Escolar Documentos
Profissional Documentos
Cultura Documentos
Brasília-DF.
Elaboração
Produção
APRESENTAÇÃO.................................................................................................................................. 4
INTRODUÇÃO.................................................................................................................................... 7
UNIDADE I
ASPECTOS DA COMPUTAÇÃO FORENSE................................................................................................. 9
CAPÍTULO 1
COMPUTAÇÃO FORENSE.......................................................................................................... 9
UNIDADE II
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL........................................................................ 23
CAPÍTULO 1
COMO SE DESENVOLVE O PROCESSO INVESTIGATIVO............................................................. 23
CAPÍTULO 2
ETAPAS DA PERÍCIA DIGITAL .................................................................................................... 27
CAPÍTULO 3
PERÍCIA EM DISPOSITIVOS MÓVEIS........................................................................................... 72
UNIDADE III
DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA ....................................................................................... 79
CAPÍTULO 1
LAUDO PERICIAL..................................................................................................................... 79
REFERÊNCIAS ................................................................................................................................. 93
Apresentação
Caro aluno
Conselho Editorial
4
Organização do Caderno
de Estudos e Pesquisa
A seguir, apresentamos uma breve descrição dos ícones utilizados na organização dos
Cadernos de Estudos e Pesquisa.
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor
conteudista.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita
sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante
que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As
reflexões são o ponto de partida para a construção de suas conclusões.
Atenção
5
Saiba mais
Sintetizando
6
Introdução
Na disciplina “Forense Digital e Documentoscopia” estudaremos a origem e os
aspectos legais da computação forense, bem como as particularidades existentes em
todo o processo de análise forense em computadores e dispositivos móveis. Além
disso, veremos as implicações legais e técnico-científicas da atividade pericial e da
elaboração de laudos e pareceres técnicos, para que o profissional desta área tenha
conhecimento dos procedimentos imprescindíveis não somente para uma boa análise
forense, mas também para a elaboração de um documento oficial que contemple todas
as necessidades jurídicas e esclarecedoras dos diferentes crimes possíveis realizados
por meio do uso de computadores e telefones celulares.
Objetivos
»» Promover uma visão holística a respeito da legislação e da área da
computação forense.
7
8
ASPECTOS DA
COMPUTAÇÃO UNIDADE I
FORENSE
CAPÍTULO 1
Computação forense
Fonte: <https://www.portaleducacao.com.br/curso-online-direito-computacao-forense/p>.
No século XIII, o juíz Song Ts´Eu redigiu o primeiro compêndio da medicina legal
justificando como reconhecer sinais de estrangulamento, afogamento e ferimentos
para alcançar a determinação do tipo, tamanho e arma empregada no crime. Nesse
9
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
10
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
“Ação penal
Art. 266.
11
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
O uso de computadores para a prática criminal não é uma atividade muito recente,
todavia, a legislação brasileira referente a esses aspectos ainda não é totalmente
consolidada e preparada para a tipificação de todas as modalidades de crimes
cibernéticos. Estima-se, por exemplo, que 90% dos exames forenses realizados na área
da informática sejam relacionados a investigações dessa modalidade de crime, sendo
que o computador, nesse caso, é uma ferramenta que auxilia criminosos na prática de
delitos que incluem falsificação de documentos, violação de direito autoral, sonegação
fiscal, tráfico de entorpecentes, entre outros (ALMEIDA, 2011).
Isso significa que o computador tem relação com o modus operandi do crime
(modo ilegal de execução da ação), assim como um carro que é utilizado na fuga de
bandidos. Por essa razão, em diversos casos, os exames forenses em tais objetos são
formidáveis provas técnicas e, por conseguinte, os laudos produzidos neles tornam-
se peças imprescindíveis para o convencimento do juiz na definição da sentença. A
definição do que é a computação forense centra-se na área da ciência da computação
que se desenvolve de forma gradual com o objetivo de atender à demanda oriunda
da criminalística, e que também é uma parte da criminalística que se apropria de
fundamentos da ciência da computação (BEGOSSO, 2010). Esta relação pode ser
visualizada na Figura 2.
12
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
Ciência da
Computação
Computação Forense
Criminalística
Para que o magistrado consiga chegar a alguma conclusão sobre um determinado fato,
a perícia forense computacional em suas atribuições vinculadas ao mundo jurídico,
utiliza o conhecimento de profissionais especializados para fazer a busca de provas.
No que tange a tais provas, existem aspectos a se considerar quanto à sua licitude ou
ilicitude. Uma prova ilícita é obtida de forma inidônea, ou seja, uma prova adquirida
violando a restrição constitucional.
Num conflito entre bens jurídicos relevantes a verdade é buscada a todo tempo, assim
como é necessário verificar a existência de violação à intimidade, pois os direitos
fundamentais não são absolutos, mas autoprotetivos. A legalidade da prova, portanto,
é também uma forma de defesa em nome da tutela dos direitos do acusado. Existem,
no entanto, correntes doutrinárias que defendem o uso total de provas ilícitas e outras
que defendem o veto absoluto. São exemplos dessas vertentes (MARINO et al., 2013):
13
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
evitar a invasão de privacidade do usuário. Por essa razão, é ideal definir um escopo
contendo as restrições necessárias para não haver interferências na ação de análise.
São raras as ocasiões em que acontece uma busca em todos os arquivos, quer seja por
motivos de os arquivos não terem relação com o que se procura, quer por limitações
de processamento.
A computação forense tem como objeto os crimes eletrônicos e uma vez que grande
parte dos negócios atuais se desenvolve na internet, sua importância é notória para
desvendar crimes e levar à punição necessária. Nesse cenário, é comum encontrar
agentes criminosos, isto é, indivíduos ou quadrilhas organizadas que agem, por
exemplo, falsificando websites de bancos visando obter credenciais ou manipular
contas correntes de clientes.
De acordo com Begosso (2010), a computação forense atua nos seguintes tipos de
situações:
»» raciocínio lógico;
14
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
Legislação
Expressões regulares Hardware
Sistemas operacionais
Smartphones
Modus Operandi
Linguagem de programação
Redes computacionais
Procedimento
Ferramentas de investigação
Definições
MAC times
Segurança da informação
15
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
»» técnico (hardening).
»» Windows;
»» Linux;
»» Unix;
»» OS X;
»» Novell;
»» DOS;
»» processos em execução.
»» NTFS;
»» FAT;
»» EXT3;
»» EXT4;
16
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
»» HSF+;
»» RaiseFS;
»» funcionamento;
»» topologia;
»» protocolos;
»» Wi-fi.
»» Análise de malware;
»» Análise de log;
»» Data Carving;
»» Dump de memória.
17
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
»» RAM;
»» roteadores;
»» impressoras;
»» Android;
»» Windows Phone;
»» IOS;
»» RIM;
»» Symbian.
»» pornografia infantil;
»» pirataria;
»» recuperação de disco;
»» auditoria;
Os softwares que causam ameaças digitais são definidos como Malware: malicious
software ou software malicioso, que são programas desenvolvidos para a execução de
ações maliciosas de vários tipos e com diferentes propósitos em computadores.
»» vírus;
»» worm;
18
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
»» bots e botnet;
»» backdoors;
»» Trojan;
»» keyloggers;
»» programas spyware;
»» rootkits.
Existem várias ferramentas para softwares e hardwares das quais os peritos podem
fazer uso em sua atuação profissional. O uso de ferramentas multiplataforma é comum
e funciona de forma eficiente em ambientes como Windows ou Linux. Algumas delas
têm uso fechado e exclusivo para a polícia e instituições de perícias (CONSTANTINO,
2012).
Ferramentas de Hardware
Uma vez que estas ferramentas evitam que dados sejam apagados, alterados ou
comprimidos de um determinado dispositivo, elas são necessárias para análises
forenses. Os hardwares são bloqueadores de escrita e permitem que o perito
possa fazer uma cópia exata de um dispositivo em outros, como por exemplo, o
espelhamento de um Hard Disk (HD) para outro. A partir desta ação o perito pode
19
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
20
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
Ferramentas de software
Os softwares possibilitam a cópia de dispositivos de modo seguro, não havendo riscos
de alterações no equipamento analisado. No entanto, ressalta-se que o uso destes
softwares requer atenção maior do perito, pois é importante que não se confunda
a operação de espelhamento, ou seja, a operação na qual se seleciona o HD a ser
copiado e o que receberá a cópia. Isso deve ser feito por softwares que não acessem o
HD na inicialização ou ao longo do processo de cópia. Na Figura 6 está um dos mais
conhecidos softwares, o Symantec Norton Ghost.
21
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
A origem é o HD que está sendo espelhado e o destino é o que receberá a cópia. Após
realizar o espelhamento e a cópia dos discos investigados, os peritos precisam partir
para a análise específica de cada arquivo existente. Para esta análise, existem programas
próprios para determinados sistemas como:
22
PROCEDIMENTOS
DE INVESTIGAÇÃO UNIDADE II
E PERÍCIA DIGITAL
CAPÍTULO 1
Como se desenvolve o processo
investigativo
Fonte: <http://idgnow.com.br/blog/privacidade-digital/2014/04/01/a-pericia-digital-em-redes-sociais-e-a-privacidade/>.
23
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Isso significa que as autoridades policiais devem se dirigir ao local onde tenha
ocorrido um crime computacional e isolar o local, sem ligar ou desligar os materiais
questionados para evitar que ocorram alterações ou perdas de possíveis provas e
arquivos importantes. Para realizar tais ações, é preciso que as autoridades tenham um
mandado de busca e apreensão, conforme o Direito Processual Civil para que o perito
possa realizar seu trabalho. Quando há um crime, seja ele de natureza computacional
ou não, o procedimento inicial é realizado por policiais civis e/ou militares etc, por
razões de delegação estatal, na condição de representantes do Estado. Portanto, é
imprescindível que esses garantam que o local em questão obedeça aos parâmetros
24
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
25
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
26
CAPÍTULO 2
Etapas da perícia digital
Isolamento
O isolamento da cena de crime é importante e imprescindível para a documentação
minuciosa dos vestígios existentes no local e posterior coleta. Estas são tarefas
fundamentais para a apuração dos fatos. Um local de crime de informática funciona
da mesma forma que uma cena de crime convencional, com a ressalva de haver
equipamentos computacionais que podem ter ou tem relação com o delito que está sendo
investigado, independente do computador ter sido usado apenas como ferramenta de
apoio ou como meio de realização da contravenção (ALMEIDA, 2011).
Para realizar uma busca é preciso que a autoridade judiciária faça a expedição de um
mandado de busca e apreensão, e assim, é possível fazer uma diligência para buscar e
apreender pessoas ou objetos que sejam de interesse judicial (ALMEIDA, 2011). Nesta
fase o perito identifica as evidências do material investigado ou do local de crime, e,
se for o caso, faz a documentação de cada evidência identificada. Esse processo deve
contemplar a seguinte ordem apresentada na Tabela 1, de acordo com Ramos (2014):
Etapas de identificação
27
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
1. Localizar o disco rígido (HD) (se houver mais de um HD, o computador deverá ser
arrecadado integralmente sem retirada dos HDs);
2. Remover parafusos ou presilhas de fixação;
3. Soltar os conectores do HD e removê-los;
4. Verificar se há mais mídias de armazenamento computacional no gabinete (cartões
de memória, CDs, DVDs);
Preservação de Provas
Durante a investigação forense digital, diversas partes de diferentes dados são
preservadas para uma investigação; Imagens bitcopy de discos rígidos são a forma
mais comum de realização do processo (ALHERBAWI, SHUKUR, SULAIMAN, 2013).
Os cuidados para preservar um material que possa conter provas valiosas é a primeira
etapa de trabalho do perito digital.
28
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Se tratando de HDs, o tamanho dos discos precisa ser analisado pela Logic Block
Addressing (LBA) para assegurar se o tamanho citado na etiqueta está correto ou não,
já que pode acontecer de estar mencionado um valor, mas não ser o tamanho real
disponível. Logic Block Addressing é uma organização lógica dos setores, empregada
nos discos rígidos atuais, que fica na etiqueta do fabricante. Ela faz o computador
endereçar cada setor do disco de forma sequencial, ao invés de fazer uso da localização
física (ALMEIDA, 2011).
Algumas opções fazem a sobrescrição de toda a área desejada apenas com um caractere
específico (0x00), enquanto outras fazem este processo sete vezes, modificando as
seis primeiras entre 0x00 e 0xff, e a última com caractere randômico. Contudo, de
acordo com o documento SP 800-88 publicado pela NIST (National Institute of
Standards and Technology), existem estudos apresentando informações de que a
maioria das mídias atuais podem ser sanitizadas utilizando somente uma sobrescrita.
Uma questão de destaque sobre o wipe é que se pode utilizá-lo para evitar enganos
29
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
por meio da limpeza do espaço excedente, como também pode ser utilizado por
criminosos para apagar vestígios de suas ações ilícitas (ALMEIDA, 2011).
Em geral as empresas fabricantes de HDs têm seus próprios softwares de Zero Fill
(ZILION, 2017). Este método consiste em inserir em cada bit do HD, o valor binário
zero, da mesma forma como quando o disco sai de fábrica. Para executar esta tarefa, é
necessário ter conhecimento das seguintes informações:
AbsoluteShield File Shredder Mantém a privacidade de dados excluindo arquivos de modo definitivo.
30
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
AceErase File Shredder Utilitário prático para remoção de arquivos sem possibilidade de recuperação.
Esse processo é eficiente em casos de dispositivos muito grandes, pois, gerando imagens
de partes do disco e em tamanhos menores, consegue-se uma análise mais veloz. Há
softwares específicos para a criação de imagens de discos, tais como o Clonezilla que
gera imagens pelo comando “dd” em sistemas GNU/Linux. Cabe ao perito, decidir qual
31
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
técnica usar dependendo do tamanho do disco, para conseguir realizar uma análise
mais eficiente (CONSTANTINO, 2012).
32
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Figura 11. Organização física dos dispositivos de armazenamento em um processo de duplicação forense por
Não havendo esses equipamentos, a duplicação pode ser feita com softwares específicos
que não causam alterações nas evidências existentes no material questionado. Esses
softwares podem ser os sistemas operacionais forenses Knoppix e Helix, acessam os
dados de leitura e têm o comando dd (duplicar disco). Um computador que contém
discos rígidos questionados e que estão desprotegidos de gravações não deve ser
inicializado por sistemas operacionais convencionais, já que, mesmo se o usuário
não fizer operações, ainda ocorrerão alterações nos dados. Pode haver não somente
riscos de alterações das informações armazenadas, mas os dados contidos nos
equipamentos computacionais podem ser perdidos com o passar do tempo, em virtude
do fim da vida útil dos materiais de fabricação, quebra dos dispositivos mecânicos ou
desmagnetização. Em razão desta fragilidade, é comum no meio computacional fazer
cópias de segurança dos dados (CONSTANTINO, 2012).
33
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Nesse sentido, podemos concluir que toda e qualquer atividade deve ser executada
buscando a garantia de que as informações armazenadas não irão sofrer alterações.
Assim, os exames forenses devem, sempre que possível, ser feitos em cópias fiéis do
material original (ALMEIDA, 2011). Ao finalizar a etapa de preservação, o material
questionado ou original que tenha sido copiado deve ser lacrado e guardado como
evidência em local específico (CONSTANTINO, 2012).
As imagens bitcopy (cópia bit a bit) de discos rígidos com dados alocados e não
alocados podem conter informações importantes para a investigação, sendo que os
últimos (dados não alocados) podem ser intencionalmente excluídos, como podem
ser excluídos automaticamente gerando uma exclusão temporária de arquivos.
Infelizmente, muitas vezes esses dados não são facilmente acessados. Porém, uma
pesquisa nos dados brutos pode recuperar documentos de texto importantes, ainda
que esses não auxiliem na obtenção de informações presentes em imagens ou
arquivos compactados. Além disso, também acontece de não se ter conhecimento de
34
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
antemão das sequências exatas que devem ser procuradas (ALHERBAWI, SHUKUR,
SULAIMAN, 2013).
Identificação e recuperação
Uma investigação deve ser conduzida primeiramente pela revisão das evidências
disponíveis e pela identificação de evidências perdidas/apagadas. Esta etapa é
indispensável, principalmente porque leva o perito a informações não vistas e evita
conclusões incorretas ou incompletas sobre um determinado caso (CASEY, KATZ,
LEWTHWAITE, 2013).
Quando se tem informações a respeito dos arquivos que podem ter sido perdidos, é
preciso que esses sejam recuperados. Existem diversas formas de recuperar arquivos
do espaço não alocado, dentre as quais a maioria das técnicas faz uso de informações
do sistema de arquivos para localizar e recuperar aqueles excluídos. As vantagens
dessa abordagem são principalmente sua rapidez e a obtenção de metainformação
(como data de último acesso, resolução, ISO) que frequentemente pode ser recuperada.
Em contrapartida, existe a desvantagem de estas técnicas serem menos eficazes
quando as informações do sistema de arquivos estão corrompidas ou sobrescritas
(ALHERBAWI, SHUKUR, SULAIMAN, 2013).
Com isso, esses trechos se tornam inacessíveis para o usuário comum, mas peritos
conseguem recuperá-los e acessá-los a partir de técnicas e procedimentos específicos.
Se o processo de recuperação demora a ser realizado, o profissional se deparará
com grande dificuldade de recuperação das informações do dispositivo, tendo
em vista que o espaço no disco nesse momento já é marcado como livre. Assim, o
sistema operacional pode ocupá-lo com outras informações e, consequentemente,
comprometer a possibilidade de recuperação e leitura completa das informações
(CONSTANTINO, 2012).
35
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Dessa forma, o programa consegue procurar por arquivos GIF e PDF especificamente,
e a “image.dd” pode ser uma partição específica do sistema. Esse programa apresenta
diversos parâmetros e pode ser utilizado de diferentes formas, como, acessando a
documentação do programa digitando “man foremost” no terminal do sistema. A partir
disso, pode-se identificar parâmetros disponíveis, bem como sua forma correta de uso.
Para o uso do programa Scalpel, é preciso configurar conforme o tipo de busca que será
feita. Assim, o procedimento segue com a edição do arquivo de configuração (scalpel.
conf):
Sabe-se ainda que cada computador tem suas particularidades, e por essa razão, é
necessário conhecer os diferentes sistemas operacionais e suas características, para
que a busca de informações e provas seja realizada de forma correta. A seguir serão
apresentadas algumas especificidades dos sistemas operacionais Windows e Linux/
Unix, respectivamente:
Windows:
36
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
a. arquivos compactados;
c. arquivos criptografados;
e. atributos de arquivos;
37
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Linux/Unix:
Data carving
38
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
»» arquivos ocultos;
»» arquivos criptografados;
»» arquivos temporários;
»» arquivos apagados;
»» fragmentos de arquivos;
»» sistemas computacionais;
»» bancos de dados;
»» registros de impressão;
39
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Arquivos ocultos
Arquivos temporários
Fragmentos
Maior complexidade
Outros
»» FAT16;
»» FAT32;
»» NTFS;
»» EXT2;
»» EXT3;
»» UFS;
40
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
»» JFS;
»» HPFS;
»» REISER etc.
Cada um desses sistemas tem uma forma de estruturação e organização de bits. Além
do mais, o conhecimento a esse respeito já é sistematizado, de modo que é possível
criar ferramentas forenses que examinem toda a superfície do disco buscando
bytes significativos conforme o sistema de arquivo subsistente. Tal automatização
proporciona uma redução de tempo na extração dos dados e permite que o perito se
dedique mais na etapa de análise e produção de evidências. Um impasse enfrentado
na etapa de extração é o aparecimento de programas e arquivos que necessitam de
senhas para serem extraídos, e assim, se torna necessário fazer uso de metodologias
que possam solucioná-lo, tais como (SOUSA, 2016):
»» engenharia reversa;
»» engenharia social;
A engenharia social é uma forma de ataque por meio de persuasão, de modo que,
diversas vezes acontece abuso da ingenuidade ou confiança do usuário, objetivando
obter informações para acesso não autorizado em computadores. Por outro lado, a
técnica pode ser utilizada para auxiliar em um processo investigativo em casos em que
um ambiente onde os arquivos são protegidos por senha e os investigadores têm contato
com os usuários, possibilitando chegar às senhas por persuasão e, consequentemente,
facilitar o trabalho pericial. Já o ataque por força bruta, é realizado pelo uso de um
dicionário de senhas, de modo que cada senha é testada de forma automática, visando
localizar uma possível senha dentro do dicionário utilizado. Um software bastante
empregado para realizar esse trabalho é o ElcomSoft Password Recovery (SOUSA,
2016).
41
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Clusterização
42
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Assim, uma vez que um cluster é definido, os padrões também o são, e esses últimos,
são ditados pelos próprios padrões componentes de cada cluster. Ressalta-se que
os problemas enfrentados em uma clusterização podem ser encontrados em várias
áreas de atuação e em diferentes contextos, como, por exemplo, na segmentação
de imagens, classificação de padrão, recuperação de informação etc. Além disso, a
clusterização é normalmente associada com a análise exploratória, já que envolve
problemas dos quais se tem pouco conhecimento e pouca informação a priori.
É justamente a clusterização que possibilita a criação de novas hipóteses acerca
dos inter-relacionamentos dos dados e sua estrutura intrínseca (MOSCATO; VON
ZUBEN, 2019).
»» clusterização ou agrupamento;
»» apresentação de resultado.
Inter-
Padrões Nova representação relacionamento dos
dos Padrões Padrões
Extração ou
Medida de
seleção de Agrupamento
similaridade
características
Clusters
Apresentação
43
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Deste processo cada etapa compreende uma tarefa específica, e estas serão esclarecidas
a seguir:
44
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Indexação de dados
De acordo com Viana et al. (2013), indexação é um processo que visa recuperar
informações e permite elaborar índices. Em sistemas informatizados de recuperação
da informação, uma indexação de qualidade garante uma recuperação mais precisa.
Conforme a NBR 12676 sobre os métodos para analisar documentos, determinar seus
assuntos e selecionar termos de indexação, o processo ocorre em três estágios:
Nesse caso, o responsável pela indexação deve atentar para três perguntas:
Ocorre que o indexador tem a função inicial de compreender a leitura quando realiza
uma análise conceitual que representa, de modo adequado, o conteúdo de um dado
documento, para que haja correspondência com o assunto pesquisado pelo usuário.
Contudo, para essa correspondência acontecer, é preciso adotar uma política de
indexação, tendo em vista que ela será norteadora de princípios e critérios que guiarão
a tomada de decisões para aperfeiçoar o serviço e racionalizar os processos (VIANA et
al., 2013). Essa política, por sua vez, deve considerar três fatores:
45
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Figura 14. Processo de execução de várias operações após adquirir e extrair dados.
Essa ação é vantajosa não somente por ser capaz de adquirir e extrair dados
simultaneamente, mas também por elevar significativamente a eficiência do processo
por meio da execução de várias operações em dados extraídos paralelamente (CASEY,
KATZ, LEWTHWAITE, 2013).
46
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
De modo geral, esta fase inicial de análise é onde são feitos os exames nos arquivos
recuperados de um material questionado, ou seja, exames nos arquivos extraídos.
Essa fase pericial tem por objetivo a identificação de evidências digitais vinculadas
a um crime que está sendo investigado. Uma vez que na fase de extração diversos
arquivos podem ser recuperados, há técnicas auxiliares para a busca pela informação
ou arquivo desejado, ou seja, técnicas de filtragem da informação, como, por
exemplo, o Know File Filter (KFF), que restringe a busca tanto quanto possível
para um conteúdo específico. Todavia, esta técnica só é eficaz quando se tem
conhecimento do tipo de arquivo que deve ser examinado (CONSTANTINO, 2012).
47
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Em um caso de acesso não autorizado, por exemplo, o perito terá que buscar por
arquivos log, conexões e compartilhamentos suspeitos. Já em um caso de pornografia,
o perito buscará por imagens armazenadas no computador, histórico recente de sites
acessados, arquivos temporários etc. Esse momento de análise visa identificar o autor
do crime, a forma e a ocasião de sua ocorrência bem como os danos causados. Nessa
etapa, é comum que peritos façam uso de uma técnica denominada Live Analysis ou
Forense in vivo (CONSTANTINO, 2012).
As informações são alcançadas em dois locais: nas áreas de atuação dos usuários
e no kernel do sistema operacional. Portanto, se torna necessário fazer uma busca
detalhada nos dados do sistema. Evidências digitais, em geral, têm características
específicas, como a possibilidade de serem duplicadas precisamente, mantendo
preservado o original ao longo da perícia. Pode-se verificar se foram alteradas, assim
como se pode modificá-las durante a análise, devido à sua volatilidade. Os dados mais
voláteis são priorizados nessa fase, pois são facilmente perdidos (CONSTANTINO,
2012).
A fase de busca de evidências pode ser dividida em três etapas: Live, Network e Post
mortem (BEGOSSO, 2010).
Análise inicial
Forense in vivo
48
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
irrelevante para a perícia. Esse tipo de situação costuma acontecer com dispositivos de
armazenagem na CPU (caches e registradores), pois seu estado é alterado no momento
em que se faz a captura (BEGOSSO, 2010).
Fonte: <https://monografias.brasilescola.uol.com.br/computacao/forense-computacional-tecnicas-para-preservacao-
evidencias-coleta-analise-artefatos.htm>.
Por outro lado, apesar da alta volatilidade de algumas informações, como o estado do
sistema operacional e o conteúdo da memória principal, eles são importantes para a
identificação de ataques em curso. Durante a forense in vivo existem informações que
podem ser obtidas, tais como (BEGOSSO, 2010):
»» memória de periféricos;
»» tráfego de rede;
»» arquivos de registros;
Estes dados podem, posteriormente, ser utilizados na fase de análise post mortem. A
etapa de forense in vivo termina assim que o sistema é desligado, após a coleta de
todas as informações do disco rígido. Na sequência, faz-se a cópia bit a bit, que será
usada na busca de possíveis evidências para a perícia. Contudo, é importante ressaltar
49
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Já os crash dumps são fontes úteis de dados, tendo em vista que possuem uma
imagem da memória do sistema quando acontece alguma falha inesperada, ou seja,
funcionam como uma espécie de caixa preta do sistema. Crash dumps fazem gravações
das informações contidas na memória e, por conseguinte, permitem uma análise
posterior. De acordo com Melo (2009), a análise do tráfego de rede é importante e
realizada por meio de sniffers, programas que capturam datagramas na rede e fazem
sua decodificação. Por meio dessa ação, vários tipos de informações são obtidas, das
quais podemos destacar:
50
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
»» módulos de kernel;
»» informações de logs;
»» duplicação do disco.
Para melhor compreender a diferença dos exames de dados, o perito deve saber
quais são os dados voláteis e os não voláteis, e nesse sentido, também deve
saber qual a diferença da análise de dados voláteis e não voláteis. A resposta
para isso é apresentada a seguir (FELIPE, RAMA, STUHL, 2019):A análise de dados
voláteis significa que os dados armazenados na memória RAM ou no cache do
sistema serão analisados, enquanto a análise de dados não voláteis é realizada
em dados armazenados em HDs, pen drives, CDs etc.
51
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Análise de Evidências
Ao longo da forense de rede, o perito deve observar alguns fatores, tais como, técnicas
de levantamento:
»» footprint;
»» fingerprint;
»» port scanner;
»» confirmação de invasão;
»» malware automatizado;
»» vulnerabilidades exploradas;
»» origem da ameaça;
Todos esses pontos costumam ser seguidos na forma de questões, para que o
perito possa tentar respondê-las quando está em ação no seu trabalho de busca por
evidências. De acordo com o contexto do incidente, essas questões podem variar, e, por
52
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
De acordo com Abdalla, Hazem, Hazem (2007) a forense de rede contempla as seguintes
questões:
53
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Identificação do alvo
Busca de vulnerabilidades
e meios de exploração
A partir de uma ótica forense,
essas etapas são passíveis de
Comprometimento inicial geração de logs nos servidores e
nos IDS, e se a segurança de
perímetro for bem planejada,
Aumento de privilégio haverá réplica de logs em um
servidor de logs remoto.
Reconhecimento do
sistema e invisibilidade
54
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Firewall
Bridge
Servidor
invadido
»» Servidor Firewall:
55
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
»» Servidor Alvo:
›› Kernel 2.4.18;
›› Apache 1.3.16 com suporte a PHP 4.1.2 com Safe Mode desabilitado;
O trabalho de análise forense e identificação da invasão para esse caso foi realizado na
ordem apresentada a seguir:
56
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Exploração de falha PHP para acessar informações sobre versão do sistema 38.807 03:35:33
03:35:49
Explora falha PHP para instalar uma backdoor temporária utilizando NETCAT 38.928
Abertura de conexão com backdoor instalada, por meio do segmento SYN 39040 03:36:18
Conexão aceita 39042 03:36:18
Download da figura skull.jpg na pasta /tmp, usando o comando wget 39129 03:38:11
Download da página skull.html na pasta /tmp, usando o comando wget 39215 03:39:01
03:42:33
Download do código fonte do exploit “km3.c” na pasta /tmp, usando o comando wget 39342
Compila o código fonte da exploit “km3.c” para o executável owner_skull, usando o comando
39384 03:42:49
gcc
Execução do exploit owner_skull -d 39396 03:43:11
Comprovação que se tornou o root por meio do comando id 39805 03:43:40
Retomada de tentativas de deface, com o comando cp 39818 03:44:06
Instalação de backdoor definitiva com privilégios de root, dentro do inetd.conf 40300 03:50:12
Término da conexão com a máquina invadida 40377 03:52:28
57
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
58
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Carregar iterativamente
dados sintéticos
Banco de dados
Detector de
Parâmetros Gestão
Captura do
armazenamento do BD
Sistema
Geração de
arquivo de
configuração
de BD
BDMS BDMS RAM
imagem de disco instantâneo
Página de dados
(tabelas e indexados)
A maior parte dos bancos de dados é capaz de registrar operações executadas neles,
entretanto, o conteúdo de qualquer arquivo de log é definido pelas referências de
registro ativas pelo usuário ou pelas configurações padrão no sistema de gerenciamento
de banco de dados (Database management system – DBMS). Devido à grande
variedade de configurações padrão, em alguns casos elas não são apropriadas para
realizar uma reconstrução ou análise em geral. Portanto, é importante que o perito
conheça as configurações de registro ideais, além das combinações de preferências de
registro, que permitam uma análise forense eficiente que torne possível reconstruir
dados armazenados anteriormente às exclusões ou alterações. Uma vez que os bancos
de dados permitem o armazenamento de informações, bem como o uso de consultas
para recuperar ou atualizar registros específicos, diferentes técnicas são fornecidas
para manter a integridade dos dados armazenados, de modo que também seja
garantida a sua segurança e recuperação em casos de falhas (ADEDAYO, OLIVIER,
2015).
59
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Tais técnicas fazem uso de logs mantidos pelo SGBD. Os logs são utilizados para manter
um registro das operações que afetam o valor dos itens do banco de dados e são liberados
para arquivos de log no disco (comumente antes das modificações associadas nos
arquivos de dados). Havendo uma falha, o procedimento de recuperação faz a leitura
dos arquivos de log e utiliza os registros para recuperar uma versão consistente. A
sobrecarga envolvida no processo de gravação de registros de log pode ser considerada
uma das principais razões da existência de vários níveis de registro em um banco de
dados, pois permite que o administrador decida quanta informação deverá estar logada.
Em contrapartida, haverá sempre um padrão de preferências de registro ativado se
essas não forem especificadas. Nos diferentes DBMS existem diferentes preferências de
padrões registradas (MySQL, Microsoft SQL Server, Postgres, Oracle, DB2 e Sybase)
(ADEDAYO, OLIVIER, 2015).
Eles apresentam divergências entre si, mas são relacionados à medida que formam as
dimensões do mesmo problema. O banco de dados comprometido dispõe de alguns
dos metadados ou softwares do DBMS alterados por um invasor, mas ainda apresenta
60
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Para que o perito possa realizar tais ações é preciso que tenha conhecimento dos
principais bancos de dados utilizados, nesse sentido, o MySQL, Microsoft SQL Server e
Oracle serão brevemente descritos a seguir.
Servidor MySQL
O MySQL é um sistema relacional de gerenciamento de dados aberto. O software
funciona como um sistema cliente-servidor ou um sistema embarcado que utiliza a
linguagem SQL como interface, que suporta diversas saídas, tarefas administrativas
etc. Este é o principal programa no SGBD que gerencia o acesso ao diretório de dados
que contém o banco de dados, tabelas e outras informações, tais como, os arquivos
de log. Além disso, ele tem cinco arquivos de log distintos, isto é, log de erros, de
consulta geral, binário, de consultas lentas e de retransmissão. Esses logs armazenam
informações a respeito das atividades que acontecem no banco de dados (ADEDAYO,
OLIVIER, 2015).
61
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
informações a respeito das conexões estabelecidas, bem como instruções SQL, sendo
que as consultas registradas nesse log são mantidas na ordem de recebimento podendo
se diferir da ordem de execução. O log de consultas lentas é voltado para aquelas que
demoram mais que o tempo especificado para sua execução, e nesse caso, as instruções
também são gravadas no arquivo de log após a execução e antes de serem lançados
bloqueios no banco de dados. Desse modo, a ordem das entradas de logs pode também
ser distinta da ordem de consultas executadas (ADEDAYO, OLIVIER, 2015).
62
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
usuários, que é criado conforme a necessidade. Quanto aos bancos de dados de usuários,
esses são produzidos para o armazenamento e manipulação de dados pelo usuário.
Neste caso, assim como num banco de dados do sistema, há dois tipos de arquivos do
sistema operacional, os arquivos de dados e de log. Arquivos de dados são utilizados
para armazenar objetos de banco de dados, tais como tabelas e procedimentos. Já os
arquivos de log mantêm os registros de eventos que acontecem no banco de dados.
Os quatro principais tipos de logs nesse servidor são: log de eventos do Windows,
log do agente servidor SQL, log de erro do servidor e log de transações (ADEDAYO,
OLIVIER, 2015).
O log de eventos do Windows tem três logs úteis que podem ser utilizados para a solução
de erros do servidor; o log do aplicativo que armazena eventos ocorridos no agente do
servidor, o log de segurança que armazena as informações de autenticação e o log do
sistema que faz o armazenamento de informações de inicialização e desligamento do
serviço. O log do agente do servidor registra qualquer informação, aviso e mensagens
de erro relacionados ao agente do servidor SQL, bem como suas operações. A criação
de um novo log de agente do servidor é feita com um registro de data e hora sempre que
o servidor é iniciado. O log de erros atua da mesma forma e é utilizado para armazenar
informações de erros ocorridos ao longo das operações do banco de dados. Quando
um procedimento não se inicia, o log de transações é o mais importante, além de ser
um componente crítico, já que ele mantém um registro das consultas de modificação
de dados realizadas (na ordem em que ocorreram). O banco de dados garante que os
dados serão gravados nos arquivos de log de transações antes deles serem afetados, e,
portanto, os logs de transações cooperam com a recuperação de transações com falha e
de versões consistentes do banco de dados em caso de falha do sistema. A vantagem do
servidor SQL é que cada banco de dados tem um log de transações e este é habilitado por
padrão. O tamanho deste log é definido dinamicamente pelo servidor e o truncamento
de log acontece automaticamente após determinados eventos. A partir do volume
de informações armazenadas nos diversos arquivos de log e nos bancos de dados do
sistema, é possível reconstruir tais dados durante uma investigação forense, desde que
a estrutura dos logs seja compreendida (ADEDAYO, OLIVIER, 2015).
Oracle
63
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
O redo log é ativado por um padrão e seus arquivos podem ser salvos em locais off-line
pelo uso dos redo logs arquivados. Esses últimos, por sua vez, permitem a recuperação
de um determinado banco de dados caso aconteça alguma falha de disco, bem como
a atualização de um banco de dados em espera e fornecem informações acerca do
histórico de um banco de dados quando o utilitário LogMiner é empregado no Oracle.
Há dois modos possíveis de ativação para informar ao banco de dados que se deseja ou
não arquivar os redo logs. Quando tal ação não é desejada, a função de arquivamento
ou o redo log é desabilitada (NoArchiveLog). Este modo protege o banco de dados de
falhas de instâncias, porém não permite a recuperação em caso de falha no sistema.
Já quando se quer arquivar os redo logs, utiliza-se o modo ArchiveLog que permite o
arquivamento dos logs tanto manual quanto automaticamente (ADEDAYO, OLIVIER,
2015).
64
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
»» camada física;
»» camada de dados;
»» camada de metadados;
»» camada de arquivos.
No que diz respeito à analise da camada de sistema e arquivos, é preciso que o perito
busque informações acerca da própria estrutura de arquivos do sistema. Para isso,
executa-se a pesquisa por meio de informações estatísticas a respeito da organização
da partição e estrutura de journaling. Quanto aos metadados, que é a camada que
fornece informações dos elementos manipulados ou inseridos em áreas relacionadas
ao incidente, é preciso usar ferramentas capazes de mostrar informações estruturais e
criar timelines (BEGOSSO, 2010).
65
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Trilha
Cabeça
Braço
Vista superior
Cabeça
Cilindro Superfícies
Assim, o perito poderá identificar mais facilmente os dados ocultos pelo invasor, ou
ainda, indícios de informações que tenham sido apagadas. Quando o perito conhece
os mínimos detalhes de cada aspecto do disco rígido, ele se torna capaz de recuperar
arquivos apagados ou aqueles que tenham passado por sobrescrição parcial. Examinar
os sistemas de arquivos é uma ação indispensável para a análise post-mortem, uma
vez que permite a reconstrução de eventos inerentes a um ataque. Essa reconstrução
acontece por meio do uso de mactimes, ou seja, marcas de tempo de arquivos, e dessa
forma, consegue-se obter indícios de quais dados foram acessados ou alterados e
programas executados pelo atacante no sistema invadido (BEGOSSO, 2010).
Sendo necessário, o perito deve tentar identificar informações que tenham sido
escondidas, o que pode ser feito por combinações de nomes de diretórios com
caracteres da tabela ASCII ou por inserção de dados em arquivos core. Além disso,
existem os arquivos temporários, que funcionam como esboço para arquivos finais com
controles da aplicação, e que são importantes para a análise post-mortem por serem
fontes valiosas de informação. A identificação e recuperação de arquivos excluídos é
uma atividade altamente relevante para a perícia forense computacional. Isso pode
ser feito por meio de comandos de exclusão, tendo em vista que um arquivo não é
efetivamente extinto, sendo conservado em uma área específica até que uma nova
informação seja gravada naquele espaço. As slackspaces que são áreas não alocadas,
também são fontes de informações significativas (BEGOSSO, 2010).
66
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
»» rastreadores de funções;
»» emuladores de máquinas;
»» analisadores lógicos;
Caso seja realizada uma análise dinâmica, em tempo real, o perito pode conseguir
resultados mais rápidos e precisos, de modo que, se torna possível, por exemplo,
observar o funcionamento completo do malware questionado, de acordo com o estudo
das modificações provocadas no sistema (BEGOSSO, 2010).
Padronização de Dados
67
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
É claro que cada país tem sua metodologia e legislação. No que diz respeito à troca
de evidências entre países, existem padrões definidos pelo SWGDE, apresentados
na International Hi-Tech Crime and Forensics Conference (IHCFC) que seguem o
princípio de que todas as organizações que trabalham com investigação forense têm
o dever de manter um alto nível de qualidade para garantir a confiança e a exatidão
das evidências. Quanto ao nível de qualidade, esse pode ser alcançado por meio
da elaboração de SOPs (Standard Operating Procedures), que precisam conter os
procedimentos para todas as modalidades de análises conhecidas, além de prever
o uso de técnicas, equipamentos e materiais aceitos e empregados na comunidade
científica (GUIMARÃES et al., 2011).
Antiforense
Como mencionado ao longo dos capítulos anteriores a respeito dos diversos
procedimentos que podem provocar alterações em um computador, é importante
mencionarmos as técnicas antiforenses, utilizadas com a finalidade de obter dados para
fins ilícitos ou causar alguma perturbação para interferir em uma investigação forense
(CONLAN, BAGGILI, BREITINGER, 2016). Uma das principais técnicas antiforense
utilizada é a criptografia, e esta será discutida a seguir.
Criptografia
O termo criptografia tem como significado ‘escrita escondida’ e consiste na ocultação
ou codificação de uma informação específica, de modo que apenas emissor e receptor
possam acessá-la. Essa técnica é bastante empregada em cadastros via web, como em
sites bancários (Internet Bankings), onde informações de clientes são criptografadas
com o objetivo de impedir que pessoas não autorizadas tenham acesso às informações
correspondentes. Os métodos de criptografia mais conhecidos são o uso de chaves
criptográficas. Nesse caso, o processo criptográfico é feito a partir da criação da chave.
Apenas o detentor desta chave conseguirá acessar o conteúdo completo do arquivo
criptografado. Diversos algoritmos são usados para realizar esse processo, ainda que
esses sejam conhecidos por outras pessoas, isso porque elas só conseguirão acessar as
informações se tiverem a respectiva chave criptográfica (CONSTANTINO, 2012).
Há chaves de 8 bits, 64 bits, 128 bits, 256 bits etc. Esses valores se referem ao tamanho
da chave gerada. Para fazer o cálculo do número de combinações possíveis conforme
68
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
o algoritmo usado, basta fazer uma potência de dois elevado ao número de bits do
algoritmo.
Exemplos:
No caso do exemplo 1, o algoritmo de 8 bits não é seguro, uma vez que 256
combinações é um número rapidamente acessível e um computador é capaz de
calcular as combinações em questão de minutos. Já no exemplo 2, o algoritmo de
128 bit gera uma possibilidade de combinações muito maior, e mesmo utilizando um
computador que tem alto poder computacional, necessitaria de bastante tempo para
“quebrar” a criptografia. Em termos de segurança, chaves geradas por algoritmos de
256 bits são ainda mais difíceis de decodificar e na maioria dos casos é impossível, em
virtude dos milhares de combinações possíveis geradas a partir desse algoritmo, pois
levaria meses para conseguir obter um único caractere dessa chave por computadores
(CONSTANTINO, 2012).
69
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Fonte: <https://www.bbc.com/portuguese/noticias/2012/11/121102_pombo_espiao_dg.shtml>.
70
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
71
CAPÍTULO 3
Perícia em Dispositivos Móveis
De acordo com Silva (2015), o sucesso das análises forenses em dispositivos móveis é
o entendimento das características de harwares e softwares dos telefones celulares.
Os dados de assinantes e atividades realizadas nos celulares em muitos casos são fonte
de provas valiosas para investigações. Para produzir provas é preciso contar com um
conjunto básico de características, que são obtidas a partir da maioria dos celulares e
que podem ser comparadas entre aparelhos distintos. Podemos elencar como exemplos
de características:
»» Microprocessador;
»» memória ROM;
»» memória RAM;
»» módulo de rádio;
»» alto falante;
»» tela;
»» sistema operacional;
»» bateria;
»» PDAs;
»» GPS;
»» câmera.
72
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Ferramentas forenses são capazes de adquirir informações dos dispositivos sem causar
alterações no conteúdo, isto é, realizam somente leitura, por meio de equipamentos
bloqueadores de escrita (Write Blocker). Além disso, geram hash garantindo a
integridade dos dados coletados. Essa característica é fundamental perante um
juiz, uma vez que cabe ao perito garantir a integridade das provas digitais coletadas
e analisadas por ele. São consideradas as melhores práticas de análise forense em
telefones aquelas que definem procedimentos para (SILVA, 2015):
»» apreensão;
»» aquisição;
»» exame;
»» documentação (relatórios/laudos).
Tais etapas são importantes, mas vale ressaltar que foram definidas a partir de
procedimentos empregados em análises forenses computacionais. O importante
em uma situação que requer extração de informações direta do dispositivo, é que o
examinador tenha competências e expertise suficiente para alcançar tais objetivos sem
causar danos ao equipamento ou às evidências, bem comocapacidade de explicar a
relevância e implicações dos procedimentos realizados. Como telefones celulares têm
distintos softwares, hardwares e funcionalidades, é preciso escrever procedimentos
específicos para as diversas categorias de aparelhos. Nesse sentido, a seguir serão
apresentados os procedimentos necessários para a realização da perícia em dispositivos
móveis (SILVA, 2015).
73
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
Por essa razão, o uso de um invólucro que bloqueia o recebimento de dados para o
acondicionamento ou o desligamento do aparelho pode ser feito para evitar tais
impasses. Além destas opções, pode-se ativar o modo avião (off-line) naqueles
dispositivos que tenham esta função. As três opções têm vantagens e desvantagens
que devem ser levadas em consideração em uma investigação. O desligamento pode
dificultar o acesso durante os exames periciais, pois códigos de autenticação podem
ser requisitados quando o telefone for reiniciado. O isolamento por bloqueio de sinal
pode elevar significativamente o consumo da bateria devido ao aumento da potência de
sua antena para buscar uma torre mais distante, e o uso do modo avião irá exigir uma
interação de um agente da lei com o dispositivo, mas nem sempre haverá uma pessoa
habilitada para fazê-lo (SILVA, 2015).
Aquisição de Dados
A aquisição de provas trata da extração de informações para uma análise posterior,
sendo que tal extração é feita em ambiente isolado da rede de comunicação do
dispositivo por meio de hardwares e softwares apropriados para a obtenção dos
dados. Antes de se iniciar a extração, o perito tem o dever de evitar que o dispositivo
possa se comunicar com a rede de telefonia ou realize conexões com a rede Wi-Fi,
bluetooth e IrDA, e para isso, é necessário utilizar equipamentos específicos para o
isolamento da comunicação ou intervir diretamente no dispositivo, desabilitando-o
para tais serviços. É importante que a extração seja iniciada com a bateria do
dispositivo totalmente carregada, para evitar corrupção ou perda de dados ao longo
do processo (SILVA, 2015).
»» memória interna;
»» cartão de memória;
Assim, o perito deve considerar os objetivos dos exames para saber o que avaliar e
até onde será possível realizar a extração de informações. A interação dos telefones
com os softwares forenses deve ser a menor possível e, portanto, deve-se inicialmente
estabelecer uma conexão via cabo USB, portas seriais ou paralelas, seguida do
infravermelho, bluetooth e por fim Wi-Fi. Em casos em que é possível realizar a extração
com tais softwares, é necessário utilizar aplicativos proprietários dos fabricantes do
dispositivo móvel ou mesmo uma extração manual, que deve ser realizada por um
74
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
Exame
Na etapa de examinar o aparelho o perito extrai informações importantes dos dados
adquiridos. Nesse caso é preciso que o profissional tenha conhecimento para lidar com
as evidências, e a autoridade solicitante deve deixar claro o que se deve esclarecer com
a atividade pericial. O exame depende essencialmente do tipo de evidência que será
procurada, por exemplo, se a perícia tiver relação com crime de abuso infantil, o perito
inicia a operação buscando imagens e vídeos que eventualmente tenham relação com o
objeto da solicitação, por outro lado, em um caso de tráfico de drogas, as mensagens e
relação de contatos são as primeiras informações averiguadas (SILVA, 2015).
»» data e hora;
»» linguagem;
»» configurações regionais;
»» contatos;
»» agendas;
»» mensagens textuais;
»» mensagens multimídia.
»» e-mails;
»» documentos;
»» informações de GPS;
75
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
»» aplicativos específicos;
Smartphones
Numa descrição geral, podemos mencionar que dados de iPhones e Androids podem
ser conseguidos por métodos lógicos e físicos. Os métodos físicos, no caso de
76
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
77
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
78
DOCUMENTAÇÃO
DA ATIVIDADE DE UNIDADE III
PERÍCIA
CAPÍTULO 1
Laudo Pericial
›› título do laudo;
79
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
›› subtítulo (opcional);
›› marca;
›› modelo;
›› número de série;
›› capacidade de armazenamento;
›› país de fabricação;
80
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
81
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
CAPA
»» número do laudo;
»» data: __/__/___;
»» nome do perito;
»» formação;
»» telefone de contato;
»» e-mail.
CONTRATANTES
Esse tópico deve conter informações acerca do contratante ou requerente dos serviços
periciais, assim como, informações dos requeridos.
»» nomes;
»» documentos de identificação;
»» endereços residenciais;
Se o laudo for requerido por um juiz, as informações necessárias nesse tópico são:
»» dados do foro;
»» nome do requisitante.
Localização
Necessário apresentar relato sobre o(s) local(is) que possui(em) envolvimento com
os elementos componentes do laudo. Havendo mais de um local, é recomendado
acrescentar um mapa ilustrativo das distâncias dos locais, tempo de locomoção (por
veículo ou a pé).
Exemplo:
82
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
Na Figura 22 é possível visualizar um local onde foi realizada uma análise pericial.
Nota-se a existência de um retângulo preto por cima do nome do residencial, que foi
inserido na imagem por motivos de sigilo.
Preliminares ou histórico
Nesta seção é preciso entender o que levou ao pedido da perícia ou laudo para que seja
possível elucidar histórico ou preliminares do trabalho. É importante também que esta
seção contenha registros das informações sobre a aquisição dos produtos que foram
periciados, isso inclui:
83
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
»» notas fiscais;
»» garantias;
Requer-se descrição de como foram executados os métodos da perícia, bem como das
ferramentas empregadas.
Exemplo:
Exemplo:
84
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
»» Mídias analisadas:
Exemplo:
Exemplo:
Exemplo:
Elaboração e execução de serviços de pericia em dispositivos de armazenamento de dados (PenDrive). Localizados no momento da
perícia no endereço: Av. Estados Unidos 1301, apartamento 22, Campinas – SP, CEP 13099-000. Destacado por meio desta PERÍCIA
DE DANOS CAUSADOS POR DELEÇÃO E SUBTRAÇÃO DE DADOS ELETRONICOS. Foi observado que o dispositivo possuía intactos
os lacres elaborados pelo fabricante, constatou-se que o mesmo dispositivo estava armazenado no veículo Volkswagen GOL, de placa
DDD-0000, no endereço supracitado. Eu, Ricardo Oliveira Marques, especialista em redes de computadores, designado pelo contratante
para executar o laudo pericial, com objetivo de antecipar provas, “Ad Perpeturam Rei Memorian” em observância a fase de subtração de
dados, estou procedendo aos estudos e diligências que se fizeram necessárias, transcrevo o respectivo trabalho.
Fonte: Adaptado de Marques, Mota e Mota (2015).
Neste procedimento, foram elencados cinco passos para elaborar e coletar evidências,
as quais são uma cadeia sequencial para obter provas digitais e preservam a cadeia de
custodia, conforme Figura 25.
85
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
Identificação:
Equipamentos e mídias digitais
Coleta:
Equipamentos e mídias digitais
Exame:
Dados armazenados
Análise:
Informações
Resultados:
Laudo pericial
Identificação ou tipologia
A tipologia diz respeito à descrição detalhada do que será ou foi analisado. Nesta etapa
deve-se incluir:
»» data de aquisição;
»» descritivo do material;
Exemplo:
86
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
Coleta
Na etapa de descrição da coleta, é necessário informar como ocorreu a coleta das
mídias digitais e computadores etc. O perito deve definir qual a melhor estratégia para
não corromper as provas digitais, bem como preservar o ambiente e garantir que as
informações não sofram modificações. Esta ação é semelhante à praticada em locais
de crimes convencionais, nos quais as evidências e provas devem ser preservadas. Nos
meios digitais o procedimento deve ser realizado seguindo as mesmas etapas. O exame
tem relação com a coleta física e lógica dos dados, que é realizada no local do crime,
como no exemplo apresentado na Figura 22. Todavia, o processo de trabalho técnico
para a coleta lógica de dados deve ser realizado seguindo passos descritivos conforme
apresentado a seguir na Tabela 7:
Horário Ação
9:40 Monitor e CPU foram ligados em ato contínuo sobre a mesa.
9:42 Mídia digital CD foi inserida no drive do equipamento.
9:43 A CPU foi ligada a um HD externo por conexão de um cabo.
9:45 O sistema DEFT LINUX foi iniciado.
Busca de um “LX Terminal” por escrita dos seguintes comandos:
df –kh, enter (objetivo: mostrar dispositivos conectados no equipamento);
fdisk /dev/sdb, enter (objetivo: mostrar configurações do dispositivo /dev/sda);
fdisk /dev/sdb, enter (objetivo: mostrar configurações do dispositivo /dev/sdb);
mkdir –p /mnt/sda /mnt/sdb, enter (objetivo: criar diretórios para cópia da imagem dos discos);
mount –o ro /dev/sda2 /mnt/sda2, enter (objetivo: acessar o disco que necessita de imagem pericial);
9:47
cyclone, enter (objetivo: acionar a aplicação do sistema que efetua a imagem pericial);
/dev/sda2, enter (objetivo: indicar qual disco rígido necessita da imagem pericial);
/mnt/sdb1/caso-joao-modelo-silva.img, enter (objetivo: indicar
onde será copiada a imagem do disco rígido);
1, enter (objetivo: indicar o tipo de cópia que será feita);
Y, enter (objetivo: confirmar as opções escolhidas e iniciar cópia forense).
Fim da cópia forense com assinatura digital com numeral:
12:45
MD5: ede1cf2904a163f7df28c27358d113d6SHA1: fb3b51278f3be658ec5a8d822b5c40285750a450.
87
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
Exame
Horário Ação
- Uso de um novo computador com mesmo sistema identificado por DEFT LINUX;
16:40 O computador foi ligado;
Busca do “LX terminal” para validar as assinaturas. Continuamente foram escritos os seguintes comandos:
md5sum/mnt/sdb1/caso-joao-modelo-silva.img (Objetivo: validar a assinatura digital, conforme padrão de algoritmo de
16:45
md5sum);
sha1sum/mnt/sdb1/caso-joao-modelo-silva.img (Objetivo: validar a assinatura digital, conforme padrão de algoritmo de sha1).
Os resultados dos comandos das assinaturas digitais devem coincidir com os apresentados na etapa de coleta (5, k), para
-
poder afirmar que a cópia forense foi realizada com sucesso.
Após examinar os insumos e validar sua integridade, a perícia deve seguir com a análise
e busca dos insumos dentro da imagem forense estudada.
Análise
Nesta etapa o perito tem o dever de informar como foi feita a análise e especificar
o que foi buscado na imagem forense, já que existe um número grande de arquivos
utilizados pelos sistemas operacionais, mas não cabe ao objeto da análise identificar
estas informações para o laudo pericial.
88
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
Horário Ação
»» O mesmo recurso de computador e sistema operacional identificados na etapa de coleta foi empregado para aplicar os
comandos:
1. mkdir/discopericia (Objetivo: criar área para tornar a imagem forenseacessívelpara análise);
2. mount –o loop /mnt/sdb1/caso-joao-modelo-silva.img /discopericia (Objetivo: tornar a imagem forense acessível para análise);
3. mkdir /pendrive-recuperacao (Objetivo: criar uma área temporária para cópia dos arquivos recuperados);
18:35
4. mount /dev/sdc1 /pendrive-recuperacao (Objetivo: inserir pen drive para colocar os arquivos para recuperação);
5. find /discopericia -iname ‘*.doc’ -o -name ‘*.docx’ -o -name ‘*.pdf’ -o -name ‘*.pst’ -o -name
‘*.ost’ -execcp ‘{}’ /pendrive-recuperacao \; (Objetivo: buscar todos os arquivos existentes na imagem periciada, sem diferenciar
maiúsculas e minúsculas, considerando os dados excluídos do sistema, lixeiras e copiá-los para o diretório de um pen drive
externo montado sob o nome de /pendrive-recuperação);
6. ls -la /pendrive-recuperacao (Objetivo: listar o que foi copiado para o pen drive).
Resultados
Garantias envolvidas
Nessa seção, as garantias que permeiam a integridade dos arquivos e dados encontrados
nas buscas devem ser descritas. Tais garantias devem permitir a checagem dos
arquivos encontrados para verificar se são os mesmos e que em nenhuma hipótese
sofreram qualquer alteração, seja por parte do perito seja das pessoas que tiveram
ou terão acesso às mídias digitais. Por essa razão, justifica-se o uso da atribuição de
assinaturas digitais para os arquivos relevantes, pois elas protegem a integridade dos
dados periciados. Nesse sentido, caso aconteça algum tipo de alteração ou violação,
a assinatura digital é modificada, como uma espécie de marca, única para cada tipo e
características de arquivo.
89
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
Bibliografia
Nesta seção são apresentadas as referências que especificam as fontes consultadas para
a elaboração do laudo, conforme as normas em vigência.
Anexos
90
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
91
Para (não) finalizar
O FBI necessitava do acesso às informações dos celulares dos suspeitos para investigar
a autoria do crime, e a Apple, por outro lado, defendia a privacidade dos usuários
que caso fosse violada, daria lugar para posteriores utilizações da chave-mestra
ou “supersenha” solicitada pelo FBI para acesso ao sistema de segurança iOS, que
poderia ser feita em qualquer dispositivo. Após semanas, e diversas ordens judiciais e
recursos, o FBI conseguiu desbloquear o telefone de um dos responsáveis pelo ataque.
Fonte: <https://www.bbc.com/portuguese/noticias/2016/03/160330_fbi_apple_lab>.
92
Referências
ABDALLA, S.; HAZEM, S.; HASHEM, S. Guideline model for digital forensic
investigation. Annual ADFSL Conference on Digital Forensics, Security and Law,
2007.
BARIKI, H.; HASHMI, M.; BAGGILI, I. Defining a standard for reporting digital
evidence items in computer forensic tools. Institute of Computer Sciences, Social
Informatics and Telecommunications Engineering, p.78-95, 2011.
93
REFERÊNCIAS
CASEY, E.; KATZ, G.; LEWTHWAITE, J. Honing digital forensic processes. Digital
Investigation, v.10, p.138-147, 2013.
FELIPE, A.; RAMA, J.; STUHL, R. Análise Forense. Disponível em: <https://www.
gta.ufrj.br/grad/15_1/_apresentacao/forense.pdf>. Acesso em: 05 de janeiro de 2019.
FENG, P.; LI, Q.; ZHANG, P.; CHEN, Z. Logical acquisition method based on data
migration for Android mobile devices. Digital Investigation, v.26, p.55-62, 2018.
94
REFERÊNCIAS
MOSCATO & VON ZUBEN. Uma visão geral de clusterização de dados. Disponível
em: <ftp://ftp.dca.fee.unicamp.br/pub/docs/vonzuben/ia368_02/topico5_02.pdf>.
Acesso em: 4 de janeiro de 2019.
95
REFERÊNCIAS
VIANA, A. W.; SILVA, D. B.; FONTES, L. A. S.; PINTO, M. C. Manual básico para
indexação de documentos arquivísticos: A experiência no arquivo nacional, 2013.
Disponível em: <http://www.grupoidoc.com.br/ged/tratamento-textual/>. Acesso
em: 3 de janeiro de 2019.
WAGNER, J.; RASIN, A.; GRIER, J. Database forensic analysis through internal
structure carving. Digital Investigation, v.14, p.S106-S115, 2015.
ZILION WEB. Zero Fill: O que é?, 2017. Disponível em: <https://zilionweb.wordpress.
com/2017/09/08/zero-fill-o-que-e/>. Acesso em: 03 de janeiro de 2019.
96