Perito Digital

O principal objetivo do investigador forense computacional ou perito digital é determinar

a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o
perpetrou, seguindo um procedimento de investigação estruturado.

Reconstruir o passado, constatar a materialidade e apurar a autoria de incidentes

cometidos com o requinte dos bits. Esta é a função da perícia digital ou forense digital,
carreira que mescla o profissional com formação jurídica com o profissional em
tecnologia da informação e que é crescente na esfera pública e privada, à medida em
que conflitos, fraudes, furtos e agressões passam a ser cometidas por intermédio de
dispositivos informáticos e telemáticos, de um computador de mesa a um dispositivo
móvel celular.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado

em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois
gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no
entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não
tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia
válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o

processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal
coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas
evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será
levado em consideração caso esteja envolvido em um processo judicial. Vale ressalta
que para atuar na área deve-se “ter estômago”: “​Na verdade tem muito trabalho e tem
que ter coragem dependendo do foco de atuação. Existem vários tipos de crimes
digitais hoje, desde pedofilia, a drogas e coisas mais pesadas.

Daí a importância do investigador, participar de eventos, treinamentos e procurar

pesquisar os fundamentos e técnicas dessa área de atuação para realizar os
procedimentos de investigação da maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da

investigação, para que todo o processo também não seja invalidado.

Para ter sucesso, o perito deve ter o perfil metódico, organizado, com boa memória,
autodidata, saber escrever e redigir documentos, ter inglês e espanhol em nível
(mínimo) intermediário tanto para ler, escrever ou falar, além de honesto e com muita
curiosidade​.

Os profissionais que atuam na área de forense computacional são indivíduos

geralmente chamados de perito por terem um grande nível de conhecimento em
computação e por investigarem os crimes de natureza tecnológica. Nesse contexto,
esses profissionais devem reunir um conjunto de características, tais como:

● Conhecimento e entendimento profundo de segurança da informação, direito

digital e sistemas computacionais, bem como das características de
funcionamento de sistemas de arquivos, programas de computador e padrões de
comunicação em redes de computadores;
● Familiaridade com as ferramentas, técnicas, estratégias e metodologia de
ataques conhecidos, inclusive as que não se tem registo de ter ocorrido, mas
que já são vistas como uma exploração em potencial de uma determinada
vulnerabilidade de um sistema;
● Faro investigativo para perceber rastros sutis de ações maliciosas – Esmero pela
perfeição e detalhes. Sempre deve haver rastros, mesmo que muito sutis;
● Entendimento sobre o encadeamento de causas e consequências em tudo o que
ocorre num sistema para construir a história lógica formada por ações maliciosas
ou normais que já tenham ocorrido, que estejam em curso e que possam vir a
acontecer;
● Conhecimento da legislação envolvida como a legislação básica brasileira,
Código Civil, Código Penal, Consolidação das Leis do Trabalho, e
principalmente, normas processuais e procedimentais que regulamentam a
produção da prova pericial no Brasil;
● Conhecimento das diretivas internas das empresas e instituições envolvidas no
processo investigativo, com especial atenção às limitações como diretivas de
privacidade, sigilo e escopo ou jurisdição de atuação;
● Cuidado com a manipulação e preservação de provas legais em potencial, pois o
que não é visto como prova hoje pode vir a ser uma prova e então é bom ter sido
preservada o suficiente para ser aceita em um tribunal;
● Experiência ao examinar os rastros em um incidente perceber o nível de
sofisticação e conhecimento de um atacante, especialmente interessante se o
atacante usa subterfúgios para parecer menos capaz, como deixar rastros
óbvios e parecer um ataque simples para ocultar ações maliciosas muito mais
perigosas e muito mais escondidas.

Crime(s) Cibernético(s)
Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador,
seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser
intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:

● Ferramentas do crime;
 ● Alvo do crime;
● Tangente do crime.

E o mesmo deve ser de duas categorias diferentes:

● Ataque interno;
● Ataque externo.

Exemplos de crimes cibernéticos

● Roubo de propriedade intelectual;
● Avaria na rede de serviço das empresas;
● Fraude financeira;
● Invasão de crackers;
● Distribuição e execução de vírus ou worm.

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as

ocorrências de maior incidência. E a motivação dos ataques podem ser as mais
variadas possíveis, como as seguintes:

● Testes, ou tentativas de aprender na prática, por script kiddies;

● Necessidade psicológica;
● Vingança ou outras razões maliciosas;
● Desejo de causar problemas para o alvo;
● Espionagem – corporativa ou governamental.

Alguns autores têm concentrado esforços com o intuito de elaborar conceitos sobre o
que seria “Crime informático”, temos então definições que tangem o assunto, porém
vistos por ângulos diferentes, ao exemplo de (CORRÊA, 2000), onde crimes
informáticos seriam: “Todos aqueles relacionados às informações arquivadas ou em
trânsito por computadores, sendo esses dados, acessados ilicitamente, usados para
ameaçar ou fraudar.” Nota-se neste caso que o autor tem sua preocupação voltada à
ocorrência de crimes contra o computador, suas informações arquivadas ou
interceptação indevida destes dados.

Já segundo (FERREIRA, 2000) crime informático “é uma ação típica, antijurídica e

culpável cometida contra ou pela utilização de processamento automático de dados ou
sua transmissão”. Verifica-se neste, um conceito mais amplo e abrangente, onde o
computador pode ser o bem atacado (bem jurídico) ou o meio pelo qual o criminoso se
utiliza para praticar o delito (modus operandi e/ou Sine qua non ).

É válido ressaltar que a informática possibilita não somente a prática de crimes novos,
como potencializa alguns outros tradicionais tais como o furto, por exemplo. Então
haveria assim, crimes cometidos através do computador onde o computador seria a
ferramenta para o crime, e os cometidos contra o computador, isto é, contra seus
hardwares (parte física do computador como suas peças) e softwares (parte lógica
como programas, arquivos etc.) onde o mesmo seria o objeto do crime. (GOMES, 2000)

Voltando ao conceito de que crime informático seja uma ação típica, antijurídica e
culpável cometida contra ou pela utilização de processamento automático de dados ou
sua transmissão. (FERREIRA, 2000) remonta à definição do que seja crime, descrito no
capítulo anterior e adota a classificação dada pelos autores estrangeiros Hervé Croze e
Yves Biscunth os quais definem duas categorias de crimes informáticos. Os atos
dirigidos contra um sistema de informática, por qualquer motivo, verdadeiro núcleo da
criminalidade informática, por se tratarem de ações que atentem contra o próprio
material informático (suportes lógicos ou dados dos computadores). E os atos que
atentem contra outros valores sociais ou outros bens jurídicos, cometidos através de um
sistema de informática, que compreenderiam todas as espécies de infrações previstas
em lei penal.

Classificação e tipificação dos crimes informáticos

(PINHEIRO, 2001) classifica crimes informáticos em três categorias distintas, sendo

elas:

● O crime virtual puro, que seria toda e qualquer prática criminosa que tenha por
alvo único, o computador em si, atacando física ou tecnicamente o equipamento
e seus componentes (hardware), incluindo suas informações e sistemas
(software), por exemplo, um vírus que apagasse todo o conteúdo armazenado
de um computador.
● O crime virtual misto que é aquele em que a utilização da internet é
característica sine qua non para a prática do crime, embora o bem jurídico alvo
seja alheio ao informático, tais como, por exemplo, um vírus para armazenar
senhas digitadas em páginas de bancos na internet (keyloggers) para um futuro
acesso e desvio de financeiro indevido.
● O crime virtual comum seria utilizar a informática somente como ferramenta para
a efetivação de um crime já tipificado pela lei penal, utilizando-a como um novo
meio para o cometimento desta ação delituosa. Tomando por exemplo a
pornografia infanto- juvenil já prevista no Estatuto da criança e do adolescente
sob o artigo 241, onde antes vinculados em revistas e vídeos, hoje se dá pelo
compartilhamento em programas P2P tais como o E-mule e outros, trocas por
e-mails, divulgação e sites e diversas outras formas.

Já segundo (VIANNA, 2003) crimes dessa natureza se dividem em quatro categorias:

● Crimes informáticos impróprios: seriam aqueles nos quais o computador é usado

como instrumento para a execução do crime, mas não há ofensa ao bem
jurídico, inviolabilidade da informação automatizada (dados). Exemplos de
crimes informáticos impróprios podem ser calúnia (art. 138 do CP Brasileiro),
 difamação (art. 139 do CP Brasileiro), injúria (art. 140 do CP Brasileiro), todos
podendo ser cometidos, por exemplo, com o envio de um e-mail.
● Crimes informáticos próprios: seriam aqueles em que o bem jurídico protegido
pela norma penal é a inviolabilidade das informações automatizadas (dados).
Como exemplo desse crime temos a interceptação telemática ilegal, prevista no
art. 10 da lei 9296/96 (Lei federal Brasileira).
● Delitos informáticos mistos: seriam crimes complexos em que, além da proteção
da inviolabilidade dos dados, a norma visa a tutelar bem jurídico de natureza
diversa.
● Crimes informáticos mediatos ou indiretos: seria o delito-fim não informático que
herdou esta característica do delito-meio informático realizado para possibilitar a
sua consumação.

Condutas ilícitas

Há hoje uma lista grande de crimes informáticos sendo praticados diariamente, e, a

cada dia ela se enriquece mais, fato que ocorre devido a explosão do uso de
computadores e internet e pelo constante surgimento de novas tecnologias de software
e hardware que apresentam vulnerabilidades (exemplo de softwares que são lançados
com falha na segurança, permitindo assim exploração dessas vulnerabilidade) ou no
caso de novas tecnologias, (como exemplo o surgimento das redes peer-to-peer que
possibilitam a transmissão de pornografia infanto-juvenil), (ZANELLATO, 2003) cita,
dentre outras condutas:

● a) spamming, como forma de envio não-consentido de mensagens

publicitárias por correio eletrônico a uma massa finita de usuários da rede,
conduta esta não oficialmente criminal, mas antiética;
● b) cookies, a quem chama “biscoitinhos da web”, pequenos arquivos de
textos que são gravados no computador do usuário pelo browser quando ele
visita determinados sites de comércio eletrônico, de forma a identificar o
computador com um número único, e obter informações para reconhecer quem
está acessando o site, de onde vem, com que periodicidade costuma voltar e
outros dados de interesse do portal;
● c) spywares, como programas espiões que enviam informações do
computador do usuário da rede para desconhecidos, de maneira que até o que é
teclado é monitorado como informação, sendo que alguns spywares têm
mecanismos que acessam o servidor assim que usuário fica on-line e outros
enviam informações por e-mail;
● d) hoaxes, como sendo e-mails que possuem conteúdos alarmantes e
falsos, geralmente apontando como remetentes empresas importantes ou órgãos
governamentais, como as correntes ou pirâmides, hoaxes típicos que
caracterizam crime contra a economia popular, podendo, ainda, estarem
acompanhadas de vírus;
 ● e) sniffers, programas espiões, assemelhados aos spywares, que,
introduzidos no disco rígido, visam a rastrear e reconhecer e-mails que
circundam na rede, de forma a permitir o seu controle e leitura;
● f) trojan horses ou cavalos de troia, que, uma vez instalados nos
computadores, abrem suas portas, tornando possível a subtração de
informações, como senhas, arquivos etc.

Em seu Oitavo Congresso sobre Prevenção de Delito e Justiça Penal, ocorrido em 1990
em Havana, Cuba, a Organização das Nações Unidas – ONU divulgou uma listagem
com os tipos de crimes informáticos. O documento divide os delitos em três macro
categorias sendo a primeira: Fraudes cometidas mediante manipulação de
computadores, caracterizadas por:

● a) manipulação de dados de entrada, também conhecida como subtração de

dados;
● b) manipulação de programas, modificando programas existentes em
sistemas de computadores ou enxertando novos programas ou novas rotinas;
● c) manipulação de dados de saída, forjando um objetivo ao funcionamento
do sistema informático, como, por exemplo, a utilização de equipamentos e
programas de computadores especializados em decodificar informações de
tarjas magnéticas de cartões bancários ou de crédito;
● d) manipulação informática, técnica especializada que aproveita as
repetições automáticas dos processos do computador, apenas perceptível em
transações financeiras, em que se saca numerário rapidamente de uma conta e
transfere a outra.

A segunda seria falsificações informáticas:

● a) como objeto, quando se alteram dados de documentos armazenados em

formato computadorizado;
● b) como instrumento, quando o computador é utilizado para efetuar
falsificações de documentos de uso comercial, criando ou modificando-os, com o
auxílio de impressoras coloridas a base de raio laser, cuja reprodução de alta
qualidade, em regra, somente pode ser diferenciada da autêntica por perito;

Os danos ou modificações de programas ou dados computadorizados, também

conhecidos como sabotagem informática, ato de copiar, suprimir ou modificar, sem
autorização, funções ou dados informáticos, com a intenção de obstaculizar o
funcionamento normal do sistema, cujas técnicas são:

● a) vírus, série de chaves programadas que podem aderir a programas

legítimos e propagar-se a outros programas informáticos;
● b) gusanos, análogo ao vírus, mas com objetivo de infiltrar em programas
legítimos de programas de dados para modificá-lo ou destruí-lo, sem
regenerar-se;
 ● c) bomba lógica ou cronológica, requisitando conhecimentos especializados
já que requer a programação para destruição ou modificação de dados em um
certo momento do futuro;
● d) acesso não-autorizado a sistemas de serviços, desde uma simples
curiosidade, como nos casos de hackers, piratas informáticos, até a sabotagem
ou espionagem informática;
● e) piratas informáticos ou hackers, que aproveitam as falhas nos sistemas
de seguranças para obter acesso a programas e órgãos de informações; e
reprodução não-autorizada de programas informáticos de proteção legal,
causando uma perda econômica substancial aos legítimos proprietários
intelectuais.

Na década seguinte, no Décimo Congresso sobre Prevenção de Delito e Tratamento do

Delinqüente, agora ocorrido em Viena, Áustria, a ONU divulgou num comunicado à
imprensa, uma lista com mais alguns tipos de crimes informáticos, executados por
intermédio do computador, que são:

● a) Espionagem industrial: espionagem avançada realizada por piratas para

as empresas ou para o seu próprio proveito, copiando segredos comerciais que
abordam desde informação sobre técnicas ou produtos até informação sobre
estratégias de comercialização;
● b) Sabotagem de sistemas: ataques, como o bombardeiro eletrônico, que
consistem no envio de mensagens repetidas a um site, impedindo assim que os
usuários legítimos tenham acesso a eles. O fluxo de correspondência pode
transbordar a quota da conta pessoal do titular do e-mail que as recebe e
paralisar sistemas inteiros. Todavia, apesar de ser uma prática extremamente
destruidora, não é necessariamente ilegal;
● c) Sabotagem e vandalismo de dados: intrusos acessam sites eletrônicos ou
base de dados, apagando-os ou alterando-os, de forma a corromper os dados.
Podem causar prejuízos ainda maiores se os dados incorretos forem usados
posteriormente para outros fins;
● d) Pesca ou averiguação de senhas secretas: delinquentes enganam novos
e incautos usuários da internet para que revelem suas senhas pessoais,
fazendo-se passar por agentes da lei ou empregados de provedores de serviço.
Utilizam programas para identificar senhas de usuários, para que, mais tarde,
possam usá-las para esconder verdadeiras identidades e cometer outras
maldades, como o uso não autorizado de sistemas de computadores, delitos
financeiros, vandalismo e até atos de terrorismo;
● e) Estratagemas: astuciosos utilizam diversas técnicas para ocultar
computadores que se parecem eletronicamente com outros para lograr acessar
algum sistema geralmente restrito a cometer delitos. O famoso pirata Kevin
Mitnick se valeu de estratagemas em 1996, para invadir o computador da casa
de Tsotomo Shimamura, expert em segurança, e destruir pela internet valiosos
segredos de segurança;
 ● f) Pornografia infantil: a distribuição de pornografia infantil por todo o mundo
por meio da internet está aumentando. O problema se agrava ao aparecer novas
tecnologias como a criptografia, que serve para esconder pornografia e demais
materiais ofensivos em arquivos ou durante a transmissão;
● g) Jogos de azar: o jogo eletrônico de azar foi incrementado à medida que o
comércio brindou com facilidades de crédito e transferência de fundos pela rede.
Os problemas ocorrem em países onde esse jogo é um delito e as autoridades
nacionais exigem licenças. Ademais, não se pode garantir um jogo limpo, dado
as inconveniências técnicas e jurisdicionais para sua supervisão;
● h) Fraude: já foram feitas ofertas fraudulentas ao consumidor tais como a
cotização de ações, bônus e valores, ou a venda de equipamentos de
computadores em regiões onde existe o comércio eletrônico;
● i) Lavagem de dinheiro: espera-se que o comércio eletrônico seja um novo
lugar de transferência eletrônica de mercadorias e dinheiro para lavar as
ganâncias do crime, sobretudo, mediante a ocultação de transações.

De acordo com (CARPANEZ, 2006) Atualmente, o crime informático mais cometido no

mundo é o roubo de identidade. Através desta prática, os crackers apoderam-se de
informações particulares da vítima atuando de forma delituosas em várias áreas como
compras on-line, transferências financeiras indevidas ou mesmo a apropriação de
contas de e-mails ou informações pessoais.

Apesar de o primeiro lugar estar muito bem definido, não há informações sobre quais as
posições das outras práticas ilícitas no pódio da criminalidade informática. Porém
crimes como pedofilia, calúnia e difamação, ameaça, discriminação, espionagem
industrial e outros que tem como alvo os direitos humanos configuram delitos de
destaque neste ranking.

Investigação Digital
A forense digital, é uma ciência ou técnica relativamente recente no campo da
segurança digital, pois poucas décadas no separam do surgimento do computador de
demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais.

Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a

apresentação de informação sobre a atividade maliciosa. E o processo de investigação
é que nos provê as informações necessárias para a análise forense, que vai nos levar à
conclusão final que poderá servir até mesmo como base para uma decisão judicial.

Investigação digital
“​Uma série metódica de técnicas e procedimentos para coletar evidências de um
sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que
podem ser apresentadas em um foro de uma forma coerente e formato inteligível​”. – Dr.
H. B. Wolf

A investigação digital é um processo onde uma hipótese é desenvolvida e testada para

responder algumas questões à respeito de uma ocorrência digital.

As informações utilizadas durante a recriação do cenário são coletadas ao longo do

processo de investigação em uma de suas fases iniciais. Com tais informações, é
possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás
das ações do responsável pelo comprometimento do artefato digital. E a investigação
digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma
análise inicial, e muitas vezes superficial, do cenário comprometido.

Investigação digital X Forense digital

Por mais que pareça incoerente e estranho, a investigação digital difere da forense
digital em inúmeros pontos do processo – apesar de o objetivo central ser praticamente
o mesmo.

A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois
em um processo de análise forense existe uma preocupação legal, não só uma
preocupação técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao
objetivo final de cada uma dessas operações. A análise forense procura chegar numa
conclusão final, que permita apresentar um relatório com provas bem fundamentadas e
amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar
uma decisão judicial, que precisa estar de acordo com os aspectos legais de um
processo válido. Do contrário, a investigação não alcançará seu objetivo, que é
fundamentar ou desmentir uma hipótese apresentada durante a análise do caso.

Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar,
bem como a reação às novas ameaças. O que acaba dificultando o processo de
investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes
ocorridos em um paradigma completamente diferente, com artefatos diferentes,
objetivos e métodos diversos.

Já a investigação digital tem um foco diverso, mais voltado para as técnicas e

ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao
perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e
aprofundada, não se preocupando em demasia com os aspectos legais de todo o
processo.

Problemas concernentes à Forense computacional

Como a forense computacional é uma área relativamente nova, até mesmo por conta do
pouco tempo da popularização dos computadores, não há possibilidade de perfeição
em seus métodos e formas de atuação.

Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo
certamente serão melhorados:

● Ainda, é mais uma arte do que ciência;

● Ainda está em seus estados iniciais de desenvolvimento;
● Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são
baseadas;
● Há falta de treinamento apropriado;
● Não há padronização de ferramentas.

Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de
pesquisas na área, em pouco tempo, resolverão os mesmos.

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a

autópsia da vítima ”.​ – James Borek

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato

digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de
negociação, autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atualmente, está em formato
virtual, sem equivalência do mundo físico. Por conta disso, em quatro ou cinco anos,
todos os casos judiciais envolverão a análise forense computacional.

E como as evidências digitais são delicadas por natureza, é necessário um profissional

qualificado e que tenha conhecimento suficiente para realizar a análise forense de um
sistema comprometido, ou que possua evidências necessárias ara a comprovação de
determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e

os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou,
seguindo um procedimento de investigação estruturado. Esse procedimento de
investigação estruturado está baseado em metodologias que definem os passos
básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa
organizar seu kit personalizado de ferramentas para facilitar todo o processo.

Investigando Servidores Web

Os ataques com base em Web geralmente se encaixam em três categorias: ataques
contra o próprio servidor (um pedido de acesso), ataques contra o conteúdo
(desfiguração do site/​defacement)​ e ataques contra a empresa ou organização (roubo
de produto ou informação).

Os ataques via Web são frequentes devido à vulnerabilidade no software e autenticação

do sistema operacional e os mais comuns são os de desfiguração de site.

Em um sistema Web, podem se envolver diferentes tecnologias, tais como: Java,

JavaScript, VbScript, Active Server Pages (ASP), Secure Sockets Layer (SSL),
Common Gateway Interface (CGI), PHP, HTML, ColdFusion, etc.

E os métodos investigativos são facilmente adaptados para qualquer uma dessas

tecnologias. Investigações em servidores Web são mais facilmente conduzidas com a
assistência de administradores e desenvolvedores do site.

Diversos arquivos de ​log​ podem ser usados para confirmar ou não se um incidente
ocorreu e então determinar o tipo, extensão, causa e origem do incidente.

Somente uma entrada no arquivo de ​log​ possa talvez não ser suficiente para termos
uma imagem do incidente, mas uma série de entradas dá ao investigador um controle
do tempo e o contexto necessário para compreender o incidente. Uma compreensão
geral do incidente é fundamental para a resposta eficaz.

Modus Operandi / Sine Qua Non

Modus operandi (MO - Modo de operação) é um termo latino que significa "um método
de operação". Refere-se aos comportamentos cometidos por um criminoso com a
finalidade de completar com sucesso uma ofensa. O MO de um criminoso reflete como
eles cometem seus crimes. É separado dos seus motivos, que tem a ver com o porquê
deles cometem seus crimes (Burgess 1997; Turvey, 2002).

O MO de um criminoso tem sido tradicionalmente relevante para os esforços de ligação

de casos da aplicação da lei. No entanto, também é relevante, pois pode envolver
procedimentos ou técnicas que são características de uma determinada disciplina ou
campo de conhecimento. Isso pode incluir comportamentos que refletem conhecimentos
tanto criminais como não criminais (Turvey, 2002).

O MO de um criminoso consiste em comportamentos aprendidos que podem evoluir e

desenvolver ao longo do tempo. Pode ser refinado, uma vez que um ofensor se torna
mais experiente, sofisticado e confiante. Também pode tornar-se menos competente e
menos habilidoso ao longo do tempo, descompensando em virtude de um estado
mental em deterioração ou aumento de uso de substâncias que alteram a mente
(Turvey, 2002).
Em ambos os casos, o comportamento de MO de um infrator é funcional por sua
natureza. Na maioria das vezes serve (ou não consegue atender) um ou mais de três
propósitos (Turvey 2002):

● Protege a identidade do agressor;

● Assegura a conclusão bem-sucedida do crime;
● facilita a fuga do infrator.

Exemplos de comportamentos de MO relacionados a crimes de computador e Internet

incluem, mas certamente não estão limitados a (Turvey 2002):

Quantidade de planejamento antes de um crime, evidenciado por comportamento e

materiais (ou seja, notas tomadas na fase de planejamento sobre seleção de
localização e informações potenciais de vítimas, encontradas em e-mails ou revistas
pessoais em um computador pessoal).

Materiais utilizados pelo infractor na comissão da infração específica (ou seja, tipo de
sistema, tipo de conexão, software envolvido, etc.).

Presurveillance (​pré-vigilância) ​de uma cena de crime ou vítima (ou seja,

monitorando os hábitos de postagem de uma vítima em uma lista de discussão,
aprendendo sobre o estilo de vida ou a ocupação de uma vítima em seu site pessoal,
contatando uma vítima potencial diretamente usando um alias amigável ou uma
pretensão, etc.).

Seleção de localização de infração (ou seja, uma mensagem ameaçadora enviada para
um grupo de notícias Usenet, uma conversa teve em uma sala de bate-papo de Internet
para preparar uma vítima em potencial, um servidor que hospeda materiais ilícitos para
distribuição secreta, etc.).

Uso de uma arma durante um crime (ou seja, um vírus prejudicial enviado ao PC da
vítima como um anexo de e-mail, etc.).

Atos de precaução do delinquente (ou seja, o uso de alias, o tempo de roubar em um

sistema privado para uso como base de operações, spoofing de IP, etc.).

O conhecimento do ​modus​ o​ perandi​ para o perito possibilita-o a ter uma visão melhor
sobre o processo da invasão do sistema, podendo, então, antecipar a busca de dados
relevantes para uma perícia forense computacional.

Sine Qua Non

Sine qua non é uma locução adjetiva, do latim, que significa “sem a qual não”. É uma
expressão frequentemente usada no nosso vocabulário e faz referência a uma ação ou
condição que é indispensável, que é imprescindível ou que é essencial.
"Sine qua non" é uma locução com que se qualifica uma cláusula ou condição sem a
qual não se conseguirá atingir o objetivo planejado, sem a qual determinado fato não
acontece.

A expressão “Conditio sine qua non” (Condição sem a qual não) indica circunstância
indispensável à validade ou à existência de um ato. É usada nas diversas áreas do
conhecimento, entre elas, Direito, Economia, Filosofia e Ciências da Saúde. Vários
idiomas fazem uso dessa expressão na sua forma em latim, como o inglês, o alemão, o
francês, o italiano, entre outras.

No Direito Penal,​ “conditio sine qua non” é a condição sem a qual não existe o crime,
não havendo o “conditio sine qua non”, não há nexo de causalidade, portanto não há
crime. Considera-se causa a ação ou omissão sem a qual o resultado não teria
ocorrido, conforme dispõe o Art. 13 do Código de Processo Penal: “o resultado de que
depende a existência do crime, somente é imputável a quem lhe deu causa.
Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido”.

No latim clássico, a forma correta usa a palavra “condicio” (condição), no entanto é

frequentemente usada a palavra “conditio” (fundação): “Conditio sine qua non”.

Processos de Análise Forense

Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca
de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito
de interesses

Fases

● Coleta dos dados;

● Manter integridade;
● Identificar e documentar;
● Exame dos dados;
● Uso de ferramentas técnicas;
● Visa à obtenção de informações relevantes;
● Análise das informações;
● Processamento das informações obtidas na fase anterior;
● Interpretação dos resultados;
● Laudo descrevendo procedimentos e resultados.

Ciclo da Investigação Computacional Forense

Coleta dos Dados

● Estabelecer Prioridades segundo

○ Volatilidade: dados que podem ser perdidos devem ser
priorizados;
○ Esforço: deve-se priorizar as coletas de menos esforço;
○ Valor Estimado: estimar valor relativo para cada provável fonte de
dados.
● Preservar Integridade
○ Gerar provas de que os dados estão íntegros (HASH)
○ Importante para admissibilidade das evidências

Exame dos Dados

● Filtrar, avaliar e extrair informações relevantes

● Uso de recursos e ferramentas específicas como:
○ dump de memória volátil;
○ recuperação e análise de de dados persistentes;
○ National Software Reference Library: conjunto de assinaturas de
softwares e documentos disponibilizado para filtragem de dados.

Análise das Informações

● Interpretação dos dados coletados

 ○ Identificação dos envolvidos;
○ Estabelecimento de ordem cronológica;
○ Levantamento de eventos e locais;
● Cruzamento de informações que levem a provas concretas ou evidências.

Interpretação dos Resultados

● Elaboração de um laudo pericial

○ Conclusão imparcial, clara e concisa;
○ Exposição dos métodos utilizados;
○ Deve ser de fácil interpretação por uma pessoa leiga.

Perícia Computacional

● Resposta a incidente de segurança

○ Preparação (pré-incidente)
○ Identificação (incidente) análise forense
○ Contenção (início do pós-incidente)
○ Erradicação
○ Recuperação
○ Acompanhamento
● Responder:
○ O que?
○ Onde?
○ Quando?
○ Como?
● Segundo Dan Farmer, a perícia computacional (forensics) “trata-se da
captura e análise de evidências, tanto quanto possível livres de estarem
distorcidas ou tendenciosas, de tal forma a reconstruir determinados dados
ou o que aconteceu num sistema no passado”;
● O perito deve isolar e assegurar o perímetro, registrando a “cena do crime”
da melhor maneira possível, e conduzindo uma busca sistemática por
evidências, coletando e armazenando as que encontrar;
● A velocidade das ações é essencial, mas estas devem ser levadas em
consideração sem colocar em risco a coleta ou a veracidade das
informações;
● O perito também deve ter em mente que qualquer operação executada num
sistema, causará alguma perturbação em seu estado;
● Além disso, atacantes hábeis conhecem como as perícias são feitas e podem
fornecer informações falsas em locais específicos.
● Outro aspecto importante diz respeito às leis vigentes na jurisdição, e as
políticas da organização ou instituição. Estas devem ser levadas em
consideração, e respeitadas;
● Sem este procedimento, a coleta de evidências pode ser inócua, ineficaz ou
ilegítima.
● Procedimentos para análise forense
○ Criar registro para cada evidência
○ Criar assinatura das evidências (Assistir aula sobre hash).
■ MD5
■ SHA1
■ SHA256
○ Evitar comprometer evidências
○ Criar relatório detalhado da investigação
■ Comandos executados
■ Pessoas entrevistadas
■ Evidências coletadas
● Cadeia de custódia​ de evidências
○ Registro detalhado do modo como as evidências foram tratadas
durante a análise forense, desde a coleta até os resultados finais
○ Este registro deve conter informações sobre quem teve acesso as
evidências ou às cópias utilizadas
○ Durante um processo judicial, este registro vai garantir que as
provas não foram comprometidas
○ Cada evidência coletada deve ter um registro de custódia
associada a ela
● Um registro de custódia deve conter pelo menos os seguintes itens
○ Data e hora de coleta da evidência
○ De quem a evidência foi apreendida
○ Informações sobre o hardware, como fabricante, modelo, número
de série etc
○ Nome da pessoa que coletou a evidência
○ Descrição detalhada da evidência
○ Nome e assinatura das pessoas envolvidas
○ Identificação do caso e da evidência (tags)
○ Assinaturas MD5/SHA1 das evidências, se possível
○ Informações técnicas pertinentes
 ● Durante a busca por evidências, a preservação do estado do sistema é um
fator determinante. Sem a preservação do estado, pode acontecer de nunca
se saber o passado;
● Desta forma, o perito sempre deve fazer a coleta de dados de acordo com a
ordem de volatilidade;
● Como ordem de volatilidade, deve-se considerar coletar primeiramente os
dados que forem mais efêmeros.

Ordem de Coleta de Evidências

● Durante a realização da captura de dados de perícia, além de seguir a ordem

de volatilidade dos dados, deve-se também levar em conta a “cadeia de
confiança” do sistema.
● Esta cadeia de confiança está associada com maneira na qual ocorre a
execução de um binário dentro de um sistema operacional.
● A cadeia de confiança apresenta a maneira como um sistema é perturbado
durante a execução de um comando ou programa.
● Durante a realização de uma perícia será necessário realizar uma
reconstrução de eventos passados;
● Entre os métodos a serem aplicados na correlação de eventos, pode-se citar,
em ordem de importância, os seguintes procedimentos e técnicas, bem como
algumas questões associadas a eles:
● Reconstrução do histórico dos usuários e suas operações.
○ Quais usuários acessaram o sistema numa determinada hora?
○ Qual foi o padrão de uso de uma conta em particular?
● Reconstrução do histórico dos processos executados, ou em execução.
○ Qual o ​Username,​ terminal e hora de início da sessão de cada
processo?
○ Qual a quantidade de uso de memória e CPU?
○ Quais as linhas de comando de chamada do processo?
○ Qual o estado do processo no momento (​running, sleeping,
suspended, dead,​ etc...)?
○ Quais os comandos executados por um processo específico?
○ Quais os comandos dentro de uma sessão específica?
○ Quais as sucessivas instâncias de um processo?
○ Quais as sequências de comandos específicos de um usuário?
○ Quais os processos rodando durante uma determinada janela de
tempo?
○ Quais os processos residentes que iniciaram após o tempo de
reboot​?
● Reconstrução da situação das conexões de rede e roteamento.
○ Qual a data, horário e destino da conexão?
○ Qual o nome do processo de rede e seu ID?
 ○ Qual o host cliente?
○ Opcional: Qual o usuário cliente? (depende da existência de
processo identd).
● Arquivos dos registros de auditoria (logs).
○ Quais as conexões de, e para, um site específico?
○ Quais as conexões para um serviço específico (por exemplo,
telnetd ou ftpd)?
○ Quais as sequências sucessivas de conexão de um site (por ex.
finger seguido de telnet)?
○ Quais as conexões ocorridas num intervalo de tempo?
● Horários de acesso (ou modificação) de arquivos ou diretórios (M/A/C/times)
[14].
○ mtime = modification time
○ atime = access time
○ ctime = status change time
○ dtime = deletion time (presente em alguns Linux)
○ Estes tempos são associados a qualquer arquivo ou diretório no
UNIX, no Windows NT e em outros filesystems. Trazem uma
quantidade significativa de informação.
○ Existem cerca de 100.000 arquivos numa máquina Unix,
representando 10 Mb de dados de M/A/C/times.
○ Se disponível, é um conjunto de evidências que deve ser
seriamente considerado.
● Network Sniffing (se possível).
○ É difícil de detectar.
○ Pode capturar todo o tráfego de rede.
○ Excelente para acompanhar o ataque em andamento ou o retorno
do atacante.
○ Útil para controle de danos, e inútil para recuperação de dados.
○ Exige alta capacidade de armazenamento.
○ Dados encriptados são um problema e impossibilitam a aplicação
desta técnica.
○ Pode violar a privacidade de outros usuários. É fortemente
dependente da política da organização e das leis vigentes.
Sistema Multiagente para Perícia Computacional

● Ferramentas atuais não fornecem flexibilidade para analisar grandes volumes

de dados
● Procedimentos desejáveis nem sempre são realizados
○ Falta de recursos, tempo, habilidade do agente, etc
● Sistema multiagente:
○ Diversos agentes, podendo agir de forma autônoma, trabalhando
no mesmo ambiente para atingir seus objetivos
● Cada agente é especialista em uma tarefa
● Sugerem a melhor ação a ser tomada com base em sua especialização
● Exemplos de especialidades:
○ Logs de servidores web
○ Imagens (detecção de faces, cor de pele, etc)
○ Histório do navegador internet
○ Quebra de senhas
○ Recuperação de arquivos apagados
○ Comparação com conjunto de hashes
● Nem todos especialistas são necessários em um caso específico
○ Agente coordenador
● Agentes podem ter conclusões diferentes
○ Blackboard – Agentes colocam suas “opiniões” em uma estrutura
e outro agente decide como resolver o conflito
● Os agentes são criados em forma de árvore
○ Nível 1: Especialista
○ Nível 2: Operacional
○ Nível 3: Tático
○ Nível 4: Estratégico
○ Os níveis debaixo só se comunicam com os seus superiores.
● Em um computador, ficam os especialistas, e o seu coordenador operacional
● Diversos computadores são coordenados por coordenadores táticos
● Os coordenadores táticos são coordenados pelo Gerente estratégico (define
quais táticos vão ser utilizados)
● Essa hierarquia permite tratar desde análise de apenas 1 computador, até
análise de um gigante número de dados, de forma distribuída.
● Somente agentes necessários “trabalham”
● Os desocupados podem liberar acesso à máquina para outro agente
executar tarefas mais “pesadas”
 ● Desenvolvido em Java
○ Utiliza troca de mensagens
○ Blackboard: Java Expert System shell (Jess)
○ Agentes: Java Agent Development Framework (JADE)
● Análise de HD de 80GB com mais de 50 mil arquivos
● Base de hashes reduzida, com 26 mil hashes
● Resultados

● Resultados
○ Forensic ToolKit 1.7.0.1 (FTK)
■ Média de 58 segundos!
○ Melhor uso dos recursos
○ Mais rápido
○ Respostas mais confiáveis (podem ser utilizados vários
especialistas da mesma área)
○

Onde Ficam as Provas

Locais onde se podem descobrir informações valiosas para uma investigação em três
áreas:

● Espaço de arquivos lógicos: Refere-se aos blocos do disco rígido que, no

momento do exame, estão atribuídos a um arquivo ativo ou à estrutura de
contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas
inode).
● Espaço subaproveitado: Espaço formado por blocos do sistema de arquivos
parcialmente usados pelo sistema operacional. Chamamos todos os tipos de
resíduo de arquivos, como a RAM e os arquivos subaproveitados, de espaço
subaproveitado.
● Espaço não alocado: Qualquer setor não tomado, esteja ou não em uma partição
ativa.

Para fins de ilustração, os dados de um disco rígido foram divididos em camadas,

parecidas às do modelo de rede OSI. Encontram-se informações com valor de provas
em todas essas camadas. O desafio é encontrar a ferramenta certa para extrair as
informações.

A tabela a seguir mostra as relações entre setores, clusters, partições e arquivos. Isso
ajuda a determinar o tipo de ferramenta a ser usada para extrair as informações.

Camadas de armazenamento do sistema de arquivos

Camada do sistema de Localização das provas em Localização de provas

arquivos DOS ou Windows em Linux

Armazenamento de Arquivos Arquivos

aplicativos

Classificação de Diretórios e pastas Diretórios

informações

Alocação de espaço de FAT Inode e bitmaps de

armazenamento dados

Formato de blocos Clusters Blocos

Classificação de dados Partições Partições

Física Setores absolutos ou C/H/S Setores absolutos

Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional
ou para o hardware do computador. São princípios da forense computacional: sucesso,
minimizar a perda de dados, fazer anotações sobre tudo, analisar todos os dados
coletados, fazer um relatório sobre as evidências.

O Que É Possível com a Forense Computacional? Recuperar dados deletados

descobrir quando os arquivos foram modificados, criados, deletados, acessados
determinar quais diapositivos e/ou mídias foram conectadas em um computador
específico, quais aplicações estão instaladas, mesmo quando elas foram desinstaladas
por algum usuário, quais sites um usuário visitou e etc.

Media Analysis (​Investigative Incident Handling​)

Media analysis é uma análise estática de cópias de evidência (​i.e.​, imagem de disco),
não é coleta de evidências de um sistema, e sim uma análise de evidências. Essa
análise pretende gerar relatórios que retratem o que aconteceu e como o crime foi
cometido. Media analysis faz uso de várias técnicas e ferramentas que não irão alterar a
cena de crime. Portanto, o perito trabalha somente nas cópias de evidências.

Evidência Digital – Definições

Sinônimo de indício, evidências digitais são informações digitais que determinam se um

sistema computacional sofreu algum tipo de infração na política de segurança da
empresa; ou que fornecem alguma ligação com a vítima ou o atacante; ou alguma coisa
que tende a estabelecer ou refutar um fato. Evidência é tudo que um perito procura.

Ainda que o perito consiga recuperar somente 4 bytes, essa informação pode
ser usada como uma evidência. O perito precisa ter certeza que cada byte de uma
evidência é obtida, analisada e usada para provar ou inocentar alguma alegação, o que
faz com que cada informação em posse do perito tenha uma importância crucial. Assim,
o volume de informações obtidas e analisadas cresce cada vez mais.

Propriedades de uma Evidência Digital

Evidências digitais podem ser duplicadas com exatidão a partir de métodos adequados.
É possível verificar também se essas evidências sofreram alterações. São voláteis. Se
não forem tomadas algumas precauções, as evidências podem ser alteradas e danificar
a cena de crime.

Melhor Evidência

A evidência original é a cópia original da mídia fornecida pelo cliente/vítima fonte de

informação. A regra da melhor evidência é a cópia mais completa que tenhamos obtido
e que seja a mais próxima da evidência original.

Exemplos de evidências digitais:

● documentos;
● ameaças através de e-mails;
● anotações de suicídio e outros crimes;
● softwares maliciosos;
● pornografia infantil (vídeo/fotos);
● evidências de conexões de redes estabelecidas entre computadores;
● mensagens SMS;
● arquivos impressos;
● qualquer dado que possa estar armazenado em dispositivos digitais.
Onde ficam as evidências?

● metadados de arquivos;
● arquivos deletados;
● registro do Windows;
● histórico de dispositivos USB;
● arquivos acessados recentemente, URLs, etc.;
● arquivos no Spool de impressão;
● arquivos de hibernação.

Princípio da Troca de Locard

O princípio da Troca de Locard define que, em um determinado momento em que dois

objetos interagem (entram em contato), haverá transferência de material entre os dois.

No mundo cibernético, todos que cometem algum tipo de crime cibernético deixam
rastros no sistema atacado.

No contexto da análise forense computacional, o princípio indica que pode ocorrer a

contaminação de provas, não só pelo criminoso, mas também pelo perito no momento
da investigação. Portanto, evidências digitais sempre existem. Os rastros de atacantes
podem ser difíceis de serem seguidos, mas existem.

Perícia Forense para Obtenção de Evidências

Diariamente, há diversos tipos de casos de fraudes e crimes (cibercrimes), em que o

meio eletrônico foi em algum momento utilizado para esse fim. A missão da perícia
forense é a obtenção de provas irrefutáveis, que irão se tornar o elemento chave na
decisão de situações jurídicas, tanto na esfera civil quanto criminal.

Para tanto, é critico observar uma metodologia estruturada visando à obtenção do

sucesso nesses projetos.

Identificação

Entre os vários fatores envolvidos no caso, é necessário estabelecer com clareza quais
são as conexões relevantes como, datas, nomes de pessoas, empresas, órgãos
públicos, autarquias, instituições etc., entre as quais foi estabelecida a comunicação
eletrônica.

Discos rígidos em computadores podem trazer a sua origem (imensas quantidades de

informações) após os processos de recuperação de dados.

Preservação

Todas as evidências encontradas precisam obrigatoriamente ser legítimas para terem

sua posterior validade jurídica. Sendo assim, todo o processo relativo à obtenção e
coleta de evidências, seja no elemento físico (computadores) ou lógico (mapas de
armazenamento de memória de dados), deve seguir normas internacionais.

Parte-se sempre do princípio de que a outra parte envolvida no caso poderá e deverá
pedir a contraprova, sobre os mesmos elementos físicos, então, o profissionalismo
dessas tarefas será crítico na sequência do processo, lembrando sempre que, caso o
juiz não valide a evidência, ela não poderá ser reapresentada.

Apresentação

Tecnicamente chamada de “substanciação da evidência”, a apresentação consiste no

enquadramento das evidências dentro do formato jurídico como o caso será ou poderá
ser tratado.

Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo
na esfera civil ou criminal ou mesmo em ambas.

Dessa forma, quando se tem a certeza material das evidências, atua-se em conjunto
com uma das partes acima descritas para a apresentação das mesmas.

Desligar ou Não o Dispositivo

Ao examinar um sistema computacional, o investigador forense está interessado em
obter dados para sua investigação que podem estar em dois tipos de memória:

Volátil – É aquela que perde seu conteúdo ao ser interrompida sua alimentação elétrica.
Em um computador, temos a memória principal, os registradores da CPU e sua
memória ​cache.​ Apenas a memória principal é de interesse para o investigador forense.

Não volátil – Não perde seu conteúdo com a interrupção da alimentação. Os discos
rígidos são atualmente o mais comumente usados, mas os discos de memória ​flash
começam a se tornar comuns, tanto em dispositivos como ​pen drives,​ como também em
substituição aos discos rígidos em ​notebooks​, ​tablets,​ telefones celulares e tocadores
de música.

A experiência e conhecimento técnico do examinador são de fundamental importância,

pois qualquer ação descuidada pode levar à perda de informações importantes.

Atualmente, o investigador forense enfrenta a difícil tarefa de decidir se desligar um

sistema é o modo mais eficiente de coletar potenciais vestígios eletrônicos (WILES;
CARDWELL; REYES, 2007). Há poucos anos, o procedimento da Computação Forense
se resumia a analisar um disco rígido, não havendo preocupação com o conteúdo de
memória, processos em execução e conexões de rede estabelecidas com outras
máquinas.
Tradicionalmente, os mais experientes investigadores forenses concordavam que a
melhor prática era desligar um computador para preservar vestígios e eliminar uma
potencial mudança na informação. No treinamento padrão, o “desligue tudo e não
modifique nada” era a norma. Esse procedimento é uma prática que vem do
mandamento da forense física de não se mexer na cena do crime, mas que não
necessariamente se aplica à forense digital, uma vez que a tecnologia de investigação
da Computação Forense evolui muito mais rapidamente do que as técnicas tradicionais
da forense física.

A evolução da tecnologia nos força a confrontar o fato de que algumas vezes é mais
vantajoso fazer uma análise com o sistema ligado do que uma análise “​post mortem”​ . O
problema é que a análise com o sistema ligado muitas vezes modifica o vestígio,
mudando o conteúdo de um disco rígido. Data e hora da criação/modificação de
arquivos, chaves de registro (Windows), arquivos de ​swap e​ conteúdo de memória são
modificados quando se faz uma análise de um sistema ligado.

A decisão de desligar ou não a máquina é baseada no conhecimento adquirido e na

observação da máquina em si, o que depende muito do objetivo da investigação. Caso
não seja feita a análise com a máquina ligada, é importante que os motivos da decisão
façam parte do relatório ou laudo da investigação.

Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados são

gravados em disco, permitindo uma investigação posterior. Já encerrar um programa,
tal como um cliente de torrent, põe a perder todos os dados das conexões ativas com
outros servidores. O conhecimento do investigador é que vai permitir esse
discernimento.

Torrent: Tecnologia de compartilhamento de arquivos P2P.

Além da máquina em si, temos o problema da rede. Como as redes são

transportadoras, e não elementos armazenadores, todos os dados devem ser
capturados e gravados em tempo real ou serão perdidos para sempre. Segundo Figg e
Zhou (2007), isso apresenta uma oportunidade para múltiplos tipos de investigações,
que incluem análise de ​logs,​ análise de padrões de tráfego em servidores e na própria
rede. Esse tipo de investigação aponta para uma análise em roteadores e ataques pela
web,​ incluindo ​e-mails​, esteganografia e dispositivos móveis.

Segundo o National Institute of Justice (2010), órgão do governo dos Estados Unidos, a
ênfase do investigador forense, nos dias de hoje, é capturar o máximo possível de
dados na cena do crime, enquanto os dispositivos ainda estão ligados. Quando lidando
com vestígios digitais, os primeiros investigadores a chegar ao local devem ainda
observar princípios forenses e princípios gerais, que incluem:

● o vestígio não deve ser modificado quando está sendo coletado, protegido e
transportado;
 ● o vestígio digital só deve ser examinado por aqueles com treino específico;
● tudo que é feito durante a busca, transporte e armazenamento do vestígio digital
deve ser totalmente documentado, preservado e tornado disponível para ser
revisto.

Outro fator em jogo é o tempo. Em uma investigação realizada dentro da empresa, onde
o tempo é teoricamente maior, uma análise com a máquina ligada não é um problema.
No entanto, em ações efetuadas por peritos em instalações de terceiros, pode ocorrer
que o número de máquinas e o efeito “surpresa” não forneçam o tempo necessário para
a análise, mesmo que certos detalhes da investigação presentes na memória volátil da
máquina possam ser muito relevantes para a investigação. Nestes casos, um ​dump d ​ e
memória é executado, copiando para um dispositivo não volátil todos os dados
presentes na memória naquele momento. O problema com esse procedimento é a
impossibilidade de certificar a fidelidade do conteúdo adquirido. O conteúdo da memória
de um computador, e aqui incluímos todos os aparelhos que possuem a mesma
arquitetura de processador + memória, modifica-se o tempo todo. O resultado de uma
aquisição no tempo t sempre será diferente do resultado no tempo t + 1, o que torna
uma comparação virtualmente impossível. Logo, esse resultado pode ser classificado
como um vestígio com menor validade como prova. Isto não ocorre com uma mídia em
que há técnicas de cópia que levam a um resultado reproduzível e passível de
verificação.

Logicamente que cada tipo de ​busca e apreensão​ influi no tipo de trabalho a ser
realizado. Estamos usando o termo de uma forma mais ampla, mas existem ações
legais que objetivam a apreensão dos equipamentos e há ações que buscam apenas os
vestígios, coletados no local. O planejamento da investigação depende desses fatores.

Aquisição e Preservação
A aquisição e preservação dos dados na forense
computacional
Embora as técnicas de investigação da Computação Forense sejam usadas em
contextos relacionados às investigações criminais, os princípios e procedimentos são
praticamente os mesmos quando utilizados para desvendar qualquer tipo de ataque em
uma empresa (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo de
investigação pode variar muito, as fontes dos vestígios geralmente são as mesmas:
dados gerados e manipulados por computador.

Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última

instância, é essa cadeia que as buscas realizam.
Por muito tempo, a investigação se concentrou em meios de armazenamento
magnéticos e ópticos, o que aumenta a preocupação em coletar ​dumps ​de memória em
um sistema em execução e do tráfego de dados em redes.

O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade
sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento
descobrindo e expondo os vestígios que foram deixados no sistema. Esses vestígios
podem ser transformados em provas.

Em seu trabalho, o investigador digital pode trabalhar com outros dados e informações
que, em resultado último, não se converterão em provas para um processo judicial.
Nesse trabalho, utilizamos o termo “vestígio” livremente, porém, em uma redação, para
uso legal essa distinção pode ser necessária.

A sequência de passos e o que será analisado dependem do tipo de incidente. Após

uma invasão de um sistema, por exemplo, é necessário analisar uma relativa
quantidade de fontes de dados, incluindo conexões na rede, portas utilizadas nessas
conexões, arquivos de ​log,​ instalação de ​malwares e
​ programas, arquivos criados,
apagados e alterados.

No entanto, nem todos os casos envolvem uma análise tão abrangente. Por exemplo,
um empregado pode ter acessado sem autorização um diretório contendo arquivos de
grande interesse para a empresa em que trabalha. Nesse caso, uma avaliação da
memória principal do computador não parece ser necessária. A cópia de um arquivo de
​ ue guarda os acessos ao computador pode conter vestígios suficientes para
log q
estabelecer a autoria do delito.

Já em outros casos, o acesso pode vir acompanhado de substituição de programas do

sistema por outros maliciosos, instalação de bibliotecas espúrias e execução de
processos viciados. Nesse caso, uma análise de como o sistema foi manipulado e uma
“foto” dos processos em execução podem ser necessárias, o que envolve a análise do
sistema ligado e ferramentas para ​dump d​ e memória.

Em qualquer circunstância, o processo a seguir depende do estabelecimento de uma

hipótese e da realização um trabalho minucioso e cuidadoso para ver se a suspeita se
confirma ou não.

Cada investigação deve começar com uma hipótese. Exemplos incluem “esse

computador foi invadido”, ou “a esposa de fulano está tendo um caso”, ou “este

computador teve seu arquivo de lixo roubado”. O papel do investigador

não é provar essas afirmações, mas levantar os vestígios que indicam que essas
hipóteses são verdadeiras ou não (ALTHEIDE; CARVEY; DAVIDSON, 2011).
O trabalho investigativo depende, em qualquer caso, de dois temas muito importantes
na computação forense: a aquisição e a preservação dos dados. As duas atividades são
interdependentes, principalmente pelo cuidado em tornar o processo auditável e
reproduzível. De nada adianta coletar os dados se estes se perderem total ou
parcialmente ou sofrerem modificações, perdendo seu valor como prova, ou, ainda, o
trabalho ser questionado.

A Computação Forense trabalha com o fato de que qualquer ação em um sistema

computacional deixa vestígios. Ações muito simples causam mudança de estado nos
registradores da unidade central de processamento, bem como mudança de estado na
memória principal. Ações mais complexas têm uma grande possibilidade de deixar
impressões mais duradouras, como informações armazenadas em um disco rígido.
Segundo Altheide, Carvey e Davidson (2011), podemos fazer analogia com a
investigação forense tradicional, quando tanto o arrombamento de uma porta como sua
abertura com chave mestra deixam vestígios – mais fortes e mais fracos. Mesmo o ato
de limpar os vestígios pode levar à criação de novos vestígios – como o cheiro de água
sanitária em uma cena de crime que foi lavada.

Comparado a muitos vestígios físicos de que trata a forense tradicional, o conteúdo

digital é relativamente muito frágil. É facílimo corromper dados gravados em discos e
memórias permanentes, bem como, mais ainda, eliminar vestígios presentes na
memória principal de computadores e outros meios voláteis. Sem um cuidado
adequado, tanto o conteúdo pode se perder como pode ser corrompido, causando
imprecisão no resultado de uma análise.

Em recentes estudos, já existe capacidade técnica de usar a unidade de processamento

e memória das placas de vídeo mais modernas para uso em ataques, tornando o
​ alicioso muito difícil de ser localizado.
software m

Durante a investigação, também não podem ser negligenciados detalhes como a

manutenção de sigilo e invasão de privacidade. Numa investigação conduzida de forma
ilegal, os vestígios encontrados podem ser recusados como provas em um processo.

Numa investigação forense, a forma com que o trabalho de coleta é feito é tão
importante quanto o vestígio em si. Também podemos dizer que a qualidade do
resultado da investigação é proporcional ao rigor e à precisão com que o trabalho
investigativo é conduzido. Todo o procedimento deve ser documentado, com a
descrição do ambiente onde se encontram os equipamentos, fotografias, esquema de
ligação das máquinas e inclusão de cada dispositivo coletado na ​cadeia de custódia​.

Existe o mandamento maior na Computação Forense que é extrair os vestígios sem

causar qualquer alteração no conteúdo original. Além disso, esse conteúdo deve ter seu
estado preservado durante toda a investigação: desde o momento que o vestígio é
encontrado até o momento em que a investigação se encerra e, talvez ainda, para além,
quando contestações podem requerer novo exame de todo o material. O valor do
vestígio depende do quanto ele foi preservado. Em certas circunstâncias, a alteração de
apenas alguns ​bits j​ á destrói o vestígio e prejudica drasticamente uma investigação
(WRIGHT, 2010).

Como já mencionado, uma ferramenta importante usada pelo investigador é a de ​cadeia

de custódia​. Nela, são anotadas todas as operações realizadas em um dispositivo ou
uma mídia que contém o vestígio, bem como quem o manuseou, quando isso foi feito e
o que foi feito. Nem todos os trabalhos realizados em um dispositivo são feitos por
apenas uma pessoa. Imagine a necessidade de enviar um disco rígido para ser
analisado em um laboratório, seja por um problema de ​hardware ​seja por conter um
sistema operacional não familiar à equipe. Esse envio deve ser documentado na ​cadeia
de custódia​, dando à equipe uma pronta informação de seu destino, datas, o que foi
feito e por quem.

No momento de apreensão de um dispositivo, uma etiqueta deve conter data e hora, o

nome do coletor, de onde o item foi retirado e outros fatos relevantes ao caso,
dependendo das políticas e dos procedimentos do time de investigadores
(OPPENHEIMER, s.d.). Após isso, o dispositivo deve ser transportado e bem guardado.

Um exemplo de trabalho que expressa esse cuidado, utilizado como referência ao redor
do mundo, é o guia de boas práticas para a pesquisa, apreensão e exame do vestígio
eletrônico, o ACPO Good Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE
UK, 2011). Iniciado em 1997, no Reino Unido, o trabalho contou com a participação de
agências de investigação e unidades de ciência forense envolvendo vestígio digital,
incluindo a Associação de Chefes de Polícia – Computer Crime Working Group.

O guia ACPO estabelece quatro princípios essenciais para a abordagem no momento

de apreensão e coleta de dados:

● Princípio 1 – Nenhuma ação de algum agente encarregado de trabalhar na

investigação pode modificar os dados contidos em um computador ou dispositivo
a ser investigado.
● Princípio 2 – No momento em que uma pessoa tem a necessidade de acessar o
conteúdo original mantido no dispositivo, computador ou mídia, essa pessoa
deve ser competente para tal e ser capaz de explicar a relevância e as
implicações de suas ações.
● Princípio 3 – Deve ser criado um registro de todos os passos da investigação.
Um examinador independente deve ser capaz de usar esses passos e chegar
aos mesmos resultados.
● Princípio 4 – A pessoa a cargo da investigação tem a responsabilidade geral de
assegurar que esses princípios sejam condizentes com os preceitos legais
aplicáveis.
Esses quatros princípios indicam que o processo vai além da coleta dos vestígios, em
direções que implicam necessidade de rigor na coleta de dados e responsabilidades
dos envolvidos.

Busca e Apreensão
O termo jurídico busca e apreensão (BRASIL, 1973) remete a uma ordem judicial para
que coisas ou pessoas sejam localizadas, analisados ou retirados do local para análise
posterior. Mesmo que o investigador forense trabalhe internamente em uma equipe de
resposta a incidentes, é possível que a empresa seja, em alguma época, alvo de uma
ordem de busca e apreensão em seus computadores. Casos como delitos causados por
empregados, uma denúncia, mesmo que infundada, de uso de software não licenciado,
ou outros motivos fora de controle da empresa, não podem ser totalmente descartados.
É normal que pessoal técnico da empresa seja chamado a acompanhar o procedimento
e entender o que está acontecendo e muitas vezes até mesmo auxiliando na busca de
informações.

Recorremos a uma simplificação, pois caracterizar o procedimento de análise posterior,

no âmbito judicial, pode ser bastante extenso.

No caso de denúncia, não há nenhum aviso prévio no sentido de a empresa apresentar

seus comprovantes de compra de licenças. A busca e apreensão é feita e,
posteriormente, a empresa tem de se defender da acusação de compra de software não
licenciado.

Os passos a seguir são exemplos que uma equipe de peritos pode seguir, tanto em
uma investigação em campo quanto em uma investigação interna, dando ênfase em
alguns pontos e suprimindo outros de acordo com o ambiente e caso analisado.

Podemos usar o termo perito como sinônimo de especialista, e não necessariamente

como aquele profissional nomeado por um juiz para trabalhar em um processo judicial.

Planejamento

Qualquer trabalho de busca e apreensão deve ser bem planejado. Durante essa fase, é
importante juntar o máximo de informações sobre o local onde o equipamento está
instalado, sobre seus usuários e sobre as máquinas em si. Informações como número
de computadores, seus modelos, tipos de sistemas operacionais e conexões devem ser
previamente conhecidas, para que o investigador ou a equipe de investigadores tenha
as ferramentas adequadas em mãos, inclusive, se necessário, com peritos auxiliares
contratados para casos em que os sistemas não sejam de domínio da equipe.

Outro fator que pode pesar é a existência de um grande número de equipamentos.

Pode ser que o tempo disponível para o trabalho não permita analisar todos os
computadores in loco. Se esse for o caso, e o tipo de análise permitir, pode ser
necessária a escolha de máquinas representativas ou mais importantes, como
servidores, a retirada de equipamentos ou de dispositivos, como discos rígidos e
unidades de backup para laboratório.

Em um caso de perícia sobre uso indevido de licenças, uma empresa de software

alegou que uma fábrica estaria usando seu produto em um número maior de máquinas
do que o estabelecido no contrato.

Essa empresa acionou a justiça. Para o processo, foram nomeados dois peritos que
deveriam avaliar cinco fábricas em cinco cidades diferentes. Vale destacar que os
honorários ​dos peritos​ deveriam ser custeados pelos denunciantes, incluindo despesas
de transporte, acomodação, alimentação etc.

Devido à natureza do negócio, essas máquinas não poderiam ser analisadas durante o
período de trabalho, o que levou a operação para os fins de semana. Observe que dois
peritos não dariam conta de estar em cinco lugares ao mesmo tempo, o que daria
tempo para a empresa organizar algum tipo de maquiagem.

Cada fábrica contava com mais de trinta computadores. Para analisar cada um, a
estimativa era de no mínimo trinta minutos, em que uma avaliação do registro (eram
máquinas Windows) e listagem de diretórios revelaria a presença da instalação das
cópias do software.

Porém, um estudo junto ao fabricante do software revelou que cada máquina contendo
o aplicativo fazia chamadas a um servidor que mantinha um banco de dados
centralizado para as cinco fábricas e que esse servidor continha um log de acesso com
identificação de cada máquina. Isso pôde reduzir a estimativa inicial para algo
extremamente mais simples, incluindo apenas uma visita. Esse tipo de detalhe técnico
nem sempre consta dos laudos do processo. Com um procedimento preparatório, a
tarefa pode ser melhor estimada.

Dependendo do tipo de busca, a empresa investigada não pode liberar suas máquinas
para análise sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de
situação varia de caso para caso, e o investigador forense deve estar preparado para
agir de acordo com a situação, inclusive contratando auxiliares.

No caso de o perito estar trabalhando em um caso judicial, a nomeação de auxiliares

deve ser comunicada oficialmente.

Em uma empresa, a manutenção de equipamentos de reserva como backups minimiza

muito os prejuízos causados por uma interrupção, além de fornecer maior tempo para a
investigação forense. Essa preocupação pode constar do Plano de Continuidade de
Negócios da empresa.

Trabalho em Campo
Não é sempre que uma máquina invadida pode ser removida para um laboratório a fim
de ser examinada. Até porque, em muitas investigações, deve-se interromper
minimamente as atividades do ambiente sob análise, reduzindo os prejuízos causados.
A equipe deve estar preparada para o trabalho em campo.

Exemplos de ferramentas com as quais uma equipe deve contar:

● Ferramentas comuns – um ​kit ​contendo chaves Philips, de fenda e Torx; um

alicate universal; um alicate de bico; um alicate de corte; e um pincel para limpar
poeira são o mínimo necessário. É também aconselhável a utilização de
proteção antiestática, que é uma tira que liga a caixa do equipamento ao braço
do técnico, neutralizando qualquer diferença de potencial de eletricidade estática
entre o aparelho e o corpo. A eletricidade estática é uma das maiores causas de
destruição de circuitos eletrônicos. Também uma caixa de plástico para
armazenar temporariamente parafusos retirados dos equipamentos facilita
bastante o trabalho. Canetas marcadoras de várias cores podem ajudar no
momento de marcar cabos para lembrar local e posição ao serem religados
posteriormente.
● Ferramentas de identificação – sacos plásticos antiestáticos para armazenar
discos rígidos, adesivos, etiquetas, canetas marcadoras.
● Documentação – formulários para anotação de todos os detalhes da operação,
bem como para a manutenção da ​cadeia de custódia​. Assistir a vídeo aula sobre
cadeia de custódia​.
● Câmera fotográfica com filmagem – pode auxiliar ao registrar programas
rodando, procedimentos de desligamento de máquinas, para provar o correto
shutdown,​ uma fotografia da máquina e de suas proximidades, configuração do
equipamento, conexões elétricas etc.
● Recipientes – sacos plásticos antiestáticos para embalar cada dispositivo a ser
removido do local, contendo etiquetas amarradas ou coladas com identificação
do item. Existem empresas que produzem embalagens específicas para uso em
Criminalística.
● Armazenamento de dados – discos graváveis (CDWR e DVD), HD externo, ​pen
​ SB para cópias de dados entre outros. Esses dispositivos devem estar
drives U
totalmente vazios.

Essa lista é logicamente incompleta e variável com o tempo, pois a tecnologia evolui
muito. Há pouco tempo, um disco de 1,44 MB estaria na relação, hoje é peça de museu,
mas nada impede que, em uma busca, sejam encontrados tipos antigos de mídia que,
dependendo da natureza da investigação, devem ser coletados para análise.

O investigador tem de estar preparado para essa hipótese e deve se preparar para ter
condições de realizar a leitura e produzir cópias de trabalho. É possível que um
dispositivo de gravação de CDWR/DVD se torne obsoleto em pouco tempo. Já existem
computadores que sequer possuem unidades de disco, carregando seus ​softwares
apenas pela rede.

Fontes de Vestígios
Em algumas circunstâncias, alguns aparelhos podem não parecer importantes para a
investigação forense, uma vez que cada vez mais a quantidade de armazenamento
aumenta e torna-se mais barato instalar grande quantidade de memória nos
dispositivos.

● Desktops​, ​notebooks e​ ​tablets –

​ esses são o alvo principal em um local sendo
avaliado. Porém, os equipamentos ao seu redor também podem ser repositórios
de dados importantes. É possível que a um computador estejam ligadas
unidades de armazenamento auxiliares, como discos USB, gravadores de
CD-ROM/DVD, ​hubs ​de USB com outros dispositivos nem sempre facilmente
visíveis. Dependendo do tipo de investigação, todos esses elementos podem
requerer seu armazenamento, etiquetagem e transporte.
● Organizadores pessoais (PDA), celulares e ​smartphones ​– em um local de
investigação, qualquer dispositivo dessa natureza pode ser fonte de vestígios.
Um cuidado especial deve ser tomado para que suas baterias não se esgotem, o
que pode fazer com que os dados se percam. Por este motivo, a apreensão de
fontes é importante em casos de ​busca e apreensão​.
● Unidades de armazenamentos de todos os tipos, como disquetes, CD- ROMs,
DVDs, ​pen drives,​ cartões de memória ​flash ​etc.
● Routers​, estação WI-FI, servidores de rede etc. – hoje em dia, é comum que
dispositivos de redes com conexão ​wireless p ​ ossuem unidades de
armazenamento de dados, incluindo discos para ​backups ​ou compartilhamento
de arquivos.tira o “ ou sem” Deixa so wireless
● Consoles de jogos – os consoles de jogos atuais são máquinas muito
avançadas, capazes de trabalhar com muitos tipos de tarefas e possuem
também uma grande capacidade de armazenamento. Notícias recentes afirmam
que os serviços de inteligência dos Estados Unidos vêm tentando conseguir
burlar as barreiras de proteção criptográficas de consoles com a intenção de
investigar possíveis armazenamentos de informações terroristas nessas
máquinas, pois elas são muito mais protegidas do que os computadores
pessoais.
● E-mail ​– um dos meios mais utilizados para comunicação, é fonte de vestígios
importantes. No momento de coletar um ​e-mail​, é necessário incluir o cabeçalho,
capturando, assim, a data de envio, a fonte e todos os passos que ele tomou até
chegar ao receptor. Existe muita discussão sobre a invasão de privacidade
causada pela leitura de um ​e-mail ​de um funcionário.
● Internet – a internet é mais um meio em que dados podem ser armazenados,
transmitidos e compartilhados. Embora complexa e imensa, ela nada mais é do
 que uma grande rede de computadores. Em última instância, a informação está
gravada fisicamente em um ou mais computadores, o que permite que ela possa
ser coletada ao serem examinados os dispositivos utilizados para seu
armazenamento. Parte dessa informação pode ser volátil, como as mensagens
instantâneas. Em investigações especiais, um monitoramento pode ser utilizado
para capturar mensagens.
● Redes sociais – contêm diversas informações sobre uma pessoa e seus
relacionamentos. O ​phishing ​mostra que a manutenção de informações pessoais
e de trabalho serve de munição para crimes.
● Páginas na internet – o ideal é utilizar uma ferramenta que “puxe” todo o
conteúdo do ​site.​ A captura deve ser datada, uma vez que as mudanças são
muito rápidas. Outra possibilidade é a captura de telas.
● Tocadores de música – esses dispositivos têm em seu interior grande
capacidade de armazenamento, com potencial de serem utilizados para
armazenar inclusive arquivos com formatos diferentes daqueles previstos para o
aparelho.
● Qualquer dispositivo desconhecido.

Essa lista é apenas uma amostra. Novos aparelhos e novas formas de comunicação
são inventados e alguns saem de uso. O PDA, por exemplo, tem dado lugar aos
celulares sofisticados e ​tablets​, e uma nova fonte de armazenamento pode se tornar
importante para a lista em questão de meses.

Dos Peritos
Conhecidos como Peritos em Computação Forense, o especialista em perícia digital
computacional ainda são escassos no mercado brasileiro. Com a área de atuação em
segurança da informação crescendo no país, a procura por essa especialização tem
crescido gradativamente, assim como a procura por seus serviços.

A Computação Forense é uma das áreas da Perícia Forense e está presente no Manual
de Patologia Forense do Colégio de Patologistas Americanos, publicado em 1990. A
definição para a profissão é a seguinte: aplicação de princípios das ciências físicas ao
direito na busca da verdade em questões cíveis, criminais e de comportamento social
para que não se cometam injustiças contra qualquer membro da sociedade.

Para se comprovar a existência de erros é que existe a figura do perito, alguém com
conhecimento técnico suficiente para auxiliar na investigação de casos em sua área de
conhecimento. Dentro da Computação Forense existem tipos específicos de perícia e
de peritos.

Peritos Oficiais – são aqueles que atuam em questões criminais e são, em sua maioria,
funcionários públicos concursados. Nessa categoria temos os Peritos Criminar Federais
(responsáveis pela esfera federal) e os Criminais Estaduais (resolução de os demais
crimes).

Pegando como base o Edital do concurso para Perito Criminal Federal de 2013, um
perito federal pode ganhar em média R$ 14.037, o mesmo salário de um delegado da
Polícia Federal, porém esse valor muda de acordo com a especialidade, cargo e local.
Em São Paulo, por exemplo, um concurso também realizado em 2013 era de R$
7.516,00 e no Mato Grosso do Sul, com base na Lei 3.672/09 o salário de um perito
federal é de R$ 3.100,00.

Peritos Ad-hoc – também conhecidos como peritos assistentes, esses profissionais

atuam tanto suprindo carências das perícias criminais como em demais casos onde não
existem peritos oficiais (causas cíveis ou em casos com necessidade de análise laudo).

O salário dessa categoria varia bastante e os fatores que mais influenciam são:
demanda regional, reconhecimento da profissão e valorização do próprio profissional.
No geral, um perito ad-hoc recebe por hora de trabalho. O valor é estipulado por cima e
de acordo com o tipo de perícia realizada, necessidades de softwares, periculosidade,
pressa do cliente, necessidade de peritos assistentes e quantidade de dados a serem
coletados. Pelo Brasil, a média é de R$ 100,00 e R$150,00 (profissionais liberais) até
R$ 250,00 (empresas especializadas).

Segundo os especialistas é complicado estimar a média salarial, pois há vários campos

de inserção do profissional de carreira forense com salários bem distintos a depender
do cargo (perito federal, perito estadual, perito judicial, perito particular, entre outros).
“Por exemplo, um perito federal, no início de carreira, tem vencimento mensal de
aproximadamente R$ 20.000,00, já um perito particular pode ganhar em um único caso
pericial os mesmos R$ 20.000,00″.

A formação

O conhecimento avançado em tecnologia da informação, preferencialmente em redes

sociais, sistemas operacionais e aplicações, são alguns dos requisitos necessários para
ser um ótimo profissional forense da computação. Não basta ter somente
conhecimentos técnicos, é preciso entender também um pouco de questões jurídicas,
sobre comportamento e os processos da investigação criminal.

Segundo o Código de Processo Civil, ​Lei 7.270/84​ publicada em 1984, é considerado

um perito (seja ele oficial ou ad-hoc) o indivíduo que apresentar nível superior e
comprovação de especialidade na matéria, sendo hoje muito utilizado cursos de
pós-graduação e certificações profissionais específicas.
Como mostrado na imagem acima pela SBCF, existe o Perito Oficial, o Perito Nomeado
e o Assistente Técnico. Vamos estudas as diferenças entre eles:

a) PERITO OFICIAL: são aqueles que se tornaram peritos mediante a aprovação em

concurso público.

“Art. 159 O exame de corpo de delito e outras perícias serão realizados por perito
oficial, portador de diploma de curso superior”.

Requisito: nível superior, aprovação no concurso.

b) PERITO NOMEADO OU PERITO ad hoc: são peritos nomeados pelo Juiz em locais
que não oferece demanda de peritos oficiais ou por outras razões.

“Art. 421. O juiz nomeará o perito, fixando de imediato o prazo para a entrega do laudo.”

Requisito: Nível superior, idoneidade (ter condições de desempenhar o cargo, no meu

entendimento é: não ter processos na vara criminal) e ter afinidade com o assunto
através de pós-graduação, mestrado ou doutorado na área da perícia.

c) ASSISTENTE TÉCNICO: contratado pelas partes para avaliar e contestar (derrubar)

o laudo produzido pelo Perito Oficial porém, precisa do consentimento do Juiz.

“Art. 159 § 3 Serão facultadas ao Ministério Público, ao assistente de acusação, ao

ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de
assistente técnico.

§ 4 O assistente técnico atuará a partir de sua admissão pelo juiz e após a conclusão
dos exames e elaboração do laudo pelos peritos oficiais, sendo as partes intimadas
desta decisão.”
Requisito: nível superior, e no mínimo especialização, além do vasto conhecimento na
área da perícia.

Referências​:

Art. 159 do Código Processo Penal – Decreto-Lei 3689/41, JusBrasil. Disponível em: <​"
>http://www.jusbrasil.com.br/topicos/10666578/artigo-159-do-decreto-lei-n-3689-de-03-d
e-outubro-de-1941>​; Acesso em 20 de julho de 2016.

Art. 421 do Código Processo Civil – Lei 5869/73, JusBrasil. Disponível em: <​"
>http://www.jusbrasil.com.br/topicos/10694845/artigo-421-da-lei-n-5869-de-11-de-janeir
o-de-1973>​; Acesso em 20 de julho de 2016

Legislação Brasileira
Muito se tem discutido, muito se tem escrito em projetos de leis que tramitam quase que
em ​loop​ no congresso nacional, caminhando de secretaria em secretaria e de órgão em
órgão, dada a falta de informação destes mesmos órgãos e capacidade de analisar a
pauta, e ora pela exacerbada burocracia. Porém, nenhum projeto importante que
agrega à nossa legislação as alterações e emendas necessárias à sua modernização e
tem sido sancionado.

Alguns autores tratam deste assunto, afirmando que daí, deveria nascer um novo
Direito, o direito da informática, outros apontam que a informática seria mais um ramo
do direito penal e processual penal a ser agregado a legislação brasileira.

Nos capítulos a seguir serão abordados os assuntos que devem cercar o assunto de
atualização da legislação brasileira, o que se deve proteger, de que forma o assunto é
tratado hoje e o que é necessário ser modificado.

O objeto de proteção penal no crime informático

(ROSSINI, 2002) aborda que, neste novo “ramo” do direito penal o direito penal na
informática, existe um bem jurídico autônomo e, sabendo que bem jurídico é “aquele
valor ético-social que o direito seleciona, com o objetivo de assegurar a paz social,
colocando sob sua proteção para que não seja exposto a perigo de ataque ou lesões
efetivas”(apud TOLEDO, 1991).

O autor salienta que o Direito Penal tem por escopo fundamental a proteção de bens
jurídicos. Assim, neste caso se faz necessária a intervenção do Direito Penal na
Informática, partindo do pressuposto de que existe o crime informático. O autor afirma
que o discernimento dos crimes em que o computador é mera ferramenta para a ofensa
a outros bens jurídicos que não exclusivamente os do sistema informático não é tarefa
difícil, pois são classicamente consagrados: no estelionato praticado por meio da
internet, o bem jurídico protegido é o patrimônio; nos crimes de calúnia, injúria e
difamação cometidos por meio da Rede, o bem jurídico é a honra; e assim com outras
modalidades de delitos.

Ainda segundo o autor, crime em uma ampla visão, nada mais é que uma agressão a
um bem protegido pelo Estado e prevista em lei como tal. Por conseguinte no que se
refere aos crimes informáticos, se faz necessário especificar quais são os objetos a
serem protegidos pela norma penal. Ele cita como exemplo, um indivíduo que invade
um computador alheio para apenas visualizar seus e-mails, neste caso o objeto a ser
protegido pelo estado é a intimidade do indivíduo atacado. Ou mesmo no caso odioso
da pedofilia onde o objeto tutelado seriam os costumes. E no caso em que o agente
invade o sistema de uma instituição financeira qualquer para subtrair para si ou para
outrem valores ou uma coisa móvel, constitui assim um atentado contra a propriedade,
portanto o objeto tutelado é o direito à propriedade.

O problema residiria então, na leitura da norma tipificadora do furto e o que venha a ser
considerado furto virtual. Tomando como exemplo o furto de um arquivo ou um
programa de um banco de dados privado, onde o criminoso acessa de forma
clandestina e o copia ou, qualquer outra informação do seu interesse. Neste caso o art.
155 do Código Penal Brasileiro, que reza sobre o crime de furto, diz que deve haver
uma diminuição do patrimônio, ou, de que a rês seja retirada da esfera de proteção do
seu dono modelo adotado pela jurisprudência brasileira, descaracteriza o exemplo
acima, tornando tal conduta atípica, pelo fato de não haver uma diminuição no
patrimônio do sujeito passivo, dado que todos os dados e arquivos permanecem no
mesmo local, houve tecnicamente então, uma subtração de um bem imóvel e um
acréscimo de vantagem ilícita para o agente, e que não se pode enquadrar no art. 155
do Código Penal.

Tomando outro norte, onde os crimes que visam especificamente o sistema de

informática em todas as suas formas, os bens jurídicos a serem protegidos são
explícitos: pois na invasão e/ou destruição de um programa ou o próprio computador, o
bem jurídico continua sendo o patrimônio, o que caracteriza “dano informático”; já na
tipificada “pirataria de software”, o bem jurídico protegido é a propriedade intelectual.

Porém ressalta tal autor que “existe um bem jurídico absolutamente permanente que é a
Segurança da informação, que existe independentemente dos bens jurídicos individuais
e coletivos que possam existir concomitantemente numa conduta típica praticada no
âmbito da internet”.

A Segurança da Informação configura em si a proteção sobre as informações de uma

entidade ou pessoa, isto é, aplica-se tanto às informações corporativas quanto as
pessoais. Sendo informação todo e qualquer conteúdo ou dado que tenha valor para
alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta
ao público para consulta ou aquisição.
A tríade CIA (Confidentiality, Integrity and Availability), Confidencialidade, Integridade e
Disponibilidade, representa os principais atributos que, atualmente, orientam a análise,
o planejamento e a implementação da segurança para um determinado grupo de
informações que se deseja proteger.

As ameaças à segurança da informação são relacionadas diretamente à perda de uma

de suas 3 características principais, quais sejam:

Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada

informação (ex: a senha de um usuário ou administrador de sistema) permitindo com
que sejam expostas informações restritas as quais seriam acessíveis apenas por um
determinado grupo de usuários.

Perda de Integridade: aconteceria quando uma determinada informação fica exposta a

manuseio por uma pessoa não autorizada, que efetua alterações que não foram
aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da
informação.

Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por

quem necessita dela. Seria o caso da perda de comunicação com um sistema
importante para a empresa, que aconteceu com a queda de um servidor de uma
aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por
motivo interno ou externo ao equipamento.

Nesta tríplice classificação, de acordo com (ROSSINI, 2002), trata-se um bem

jurídico-penal de natureza difusa. Isto ocorre porque, além de atingir um infinito número
de indivíduos, gera conflituosidade entre os interesses de usuários da internet e de
grandes empresas como os provedores de conteúdo e de acesso à internet.

Então alguns tipos penais necessitam ser criados, tais como invasões, violação de
correspondência eletrônica, dentre muitas outras. Também elementos do trato
processual como as formas de investigação já existentes precisam ser moldadas à era
da informática como a escuta autorizada de e-mail, a apreensão de dados eletrônicos
através da “clonagem” do disco rígido, além de outras que surgem a cada dia com o
avanço da tecnologia, citando, por exemplo, a telefonia Voip (Voz sobre IP), onde a
conversa trafega através da internet, que já faz parte do cotidiano dos internautas ou
usuário de telefones com esta tecnologia.

Projeto

É o projeto de lei mais importante em tramitação hoje de na Câmara dos Deputados

Senado Federal, trata-se do mais completo texto legislativo já produzido sobre crimes
informáticos no país, o Substitutivo apresentado pelo Senador Eduardo Azeredo, com a
assessoria do Dr. José Henrique Santos Portugal, aglutinou três projetos de lei que já
tramitavam na casa, para tipificar condutas realizadas mediante uso de sistema
eletrônico, digital ou similares, de rede de computadores, ou que sejam praticadas
contra rede de computadores, dispositivos de comunicação ou sistemas informatizados
e similares, e dá outras providências. São eles:

O PLC 89, de 2003, de autoria do Deputado Luiz Piauhylino, que altera o Código Penal,
Decreto-Lei nº. 2.848, de 7 de dezembro de 1940 e a Lei de Interceptações Telefônicas,
Lei nº. 9.296, de 24 de julho de 1996.

O PLS 76, de 2000, de autoria do Senador Renan Calheiros, nos termos do

Substitutivo, altera as duas leis acima e mais o Código Penal Militar, o Decreto-Lei nº.
1.001, de 21 de outubro de 1969, o Código do Processo Penal, Decreto-Lei nº. 3.689,
de 3 de outubro de 1941, a Lei da Repressão Uniforme, a Lei nº. 10.446, de 8 de maio
de 2002 e o Código do Consumidor, Lei nº. 8.078, de 11 de setembro de 1990.

E o PLS 137, de 2000, de autoria do Senador Leomar Quintanilha, que determina o

aumento das penas ao triplo para delitos cometidos com o uso de informática.

Neste projeto, pioneiro no assunto, em primeiro lugar, a pauta das condutas que
passam a ser criminalizadas conta com 11 tipificações:

1. Roubo de senha
2. Falsificação de cartão de crédito
3. Falsificação de telefone celular ou meio de acesso a
4. Calúnia, difamação e
5. Difusão de Código Malicioso para causar
6. Acesso não
7. Obtenção não autorizada de informação e manutenção, transporte ou
fornecimento indevido de informação obtida
8. Divulgação não autorizada de informações disponíveis em banco de dados
9. Furto Qualificado por uso de
10. Atentado contra a segurança de serviço de utilidade 11. Ataques a redes
de computadores

O substitutivo inclui também sugestões apresentadas por especialistas em audiências

públicas realizadas no Congresso para debater o tema e outras quatro emendas
apresentadas durante a tramitação no Senado. Entre elas a emenda número 3 da CCJ,
de autoria do senador Valter Pereira (PMDB-MS), que determina que a Lei Afonso
Arinos (que proíbe a discriminação racial no Brasil), passe também a abranger os
crimes de discriminação de raça e de cor cometidos na rede mundial de computadores
(Internet).

No total, o projeto recebeu vinte e quatro emendas. Segundo Azeredo, a aprovação da

proposta é um dos principais objetivos da Frente Parlamentar de Informática, que vê a
medida como arma destinada a aumentar a segurança no uso de novas tecnologias no
Brasil.
Uma vez tal projeto de lei seja aprovado em caráter final, não mais persistirá a falta de
tipos penais específicos para o enquadramento de condutas delituosas (o que tem
inibido, por exemplo, a repressão da difusão de vírus), bem como deixará de haver
margem para dúvidas sobre o cabimento (especialmente em relação a invasões e a
phishing) da aplicação de tipos tradicionais como o furto e o estelionato.Ou seja, as
delegacias (principalmente, as especializadas, de crimes eletrônicos), e os tribunais,
contarão com o arsenal normativo que há tanto tempo têm aguardado.

A criminalização de atos praticados em computadores e redes deverá ter como

contrapartida a elaboração de norma de direito civil, que estabeleça penalidades
financeiras e outras, e que defina a materialidade dos direitos e obrigações no universo
digital, especialmente no comércio eletrônico. O grupo de colaboradores que contribuiu
para o aprimoramento do PLS 76/2000 já está atento a essa necessidade, de modo que
se venha a ter a complementaridade entre a responsabilidade civil e a penal. Somando
a isto o quadro regulatório, em que já proliferam as exigências de segurança e as
sanções para quem não as implemente, se terá, mais em breve, um cenário legal em
condições de ser bastante eficaz.

A Convenção sobre o Cibercrime – Convenção de Budapeste

A Convenção sobre o Cibercrime, celebrada em Budapeste, Hungria, a 23 de novembro

de 2001, pelo Conselho da Europa, teve como signatários 43 paises, europeus na sua e
ainda Estados Unidos, Canadá e Japão. Cada Estado signatário deve ratificar as
disposições constantes da Convenção no seu ordenamento jurídico interno.

Em resumo a Convenção recomenda procedimentos processuais penais, a guarda

criteriosa das informações trafegadas nos sistemas informatizados e sua liberação para
as autoridades de forma a cumprir os objetivos relacionados no preâmbulo. Além disso,
trata da necessária cooperação internacional, das questões de extradição, da
assistência mútua entre os Estados, da denúncia espontânea e sugere procedimentos
na ausência de acordos internacionais específicos, além da definição da
confidencialidade e limitações de uso. Define também a admissão à Convenção de
novos Estados por convite e a aprovação por maioria do Conselho.

A legislação brasileira e a Convenção sobre o Cibercrime

A legislação brasileira em vigor já tipifica alguns dos crimes identificados pela

Convenção, como os crimes contra os direitos do autor e crimes de pedofilia, e, caso a
caso, cuida de alguns outros já tipificados no Código Penal. Tabela 1 exibe o que
segundo a Convenção, a legislação penal em cada Estado signatário deve tratar e a
sua correspondência na legislação brasileira:

Recomendação da Convenção Artigos das leis ou códigos

Recomendação da Artigos das leis ou códigos
Convenção

1 – do acesso ilegal ou não 154-A e 155 4º,V do CP339-A e 240 6º,V do CPM
autorizado a sistemas
informatizados

2 – da interceptação ou art. 16 do Substitutivo

interrupção de
comunicações,

3 – da interferência não 154-D, 163-A e 171-A do CP339-D, 262-A e 281-A do

autorizada sobre os dados CPM
armazenados

4 – da falsificação em 163-A, 171-A, 298 e 298-A do CP262-A e 281-A do

sistemas informatizados CPM

5 – da quebra da integridade 154-B do CP339-B do CPM

das informações

6 – das fraudes em sistemas 163-A e 171-A do CP262-A e 281-A do CPM

informatizados com ou sem
ganho econômico

7 – da pornografia infantil ou 241 da Lei 8.069, de 1990, Estatuto da Criança e do

pedofilia Adolescente (ECA), alterado pela Lei 10.764, de
2003;

8 – da quebra dos direitos de Lei 9.609, de 1998, (a Lei do Software), da Lei 9.610
autor de 1998, (a Lei do Direito Autoral) e da Lei 10.695 de
2003, (a Lei Contra a Pirataria);

9 – das tentativas ou ajudas 154-A 1º do CP339-A do CPM

a condutas criminosas
 10 – da responsabilidade de art. 21 do Substitutivo
uma pessoa natural ou de
uma organização

11 – das penas de privação penas de detenção, ou reclusão, e multa, com os

de liberdade e de sanções respectivos agravantes e majorantes, das Leis citadas
econômicas e dos artigos do Substitutivo.

Tabela 1 – Paralelo entre a Convenção de Budapeste e a legislação brasileira

O Conselho da Europa consiste em 44 Estados-membro, incluindo todos os membros

da União Européia. Ele foi instituído em 1949 primeiramente como fórum para proteger
e fortalecer os direitos humanos, e para promover a Democracia e o Estado de Direito
na Europa. Ao passar dos anos, o Conselho da Europa tem sido o fórum de negociação
para diversas convenções na área criminal.

A Convenção Contra o Cibercrime, tanto em seu preâmbulo como em todo o seu corpo,
ressalta o conceito geral de que todas as normas legais estabelecidas pelos
países-membros deverão respeitar os direitos humanos fundamentais e as liberdades
civis, entre as quais se incluem o direito a privacidade, intimidade, liberdade de
expressão, acesso público ao conhecimento e a Internet.

Perito Forense deve possuir nível superior de acordo com a ​LEI Nº 7.270, DE 10 DE
DEZEMBRO DE 1984.

Normas e ISO
A Segurança da Informação possuem algumas normas e procedimentos para
padronizar e/ou apoiar o trabalho do profissional (ITIL, CoBIT, MOF, ISO 20000, ISO
27002, etc.) a Computação Forense, ainda que no início, também possui alguns
materiais para nortear o trabalho do perito.

Do Departamento de Justiça dos Estados Unidos:

● Electronic Crime Scene Investigation: An On-the-Scene Reference for First

Responders
● Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal
Investigations

Do NIST – National Insitute of Standards and Technology:

● Special Publication 800-86 – Guide to Integrating Forensic Techniques into

Incident Response
 ● Special Publication 800-101 Revision 1 – Guidelines on Mobile Device Forensics
● Draft NISTIR 8006 – Cloud Computing Forensic Science Challenges

Demais normas e procedimentos (inglês):

RFC 3227 – Guidelines for Evidence Collection and Archiving

Scientific Working Group on Digital Evidence (SWGDE) – ​Proposed Standards for the
Exchange of Digital Evidence

Scientific Working Group on Imaging Technology (SWGIT)

International Organization on Digital Evidence (IOCE) – International Principles for

Computer Evidence

Os padrões (SWGDE e IOCE) foram apresentados durante a International Hi​Tech

Crime and Forensics Conference (IHCFC), ​ ​realizada em Londres, de 4 a 7 de outubro
de 1999.

Convenção sobre o Cibercrime​ (também conhecida como Convenção de Budapeste)

Demais normas e procedimentos (português):

ISO 27037:2013 – Diretrizes para identificação, coleta, aquisição e preservação de

evidência digital​. ISO 27037: orientações para a identificação, coleta, ​aquisição e
preservação​ de evidências forenses digitais. Esta norma está focada na manutenção da
integridade destas evidências. Sem dúvidas, uma das normas mais relevantes para
profissionais que seguem ou pretendem seguir carreira de perito forense.

A normativa ISO/IEC 27037:2012, primeira edição em 15 de outubro de 2012, que trata

das premissas a serem seguidas nos procedimentos investigativos em Tecnologia da
Informação, tem preceitos que vêm ao encontro das etapas explanas acima, a saber:
Técnicas de Segurança – Guias para Identificação – Coleta, ​Aquisição e Preservação
de Evidência Digital – (​Information Technology – Security techniques – Guidelines for
identification, collection, acquisition, and preservation of digital evidence)​

CSA Cloud Security Alliance – ​Mapping the Forensic Standard ISO/IEC 27037 to Cloud
Computing

Ministério Público Federal – Procuradoria da República no Estados de SP – Grupo de

Combate aos Crimes Cibernéticos ​Crimes Cibernéticos – Manual Prático de
Investigação

Ministério da Justiça – Secretaria Nacional de Segurança Pública ​Procedimento

Operacional Padrão: Perícia Criminal
ISO 27041: regula sobre a conformidade para métodos de investigação de evidências
digitais, sendo mais uma norma entre as disponíveis para análise forense
computacional / segurança forense.

ISO 27039: sistemas detecção de intrusos: um guia para seleção, contratação,

desenho, operação e administração de sistemas IDS (Intrusion Detection Systems).

Comentários: as duas próximas normas (ISO 27037 e ISO 27038) tratam sobre
segurança forense, e este tema volta a ser citado nas normas ISO 27041 e ISO 27042".
Já as ISO 27038 eISO 27039 tratam sobre ferramentas que automatizam atividades
para SI.

ISO 27038: especificação para redação digital. Uma norma qual considero bem
interessante por conta do seu grau de especifidade: trata sobre requisitos para a
redação e compartilhamento da informação digital de forma adequada, seja ela
publicada internamente na organização ou a partes externas.

ISO 27032: aborda “Cybersecurity”. Está em sua definição a preservação da

confidencialidade, integridade e disponibilidade da informação em "Cyberspace".