Escolar Documentos
Profissional Documentos
Cultura Documentos
Porém, uma das partes mais importantes neste tipo de atividade é o relatório final, aquele que será
escrutinado e atacado por suas possíveis deficiências. São fatores importantes desde a adequação ao
público-alvo, organização e apresentação dos achados até a sustentação dos argumentos e hipóteses
que levaram às conclusões apresentadas.
Infelizmente não há muito material de qualidade disponível sobre este tema, apesar de alguns
livros tratarem deste assunto de forma adequada. A boa notícia é que nesta semana dois artigos
relevantes foram publicados sobre aspectos relacionados à escrita de relatórios:
O Brad Garnett publicou no blog do SANS Institute o post “Report Writing for Digital Forensics: Part
II”
1- http://computer-forensics.sans.org/blog/2013/02/26/report-writing-digital-forensics-part-ii
Este post é uma continuação de um excelente material que já havia sido publicado em 2010:
2- http://computer-forensics.sans.org/blog/2010/08/25/intro-report-writing-digital-forensics
Além das novas referências, aproveito para divulgar outros materiais online que são relevantes aos
interessados pelo o assunto:
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação
de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê as
informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir
até mesmo como base para uma decisão judicial.
Investigação digital
“Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema
computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser
apresentadas em um foro de uma forma coerente e formato inteligível”. – Dr. H. B. Wolf
A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder
algumas questões à respeito de uma ocorrência digital.
A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois em um
processo de análise forense existe uma preocupação legal, não só uma preocupação técnica, ao
longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas
operações. A análise forense procura chegar numa conclusão final, que permita apresentar um
relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo
será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais
de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar
ou desmentir uma hipótese apresentada durante a análise do caso.
Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a
reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza
leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente
diferente, com artefatos diferentes, objetivos e métodos diversos.
Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas
do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em
descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em
demasia com os aspectos legais de todo o processo.
Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na
área, em pouco tempo, resolverão os mesmos.
Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e
daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação,
autenticação, permissão ou qualquer outra ação legal.
Sem contar, que muito do que manipulamos de informação atualmente, está em formato virtual, sem
equivalência do mundo físico. Por conta disso, em quatro ou cinco anos, todos os casos judiciais
envolverão a análise forense computacional.
E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e
que tenha conhecimento suficiente para realizar a análise forense de um sistema comprometido, ou
que possua evidências necessárias ara a comprovação de determinados fato.
■ Ferramentas do crime;
■ Alvo do crime;
■ Tangente do crime.
■ Ataque interno
■ Ataque externo
Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior
incidência.
E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:
Papel do investigador
O principal objetivo do investigador forense computacional é determinar a natureza e os eventos
relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento
de investigação estruturado.
O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra
qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode
colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem
fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um
processo judicial.
É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que
todo o processo também não seja invalidado.
Neste ano ocorreram vários ataques cibernéticos a portais do governo, serviços prioritários e
empresas tradicionais, sendo os mais recentes, ataque e roubo de senhas de serviços, tais como
Linkedin, na qual foram decifradas 6 milhões de senhas dos usuários (dados não oficiais) e também
ocorreu roubos de informações da Rede Social Facebook. Quando um serviço nasce, ele pode ser
100% seguro, mas com a evolução das técnicas de invasão, logo trona-se vulnerável, por isso é muito
importante investir em proteção e segurança para suas informações e sistemas. Existem hoje,
diversos sistemas operacionais baseados em Linux e Software Livre, desenvolvidos exclusivamente
para profissionais e estudiosos de Segurança da Informação e Computação Forense. Os sistemas
possuem ferramentas e aplicativos exclusivos para realização de testes, análises e atividades da
área, tais como: recuperação de arquivos apagados, analisadores de logs do sistema e programas,
engenharia reversa, testes de invasão, vasculhador de tarefas executadas no sistema, analisador de
protocolos enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre
outras coisas. Nesta era, em que estamos conectados em todos os lugares, os problemas e incidentes
tendem a aumentar, o mercado de segurança da informação é promissor, por isso busque
especialização nesta área, com certeza terá retorno rápido. Aproveite para conhecer alguns sistemas
operacionais baseados em Linux e Software Livre, que reúnem ferramentas e um conjunto de
aplicativos customizados para profissionais da área de segurança da informação, que trabalham com
Forense Computacional. São Eles:
BACKTRACK
Distribuição Linux com foco em segurança da informação e computação forense, o BackTrack possui
um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de
segurança. O sistema é destinado a todos os públicos, dos profissionais de segurança mais
experientes aos novatos. Com ótimos recursos, o sistema pode ser utilizado para análises diversas,
avaliação de aplicação web e sistemas, aprender sobre segurança da informação, estudos de
engenharia social, realizar testes de penetração e vários outros aplicativos.
CAINE
Distribuição Linux especializada em segurança da informação e computação forense, é baseada no
Ubuntu, a distribuição CAINE (Computer Aided Investigative Environment) é um projeto de forense
digital baseado em Linux e Software Livre. Com uma interface amigável e visual, o sistema possui
um pacote de aplicativos para realização de investigações forense que vão desde o básico ao
avançado. O sistema pode ser utilizado para diversas avaliações, confira a lista de aplicativos do
sistema. http://www.caine-live.net/page11/page11.html
Informações e download: http://www.caine-live.net/
SANTOKU
Distribuição Japonesa Linux especializada em segurança da informação e computação forense, com
foco em segurança mobile, engenharia reversa e análises de malwares, vírus em dispositivos móveis,
nas principais plataformas de smatphones e tablets. Atualmente as pragas virtuais para smartphones
e tablets crescem num ritmo acelerado, os recursos contidos nessa distribuição são muito úteis para
realização de testes e experiências em segurança móbile.
Informações e download: https://santoku-linux.com/
DEFT
Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da informação e
computação forense, com kernel na versão atual 3. Um sistema profissional, estável com uma
excelente conjunto de ferramentas para realização de análises forenses, inteligência cibernética e
realização de testes. A distribuição possui cerca de 3 GB de tamanho, com um kit de ferramentas
chamado de DART (Digital Advanced Response Toolkit – Ferramenta de Resposta Digital Avançada).
O ambiente gráfico é o LXDE, porém no terminal é mais rápido a realização das tarefas. O usuário
pode usar o sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas
ferramentas, citando as principais: descoberta de informações de rede, inclusive wireless, análise de
aplicações web, coleta de informações em redes sociais, proteção de identidade, clonagem de disco e
recuperação de arquivos. A equipe mantenedora do sistema disponibiliza um manual completo para
estudos.
BACKBOX
Distribuição Linux, baseada em Ubuntu, especializada em segurança da informação e computação
forense. Foi desenvolvida para realização de testes de penetração e avaliações de segurança. O
projeto oferece ao usuário as melhores ferramentas para análises, testes e investigações forenses,
além de ser rápida, fácil de usar e fornecer um ambiente completo, a distribuição está sempre
atualizada para garantir qualidade e evolução constante.
Informações e download: http://www.backbox.org/
HELIX
Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e
computação forense, possui uma gama de ferramentas dedicada a investigações e estudos da ciência
da computação forense.
Informações e download: http://www.e-fense.com/
REMnux
Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e
computação forense, utilizada por analistas de segurança na criação e administração de malwares
para engenharia reversa. Engenharia reversa, no caso, é utilizada para criar novas pragas para
combater as existentes. Os profissionais criam uma nova amostra de malware em laboratório para
infectar o sistema que possui o malware em questão e direciona as conexões potencialmente
maliciosas para o sistema REMnux, que estará escutando e analisando o software malicioso. O que
ocorre na verdade é a engenharia reversa, que estuda e entende como funciona o praga para
combatê-la. O kit de ferramentas do sistema inclui programas para análise de documentos
maliciosos e utilitários para a engenharia reversa de malware através de análise forense de
memória.
Informações e download: http://zeltser.com/remnux/
Não tive oportunidade de testar todos os sistemas, somente algumas distribuições. É necessário um
estudo prévio para analisar qual sistema é melhor para a atividade a ser exercida. Esses sistemas
são destinados a profissionais, é preciso ter ética para realização das atividades forenses, tanto com
os sistemas citados neste artigo, quanto em qualquer recurso existente, para a segurança e proteção
de todos. Não utilize os recursos para prática de crimes. Hacker não Cracker! Confira esse artigo
na Edição Nº 8 da Revista Segurança Digital. Bons estudos e sucesso!
Fonte: Analista TI
Quando um ficheiro aparece como perdido, para onde vai? Ao contrário do que a maioria das
pessoas pensa, eliminação não implica desaparecimento e o ficheiro não desaparece do disco rígido
para sempre. É melhor assumir o computador como uma página de um livro. Quando se elimina um
ficheiro, a página não se destrói como se se arrancasse e se passasse por uma trituradora. Em vez
disso, apaga-se a entrada do índice que indica a localização da referida página. A parte que se
apaga do computador é o bocadinho de informação que indica a localização do ficheiro no disco
rígido. Mais adiante, o disco rígido escreverá novos dados sobre a superfície onde se encontra o
antigo ficheiro.
O indicador, juntamente com os restantes indicadores de cada pasta e ficheiro do disco rígido, é
guardado numa secção na parte inicial do disco rígido e é usado pelo sistema operativo para criar a
estrutura de árvore do directório. Ao apagar o ficheiro indicador, o ficheiro real torna-se invisível
para o sistema operativo, apesar de continuar no mesmo local até que o sistema operativo reutilize o
espaço.
O desafio da recuperação de dados é encontrar o índice originário que indica onde se encontram
realmente os ficheiros. As empresas de recuperação de dados qualificadas dispõem de engenheiros
com experiência que podem reconstruir a estrutura de ficheiros do sistema e impedir que se escreva
em cima dos ficheiros perdidos. Dito isto, é uma questão de chegar aos lugares ocultos para
recuperar dados que parecem desaparecidos para sempre.
A recuperação de dados é a ciência que procura reconstruir o sistema de ficheiros para que se possa
aceder aos ficheiros de dados. Cada sistema operativo tem um sistema de ficheiros, que é um
método único de indexar e monitorizar os arquivos. Infelizmente para os que perdem dados, os
sistemas de ficheiros podem ser muito complexos, razão pela qual pode ser muito difícil localizar
ficheiros perdidos. Por exemplo, os sistemas de ficheiros utilizados em meios empresariais requerem
detalhes de segurança e dados de operações de acesso. Um bom exemplo disso é um sistema de
ficheiros baseado em operações, ou um livro-diário, cujo objectivo consiste em registar quando se
acede, modifica ou grava cada ficheiro, sendo assim um sistema mais complicado e mais difícil de
reconstruir.
Após a reparação do sistema de ficheiros, muitas vezes é necessário reparar a estrutura interna dos
próprios ficheiros de dados. Tal como os sistemas de ficheiros, os ficheiros de dados de software
para empresas também são muito complexos actualmente. De facto, alguns dos ficheiros mais
comuns empregues todos os dias por utilizadores são mais complicados internamente que o sistema
de ficheiros que alberga o ficheiro. Por isso, é importante que as empresas de recuperação de dados
desenvolvam utilitários de reparação de ficheiros de software para Word, Excel, PowerPoint, Access,
Outlook, e recuperações de bases de dados nos servidores Microsoft Exchange e Microsoft SQL.
Existem duas fases após a entrada de um dispositivo de armazenamento para efectuar recuperação
de dados. A primeira fase é a de diagnóstico. O objectivo desta fase é mostrar todos os ficheiros
susceptíveis de serem recuperados. O método mais seguro de sempre é trabalhar sobre uma cópia
do disco do cliente, nunca sobre o disco original. Durante esta etapa, os engenheiros de recuperação
podem determinar se o disco requer atenção especial na câmara limpa, que é um meio ultra-limpo
empregue para trabalhar sobre falhas em aparelhos sensíveis a qualquer contaminação atmosférica,
como os discos rígidos. Os técnicos especializados em técnicas de recuperação electromecânica
trabalham para conseguir que o disco fique operativo para poder copiar os dados em bruto para um
servidor isolado. Tal pode incluir qualquer operação, desde uma limpeza física dos pratos de discos
para que possam girar correctamente, a substituir elementos eléctricos para iniciar o dispositivo e é
importante para não continuar a contar com um disco que falha e cujo estado pode deteriorar-se.
Após fazer uma cópia dos dados em bruto, os engenheiros especialistas em sistemas de ficheiros
trabalharão para reparar as estruturas, e criarão uma lista de ficheiros completa que apresenta
todos os ficheiros e directórios do disco. Esta lista de ficheiros informará também o cliente se
existem buracos (ou erros de Input/Output) no próprio ficheiro. A última fase é a fase de
recuperação. O objectivo desta fase consiste em copiar os dados recuperados para o suporte de
armazenamento solicitado pelo cliente. Durante esta fase o cliente pode também pedir que se
experimentem alguns ficheiros no laboratório. Por exemplo, em dispositivos que sofreram danos
sérios no suporte ou no sistema de ficheiros, o cliente poderia solicitar que se experimentassem
alguns dos ficheiros mais comuns. O engenheiro que trabalhou na recuperação tentará abrir alguns
dos ficheiros e verificar que os dados abrem correctamente.
Irei detalhar aqui as informações a respeito do cargo de Perito em Informática (Área 03), já que meu
blog tem o foco em Tecnologia, mas darei o link para o edital das outras vagas.
Este concurso terá além do cargo de Perito (100 vagas), o de Escrivão (350 vagas) e de Delegado
(150 vagas).
Edital: http://www.cespe.unb.br/concursos/dpf_12_perito/
Vagas: 18
Remuneração: R$ 13.368,68
Impulsão Horizontal
Homem – Mínimo 2,14 m
Mulher - Mínimo 1,66 m
Corrida em 12 minutos
Homem – Mínimo 2.350 m
Mulher - Mínimo 2.020 m
Natação de 50 metros
Homem – Máximo 41 segundos
Mulher - Máximo de 51 segundos
Exercício de Cargo Público de natureza policial = 0,3 pontos/ano, máximo de 1,5 pontos.
Conhecimentos Básicos
Português
1. Compreensão e interpretação de textos de gêneros variados.
2. Reconhecimento de tipos e gêneros textuais.
3. Domínio da ortografia oficial.
1. Emprego das letras.
2. Emprego da acentuação gráfica.
4. Domínio dos mecanismos de coesão textual.
1. Emprego de elementos de referenciação, substituição e repetição, de conectores e outros
elementos de sequenciação textual.
2. Emprego/correlação de tempos e modos verbais.
5. Domínio da estrutura morfossintática do período.
1. Relações de coordenação entre orações e entre termos da oração.
2. Relações de subordinação entre orações e entre termos da oração.
3. Emprego dos sinais de pontuação.
4. Concordância verbal e nominal.
5. Emprego do sinal indicativo de crase.
6. Colocação dos pronomes átonos.
6. Reescritura de frases e parágrafos do texto.
1. Substituição de palavras ou de trechos de texto.
2. Retextualização de diferentes gêneros e níveis de formalidade.
7. Correspondência oficial (conforme Manual da Presidência da República e respectivas
atualizações).
1. Adequação da linguagem ao tipo de documento.
2. Adequação do formato do texto ao gênero.
Noções de Informática
1. Noções de sistema operacional (ambientes Linux e Windows).
2. Edição de textos, planilhas e apresentações (ambientes Microsoft Office e BrOffice).
3. Redes de computadores.
1. Conceitos básicos, ferramentas, aplicativos e procedimentos de Internet e intranet.
2. Programas de navegação (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome e
similares).
3. Programas de correio eletrônico (Outlook Express, Mozilla Thunderbird e similares).
4. Sítios de busca e pesquisa na Internet.
5. Grupos de discussão.
6. Redes sociais.
7. Computação na nuvem (cloud computing).
4. Conceitos de organização e de gerenciamento de informações, arquivos, pastas e programas.
5. Segurança da informação.
1. Procedimentos de segurança.
2. Noções de vírus, worms e pragas virtuais.
3. Aplicativos para segurança (antivírus, firewall, anti-spyware etc.).
4. Procedimentos de backup.
5. Armazenamento de dados na nuvem (cloud storage).
Atualidades
Tópicos relevantes e atuais de diversas áreas, tais como segurança, transportes, política, economia,
sociedade, educação, saúde, cultura, tecnologia, energia, relações internacionais, desenvolvimento
sustentável e ecologia, suas inter-relações e suas vinculações históricas.
Raciocínio Lógico
1. Estruturas lógicas.
2. Lógica de argumentação: analogias, inferências, deduções e conclusões.
3. Lógica sentencial (ou proposicional).
1. Proposições simples e compostas.
2. Tabelas-verdade.
3. Equivalências.
4. Leis de De Morgan.
5. Diagramas lógicos.
4. Lógica de primeira ordem.
5. Princípios de contagem e probabilidade.
6. Operações com conjuntos.
7. Raciocínio lógico envolvendo problemas aritméticos, geométricos e matriciais.
Legislação Especial
1. Lei no 7.102/1983 (dispõe sobre segurança para estabelecimentos financeiros, estabelece
normas para constituição e funcionamento das empresas particulares que exploram serviços de
vigilância e de transporte de valores, e dá outras providências).
2. Lei no 10.357/2001 (estabelece normas de controle e fiscalização sobre produtos químicos que
direta ou indiretamente possam ser destinados à elaboração ilícita de substâncias
entorpecentes, psicotrópicas ou que determinem dependência física ou psíquica, e dá outras
providências).
3. Lei no 6.815/1980 (define a situação jurídica do estrangeiro no Brasil e cria o Conselho Nacional
de Imigração).
4. Lei no 11.343/2006 (institui o Sistema Nacional de Políticas Públicas sobre Drogas–SISNAD–,
prescreve medidas para prevenção do uso indevido, atenção e reinserção social de usuários e
dependentes de drogas, estabelece normas para repressão à produção não autorizada e ao
tráfico ilícito de drogas, define crimes e dá outras providências): apenas aspectos penais e
processuais penais.
5. Lei no 4.898/1965 (direito de representação e processo de responsabilidade administrativa civil
e penal, nos casos de abuso de autoridade): apenas aspectos penais e processuais penais.
6. Lei no 9.455/1997 (define os crimes de tortura e dá outras providências): apenas aspectos penais
e processuais penais.
7. Lei no 8.069/1990 (Estatuto da Criança e do Adolescente): apenas aspectos penais e processuais
penais.
8. Lei no 10.826/2003 (Estatuto do Desarmamento): apenas aspectos penais e processuais penais.
9. Lei no 9.605/1998 (Lei dos Crimes Ambientais): apenas aspectos penais e processuais penais.
10. Lei no 8.072/1990 (Lei dos Crimes Hediondos).
11. Lei no 10.446/2002 (infrações penais de repercussão interestadual ou internacional que exigem
repressão uniforme).
Conhecimentos Específicos
1. Fundamentos de computação.
1. Organização e arquitetura de computadores.
2. Componentes de um computador (hardware e software).
3. Sistemas de entrada, saída e armazenamento.
4. Princípios de sistemas operacionais.
5. Características dos principais processadores do mercado.
6. Processadores de múltiplos núcleos.
7. Tecnologias de virtualização de plataformas: emuladores, máquinas virtuais,
paravirtualização.
8. RAID: tipos, características e aplicações.
9. Sistemas de arquivos NTFS, FAT12, FAT16, FAT32, EXT2, EXT3: características, metadados e
organização física.
10. Técnicas de recuperação de arquivos apagados.
2. Bancos de dados.
1. Arquitetura, modelos lógicos e representação física.
2. Implementação de SGBDs relacionais.
3. Linguagem de consulta estruturada (SQL).
4. Transações: características e análise de logs.
3. Engenharia reversa.
1. Técnicas e ferramentas de descompilação de programas.
2. Debuggers.
3. Análise de código malicioso: vírus, backdoors, keyloggers, worms e outros.
4. Ofuscação de código.
5. Compactadores de código executável.
4. Linguagens de programação.
1. Noções de linguagens procedurais: tipos de dados elementares e estruturados, funções e
procedimentos.
2. Noções de linguagens de programação orientadas a objetos: objetos, classes, herança,
polimorfismo, sobrecarga de métodos.
3. Estruturas de controle de fluxo de execução.
4. Montadores, compiladores, ligadores e interpretadores.
5. Desenvolvimento web: Servlets, JSP, Ajax, PHP, ASP.
5. Estruturas de dados e algoritmos.
1. Estruturas de dados: listas, filas, pilhas e árvores.
2. Métodos de acesso, busca, inserção e ordenação em estruturas de dados.
3. Complexidade de algoritmos.
4. Autômatos determinísticos e não-determinísticos.
6. Redes de computadores.
1. Técnicas básicas de comunicação.
2. Técnicas de comutação de circuitos, pacotes e células.
3. Topologias de redes de computadores.
4. Elementos de interconexão de redes de computadores (gateways, hubs, repetidores, bridges,
switches, roteadores).
5. Arquitetura e protocolos de redes de comunicação.
1. Arquitetura TCP/IP.
2. Arquitetura cliente-servidor.
3. Redes peer-to-peer (P2P).
4. Comunicação sem fio: padrões 802.11; protocolos 802.1x; bluetooth.
6. Computação em nuvem.
7. Segurança da informação.
1. Normas NBR ISO/IEC no 27001:2006 e no 27002:2005.
2. Biometria.
3. Engenharia social.
4. Esteganografia.
5. Desenvolvimento seguro de aplicações: SDL, CLASP.
8. Segurança de redes de computadores.
1. Firewall, sistemas de detecção de intrusão (IDS), antivírus, NAT, VPN.
2. Monitoramento e análise de tráfego; uso de sniffers; traffic shaping.
3. Tráfego de dados de serviços e programas usados na Internet.
4. Segurança de redes sem fio: EAP, WEP, WPA, WPA2.
5. Ataques a redes de computadores.
9. Criptografia.
1. Noções de criptografia.
2. Sistemas criptográficos simétricos e de chave pública.
3. Certificação digital.
4. Modos de operação de cifras.
5. Algoritmos RSA, AES e RC4.
6. Hashes criptográficos: algoritmos MD-5 e SHA-1, colisões.
10. Sistema Operacional Windows.
1. Sistemas Windows: 2000, XP, 2003, Vista e Windows 7.
2. Gerenciamento de usuários em uma rede Microsoft.
3. Log de eventos do Windows.
4. Registro do Windows.
11. Sistema Operacional Linux.
1. Características do sistema operacional Linux.
2. Gerenciamento de usuários.
3. Configuração, administração e logs de serviços: proxy, correio eletrônico, HTTP.
12. Sistemas operacionais móveis.
1. Sistema iOS.
2. Sistema Android.
13. Governança de TI.
1. Modelo COBIT 4.1.
2. ITIL v3.
3. Gerenciamento de projetos com PMBOK.
4. Análise de pontos de função.
5. Atos normativos do MPOG/SLTI: Instrução Normativa no 2/2008 (alterada pela Instrução
Normativa no 3/2009); Instrução Normativa no 4/2010.
De acordo com especialistas de segurança e legalidade, deixar de cobrir suas bases legais antes de
apresentar seu caso para o juiz e o júri pode efetivamente dar ao réu um cartão proverbial “fora da
prisão” e deixar a sua organização sem muita influência.
Aqui estão algumas das maneiras mais comuns que as empresas tendem a fundir seus casos contra
insiders maliciosos.
De acordo com Damon Petraglia da Chartstone, um dos casos civis mais comuns que ele ajuda a
investigar é quando os funcionários roubam informações de seus empregadores ou fazem algo
inadequado com a tecnologia. A fim de fazer um processo contra tal empregado, é importante não só
provar que ele roubou ou fez algo errado, mas que tinha a intenção.
“Se você quiser demitir ou processar alguém é preciso provar que essa pessoa tinha a intenção de
fazer algo malicioso”, diz Petraglia, diretor de serviços de segurança da informação da Chartstone.
“Muitas vezes, quando estou olhando para algo forense, uma empresa não terá qualquer apólice em
vigor que diz que você não pode fazer algo. Isso torna muito difícil processar ou demitir alguém.”
“Se eu fosse aconselhar alguém que tem informações confidenciais, dados ou tecnologia, eu diria
que a coisa mais importante a fazer é ter acordos com seus funcionários que deixam claro que há
informações confidenciais que limitam a capacidade dos funcionários para usar essas informações”,
diz Jim Davis, parceiro do escritório de advocacia Klemchuck Kubasta, em Dallas.
Segundo Davis, os juízes tendem a não ser muito simpáticos em casos contra um insider para roubar
segredos comerciais quando a informação em questão foi deixada sem proteção no sistemas da
empresa.
“Se você não tomar as medidas razoáveis para protegê-lo e limitar o acesso, um tribunal muito
provavelmente pode achar que você não tratava os segredos como tais”, diz ele. “E se você não
tratá-lo como um segredo, muito provável o tribunal dirá: nós não vamos tratá-lo como um segredo,
tampouco, e não vamos dar-lhe qualquer remédio. Se você não se importa o suficiente sobre isso
para protegê-lo, então nós não vamos ajudá-lo a protegê-lo após o fato.”
Davis diz que a coisa mais importante é instituto de tecnologia e procedimentos que limitam o
acesso a dados sensíveis em uma base. O advogado John Hornick concorda, enfatizando que esses
procedimentos não só oferecem proteção legal, mas são também um acéfalo para limitar o risco de
incidentes privilegiados em primeiro lugar.
3. Limitar a retenção de Login ou não monitorar o tempo todo
Quando ele trabalhava na Scotland Yard, Steve Santorelli, diretor de alcance global na Internet da
Team Cymru, diz que uma das regras que ele e seus colegas policiais vivenciaram é: “Se não está
escrito, então nunca aconteceu. ”
O monitoramento de registros (logins) é o melhor caminho para uma organização provar que alguma
coisa aconteceu. Mas eles precisam existir para fazer a diferença.
Mais importante, porém, as organizações precisam estar cientes de que suas políticas de retenção
de log não limitam o quão bem a organização pode voltar para as provas forenses.
“Certifique-se de que você não está substituindo os dados”, diz Petraglia. “Isso acontece o tempo
todo. Há uma política de retenção de 30 dias, eles não descobrem até sessenta dias de que algo ruim
aconteceu e agora eles não têm mais a evidência.”
Você não necessariamente tem que ir a níveis ridiculamente complicados para manter a evidência
forense, diz Santorelli, mas você precisa tomar precauções ou o seu caso vai ser destruído antes
mesmo de começar.
“As pessoas vêm até nós, policiais, e no momento em que tomam a decisão de vir para a aplicação da
lei, a cena do crime já foi destruída”, ele diz.
De acordo com Santorelli, a regra número um de ouro nunca é trabalhar na mídia original como
prova – sempre faça uma cópia de bits para trabalhar e armazenar a mídia original como prova.
” Se você assumir que tudo vai eventualmente acabar em tribunal, então você não pode estar
errado.”
As organizações que levam a sua papelada em tempo legal contra um insider malicioso tendem a
achar que é difícil promover a simpatia dos juízes, uma vez que seus arquivamentos cruzam suas
mesas, diz Davis. Como ele coloca, quanto mais você esperar, menor a probabilidade de o tribunal
ajudá-lo.
“O tribunal vai dizer: ‘Se esta era uma emergência desse tipo, por que esperar duas semanas para
vir aqui e abrir um processo?’”, Diz ele. “Especialmente se for de dados sensíveis. Se você descobrir
que os dados foram tomados, é preciso reunir as provas imediatamente, contratar um advogado e
começar um processo em arquivo o mais rápido possível e tentar obter uma liminar de um juiz.”
Quanto mais rápido você agir, mais provável você vai obter o alívio que você precisa, diz Davis.
Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última instância, é essa
cadeia que as buscas realizam.
O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade sobre o
acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo
os vestígios que foram deixados no sistema. Esses vestígios podem ser transformados em provas.
Em seu trabalho, o investigador digital pode trabalhar com outros dados e informações que, em
resultado último, não se converterão em provas para um processo judicial. Nesse trabalho,
utilizamos o termo “vestígio” livremente, porém, em uma redação, para uso legal essa distinção pode
ser necessária.
A sequência de passos e o que será analisado dependem do tipo de incidente. Após uma invasão de
um sistema, por exemplo, é necessário analisar uma relativa quantidade de fontes de dados,
incluindo conexões na rede, portas utilizadas nessas conexões, arquivos de log, instalação de
malwares e programas, arquivos criados, apagados e alterados.
No entanto, nem todos os casos envolvem uma análise tão abrangente. Por exemplo, um empregado
pode ter acessado sem autorização um diretório contendo arquivos de grande interesse para a
empresa em que trabalha. Nesse caso, uma avaliação da memória principal do computador não
parece ser necessária. A cópia de um arquivo de log que guarda os acessos ao computador pode
conter vestígios suficientes para estabelecer a autoria do delito.
Já em outros casos, o acesso pode vir acompanhado de substituição de programas do sistema por
outros maliciosos, instalação de bibliotecas espúrias e execução de processos viciados. Nesse caso,
uma análise de como o sistema foi manipulado e uma “foto” dos processos em execução podem ser
necessárias, o que envolve a análise do sistema ligado e ferramentas para dump de memória.
Cada investigação deve começar com uma hipótese. Exemplos incluem “esse
computador foi invadido”, ou “a esposa de fulano está tendo um caso”, ou “este computador teve seu
arquivo de lixo roubado”. O papel do investigador
não é provar essas afirmações, mas levantar os vestígios que indicam que essas hipóteses são
verdadeiras ou não (ALTHEIDE; CARVEY; DAVIDSON, 2011).
A Computação Forense trabalha com o fato de que qualquer ação em um sistema computacional
deixa vestígios. Ações muito simples causam mudança de estado nos registradores da unidade
central de processamento, bem como mudança de estado na memória principal. Ações mais
complexas têm uma grande possibilidade de deixar impressões mais duradouras, como informações
armazenadas em um disco rígido. Segundo Altheide, Carvey e Davidson (2011), podemos fazer
analogia com a investigação forense tradicional, quando tanto o arrombamento de uma porta como
sua abertura com chave mestra deixam vestígios – mais fortes e mais fracos. Mesmo o ato de limpar
os vestígios pode levar à criação de novos vestígios – como o cheiro de água sanitária em uma cena
de crime que foi lavada.
Comparado a muitos vestígios físicos de que trata a forense tradicional, o conteúdo digital é
relativamente muito frágil. É facílimo corromper dados gravados em discos e memórias
permanentes, bem como, mais ainda, eliminar vestígios presentes na memória principal de
computadores e outros meios voláteis. Sem um cuidado adequado, tanto o conteúdo pode se
perder como pode ser corrompido, causando imprecisão no resultado de uma análise.
Durante a investigação, também não podem ser negligenciados detalhes como a manutenção de
sigilo e invasão de privacidade. Numa investigação conduzida de forma ilegal, os vestígios
encontrados podem ser recusados como provas em um processo.
Numa investigação forense, a forma com que o trabalho de coleta é feito é tão importante quanto o
vestígio em si. Também podemos dizer que a qualidade do resultado da investigação é proporcional
ao rigor e à precisão com que o trabalho investigativo é conduzido. Todo o procedimento deve ser
documentado, com a descrição do ambiente onde se encontram os equipamentos, fotografias,
esquema de ligação das máquinas e inclusão de cada dispositivo coletado na cadeia de custódia.
Existe o mandamento maior na Computação Forense que é extrair os vestígios sem causar
qualquer alteração no conteúdo original. Além disso, esse conteúdo deve ter seu estado
preservado durante toda a investigação: desde o momento que o vestígio é encontrado até o
momento em que a investigação se encerra e, talvez ainda, para além, quando contestações podem
requerer novo exame de todo o material. O valor do vestígio depende do quanto ele foi preservado.
Em certas circunstâncias, a alteração de apenas alguns bits já destrói o vestígio e prejudica
drasticamente uma investigação (WRIGHT, 2010).
Como já mencionado, uma ferramenta importante usada pelo investigador é a de cadeia de custódia.
Nela, são anotadas todas as operações realizadas em um dispositivo ou uma mídia que contém o
vestígio, bem como quem o manuseou, quando isso foi feito e o que foi feito. Nem todos os trabalhos
realizados em um dispositivo são feitos por apenas uma pessoa. Imagine a necessidade de enviar um
disco rígido para ser analisado em um laboratório, seja por um problema de hardware seja por
conter um sistema operacional não familiar à equipe. Esse envio deve ser documentado na cadeia de
custódia, dando à equipe uma pronta informação de seu destino, datas, o que foi feito e por quem.
No momento de apreensão de um dispositivo, uma etiqueta deve conter data e hora, o nome do
coletor, de onde o item foi retirado e outros fatos relevantes ao caso, dependendo das políticas e dos
procedimentos do time de investigadores (OPPENHEIMER, s.d.). Após isso, o dispositivo deve ser
transportado e bem guardado. Veja exemplo de uma embalagem específica para a coleta de um
dispositivo na Figura 1.
Um exemplo de trabalho que expressa esse cuidado, utilizado como referência ao redor do mundo, é
o guia de boas práticas para a pesquisa, apreensão e exame do vestígio eletrônico, o ACPO Good
Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE UK, 2011). Iniciado em 1997, no Reino
Unido, o trabalho contou com a participação de agências de investigação e unidades de ciência
forense envolvendo vestígio digital, incluindo a Associação de Chefes de Polícia – Computer Crime
Working Group.
O guia ACPO estabelece quatro princípios essenciais para a abordagem no momento de apreensão e
coleta de dados:
Esses quatros princípios indicam que o processo vai além da coleta dos vestígios, em direções que
implicam necessidade de rigor na coleta de dados e responsabilidades dos envolvidos.
Na internet, podemos consultar outras organizações que mantêm guias como o anteriormente
exemplificado.
Procedimento preparatório para a busca e
apreensão
O termo jurídico busca e apreensão (BRASIL, 1973) remete a uma ordem judicial para que coisas
ou pessoas sejam localizadas, analisados ou retirados do local para análise posterior. Mesmo que o
investigador forense trabalhe internamente em uma equipe de resposta a incidentes, é possível que
a empresa seja, em alguma época, alvo de uma ordem de busca e apreensão em seus computadores.
Casos como delitos causados por empregados, uma denúncia, mesmo que infundada, de uso de
software não licenciado, ou outros motivos fora de controle da empresa, não podem ser
totalmente descartados. É normal que pessoal técnico da empresa seja chamado a acompanhar o
procedimento e entender o que está acontecendo e muitas vezes até mesmo auxiliando na busca de
informações.
No caso de denúncia, não há nenhum aviso prévio no sentido de a empresa apresentar seus
comprovantes de compra de licenças. A busca e apreensão é feita e, posteriormente, a empresa tem
de se defender da acusação de compra de software não licenciado.
E
x
e
m
p
l
o
d
e
E
m
b
a
l
a
g
e
m
Os passos a seguir são exemplos que uma equipe de peritos pode seguir, tanto em uma investigação
em campo quanto em uma investigação interna, dando ênfase em alguns pontos e suprimindo outros
de acordo com o ambiente e caso analisado.
Podemos usar o termo perito como sinônimo de especialista, e não necessariamente como aquele
profissional nomeado por um juiz para trabalhar em um processo judicial.
Planejamento
Qualquer trabalho de busca e apreensão deve ser bem planejado. Durante essa fase, é importante
juntar o máximo de informações sobre o local onde o equipamento está instalado, sobre seus
usuários e sobre as máquinas em si. Informações como número de computadores, seus modelos,
tipos de sistemas operacionais e conexões devem ser previamente conhecidas, para que o
investigador ou a equipe de investigadores tenha as ferramentas adequadas em mãos, inclusive, se
necessário, com peritos auxiliares contratados para casos em que os sistemas não sejam de domínio
da equipe.
Outro fator que pode pesar é a existência de um grande número de equipamentos. Pode ser que o
tempo disponível para o trabalho não permita analisar todos os computadores in loco. Se esse for o
caso, e o tipo de análise permitir, pode ser necessária a escolha de máquinas representativas ou
mais importantes, como servidores, a retirada de equipamentos ou de dispositivos, como discos
rígidos e unidades de backup para laboratório.
Em um caso de perícia sobre uso indevido de licenças, uma empresa de software alegou que uma
fábrica estaria usando seu produto em um número maior de máquinas do que o estabelecido no
contrato. Essa empresa acionou a justiça. Para o processo, foram nomeados dois peritos que
deveriam avaliar cinco fábricas em cinco cidades diferentes. Vale destacar que os honorários dos
peritos deveriam ser custeados pelos denunciantes, incluindo despesas de transporte, acomodação,
alimentação etc. Devido à natureza do negócio, essas máquinas não poderiam ser analisadas durante
o período de trabalho, o que levou a operação para os fins de semana. Observe que dois peritos não
dariam conta de estar em cinco lugares ao mesmo tempo, o que daria tempo para a empresa
organizar algum tipo de maquiagem. Cada fábrica contava com mais de trinta computadores. Para
analisar cada um, a estimativa era de no mínimo trinta minutos, em que uma avaliação do registro
(eram máquinas Windows) e listagem de diretórios revelaria a presença da instalação das cópias do
software. Porém, um estudo junto ao fabricante do software revelou que cada máquina contendo o
aplicativo fazia chamadas a um servidor que mantinha um banco de dados centralizado para as cinco
fábricas e que esse servidor continha um log de acesso com identificação de cada máquina. Isso
pôde reduzir a estimativa inicial para algo extremamente mais simples, incluindo apenas uma visita.
Esse tipo de detalhe técnico nem sempre consta dos laudos do processo. Com um procedimento
preparatório, a tarefa pode ser melhor estimada.
Dependendo do tipo de busca, a empresa investigada não pode liberar suas máquinas para análise
sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de situação varia de caso para
caso, e o investigador forense deve estar preparado para agir de acordo com a situação, inclusive
contratando auxiliares.
No caso de o perito estar trabalhando em um caso judicial, a nomeação de auxiliares deve ser
comunicada oficialmente.
■ Ferramentas comuns - um kit contendo chaves Philips, de fenda e Torx; um alicate universal; um
alicate de bico; um alicate de corte; e um pincel para limpar poeira são o mínimo necessário. É
também aconselhável a utilização de proteção antiestática, que é uma tira que liga a caixa do
equipamento ao braço do técnico, neutralizando qualquer diferença de potencial de eletricidade
estática entre o aparelho e o corpo. A eletricidade estática é uma das maiores causas de destruição
de circuitos eletrônicos. Também uma caixa de plástico para armazenar temporariamente
parafusos retirados dos equipamentos facilita bastante o trabalho. Canetas marcadoras de várias
cores podem ajudar no momento de marcar cabos para lembrar local e posição ao serem religados
posteriormente.
■ Ferramentas de identificação - sacos plásticos antiestáticos para armazenar discos rígidos,
adesivos, etiquetas, canetas marcadoras.
■ Documentação - formulários para anotação de todos os detalhes da operação, bem como para a
manutenção da cadeia de custódia. No anexo, apresentamos como exemplo a tradução de um
formulário disponível em <http://technoid.net/uni/fit/single-form.pdf>.
■ Câmera fotográfica com filmagem - pode auxiliar ao registrar programas rodando,
procedimentos de desligamento de máquinas, para provar o correto shutdown, uma fotografia da
máquina e de suas proximidades, configuração do equipamento, conexões elétricas etc.
■ Recipientes - sacos plásticos antiestáticos para embalar cada dispositivo a ser removido do local,
contendo etiquetas amarradas ou coladas com identificação do item. Existem empresas que
produzem embalagens específicas para uso em Criminalística. Na figura 1, apresentamos um
exemplo. No Brasil, temos fornecedores desse tipo de embalagens.
■ Armazenamento de dados - discos graváveis (CDWR e DVD) ou, mais importante, discos ou pen
drives USB para cópias de dados. Esses dispositivos devem vir totalmente vazios.
Essa lista é logicamente incompleta e variável com o tempo, pois a tecnologia evolui muito. Há
pouco tempo, um disco de 1,44 MB estaria na relação, hoje é peça de museu, mas nada impede que,
em uma busca, sejam encontrados tipos antigos de mídia que, dependendo da natureza da
investigação, devem ser coletados para análise.
O investigador tem de estar preparado para essa hipótese e deve se preparar para ter condições de
realizar a leitura e produzir cópias de trabalho. É possível que um dispositivo de gravação de
CDWR/DVD se torne obsoleto em pouco tempo. Já existem computadores que sequer possuem
unidades de disco, carregando seus softwares apenas pela rede.
O dilema do desligamento
Ao examinar um sistema computacional, o investigador forense está interessado em obter dados
para sua investigação que podem estar em dois tipos de memória:
Volátil – É aquela que perde seu conteúdo ao ser interrompida sua alimentação elétrica. Em um
computador, temos a memória principal, os registradores da CPU e sua memória cache. Apenas a
memória principal é de interesse para o investigador forense.
Não volátil – Não perde seu conteúdo com a interrupção da alimentação. Os discos rígidos são
atualmente o mais comumente usados, mas os discos de memória flash começam a se tornar
comuns, tanto em dispositivos como pen drives, como também em substituição aos discos rígidos em
notebooks, tablets, telefones celulares e tocadores de música.
A evolução da tecnologia nos força a confrontar o fato de que algumas vezes é mais vantajoso fazer
uma análise com o sistema ligado do que uma análise “post mortem”. O problema é que a análise
com o sistema ligado muitas vezes modifica o vestígio, mudando o conteúdo de um disco rígido. Data
e hora da criação/modificação de arquivos, chaves de registro (Windows), arquivos de swap e
conteúdo de memória são modificados quando se faz uma análise de um sistema ligado.
Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados são gravados em
disco, permitindo uma investigação posterior. Já encerrar um programa, tal como um cliente de
torrent, põe a perder todos os dados das conexões ativas com outros servidores. O conhecimento do
investigador é que vai permitir esse discernimento.
Torrent: Tecnologia de compartilhamento de arquivos P2P.
Além da máquina em si, temos o problema da rede. Como as redes são transportadoras, e não
elementos armazenadores, todos os dados devem ser capturados e gravados em tempo real ou serão
perdidos para sempre. Segundo Figg e Zhou (2007), isso apresenta uma oportunidade para múltiplos
tipos de investigações, que incluem análise de logs, análise de padrões de tráfego em servidores e na
própria rede. Esse tipo de investigação aponta para uma análise em roteadores e ataques pela web,
incluindo e-mails, esteganografia e dispositivos móveis.
Segundo o National Institute of Justice (2010), órgão do governo dos Estados Unidos, a ênfase do
investigador forense, nos dias de hoje, é capturar o máximo possível de dados na cena do crime,
enquanto os dispositivos ainda estão ligados. Quando lidando com vestígios digitais, os primeiros
investigadores a chegar ao local devem ainda observar princípios forenses e princípios gerais, que
incluem:
■ o vestígio não deve ser modificado quando está sendo coletado, protegido e transportado;
■ o vestígio digital só deve ser examinado por aqueles com treino específico;
■ tudo que é feito durante a busca, transporte e armazenamento do vestígio digital deve ser
totalmente documentado, preservado e tornado disponível para ser revisto.
Outro fator em jogo é o tempo. Em uma investigação realizada dentro da empresa, onde o tempo é
teoricamente maior, uma análise com a máquina ligada não é um problema. No entanto, em ações
efetuadas por peritos em instalações de terceiros, pode ocorrer que o número de máquinas e o efeito
“surpresa” não forneçam o tempo necessário para a análise, mesmo que certos detalhes da
investigação presentes na memória volátil da máquina possam ser muito relevantes para a
investigação. Nestes casos, um dump de memória é executado, copiando para um dispositivo não
volátil todos os dados presentes na memória naquele momento. O problema com esse procedimento
é a impossibilidade de certificar a fidelidade do conteúdo adquirido. O conteúdo da memória de um
computador, e aqui incluímos todos os aparelhos que possuem a mesma arquitetura de processador
+ memória, modifica-se o tempo todo. O resultado de uma aquisição no tempo t sempre será
diferente do resultado no tempo t + 1, o que torna uma comparação virtualmente impossível. Logo,
esse resultado pode ser classificado como um vestígio com menor validade como prova. Isto não
ocorre com uma mídia em que há técnicas de cópia que levam a um resultado reproduzível e passível
de verificação.
Logicamente que cada tipo de busca e apreensão influi no tipo de trabalho a ser realizado.
Estamos usando o termo de uma forma mais ampla, mas existem ações legais que objetivam a
apreensão dos equipamentos e há ações que buscam apenas os vestígios, coletados no local. O
planejamento da investigação depende desses fatores.
Fontes de vestígios
Em algumas circunstâncias, alguns aparelhos podem não parecer importantes para a investigação
forense, uma vez que cada vez mais a quantidade de armazenamento aumenta e torna-se mais
barato instalar grande quantidade de memória nos dispositivos.
■ Desktops, notebooks e tablets - esses são o alvo principal em um local sendo avaliado. Porém, os
equipamentos ao seu redor também podem ser repositórios de dados importantes. É possível que a
um computador estejam ligadas unidades de armazenamento auxiliares, como discos USB,
gravadores de CD-ROM/DVD, hubs de USB com outros dispositivos nem sempre facilmente
visíveis. Dependendo do tipo de investigação, todos esses elementos podem requerer seu
armazenamento, etiquetagem e transporte.
■ Organizadores pessoais (PDA), celulares e smartphones - em um local de investigação, qualquer
dispositivo dessa natureza pode ser fonte de vestígios. Um cuidado especial deve ser tomado para
que suas baterias não se esgotem, o que pode fazer com que os dados se percam. Por este motivo,
a apreensão de fontes é importante em casos de busca e apreensão.
■ Unidades de armazenamentos de todos os tipos, como disquetes, CD- ROMs, DVDs, pen drives,
cartões de memória flash etc.
■ Routers, estação WI-FI, servidores de rede etc. – hoje em dia, é comum que dispositivos de redes
com conexão wireless possuem unidades de armazenamento de dados, incluindo discos para
backups ou compartilhamento de arquivos.tira o “ ou sem” Deixa so wireless
■ Consoles de jogos – os consoles de jogos atuais são máquinas muito avançadas, capazes de
trabalhar com muitos tipos de tarefas e possuem também uma grande capacidade de
armazenamento. Notícias recentes afirmam que os serviços de inteligência dos Estados Unidos
vêm tentando conseguir burlar as barreiras de proteção criptográficas de consoles com a intenção
de investigar possíveis armazenamentos de informações terroristas nessas máquinas, pois elas são
muito mais protegidas do que os computadores pessoais.
■ E-mail - um dos meios mais utilizados para comunicação, é fonte de vestígios importantes. No
momento de coletar um e-mail, é necessário incluir o cabeçalho, capturando, assim, a data de
envio, a fonte e todos os passos que ele tomou até chegar ao receptor. Existe muita discussão
sobre a invasão de privacidade causada pela leitura de um e-mail de um funcionário. Veja detalhes
em leitura posterior e em Paiva (2002).
■ Internet – a internet é mais um meio em que dados podem ser armazenados, transmitidos e
compartilhados. Embora complexa e imensa, ela nada mais é do que uma grande rede de
computadores. Em última instância, a informação está gravada fisicamente em um ou mais
computadores, o que permite que ela possa ser coletada ao serem examinados os dispositivos
utilizados para seu armazenamento. Parte dessa informação pode ser volátil, como as mensagens
instantâneas (MSN, Yahoo Messenger etc.). Em investigações especiais, um monitoramento pode
ser utilizado para capturar mensagens.
■ Redes sociais – contêm diversas informações sobre uma pessoa e seus relacionamentos. O phishing
mostra que a manutenção de informações pessoais e de trabalho serve de munição para crimes.
■ Páginas na internet – o ideal é utilizar uma ferramenta que “puxe” todo o conteúdo do site. A
captura deve ser datada, uma vez que as mudanças são muito rápidas. Outra possibilidade é a
captura de telas.
■ Tocadores de música – esses dispositivos têm em seu interior grande capacidade de
armazenamento, com potencial de serem utilizados para armazenar inclusive arquivos com
formatos diferentes daqueles previstos para o aparelho.
■ Qualquer dispositivo desconhecido.
Essa lista é apenas uma amostra. Novos aparelhos e novas formas de comunicação são inventados e
alguns saem de uso. O PDA, por exemplo, tem dado lugar aos celulares sofisticados e tablets, e uma
nova fonte de armazenamento pode se tornar importante para a lista em questão de meses.
Referências
SAFE E METROPOLITAN POLICE SERVICE UK. E-Crime: good practice and advice guide for
managers of e-crime investigations. 2011. Disponível em: <http://www.acpo.police.uk/
documents/crime/2011/201103CRIECI14.pdf>. Acesso em: 9 jan. 2012.
ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open
source platform tools for performing computer forensics on target systems: Windows, Mac, Linux,
Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponível
em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012.
BRASIL. Código de processo civil. L-005.869-1973. art. 839 a 843. 1973. Disponível em:
<http://www.dji.com.br/codigos/1973_lei_005869_cpc/cpc0839a0843.htm>. Acesso em: 9 jan. 2012.
FIGG, W.; ZHOU, Z. A computer forensics minor curriculum proposal. J. Comput. Small Coll.,
Consortium for Computing Sciences in Colleges, USA, v. 22, p. 32–38, abr. 2007. Disponível em:
<http://dl.acm.org/citation.cfm?id=1229637.1229642>. Acesso em: 10 jan. 2012.
NATIONAL Institute of Justice. Digital evidence investigative tools. 2010. Disponível em:
<http://nij.gov/nij/topics/forensics/evidence/digital/investigative-tools/welcome.htm>. Acesso em: 10
jan. 2012.
WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book
period. [S.l.]: Syngress, 2007.
Na investigação forense física, peritos coletam resíduos que podem colaborar para desvendar os
acontecimentos, sendo usados então como provas para incriminar ou inocentar o acusado de um
crime. Exemplos comuns que podemos considerar como “vestígios físicos”são impressões digitais,
cabelos, gotas de sangue, bilhetes, documentos em papel, gravações de áudio e vídeo, pegadas,
armas etc.
Já na Computação Forense, os resíduos deixados são os digitais, ou seja, aqueles que podem ser
armazenados em forma eletrônica em computadores ou em outros dispositivos eletrônicos digitais.
Podemos então dizer que temos um “vestígio digital”.
Não é uma tarefa simples, pois, se a equipe não estiver bem preparada, o vestígio digital pode se
perder.
Como em toda atividade, a prática deve ser constante. Ensaios devem ser conduzidos para treinar a
equipe antes que um ataque real seja detectado.
Um dos conteúdos do treinamento é como adquirir e analisar vestígios nos tipos de máquinas
(incluindo dispositivos móveis, como celulares, tablets e smartphones, e também redes) e sistemas
operacionais em uso na empresa, bem como na infraestrutura digital da empresa.
Com certeza, um investigador forense tem de ter, associados, um bom conhecimento de computação
e dos processos e equipamentos para ser capaz de conduzir uma investigação digital. Porém, apenas
os conhecimentos na área computacional não são suficientes. Seja atuando como perito, seja
trabalhando internamente, uma hora ou outra o profissional forense tem de lidar com detalhes que
se ligam a dimensões éticas e legais.
Existe crítica em nosso país de não haver clareza entre a sociedade sobre a função de investigador
forense ligado à informática. Muitas vezes, pessoas com pouco conhecimento de computação são
chamadas a atuar como peritos forenses na presunção de que apenas a competência técnica
computacional, sem os conhecimentos legais e os detalhes do procedimento forense, seja suficiente.
Segundo Milagre (2010), “Ainda temos casos em que o dono da loja de informática da cidade é o
perito, economistas e contadores nomeados como peritos digitais, e isto é um risco para a
efetividade da tutela jurisdicional, considerando que é comum os juízes confiarem na palavra do
especialista.”
Em termos gerais, ainda há muito pouco formalismo de como deve ser conduzido o treinamento na
área em nosso país.
Alguns países já têm relativa tradição, como os Estados Unidos, contando com American Association
of Forensic Science (AAFA), que desenvolveu um padrão para reconhecimento de cursos de ciência
forense digital. Em abrangência internacional, a International Association of Computer Investigative
Specialists (IACIS) fornece programas de treinamento e certificação. Além desses, temos alguns
exemplos de certificação internacional, com Certified Computer Forensic Technical (CCFT),
Certified Ethical Hacker (CEH), Certified Hacker Forensic Investigator (CHFI) e American College of
Forensic Examiners Institute (ACFEI).
No Brasil, existem cursos destinados a formar mão de obra para a área, mas ainda não temos
nenhuma diretriz educacional relacionando quais conteúdos mínimos devem ser estudados.
O conhecimento das ferramentas que automatizam a coleta de dados e vários exames é essencial,
pois elas poupam muito tempo, já que as unidades de armazenamento compreendem gigabytes de
espaço.
Além disso, o exame manual é muitas vezes necessário, ou seja, usar comandos do sistema
operacional, o que significa uma grande intimidade com a arquitetura de software e hardware de
cada máquina em uso – papel de administrador de sistemas.
Segundo o guia produzido pela 7Safe e Metropolitan Police Service UK, em 2011, considerado em
todo o mundo como referência na investigação do crime eletrônico, para a formação de um
profissional para a área de investigação forense digital deve ser considerado como padrão mínimo:
Cooper, Finley e Kaskenpalo (2010) detalharam mais um pouco o tema, tendo levantado o grau de
pertinência para a área dos conteúdos estudados nos cursos de Ciência da Computação, Sistemas de
Informação, Engenharia da Computação, Engenharia de Software e Tecnologia da Informação.
Entre as disciplinas presentes nesses cursos e a necessidade para a formação de um investigador
forense digital, destacam-se:
• Redes: o investigador forense deve ter conhecimento teórico e prático de redes, sendo capaz de
realizar identificação, coleta e análise de vestígios.
• Eletrônica: não requer conhecimento teórico de como projetar circuitos eletrônicos, mas um nível
de eletrônica aplicada que inclui a reconstrução de dispositivos danificados para extrair dados, a
capacidade de avaliar as limitações das leis da física sobre os vestígios e, mais particularmente, que
o investigador tenha conhecimento das próprias capacidades e limitações ao se deparar com um
problema de hardware.
• Ética: o investigador forense é confrontado com situações morais desafiadoras. Embora as outras
áreas também possam comportar situações de escolhas morais, elas não estão sujeitas a exame
público como estão na Computação Forense.
• Criminologia: entender as causas e motivações para o crime ajuda em uma análise de caso, bem
como na habilidade de prever o comportamento de um suspeito durante uma investigação.
• Ciência Forense: a Forense Digital faz parte da Ciência Forense ou Criminalística. Tópicos
comuns a todas as linhas da Ciência Forense devem ser incluídos na formação de um investigador
forense digital.
• Direito: o investigador forense deve ter conhecimento de regras e leis que governam seu trabalho,
o que logicamente, varia de nação para nação.
A abrangência dos sistemas tem extrapolado em muito o ambiente local de uma empresa. É comum
atualmente fazer parte do ambiente de trabalho também os dispositivos móveis e suas conexões via
rede aos servidores da empresa. Cada vez mais um conhecimento de redes e seus protocolos têm
feito parte da investigação. Há pouco tempo, não existiam iPhones, Android e tablets. Uma equipe
deve conter profissionais capazes de analisar esses dispositivos ou, no mínimo, entender como eles
podem ser relevantes para a investigação e, se necessário, solicitar um levantamento de vestígios
por peritos externos.
Ambiente computacional
A abrangência do treinamento também é influenciada pela quantidade de sistemas operacionais
existentes na empresa. Quanto mais diversificados os sistemas, mais treinamento é necessário.
Nesse aspecto, faria sentido manter um conjunto pequeno de fornecedores de software, mas essa
não é uma realidade possível para qualquer empresa, uma vez que há a necessidade de obter o
melhor custo/benefício e de tirar melhor proveito do que existe disponível. Logicamente que para um
perito conhecer vários sistemas operacionais facilita seu trabalho, mas o ideal é que uma equipe seja
formada e atue em conjunto.
Além do preparo técnico, o profissional forense tem de ter um mente talhada para a natureza do
serviço, o que inclui muita paciência. O vestígio pode estar armazenado em um disco, mas
simplesmente procurar por todo ele pode demorar muito. A experiência e habilidade é que vão
determinar como evitar partes e se concentrar onde há maior probabilidade de encontrar um
vestígio.
Pensar toda a infraestrutura da empresa pode ajudar a minimizar o impacto de uma análise, caso um
incidente ocorra. Isso significa que muitos componentes têm de ter redundância, como em
servidores de dados, redes etc., para que o sistema permaneça operacional enquanto uma incidência
é analisada.
Basicamente, o processo da Computação Forense é de um tipo reativo, que visa a encontrar um uso
não autorizado de um sistema. Ele se baseia em pistas, pois verificar constantemente os sistemas
utilizados por uma empresa é impossível.
■ processos rodando na máquina que não são conhecidos ou não comuns: lembrando que um
processo ou programa pode ser criado e executado fazendo-se passar por algum legítimo, mas que
não deveria estar em execução em determinado momento;
■ sistema operando com carga acima do normal: um sistema que, por exemplo, carrega um
processador em 40% e que esteja operando em 80%;
■ alarmes e assinaturas configurados em sistema de detecção de intrusão pela rede, como o SNORT,
ou assinatura de vírus e outras ameaças detectadas por sistema anti-vírus. Ex.:
alert tcp any any -> 192.16.8.1.0/24 \
(content:”|00 01 86 a5|”: msg:”mountd access”;)
■ trânsito elevado na rede: é muito comum que sistemas sejam invadidos para armazenar scripts, e
estes passem a ser acessados exageradamente, aumentando o tráfego da rede;
■ usuários que relatam comportamento anormal de suas estações de trabalho.
O estabelecimento do que é normal em um sistema é uma arma valiosa para quem vai analisar se
e/ou como um sistema foi invadido.
Aquisição: refere-se à coleta de vestígios digitais. Dependendo do tipo de investigação, podem ser
discos rígidos, mídia óptica (CD, DVD), cartões de memória de câmeras digitais, pen drives,
celulares, smartphones, tablets, dumps de memória, e-mails, arquivos, gravação de uma troca de
dados etc. Em qualquer caso, quando envolve o exame de uma mídia, esta tem de ser tratada com
muito cuidado.
Preservação: essa etapa é de grande importância, pois os dados originais têm de ser mantidos
intactos. O processo de preservação tem de no mínimo criar uma duplicata do original – a cópia de
trabalho. O investigador sempre trabalha com a cópia, de tal forma que, havendo algum
procedimento que danifique os dados durante uma análise, o original está preservado e nova cópia
de trabalho pode ser feita. Lembrando que os vestígios são como os do mundo físico: guardados para
que, no futuro, em caso de contestação, possam ser novamente examinados.
Como veremos em outras leituras da disciplina, existem métodos para validar as cópias, de tal forma
que é possível verificar se a cópia representa fielmente o material original.
Certamente que algumas fontes, por sua natureza dinâmica, são difíceis de se manterem intactas por
muito tempo, como o estado da memória de um equipamento no momento de sua aquisição. Em
função disso, alguns dados são considerados mais relevantes do que outros.
É imperativo que o material original seja identificado e preservado integralmente. Para isso, é criada
a cadeia de custódia. A cadeia de custódia é a atividade da investigação forense que tem a função de
documentar o material coletado e relacionar todo o manuseio que sofreu durante sua retirada do
ambiente da investigação, transporte, manuseio e armazenamento. Deve constar quem recebeu o
material, datas e assinaturas dos envolvidos. Segundo Wiles, Cardwell e Reyes (2007), essa
documentação deve ser incluída no relatório final.Veja um exemplo no anexo.
Extração: os dados são extraídos, quando completos, num processo de cópia. Um exemplo é a cópia
de um disco rígido, bit a bit, para outro, preservando o original, ou um dump de memória.
Recuperação: quando são necessárias técnicas para extrair informações de dados pertencentes a
arquivos parcialmente apagados, mídias defeituosas, dados escondidos intencionalmente etc.
Análise: é a parte mais demorada e que demanda maior conhecimento por parte do perito, pois a
informação pode estar “escondida” em gigabytes de dados. Aqui, a experiência do profissional é
fundamental, pois ele pode direcionar as ferramentas para alvos que sabe haver maior probabilidade
de acerto, interpretando os resultados baseado no seu treino e perícia.
Apresentação: uma parte importantíssima, pois o resultado de todo o procedimento deve ser
claramente exposto, evitando ao máximo imprecisões que possam invalidar o trabalho. É processo
pelo qual o examinador compartilha os resultados com as partes interessadas. Consiste em gerar um
relatório sobre as operações realizadas pelo perito, vestígios encontrados e o significado destes.
Pode também incluir uma defesa do trabalho em público. Segundo Altheide, Carvey e Davidson
(2011), os achados podem levar a novas aquisições, que podem, por sua vez, gerar análises
adicionais etc. Esse ciclo pode se repetir muitas vezes em função de uma cadeia de
comprometimento de um sistema ou de uma investigação criminal demorada.
Todo esse processo tem de ser passível de auditoria, ou seja, um segundo exame de um sistema ou
parte dele, ou, ainda, dispositivos, tem de ser capaz de replicar todos os resultados obtidos.
Se uma investigação não for cuidadosamente realizada, os resultados podem ser questionados,
podendo ser necessária uma segunda avaliação, ou mesmo descartados em um possível auxílio em
uma decisão judicial.
Vale ressaltar também que a computação forense é uma atividade relativamente nova. Assim como
novas formas de comprometimento dos sistemas são inventadas, novas formas de detectar e
trabalhar a investigação também evoluem.
Para realizar a análise forense, na qual dispositivos de armazenamento de dados serão analisados, é
essencial contar com equipamento confiável, instalado em um ambiente seguro, o mais isolado
possível do mundo externo, tanto do ponto de vista do acesso físico como eletrônico.
O garimpo de dados é um processo minucioso e toma tempo peneirar discos cada vez maiores em
busca de cadeias de caracteres. Em uma investigação, devem ser utilizados bons equipamentos e
garantir que estes não estejam comprometidos. Deve-se garantir então que a máquina, ou máquinas
utilizadas para análises – aquelas em que serão ligados HD’s, pen drives, conectores a outros
dispositivos etc. – estejam conectadas em rede com um isolamento especial, acessando, se for o
caso, o mínimo de serviços externos que sejam essenciais ou, mesmo, nenhum. Ou seja, deve haver
um cuidado especial para que o ambiente não esteja e não possa ser comprometido. Ao fim do
trabalho, um relatório bem-feito pode inclusive descrever o ambiente utilizado para a investigação.
Uma boa parte da investigação será procurar cadeias de caracteres (strings) com palavras-chave e
arquivos com determinados formatos ou extensão. Analisar dispositivos com grande capacidade
toma tempo, portanto é importante que haja boa capacidade computacional para realizar o serviço,
além de ferramental de software específico para a investigação forense. Existe uma grande
variedade de equipamentos para auxiliar a análise.
O método científico
Como dito anteriormente, o trabalho forense deve ser capaz de ser auditável e reproduzível. O uso
do método científico é uma forma de chegar a esse resultado.
A produção científica tem por base a aplicação do método científico. Com ele, procura-se criar
uma interpretação precisa do mundo e de seus fenômenos, de tal forma que gostos pessoais,
culturais e religiosos não interfiram para distorcer os resultados de uma pesquisa.
Os passos indicados são um exemplo, pois há outras formas de abordar o assunto, mas o que deve
ser levado em consideração é que a investigação deve ser conduzida com um método, e que os
resultados têm de ser reproduzíveis. Outro pesquisador, utilizando os mesmos procedimentos e
parâmetros, forçosamente deve chegar às mesmas conclusões. Entra aqui, novamente, a relevância
da experiência do investigador, pois ele terá maior condição de propor hipóteses que levam a
resultados produtivos.
Um dizer popular afirma que, na ciência, as teorias nunca podem ser realmente evidenciadas,
apenas desacreditadas. Existe sempre a possibilidade de que uma nova observação ou um novo
experimento entre em conflito com alguma teoria já longamente estabelecida (WOLFS, 2007).
Em um embate jurídico, cada lado contará com seus peritos, que trabalham questionando um o
trabalho do outro. Portanto, todo cuidado é pouco, principalmente no momento de produzir um
relatório, uma vez que uma redação mal feita pode pôr em dúvida algum detalhe da investigação,
desacreditando todo um trabalho confiável.
As três atividades possuem a mesma carga tecnológica, mas o perito judicial envolve-se com
questões legais específicas e tem maior responsabilidade, pois nem sempre trabalha em equipe,
como no caso de um agente criminalístico envolvido em uma investigação.
Um perito judicial é um profissional com, no mínimo, formação em nível superior nomeado por um
juiz para analisar vestígios em matéria especializada. O produto do trabalho é um laudo pericial. Em
alguns casos, o perito também pode ser chamado a depor, explicando para os jurados os detalhes
técnicos do caso.
Os passos indicados são um exemplo, pois há outras formas de abordar o assunto, mas o que deve
ser levado em consideração é que a investigação deve ser conduzida com um método, e que os
resultados têm de ser reproduzíveis. Outro pesquisador, utilizando os mesmos procedimentos e
parâmetros, forçosamente deve chegar às mesmas conclusões. Entra aqui, novamente, a relevância
da experiência do investigador, pois ele terá maior condição de propor hipóteses que levam a
resultados produtivos.
Em um embate jurídico, cada lado contará com seus peritos, que trabalham questionando um o
trabalho do outro. Portanto, todo cuidado é pouco, principalmente no momento de produzir um
relatório, uma vez que uma redação mal feita pode pôr em dúvida algum detalhe da investigação,
desacreditando todo um trabalho confiável.
As três atividades possuem a mesma carga tecnológica, mas o perito judicial envolve-se com
questões legais específicas e tem maior responsabilidade, pois nem sempre trabalha em equipe,
como no caso de um agente criminalístico envolvido em uma investigação.
Um perito judicial é um profissional com, no mínimo, formação em nível superior nomeado por um
juiz para analisar vestígios em matéria especializada. O produto do trabalho é um laudo pericial. Em
alguns casos, o perito também pode ser chamado a depor, explicando para os jurados os detalhes
técnicos do caso.
Por lei, o perito não precisa de formação em Direito, mas é interessante que ele procure estudar o
tema, uma vez que a responsabilidade é grande, principalmente em relação às atividades que
envolvem o sigilo e a ética, a fidelidade no levantamento dos dados e a redação de laudos o mais
claro possível, evitando interpretações que levantem dúvidas sobre o trabalho realizado. Um laudo
pode ajudar na decisão de um juiz, portanto, sempre haverá a possibilidade de contestação.
Observa-se que um perito também pode indicar um ou mais assistentes técnicos, quando a perícia
envolver um assunto complexo e que abrange mais de uma área de conhecimento.
A documentação do levantamento técnico é um aspecto fundamental, uma vez que ela é a base do
processo, ou parte da base, e é utilizada pelas duas partes em litígio. Outro perito, ou corpo de
peritos, pode ser posteriormente indicado para trabalhar junto à defesa, que se utiliza dessa
documentação técnica anexada ao processo.
Vale por fim destacar que a Computação Forense é uma atividade relativamente recente, bem como
a velocidade com que as mudanças ocorrem também altera o que é considerado procedimento-
padrão, e, assim, evolui o que é possível de ser realizado pelos profissionais da área. Há pouco
tempo, as ferramentas utilizadas por um investigador forense eram editores hexadecimais capazes
de mostrar arquivos em seus bits, bytes e caracteres ASCII individuais e o investigador tinha de
conhecer profundamente como os sistemas de arquivos funcionavam. Hoje, as ferramentas são muito
mais poderosas, capazes de realizar operações como: file carving, que
se utiliza de várias técnicas avançadas para reconstruir arquivos apagados a partir de fragmentos
presentes na mídia sob análise; geradores de linha de tempo, que reúnem vários arquivos de log
para gerar uma visão no tempo do que foi modificado em um sistema; ferramentas para análise de
memória volátil e outras.
A evolução das ferramentas não indica que o investigador não mais precise de um grande
conhecimento dos sistemas, mas sim que sua abrangência aumentou. Com o auxílio de novas
ferramentas, ele consegue ser mais produtivo, mas precisa saber para onde apontar essas novas
armas.
E o fato de o computador não estar mais isolado também faz com que a tarefa se expanda para redes
e seus dispositivos e, mais recentemente, para a computação móvel.
Nos modernos ambientes de redes, os equipamentos em uma LAN (Local Area Network) fornecem
capacidade de auditoria, proteção e criptografia. Esses serviços são ajustados de acordo com regras
ditadas pelas políticas da empresa e devem ser habilitados de forma a serem capazes de registrar
suas atividades em um syslog, facilitando o trabalho da investigação forense.
Portanto, montar uma equipe de Computação Forense pode ser uma forma de aumentar a segurança
em uma empresa, criando um ciclo virtuoso.
Referências
ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open
source platform tools for performing computer forensics on target systems: Windows, Mac, Linux,
Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponível
em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012.
COOPER, P.; FINLEY, G. T.; KASKENPALO, P. Towards standards in digital forensics education. In:
CLEAR, A.; DAG, L. R. (eds.). ITiCSE-WGR ’10: Proceedings of the 2010 ITiCSE working group
reports. New York, NY: ACM, 2010. p. 87-95. Disponível
em: <http://doi.acm.org/10.1145/1971681.1971688>. Acesso em: 12 jan. 2012.