipos de Redes: LAN, WAN, PAN,
CAN, MAN, SAN, WLAN
Este vídeo oferece uma explanação clara e ilustrativa sobre as
diferenças das redes PAN, LAN, WAN, MAN e outras.
Disponível no link: https://www.youtube.com/watch?v=4_zSI-
Xb7tLQ
INTERCONEXÃO DE REDE
Até o momento nesse capítulo foram abordados diversos con-

ceitos relacionados a redes de computadores, assim como as principais
topologias e classificações das redes. Já essa seção tem como objetivo
esclarecer como as redes são conectadas para, assim, formar a inter-
conexão da rede visto que, segundo Comer (2015, pg. 83) “fisicamen-

te, duas redes não podem ser conectadas em conjunto diretamente”.
Portanto, somente podem ser conectadas por meio de roteadores de
internet ou roteadores IP. Esse tipo de hardware tem a função de inter-
ligar duas redes e enviar pacotes de dados de uma rede para a outra,
conforme exemplifica a Figura 16.
Figura 16 – Interconexão de duas redes físicas
Rede 1 R Rede 2
Fonte: Adaptação de Comer, 2015.
Por essa Figura 16 percebe-se que o roteador R conecta-se

às duas redes: Rede 1 e Rede 2. O roteador R tem o papel de capturar
os pacotes de dados da Rede 1, que são direcionados para a Rede 2
transferi-los e vice-versa. Entretanto, a Figura 16 ilustra uma ideia bem
simplificada da interconexão das redes. Em um exemplo mais realis-
29
ta deverá incluir múltiplas redes e roteadores, conforme exemplifica a
Figura 17. No exemplo dessa figura (Figura 17) cada roteador precisa
conhecer as outras redes que não se conectam diretamente a ele.
Figura 17– Interconexão de três redes físicas
Rede 1 Rede 2 R2 Rede 3

R1
A representação exibida pela Figura 17 mostra que o roteador

R1 deverá transferir da Rede 1 para a Rede 2 todos os pacotes de da-
dos destinados às máquinas da Rede 2 e para a Rede 3. Similarmente,
o roteador R2 deverá enviar os pacotes de dados da Rede 3, que estão
destinados às máquinas das redes: Rede 2 e Rede1. Portanto, o rotea-
dor atua também nos pacotes para as redes em que ele não está direta-
mente conectado. No entanto, quando tratar-se de uma rede composta
por muitas redes interconectadas, o papel do roteador, que é decidir

para onde enviar os pacotes de dados, torna-se mais difícil.
Além da interconexão de múltiplas redes com roteadores IP
vistas até o momento, o autor Comer (2015) menciona a interconexão
em nível de aplicação, que surgiu para atender à necessidade de sanar
as incompatibilidades de sistemas de e-mails comerciais, pelo fato de
cada provedor ter projetado o seu. Assim, cada provedor havia adotado
um formato para armazenar e-mail, padrão para identificar um destina-
tário e um método para transferir a mensagem de e-mails do remetente
ao destinatário. Dessa forma, para a realização de uma conexão entre
os sistemas de e-mails distintos utilizava-se um gateway8 de aplicação,
para camuflar as diferenças e fornecer o aspecto de uniformidade que
possibilitava a conexão entre esses sistemas de e-mail, conforme ilustra
a Figura 18.
8 Um gateway é um nó de rede que permite uma passagem entre duas redes que operam
com protocolos de transmissão diferentes.
30
Figura 18– Representação do Gateway de aplicação interligando dois
sistemas de e-mails heterogêneos
Gateway de
aplicação
Usuário Sistema de Sistema de Usuário

1 e-mail 1 e-mail 2 2
Pela Figura 18, percebe-se que quando o usuário do computa-

dor 1 envia uma mensagem para o usuário do computador 2, o e-mail

do usuário 1 é configurado para enviar a mensagem para o gateway de
aplicação, que por sua vez deverá traduzi-la para uma forma que é com-
preendida pelo sistema de e-mail do computador 2 e, posteriormente,
encaminhar a mensagem para o usuário do computador 2. Porém, se
qualquer um deles não conseguir fazer a tradução correta, a mensagem
não será entregue. Logo, os sistemas que usam gateways de aplicação
não podem assegurar uma comunicação confiável. Além disso, a abor-
dagem gateway de aplicação é complicada e limitada, possuindo algu-
mas desvantagens como: (i) apenas um determinado gateway de apli-
cação pode apenas lidar com uma aplicação específica. Por exemplo,
mesmo que ele esteja ativo, ele não poderá ser utilizado para transferir
arquivos, encaminhar mensagens de texto etc.; (ii) atualizar o gateway
de aplicação sempre que um ou outro fornecedor (provedor) atualizar o
seu software de e-mail.
31
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2019 Banca: IDECAN Órgão: IF-PB Prova: Técnico em Tecno-
logia da Informação Nível: Fácil.
A respeito dos diversos tipos de equipamentos de rede, assina-
le a alternativa que indica corretamente o nome do equipamento
de rede capaz de realizar uma conexão entre diferentes redes de
modo a permitir a troca de informações entre elas, mas que seja
capaz também de controlar o fluxo da informação, possibilitando,
por exemplo, a criação de rotas mais curtas e rápidas.
a) Modem
b) Repetidor
c) Bridges
d) Switch
e) Roteador
QUESTÃO 2
Ano: 2019 Banca: INAZ do Pará Órgão: CORE-SP Prova:Técnico
Nível: Médio.
Sobre equipamentos utilizados na interconexão em Redes de Com-

putadores, é correto afirmar:
a) O “switch” opera na camada de enlace do modelo de referência OSI.
Ao receber um quadro, analisa os endereços MAC de origem e destino
e, baseando-se em uma tabela construída de forma dinâmica, decide
para qual porta enviar o quadro Ethernet.
b) Caso uma rede Ethernet necessite de um melhor desempenho, seu
administrador deverá optar pela instalação de um “bridge”, pois esse
novo tipo de equipamento ativo de conexão de máquinas permite que o
processo de “bridging” seja mais eficiente.
c) Um “roteador” não envia seus dados a todos os computadores ligados a
ele, permitindo assim, um melhor desempenho da rede, evitando colisões
e inundações. Ele não replica os quadros recebidos para todas as portas,
apenas para aquela na qual o computador possua o endereço MAC.
d) A interligação entre redes LANs é uma das principais funções dos
“switchs”. Podem atuar nas camadas 1, 2 e 3 do modelo de referência
TCP/IP. Atuam na decisão sobre qual caminho o tráfego de informações
deve seguir, ou seja, por qual caminho deve seguir um pacote.
e) O “token ring” é um equipamento específico que atua como controla-
dor de protocolos, mas que pode ser substituído por um simples compu-
tador com mais de uma placa de rede. Essa prática é posta em prática
com o propósito de reduzir os custos de implementação da rede.
32
QUESTÃO 3
Ano: 2019 Banca: IDECAN Órgão: IF-PBPR Prova: Técnico em La-
boratório Nível: Médio.
Em se tratando de padrões de rede, o padrão FDDI (Fiber Distribu-
ted Data Interface) é bastante conhecido no mercado e faz uso de
cabos de fibra ótica. Dada sua elevada capacidade de transmis-
são, é bastante utilizada em redes do tipo MAN (Metropolitan Area
Network). Assinale a alternativa que indica corretamente o tipo de
topologia de rede ao qual este padrão está associado.
a) Star (Estrela)
b) Bus (Barramento)
c) Mesh (Malha)
d) Tree (Árvore)
e) Ring (Anel)
QUESTÃO 4
Ano: 2018 Banca: CESPE Órgão: SEFAZ-RS Prova: Técnico Tribu-
tário da Receita Estadual Nível: Médio.
Em redes locais, determinados equipamentos concentram o trá-
fego de dados entre os computadores. Alguns deles replicam os

dados para todos os computadores da rede; outros permitem o
tráfego de dados somente para o computador destinatário. Assina-
le a opção que apresenta equipamento utilizado para concentrar e
transmitir dados somente ao computador destinatário, sem repli-
cá-los a outros computadores conectados à mesma rede.
a) smartphone
b) hub
c) switch
d) conector RJ-45
e) impressora
QUESTÃO 5
Ano: 2020 Banca: COPESE – UFPI Órgão: ALEPI Prova: Tecnologia
da Informação Nível: Médio.
Sobre o conceito, uso e configuração de um firewall, marque a op-
ção INCORRETA.
a) Pode ser uma implementação de hardware ou de software.
b) Permite aplicar uma política de segurança a um determinado ponto
da rede a qual está controlando o fluxo de pacotes.
c) No firewall que implementa a filtragem estática, os dados são blo-
queados ou liberados meramente com base nas regras, não importando
a ligação que cada pacote tem com outro.
33
d) Uma de suas funções também é impedir as colisões de pacotes, me-
lhorando desempenho da rede.
e) Um gateway de aplicativo de proxy é um recurso do firewall que com-
bina o controle de acesso com a funcionalidade da camada superior
atuando como um intermediário entre dois hosts que desejam se co-
municar uns com os outros, nunca permitindo uma conexão direta entre
eles.
QUESTÃO 6
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha - ES Pro-
va: Técnico de Informática Nível: Fácil
Uma rede de informática é constituída por computadores conec-
tados entre eles graças às linhas de comunicação e elementos de
hardware. O termo topologia ou mais especificamente topologia da
rede, diz respeito ao layout físico da rede, ou seja, como os compu-
tadores, cabos e outros componentes estão ligados na rede. Qual
das alternativas abaixo NÃO representa um tipo de topologia física
de rede?
a) Ponto a ponto
b) Barramento
c) Iterativa
d) Anel
e) Malha
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
As redes de computadores podem ser classificadas de diversas formas,

de acordo com a sua topologia física e quanto a sua extensão geográ-
fica. Dessa forma, temos as redes locais (LAN), que cobrem distâncias
curtas, como um escritório, uma residência. Também temos as redes
de longa distâncias (WANs) que cobrem áreas geográficas bem mais
amplas que as LANs, como por exemplo, um país.
Sobre o enunciado acima, descrevas as principais vantagens e desvan-
tagens das redes LAN e WAN.
TREINO INÉDITO
Trata-se de um tipo rede particular que é utilizada para conectar compu-

tadores e operarem localmente para trocar informações e compartilhar
recursos.
a) PAN
b) LAN
34
c) WAN
d) MAN
e) CAN
NA MÍDIA
INTERNET BRASILEIRA COMPLETA 25 ANOS COM PRIVACIDA-

DE E 5G EM PAUTA
A Internet brasileira completou 25 anos em 2020, pois foi somente em
1995 que esse serviço de internet saiu fora dos laboratórios das univer-
sidades brasileiras que já possuíam esse recurso desde 1988. Nesse
ano de 2020 a pandemia da Covid-19 tornou a internet protagonista do
mundo, principalmente, para o comércio eletrônico que praticamente
segurou sozinho o peso de uma economia paralisada. Além desse em-
purrão na economia a internet contribuiu para a criação de ferramentas
para acelerar a transformação digital da economia como: bancos di-
gitais, carteiras virtuais e transferências instantâneas (por exemplo, o
Pix).
A perspectiva para o futuro da internet é promissora, pois em 2021 está
previsto que ocorra o leilão do 5G, que é uma internet móvel da quinta

geração. Esse tipo de internet móvel possui velocidade e latência muito
mais eficientes; garantindo assim uma grande revolução tecnologia.
De acordo com Felipe Garcia, responsável pelo marketing da Nokia no
Brasil, a empresa já usa a rede 5G no país e informou que a velocidade
de transferência de dados é de 4,1 gigabits por segundo.
Fonte: UOL
Data: 06 dez. 2020.
Leia a notícia na íntegra: https://www.uol.com.br/tilt/noticias/reda-
cao/2020/12/06/internet-brasileira-completa-25-anos-com-privacidade-
-e-5g-em-pauta.htm
NA PRÁTICA
A Piracanjuba foi criada em 1955 e hoje é uma das cinco maiores em-
presas de laticínios do Brasil, conta com cinco unidades fabris, no en-
tanto, como a meta é expandir conforme explica o coordenador de in-
fraestrutura de TI, Leonardo Barbosa, que para alcançar essa meta a
empresa precisa interligar a matriz às unidades fabris, os pontos de
resfriamento e o escritório central em Goiânia a uma rede com gestão
de alta performance, redundância, gestão e, principalmente, segurança.
Para atender a essas necessidades a empresa contratou a Vivo empre-
sas que desenvolveu um plano exclusivo. A Piracanjuba possui ao todo
35
19 plantas, ou seja, 19 locais distintos de trabalhos. Esses locais reque-
reram um olhar atento e individual da Vivo para cada uma dessas plan-
tas para que, assim, detectasse os possíveis problemas, o apontamento
de melhorias e otimização de todo o sistema. Após a análise, a Vivo
concluiu que a solução seria a criação de links dedicados de altíssima
velocidade, dessa forma tornando a comunicação mais ágil e segura.
Atualmente, a Piracanjuba possui todo o seu ambiente monitorado pelo
SOC da Vivo, dessa forma, qualquer tipo de invasão ou movimento sus-
peito é detectado na hora e, posteriormente, são sugeridas providências
que devem ser tomadas para evitar problemas maiores. Essas mudan-
ças implantadas pela Vivo tornaram a Piracanjuba mais produtiva, dei-
xando seus dados mais protegidos, tudo isso sem a necessidade de
investimento em infraestrutura, licenças para o uso de software, con-
tratação adicional de profissionais etc. Em suma, nenhum investimento
que pudesse comprometer a saúde financeira da Piracanjuba.
Fonte: VIVO MEU NEGÓCIO

Saiba de quais maneiras a gestão de redes contribuiu para garantir
uma comunicação mais segura e otimizada entre as filiais da Pira-
canjuba
Disponível em: <https://blog.vivomeunegocio.com.br/conteudos-gerais/

gerenciar/gestao-de-redes/>. Acesso em: 09/12/2020.
36
PROTOCOLOS & ARQUITETURAS

DA REDE DE COMPUTADORES
PRINCIPAIS PROTOCOLOS DE REDES
Segundo Tanenbaum e Wetherall (2011) “um protocolo é um

acordo entre as partes que se comunicam, estabelecendo como se dará
a comunicação”. Já para o autor Kurose (2013, pg. 7) “um protocolo de-
fine o formato e a ordem das mensagens trocadas entre duas ou mais
entidades comunicantes, bem como as ações realizadas na transmis-
são e/ou no recebimento de uma mensagem ou outro evento”.
A principal função dos protocolos de acordo com Bungart (2017,
pg. 13) é “criar uma maneira de dois dispositivos se comunicarem”.
Desta forma, equipamentos como computadores, tablets, smartphones,
dentre outros são capazes de trocar informações que permitem que os
usuários finais utilizem os serviços providos por eles.
A seguir serão apresentados os principais protocolos de redes,
37
suas características e aplicabilidade, sendo eles:
• IP (Internet Protocol, ou em português, Protocolo da Inter-
net): O protocolo IP é a base da Internet e tem a função de transferên-
cia de dados na forma de datagramas9 entre os nós. Entretanto, esse
protocolo não é confiável, pois ele não garante que o datagrama será
entregue ordenadamente ou duplicado e muito menos se a entrega do
datagrama ocorrerá ao destino correto (FRANCISCATTO; DE CRISTO;
PERLIN, 2014). Deste modo, é apontado como um exemplo de servi-
ço de rede não orientado a conexões (ou seja, sem confirmação). De
acordo com Tanenbaum e Wetherall (2011) cada datagrama transporta
um endereço IP de destino, que os roteadores usam para encaminhar
cada datagrama individualmente. Os endereços de IP possuem 32 bits
nos pacotes IPv4 e 128 bits nos datagramas IPv6. Os IPs possuem
um serviço para traduzir nomes em número e vice-versa, que é o DNS
(Domain Name System, ou em português, Sistema de Nomes de Do-
mínio). Como já mencionado, o DNS funciona como um tradutor de
endereços IP, ou seja, ele possibilita que ao invés de digitar na barra
de endereços do navegador (browser) o número do IP (diversos núme-
ros e pontos) do site, possa-se digitar o nome do site (nome de domí-
nio), por exemplo: www.google.com, que é bem mais fácil memorizar:
[2800:3f0:4004:807::2004]10.
• HTTP(Hypertext Transfer Protocol, ou em português, Pro-
tocolo de Transferência de Hipertexto): O funcionamento do HTTP é
baseado nos procedimentos de requisição e resposta, ou seja, o cliente
é o responsável por enviar as requisições de conteúdo. Já o servidor é
responsável por enviar as respostas, como por exemplo, arquivos HTML.
Atualmente, o protocolo HTTP trata-se do protocolo mais utilizado pela
comunicação na internet, pois ele codifica endereços escritos em uma
linguagem acessível ao computador (FRANCISCATTO; DE CRISTO;
PERLIN, 2014). Entretanto, o protocolo HTTP tem problemas de segu-
rança, pois quando ele é interceptado, pode ser facilmente analisado e
expor informações sigilosas, como nomes de usuários e senhas de uma
determinada aplicação. Por esse motivo, foi criado o protocolo HTTPS
(Hypertext Transfer Protocol Secure ou em português Protocolo de
Transferência Segura de Hipertexto) que tem como objetivo fornecer
mais segurança nas transações realizadas através da rede (BUNGART,
2017). De acordo com Bungart (2017, pg. 39) “o servidor insere uma
criptografia, ou seja, um código que somente o servidor e o cliente reco-
nhecerão, aumentando muito a segurança daquela comunicação”.
9 Datagrama é similar a um pacote, porém, não requer confirmação de que foi recebido.
10 Para obter o IP do site: www.google.com, basta digitar: ping www.google.com no Prompt
de Comando.
38
• SMTP(Simple Mail Transfer Protocol): Trata-se de um pro-
tocolo que tem a função de realizar a comunicação entre o servidor de
e-mails e o computador requisitante, ou seja, somente enviar e-mails (a
um ou mais destinatários) dessa forma, realizando a transmissão des-
sas mensagens. Já para o recebimento de mensagens de um servidor,
utiliza-se outro protocolo, o POP3 (Post Office Protocol 3) que é o res-
ponsável por receber as mensagens do servidor para o software cliente
de e-mail do usuário como o Outlook Express, Apple Mail, Kmail entre
outros (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
• FTP(File Transfer Protocol, em português, Protocolo de
Transferência de Arquivo): Trata-se de um protocolo desenvolvido
para a transferência de arquivos, que é semelhante a que os usuários
fazem entre as pastas (diretórios) no próprio computador. São exemplos
destes programas aplicativos: Filezilla, SamrtFTP, Cyberduck, entre ou-
tros (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
• DHCP(Dynamic Host Configuration Protocol): É um tipo
de protocolo que tem a função de distribuir e gerenciar os endereços
de IP em uma rede de computadores (FRANCISCATTO; DE CRISTO;
PERLIN, 2014).
• SNMP(Simple Network Management Protocol, ou em por-

tuguês, Protocolo Simples de Gerência de Rede): Esse protocolo tem
o papel de monitorar as informações referentes a um determinado dis-
positivo que compõe uma rede de computadores. Através desse pro-
tocolo é possível obter informações gerais sobre a rede, como: qual
o desempenho da rede, status do equipamento, placas, entre outros
(FRANCISCATTO; DE CRISTO; PERLIN, 2014).
• ICMP (Internet Control Message Protocol, ou em portu-
guês, Protocolo de Controle de Erros): Trata-se de um protocolo que
é responsável por identificar erros em uma rede de computadores. O
ICMP é utilizado por computadores, servidores, gateways e outros dis-
positivos da rede para enviar mensagens e realizar notificações entre
eles. Existem dois comandos bastante utilizados no contexto desse pro-
tocolo: (i) ping, que permite verificar se determinado computador está
acessível, se existe conexão com a internet etc.; e (ii) traceroute, que
possibilita realizar o rastreamento de um pacote na rede. Dessa forma,
é possível listar os servidores, roteadores e outros dispositivos que esse
pacote percorre até chegar ao seu destino (FRANCISCATTO; DE CRIS-
TO; PERLIN, 2014).
• SSH (Secure Socket Shell): É um protocolo de rede que
possibilita ao usuário acessar, gerenciar e modificar os servidores
através da internet, isto é, remotamente (ANDRÉ L., 2019). Como
exemplo de ferramentas de Cliente SSH, pode-se citar: PuTTy, Open
39
SSH, SmarTTY, XShell, entre outras.
• Ethernet: É um protocolo que se embasa no envio de paco-
tes, isto é, dispositivos de rede enviando mensagens entre si. Além dis-
so, esse protocolo é o mais utilizado na interconexão das redes locais.
O Ethernet foi padronizado pelo padrão IEEE 802.3 no ano de 1980.
Dentre as características deste protocolo estão: (i) definição de cabea-
mento e sinais elétricos para a camada física; e (ii) formato de pacotes
e protocolos. Cada um dos nós da rede tem um endereço mundialmen-
te único, gravado de fábrica que possui 48 bits. Esse endereço único
é denominado de endereço MAC (Media Access Control). O endere-
ço MAC possibilita detectar uma máquina na rede e ao mesmo tempo
garantir que os computadores possuam endereços diferentes entre si
(FRANCISCATTO; DE CRISTO; PERLIN, 2014).
• ARP (Address Resolution Protocol): Esse protocolo foi cria-
do em 1982 e o seu papel é transformar endereços de IP em endereços
MAC. Segundo Bungart (2017, pg. 72):
Quando dois computadores se comunicam em uma mesma rede lógica, a

codificação do seu endereço IP em um endereço físico de MAC é necessária
eentão a máquina que precisa descobrir um endereço MAC a partir de um
endereço IP envia um broadcast para a rede com a solicitação do endereço
MAC de quem possui aquele IP.
• TCP (Transmission Control Protocol, ou em português,

Protocolo de Controle de Transmissão): Trata-se de um protocolo
bastante utilizado para determinar como os dados serão compartilha-
dos entre as máquinas de origem e destino. Esse protocolo é orientado
à conexão, ou seja, antes de iniciar o envio de dados o protocolo TCP
estabelece uma conexão entre as máquinas (origem e destino). Dessa
forma, é possível garantir a confiabilidade, isto é, garantir que os paco-
tes de dados sejam entregues em ordem, que ocorra a verificação de
erros e, além disso, que a máquina de destino (a receptora) envie uma
mensagem de confirmação após a conclusão da transmissão. Caso os
pacotes de dados sejam perdidos durante a transmissão, o TCP realiza
a retransmissão. É por isso que o protocolo TCP é preferível para ser
utilizado em aplicações que a confiabilidade é mais importante que a
velocidade, como em e-mails, transferência de arquivos etc. Outra van-
tagem do protocolo TCP é que possui um mecanismo de controle de
fluxo, que é o responsável por determinar qual a quantidade de pacotes
de dados o receptor pode receber e processar (SANTANA, 2019).
• UDP (User Datagram Protocol, ou em português, Protocolo
de Datagrama do Usuário): Esse protocolo é não orientado à conexão.
Pois, envia os pacotes de dados sem estabelecer uma conexão entre
40
as máquinas de origem e destino; e transfere os dados a uma taxa bem
mais rápida que o protocolo TCP. Porém, ele é não confiável, pois não
garante que os pacotes de dados serão entregues na ordem, já que se
concentra mais na velocidade da entrega. O protocolo UDP é recomen-
dado para aplicações em que a velocidade é mais importante, como em
transmissões ao vivo, streaming de vídeos etc. Pois, nele os pacotes de
dados são enviados, continuamente, e não há retransmissão de paco-
tes perdidos e muito menos controle de fluxo (SANTANA, 2019).
Assunto: Cabeçalhos e diferenças entre os protocolos TCP e

UDP
Link do assunto: http://www.bosontreinamentos.com.br/re-
des-computadores/12-diferencas-entre-os-protocolos-tcp-e-udp/; http://
www.bosontreinamentos.com.br/redes-computadores/curso-de-redes-
-protocolo-tcp-transmission-control-protocol/ e também no link: http://

www.bosontreinamentos.com.br/redes-computadores/curso-de-redes-
-protocolo-udp-user-datagram-protocol/
PROJETO E ARQUITETURA DE REDE DE COMPUTADORES
Segundo o DNSstuff (2020, s/ pg, tradução nossa11) um projeto

de rede “refere-se a como a infraestrutura de rede é planejada e estru-
turada”. Normalmente, o projeto de uma rede fornece detalhes físicos
como a planta da rede; cabeamentos; quantidades, tipos e localização
dos dispositivos de rede; seleções de fornecedores, entre outros (MC-
CABE, 2007, pg. 7 e pg. 8, tradução nossa12). A Figura 19 apresenta o
layout de uma rede com disponibilização dos switchs, roteadores, fi-
rewall, servidores, clientes etc.
11 The phrase “network design” refers to how network infrastructure is planned and struc-
tured. The network design phase is normally executed by specialist network designers, IT admin-
istrators, engineers, or other IT professionals. It happens before the network infrastructure is fully
implemented.
12 The network architecture process determines sets of technology and topology choices;
the classes of equipment needed; and the relationships among network functions. Network design
provides physical detail to the architecture. It is the target of our work, the culmination of analysis
and architecture processes. Physical detail includes blueprints and drawings of the network; selec-
tions of vendors and service providers; and selections of equipment (including equipment types and
configurations).
41
Figura 19 – Layout de uma rede
Fonte: 101Computing13, 2019.
Um projeto de rede possui cinco objetivos fundamentais, que

são (CARVALHO, acesso em: 26/11/2020):
• Escalabilidade: A rede deve permitir a expansão, por exem-
plo, a inclusão de novos grupos de usuários e novas aplicações. Tudo
isso sem provocar grandes modificações no projeto geral.
• Disponibilidade ou Funcionalidade: A rede deve oferecer
desempenho consistente e confiável 24 horas por dia e 7 dias por sema-
na. Além do mais, a falha em um único equipamento ou link não deverá
afetar significativamente o desempenho da rede.
• Segurança: Assim como no desenvolvimento de softwares, a
segurança deve ser incluída durante o projeto da rede e não adicionado
após a conclusão da rede. Recursos de firewall e filtros são essenciais
para proteger os recursos da rede.
• Adaptabilidade: O projeto de rede deve ser feito de forma a
permitir a implantação/implementação de novas tecnologias.
• Gerenciabilidade: A rede deve ser projetada de modo que
seja fácil de gerenciar e monitorá-la. Pois uma rede muito complexa
pode não funcionar de forma eficaz e eficiente.
13 Disponível em: <https://www.101computing.net/design-your-own-network/>
42
Assunto: Projeto de Redes
Link do assunto: http://champak.co.in/articles_01.html ; http://
adaptableit.com.au/?page_id=269 e também no link: https://www.sig-
matelecom.com.br/projetos-de-redes-de-uma-empresa/
De acordo com Peterson e Davie (2013) elaborar um proje-

to de rede que acolha todos os requisitos elencados, anteriormente,
não é uma tarefa simples. Para driblar a complexidade, os profissionais
responsáveis por criar um projeto de redes desenvolveram esquemas
gerais que guiam o projeto e a implementação da rede. Nas próximas
seções serão apresentadas as duas arquiteturas mais utilizadas: arqui-
tetura OSI (Modelo OSI) e a arquitetura Internet (Modelo TCP/IP).
Arquitetura OSI

A arquitetura OSI (Open System Interconnection) que foi pro-
posta pela ISO (International Standards Organization) para determinar
formalmente uma forma comum de se conectar os computadores, por
exemplo, definir um modelo ou um padrão para auxiliar na construção
de uma arquitetura de rede. Comumente, essa arquitetura é denomina-
da de Modelo de Referência OSI ou, simplesmente, modelo OSI.
De acordo com Peterson e Davie (2013, pg. 20) a arquitetura
OSI “define um particionamento das funcionalidades da rede em sete
camadas (ou níveis), onde um ou mais protocolos implementam a fun-
cionalidade atribuída a cada camada”. Por outro lado, os autores Ta-
nenbaum e Wetherall (2011, pg. 26) argumentam que “o modelo OSI
propriamente dito não é uma arquitetura de rede, pois não especifica os
serviços e protocolos exatos que devem ser usados em cada camada”.
Somente descreve o que cada camada desse modelo deve fazer.
A Figura 20 apresenta as sete camadas do Modelo OSI em um
formato de pilha, as quais serão descritas a seguir iniciando da camada
mais baixa (Camada 1) para a camada mais alta (Camada 7):
1. Camada Física tem a função de tratar da transmissão de
bits de dados por um canal de comunicação, que normalmente, se dá
por sinais elétricos (no caso de rede cabeada) ou em sinais eletromag-
néticos (no caso de redes sem fio), que são utilizados para representar
os valores dos sinais físicos por meio dos bits: “1” e “0”.. A Figura 21
43
apresentada a seguir exemplifica e define esses três modos de comu-
nicação (simplex, half-duplex, full-duplex),. É importante ressaltar que
na camada física não existe qualquer controle de erros de transmissão
(TANENBAUM; WETHERALL, 2011), (FRANCISCATTO; DE CRISTO;
PERLIN, 2014).Camada de Enlace de Dados segundo Tanenbaum e
Wetherall (2011, pg. 26 e pg. 27) tem a principal função de “transformar
um canal de transmissão normal em uma linha que pareça livre de erros
de transmissão. Para fazer isso, a camada de enlace mascara os erros
reais”, de uma forma que a camada acima dela, a Camada de Rede,
não perceba esses erros.
Figura 20 – Representação das Camadas do Modelo OSI.

Fonte: Elaborado pela Autora, 2020.
44
Figura 21 – Diferenças entre os três modos de comunicação: Simplex, Half-
-duplex e Full-duplex.

2. Camada de Rede é a responsável pelo roteamento entre
os nós (elementos da rede, como os computadores), ou seja, determi-
nar a forma como os pacotes14 são roteados (encaminhados) de um
computador de origem até um computador de destino. De acordo com
Tanenbaum e Wetherall (2011, pg. 27) “as rotas podem se basear em
tabelas estáticas, ‘amarradas’ à rede e raramente alteradas, ou fre-
quentemente podem ser atualizadas de forma automática, para evitar
componentes defeituosos”. É nessa camada que os roteadores atuam.
Eles enviam dados para toda a rede estendida, o que torna a internet
possível. Além do mais, essa camada possui dois tipos de serviços: (i)
orientados à conexão, em que o transmissor e o receptor estabele-
cem uma conexão e todos os pacotes transmitidos após essa conexão
(circuito) são pertencentes a ela e, geralmente, seguem o mesmo cami-
nho; (ii) não orientado à conexão, em que os pacotes são enviados,
independentemente, se há ou não conexão, pois cada pacote possui
em seu cabeçalho a informação do endereço do transmissor (origem,
remetente do pacote) e do receptor (o destinatário). Os nós interme-
diários (os roteadores) têm a função de escolher o melhor caminho e
rotear os pacotes do transmissor até o receptor (FRANCISCATTO; DE
14 Consistem em unidades básicas de dados, fragmentos de dados das camadas superio-
res ou aplicações com os cabeçalhos necessários para a transmissão.
45
CRISTO; PERLIN, 2014).
3. Camada de Transporte tem como principal função aceitar
os dados da camada de sessão e fragmentá-los em unidades menores;
e caso seja necessário, essa camada poderá repassar essas unidades
à camada anterior (camada de rede) e assegurar que todos os frag-
mentos chegarão perfeitamente à outra ponta. Pois, quando o pacote é
fragmentado em unidades menores para realizar o envio da origem para
o destino, as chances de a comunicação ser bem sucedida aumentam.
Além disso, a fragmentação na camada de transporte também tem a
função de criar pacotes e adicionar a eles as informações que possibili-
tem o reagrupamento da mensagem na ordem correta em seu destino,
portanto, a mensagem é agrupada antes de ser enviada para a próxima
camada (camada de sessão) (RIBEIRO-SANTOS, 2016).
4. Camada de Sessão permite que usuários de diferentes
computadores estabeleçam sessões de comunicação entre eles. Uma
sessão de comunicação permite vários serviços, como: (i) o controle
de diálogo, que mantém o controle de quem deve transmitir e em qual
momento; (ii) gerenciamento de tokens, que impedem que duas partes
tentem executar a mesma operação crítica, simultaneamente; e (iii) sin-
cronização, que realiza a verificação periódica das transmissões muito
longas para, assim, possibilitar que elas retomem após ocorrer uma fa-
lha a partir do ponto que pararam (TANENBAUM; WETHERALL, 2011).
5. Camada de Apresentação tem como função converter as
informações que são recebidas da camada anterior (camada de aplica-
ção) para um formato que seja compreensível na transmissão desses
dados (FRANCISCATTO; DE CRISTO; PERLIN, 2014). Em suma, essa
camada tem o papel de realizar a tradução dos formatos, ou seja, dos
diferentes padrões, como o EBCDIC (Extended Binary Coded Decimal
Interchange Code) da IBM para o padrão ASCII (American Standard
Code for Information Interchange) de codificação que é um formato en-
tendível e sanável pela pilha de protocolos. Além da formatação dos
dados, compreensão e transformação essa camada também provê ser-
viços de criptografia (RIBEIRO-SANTOS, 2016).
6. Camada de Aplicação tem como papel intermediar a “con-
versa” das aplicações com a rede. Logo, ela atua como uma interface
para essas aplicações (RIBEIRO-SANTOS, 2016). Existem protocolos
específicos de comunicação, como HTTP para transferências de arqui-
vos, correio eletrônico e outros.
O funcionamento das camadas no modelo OSI é ilustrado na

Figura 22, na qual percebe-se que cada camada se comunica somente
com a camada vizinha que está imediatamente acima e/ou abaixo dela.
46
Figura 22 – Comunicação entre as Camadas do Modelo OSI

Fonte: Ribeiro-Santos, 2016.
Documentário sobre o assunto: Funcionamento das Cama-

das do Modelo OSI
Disponível no link: https://tozehgamer.wordpress.com/funcio-
namento-basico/
Arquitetura Internet
A arquitetura Internet é também denominada de arquitetura
TCP/IP. De acordo com Tanenbaum e Wetherall (2011, pg. 28), à medi-
da, que a internet e a sua utilização foram aumentando e, assim criadas
“as redes de rádio e satélite, os protocolos existentes começaram a ter
problemas de interligação com elas, o que forçou a criação de uma nova
arquitetura de referência” que é a arquitetura TCP/IP. Mais tarde essa
47
arquitetura ficou conhecida como modelo de referência TCP/IP, por cau-
sa desses dois principais protocolos: TCP e IP.
O modelo TCP/IP possui apenas quatro camadas, como ilustra
a Figura 23: (i) Enlace que é também denominada de Interface de Re-
des; (ii) Internet; (iii) Transporte e (iv) Aplicação. Já a Figura 24 ilustra
uma comparação entre o modelo de referência OSI que possui sete
camadas (detalhado na seção 2.1.1) com o modelo de referência TCP/
IP que possui apenas quatro camadas. Além do mais, por essa figura
(Figura 24) é possível perceber a correspondência das camadas ausen-
tes no modelo TCP/IP, como por exemplo, a camada Interface de Rede
que corresponde a duas camadas no modelo OSI: Física e Enlace de
Dados.
Documentário sobre o assunto: Funcionamento das Cama-

das do Modelo TCP/IP
Disponível no link: https://testarportasabertas.com.br/tcp-ip/;
https://tecnodicasdeti.com.br/blog/protocolo-tcp-ip-basico-do-
-numero-ip/
e também no link: https://www.clubedohardware.com.br/arti-
gos/redes/como-o-protocolo-tcp-ip-funciona-parte-1-r34823/
Figura 23 – Modelo de Referência TCP/IP
48
Figura 24 – Comparativo entre os Modelos de Referência OSI e o TCP/IP
Modelo OSI Modelo TCP/IP
Aplicação
Apresentação Aplicação
Sessão
Transporte Transporte
Rede Internet
Enlade de Dados
Interface de Redes
Física
Cada uma das camadas do modelo TCP/IP são descritas a

seguir:
1. Enlace ou Interface de Redes é a camada mais baixa desse
modelo, tendo como função ser uma interface entre os nós e os enlaces
de transmissão (TANENBAUM; WETHERALL, 2011). O principal proto-
colo dessa camada é o Ethernet. De acordo com Franciscatto; De Cristo;
Perlin (2014, pg. 45), assim como na camada Física do modelo OSI,
nessa camada também ocorre o tratamento da “informação em mais
baixo nível (bits que trafegam pela rede) entre as diferentes tecnologias
para este fim: cabo de par trançado, fibra óptica etc”.
2. Internet corresponde à camada rede do modelo OSI. Essa
camada permite que os computadores se comuniquem através do pro-
tocolo IP. Assim, cabe a essa camada entregar os pacotes IP no destino
e realizar o encaminhamento dos pacotes. O protocolo IP é o mais im-
portante da camada de Internet (RIBEIRO-SANTOS, 2016).
3. Transporte possui a mesma função da camada de transpor-
te do modelo OSI, que é garantir a comunicação entre os nós de origem
e destino do pacote (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
Essa camada possui dois principais protocolos: TCP e UDP.
4. Aplicação é a camada que inclui as mesmas funções das
camadas de sessão e apresentação do modelo OSI. A camada de Apli-
cação possui todos os protocolos de nível mais alto, que são: o protocolo
FTP (transferência de arquivos), o protocolo SMTP (correio eletrônico),
49
o protocolo HTTP (usando para buscar páginas na WWW), os proto-
colos de aplicação DNS, SSH e POP3, dentre outros (TANENBAUM;
WETHERALL, 2011), (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
O Quadro 1 apresenta os principais protocolos presentes em

cada camada dos modelos OSI e TCP/IP.
Quadro 1 – Protocolos dos Modelos de Referência OSI e o TCP/IP

Modelo TCP/IP Protocolos Modelo OSI
HTTP, FTP, POP3, SMTP, Aplicação
Aplicação SNMP, SSH, DHCP e ou- Apresentação
tros. Sessão
Transporte TCP, UDP e outros. Transporte
IP (IPv4/IPv6), ARP, ICMP,
Internet Rede
e outros.
Interface de Re- Enlace de Dados
Ethernet
des Física
Video sobre o assunto: Modelo OSI e TCP/IP

Este vídeo explica resumidamente o funcionamento do proces-
so de comunicação entre dois hosts.
Link do vídeo: https://www.youtube.com/watch?v=oz8gvGIUKFw
50
QUESTÃO 1
Ano: 2016 Banca: Quadrix Órgão: CFP Prova: Analista Técnico –
Suporte em TI Nível: Fácil.
Para transferir arquivos de um sistema de computadores para ou-
tro um Analista em Informática pode utilizar o protocolo da camada
de aplicação do conjunto de protocolos TCP/IP, conhecido como:
a) MIB.
b) TCP.
c) SMTP.
d) UDP.
e) FTP.
QUESTÃO 2
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha – ES Pro-
va: Analista de Infraestrutura Nível: Difícil.
Em relação à camada TCP, pode-se afirmar:
I - Como a camada IP não oferece garantia de que os datagramas
serão entregues da forma apropriada; cabe, portanto, ao TCP ad-

ministrar os timers e retransmiti-los sempre que for necessário.
II - Os datagramas podem chegar fora de ordem; é a camada TCP
que terá que reorganizá-los em mensagens na sequência correta.
III - O TCP admite os processos de multidifusão e difusão.
IV - Uma conexão TCP é um fluxo de mensagens e não um fluxo de
bytes.
Está (ão) correta(s):
a) somente I, II e IV
b) somente II e III.
c) somente III e IV.
d) somente I e II.
e) somente I, II e III.
QUESTÃO 3
va: Analista de Infraestrutura Nível: Difícil.
Em relação ao DNS (Domain Name System):
I - O DNS utiliza o protocolo UDP.
II - Um Host com um único nome DNS pode ter vários endereços IP.
III - O DNS é extremamente importante para o funcionamento da
Internet, a sua função é mapear nomes simbólicos de máquinas
em endereços IP, e também ajudar a localizar pessoas, recursos,
51
serviços ou objetos em geral.
Está(ão) correta(s):
a) somente I.
b) somente II.
c) somente III.
d) somente II e III.
e) somente I e II.
QUESTÃO 4
va: Analista de Suporte Nível: Difícil.
Com tantas LANs diferentes, em muitos casos se faz necessário
um modo para interconectar todas elas.
I - Os hubs são usados para esse fim.
II - A VLAN (Virtual LAN) é um método para interconexão de LANs.
III - Para facilitar o uso de VLANs, foi introduzido um novo formato
de quadros Ethernet.
Está(ão) correta(s):
a) somente I.
b) somente II.
c) somente III.
d) somente I e II.
e) somente II e III.
QUESTÃO 5
Ano: 2020 Banca: FAPEC Órgão: UFMS Prova: Técnico de Tecnolo-
gia da Informação Nível: Médio.
Considere os dispositivos para transferência de quadros e pacotes
entre computadores e assinale a alternativa que representa corre-
tamente a camada em que opera.
a) Roteador - Camada Física.
b) Switch - Camada de Aplicação.
c) Bridge - Camada de Enlace de Dados.
d) Switch - Camada de Transporte.
e) Gateway - Camada de Rede.
QUESTÃO 6
Ano: 2020 Banca: FAPEC Órgão: UFMS Prova: Técnico de Tecnolo-
gia da Informação Nível: Fácil.
Sobre a arquitetura TCP/IP, assinale a alternativa correta.
a) É um modelo de referência distribuído em 7 camadas.
b) A camada 7 do modelo TCP/IP é a camada de Aplicação.
52
c) Possui apenas 4 camadas.
d) No modelo TCP/IP, a camada de Sessão serve para endereçar os
pacotes.
e) A camada 1 do modelo TCP/IP é a camada de transporte.
As duas arquiteturas de rede mais utilizadas são: OSI (Open System

Interconnection) e a Internet. A arquitetura OSI foi proposta pela ISO (In-
ternational Standards Organization) para determinar formalmente uma
forma comum de se conectar os computadores, por exemplo, definir
um modelo ou um padrão para auxiliar na construção de uma arquite-
tura de rede. Comumente, essa arquitetura é denominada de Modelo
de Referência OSI ou, simplesmente, de modelo OSI. De acordo com
Peterson e Davie (2013) a arquitetura OSI “define um particionamento
das funcionalidades da rede em sete camadas (ou níveis), onde um ou
mais protocolos implementam a funcionalidade atribuída a cada cama-
da”. Já a arquitetura Internet que é também denominada de arquitetura
TCP/IP, ficou conhecida como modelo de referência TCP/IP, por causa
desses dois principais protocolos: TCP e IP. Dentre as semelhanças

entre esses modelos tem-se: ambos possuem arquitetura em camadas,
que fornecem funcionalidades semelhantes e ambos os modelos de re-
ferências consistem em pilhas de protocolos.
Sobre o enunciado acima, faça um quadro comparativo detalhando as
principais diferenças entre os Modelos OSI e TCP/IP.
TREINO INÉDITO
Sobre os modos de comunicação, aquela que ocorre em ambas as di-

reções simultaneamente é:
a) Full-duplex;
b) Half-duplex;
c) Simplex;
d) Serial;
e) Paralela.
NA MÍDIA
COMO TANTA GENTE EM CASA, A INTERNET NO BRASIL VAI

AGUENTAR O TRANCO?
A pandemia do Covid-19 fez com que empresas adotassem o home of-
fice e as aulas deixaram de ser presenciais para tentar evitar a dissemi-
53
nação do coronavírus. Logo, o consumo da internet nas casas tornou-se
uma preocupação dos provedores e agências reguladoras. Dessa for-
ma, a Anatel (Agência Nacional das Telecomunicações) adotou planos
de contingência para evitar que a internet sofresse o risco de entrar em
colapso. Pois, de acordo com o Gustavo Santana, superintendente de
obrigações e controle da Anatel, antes da pandemia o pico de acesso
costumava ser entre as 20 e 22 horas, mas agora se inicia pela manhã
e vai tarde adentro. Já Tadeu Viana, diretor de vendas da Corning (for-
necedora de fibra ótica para as operadoras) não acha que há o risco de
ocorrer colapso na internet, mas sim uma lentidão. Pois, de acordo ele,
antes o caminho que os dados percorriam era o de data center para o
escritório, que é mais controlado e com a capacidade de rede mais alta.
Mas, agora, durante o home office, como os dados passam do data
center para o escritório e, posteriormente, para a casa do colaborador
em home office, logo, a velocidade passa a depender da conexão que o
colaborador tem em casa.
Diante da dúvida se há ou não risco de a internet entrar em colapso, a
Anatel vai acompanhar os planos de contingências das operadoras de
internet, como a Claro, Oi, Vivo e Tim. Analisando diariamente os rela-
tórios diários de congestionamento das redes, interrupções de serviço e
se as ações adotadas na prática são efetivas para solucionar problemas

no caso da rede de internet atingir determinado grau de uso. Além disso,
ocorreu um acordo entre a Anatel e as operadoras para reforçarem a
velocidade de seus consumidores, abrirem redes de wi-fi e deixarem de
cobrar o acesso à internet para a utilização de ferramentas do Ministério
da Saúde.
Fonte: UOL
Data: 18mar. 2020.
Leia a notícia na íntegra: https://www.uol.com.br/tilt/noticias/reda-
cao/2020/03/18/com-tanta-gente-em-casa-a-internet-no-brasil-vai-a-
guentar-o-tranco.htm
NA PRÁTICA
De acordo com o relatório da empresa Radware, Stateof Web Applica-

tion Security, de 2018, normalmente, 23% das empresas americanas
tendem a demitir seus CISOs (Chief Information Security Officers - Dire-
tores de segurança da informação) logo após ataques a suas aplicações
(softwares). Como exemplo dessa situação tem-se o caso do Banco
Capital One, que anunciou em 2019 que um hacker havia obtido acesso
aos dados pessoais de mais de 100 milhões de clientes. O mais curioso
54
é que o banco soube do ataque somente meses após o ocorrido, por
uma denúncia feita por um pesquisador de segurança. O CISO (Chief
Information Security Officers) da empresa na época, Michael Johnson,
continua na empresa, porém, foi reconduzido ao cargo de consultor
para auxiliar a repostas do banco em relação à violação de dados.
Outro caso de ataques de segurança ocorreu na empresa Uber em
2017. A empresa revelou que 57 milhões de dados pessoais de seus
motoristas foram roubados. Os invasores acessaram o repositório de
dados que não possuía autenticação multifator (uma prática que con-
firma a autenticidade do usuário por meio de dois ou mais métodos
de verificação) ativa e usaram credenciais de login armazenadas para
acessar as instâncias do sistema da Amazon, AWS S3. O pior disso
tudo é que o CISO da empresa estaria envolvido nesse ataque por um
pagamento de 100 mil dólares.
Fonte: CIO. 7 falhas de cibersegurança que custaram os empre-

gos dos CISOs. Disponível em: https://cio.com.br/gestao/7-falhas-de-
-ciberseguranca-que-custaram-os-empregos-dos-cisos/>. Acesso em:
14/12/2020.
55
COMPUTAÇÃO
FORENSE
COMPUTAÇÃO FORENSE: INTRODUÇÃO E CONCEITOS
Segundo McKemmish (1999, s/pg., tradução nossa15) a aplica-

ção de tecnologias para a investigação de crimes cometidos por meio
de computadores deu origem a um novo campo de especialização, a
computação forense, que é o processo de identificação, preservação,
análise e apresentação de evidências digitais de uma maneira legitima-
mente admissível. Já o autor Ochieng (Acesso em: 01/12/2020, s/pg,
tradução nossa16) define a computação forense como uma:
15 the application of computer technology to the investigation of computer-based crime has

given rise to a new field of specialization - forensic computing - which is the process of identifying,
preserving, analyzing and presenting digital evidence in a manner that is legally acceptable. It en-
compasses four key elements.
16 “It is the discipline that combines the elements of law and computer science to collect
and analyze data from computer systems, networks, wireless communications and storage devices
in a way that is admissible as evidence in a court of law”.
56
disciplina que combina os elementos do direito e da ciência da computação
para coletar e analisar dados de sistemas de computador, redes, comuni-
cações sem fio e dispositivos de armazenamento de uma forma que seja
admissível como prova em um tribunal.
A computação forense consiste em uma combinação de dois

termos: (i) forense, que se refere às técnicas científicas e (ii) testes reali-
zados na tentativa de detectar uma ameaça cibernética no computador,
que é o meio usado para transmitir dados ou informações. Alguns estu-
diosos conceituaram o termo “forense” como o processo de aplicação
de técnicas e habilidades científicas durante a identificação, exame, co-
leta e denúncia de crimes cibernéticos ao tribunal (OCHIENG, acesso
em: 01/12/2020, s/pg., tradução nossa17).
A computação forense trata-se uma ciência essencial para a
aplicação da lei que vem evoluindo rapidamente. Entretanto, ela enfren-
ta alguns desafios como os relacionados ao avanço das tecnologias,
que obrigam cada vez mais os profissionais dessa área a buscar e de-
senvolver novas técnicas de análise investigativa. Por exemplo, nos úl-
timos anos foi possível vivenciar um grande avanço das tecnologias da
Internet e das redes de computadores. Entretanto, esse avanço acaba
dificultando que os profissionais (investigadores/peritos) forenses man-

tenham a sua capacidade de descobrir e reunir evidências, uma vez que
os métodos de ocultá-las aumentam a cada modernização do desenvol-
vimento tecnológico (LIN, 2018, pg. 6, tradução nossa18).
Como exemplo, de um desenvolvimento tecnológico, pode-se
citar a computação em nuvem. Ela foi responsável por prover aces-
so rápido e adequado aos recursos de rede e importantes recursos de
computação para organizações, universidades, governos, instituições
públicas etc. Os usuários da computação em nuvem têm acesso glo-
bal às aplicações compartilhadas de processamento, computação e
armazenamento de dados por uma parte do custo de hardware, que
17 Computer forensics is a combination of two terms: forensics, which refers to the scientific
techniques or tests carried out in an attempt to detect a cyber-threat and computer, which is the me-
dium used to convey data or information. In past studies, some scholars have defined forensics as
the process of applying scientific techniques and skills during identification, examination, collection,
and report of cyber-crime to the court.
18 Computer forensics, even with its brief history, is proving to be an imperative science
for law enforcement, and it is developing rapidly. Today however, computer forensics is still facing
many challenges that force us to seek and develop new investigative analysis techniques. In recent
years, the immense advancement of computer networking and Internet technologies has become
the main challenge for computer forensics professionals. The combination of rapid development,
global availability, and high influence on the population, leads these technologies to be abused
most by cybercriminals, and therefore they become the most vulnerable to cybercrime. Rapid de-
velopment makes it difficult for computer forensics specialists to maintain the ability to discover and
gather evidence, as the range of both evidence itself, and methods of hiding it, increases with each
technological development.
57
são expandidos ou diminuídos conforme a demanda do cliente (quem
contratou o serviço de computação em nuvem). Como mencionado, a
computação em nuvem oferece diversas vantagens para seus clientes.
No entanto, para a computação forense ela representa um desafio, vis-
to que existem limitações geográficas e pouca legislação sobre essa
tecnologia, devido ao rápido desenvolvimento e implantação dessa tec-
nologia (LIN, 2018, pg.7 e pg. 8, tradução nossa19), como por exemplo,
qual lei deve prevalecer: a do país do cliente ou a do país em que está
hospedado o servidor em nuvem?
Outro exemplo de um desenvolvimento tecnológico que repre-
senta um desafio para a computação forense é a tecnologia de arma-
zenamento em disco, pois ela está cada vez maior e a tendência é que
esse avanço persista. Esses dispositivos com grande capacidade de
armazenamento requererão cada vez mais algoritmos que sejam mais
eficientes para a análise e recuperação dos dados procurados pelos pe-
ritos forenses. Além do aumento das capacidades de armazenamentos,
também há a tecnologia SSDs (unidades de estado sólido) que tem se
tornado muito popular nos computadores. Mas, essa tecnologia dificulta
o trabalho da computação forense, pois os SSDs são projetados para
autodestruir arquivos por razões de eficiência; o que torna praticamente
impossível recuperar os arquivos que foram excluídos e, consequen-

temente, pode levar a perdas de provas (LIN, 2018, pg. 8, tradução
nossa20).
19 One rapid technological development in particular has a dramatic impact on the environ-
ment in which society and businesses exist—it changed the way these functions operate in a way
that had not been seen since the desktop computer was invented to begin with. This development
is cloud computing. Fast, convenient access to network resources, and powerful computing capa-
bilities, become a major
key to success for financial institutions, research centers, universities, governments, and public
institutions; today, even many average businesses are using cloud computing to expand and en-
hance their capabilities. Cloud computing provides users with global access to shared data pro-
cessing, computing, and storage applications, at a fraction of the cost of hardware and components
that would otherwise be required. Similar to the way tenants rent an apartment in a building owned
by someone else, clients essentially purchase the right to use hardware that is hosted by a third
party; the difference between cloud computing and the apartment analogy is that, when needed, a
client theoretically has access to all of the provider’s hardware—they do not purchase rights for a
specific hard disk or processing machine. Cloud computing can be very beneficial to its clients, but
it does pose a challenge to computer forensics, as there are logistical and legal boundaries when
dealing with any sort of remote storage. Due to rapid development and deployment, there is little
legislation surrounding the topic, just like many other topics mentioned so far (and many more that
have not been mentioned).
20 Just as significant are the developments in disk storage technology, the ever-growing
storage capacity also poses a challenge for computer forensics, particularly for existing data re-
covery algorithms, in terms of performance and efficiency. With the increase in computer storage,
we’ve seen disk storage go from 8 MB to more than 3 TB, and with the ever-increasing need for
storage, this trend is only going to continue. These large storage devices present the need for more
efficient algorithms to parse and recover the data we are looking for. Also, with SSDs (Solid State
Drives) becoming popular as the primary storage components in some consumer PCs, the land-
58
Dentre os desafios enfrentados pelos peritos forenses pode-se
citar:
• As técnicas de investigação forense envoluem, entretanto, as
dos criminosos também; em busca de dificultar ou impossibilitar a re-
cuperação de evidências digitais até mesmo evitar deixar evidências.
Esse processo é conhecido como antiforenses (vide seção 3.1.4) que é
auxiliado por diversas ferramentas disponíveis online (LIN, 2018, pg.8 e
pg. 9, tradução nossa21).
• O desenvolvimento de novas tecnologias supera as leis, que
são comparativamente muito mais lentas para sofrerem atualizações/
modificações. Pois, a tecnologia eletrônica passa rapidamente pelos
estágios de desenvolvimento para chegar ao consumidor mais rapida-
mente. Como as leis não conseguem acompanhar o mesmo ritmo de
atualizações das tecnologias, inicialmente, apenas estabelecerá que
uma atividade é ilegal, isto é, imoral. Logo, criam-se obstáculos desne-
cessários tanto na investigação digital, quanto na extração de evidên-
cias digitais, consequentemente, as autoridades não serão capazes de
combater a ameaça, por mais flagrante que ela seja. O autor LIN (2018)
cita o exemplo do cyberbullying, que é uma prática de agressão mo-
ral que ocorre através da Internet, tornando-se um problema cada vez

maior em nossa sociedade. No entanto, algumas vezes os agressores
não são punidos por esse crime devido à dificuldade de rastrear os ci-
bercriminosos (LIN, 2018, pg. 6 e pg.7, tradução nossa22).
scape of computer forensics has changed. Potential evidence could be lost as SSDs are designed
to self-destroy files for efficiency reasons. In these circumstances, it is almost impossible to extract
these destroyed files. Fortunately, there are many exceptions where these mechanisms are not
applied. For example, If SSDs are used in NAS (Network Attached Storage) devices, RAID devices,
and those connected externally via USB or FireWire, they do not use self-destroy mechanisms thus
SSD drives can be recovered in the same way as from a traditional drive. Additionally, these mecha-
nisms are not supported in old versions of Windows, Mac, and Linux operating systems. Therefore,
they are also exceptions. However, there are certainly more attention that must be paid to under-
stand how SSDs function and study the challenges of performing forensic examination of SSDs.
21 Like many wars, an arms race is taking place in the field of forensic investigations, as
with other areas of information security. As forensic investigation techniques evolve, criminals also
use more advanced techniques, and/or exploit vulnerabilities in existing investigation techniques to
make it hard or impossible to recover evidence left behind, or possibly even avoid leaving evidence
altogether. This process is known as anti-forensics and is assisted by the wide variety of tools avail-
able online.
22 Another challenge for computer forensics professionals is that the development of new
Internet and computer networking technology consistently outpaces the legal reform, which is com-
paratively much slower to reach to change. Where electronic technology of all kinds is rushed
through the development stages in an effort to get it to the consumer faster, even the most mundane
legal updates must be forced through wave of approval and revision before they can be enforced.
Until the law states that an activity is illegal, it is only immoral, and authorities will be unable to com-
bat the threat, regardless of how blatant it is. These legal restraints create unnecessary obstacles in
both digital investigation and digital evidence extraction. For example, cyberbullying, an online form
of the use of coercion to harm other people, has become an ever-increasing problem in our society,
and a recent study shows one in five children have been victims of cyberbullying on social media
59
De acordo com LIN (2018) existem dois tipos de análise foren-
se, que são: (i) a Análise Morta (Post-mortem Forensics), que se trata
daquela que depende fortemente do exame estático da mídia de arma-
zenamento de dados e (ii) a Análise Viva (Live Forensics), que tem
o principal foco investigar a memória volátil (RAM, caches e registros).
A análise morta tem alguns problemas que estão relacionadas ao uso
de tecnologias mais recentes, já que estas deixam pouco ou nenhum
traço no disco rígido da vítima. Tal fato ocorre, pois o crimino tenta tirar
proveito das informações na memória volátil do computador, portanto, a
utilização da análise morta (que adota técnicas tradicionais) não é mais
tão eficaz (LIN, 2018, pg.7, tradução nossa23).
Devido a esse problema surgiu a análise viva, que possibilita a
investigação da memória volátil. Entretanto, essa técnica possui alguns
desafios, como por exemplo, se os criminosos descobrirem que os pe-
ritos forenses estão observando o seu sistema e o desligarem; como a
maioria dos dados é volátil, eles serão perdidos para sempre. Por outro
lado, mesmo se o sistema ainda estiver ativo, o kernel e os programas
adotados pelos peritos forenses podem ter influências negativas nos re-
sultados da investigação. Portanto, os peritos devem ser extremamente
cuidadosos para minimizar seu impacto no sistema; não apenas para
garantir que a sua presença não seja descoberta, mas também para
preservar a integridade legal de qualquer evidência encontrada (LIN,
2018, pg.7, tradução nossa24).
De acordo com Lin (2018), atualmente, a técnica de análise
sites during the last year [5]. However, abusers barely get punished for bullying others online due to
lack of applicable laws and the difficulty of tracking down cybercriminals. This can also be extended
to non-standardized deployments of technologies, due to pending or changing ISO standards; such
technologies may not fall within the collective groupings that the laws govern, resulting in a legal
loophole that makes abuse of these technologies legal. Additionally, the resulting poor technical
documentation makes it difficult for forensic investigators to even accomplish the required tasks,
never mind gaining the approval to do so.
23 Although traditional computer forensics relies heavily on static examination of data stor-
age media (this is called“dead analysis,” because the system is in a shutdown state), new waves
of attacks, using the latest technology, will leave little or no trace on a victim’s hard drive. This is
because the attacker tries to take advantage of the information in the computer’s volatile memory
(RAM, caches, and registers). As a result, traditional techniques, such as offline hard disk acquisi-
tion, will not be effective.
24 To solve this problem, live analysis is used, in place of dead analysis. Although live anal-
ysis also involves looking through storage media, its main focus is to investigate volatile memory.
This method presents new challenges, as live analysis techniques are usually intrusive and can
actively affect the system being observed. If the attackers discover that their system is being ana-
lyzed, and shut the system down as a defense, most of the volatile data would be lost forever. On
the other hand, even if the system is still active, the kernel and programs employed by the forensic
investigators may have negative influences on the investigation results. Investigators performing
live analysis must be extremely careful to minimize their impact on the system; this is very import-
ant, not only to ensure that their presence is not discovered, but also to preserve the legal integrity
of any evidence found.
60
viva tem sido mais adotada, pois muitos dos ataques que ocorrem con-
tra os sistemas de computador não deixam rastros no disco rígido e sim
na memória volátil do computador, como por exemplo, os ataques de
worms e rootkits25 da Internet. Outro fator que contribui para a crescente
utilização dessa técnica é o armazenamento criptográfico, que normal-
mente a chave de descriptografia é encontrada apenas na memória do
computador (LIN, 2018, pg.7, tradução nossa26).
Documentário sobre o assunto: Computação Forense

Disponível no link: https://blog.ipog.edu.br/tecnologia/mer-
cado-em-ascensao-computacao-forense/; http://www.oas.org/juridico/
english/cyb_mex_forensic.pdf e também no link: https://www.theba-
lancecareers.com/computer-forensics-2071352
Vídeo sobre o assunto: O que é Computação Forense ou Fo-

rense Computacional?

Este vídeo apresenta uma síntese sobre o que é computação
forense e onde ela é empregada.
Disponível no link: https://www.youtube.com/watch?v=hF-
FL0XagYlQ
Perito Forense
Segundo Lin (2018) assim como em uma cena de crime real, a
prática da computação forense deve ser apoiada por profissionais foren-
ses, que por sua vez devem assegurar que os dados e os registros do
25 Rootkits são programas que buscam ocultar os rastros do invasor. Além disso, possui a
capacidade de anular uma solicitação feita por um processo, ocultar arquivos e outras provas que
poderia mostrar a presença de um invasor.
26 In recent years, there has been increasing emphasis on performing live analysis. One
reason, as described above, is that many current attacks against computer systems leave no trace
on the computer’s hard drive; the attacker only exploits information in the computer’s volatile mem-
ory. Examples of these attacks would include Internet worms and rootkits. Another reason is the
growing use of cryptographic storage: It is quite possible that the only copy of the storage’s de-
cryption keys is in the computer’s memory, and therefore, turning off the computer (to perform
dead analysis) will cause that information to be lost. For example, some operating systems employ
default or configurable encrypted file systems. An example of this would be windows 7/8 BitLocker
or Linux distributions that encrypt their users’ directories. These technologies bring challenging
cryptographic problems into the forensic process, many of which cannot be solved without knowl-
edge of the secret keys used.
61
sistema operacional e outros, sejam adquiridos e armazenados como
uma imagem no momento da apreensão forense. Além disso, esses
profissionais devem seguir diretrizes e princípios, a fim de garantir que
as evidências contribuam para um resultado legalmente justo e bem-su-
cedido (LIN, 2018, pg.12, tradução nossa27).
A digitalização da informação e facilidade de armazenamento,
recuperação e distribuição revolucionaram nossas vidas de muitas ma-
neiras e, consequentemente, levando a um constante declínio no uso
de impressão em papel. Por outro lado, à medida que computadores e
dispositivos digitais (laptops, smartphones etc.) tornam-se mais envolvi-
dos em crimes digitais, como roubo de identidade, fraudes financeiras,
ataques hacking, pornografia infantil etc., a computação forense tem
mais expectativa de solucionar crimes e de melhorar a segurança da
sociedade.
Logo, esse crescente aumento de dispositivos digitais também
exige uma crescente quantidade de peritos para buscar evidências de
dados, como e-mails, fotos, vídeos, mensagens de texto, arquivos de
log de transações, entre outros em dispositivos digitais. Esses dados
permitem a reconstrução de um crime e a identificação do autor do cri-
me. Com o exemplo citado pelo autor Lin (2018) sobre o julgamento
contra a corporativa Enron que só foi bem-sucedido graças às evidên-

cias digitais localizadas na organização, que foram mais de 200 mil
e-mails e documentos recuperados dos computadores da Enron (LIN,
2018, pg.12 e pg. 13, tradução nossa28).
27 As with a real-world crime scene, the practice of computer forensics has to be supported
by digital forensics practitioners. To preserve the scene, digital forensics professionals must ensure
that system logs, operating system data, etc. is acquired and stored as an image at the time of fo-
rensic acquisition. Digital forensics professionals must be in a position to assist any potential legal
process, ensuring that the evidence supports a successful and fair legal outcome. To combat the
difficulty in this goal that will come from the ever-changing nature of digital forensics, rapid standard-
ization in many fields, such as evidence gathering, will be required wherever possible. It currently
is (and always will be) very important that digital forensics practitioners follow these guidelines and
principles, because as explained before, only through the use of unmatched teamwork will the ap-
plication of digital forensics be successful - following standards aids teamwork by making it easier
for others to make use of work done by a specific person. Computer forensics has great prospects
on solving crimes and improving security of our society as computers and digital devices become
more involved in crimes.
28 Digital devices such as cellular phones, PDAs, laptops, desktops and many other data
storage devices pervade many aspects of life in today’s society; many contain much more informa-
tion than most people realize. The digitization of information and its resultant ease of storage, re-
trieval, and distribution, have revolutionized our lives in many ways, also leading to a steady decline
in the use of traditional print mediums. For example, the publishing industry struggled to reinvent
itself and was forced to move to online publishing as a result. Today financial institutions, hospi-
tals, government agencies, businesses, the news media, and even criminal organizations, could
not function without access to the huge volumes of digital information and digital devices that we
regularly take for granted. Unfortunately, because of this, the digital age has also given rise to dig-
ital crime where criminals use digital devices in the commission of unlawful activities like hacking,
62
Documentário sobre o assunto: Aptidões para Perito Forense
Disponível no link: https://cybersecurityguide.org/careers/
computer-forensics/;
https://computer.howstuffworks.com/computer-forensic.htm
e também no link: https://www.criminaljusticedegreeschools.com/ca-
reers/computer-forensics-investigator/
Diferenças entre Perícia Computacional e Computação Forense

A computação forense pode melhorar a segurança do sistema
através de simulações e/ou investigações de como os ataques são exe-
cutados. Geralmente, as grandes corporações contratam empresas de
consultoria em computação forense para testar a segurança de seus
sistemas de informação. Esses especialistas em computação forense
tentarão insistentemente superar as defesas de um sistema, o que é

denominado de “teste de penetração”. Basicamente, o papel desses
especialistas é identificar o porquê e como esses ataques/atividades
ilegais aconteceram (LIN, 2018, pg. 13, tradução nossa29).
Já o termo “perícia computacional” preocupa-se em extrair evi-
identity theft, finance fraud, embezzlement, child pornography, theft of trade secrets, etc. Increas-
ingly, digital devices like computers, cell phones, cameras, etc. are found at crime scenes during
a criminal investigation. Consequently, there is a growing need for investigators to search digital
devices for data evidence including emails, photos, video, text messages, transaction logfiles, etc.
that can assist in the reconstruction of a crime and identification of the perpetrator. One of the de-
cade’s most fascinating criminal trials was against corporate giant Enron. The trial was successful
largely due to digital evidence, in the form of over 200,000 emails and office documents recovered
from computers at their offices. Computer forensics is an increasingly vital part of law enforcement
investigations and is also useful in the private sector, for example, for disaster recovery plans for
commercial entities that rely heavily on digital data as well as lawsuit protection strategies through
digital evidence gathering against an employee that an organization wishes to terminate [16].
29 Computer forensics can improve system security by mimicking and/or investigating how
attacks are performed. It is extremely helpful for solving crimes and investigating incidents. Usually,
large corporations hire computer forensics consulting firms to test the security of their information
systems. The specialists from these firms actively attempt to surpass a system’s defenses, which
is called “penetration testing”. The computer forensics specialists play the roles of white hat hack-
ers. Notably, computer forensics services are more focused on why past attacks happened. They
attempt to detect those attacks (or other illegal activities) in the first place. Malware analysis and
searching for contraband files are good examples of computer forensics applications. So, what
exactly is computer forensics? Simply put, it is the application of traditional forensic science, in the
environments of digital media. Computer forensics is concerned with extracting digital evidence
from suspect systems, doing it in a way that preserves its legal worth, using that evidence to con-
struct and prove hypotheses about crimes, and ultimately, giving prosecutors the proof, they need
to bring criminals to justice.
63
dências digitais de sistemas suspeitos, fazendo isso de uma forma que
preserve seu valor legal, usando essas evidências para construir e pro-
var hipóteses sobre crimes e também para fornecer aos promotores as
provas de que precisam para levar os criminosos à justiça (LIN, 2018,
pg. 13 e pg. 14, tradução nossa30);
Evidências Físicas versus Evidências Digitais

As investigações não servem apenas para determinar quem
cometeu o crime, mas também dar a possibilidade de as autoridades
desenvolverem novos métodos e ideias para impedir os crimes. Assim,
como os suspeitos são tratados como inocentes até que se prove sua
culpa, todas as evidências descobertas são consideradas valiosas até
que seja determinado se as evidências são relevantes, isto é, têm al-
gum valor para a investigação forense. É por isso que é muito importan-
te proteger a cena do crime, pois a coleta de qualquer evidência pode
auxiliar na compreensão de como aconteceu o crime e, posteriormente,
levar à prisão desse(s) criminoso(os). Existem muitos tipos de evidên-
cias, sendo que no passado o mais comum era trabalhar com evidên-
cias físicas, como DNA, respingos de sangue, pegadas e impressões
digitais e até armas de fogo, no caso de um assassinato (LIN, 2018, pg.

15, tradução nossa31).
30 Computer forensics can improve system security by mimicking and/or investigating how
attacks are performed. It is extremely helpful for solving crimes and investigating incidents. Usually,
large corporations hire computer forensics consulting firms to test the security of their information
systems. The specialists from these firms actively attempt to surpass a system’s defenses, which
is called “penetration testing”. The computer forensics specialists play the roles of white hat hack-
ers. Notably, computer forensics services are more focused on why past attacks happened. They
attempt to detect those attacks (or other illegal activities) in the first place. Malware analysis and
searching for contraband files are good examples of computer forensics applications. So, what
exactly is computer forensics? Simply put, it is the application of traditional forensic science, in the
environments of digital media. Computer forensics is concerned with extracting digital evidence
from suspect systems, doing it in a way that preserves its legal worth, using that evidence to con-
struct and prove hypotheses about crimes, and ultimately, giving prosecutors the proof, they need to
bring criminals to justice. Computer forensics is important for many reasons since it allows for data
recovery, system recovery, crash analysis, volatile memory analysis, and many other valuable ser-
vices, while also providing frameworks to protect the legitimacy of digital evidence (which is critical
if it is to be used in court). Suppose a company’s database is missing information and the system
administrator is asked to resolve the issue. Upon investigating the system, he notices that a bug in a
recently applied patch has caused foreign key constraints to change (foreign key constraints govern
how the individual tables in a database are related to each other), automatically deleting some data
base tables. A variety of approaches could be taken to resolve the issue: If a backup was made
prior to the patching process then it could be reverted to that state, or the drive or memory could be
analyzed to see if the information is still physically presented and in a recoverable state.
31 Whenever a crime occurs, a forensic investigation will be launched. Besides investiga-
tions, anything described as “forensic” is involved in uncovering facts that are useful in an investi-
gation. Not only do investigations try to determine who committed the crime, but as new scenarios
arise, investigations into these scenarios give authorities an opportunity to develop new crime-stop-
ping methods and ideas. One major part of the investigation is to secure the crime scene; another is
64
Entretanto, com o aumento do uso de computadores, disposi-
tivos móveis, entre outros dispositivos digitais, também houve um cres-
cimento nos crimes praticados por meios dessas tecnologias. Dessa
forma, para combater os crimes, os peritos passaram a utilizar um novo
tipo de evidência forense, que é denominada de evidência digital (LIN,
2018, pg. 15, tradução nossa32).
As evidências digitais podem ser encontradas em todos os
equipamentos digitais, como discos rígidos, smartphones, CDs, tablets,
cartões de memória, pen drives, dentre outros (LIN, 2018, pg. 15 e pg.
16, tradução nossa33). Além disso, durante a coleta de evidência em
uma cena de crime digital deve-se ter muita atenção para, assim, asse-
gurar que tudo que é útil foi coletado. Por exemplo, atualmente, existem
dispositivos de armazenamento, como pen drives que não possuem a
aparência tradicional, ou seja, se parecem mais com brinquedos, con-
forme se observa na Figura 25 (LIN, 2018, pg. 16, tradução nossa34).

to collect any evidence that could explain what happened at the crime scene, and lead to the arrest
and conviction of the perpetrator(s). Forensic evidence is required to complete an investigation;
securing the crime scene is essential for gathering evidence, because some evidence is fragile,
volatile, or otherwise easily changeable, which can seriously hinder the investigation.
32 Just as suspects are treated innocent until proven guilty, all evidence discovered is con-
sidered to be valuable until it is determined whether the evidence has any forensic value or is rele-
vant. Forensic evidence only refers to evidence that has forensic value, but in practice, non-forensic
evidence is usually removed from the investigation, and the forensic evidence that remains is simply
called evidence. There are many types of evidence, and in the past, criminal investigations dealt
principally with physical, tangible evidence, such as DNA, blood spatter, footprints and finger prints,
damaged property, and of course, murder weapons. However, in recent years, there has been a
dramatic increase in computer crimes, where digital devices, including computers and mobile devic-
es, are used as tools for committing or becoming involved in crime. As a result, investigators have
resorted to a new special type of forensic evidence - digital evidence - to fight crime.
33 Any information that is stored or transmitted in a machine-readable form, and maintains
enough integrity and legitimacy to be used in a court of law, is referred to as digital evidence [18],
regardless of whether it’s a 1000-page document, 24 h of video, or a single bit that happens to be
important to a case somehow. Examples include child pornography, emails, text files, file metadata,
and other information in many other forms. Digital evidence can be found in every digital medium,
including hard drives, cell/smart phones, CDs, tablets, digital camera cards, GPS devices, and lots
more [19] (Fig.1.3).
34 Also, when collecting evidence at a digital crime scene, some precautions must be taken
in order to ensure that everything useful has been gathered. For example, currently the fashion
trend for electronic devices (e.g., USBflash drivers) is irregular appearances. Many electronics
are manufactured with appearances that are different from their traditional appearances, turning
into fashionable accessories. Examples of such USB drivers are shown in Fig.1.4. Therefore, an
investigator must carefully screen the crime scene, looking for these devices with non-traditional
appearance.
65
Figura 25 – Pen drives com aparência de brinquedos
Fonte: Amazon35. Acesso em: 01/12/2020.
É importante salientar, que a evidência digital deve obedecer

às mesmas restrições legais que a evidência física. Principalmente, as
leis dizem respeito a duas questões (LIN, 2018, pg. 18, tradução nos-
35 Disponível em: <https://www.amazon.com.br/Pendrive-Simpsons-Multilaser-Pendri-
ves-Amarelo/dp/B0754LD4JJ/ref=pd_sbs_147_3/130-8494775-5142915?_encoding=UTF8&pd_
rd_i=B0754LD4JJ&pd_rd_r=d1ee1d88-eee0-4f01-92b4-52c9028ab416&pd_rd_w=JlpZz&pd_rd_
wg=Ub6jF&pf_rd_p=dba274c4-9919-41b0-a2f8-76fb24466c03&pf_rd_r=GQ6T7N7R6C7T4GH-
Z20RY&psc=1&refRID=GQ6T7N7R6C7T4GHZ20RY> e também disponível em: <https://www.
amazon.com.br/Pendrive-Minions-Multilaser-Pendrives-Amarelo/dp/B0754KHVD6/ref=asc_df_
B0754KHVD6/?tag=googleshopp00-20&linkCode=df0&hvadid=379708106577&hvpos=&hvnetw=-
g&hvrand=3232428085521321215&hvpone=&hvptwo=&hvqmt=&hvdev=c&hvdvcmdl=&hvlocin-
t=&hvlocphy=1001566&hvtargid=pla-912190727003&psc=1>.
66
sa36): (i) Integridade: a evidência digital satisfaz a integridade se a evi-
dência não foi modificada durante os processos de aquisição e análise;
(ii) Autenticidade: que é a capacidade de confirmar a integridade das
evidências e também se referir à exatidão das informações e à confia-
bilidade da fonte.
Assim, para estabelecer a autenticidade das provas é impor-
tante documentar a cadeia de custódia37. Isso é particularmente crucial
e desafiador para as evidências digitais, pois requer uma integridade
muito maior e mais específica, em comparação com as evidências tra-
dicionais (LIN, 2018, pg. 18, tradução nossa38) tudo isso para evitar que
uma desconfiança das evidências digitais anule toda a investigação.
Portanto, a cadeia de custódia deve ser mantida durante todos os es-
tágios da investigação a fim de preservar a integridade da evidência
digital (LIN, 2018, pg. 18, tradução nossa39).
Técnicas Antiforenses
Se por um lado existe a ciência forense, que utiliza o conheci-
mento científico para ajudar a solucionar os cibercrimes, por outro lado
existe a ciência antiforense que consiste em um conjunto de técnicas

para impedir a análise forense, ou seja, a utilização de técnicas antifo-
renses para destruir ou ocultar evidências digitais (Hassan, 2019, pg.
36 Digital evidence must obey the same legal constraints as physical evidence when used
in a court of law without more stringent guidelines [23, 24]. In the United States, the admissibility of
digital evidence is determined by the Federal Rules of Evidence. In the United Kingdom, Police and
Criminal Evidence (PACE) and Civil Evidence acts play the roles. Many other countries have their
own laws. Usually, digital evidence laws primarily concern two issues: Integrity and authenticity.
Digital evidence satisfies integrity if the evidence (neither the original, nor the copy) is not modified
during the processes of acquiring and analyzing. The ability to confirm the integrity of the evidence
is authenticity [25].
37 Cadeia de custódia trata-se da documentação cronológica (histórico) que descreve a
sequência de custódia, análise e disposição de evidências físicas ou digitais, dentre outros.
38 Notably, authenticity can also refer to the accuracy of the information and the trustworthi-
ness of the source, but “authenticity” is not used in this context in this chapter. In order to establish
the authenticity of evidence, it is important to document the chain of custody from the crime scene
to the court (a form of audit trail) through analysis [23]. This is particularly crucial and challenging for
digital evidence since it is also unique in that it has much greater and more specific integrity needs,
compared with traditional evidence. It is much harder to destroy or tamper with a bloody knife than
it is to modify metadata on a critical file.
39 Due to the fact digital evidence can theoretically be altered, attorneys have argued that
digital evidence is inherently less reliable than other forms of evidence. Therefore, chain of custody
must be maintained to preserve the integrity of digital evidence as it passes through the stages of
investigation. For example, cryptographic hash functions are widely used to ensure digital evidence
integrity. It is crucial to preserve digital crime scene during a digital investigation.
40 As we mentioned before, digital forensics, also known as cyber or computer forensics,
is a branch of forensic science that uses scientific knowledge, methodology, and rigor to aid the
solving of crimes and incidents by collecting, analyzing, and presenting digital evidence to use in
67
De acordo com Hassan (2019, pg. 291, tradução nossa41) o
melhor conceito para técnicas antiforenses é: “As tentativas de afetar
negativamente a existência, quantidade e/ou qualidade de evidências
da cena do crime, ou dificultar a análise e o exame das evidências”,
isto é, tornar a investigação impossível de ser conduzida. A seguir se-
rão apresentadas algumas das principais técnicas antiforenses, que são
técnicas de destruição de dados (antirrecuperação), técnicas de oculta-
ção de dados (esteganografia) e técnicas de criptografia.
As técnicas de destruição de dados são utilizadas pelos crimi-
nosos para tornar seus dados impossíveis de recuperar, mesmo após
o uso de ferramentas especializadas em recuperação de dados. De
acordo com Hassan (2019) existem três maneiras de destruir os dados
armazenados em dispositivos digitais (Hassan, 2019, pg. 299, tradução
nossa42), que são:
• Destruição física em que os meios de armazenamento di-
gital (como HD, cartões de memória) são fisicamente destruídos para
evitar a recuperação.
• Técnica de desmagnetização que consiste numa técnica
que expõe os dispositivos de armazenamento magnéticos (como HDs
ou fitas magnéticas) a um desmagnetizador para excluir os dados ar-
remedial action or a court of law. The primary goal of digital forensics is to perform a structured
investigation of digital evidence and prepare this evidence for presentation in a court of law. Digital
forensic investigators use different forensic tools to collect, preserve, and interpret digital evidence.
Based on their findings, they will draw conclusions and present these conclusions to those who will
act on them. Antiforensics science, on the other hand, is the set of techniques used to fight against
forensics analysis. It tries to stop and mislead investigations by making acquiring and analyzing
digital evidence difficult or even impossible. Antiforensics techniques aim to destroy or conceal
digital evidence, thus frustrating forensic investigators and increasing the time needed to perform
the initial analysis.
41 The best definition of antiforensics techniques comes from Dr. Marc Rogers of Purdue
University, who defined them as follows: Attempts to negatively affect the existence, amount and/or
quality of evidence from a crime scene, or make the analysis and examination of evidence difficult
or impossible to conduct.
42 Data Destruction and Antirecovery Techniques. Offenders use data destruction tech-
niques to make their incriminating data impossible to recover even after using specialized tools
for data recovery. There are three ways in which a user can destroy his/her data stored on digital
devices: •Physical destruction: In this type, digital storage media (like hard drives, memory sticks,
magnetic tapes, CDs, DVDs and Blu-ray discs, credit cards) are destroyed physically to avoid re-
covery. The equipment used in this case is called “hard drive shredders” or “destroyers.” •Degauss-
ing technique: This technique works by exposing the magnetic storage devices such as HDD or
the magnetic tape to the powerful magnetic field of a degausser to eliminate magnetically stored
data. This method is valid only to destroy data stored on magnetic devices and cannot destroy data
stored on SSD and USB thumb drives. •Logical destruction (sanitizing): This is the most commonly
used technique to destroy data. It uses a wiping tool to destroy data without affecting the hardware
that holds this data. Please note that although this technique offers a high level of secure erasure,
it still cannot guarantee 100% removal of data from some type of storage media (especially the
magnetic storage media like HDD and tapes), as some hardware-based techniques can recover
data even after it is wiped with disk sanitization tools.
68
mazenados magneticamente. É importante ressaltar que esse método
não funciona em dispositivos SSD e nem USB, apenas em dispositivos
magnéticos.
• Destruição lógica é a técnica mais comumente utilizada para
destruir dados por meio de ferramentas de limpeza e que não afetam o
hardware que contém esses dados. Entretanto, essas ferramentas não
podem garantir 100% de remoção dos dados, pois algumas técnicas de
baseadas em hardware que podem recuperar dados mesmo depois de
ter ser limpo, ou seja ter tido seus dados deletados por esse tipo ferra-
mentas.
A técnica de esteganografia é a prática de ocultar uma men-

sagem secreta dentro de um arquivo honesto comum, ou seja, um ar-
quivo que parece ser corriqueiro ao ser visualizado por observadores
externos. Entretanto, nesse arquivo, normalmente, as imagens contêm
informações que foram escondidas (ocultadas) dentro delas. Na prática,
qualquer tipo de arquivo digital (sejam imagens, vídeos, áudio ou mes-
mo um sistema de arquivos como o Windows NTFS) pode ser usado
para ocultar uma mensagem secreta. Além disso, a grande vantagem é
que a maioria das técnicas esteganográficas digitais não altera a apa-

rência do arquivo que é utilizado como portador da mensagem secreta,
logo, não pode ser identificada por um observador externo (Hassan,
2019, pg. 293, tradução nossa43).
A ferramenta Steghide44 permite enviar uma mensagem secre-
ta por meio de imagem. Os passos e comandos necessários para ado-
tar a técnica de esteganografia são:
• Passo 1: Realize o download da ferramenta no site oficial
dela: http://steghide.sourceforge.net/download.php. Em seguida des-
compacte o arquivo zip no diretório que desejar, no meu caso foi: C:\
Users\padil\Downloads\steghide-0.5.1-win32.
• Passo 2: Como essa ferramenta (Steghide) é de linha de
comandos, inicie o prompt de comando e navegue até a pasta na qual
encontra-se o arquivo descompactado, ou seja, para onde você extraiu
43 Steganography is the science of concealing a secret message within an ordinary honest
file, thus maintaining its secrecy during delivery. Steganographic techniques have been used since
ancient times; they have been used to convey secret messages during battles and to deliver se-
cret espionage information from spies. Old steganographic techniques were mainly dependent on
physical objects (e.g., paper, eggs, invisible ink, and even human skin) as the medium to conceal
the secret message, However, with the advance of computing technology and Internet communica-
tions, modern techniques become largely based on exploiting digital files (whether images, videos,
audio, or even a file system like Windows NTFS) and IPs to convey secret messages between
communicating parties. In practice, any digital file type can be used to conceal a secret message
within it; most digital steganographic techniques will not alter the appearance of the overt file - used
as a carrier - so that it cannot be dedicated by an outside observer (see Figure 9-1).
44 Disponível em: <http://steghide.sourceforge.net/download.php>
69
a ferramenta. Em seguida digite o comando: steghideembed -cf ..\li-
vro.jpg -ef ..\segredo.txt para adicionar a imagem coruja à mensagem
secreta que está no arquivo secret.txt, conforme ilustra a Figura 26.
Figura 26 - Comando para inserir a mensagem oculta à imagem
Fonte: Elaborado pela autora, 2020.
• Passo 3: Após executar a linha de comando do Passo 2 a

mensagem que está no arquivo segredo.txt será incorporada à imagem
livro.jpg. Observe que é solicitada uma frase-senha (passphase), po-
rém, após a inserção de uma frase-senha (a sua escolha) será exibida
a mensagem que a incorporação (inserção) da mensagem à imagem foi

feita. É importante, observar que após a inserção da mensagem a apa-
rência da imagem continua a mesma quando comparada na Figura 27.
Esta figura está dividida em duas partes: superior e inferior, na parte su-
perior é apresentada a figura original, denominada livro_original.jpg. Já
na parte inferior está a figura livro.jpg que contém a mensagem oculta.
70
Figura 27- Comparação entre as duas Imagens: livro_original.jpg (sem men-
sagem oculta) e livro.jpg (com um texto oculto)
Fonte: Pixabay45, acesso em: 06/12/2020.
45 Disponível em: <https://pixabay.com/pt/photos/apple-livros-natureza-morta-fru-

tas-256261/>
71
• Passo 4: Para extrair a informação escondida na imagem
livro.jpg, basta digitar esse comando no prompt: steghideextract -sf ..\
livro.jpg, conforme ilustra a Figura 28. Após esse passo conseguirá vi-
sualizar o texto que foi incorporado à imagem livro.jpg, conforme ilustra
a Figura 29.
Figura 28 - Comando para extrair a mensagem oculta à imagem
Figura 29 - Exibição da mensagem oculta

Além da técnica de esteganografia para esconder dados em

um determinado arquivo, também existe a técnica de criptografia que
é prática de ocultar informações através do obscurecimento, ou seja,
tornando-as ilegíveis aos observadores externos. Portanto, a criptografia
é utilizada para um trabalho semelhante a esteganografia ao embara-
lhar os dados (Hassan, 2019, pg. 303 e pg. 304, tradução nossa46).
Assim, uma chave/senha, que é uma sequência de bits, é utili-
zada por um algoritmo para modificar as informações de um texto sim-
46 While the aim of steganography is to hide secret data, making it hard to notice, encryption
techniques perform a similar job through scrambling the data. Encryption is the practice of conceal-
ing information by obscuration, thus making it unreadable for unintended recipients. Encryption
plays a key role in today’s IT systems: both public and private organizations need to encrypt their
data at rest and in transit. The wide spread of encryption tools—some with very powerful capabil-
ities—in addition to the ease of using them will certainly lead to making a forensic investigation of
encrypted devices difficult, time consuming, and even impossible without the suspect’s cooperation.
In many cases, authorities have paid large expenses to decrypt high value incrementing data when
the key/password is not available. Antiforensics techniques aim to destroy or conceal digital evi-
dence, thus frustrating forensic investigators and increasing the time needed to perform the initial
analysis.
72
ples (texto legível) para um texto cifrado (texto ilegível) e vice-versa.
Dessa forma, as informações ficarão embaralhadas e estarão visíveis
apenas para as pessoas que possuem a chave correspondente para
descriptografar – visualizar/recuperar as informações desejadas. De
acordo com Hassan (2019) existem dois tipos principais de sistemas
criptográficos (Hassan, 2019, pg. 303 e pg. 304, tradução nossa47).
• Criptografia simétrica: Também conhecida como criptogra-
fia de chave secreta (SKC - Secret Key Cryptography), neste tipo, tanto
o emissor (remetente), quanto o receptor (destinatário) usam a mesma
chave para criptografar e descriptografar os dados, ou seja, uma chave
compartilhada, conforme ilustra a Figura 30. Logo, se a chave chegar
até mãos erradas comprometerá todo o software.
• Criptografia assimétrica: também conhecida como cripto-
grafia de chave pública (PKC - Public Key Cryptography), nesse tipo
são utilizadas duas chaves distintas: uma para criptografia e outra para
descriptografia. Uma delas deve ser mantida como secreta, mas a outra
pode ser pública, conforme ilustra a Figura 30.

Documentário sobre o assunto: Criptografia
Disponível no link: https://www.ibm.com/support/knowledge-
center/pt-br/SSFKSJ_8.0.0/com.ibm.mq.sec.doc/q009800.htm e tam-
bém no link: https://www.voitto.com.br/blog/artigo/o-que-e-hash-e-co-
mo-funciona
47 In cryptography, a key is a string of bits used by an algorithm to alter information from

the plain text into ciphertext and vice versa. This is aimed at scrambling this information scrambled,
with it being visible only to people who have the corresponding key to recover the desired informa-
tion. There are two main types of cryptographic systems: Symmetrical encryption: Also known as
secret key cryptography (SKC), in this type, both the sender and the receiver use the same key to
encrypt and decrypt the data. Having the key fall into the wrong hands will compromise the entire
system. Asymmetrical encryption: Also known as public key cryptography (PKC), this cryptographic
type uses two different keys for encryption and decryption. The two keys are mathematically linked.
However, no one can derive the decryption key (private key) from the encryption key (public key).
73
Figura 30 – Criptografia Simétrica versus Criptografia Assimétrica
Fonte: IBM48, acesso em: 07/12/2020.
PROCEDIMENTOS DE INVESTIGAÇÃO
As investigações forenses passam por várias etapas, pois há

a meta de formar e testar hipóteses sobre o crime De acordo com LIN
(2018, pg. 19, tradução nossa49) existem muitos modelos metodoló-
gicos, ou seja, procedimentos que foram desenvolvidos no campo da
forense digital dentre eles pode-se citar:
• O modelo elaborado por Kruse and Heiser, que é denominado
48 Disponível em: <https://www.ibm.com/support/knowledgecenter/pt-br/SSFKSJ_8.0.0/
com.ibm.mq.sec.doc/q009800_.htm>
49 Computer forensics investigations go through several stages, in order to form and test
the hypotheses about the crime. Suppose someone is suspected of accessing child pornography
on the Internet. To support this claim, a USB drive containing images was found at his home. While
it is crucial to physically secure the USB drive, the data on the USB drive must also be protected by
using disk imaging, which essentially creates a virtual copy of the entire disk and stores it on the in-
vestigator’s computer (note that this copy is also called a forensic image or simply image, and is not
to be confused with a digital picture, like a .bmp or .jpg). Then, the acquired USB drive image can
be brought into a forensic lab for further analysis. It may be that none of the offending images can
be found in the disk areas that are normally accessible, but digital forensic investigators are able to
examine the disk image and would eventually recover any deleted or hidden files. Finally, any child
porn found in the USB drive image can be presented as evidence in the trial of the suspect.
74
de Três A’s, por causa de cada uma das fases ter o seu nome iniciado
com a letra A na escrita em inglês e também no português, sendo elas:
Adquirir (Acquire), Autenticar (Authentication) e Analisar (Analyze).
• O modelo proposto pela Universidade de Yale, que foi de-
senvolvido por Casey, que era o supervisor de segurança dos sistemas
de TI dessa universidade. Esse modelo possui seis estágios, que são:
(i) consideração preliminar; (ii) planejamento; (iii) reconhecimento; (iv)
preservação, coleta e documentação; (vi) classificação, comparação e
individualização; e (vi) reconstrução.
• O modelo elaborado por Rodney McKemmishem 1999, sendo
a complementação de uma pesquisa internacional sobre computação
forense iniciado por Donald Mackay Churchill de 1998 (MOHAY, 2003,
pg. 381, tradução nossa50). Esse modelo é composto por apenas quatros
fases, que são: coleta, extração, análise e apresentação (documenta-
ção). Dentre esses modelos apresentados por Lin (2018) será descrito
em mais detalhes o modelo proposto por McKemmish, que é citado por
diversos autores na literatura forense, dentre eles o autor Kent e seus
amigos (KENT et al., 2006).
Dentre esses três modelos metodológicos será mais detalhado

o modelo proposto de Rodney McKemmish, que comumente é o mais
citado na literatura e o mais utilizado na prática. O processo forense do
modelo McKemmish é composto por quatro fases (Kent et al., 2006, pg.
31 e pg. 32, tradução nossa51), que são descritas a seguir e ilustradas
na Figura 31. Ainda sobre essa figura é possível observar que o pro-
cesso forense transforma as mídias em evidências, que são utilizadas
para o cumprimento da lei e/ou para uso interno de alguma organização
(Kent et al, 2006, pg. 31 e pg. 32, tradução nossa52):
50 In 1998, he completed an international research project on forensic computing under
the auspices of the 1998 Donald Mackay Churchill Fellowship. During this research project, he at-
tended the leading law enforcement agencies actively involved in forensic computing in the United
States.
51 This section describes the basic phases of the forensic process: collection, examination,
analysis, and reporting. During collection, data related to a specific event is identified, labeled,
recorded, and collected, and its integrity is preserved. In the second phase, examination, forensic
tools and techniques appropriate to the types of data that were collected are executed to identify
and extract the relevant information from the collected data while protecting its integrity. Examina-
tion may use a combination of automated tools and manual processes. The next phase, analysis,
involves analyzing the results of the examination to derive useful information that addresses the
questions that were the impetus for performing the collection and examination. The final phase
involves reporting the results of the analysis, which may include describing the actions performed,
determining what other actions need to be performed, and recommending improvements to poli-
cies, guidelines, procedures, tools, and other aspects of the forensic process.
52 As shown at the bottom of Figure 3-1, the forensic process transforms media into evi-
dence, whether evidence is needed for law enforcement or for an organization is internal usage.
Specifically, the first transformation occurs when collected data is examined, which extracts data
75
1. Coleta: A coleta (a identificação) das evidências digitais é a
primeira etapa do processo forense. Saber quais evidências estão pre-
sentes, onde e como estão armazenadas é essencial para determinar
quais processos devem ser empregados para facilitar a recuperação
das informações. Além disso, o perito forense deve ser capaz de iden-
tificar o tipo de dado armazenado no dispositivo digital e o formato em
que está armazenado. Dessa forma, é possível identificar a tecnologia
apropriada para extrair os dados (McKemmish, 1999, s/ pg, tradução
nossa53).
Figura 31 – Ciclo de Vida do Processo de Investigação Forense
Fonte: Modesto Junior e Moreira, 2014.

2. Extração: Nessa fase os dados coletados são examinados.

É feita uma extração dos dados da mídia (dispositivo digital) e, poste-
riormente, são transformados em um formato que pode ser processado
por ferramentas forenses apropriadas aos tipos de dados, por exemplo:
estruturados ou não estruturados. Pode-se usar uma combinação de
ferramentas automatizadas e processos manuais.
3. Análise: É nessa fase que é feita a análise das evidências
digitais. Uma vez extraída, comumente, a evidência digital requer pro-
cessamento antes de ser lida pelas pessoas. Pois, os dados contidos
na imagem (de um disco rígido, por exemplo) ainda requerem um pro-
from media and transforms it into a format that can be processed by forensic tools. Second, data is
transformed into information through analysis. Finally, the information transformation into evidence
is analogous to transferring knowledge into action using the information produced by the analysis
in one or more ways during the reporting phase. For example, it could be used as evidence to help
prosecute a specific individual, actionable information to help stop or mitigate some activity, or
knowledge in the generation of new leads for a case.
53 1. The identification of digital evidence is the first step in the forensic process. Knowing
what evidence is present, where it is stored and how it is stored is vital to determining which pro-
cesses are to be employed to facilitate its recovery. Whilst many people think of personal computers
as the sole focus of forensic computing, in reality it can extend to any electronic device that is capa-
ble of storing information, such as mobile/cellular telephones, electronic organisers (digital diaries)
and smart cards. In addition, the computer forensic examiner must be able to identify the type of
information stored in a device and the format in which it is stored so that the appropriate technology
can be used to extract it.
76
cessamento para que sejam extraídos de uma maneira que seja com-
preendida pelas pessoas (McKemmish, 1999, s/ pg, tradução nossa54).
4. Apresentação: É a fase em que são apresentados os resul-
tados da análise, ou seja, é feita a transformação dos dados em evidên-
cias, que podem ser usadas para ajudar a processar uma pessoa ou
organização específica ou mesmo conhecimento na geração de novas
provas para um determinado caso (McKemmish, 1999, s/ pg, tradução
nossa55). Por exemplo, um pacote de software de terceiros (como o Of-
fice 365) pode ser utilizado para exibir/reprodução dos dados contidos
no documento apresentado como o resultado da análise. Entretanto,
podem haver problemas, como exemplificado a seguir (McKemmish,
1999, s/ pg, tradução nossa56):
Considere uma planilha contendo dados financeiros abrangentes. Se um

produto de terceiros for usado para reproduzir a planilha em sua totalidade
e esse produto de terceiros não representar de forma precisa e concisa a
localização de cada item de dados, todo o significado do documento pode
ser alterado. Isso, por sua vez, pode ter um impacto significativo caso o docu-
mento seja apresentado como prova. Não só lança dúvidas sobre os proces-
sos empregados durante o exame forense, mas também sobre a habilidade
e perícia do examinador que produz o documento de prova.

54 3. The analysis of digital evidence - the extraction, processing and interpretation of digital
data - is generally regarded as the main element of forensic computing. Once extracted, digital evi-
dence usually requires processing before it can be read by people. For example, when the contents
of a hard disk drive are imaged, the data contained within the image still requires processing so that
it is extracted in a humanly meaningful manner. The processing of the extracted product may occur
as a separate step, or it may be integrated with extraction.
55 4. The presentation of digital evidence involves the actual presentation in a court of law.
This includes the manner of presentation, the expertise and qualifications of the presenter and the
credibility of the processes employed to produce the evidence being tendered. The feature of foren-
sic computing that sets it apart from any other area of information technology is the requirement that
the final result must be derived from a process that is legally acceptable. Consequently, the applica-
tion of technology in the investigation of technological crime must be carried out with due regard to
the requirements of law. Failure to do so can result in the digital evidence being ruled inadmissible
or, at the very least, being regarded as tainted.
56 This can best be demonstrated by the situation where the forensic examiner utilises
a third-party software package to display and reproduce the data contained within a computer-
ised document. As an example, consider a spreadsheet containing extensive financial data. If a
third-party product is used to reproduce the spreadsheet in its entirety, and that third party product
does not accurately and concisely represent the location of each item of data, the entire meaning of
the document may be changed. This in turn can have a significant impact should the document be
tendered in evidence. Not only does it cast doubt over the processes employed during the forensic
examination, but also over the skill and expertise of the examiner producing the document in evi-
dence.
77
Documetário sobre o assunto: Principais erros na investigação
Disponível no link: https://www.linkedin.com/pulse/os-erros-
-na-per%C3%ADcia-criminal-paulo-akira-kunii/?originalSubdomain=pt
e também no link
https://newyorkcomputerforensics.com/common-mistakes/
PRINCIPAIS FERRAMENTAS DE INVESTIGAÇÃO FORENSE
Existem diversas ferramentas que auxiliam os peritos forenses

a desvendar os mais diversos tipos de crimes digitais. Segundo Hayes
(2020) muitas ferramentas de imagem forense podem ser consideradas
para uso em investigações, pois uma combinação de ferramentas de
imagem é ideal pelo fato de cada ferramenta possui os seus próprios
pontos fortes como: em termos de reconhecimento de partições, tipo
e o número de arquivos recuperados, filtragem e descriptografia. Além

disso, geralmente, a utilização de ferramentas diferentes na mesma uni-
dade tende a recuperar quantidades variáveis de evidências distintas,
portanto, é uma boa prática usar diversas ferramentas e registrar essas
diferenças nas anotações da investigação do crime (HAYES, 2020, pg.
A seguir será apresentada uma lista de ferramentas forenses
e suas principais características, como custo, interface gráfica (GUI),
quebra de senha, filtragem de arquivos, backup de arquivos de evidên-
cia etc. É importante ressaltar que muitas dessas ferramentas são pa-
gas, entretanto, disponibilizam uma licença de 30 dias, o que possibilita
avaliá-las e definir quais ferramentas serão mais adequadas para obter
sucesso na investigação.
• The Sleuth Kit58 (TSK) e Autopsy: trata-se de uma ferramen-
ta de código aberto composta por um grupo de ferramentas de linha de
comando, ou seja, sem interface gráfica. Essa ferramenta possibilita que
o perito examine os sistemas de arquivos e o volume da unidade de dis-
57 Many forensic imaging tools can be considered for use in a computer forensics laborato-
ry. A combination of imaging tools is ideal because each tool has its own strengths in terms of rec-
ognizing partitions, the type and number of files recovered, filtering, and decryption Using different
tools on the same drive frequently recovers varying amounts of evidence, and it is good practice to
use multiple tools and log these differences in the case notes for the investigation.
58 Disponível em: <http://www.sleuthkit.org./sleuthkit/>
78
co rígido. Os sistemas de arquivos suportados por essa ferramenta são:
NTFS, FAT, exFAT, YAFFS2, UFS 1, UFS 2, Ext2, Ext3, Ext4, Ext2FS,
Ext3FS, HFS e ISO 9660 (HAYES, 2020, pg. 167, tradução nossa59).
Segundo a documentação oficial da ferramenta The Sleuth Kit60 (Aces-
so em: 05/12/2020) ela funciona nos sistemas operacionais: Linux, Mac
OS X, Windows, Open & FreeBSD e Solaris. Autopsy é uma plataforma
forense digital gratuita, uma interface gráfica para a The Sleuth Kit e
também para outras ferramentas forenses. Essa plataforma permite que
os peritos investiguem o que aconteceu em um computador, podendo
ser utilizada até para recuperar fotos do cartão de memória da câmera
(Sleuth Kit61, acesso em: 05/12/2020, s/pg., tradução nossa62). A Figura
32 apresenta a tela da plataforma Autopsy.
59 The Sleuth Kit (TSK): The Sleuth Kit is an open-source computer forensics tool that is
comprised of a group of command line tools. The tool allows an investigator to examine file systems
and a hard disk drive’s volume. This tool supports NTFS, FAT, exFAT, YAFFS2, UFS 1, UFS 2, Ext2,
Ext3, Ext4, Ext2FS, Ext3FS, HFS and ISO 9660 file systems.
60 Disponível em: <http://www.sleuthkit.org./sleuthkit/desc.php>
61 Disponível em: <https://www.sleuthkit.org/autopsy/>
62 Autopsy is a digital forensics platform and graphical interface to The Sleuth Kit and other
digital forensics tools. It is used by law enforcement, military, and corporate examiners to inves-
tigate what happened on a computer. You can even use it to recover photos from your camera’s
memory card.
79
Figura 32 – Tela da Plataforma Autopsy
Fonte: Sleuth Kit63, Acesso em: 05/12/2020.
• IPED: é uma sigla para Indexador e Processador de Evidên-

cias Digitais tratando-se de um software que vem sendo desenvolvido
pelos especialistas forenses da Polícia Federal brasileira desde 2012.
Essa ferramenta possui código aberto, sendo utilizada para processar e
analisar evidências digitais que, normalmente, são apreendidas durante
investigações e/ou em cenas de crimes. A IPED é bastante utilizada pela
Polícia Federal, como por exemplo, na operação Lava Jato (GITHUB64,
acesso em: 04/12/2020, s/pg., tradução nossa65). A Figura 33 ilustra a
tela da ferramenta IPED realizando a indexação dos dados. Dentre as
principais características dessa ferramenta pode-se citar (GITHUB66,
acesso em: 04/12/2020, s/pg., tradução nossa67): (i) suporte multiplata-
63 Disponível em: <https://www.sleuthkit.org/autopsy/>
64 Disponível em: <https://github.com/sepinf-inc/IPED>
65 IPED is an open source software that can be used to process and analyze digital evi-
dence, often seized at crime scenes by law enforcement or in a corporate investigation by private
examiners. IPED - Digital Evidence Processor and Indexer (translated from Portuguese) is a tool
implemented in java and originally and still developed by digital forensic experts from Brazilian
Federal Police since 2012. Although it was always open source, only in 2019 its code was officially
published.
66 Disponível em: <https://github.com/sepinf-inc/IPED>
67 Since the beginning, the goal of the tool was efficient data processing and stability. Some
80
forma (Windows e Linux); (ii) interface de análise simples e intuitiva; (iii)
alta escalabilidade, que permite que seja utilizada em número ilimitado
de computadores; (iv) arquitetura multithread; (v) e processamento em
batch, que auxilia na análise de grandes volumes de dados.
De acordo com DPF68(2018) as principais funcionalidades da
ferramenta IPED são: (i) OCR (Reconhecimento ótico de caracteres)
de imagens (.jpg, .tif, .png e .bmp) e arquivos PDFs para extrair infor-
mações dos arquivos; (ii) recuperação e, consequentemente, acesso a
arquivos deletados; (iii) identificação de Arquivos Criptografados; (iv) a
categorização dos arquivos; (v) visualização de texto filtrado para qual-
quer formato; (vi) cruzamento de informações; e (vii) geração de relató-
rio HTML, conforme ilustra na Figura 34 a tela de geração de relatórios
em HTML.
Figura 33 – Processo de Indexação de Dados na Ferramenta IPED
Fonte: Cavalheiro, 2018.
key characteristics of the tool are: Command line data processing for batch case creation; Multi-
platform support, tested on Windows and Linux systems; Portable cases without installation, you
can run them from removable drives; Integrated and intuitive analysis interface; High multithread
performance and support for large cases: up to 135 million items as of 12/12/2019.
68 DPF é a sigla para Departamento de Polícia Federal.
81
Figura 34 – Geração de Relatórios HTML na Ferramenta IPED
Fonte: Medium69. Acesso em: 04/12/2020.

Documentário sobre o assunto: Ferramenta IPED

Disponível no link: https://github.com/sepinf-inc/IPED;
https://servicos.dpf.gov.br/ferramentas/IPED/3.13.5/Ma-
nual%20IPED.pdf e também no link: https://academiadeforensedigital.
com.br/analise-forense-xbox360/
Video sobre o assunto: Como usar a ferramenta IPED

Este vídeo demonstra como realizar a instalação e como utili-
zar os recursos básicos da ferramenta IPED.
Link do vídeo: https://www.youtube.com/watch?v=7x3JlSpj8qY
• EnCase: trata-se de uma ferramenta forense criada em 1998

pela empresa Guidance Software, que cobra licença para uso. Essa
ferramenta é utilizada para adquirir dados de uma ampla variedade
de dispositivos, para restauração de disco rígido (clonagem de bit a
bit e fazer um HD clonado), concluir um processo de investigação fo-
rense e produz relatórios extensivos. De acordo Guidance Software70
69 Disponível em: <https://medium.com/@forensedigitalbrasil/10-ferramentas-que-um-pe-
rito-forense-nunca-pode-esquecer-6668ce3f02d5>
70 Disponível em: <https://www.guidancesoftware.com/encase-forensic>
82
(Acesso em: 04/12/2020, s/pg., tradução nossa71) a ferramenta EnCase
foi nomeada a Melhor Solução Computacional Forense por dez anos
consecutivos pela SC Magazine devido as suas características: veloci-
dade, flexibilidade e funcionalidade. Ainda de acordo com a Guidance
Software (Acesso em: 04/12/2020, s/pg., tradução nossa72) “nenhuma
outra solução oferece o mesmo nível de funcionalidade, flexibilidade ou
histórico de aceitação em tribunal”. Segundo Cole e Johnson (2020) a
ferramenta EnCase se ficou mais conhecida após torna-se manchete
de jornais no ano de 2002, pois a EnCase foi utilizada para examinar os
computadores do David Alan Westerfield73 afim de encontrar evidências
de pornografia infantil. Outro fato que contribuiu para a popularização
dessa ferramenta deu-se quando foi utilizada pela polícia francesa para
encontrar e-mails importantes do terrorista Richard ColvinReid74, tam-
bém conhecido como o Shoe Bomber. A Figura 35 ilustra uma das telas
da ferramenta EnCase.
De acordo com a documentação oficial da ferramenta EnCa-
se Guidance Software75 (2020, s/pg., tradução nossa76) ela possui as
seguintes vantagens: (i) aquisição confiável de evidências digitais, pois
há garantia da integridade das evidências. Além do mais, a ferramen-
ta tem a capacidade de descobrir evidências que podem passar des-

percebidas caso sejam analisadas por outras ferramentas; (ii) suporte
aos modelos de smartphones e tablets mais recentes; (iii) análise de
imagens por meio da tecnologia de inteligência visual contra ameaças,
71 EnCase has maintained its reputation as the gold standard in criminal investigations and
was named the Best Computer Forensic Solution for eight consecutive years by SC Magazine.
72 EnCase Forensic has been named the Best Computer Forensic Solution ten years in a
row by SC Magazine for its speed, flexibility and functionality.
73 Disponível em: <https://www.menorca.info/vips/ultimas/2002/03/02/799647/la-dentadu-
ra-permite-identificar-a-la-nina-de-7-anos-asesinada-en-san-diego.html>
74 Disponível em: <https://www.britannica.com/biography/Richard-Reid>
75 Disponível em: <https://www.guidancesoftware.com/docs/default-source/document-li-
brary/product-brief/encase-forensic-product-overview.pdf?sfvrsn=761867a2_40>
76 Reliable acquisition of evidence: With EnCase Forensic, examiners can be confident the
integrity of the evidence will not be compromised. All evidence captured with EnCase Forensic is
stored in the court accepted EnCase evidence file formats. Deep forensic analysis: EnCase Foren-
sic has been used in thousands of court cases and is known for its ability to uncover evidence that
may go unnoticed if analyzed with other solutions. Mobile collection for 27,000+ profiles: EnCase
Forensic supports the latest smartphones and tablets, including more than 27,000 mobile device
profiles, all while empowering the examiner to conduct logical and physical acquisitions. From the
new investigator to the seasoned examiner, each level of user can find the evidence they need with
mobile acquisitions in EnCase Forensic. Image analysis: Media Analyzer processes images into
12 categories using AI powered visual threat intelligence technology. Examiners can quickly filter
by confidence level and identify previously unidentified contraband with near-zero false positives.
Broad OS/decryption support: Offering the broadest support of operating and file systems, artifacts
and encryption types, EnCase Forensic enables the investigator to provide conclusive results with a
detailed analysis of findings. Connect to the cloud: With EnCase Forensic, examiners can leverage
credentials to collect from data repositories in the cloud, such as Microsoft O365 and SharePoint.
Data is stored in logical containers to preserve chain of custody at the point of acquisition.
83
sendo apoiada pela Inteligência Artificial (IA). Assim, os peritos podem
filtrar por nível de confiança, que é praticamente quase zero de falsos
positivos e identificar crimes como o contrabando; e (iv) coleta de dados
dos repositórios de dados na nuvem, como Microsoft 365 e SharePoint.
Figura 35 - Tela de visualização de evidências da ferramenta EnCase

Fonte:Guidance Software77, 2020.
Vídeos sobre o assunto: Ciclo de Vida de Investigação da

Ferramenta EnCaseForensic.
Estes vídeos explicam sucintamente as seis etapas: triagem,
coleta, descriptografia, processo, investigação e relatório, que compões
o clico de vida da EnCase.
Link do Vídeo: https://youtu.be/Y0UxKFHB_iQ; https://youtu.
be/rAs1X7-52r0; https://youtu.be/dZgEUEW0O5o; https://youtu.be/ow-
vAWMaR3tQ; https://youtu.be/R9p7p49Z4Ys e também no link: https://
youtu.be/Rrgr52XZTOo
77 Disponível em: <https://www.guidancesoftware.com/docs/default-source/document-li-

brary/product-brief/encase-forensic-product-overview.pdf?sfvrsn=761867a2_40>
84
• Kit de ferramentas forenses (FTK- Forensic Toolkit): tra-
ta-se de um conjunto de ferramentas investigativas que são necessá-
rias para a condução de investigações digitais de forma mais rápida,
inteligente e eficaz. Essa ferramenta pertence à empresa AccessData
FTK, portanto, possui licença que é paga e, dessa forma, o usuário terá
acesso a diversos recursos como relatórios, descriptografia de arquivos
e esculpimento de arquivos (file carving, em inglês), que é o processo
de identificar um arquivo por determinadas características, como um
cabeçalho ou rodapé do arquivo ao invés da extensão do arquivo ou por
meio dos metadados (HAYES, 2020, pg. 169, tradução nossa78).
Atualmente, a ferramenta FTK Imager pertence ao kit FTK,
que permite ao usuário criar uma imagem forense de um dispositivo de
armazenamento (HDs, CDs, DVDs, pen drives ou outros dispositivos
USB) e visualizar o conteúdo do sistema de arquivos (HAYES, 2020, pg.
169, tradução nossa79). Além disso, permite que recupere arquivos que
foram excluídos da lixeira (do computador), entretanto, desde que eles
não tenham sido sobrescritos, crie hashes de arquivos para averiguar
a integridade dos dados através de uma das duas funções: Message-
-Digest algorithm 5 (MD5) e Secure Hash Algorithm 1 (SHA-1), exporte
arquivos e pastas de imagens forenses, gere relatórios de hash para

arquivos regulares e imagens de disco, pois quando uma imagem da
unidade é gerada, um hash que foi gerado pela ferramenta FTK Imager
poderá ser utilizado para averiguar se o hash da imagem corresponde
a do hash da unidade, ou seja, não sofreu nenhuma alteração desde a
sua aquisição (ACCESSDATA80, Acesso em: 05/12/2020).
78 The full version of FTK is not free, but it has many other features, including comprehen-
sive reporting, file decryption, and file carving. File carving is the process of identifying a file by
certain characteristics, like a file header or footer, rather than by the file extension or metadata.
79 A free version of the software, called FTK Image, is also available. It can be downloaded
to a USB flash drive or burned to a CD. This tool allows the user to create a forensic image of a
storage device and view the contents of the file system using the built-in hex editor. Beyond that, it
has very few capabilities.
80 Disponível em: <https://marketing.accessdata.com/l/46432/2020-09-24/8l45td>
85
Documentário sobre o assunto: FTK- Forensic Toolkit
Disponível no link: https://accessdata.com/products-services/
forensic-toolkit-ftk e também no link: https://accessdata.com/products-
-services/forensic-toolkit-ftk/ftkimager
Documentário sobre o assunto: Funções Hash: Message-Di-

gest 5 (MD5) e Secure Hash Algorithm (SHA-1)
Disponível no link: https://www.freecodecamp.org/news/md-
5-vs-sha-1-vs-sha-2-which-is-the-most-secure-encryption-hash-and-
-how-to-check-them/
86
QUESTÃO 1
Ano: 2017 Banca: FUNDATEC Órgão: IGP-RS Prova: Perito Crimi-
nal – Computação Forense. Nível: Média.
Conhecer sistemas de arquivos é fundamental para o perito da
área de Computação Forense, pois pode auxiliar o perito criminal a
elucidar a origem e o destino de um vestígio cibernético. Qual das
alternativas abaixo NÃO é um sistema de arquivos?
a) FAT32.
b) F2FS.
c) GFS.
d) HFS+.
e) PCAP.
QUESTÃO 2
nal – Computação Forense.
A Seção de Computação Forense da Polícia Científica do Paraná
desenvolveu a ferramenta forense MobileMerger com a função de

consolidar os diversos relatórios gerados por ferramentas de ex-
tração e processamento de vestígios cibernéticos de aparelhos
celulares. Em alguns casos, esses relatórios consolidados podem
conter cerca de 40 mil páginas e diversos arquivos de áudio, ví-
deo e fotografias de interesse da justiça. Segundo o Procedimento
Operacional Padrão da Secretaria Nacional de Segurança Pública,
qual parte da estrutura básica do laudo possibilita que um grande
volume de dados seja encaminhado junto ao laudo para facilitar a
visualização das informações e a busca por palavras-chave?
a) A estrutura relativa ao material, utilizando a geração de função hash
para garantir a cadeia de custódia.
b) A parte relativa ao exame, onde o perito criminal descreve todo pro-
cedimento de recuperação de dados.
c) Na conclusão do laudo, onde o perito sintetiza a transformação de
vestígio em evidência.
d) Os anexos, utilizando a geração de mídias anexas.
e) No histórico, possibilitando que seja encaminhado grande volume de
dados em uma linha do tempo que permite buscas por palavras-chave.
QUESTÃO 3
Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: Segurança
de Tecnologia da Informação Nível: Difícil.
87
Considere o texto abaixo, em relação à análise forense.
Uma pessoa que trabalha em um banco foi designada, de forma
imediata, para ir à casa de um cliente para coletar dados do compu-
tador, com a finalidade de investigar possível fraude bancária. Ao
chegar ao local, verifica que o Windows ainda está ativo, apresen-
tando mensagem suspeita.
De acordo com o relato, qual das atividades abaixo NÃO deve ser
realizada?
a) Conectar imediatamente um HD externo ao computador e copiar a
pasta C:\ para o seu HD.
b) Desligar a máquina da tomada e remover fisicamente o HD da máqui-
na do usuário para realizar uma cópia.
c) Desligar fisicamente a máquina da tomada e reiniciá-la a partir de um
HD externo.
d) Conectar um pen-drive, especialmente preparado, com o objetivo de
realizar uma cópia da memória RAM do computador.
e) Tirar fotografias da tela do computador no momento em que se che-
gar à casa.
QUESTÃO 4

nal – Computação Forense. Nível: Difícil.
Os peritos criminais da Seção de Computação Forense receberam
para exame um aparelho celular que foi alvo de furto e teve a eti-
queta com dados identificadores do fabricante retirada pelos cri-
minosos. Para devolver o aparelho ao proprietário, a autoridade
policial precisa confrontar o número do IMEI do telefone com o nú-
mero de IMEI que consta na nota fiscal apresentada pelo suposto
proprietário. Qual código pode ser usado pelos peritos criminais
para mostrar o IMEI na tela do aparelho celular?
a) #*06#
b) *#06#
c) #06r
d) *82
e) *144
QUESTÃO 5
nal – Computação Forense. Nível: Difícil.
Peritos criminais da Seção de Computação Forense foram desig-
nados para realizar exame na rede de computadores de uma em-
presa que estaria sendo alvo de crimes cibernéticos. Enquanto es-
88
tava ocorrendo o suposto ataque, os peritos criminais coletaram
o tráfego de rede do local examinado. Nesses vestígios coletados,
os peritos criminais identificaram pacotes que eram direcionados
para um DNS que não era de uma autoridade real; sempre que os
usuários tentavam acessar a página na internet de um determinado
banco, eram redirecionados para uma página de escolha do crimi-
noso. Analisando o servidor de DNS, os peritos constataram que
foi adicionado um registro de DNS falso no cache do servidor de
DNS que redirecionava os usuários para sites falsos. Com base
nos fundamentos de investigação em redes de computadores, as-
sinale a alternativa que explica o redirecionamento de DNS e a pro-
vável técnica utilizada pelos criminosos.
a) Os criminosos usaram a técnica de envenenamento de DNS ou DNS
Poisoning.
b) A técnica utilizada pelos criminosos é conhecida como DNS oculto ou
DNS redirection.
c) Este é um caso clássico em que o criminoso utilizou de injeção de
SQL ou SQL injection.
d) Os vestígios coletados pelos peritos criminais apontam para uma téc-
nica conhecida como roubo de sessão ou DNS sessioninjection.

e) O registro de DNS falso no cache do servidor indica que os crimino-
sos utilizaram um ataque de negação de serviço ou Denialof Service
(DoS), que fez com que todos os usuários que tentavam acessar a in-
ternet fossem redirecionados para um servidor de DNS do criminoso.
QUESTÃO 6
Ano: 2020 Banca: INSTITUTO AOCP Órgão: Prefeitura de Novo
Hamburgo - RS Prova: Técnico de Informática. Nível: Fácil.
Entre os tipos de criptografia, aquele que utiliza uma mesma chave
para ocultar a informação assim como para que possa ser exibida
recebe o nome de
a) Simplex.
b) Equalizada.
c) Singular.
d) Simétrica.
e) Assimétrica.
As investigações forenses passam por várias etapas, pois há a meta

de formar e testar hipóteses sobre o crime. Existem diversos modelos
de metodologias/procedimentos que auxiliam nesse tipo de investiga-
89
ção. Dentre eles, tem-se o modelo proposto de Rodney McKemmish
em 1999, que é composto por apenas quatros fases, que são: coleta,
extração, análise e apresentação (documentação). Usualmente, esse
modelo é o mais citado na literatura e o mais utilizado na prática.
Sobre o enunciado acima, discorra sobre essas quatro etapas.
TREINO INÉDITO
Uma das técnicas antiforenses utilizada para ocultar dados dentro de

uma imagem digital é:
a) Esteganografia
b) Etnografia
c) Criptografia
d) Descriptografia
e) Investigação
NA MÍDIA
PERITO FORENSE DIGITAL, PROFISSÃO EM ALTA NA ÁREA DE

SEGURANÇA CIBERNÉTICA
Tentativas de invasão a sistemas de dados de agências bancárias,

empresas, órgãos públicos são recorrentes. Por exemplo, em 2019, a
Caixa Econômica Federal (CEF) sofreu uma tentativa de ataque ciber-
nético no sistema que contém os dados do FGTS, seguro-desemprego,
Bolsa Família e aposentadorias. Para conter o ataque a CEF tirou do
ar por uma madrugada esse sistema. Entretanto, nesse mesmo ano o
Banco do Brasil não teve o mesmo sucesso, pois hackers roubaram
R$ 420.000 da conta do Fundo de Participação dos Municípios (FPM)
da Prefeitura de Iguape (SP). De acordo com os analistas do Fórum
Econômico Mundial uma única invasão a um servidor que armazene
informações na nuvem, em 2018, gerava um prejuízo de até 120 bilhões
de dólares.
Diante desse cenário, de aumento de cibercrimes, surgiu uma nova
profissão: perito forense digital. Nessa profissão é possível atuar por
conta própria como perito técnico das partes, isto é, diretamente com
um cliente que possua um processo aberto na justiça; ou então, como
perito judicial, que é aquele designado pelo juiz. Também é possível
atuar como funcionário público ou como funcionário de empresas e con-
sultorias.
Fonte: Você S/A

Data: 11 jun. 2020.
90
Leia a notícia na íntegra: https://vocesa.abril.com.br/carreira/perito-fo-
rense-digital-profissao-em-alta-na-area-de-seguranca-cibernetica/
NA PRÁTICA
Ao longo dos anos milhões de dólares são perdidos devido às fraudes

bancárias on-line. Além do prejuízo financeiro, os bancos são expostos
os riscos relacionados à reputação com os clientes e investidores. A
fim de ajudar as instituições financeiras a solucionar esses problemas,
a ferramenta NetWitness NextGen, tem sido adotada para responder
questões que podem identificar potenciais transações fraudulentas,
como: (i) qual é a característica de uma transação fraudulenta (ii) como
detectá-la e de forma precisa? Essa ferramenta, após seis meses de
uso em uma importante instituição financeira, obteve-se uma redução
de 6 milhões de dólares em operações fraudulentas.
Em todo o mundo, as instituições financeiras estão entre os alvos dos
cibercriminosos. Desse modo, os maiores bancos do mundo estão uti-
lizando a ferramenta NetWitness NextGen e vêm alcançando muitos
objetivos, como: (i) redução dos riscos associados às ameaças emer-
gentes e avançadas; (ii) redução do tempo de descoberta das ameaças;

(iii) localização de fraudes e vazamento de dados; (iv) contenção do va-
zamento não autorizados de dados financeiros e dos pessoais clientes.
Fonte: FORENSE DIGITAL. NetWitness no combate às fraudes em

internet banking. Disponível em: <http://forensedigital.com.br/case/
netwitness-no-combate-as-fraudes-em-internet-banking/>. Acesso em:
09/12/2020.
91
A crescente evolução dos equipamentos digitais, principalmen-
te, dos smartphones, contribuiu largamente para o aumento do uso da
Internet. Consequentemente, essa popularização ampliou a frequência
dos ataques de cibercriminosos.
Esse ambiente de insegurança, no qual os dados estão inse-
ridos e trafegam entre softwares e nas redes de computadores, requer
cada vez mais que empresas adotem recursos para proteger os seus
dados, como por exemplo: o controle de acesso, autenticação multifator
(MFA), criptografia etc.
Entretanto, quando não é possível prevenir/evitar esses ata-
ques; a solução é a aplicação das técnicas de computação forense, que
tem como objetivo ajudar a resolver e a diminuir os cibercrimes. Para
isso, a computação forense conta com o processo de coleta, extração,
análise e apresentação de evidências digitais que podem ser encon-
tradas em todos os equipamentos digitais. Assim, como para provas
físicas (provas tradicionais), as evidências digitais também devem obe-
decer às mesmas restrições. Principalmente, as leis que se referem a
duas questões: a integridade e a autenticidade das evidências.
Graças às tecnologias existentes, é possível termos diversas
ferramentas que auxiliam os peritos (investigadores) forenses a des-

vendarem os mais diversos tipos de cibercrimes, como o FTK Imager,
EnCase e IPED. Essas ferramentas ajudam a otimizar processos como:
o reconhecimento de partições, recuperação de arquivos excluídos, fil-
tragem e descriptografia dos dados.
92
GABARITOS
CAPÍTULO 01
01 02 03 04 05 06
E A E C D C
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO

DE RESPOSTA
Dentre as vantagens da rede LAN, pode-se citar: (i) compartilhamento
de recursos computacionais, como disco rígidos, impressoras, o que
reduz custos como os relacionados à compra de equipamentos; (ii) ar-
mazenamento de dados de todos os usuários da rede em um único
disco rígido que é o do servidor; (iii) facilidade para transferir dados
e mensagens entre os computadores da rede; (iv) maior segurança
dos dados, pois serão gerenciados apenas de um lugal – o servidor;

(v) compartilhamento da mesma conexão de rede de Internet entre to-
dos os usuários de uma Rede Local. Já a rede WAN tem as seguintes
vantagens: (i) cobertura de uma área geográfica bem maior, assim, os
escritórios comerciais situados a distâncias maiores podem se comu-
nicar facilmente; (ii) compartilhamento de software e recursos entre as
várias estações de trabalho; (iii) além disso, esse compartilhamento de
informações cobre uma área bem maior.
Em relação às desvantagens da LAN, tem-se: (i) não há privacida-
de, pois o administrador da LAN pode visualizar os arquivos pessoais
de cada usuário dessa rede; (ii) custo inicial de instalação da LAN é
bastante alto, apesar de economizar os custos por causa do compar-
tilhamento de recursos; (iii) há a necessidade de uma administração
LAN constante, pois frequentemente ocorrem problemas relacionados
à configuração de software e falhas de hardware. Já em relação às des-
vantagens da WAN podemos citar: (i) o custo inicial de instalação WAN,
assim como da LAN é alto; (ii) dificuldade em manter uma WAN, pois há
a necessidade de profissionais qualificados; (iii) necessidade de mais
tempo para resolver os problemas devido ao envolvimento de diversas
tecnologias com e sem fio; e (iv) essa rede possui menos segurança
quando comparada aos outros tipos.
TREINO INÉDITO
Gabarito: B
93
CAPÍTULO 02
01 02 03 04 05 06
E D E E C C

DE RESPOSTA
Diferenças entre as Arquiteturas de Rede
Modelo OSI Modelo TCP/IP
Possui sete camadas. Possui quatro camadas.
Obedece a uma abordagem vertical, Obedece a uma abordagem horizon-
pois esse modelo possui um conjun- tal.
to vertical de camadas, em que cada
uma possui diferentes funções.
Não é um protocolo, mas um mode- TCP/IP é considerado o modelo de
lo conceitual, isto é, modelo baseado protocolo padrão para rede, ou seja,

no conceito de camadas. um modelo cliente-servidor.
Possui as camadas de Aplicação, Possui as camadas Aplicação, Apre-
Apresentação e de Sessão separa- sentação e de Sessão juntas, isto é,
das. unificadas em apenas uma camada:
Aplicação.
É uma referência em torno da qual as É de certa forma uma implementação
redes são construídas, isto é, utilizado modelo OSI.
da como uma ferramenta de orienta-
ção.
TREINO INÉDITO
Gabarito: A
94
CAPÍTULO 03
01 02 03 04 05 06
E D A B A D

DE RESPOSTA
Coleta: A coleta, isto é, a identificação das evidências digitais é a pri-

meira etapa do processo forense. Saber quais evidências estão presen-
tes, onde e como estão armazenadas é fundamental para determinar
quais processos devem ser empregados para facilitar a recuperação
das informações. Além disso, o perito forense deve ser capaz de iden-
tificar o tipo de dado armazenado no dispositivo digital e o formato em
que está armazenado. Dessa forma, é possível identificar a tecnologia
apropriada para extrair os dados.
Extração: Já nessa fase os dados coletados na fase anterior (Coleta)

são examinados. É feita uma extração dos dados da mídia (dispositivo
digital) e, posteriormente, são transformados em um formato que pode
ser processado por ferramentas forenses apropriadas aos tipos de da-
dos, por exemplo: estruturados ou não estruturados. Pode-se usar uma
combinação de ferramentas automatizadas e processos manuais.
Análise: É nessa fase que é feita a análise das evidências digitais. Uma
vez extraída, comumente, a evidência digital requer processamento an-
tes de ser lida pelas pessoas, pois os dados contidos na imagem (de um
disco rígido, por exemplo) ainda requerem um processamento para que
sejam extraídos de uma maneira que seja compreendida pelas pessoas.
Apresentação: É nessa fase que são apresentados os resultados da
análise (fase anterior), ou seja, é feita a transformação dos dados em
evidências que podem ser usadas para ajudar a processar uma pessoa
ou organização específica ou então para proporcionar o conhecimento
na geração de novas provas para um determinado caso.
TREINO INÉDITO
Gabarito: A
95
ANDRÉ L. 2019. O Que é SSH e Como Funciona? Disponível em: <ht-
tps://www.weblink.com.br/blog/tecnologia/acesso-ssh-o-que-e/>. Aces-
so em: 11/12/2020.
BUNGART, José Wagner. Redes de Computadores: fundamentos e

protocolos. SENAI-SP, 2017.
CARVALHO, Rodrigo Amorin Motta. Projeto de Redes. 20 slides. Dis-

ponível em: <http://www.lsi.usp.br/~ramc/cabeamento_arquivos/Proje-
to%20de%20Redes.pdf>. Acesso em: 26/11/2020.
COMER, Douglas E. Interligação de redes com TCP/IP. Tradução:

Tássia Fernanda Alvarenga. 6ed. Rio de Janeiro: Elsevier, 2015.
COLE, Arthur; JOHNSON, Brett. 2020. Lista das melhores ferramen-

tas forenses para computador, recuperação de dados forense e
forense digital. Disponível em: <https://www.cleverfiles.com/howto/pt/
computer-forensic.html>. Acesso em: 04/12/2020.
DNSstuff, 2020. How to Design a Network + Best Network Design

Tools. Disponível em:<https://www.dnsstuff.com/network-design-tools>.
Acesso em: 08/01/2021.
EDER CARLOS. 2020. Rede de Computadores. Disponível em: <ht-

tps://centraldefavoritos.com.br/2020/08/20/redes-de-computadores/>.
Acesso em: 20/11/2020.
FERREIRA, Tadeu. 2012. Redes de Computadores. 19 slides. Disponí-

vel em: <https://docente.ifrn.edu.br/tadeuferreira/disciplinas/2012.2/ar-
quitetura-de-redes-subsequente/AULA04.pdf>. Acesso em: 19/11/2020.
FRANCISCATTO, Roberto; DE CRISTO, Fernando; PERLIN, Tiago. Re-

des de computadores. Universidade Federal de Santa Maria, Colégio
Agrícola de Frederico Westphalen, 2014.
GARRETT, Filipe. 2018. O que é access point? Veja para que serve o
ponto de acesso de Wi-Fi. Disponível em: <https://www.techtudo.com.
br/noticias/2018/06/o-que-e-access-point-veja-para-que-serve-o-ponto-
-de-acesso-de-wi-fi.ghtml>. Acesso em: 11/12/2020.
96
HASSAN, Nihad A. Digital Forensic Basics: A Practical Guide Using
Windows OS. Apress, 2019.
KENT, Karen; CHEVALIER, Suzanne; GRANCE, Tim; DANG, Hung.

Guide to Integrating Forensic Techniques into Incident Response.
Recommendations of the National Institute of Standards and Technol-
ogy (NIST). Special publication. Gaithersburg: NIST, 2006. Disponível
em: <https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublica-
tion800-86.pdf>. Acesso em: 30/11/2020.
KUROSE, James F.; ROSS, Keth W. Redes de Computadores e a in-

ternet: uma abordagem top-down. 5 ed. E. São Francisco: No Starch,
2005.
KUROSE, James F.; ROSS, Keth W. Redes de Computadores e a

internet: uma abordagem top-down; tradução Daniel Vieira. 6. ed. –
São Paulo: Pearson Education do Brasil, 2013.
LIMA, Luciana de Campos. Formas mais Rápidas e Seguras de se

Fazer Backup de Arquivos em Rede. Orientador: Prof. Dr. Renato

Correia de Barros.2012. 75f. TCC (Graduação) - Curso de Tecnológa
em Rede de Computadores, Faculdade de Tecnologia de Lins, 2012.
Disponívelem:<http://www.fateclins.edu.br/v4.0/trabalhoGraduacao/
dRnUovLETPYcQL2ussfE5v90NVvRvKGHcpiPMszBlJHzJwOS.pdf>.
Acesso em: 08/01/2020.
LIN, Xiaodong. Introductory Computer Forensics: A Hands-on Prac-

tical Approach. Springer, 2018.
MARTINS, Cidália. Topologias de Redes. Disponível em: <https://si-

tes.google.com/site/conteudossobreinformatica/sistemas-de-informa-
cao/topologias-de-redes>. Acesso em: 20/11/2020.
MACÊDO. Diego. 2012. Dispositivos de interconexões de Redes de

Computadores. Disponível em: <https://www.diegomacedo.com.br/dis-
positivos-de-interconexoes-de-redes-de-computadores/>. Acesso em:
11/12/2020.
MCCABE, James. Network Analysis, Architecture, and Design. The

Morgan Kaufmann Series in Networking. 3 ed., 2007.
97
MCKEMMISH, Rodney.What is Forensic Computing? Australian Insti-
tute of Criminology. Australia, 1999. Disponível em: <https://www.aic.gov.
au/sites/default/files/2020-05/tandi118.pdf>. Acesso em: 30/11/2020.
MODESTO JUNIOR, Celso Carlos Navarro; MOREIRA, Jander. Rotei-

roInvestigativoemPeríciaForenseComputacional de Redes: Estudo
de Caso. T.I.S. São Carlos, v.3, n.1, p. 11-23, 2014.
MOHAY, George; ANDERSON, Alison; COLLIE, Bryron; DE VEL, Oliver;

MCKEMMISH, Rodney. Computer and Intrusion Forensics. Artech
House Computer Security Series, 2003.
NASCIMENTO FILHO, Antônio P. Tecnologias de Rede Ethernet e

IEEE Token Ring ATM FDDI. Disponível em: <https://slideplayer.com.
br/slide/6082656/> Acesso em: 20/11/2020.
OCHIENG, Joseph. Computer Forensics – Everything you need to

know. Disponível em: <https://cyberexperts.com/computer-forensics/>.
Acesso em: 01/12/2020.
PETERSON, Larry C.; DAVIE, Bruce S. Redes de Computadores. El-

sevier, 2013.
PIMENTA, Rafael. 2020. O que é Broadcast? Tudo o que você preci-

sa saber sobre!. Disponível em: <https://windowsteam.com.br/o-que-e-
-broadcast-tudo-o-que-voce-precisa-saber-sobre-esse-tipo-de-sms/>.
Acesso em: 20/11/2020.
RIBEIRO-SANTOS, Thatiane Cristina dos Santos de Carvalho. Funda-

mentos de Redes de Computadores. Londrina: Editora e Distribuidora
Educacional S.A., 2016.
SANTANA, Leonardo. 2019. Conheça as diferenças entre os proto-

colos TCP e UDP. Disponível em: <https://sempreupdate.com.br/co-
nheca-as-diferencas-entre-os-protocolos-tcp-e-udp/#:~:text=TCP%20
e%20UDP%20s%C3%A3o%20protocolos,diferen%C3%A7as%20
entre%20esses%20dois%20protocolos.>. Acesso em: 25/11/2020.
SANTOS, Renan. 2017. Topologia Barramento. Disponível em: <ht-

tps://sites.google.com/site/topologiasderedexd/topologia-barramento>.
Acesso em: 25/11/2020.

98
TANENBAUM, Andrew S.; WETHERALL, David. Redes de computa-
dores. Tradução: Daniel Vieira. 5 ed. São Paulo: Pearson Prentice Hall,
2011.
VIANA, Gabriela. 2012. O que é um Host? Disponível em: <https://

www.techtudo.com.br/artigos/noticia/2012/02/o-que-e-um-host.html>.
Acesso em: 11/12/2020.
99
100

Redes e Forense Computacional

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Redes e Forense Computacional

Enviado por

Direitos autorais:

Formatos disponíveis

1

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira.

GRUPO PROMINAS DE EDUCAÇÃO

Seja muito bem-vindo(a) ao nosso Grupo Educacional!

Durante o seu curso de graduação você teve a oportunida-

Grupo Prominas - Educação e Tecnologia

É um prazer tê-lo em nossa instituição! Saiba que sua escolha

Estude bastante e um grande abraço!

Professora: Juliana Padilha

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

Rede de Computadores; Protocolos; Computação forense; Ferramentas

Introdução à Rede de Computadores ___________________________ 12

Classificação da Rede __________________________________________ 23

Interconexão de Rede __________________________________________ 29

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

Principais Protocolos de Redes _________________________________ 37

Projeto e Arquitetura de Rede de Computadores _______________ 41

Computação Forense: Introdução e Conceitos __________________ 56

Procedimentos de Investigação _________________________________ 74

Principais Ferramentas de Investigação Forense _________________ 78

Considerações Finais ____________________________________________ 92

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

INTRODUÇÃO À REDE DE COMPUTADORES

Uma rede de computadores é composta por no mínimo dois

um conjunto de computadores autônomos interconectados por uma única

A seguir, serão apresentados os tipos de redes de computado-

Assunto: História de Rede de Computadores

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

Cliente Cliente Cliente

Fonte: Elaborada pela autora, 2020.

• Peer-to-Peer (P2P) ou Ponto a Ponto consiste em um tipo

Figura 2 – Representação de uma Topologia Física

Fonte: Elaborada pela autora, 2020.

• Redes Ubíquas ou Redes Pervasivas trata-se de um tipo de

Dispositivos de Comunicação de Redes

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

1 Disponível em: <https://canaltech.com.br/produtos/O-que-e-hub/>.

comuniquem. Por exemplo, uma rede de um prédio com outro.

Vídeo sobre o assunto: Diferenças entre Switch, Roteador e

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

Figura 3 – Representação de uma Topologia Física

Fonte: Cisco2, Acesso em: 20/11/2020.

Figura 4–Topologia em Barramento

Fonte: Santos, 2017.

Figura 5 – Topologia em Anel

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

• Topologia em Estrela (star) diferentemente das duas topolo-

Fonte: Eder Carlos, 2020.

• Topologia Hierárquica ou Árvore trata-se de uma topologia

Figura 7– Topologia Hierárquica ou Árvore

Fonte: Eder Carlos, 2020.

Figura 8 – Topologia em Malha

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

Vídeo sobre o assunto: Diferenças entre as Topologias de

Figura 9 - Representação de uma Topologia Lógica

Fonte: Cisco5, acesso em: 20/11/2020.

• E passagem de token (pode ser traduzido como bastão/

Figura 10 - Representação de uma Topologia Lógica

ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS

Uma rede de computador pode ser classificada de diversas

7 Disponível em: <https://neoa.unifei.edu.br/biblioteca/LivroDigital/iee/extensao/auto-

Fonte: Ribeiro-Santos, 2016.