FACULDADE DE TECNOLOGIA DE SO PAULO RAFAEL NADER DE ALMEIDA

Percia Forense Computacional: Estudo das tcnicas utilizadas para coleta e anlise de vestgios digitais

So Paulo 2011

FACULDADE DE TECNOLOGIA DE SO PAULO RAFAEL NADER DE ALMEIDA

Percia Forense Computacional: Estudo das tcnicas utilizadas para coleta e anlise de vestgios digitais

Monografia submetida como exigncia parcial para a obteno do Grau de Tecnlogo em Processamento de Dados. Orientador: Prof. Rodrigo Zuolo Carvalho.

So Paulo 2011

Dedicatria

Dedico este trabalho de concluso da graduao aos meus pais, namorada, irmos, familiares e amigos que de muitas formas me incentivaram e ajudaram para que fosse possvel a concretizao deste trabalho.

Agradecimentos

Agradeo especialmente e carinhosamente os meus pais Maria Aparecida Moreira Nader e Humberto de Almeida, pelo amor incondicional, pela confiana depositada, pelo respeito e por terem feito o possvel e o impossvel para me oferecerem a oportunidade de estudar.

minha namorada Amanda Teixeira Rodrigues, pelo amor, pela amizade, por estar comigo nos momentos de angstia e felicidade, pela motivao e por ser exemplo de dedicao aos estudos.

Aos meus irmos e familiares pelo incentivo, por compreenderem a importncia dessa conquista e aceitar a minha ausncia quando necessrio.

Aos meus amigos pela torcida positiva, pela amizade e por ajudar a tornar a vida muito mais divertida.

Ao meu orientador, o Professor Rodrigo Zuolo Carvalho pelo empenho, pacincia e credibilidade, obrigado por tudo.

Resumo

A facilidade e a velocidade com que o computador processa, armazena e transmite informaes tornou-o um bem de consumo muito apreciado - e por diversas vezes indispensvel em todo o mundo. No Brasil, o ramo de informtica cresceu de forma vertiginosa na ltima dcada, graas aos avanos econmicos, sociais e de demanda por esses equipamentos. Com essa disseminao dos computadores e do acesso a internet, os criminosos tambm passaram a utilizar esses dispositivos em seus delitos, seja utilizando-os como ferramenta de apoio para crimes convencionais, ou como meio para a violao da lei. Para combater tais transgresses, a polcia teve que se aperfeioar, fazendo surgir a figura do Perito Computacional, um profissional com conhecimentos tanto em informtica, quanto em direito, especialista em analisar vestgios digitais e em produzir provas tcnicas fundamentais que serviro de apoio para a deciso de um juiz. Este trabalho de graduao visa descrever a Percia Forense Computacional, bem como as tcnicas empregadas na extrao e anlise dos dados de mdias de armazenamento digital e os aspectos jurdicos envolvidos na atuao do perito.

Abstract

The ease and speed with which the computer processes, stores and transmits the information became a commodity much appreciated - and needed several times - throughout the world. In Brazil, the computer industry has grown over the last decade, thanks to economic and social advances and demand for such equipment. With the spread of computers and access the Internet, criminals have also begun to use these devices in their crimes, either using them as a tool to support conventional crime or as a means for breaking the law. To combat such offenses, the police had to be improved, leading to the figure of the Computer Specialist, a professional with expertise in both computer science, as in law, expert in analyzing digital footprints and to produce technicals evidences that will support the judge decision. This graduate work aims to describe the Computer Forensics as well as the techniques employed in the extraction and analysis of data from digital storage media and the legal aspects involved in the performance of the specialist.

Sumrio Captulo 1 - Conceitos Gerais .............................................................................................. 7

1.1 - Introduo ................................................................................................................................................... 7 1.1.1. Objetivos ............................................................................................................................................... 9 1.1.2. Justificativa ........................................................................................................................................... 9 1.1.3. Metodologia .......................................................................................................................................... 9 1.1.4 Apresentao do trabalho ..................................................................................................................... 10 1.2 - Definio de Percia Forense Computacional ........................................................................................... 10 1.3 - Tipos de crimes cometidos utilizando dispositivos computacionais ......................................................... 11 1.3.1 Equipamento computacional utilizado como ferramenta de apoio aos crimes convencionais ............. 12 1.3.2 Equipamento computacional utilizado como meio para a realizao do crime .................................... 12

Captulo 2 - Incio da Percia Forense Computacional..................................................... 13

2.1 - Procedimentos executados durante uma investigao............................................................................... 13 2.2 - Locais de crime de informtica e busca e apreenses de equipamentos computacionais ......................... 14

Captulo 3 - Tcnicas envolvidas na coleta e no exame de vestgios digitais.................... 17

3.1 - Etapas de um exame forense computacional............................................................................................. 17 3.2 - Preservao ............................................................................................................................................... 18 3.3 - Coleta de dados ......................................................................................................................................... 21 3.4 Anlise dos vestgios encontrados............................................................................................................ 24 3.5 - Mtodos praticados para a preservao de evidncias .............................................................................. 28

Captulo 4 - Principais dificuldades que podem surgir durante a investigao .............. 31

4.1 - Quantidade de arquivos............................................................................................................................. 31 4.2 - Existncia de senhas ................................................................................................................................. 32 4.3 - Criptografia ............................................................................................................................................... 33 4.4 - Esteganografia........................................................................................................................................... 34

Captulo 5 - Principais aspectos jurdicos presentes na Percia Forense Computacional36 Concluso ........................................................................................................................... 42 Referncias Bibliogrficas ................................................................................................. 44

7 Captulo 1 - Conceitos Gerais

1.1 - Introduo

Durante o perodo Mesoltico da Pr Histria, a aproximadamente dez mil anos atrs, a humanidade conseguiu dar importantes passos rumo sua evoluo e sobrevivncia. Foi nessa fase que o homem dominou o fogo, domesticou animais e desenvolveu a agricultura, o que exigiu o conhecimento do tempo, das estaes do ano e das fases da lua, alm de formas de controlar seu rebanho, surgindo assim a necessidade de contar. A partir de ento, no parou mais, quantificando desde alimentos para o consumo da tribo, at partculas subatmicas para pesquisas espaciais. O ser humano percebeu que a capacidade de efetuar clculos sempre esteve ligada com o seu desenvolvimento, ou seja, cada vez que ele conseguia resolver operaes matemticas mais complexas e com maior rapidez, maiores eram os avanos cientficos que alcanava. Baseado nessa percepo, diversos instrumentos de contagem foram criados, como o baco, as Rguas de Clculo de John Napier, a Pascalina de Blaise Pascal que depois foi aperfeioada por Gottfried von Leibnitz e muitos outros, incluindo o computador. Inclusive o termo Computar, segundo o dicionrio Michaelis, originrio do latim e significa calcular, contar; portanto, computador seria ento o mecanismo ou mquina que auxilia nessa tarefa. Em 1946, surge nos EUA com cerca de 30 toneladas; 18000 vlvulas; ocupando, aproximadamente, uma rea de 180 m2; e com capacidade de realizar 5000 somas por segundo, o primeiro computador digital eletrnico automtico do mundo, chamado ENIAC (Electrical Numerical Integrator and Computer). Ele foi concebido atravs de uma parceria entre o exrcito norte americano e a Universidade da Pensilvnia, com o intuito de realizar clculos balsticos e continha a arquitetura bsica de um computador empregada at hoje, com memria principal, memria auxiliar, unidade central de processamento e dispositivos de entrada e sada de dados. Em 1947, a inveno do transistor - em substituio s vlvulas - trouxe maior velocidade s mquinas e provocou uma revoluo na eletrnica dos aparelhos da poca. Houve um tempo de constantes aprimoramentos e desenvolvimento tecnolgico, tanto que em 1965, Gordon Earle Moore futuro cofundador e presidente da Intel conjeturou que a quantidade de transistores que podiam ser impressos numa pastilha (futuro processador de um computador)

8 dobraria a cada ano mantendo o seu custo. Tal previso de evoluo acabou se concretizando at os dias atuais, porm no intervalo maior de 18 meses. Mesmo assim, foi um prognstico ousado e demonstra o quanto a computao evoluiu desde ento. Atualmente, a facilidade e a velocidade com que o computador processa, armazena e transmite informaes por toda a sua rede, tornou-o um bem de consumo muito desejado e por diversas vezes indispensvel em muitos lares de todo o mundo. Segundo a pesquisa Mercado Brasileiro de Tecnologia de Informao (TI) e Uso nas Empresas, feita pela Fundao Getlio Vargas, h cerca de 2,5 bilhes de computadores no planeta em 2011. No Brasil, as vendas desses equipamentos aumentaram 20% no ltimo ano, o que contribuiu para que chegssemos ao nmero de 85 milhes, o que significa que quatro de cada nove brasileiros tm um computador para uso residencial ou corporativo. De acordo com o coordenador da pesquisa e professor da FGV, Fernando Meirelles, a tendncia que essa expanso continue nos prximos anos devido reduo do custo dos aparelhos, elevao do poder aquisitivo e ao crescimento da percepo das pessoas sobre a utilidade do computador1. Governos e empresas notaram esse avano e passaram a oferecer diversos servios aos cidados, como emisso de documentos, transaes bancrias, vendas de produtos, entre outros, gerando assim uma enorme quantidade de dados sigilosos. Os criminosos, atrados pelo grande volume de informaes pessoais circulando pelas redes do mundo inteiro, comearam a se especializar e at recrutar pessoas com conhecimentos na rea de computao. A melhor maneira para combater tais ataques, sem dvida, a preveno, no s utilizando equipamentos de alta tecnologia e sistemas seguros, como tambm instruindo as pessoas que os utilizam. Entretanto, quando ela se torna ineficaz ou inexistente, deve-se recorrer Percia Forense Computacional para que haja uma investigao e os criminosos punidos. Esta prtica feita por um profissional habilitado, com conhecimentos tanto em informtica, quanto em direito, especialista em analisar vestgios digitais e em produzir provas tcnicas que serviro de apoio para a deciso de um juiz. Mesmo com toda a importncia da Percia Forense Computacional, livros, documentos e textos cientficos so escassos, superficiais ou, at mesmo, incompletos, abordando apenas uma das vertentes dessa rea. Este trabalho acadmico ambiciona preencher esta lacuna, fornecendo conhecimentos relevantes sobre todas as reas relacionadas investigao digital, sobre a atuao do perito, as tcnicas de coleta e exame dos dados e os aspectos jurdicos presentes.
1

http://agenciabrasil.ebc.com.br/noticia/2011-04-19/pesquisa-mostra-que-brasil-tem-85-milhoes-decomputadores-em-uso

9 1.1.1. Objetivos

O objetivo deste trabalho de concluso de curso conceituar Percia Forense Computacional; descrever os processos executados durante a investigao; traar os tipos de crimes cometidos utilizando equipamentos computacionais; exibir as tcnicas envolvidas na coleta e no exame de vestgios digitais; relatar as principais dificuldades que podem surgir na fase de anlise dos dados como quantidade de arquivos, existncia de senhas, criptografia e esteganografia; e citar os principais aspectos jurdicos envolvidos durante a percia. Tambm se pretende discutir os mtodos usados na preservao de evidncias para garantir a integridade do material questionado, porm este texto no intende abordar os procedimentos para a elaborao de um laudo pericial. Ou seja, esta monografia aspira apresentar um novo enfoque da Percia Computacional, ao mostrar como a atuao do perito, ao estudar a coleta e exame dos dados pelos aplicativos forenses e ao analisar os aspectos jurdicos presentes.

1.1.2. Justificativa

Mesmo com toda a importncia da Percia Forense Computacional atualmente, livros, documentos e textos cientficos so escassos, superficiais ou, at mesmo, incompletos, abordando apenas uma das vertentes dessa rea. Este trabalho acadmico ambiciona preencher esta lacuna, fornecendo conhecimentos relevantes sobre todas as reas relacionadas investigao digital, como a atuao do perito, as tcnicas de coleta e exame dos dados e os aspectos jurdicos presentes.

1.1.3. Metodologia

Primeiramente, foi feito um levantamento bibliogrfico em busca de obras de qualidade e produzidas por profissionais conceituados na rea, no s na parte terica, como tambm na prtica, como por exemplo, peritos computacionais com anos de experincia. Aps a escolha

10 e estudo da literatura, foram feitas diversas buscas em sites da Internet por informaes complementares para que o enfoque deste trabalho pudesse ser atingido.

1.1.4 Apresentao do trabalho

O captulo 1 deste texto aborda os conceitos gerais e a definio sobre Percia Forense Computacional e os tipos de crimes cometidos utilizando dispositivos computacionais.

Os procedimentos executados durante a investigao, como a busca e o comportamento do perito em locais de crime de informtica e os aspectos das apreenses de equipamentos computacionais, so detalhados no captulo 2.

O captulo 3 o cerne deste trabalho de graduao, pois descreve as caractersticas sobre o armazenamento digital, as etapas de um exame forense computacional, as tcnicas utilizadas para coleta e anlise dos dados e os mtodos praticados para a preservao de evidncias.

No captulo 4 so apresentados os maiores desafios que podem surgir durante a anlise dos dados, como a quantidade de arquivos, senhas, criptografia e esteganografia.

O captulo 5 o responsvel por discorrer a respeito dos principais aspectos jurdicos presentes durante a investigao com relao Percia Forense Computacional.

1.2 - Definio de Percia Forense Computacional

A inovao tecnolgica traz uma srie de benefcios para as pessoas e a comunidade em geral. Todavia, com as vantagens, surge tambm a possibilidade de realizao de novas prticas ilegais e criminosas. Para punir os agentes de tais atos, necessrio que haja uma investigao por parte das autoridades competentes, a qual se inicia sempre com a apurao e anlise dos vestgios deixados, conforme determina o Cdigo de Processo Penal Brasileiro (CPP) em seu artigo 158: Quando a infrao deixar vestgios, ser indispensvel o exame de corpo de

11 delito, direto ou indireto, no podendo supri-lo a confisso do acusado. Segundo o dicionrio Michaelis da Lngua Portuguesa, vestgio definido como 1 Sinal deixado pela pisada ou passagem, tanto do homem como de qualquer outro animal; pegada, rasto. 2 Indcio ou sinal de coisa que sucedeu, de pessoa que passou. 3 Ratos, resqucios, runas. Seguir os vestgios de algum: fazer o que ele fez ou faz; imit-lo. No caso da computao, os vestgios de um crime so digitais, uma vez que toda a informao armazenada nesses equipamentos computacionais composta por bits em uma ordem lgica. J em seu artigo 159, o CPP impe que O exame de corpo de delito e outras percias sero realizados por perito oficial, portador de diploma de curso superior. Desta forma, Percia Forense Computacional a atividade concernente aos exames realizados por profissional especialista, legalmente habilitado, destinada a determinar a dinmica, a materialidade e autoria de ilcitos ligados rea de informtica, tendo como questo principal a identificao e o processamento de evidncias digitais em provas materiais de crimes, por meio de mtodos tcnico-cientficos, conferindo-lhe validade probatria em juzo (ELEUTRIO /

MACHADO, 2011, p.16).

1.3 - Tipos de crimes cometidos utilizando dispositivos computacionais

Embora a utilizao de computadores para o cometimento de crimes no ser uma atividade to recente, a legislao brasileira ainda no est totalmente preparada para tipificar todas as modalidades de crimes cibernticos. Atualmente, h um projeto de lei e o Marco Civil da Internet Brasileira tramitando na Cmara dos Deputados e no Senado Federal, porm no h previso para que sejam apreciados, votados e entrarem em vigor. Tais textos regulamentam, por exemplo, o crime de criao e transmisso de vrus e o tempo mnimo que um provedor de internet deve guardar os registros de acesso de seus usurios. Esses aspectos jurdicos sero abordados mais detalhadamente no captulo Principais aspectos jurdicos presentes na Percia Forense Computacional. Diante dessas dificuldades, delegados e promotores vem utilizando a estratgia de enquadrar os atos ilcitos em crimes j existentes no Cdigo Penal brasileiro e assim evitar a impunidade dos delinquentes. Portanto, de suma importncia diferenciar se o computador utilizado apenas como ferramenta de auxilio pratica de delitos convencionais ou se usado como meio para a realizao do crime.

12 1.3.1 Equipamento computacional utilizado como ferramenta de apoio aos crimes convencionais

Estima-se que 90% dos exames forenses realizados na rea de informtica so para investigaes desse tipo de crime, onde o computador apenas uma ferramenta de auxlio aos criminosos na prtica de delitos conhecidos, como falsificao de documentos, violao de direito autoral, sonegao fiscal, trfico de entorpecentes, etc. Podemos fazer uma analogia com um veculo que utilizado na fuga de bandidos de um roubo a banco. Nessas situaes, tanto o computador, quanto o carro esto relacionados ao modus operandi do crime, ou seja, maneira que a atividade ilegal executada. Assim, em muitos casos, exames forenses nesses objetos so uma excelente prova tcnica e os laudos produzidos tornam-se peas fundamentais para o convencimento do juiz na elaborao da sentena.

1.3.2 Equipamento computacional utilizado como meio para a realizao do crime

Nessa modalidade, o computador exerce o papel central para a realizao do delito, ou seja, a infrao no seria cometida se tal dispositivo no existisse. Alguns exemplos de crimes cibernticos desse tipo so: roubo de informaes sigilosas, ataques a sites, phishing, malwares, vrus de computador, cavalos de tria, worms, etc. Apesar de existir alguns crimes cibernticos j tipificados, como a pornografia atravs da internet (artigo 241-A do Estatuto da Criana e do Adolescente), ou serem enquadrados como delitos convencionais, como estelionato e furto, o Brasil necessita de uma lei especfica para todas as violaes que utilizam um computador como meio.

13 Captulo 2 - Incio da Percia Forense Computacional

2.1 - Procedimentos executados durante uma investigao

A apurao de um delito, independente se h um computador envolvido, deve seguir as normas estabelecidas pela legislao brasileira, mais precisamente o decreto-lei N 3.689, de 3 de outubro de 1941. Nesse texto, conhecido como Cdigo de Processo Penal, est regulamentado a funo do Estado de julgar as infraes penais e de aplicar punies a quem as pratica. Porm, antes de tudo, necessrio que haja uma investigao (iniciada aps uma denncia ou suspeita de crime) para esclarecer a materialidade (o que aconteceu), a dinmica (como) e autoria (quem) dos atos ilcitos. Em geral, os procedimentos executados pela autoridade policial durante a inquirio so: dirigir-se ao local e preservar o estado e a conservao das coisas at a chegada dos peritos criminais; apreender os objetos que tiverem relao com o fato, aps liberados pelos peritos; colher todas as provas que servirem para o esclarecimento do fato e suas circunstncias; proceder a reconhecimento de pessoas e coisas e a acareaes; determinar, se for caso, que se proceda a exame de corpo de delito e a quaisquer outras percias; e outras condutas que esto fora do escopo deste trabalho. Portanto, no caso de uma investigao envolvendo uma anlise de dispositivos computacionais, possvel identificarmos quatro etapas: Coleta: Nesta etapa, o perito deve isolar a rea, identificar equipamentos e coletar, embalar, etiquetar e garantir a integridade das evidncias, garantindo assim a cadeia de custdia mais informaes no item 3.5, Mtodos praticados para a preservao de evidncias. Exame: Nesta fase, deve-se identificar, extrair, filtrar e documentar os dados relevantes apurao. Anlise: Nesta etapa os dados transformam-se em informaes, ou seja, o perito computacional deve identificar e correlacionar pessoas, locais e eventos, reconstruir as cenas e documentar os fatos; Resultado: Neste momento deve-se redigir o laudo e anexar as evidncias e demais documentos.

14 2.2 - Locais de crime de informtica e busca e apreenses de equipamentos computacionais

chamado de local de crime o lugar onde uma suposta infrao penal ocorreu. Nele, evidncias muito teis investigao podem ser encontradas e ajudar a determinar o que aconteceu, como aconteceu e quem foi o responsvel por tal ato. Por isso, o isolamento e anlise da cena, a documentao minuciosa dos vestgios encontrados e sua posterior coleta so tarefas fundamentais para a apurao dos fatos. Um local de crime de informtica nada mais do que um local de crime convencional acrescido de equipamentos computacionais que podem ter relao com o delito investigado, no importando se eles foram utilizados como ferramenta de apoio ou como meio para a realizao contraveno. J o mandado de busca e apreenso uma ordem expedida pela autoridade judiciria para que seja realizada uma diligncia, a fim de procurar e apreender pessoas ou objetos que sejam de interesse justia. Ao participar do cumprimento dessa ordem judicial, o perito o responsvel por orientar a equipe quanto preservao, seleo e reunio dos equipamentos computacionais, alm da realizao de exames forenses que se faam necessrios ainda no local. Em ambos os casos, precaues especiais devem ser tomadas durante a coleta, transporte e armazenamento do material apreendido, uma vez que os vestgios digitais encontrados so muito sensveis e podem ser facilmente perdidos e/ou destrudos por eletromagnetismo, impacto, calor excessivo, atrito, umidade, entre outros. As primeiras atitudes de um perito, tanto num local de crime, quanto no cumprimento de mandado de busca e apreenses, devem ser direcionadas para a preservao dos dados digitais, como impedir que pessoas estranhas equipe utilizem os equipamentos de informtica existentes e no ligar equipamentos computacionais que estejam desligados. Tais prticas podem alterar e apagar os dados armazenados, mesmo que os usurios no o faam por vontade prpria. Alm disso, quando computadores estiverem ligados, pode ser necessrio copiar as informaes da memria RAM (Random Access Memory) que possuem a caracterstica de serem volteis, podendo ser perdidas quando o computador desligado. Aps esses procedimentos, o perito deve realizar o reconhecimento do local, identificando os equipamentos computacionais presentes, incluindo computadores, notebooks, pontos de acesso de rede e outros, e verificar quais deles possam conter informaes relevantes para elucidao dos fatos. Tais exames devem ser executados somente por profissionais capacitados na rea de informtica e de modo que nenhum contedo armazenado nos

15 dispositivos seja alterado, garantindo assim a preservao das evidncias digitais e evitando questionamentos e a invalidao da prova. Adicionalmente, entrevistar as pessoas que residem e/ou trabalham no local sobre o uso desses aparelhos uma medida recomendada para melhor selecionar os objetos a serem confiscados. Ao reter um equipamento, o perito tambm precisa levar em conta o foco da investigao. No h uma regra especfica sobre o que deve ser apreendido, mas se o mandado para busca de arquivos, dados ou sistemas contidos em um computador, geralmente so levados para percia os dispositivos de armazenamento computacional, como por exemplo, discos rgidos, CDs, DVDs, pen drives, cartes de memria etc. Se o tema principal da inquirio for a suspeita de falsificao de documentos, arresta-se tambm impressoras, scanners e multifuncionais. Todos os equipamentos citados, alm de gravadores de mdias ticas, tambm so confiscados caso haja indcios de contrafao de mdias (pirataria). J em investigaes em que se precise identificar o endereo IP utilizado pelo computador nos ltimos tempos, adicionalmente aos dispositivos de armazenamento computacional, apreende-se elementos de rede que possam armazenar histricos de conexo, como modems, Access Points, roteadores e switches. Como podemos perceber, essa uma etapa muito importante, porque permite a apreenso somente dos equipamentos suspeitos de possurem indcios referentes e necessrios investigao, evitando perda de tempo e esforo. Todo o material confiscado dever ser descrito em auto pela autoridade competente, comumente um delegado. Neste momento, importante que ela utilize os conhecimentos tcnicos do perito para a correta especificao dos objetos com o objetivo de garantir a idoneidade da prova e evitar dvidas quanto sua origem ou seu estado inicial. No caso de equipamentos computacionais, recomendvel sempre constar a quantidade, o tipo do dispositivo, a marca, o modelo, o nmero de srie e pas de fabricao. Em alguns casos, como discos rgidos e pen drives, tambm desejvel informar a capacidade de armazenamento. Conforme j dito anteriormente, os equipamentos computacionais so frgeis e sensveis ao tempo. Por esse motivo, alguns cuidados devem ser tomados durante seu acondicionamento e transporte, a fim de evitar perdas de evidncias digitais. Os discos rgidos precisam evitar choques fsicos e, quando possvel, embalados com material antiesttico. J as mdias pticas devem ser guardadas em seus estojos ou capas plsticas para evitar atritos na parte inferior, local onde os dados so gravados. Mas, em geral, todos os dispositivos computacionais, incluindo impressoras, equipamentos de rede, cartes de memria, pen drives, entre outros,

16 precisam ser mantidos longe da gua, do calor, de lugares sujos ou com muito p e da vibrao excessiva. Aps a preservao do material apreendido, ele encaminhado para a realizao dos exames forenses em laboratrios que o tema do prximo captulo.

17 Captulo 3 - Tcnicas envolvidas na coleta e no exame de vestgios digitais

3.1 - Etapas de um exame forense computacional

Aps o cumprimento de um mandado de busca e apreenso que tenha resultado na coleta de equipamentos computacionais, conforme descrito no captulo anterior, deve-se encaminhar o material confiscado para um laboratrio de informtica capacitado a fim de realizar os exames forenses necessrios. Ao receber um dispositivo de armazenamento computacional para anlise, independente se for um disco rgido, DVD, pen drive, carto de memria ou outra mdia, o perito deve seguir uma srie de etapas que so descritas a seguir, porm sero melhores detalhadas ao longo desse captulo.

- Preservao: Diferentemente do que ocorre durante a busca e apreenso de equipamentos, onde h um foco maior na integridade fsica deles, esta fase tem o objetivo de garantir que as informaes armazenadas no material questionado jamais sejam alteradas durante toda a investigao e processo.

- Coleta de dados: Esta etapa baseia-se na execuo de um conjunto de procedimentos para recuperar e catalogar todos os dados contidos na mdia investigada, estando eles ocultos ou explcitos. A partir de sua concluso, ser possvel realizar buscas rpidas por palavras-chaves no contedo dos dispositivos armazenados.

- Anlise: A anlise dos dados consiste no exame das informaes extradas do material questionado durante a fase anterior, a fim de identificar evidncias digitais que tenham relao com o delito investigado.

- Formalizao: a etapa final dos exames forenses e formada pela elaborao do laudo pelo perito, apontando o resultado e apresentando as evidncias digitais encontradas nos materiais examinados.

18 3.2 - Preservao

Assim como em um local de crime convencional cujas evidncias e provas ali existentes devem ser preservadas, os dados contidos no material enviado para exames forenses jamais devem ser alterados. Inclusive, a garantia da cadeia de custdia uma das principais obrigaes do perito. Ele deve assegurar a proteo e idoneidade da prova, a fim de evitar questionamentos quanto sua origem ou estado inicial, pois qualquer suspeita pode anul-la e colocar em risco toda a investigao policial. Precaues especiais devem ser tomadas ao manipular os equipamentos questionados, porque at operaes simples podem modificar as evidncias armazenadas. Ligar o computador, por exemplo, altera alguns arquivos, datas de ltimo acesso e criam arquivos temporrios, mesmo que o usurio no execute nenhuma ao. At a trivial conexo de um pen drive na porta USB, pode gerar gravao de dados no dispositivo. Em vista disso, toda e qualquer atividade deve ser realizada com a garantia de que as informaes armazenadas no sofram alteraes. Por isso, os exames forenses devem, sempre que possvel, ser realizados em cpias fiis obtidas a partir do material original. Para conceber tais cpias, os peritos utilizam, principalmente, as tcnicas de espelhamento e imagem. O espelhamento uma tcnica que consiste na cpia exata e fiel dos dados contidos em um dispositivo de armazenamento computacional para outro, ou seja, a duplicao feita bit a bit. Logo, o disco de destino dever ter capacidade igual ou superior ao original, porm preciso ficar atento, pois h no mercado vrios discos com o mesmo volume nominal, porm com tamanho real diferente. Deve-se sempre comparar o nmero de setores de cada disco, cuja informao, denominada LBA, fica na etiqueta do fabricante. Logic Block Addressing, uma organizao lgica dos setores, utilizada nos discos rgidos atuais, que faz com que o computador enderece cada setor do disco sequencialmene, ao invs de usar localizao fsica, como cilindro, cabea e setor. Caso o dispositivo que receber a cpia seja maior do que o original, necessrio garantir que todo o espao remanescente esteja limpo, a fim de no sobrar resqucios de dados que possam ser confundidos durante os exames. Esse processo de limpeza chamado de wipe e consiste em excluir um arquivo ou toda uma partio e gravar bytes na mesma rea do disco, desta forma se houver algum software que faa a leitura binria do disco, este ver os dados recm gravados e no os originais. O wipe dispe de vrios mtodos que executam avanados algoritmos, sendo que cada um tem os seus prs e contras, mas que diferem-se principalmente

19 pelo nvel de segurana e tempo de processamento. Inclusive, o Departamento de Defesa dos Estados Unidos criou a metodologia DoD 5220.22 que consiste em sobrescrever os locais endereveis do disco primeiro com um caractere, depois com o seu complemento e por fim com um caractere aleatrio. Porm, h outras opes que vo desde a sobrescrita de toda a rea desejada com um caractere especfico (0x00), at mtodos que fazem isso sete vezes, alternando as seis primeiras entre 0x00 e 0xff e a ltima com um caractere randmico. Mas, segundo o documento SP 800-88 publicado pelo NIST (National Institute of Standards and Technology) em 11 de setembro de 2006, estudos tm mostrado que a maioria das mdias atuais podem ser efetivamente sanitizadas com apenas uma sobrescrita. Entretanto, assim como o wipe pode evitar enganos durante a fase de anlise com a limpeza do espao excedente, ele pode ser usado tambm pelos criminosos para apagar os vestgios deixados pela atividade criminosa. Outra recomendao que deve ser seguida ao utilizar a tcnica de espelhamento jamais utilizar como destino discos rgidos com setores defeituosos, caso contrrio, o dado original referente quele setor no ser copiado, gerando, assim, uma perda de evidncias e uma duplicao incompleta. Alm disso, alguns estudos mostram que os trechos defeituosos de um disco tendem a aumentar cada vez mais, comprometendo novas reas de dados, resultando em mais perda de informaes. A duplicao de discos utilizando a tcnica de gerar uma imagem sobre eles possui um processo semelhante ao espelhamento, onde se copia o sistema operacional, programas, drivers, configuraes e todo tipo de arquivo, originando assim uma reproduo exata e fiel do disco. Porm, ao invs de copiar bit a bit os dados de um dispositivo para outro, eles so copiados para arquivos de imagem. Essa tcnica possui algumas vantagens em relao ao espelhamento, como a possibilidade de copiar o disco inteiro ou apenas uma de suas parties; a possibilidade do dispositivo de destino ser utilizado para receber distintas imagens de dispositivos variados, se houver capacidade suficiente; a maior facilidade em manipular os dados, uma vez que so arquivos que podem ser replicados de maneira simples por qualquer sistema operacional; e a capacidade de compactar os arquivos de imagens, e assim, economizar a utilizao do disco de destino. Tanto no processo de espelhamento, quanto por imagem, a cpia dos dados deve ser efetuada de forma que nenhuma informao contida no material questionado seja alterada. Atualmente, podem ser encontrados no mercado diversos equipamentos e softwares forenses que auxiliam na realizao dessa tarefa, como por exemplo, produtos para acesso somente leitura das

20 informaes em discos rgidos e para duplicao, incluindo as duas tcnicas citadas neste texto. Os bloqueadores de escrita em disco rgido so os dispositivos mais comuns e simples de serem utilizados. Conectado entre o material questionado e o computador, esse tipo de equipamento possui a garantia, certificada pelo prprio hardware, de que nenhum dado ser gravado, necessitando apenas utilizar o programa especfico para a cpia do disco. J os duplicadores forenses so equipamentos muito mais avanados e, alm de efetuarem o bloqueio de escrita, tambm permitem a realizao de cpias para outros discos rgidos, via espelhamento ou imagem. A sua utilizao para o processo de duplicao de dados possui as vantagens de suportar mltiplas interfaces de conectores (IDE, SATA), velocidade muito maior na cpia das informaes e ausncia da necessidade de um computador dedicado. Na falta desses equipamentos, pode-se efetuar a duplicao de discos rgidos com o uso de alguns softwares especficos que no alterem as evidncias contidas no material questionado, como por exemplo, os sistemas operacionais forenses Knoppix e Helix que acessam os dados de forma somente leitura e tm o comando dd (duplicar disco), utilizado para realizar o espelhamento ou imagem do dispositivo. importante ressaltar novamente que um computador contendo discos rgidos questionados e desprotegidos contra gravao no deve ser inicializado com sistemas operacionais convencionais, pois, mesmo que o usurio no faa nenhuma operao, alteraes sero realizadas nos dados. Alm dos riscos de alterao das informaes armazenadas, conforme dito anteriormente, os dados contidos nos equipamentos computacionais podem ser perdidos ao longo do tempo, pelo trmino da vida til dos materiais utilizados na fabricao, pela quebra dos dispositivos mecnicos ou pela desmagnetizao. Devido a essa fragilidade, tornou-se muito comum no meio computacional a realizao de cpias de segurana dos mais variados dados. Outro fator que deve ser levado em conta a sensibilidade ao tempo de uso. Quando um computador utilizado para a realizao de um crime, seja como meio, seja como ferramenta, rastros so deixados nos dispositivos de armazenamento e eles podem ser apagados pelo usurio. Alm disso, sabe-se que as chances de recuperao dessas informaes diminuem medida que os equipamentos so utilizados (mais informaes no item 3.3). Portanto, o tempo torna-se um fator crucial em investigaes envolvendo vestgios digitais, devendo os exames forenses ser feitos o mais rpido possvel a partir do recebimento do material apreendido e assim minimizar a perda de evidncias ocasionadas pelo excesso de tempo de vida ou de tempo de uso do dispositivo.

21 Aps o trmino da fase de preservao, o dispositivo de armazenamento computacional dever ser lacrado e guardado em local apropriado at que haja uma autorizao por parte da justia permitindo o seu descarte ou devoluo.

3.3 - Coleta de dados

A fase de coleta de dados consiste basicamente na recuperao, reunio e organizao de todas as informaes contidas na cpia dos dados proveniente do passo anterior, ou seja, todas as aes devero ser executadas no espelho ou na imagem do disco, mantendo o material original intacto e protegido. Essa etapa de suma importncia para o processo investigatrio, pois as anlises dos indcios sero realizadas a partir de seu resultado. Uma eventual falha nessa fase, como por exemplo, a negligncia em no analisar todas as partes do disco rgido, compromete a produo de provas e pode influenciar na deciso das autoridades judiciais. Ao examinar o material, primordial que a extrao dos dados seja feita de forma minuciosa e com muita ateno, uma vez que as evidncias da realizao do delito podem estar nas reas mais improvveis do disco ou at terem sido removidas. Por isso, o perito no deve se limitar apenas em coletar os chamados arquivos convencionais. Os dispositivos de armazenamento, devido ao tipo de organizao dos dados, guardam mais informaes do que as acessadas pelos usurios comuns. Desse modo, podemos dividir os discos rgidos em camadas, cuja a mais superficial possui os arquivos visveis aos usurios tradicionais de computador, enquanto que nas camadas mais internas encontramos os arquivos ocultos, criptografados, temporrios e apagados, alm de fragmentos de arquivos, sistemas computacionais, bancos de dados, registros de impresso, swap de memria, entre outras informaes. medida que se quer conhecer as partes mais profundas, maior ser o tempo e a complexidade para a explorao das camadas, necessitando, assim, de tcnicas especiais para recuperao e interpretao dos dados. Para que a extrao dos dados seja completa e da melhor maneira possvel, essencial que se conhea o sistema operacional contido no disco e, principalmente, o sistema de arquivos utilizados. Um sistema de arquivo o conjunto de estruturas lgicas e de rotinas que define o modo como os arquivos so estruturados, nomeados, acessados, utilizados, protegidos e manipulados pelo sistema operacional. Ele armazena os arquivos como seqncia de bytes e os organiza dentro de uma hierarquia de diretrios, gerenciando seus nomes e contedos alm

22 de atributos como posse, permisses de acesso, data e hora da ltima modificao etc. Na verdade, essa percepo de arquivos, diretrios e atributos uma das representaes que os sistemas de computador criam para facilitar o uso por parte dos programas aplicativos e seus usurios. Os sistemas de arquivos, na realidade, alocam espao a partir de um arranjo linear de blocos de disco de igual tamanho e destinam parte dessa capacidade de armazenamento para seus prprios propsitos. Mesmo a noo de um arranjo linear de blocos de disco de igual tamanho uma iluso, cujo objetivo tornar a implementao dos sistemas de arquivos mais fcil. Discos fsicos tm cabeas e pratos e armazenam informaes em domnios magnticos, alm de tambm reservar um espao para uso prprio. proporo que desmontamos camada aps camada, as informaes tornam-se mais precisas devido a sofrer menos processamento. Entretanto, quanto mais nos aproximamos dos bits brutos, menos significativas as informaes se tornam, pois temos cada vez menos conhecimento sobre a sua finalidade. Conforme dito anteriormente, para que haja uma correta recuperao dos dados contidos no disco, necessrio que se conhea o sistema de arquivos utilizado. Entretanto, existe atualmente uma grande variedade de sistemas como FAT16, FAT32, NTFS, EXT2, EXT3, UFS, JFS, HPFS, Reiser, entre outros, cada qual com a sua maneira de estruturar e organizar os bits. No o foco deste trabalho descrever os pormenores existentes em cada um deles, e sim, apresentar um panorama geral dos sistemas de arquivos e suas caractersticas mais comuns. Entretanto, hoje j possvel encontrar uma vasta bibliografia tcnica sobre eles. Alm disso, todo esse conhecimento j foi sistematizado, possibilitando a criao de ferramentas forenses que examinam toda a superfcie do disco em busca de bytes significativos, de acordo com o sistema de arquivo subsistente. Essa automatizao proporcionou que a extrao dos dados tivesse uma reduo significativa de tempo e permitiu que o perito se dedicasse mais na etapa de anlise e produo de evidncias. Ao apagar um arquivo de um computador, o sistema de arquivo no sobrescreve todo o contedo ocupado por ele no disco rgido com zeros e/ou uns, porque isso demandaria muito esforo da cabea de gravao e, consequentemente, muito tempo. O sistema apenas tem um controle de quais partes do disco esto livres e quais esto ocupadas. Assim, na realidade, ao apagar um dado, o sistema de arquivo apenas altera o status desse espao de utilizado para livre. Com isso, os dados referentes aos arquivos apagados continuam armazenados no disco rgido e podem ser recuperados. Porm, esses bits podem ser sobrescritos a qualquer momento pelo sistema operacional, uma vez que esse espao est disponvel para uso.

23 Entretanto, a destruio de informaes acaba se revelando algo difcil de realizar. Embora discos magnticos sejam projetados para armazenar informaes digitais, a tecnologia subjacente analgica, isto , o valor de um bit uma combinao complexa dos valores guardados no passado. Com circuitos eletrnicos modificados, sinais a partir dos cabeotes de leitura de disco podem revelar dados mais antigos como modulaes no sinal analgico. Outra maneira de analisar os discos por meio do exame da superfcie, onde, utilizando-se de tcnicas de microscopia eletrnica, revelam-se padres magnticos antigos que persistem em uma trilha de disco. Assim, os dados em um disco magntico podem ser restaurados mesmo depois de serem sobrescritos mltiplas vezes. Porm, a recuperao nos casos citados somente seria possvel em circunstncias especiais, pois os processos para leitura de vestgios de dados anteriores requerem tempo, equipamentos, instalaes e procedimentos sofisticados que no so viveis na prtica forense normal. Alm disso, a restaurao convencional de arquivos excludos se mostra suficiente para a investigao. As informaes apagadas podem ficar intactas por meses ou at mesmo por anos devido ao projeto de alto desempenho do sistema de arquivos que evita movimentos do cabeote de disco mantendo os dados relacionados juntos. Isso no apenas reduz a fragmentao do contedo de um arquivo individual, como tambm reduz retardos ao se percorrer diretrios para acessar um arquivo. Um tpico sistema de arquivos com essas propriedades divide o espao de armazenamento em mltiplas zonas. Cada zona contm sua prpria tabela/bitmap de alocao dos bytes, blocos de dados de arquivo e blocos de atributo de arquivo. Normalmente, as informaes sobre um pequeno arquivo so armazenadas inteiramente dentro de uma zona; novos arquivos so criados preferivelmente na mesma zona do seu diretrio pai e novos diretrios so criados nas zonas que possuem poucos diretrios e muito espao no utilizado. Esse processo de agrupar os arquivos de diferentes usurios ou aplicativos de acordo com as diferentes zonas do sistema de arquivos, mantendo as informaes relacionadas dentro da mesma zona, chama-se clusterizao. Por isso, o tempo de sobrevivncia das informaes excludas depende fortemente do volume das atividades de gravao em arquivo dentro da sua zona. Quando um arquivo excludo em uma zona de baixa atividade, as informaes sobre seus blocos de dados e atributo de arquivo podem escapar da destruio desde que a atividade do sistema de arquivos permanea dentro de outras zonas. medida que o disco se enche, a atividade de gravao inevitavelmente migrar para vizinhanas calmas das zonas de baixa atividade, transformando-as em zonas de alta atividade destrutiva. At esse momento, as informaes de arquivo excludo nas zonas de baixa atividade podem sobreviver intactas e em

24 quantidades volumosas. Por outro lado, quando um arquivo excludo em uma zona de alta atividade, as informaes sobre seus blocos de dados e atributo de arquivo sero sobrescritas de maneira relativamente rpida por novos arquivos. Portanto, conclui-se que quanto mais recentemente um arquivo foi apagado, maiores so as chances de recuper-lo. Ao varrer todos os bits de um dispositivo de armazenamento computacional, alm de recuperar as informaes de arquivos excludos, tambm feita a indexao dos dados contidos nele. Ela consiste em localizar todas as assinaturas de arquivos conhecidas, organizando-as de forma que sejam acessadas e recuperadas rapidamente. Aps a execuo desse processo, possvel saber quais e quantas so as ocorrncias de cada uma das cadeias alfanumricas. criada ento uma espcie de catlogo contendo cada uma das cadeias encontradas e sua localizao, possibilitando a realizao de buscas rpidas por palavraschave no contedo dos dispositivos examinados. Uma vez concluda a coleta e indexao dos dados dos dispositivos de armazenamento computacional, cabe ao perito executar a prxima fase: Anlise.

3.4 Anlise dos vestgios encontrados

A anlise de dados a fase que consiste no exame das informaes extradas na etapa anterior, a fim de identificar evidncias digitais presentes no material examinado que tenham relao com o delito investigado. Essa relao se estabelece atravs dos quesitos elaborados pela autoridade solicitante presentes no laudo. Eles devem ser claros e especficos, pois analisar individualmente todo o contedo do dispositivo de armazenamento computacional tende a ser invivel, ocupando um tempo muito grande do perito e impactando na eficincia dos exames forenses. recomendvel, sempre que possvel, que as autoridades detalhem os tipos de arquivos procurados e utilizem quesitos com nomes de pessoas, empresas e/ou documentos especficos, possibilitando, assim, a procura por meio de palavras-chave. aconselhvel que o solicitante entre em contato com um especialista antes de elaborar os quesitos com o objetivo de se evitar trabalhos desnecessrios. Em alguns casos, um disco rgido com capacidade de 80 GB (considerado um disco pequeno nos padres de hoje), pode conter mais de um milho de arquivos, incluindo os j recuperados. Analisar o contedo de todos os arquivos, olhando-os um a um, pode levar

25 muito tempo e tornar o exame impraticvel. Com o objetivo de auxiliar o perito nessa tarefa, procedimentos e tcnicas podem ser utilizados para tornar esse processo mais eficiente. Um desses procedimentos utilizar um filtro de arquivos conhecidos para eliminar da anlise aqueles que no so importantes para a investigao. O Instituto Nacional de Justia (NIJ) do Departamento de Justia dos Estados Unidos, em conjunto com o Instituto Nacional de Padres e Tecnologia mantm um projeto chamado Biblioteca Nacional de Referncia de Software com o objetivo de promover o uso eficiente e eficaz da tecnologia em investigaes de crimes envolvendo computadores. A biblioteca foi projetada para coletar programas de diversas fontes, criar um perfil para cada um deles e adicion-lo s informaes do Conjunto de Arquivos para Referncia (RDS). O RDS pode ser usado pelas polcias, governos, rgos investigativos e empresas e consiste numa coleo de assinaturas digitais de arquivos conhecidos e rastreveis at sua origem. Ele, ao permitir que se compare os perfis criados com os arquivos do dispositivo de armazenamento, ajuda a mitigar o esforo envolvido em determinar quais dados so importantes como evidncias. Desta forma, possvel diminuir, por exemplo, o nmero de arquivos a serem examinados. Se ao contedo do disco rgido for aplicado um filtro com base no RDS dos arquivos conhecidos do sistema operacional e dos programas instalados, obter-se- uma lista de arquivos que podem ser ignorados durante a anlise do perito sobre o contedo do disco, uma vez so arquivos sem relao com a investigao. Da forma oposta, o RDS tambm pode ser utilizado para indicar arquivos que so de interesse investigao. Essa abordagem muito praticada quando se pretende verificar a existncia de um mesmo arquivo em vrias mdias computacionais, como por exemplo, para se verificar se houve cpias ilegais de programas protegidos por direitos autorais. Portanto, o uso do RDS torna possvel uma anlise mais eficiente, desde que se conhea previamente o que se pode descartar ou o que se deve procurar. Outra tcnica que auxilia o perito nessa fase pesquisar o contedo de um dispositivo de armazenamento por palavras-chaves. Uma vez realizada a indexao dos dados, onde todo o contedo do disco foi percorrido e estruturado, diversas buscas podem ser efetuadas de forma rpida e eficaz para localizar arquivos e fragmentos de arquivos que interesse investigao. Tambm possvel realizar essa busca sem que a indexao seja feita previamente, entretanto, a cada nova pesquisa, o sistema dever varrer todo o contedo do disco novamente, gastando muito tempo dependendo da capacidade e da velocidade de leitura. A pesquisa por palavraschaves , portanto, um meio eficiente para encontrar a maioria das evidncias digitais

26 necessrias para elaborao de laudo forense. O nico porm que, se o contedo dos arquivos estiver criptografado, a busca no encontrar os valores procurados. Percorrer os dados dos dispositivos de armazenamento computacional por meio da estrutura de pastas e arquivos um procedimento eficiente para localizar vestgios de interesse investigao, pois geralmente os usurios convencionais utilizam determinadas pastas para armazenar seus arquivos pessoais, como por exemplo, Documentos, Fotos e Downloads. Identificar e analisar os arquivos presentes nessas pastas, incluindo os recuperados, geralmente de suma importncia. No caso de anlise de discos rgidos contendo sistemas operacionais, o uso de programas que emulem uma mquina virtual pode ser muito interessante para entender as operaes efetuadas pelos usurios dos computadores a serem examinados. Essa emulao feita sem alterar os dados das cpias realizadas na fase de preservao e possvel atravs da criao de uma camada de dados intermediria entre a mquina virtual emulada no computador do perito e a cpia do disco rgido que contm o sistema operacional. Com a virtualizao, possvel inicializar o sistema operacional desses discos rgidos em uma mquina virtual, auxiliando e permitindo ao perito a visualizao e utilizao do mesmo, como se ele estivesse sido ligado normalmente. Em alguns casos, muito trabalhoso executar um sistema especfico a partir de outra mquina realizando-se apenas a cpia dos arquivos referentes a ele. Geralmente, muitas configuraes so necessrias e podem tomar muito tempo do perito. Investigaes de invases de computadores e subverso de sistemas requerem um pouco mais de ateno e tempo, pois os exames so feitos, geralmente, depois que o sistema foi comprometido. Nesse caso, embora as conseqncias sirvam como ponto de partida da anlise, o perito dever, se possvel, reconstruir todo o cenrio e aes executadas pelo invasor at descobrir a origem do ataque e a vulnerabilidade do sistema explorada. Para isso, conforme dito anteriormente, o RDS pode ser usado para comparar os arquivos do sistema comprometido com os arquivos originalmente lanados pelas empresas, a fim de saber se h algum cdigo malicioso tentando se passar por um programa confivel. Outro procedimento usualmente executado o estudo das datas e horas dos arquivos. Embora eventos individuais possam ser interessantes quando considerados isoladamente, suas seqncias no tempo fornecem um contexto valioso que pode alterar seus significados. Por exemplo, novos programas so instalados regularmente, mas, se um aplicativo foi introduzido logo aps um computador ter sido invadido, essa ao assume um novo sentido. Todos os arquivos e diretrios possuem, independente do sistema de arquivos utilizados, ao menos trs atributos de tempo: mtime, atime e ctime, chamados pelos profissionais da rea de MACtimes.

27 O atributo atime refere-se ltima data e hora em que o arquivo ou diretrio foi acessado. O atributo mtime monitora quando o contedo de um arquivo ou diretrio modificado. J o atributo ctime muda quando o contedo ou as meta-informaes sobre o arquivo mudaram, como por exemplo, o proprietrio, o grupo, as permisses etc. Ele tambm pode ser utilizado como uma aproximao de quando um arquivo foi excludo. Os MACtimes so muito teis para descobrir o que aconteceu depois de um incidente, porm, eles possuem algumas deficincias. A primeira delas que eles s informam a ltima vez em que um arquivo foi modificado e, consequentemente, no fornecem nenhuma maneira de revelar o histrico de atividades dele. Ou seja, um programa malicioso pode ser executado diversas vezes, porm s haver vestgios de uma nica ocorrncia. Outra limitao que os MACtimes s mostram o resultado de uma ao, no quem a fez. Alm disso, sua coleta e anlise precisam ser feitas minuciosamente, porque eles so extremamente efmeros e sensveis. At aes mais simples, como a cpia de arquivos, destroem vestgios redefinindo as datas e horas de acesso ao arquivo. Para sanar um desses problemas dos MACtimes, criou-se um recurso nos sistemas de arquivos conhecido como journaling. Com ele, algumas ou todas as atualizaes de disco so, primeiro, gravadas um arquivo de registro seqencial (journal) antes de serem gravadas no prprio sistema de arquivos (Robbins, 2001). Ou seja, cada operao no-trivial no sistema de arquivos, como criar ou alterar um arquivo, resulta numa seqncia de atualizaes de disco que afeta tanto os dados do arquivo (isto , o contedo), como os metadados dele (por exemplo, a localizao do contedo e quais arquivos pertecem a um diretrio). Quando essa seqncia de atualizaes interrompida devido a uma queda de sistema, os sistemas de arquivos sem suporte a journaling podem deixar os metadados dos seus arquivos em um estado inconsistente e o processo de recuperao pode levar vrias horas. J a recuperao com um sistema de arquivo com journaling quase instantnea, podendo ser to simples como refazer as gravaes do sistema de arquivos a partir dos registros contidos. Do ponto de vista forense, o journal uma srie de datas/horas do MACtime e de outras informaes sobre o arquivo que permite observar o acesso repetido a ele. Embora primeira vista isso parea trabalho extra, o sistema de arquivos com journaling pode aprimorar a anlise dos vestgios, alm de melhorar significativamente a recuperao do sistema em caso de queda. Nos sistemas de arquivos atuais, os arquivos e diretrios possuem, entre outros atributos, um nome e um nmero. O nome o texto usado pelos programas e usurios a fim de identificar o arquivo. J o nmero refere-se a um inode do arquivo em uma tabela chamada blocos inode, que descrevem todas as suas propriedades de um arquivo, exceto seu nome1(Essa estrutura se

28 refere a sistemas de arquivos UNIX, porm a maioria dos outros sistemas possuem as mesmas caractersticas). O bloco inode tem referncias aos blocos de dados que contm o contedo real do arquivo. medida que o sistema operacional instalado no disco e que os arquivos so criados, os nmeros de inode so atribudos pelo sistema de arquivos de forma seqencial. Dessa forma, possvel identificar invases e cdigos maliciosos que se passam por programas confiveis atravs da anlise o nmero de inode de arquivo. Terminada a fase de anlise dos dados, cabe ao perito realizar a formalizao do estudo efetuado atravs da elaborao do laudo pericial, apontando o resultado e apresentando as evidncias digitais encontradas nos materiais examinados. No laudo devem constar os principais procedimentos realizados, incluindo as tcnicas utilizadas para preservar, extrair e analisar o contedo das mdias digitais.

3.5 - Mtodos praticados para a preservao de evidncias

Conforme discutido no item 3.2 deste captulo, essencial que haja a garantia da integridade do contedo de um dispositivo de armazenamento computacional questionado, tanto que se recomenda a duplicao dos dados presentes nele e assim, todos os exames so realizados na cpia efetuada. Porm, esse procedimento por si s no assegura que as informaes ficaro intactas at a concluso do processo. Alm disso, em exames forenses, principalmente na rea de informtica, comum a necessidade de se encaminhar arquivos anexos juntamente com o laudo para a apreciao do juiz. Quando possvel, permitido realizar a impresso de arquivos que podem ser reproduzidos em papel sem a perda de informaes, como textos, planilhas, figuras e relatrios de sistemas. No entanto, quando se trata de uma grande quantidade de dados ou quando o contedo dos arquivos no tem um formato apropriado para exibio impressa, como programas executveis, seqncias de vdeo, sons e bancos de dados, faz-se necessria a utilizao de um computador. Uma soluo vivel a gravao das evidncias digitais encontradas pelo perito em mdias computacionais pticas, como CDs, DVDs e Blu-Rays, que permite o encaminhamento dos arquivos em seu formato original e sem perda de informaes. Essa tcnica, alm de possibilitar que um grande volume de dados seja anexado ao laudo, facilita a sua manipulao, uma vez que, com o uso de um computador, algumas funcionalidades podem ser utilizadas para tornar o trabalho mais eficaz,

29 como por exemplo, a procura por palavras-chave e clculos a partir dos resultados apresentados. Tanto no caso do dispositivo de armazenamento computacional questionado, quanto na utilizao de mdias pticas para armazenar as evidncias digitais, h a preocupao de assegurar que o contedo desses materiais no tenha sido alterado nem substitudo at a concluso do inqurito e, consequentemente do processo. Assim, torna-se necessrio lanar mo de mecanismos que permitam a verificao da integridade e da legitimidade dos dados gravados, sendo que o principal o clculo realizado utilizando funes de autenticao unidirecionais conhecidas como hash. Essas funes geram, a partir de uma entrada de qualquer tamanho, uma sada de tamanho fixo, ou seja, a transformao de uma grande quantidade de informaes (informao original) em uma pequena seqncia de bits (valor hash). O que torna esse tipo de funo extremamente utilizada para a verificao de integridade de dados computacionais o fato que uma simples alterao na informao de entrada do algoritmo gerar uma seqncia de bits (valor hash) completamente diferente. Assim, se o contedo de um arquivo submetido a uma funo unidirecional, em seguida ter o seu contedo alterado em um nico bit e passar novamente pela mesma funo, sero obtidas como resultado duas seqncias de bits completamente diferentes. Outra vantagem adquirida com o uso das funes unidirecionais que a realizao do processo inverso impossvel, isto , no possvel retornar informao original a partir de um valor hash. Isso faz com que tais funes sejam de grande aplicao em algoritmos de criptografia. No entanto, como o tamanho da seqncia de bits gerada limitado, muitas vezes no passando de 128 bits, existem colises, ou seja, valores hash iguais para informaes originais diferentes, uma vez que a variedade de informaes de entrada ilimitada. Assim, quanto maior a dificuldade de se encontrar colises, melhor o algoritmo. Atualmente, as funes mais utilizadas so: o MD5 (128 bits), o SHA-1 (160 bits), o SHA-256 (256 bits) e o SHA512 (512 bits). Na fase de preservao, aps a duplicao dos dados do dispositivo de armazenamento computacional original, o perito pode utilizar o hash criptogrfico como forma de registrar o contedo de cada arquivo presente no disco rgido questionado. Entretanto, o material questionado, seja um disco rgido, um carto de memria, um disquete ou um pen drive, no armazena somente o contedo de seus arquivos. Uma srie de estruturas, como a tabela de partio e a tabela de alocao de arquivos, alm da rea no alocada e disponvel para utilizao, tambm armazenada na prpria mdia. Assim, para garantir a integridade e autenticidade do dispositivo de armazenamento, pode-se calcular o valor hash de todo o seu

30 contedo. No entanto, vale ressaltar que, se o contedo de um disco rgido questionado, por exemplo, apresentar uma pequena variao, mesmo que seja de um bit, o valor hash do contedo de todo o disco ser completamente diferente. Por isso, deve haver uma ateno especial para o correto acondicionamento do material questionado, livre do calor excessivo, da alta umidade, do atrito, de campos magnticos e de vibraes. A fim de se criar mais uma redundncia, o perito pode, tambm, calcular o contedo da mdia de forma segmentada, dividindo-a em partes iguais. Assim, alm de um valor hash para todo o contedo do disco, existiria tambm um valor hash para cada parte que garantiria a sua integridade individual. Desse modo, se o disco sofresse alteraes e algum questionamento fosse feito sobre a integridade da prova, apenas os segmentos alterados poderiam ser descartados, evitando-se, assim, em ltima instncia, que toda a prova fosse invalidada. Aps a realizao do clculo utilizando funes unidirecionais para cada parte do disco, ser obtida uma relao das partes contidas no dispositivo de armazenamento e o seu respectivo hash em valor hexadecimal. Essa relao dever ser registrada em um arquivo de texto, o qual dever ser gravado numa mdia ptica que ser anexada no laudo. Em seguida, calcula-se o valor do hash desse arquivo e coloca-o no corpo do laudo impresso, que tambm deve conter todo esse procedimento. Uma vez recebido o resultado da percia com seus respectivos anexos digitais gravados em uma mdia ptica, necessrio conferir se ela no foi substituda ou alterada por outra qualquer. Essa verificao consiste basicamente em calcular novamente os hashes dos arquivos contidos na mdia e compar-los com os cdigos de integridade obtidos anteriormente. Caso os valores obtidos se apresentarem iguais queles presentes no laudo e na mdia, significa que as informaes foram preservadas, garantindo assim o cumprimento da cadeia de custdia.

31 Captulo 4 - Principais dificuldades que podem surgir durante a investigao

Durante todo o processo investigatrio, desde a etapa de recolhimento dos equipamentos para exames at a fase de anlise dos dados encontrados, o perito depara-se com diversos desafios que podem atrapalhar ou impossibilitar a apurao dos fatos. Essas dificuldades, quando impostas explicitamente pelos usurios, so conhecidas comumente na rea pelo termo Anti Forense e consistem em mtodos de remoo, ocultao ou subverso de evidncias com o objetivo de mitigar os resultados de uma anlise forense computacional. Podemos citar como exemplo desse tipo de prtica, a criptografia, a existncia de senhas e o uso do wipe e da esteganografia. Alm dessas complicaes, existem outras que surgem de acordo com o avano da tecnologia. Como a rea da computao est em constante evoluo, o cenrio futuro do ponto de vista da Percia Forense Computacional no animador, j que as tcnicas de coleta e anlise de dados no conseguem acompanhar o mesmo ritmo da rea. Temos como exemplo desse tipo de dificuldade, o aumento da quantidade de arquivos. Por ltimo, h os entraves impostos pela falta ou deficincia de legislao que apiem e sirvam de sustentao para o trabalho das autoridades investigativas, dos peritos e dos juzes. Sem uma regulamentao que tipifique todas as transgresses cometidas no meio virtual e um acordo de colaborao mundial, criminosos ficam impunes e vtimas no tm o seu dano reparado. Todos esses desafios so explicados a seguir, com exceo do uso da tcnica de wipe, j explicada no item 3.2 Preservao, e dos aspectos jurdicos envolvidos durante a investigao, que sero discutidos no captulo 5.

4.1 - Quantidade de arquivos

A capacidade de armazenamento de dados dos dispositivos atuais vem crescendo vertiginosamente. H poucos anos, era comum a comercializao de disco rgidos com capacidade medida em Megabytes (MB). Hoje, a maioria dos discos vendidos no mercado possui centenas de Gigabytes (GB), porm fcil encontrar discos com capacidade superior a um Terabyte (TB). Assim, de se esperar que o nmero de arquivos contidos nesses

32 dispositivos aumente de forma proporcional ao volume de armazenamento de informaes. Em alguns casos, dispositivos com capacidade inferior a 100 GB podem ter mais de um milho de arquivos. Manipular e encontrar as evidncias desejadas nessa quantidade exorbitante de dados um desafio e tanto para o perito. A aplicao de filtros como RDS e a procura por palavras-chave ajudam a minimizar este trabalho. Entretanto, praticamente invivel analisar individualmente todos os arquivos contidos nas mdias de hoje em dia. Dessa forma, para a realizao de exames com maior rapidez, fundamental que se possua conhecimento da investigao, sabendo exatamente o que dever se procurado. Para isso, os quesitos da solicitao de elaborao do laudo devem ser especficos e claros, evitando-se indagaes genricas. Portanto, fundamental que a autoridade solicitante tenha um escopo bem delineado sobre o que perguntar ao perito em um exame de Computao Forense.

4.2 - Existncia de senhas

Durante a realizao de exames na rea de informtica, comum se deparar com arquivos e programas protegidos por senha, que podem ocultar possveis evidncias. Assim, necessrio que o perito conhea tcnicas para transpor essa barreira. Uma delas atravs de ataque de fora bruta que consiste em descobrir a senha de um arquivo e/ou sistema por meio de um simples processo de tentativa e erro, em que inmeras combinaes so testadas at que se acerte a senha. H algumas ferramentas que permitem a criao de um domnio de checagem, definindo o nmero mnimo e mximo de caracteres e a utilizao de letras maisculas, minsculas, nmeros, caracteres especiais e mscaras. O uso desses parmetros importante para tentar minimizar o nmero de combinaes a serem testadas. Essa tcnica a mais simples e fcil de utilizar, alm de ser muito eficiente quando as senhas so pequenas e utilizam exclusivamente nmeros. Como datas so muito comuns em senhas, a utilizao de um ataque contendo somente nmeros de at oito dgitos um bom ponto de partida para a descoberta. Entretanto, o ataque de fora bruta necessita normalmente de um grande esforo computacional e pode levar muito tempo, chegando, em diversos casos, a tornar-se invivel. Outra maneira de "quebrar" senhas de arquivos com a utilizao de ataques de dicionrio. Semelhante ao ataque de fora bruta, essa tcnica tambm utiliza o mtodo de tentativa e erro, porm nesse caso o domnio a ser utilizado so palavras ou cadeia de caracteres prontas, da o nome dicionrio. Assim a partir de uma lista de palavras, todas so testadas como possveis

33 senhas, sendo possvel tambm utilizar combinaes delas. Os dicionrios para ataque podem ser construdos baseados em senhas descobertas em casos anteriores ou nos dados encontrados no material questionado. Muitas ferramentas forenses realizam a indexao de dados, resultando uma lista com as palavras encontradas no dispositivo que pode ser usada no dicionrio de ataque. Esse procedimento muito eficiente e caso a senha esteja armazenada no dispositivo examinado, mesmo que seja um armazenamento temporrio do prprio sistema operacional, como a memria virtual, ter xito garantido. Outras boas opes so obter um dicionrio especfico para cada dispositivo de armazenamento que contm os

arquivos/sistemas a serem quebrados ou utilizar dicionrios contendo as senhas mais comuns em diversos idiomas.

4.3 - Criptografia

Criptografia, que em grego significa escrita escondida, uma tcnica utilizada para escrever em cdigos, ou seja, com o uso de algoritmos matemticos, transforma a informao em sua forma original e legvel para um texto incompreensvel, procurando garantir a privacidade do dado original. Sua classificao pode ser feita da seguinte maneira: sentido nico e dois sentidos. No primeiro caso, no possvel saber quais foram as informaes de entrada enviadas para a funo de encriptao que produziram o valor obtido, isto , no h a descriptografia. A funo hash, explicada no item 3.5, um exemplo de criptografia de sentido nico, pois atravs do valor gerado, no possvel reconstituir os dados que o originaram, sendo muito utilizada em validaes de senhas, onde se armazena o hash calculado ao invs da senha em texto puro. Em situaes como essa, o perito pode se utilizar das Rainbow Tables, que so enormes tabelas de hashes pr-compilados para cada combinao existente de caracteres. Isso possvel graas ao resultado de tamanho fixo gerado pela funo. Dessa forma, com um valor obtido possvel varrer as tabelas para localizar o texto original. Entretanto, quanto maior o tamanho das senhas e a quantidade de caracteres a se considerar (apenas alfa-numrico ou com caracteres especiais, como !@#), maior ser o volume de registros das tabelas, tornando-as muito grandes de se armazenar. A criptografia em dois sentidos semelhante de sentido nico, ou seja, atravs de algoritmos, a informao original transformada em um texto ininteligvel. Porm, nesse caso, necessria a utilizao de informaes confidenciais, conhecidas como chaves, para

34 efetuar codificao e para decifrar a mensagem. Desse modo, essa tcnica muito utilizada na transmisso de dados sensveis por canais de comunicao inseguros, pois, mesmo que pessoas no autorizadas visualizem o texto criptografado, somente o destinatrio possuidor da chave criptogrfica conseguir realizar o processo inverso e chegar aos dados iniciais. importante sempre buscar por programas instalados no equipamento analisado que executem essa tarefa, pois, dessa maneira, pode ser possvel determinar o algoritmo utilizado, ou, at mesmo, manipular o prprio software para decodificar o contedo do arquivo e/ou sistema. fundamental que o perito tenha conhecimentos avanados sobre este assunto, a fim de descobrir possveis cdigos criptografados no dispositivo examinado e buscar por ferramentas capazes de recuperar a informao original.

4.4 - Esteganografia

A esteganografia, que em grego significa escrita encoberta, o estudo e uso de tcnicas para fazer com que uma forma escrita seja disfarada em outra a fim de mascarar o seu verdadeiro sentido. A principal diferena entre a criptografia e a esteganografia est em seus propsitos: enquanto a primeira tenta codificar o contedo, a segunda tenta camuflar a existncia de uma mensagem dentro de outra. Durante a anlise dos dados contidos em um disco rgido, fcil para o perito caracterizar a existncia de informaes criptografadas e, aps isso, acaba tendo toda a sua ateno e esforo focados para decodific-las, afinal os usurios no se preocupariam em proteger o contedo de arquivos irrelevantes. No caso da esteganografia, a mensagem pode estar escondida dentro de arquivos considerados comuns para o uso convencional do computador, como documentos, imagens, vdeos etc. Dessa forma, surge uma grande vantagem em relao criptografia, pois, alm de ser muito difcil identificar a presena de uma mensagem oculta, ela pode ser amplamente transmitida sem levantar suspeitas. Essa tcnica de camuflar informaes tambm tem sido muito utilizada por empresas para proteger arquivos prprios que possuem direitos autorais, de modo que, quando reveladas, elas podem provar e demonstrar que a propriedade intelectual de determinado arquivo lhe pertence. Este tipo de aplicao conhecido como marca dgua digital (watermarking). Alm disso, tambm nmeros seriais podem ser inseridos em mdias de fcil reproduo no meio digital, como vdeos e msicas. Assim, caso uma mesma cpia seja distribuda de forma

35 indiscriminada e ilegalmente, possvel identificar a origem do vazamento. Este tipo de tcnica comumente conhecido como impresso digital (fingerprinting). Outra prtica de esteganografia na rea comercial feita pelas empresas HP e Xerox. As suas impressoras adicionam minsculos pontos amarelos em cada pgina, os quais possuem codificados os nmeros de srie do equipamento, bem como a data e a hora da impresso. Existem atualmente vrias outras tcnicas de esteganografia, desde mais simples a muito mais complexas do que as apresentadas aqui, o que acaba dificultando o trabalho do perito. Caso ele no descubra o tipo utilizado para ocultar a mensagem, uma alternativa verificar se h softwares especficos instalados no dispositivo examinado, pois, desse modo, pode ser possvel determinar a tcnica praticada, ou, at mesmo, usar o prprio software para descobrir o contedo do arquivo.

36 Captulo 5 - Principais aspectos jurdicos presentes na Percia Forense Computacional

Por todo este trabalho possvel encontrar diversos aspectos legais que esto relacionados com a Percia Forense Computacional, desde a falta de leis para punio de alguns delitos cibernticos, at aqueles que regulamentam a atuao do perito durante a investigao. Este captulo tem o objetivo de reun-los e debater sobre suas caractersticas, apresentando os eventuais avanos na legislao brasileira. O trabalho do perito, independente da rea, consiste em executar atividades tcnico-cientficas de nvel superior de descobertas, de defesa, de recolhimento e de exame de vestgios em procedimentos pr-processuais e judicirios. De acordo com a lei n 12.030, de 17 de setembro de 2009, os peritos oficiais de natureza criminal, ou seja, aqueles designados a investigar delitos, foram classificados em peritos criminais, que geralmente trabalham em locais de crime e nos Institutos de Criminalstica, peritos mdico-legistas que, juntamente com os peritos odontolegistas, atuam convencionalmente nos Institutos Mdicos Legais (IML) e so responsveis pelas anlises das vsceras e demais vestgios coletados durantes os exames de corpo de delito. Essa mesma lei, em seu artigo 2o, rege que No exerccio da atividade de percia oficial de natureza criminal, assegurado autonomia tcnica, cientfica e funcional, exigido concurso pblico, com formao acadmica especfica, para o provimento do cargo de perito oficial. Ou seja, h uma contradio na lei no que tange ao exerccio da funo de perito, pois ele no necessita de conhecimentos em Direito, embora atue diretamente com delegados, promotores e juzes, isto , cargos que exigem estudos profundos da legislao. Cientes dessa falha e do que isso pode acarretar, os rgos organizadores de concursos pblicos para peritos criminais incluem em seus exames diversas questes relacionadas s principais reas do Direito. Mas, de um modo geral, podemos afirmar que o perito computacional um profissional habilitado, com conhecimentos tanto em informtica, quanto em direito, especialista em analisar vestgios digitais e em produzir provas tcnicas que serviro de apoio para a deciso de um juiz. O perito, por ser uma autoridade investigativa oficial, possui uma norma que rege todo o seu trabalho, indicando sua funo, seu objetivo, os procedimentos que devem ser executados e os limites de sua conduta. Nesse caso, a norma em questo o decreto-lei N 3.689 de 3 de outubro de 1941, mais conhecido como Cdigo de Processo Penal ou simplesmente CPP, que, em seus 811 artigos, regulamenta a funo do Estado na apurao das infraes penais, nos julgamentos e na aplicao de punies cabveis. Esta lei estabelece, entre outras coisas, como

37 deve ser o inqurito policial, a ao penal, a busca e apreenso, a prova criminal, os exames e as percias. ele que determina, por exemplo, em seu artigo 158o que: Quando a infrao deixar vestgios, ser indispensvel o exame de corpo de delito, direto ou indireto, no podendo supri-lo a confisso do acusado.. Outro regimento importante o determinado pelo artigo 170o: Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas.. Ou seja, vai diretamente de encontro com a recomendao existente em todo o trabalho de no alterar os dados contidos no disco, preservar as evidncias e garantir a cadeia de custdia, isto , o perito deve assegurar a proteo e idoneidade da prova, a fim de evitar questionamentos quanto sua origem ou estado inicial, pois qualquer suspeita pode anul-la e colocar em risco toda a investigao policial. O Cdigo Penal Brasileiro, institudo pelo Decreto-Lei 2.848 de 07 de dezembro de 1940, o conjunto de normas que o Estado emprega para prevenir ou reprimir os fatos que atentem contra a segurana e a ordem social. Ele composto por duas partes: Parte Geral e Parte Especial. Na primeira, so descritos e explicitados os conceitos e compreenses gerais sobre a aplicao da lei penal, do crime, das medidas de segurana, entre outros. J na Parte Especial onde ocorre a tipificao dos crimes e o estabelecimento das penas relativas. justamente nessa parte que existe uma brecha na legislao brasileira aproveitada pelos criminosos cibernticos. Conforme o inciso XXXIX do artigo 5o, "No h crime sem lei anterior que o defina, nem pena sem prvia cominao legal". Isto quer dizer que necessrio que o crime e a respectiva pena para eventual aplicao legal estejam exatamente e literalmente descritos no Cdigo Penal. Um dos objetivos dessa tipificao dos crimes evitar que haja prejuzo da incolumidade do cidado e que ele viva sob ameaa e medo, porque no sabedor daquilo que pode ou no fazer na sociedade em que encontra. Da mesma forma, ela restringe a atuao dos julgadores e autoridades responsveis pela lei e a ordem social, no sentido de que no haja aplicao de pena para situaes no descritas antecipadamente como inconvenientes e consideradas proibidas. Tudo isso para manter a estabilidade social e jurdica. Por conta disso, toda e qualquer alterao no Cdigo Penal deve ser proposta atravs de projetos de lei, precisando ser aprovada na Cmara dos Deputados e no Senado Federal, alm de ser sancionada pelo Presidente da Repblica para poder entrar em vigor. A demora existente desde a elaborao de um projeto de lei at a sua promulgao, passando por todos os trmites legais, impede que se tenha uma legislao mais moderna e que atenda

38 as demandas atuais da sociedade. O Cdigo Penal Brasileiro, por exemplo, foi institudo a mais de setenta anos, ainda sob a gide da Constituio Autocrtica de 1937 e em plena II Guerra Mundial. Ao longo do tempo, com o surgimento de novas tecnologias e mudanas nas condutas comportamentais moralmente aceitas, houve srias e importantes modificaes sociais que requereram (e ainda requerem) ajustes ou legislaes paralelas. Podemos citar como exemplo a Lei dos Crimes Hediondos, a Lei Maria da Penha que trata da violncia domstica, a Lei que probe a ingesto exagerada de bebidas alcolicas por condutores de veculos, e tantas outras que tambm introduziram novos artigos e ou adequaram os existentes no Cdigo Penal. Na rea de informtica, os criminosos se aproveitam da falta de tipificao de algumas prticas lesivas para invadir computadores e aplicar golpes ou danificar sistemas. Um deles, julgado pelo Tribunal de Justia de So Paulo, tratava de uma acusao de phishing scam, isto , um vrus que rouba os dados pessoais digitados pelos usurios. O Ministrio Pblico acusou o ru de interceptao de dados, com base na Lei 9.296/95, porque no h outra lei em que se possa basear a acusao. Como resultado, o desembargador relator absolveu o acusado, por entender que no se trata de interceptao de dados, o caso de furto, mas no possvel enquadr-lo dessa forma. Segundo Higor Vincius Nogueira Jorge, delegado de polcia, professor da Academia de Polcia e especialista na investigao de crimes cibernticos, cerca de 10% dos casos de transtornos provocados por meios virtuais no so punidos, porque no se enquadram ao previsto no Cdigo Penal e tambm no tm legislao especfica. Para evitar que essa situao continue, h alguns projetos de lei tramitando na Cmara de Deputados e no Senado Federal com o objetivo de tipificar algumas prticas cometidas na rede de computadores como crimes virtuais. Um deles o PL 84/1999, considerado o mais completo texto legislativo j produzido sobre crimes informticos no pas e consiste em um projeto substitutivo, apresentado pelo ento Senador Eduardo Azeredo, que aglutinou trs projetos de lei que j tramitavam no Congresso Nacional, e, segundo sua prpria descrio, tem o propsito de tipificar condutas realizadas mediante uso de sistema eletrnico, digital ou similares, de rede de computadores, ou que sejam praticadas contra rede de computadores, dispositivos de comunicao ou sistemas informatizados e similares. Esse projeto, conhecido como Lei Azeredo, foi aprovado pela Cmara dos Deputados em 2003 e modificado pelo Senado em 2008. Em virtude dessas alteraes, resta apenas que ele volte Cmara para nova votao e seja sancionado pelo Presidente da Repblica. Regimentalmente no possvel mais fazer mudanas no corpo do texto, ele s pode ser aprovado integralmente, ter algum de seus artigos vetado por inteiro ou

39 ser descartado de vez. Na prtica, com a aprovao dessa legislao, as seguintes condutas passaro a ser consideradas crimes, todos de natureza dolosa: - Acesso no autorizado a rede, dispositivo de comunicao ou sistema informatizado; - Obteno, transferncia ou fornecimento no autorizado de dado pblico; - Dano; - Divulgao ou utilizao indevida de dado pessoal; - Insero ou difuso de cdigo malicioso; - Insero ou difuso de cdigo malicioso seguido de dano; - Estelionato eletrnico; - Atentado contra a segurana de servio de utilidade pblica; - Falsificao de dado eletrnico ou documento pblico; - Falsificao de dado eletrnico ou documento particular; - Interrupo ou perturbao de servio telegrfico, telefnico, informtico, telemtico, dispositivo de comunicao, rede de computadores ou sistema informatizado. Alm da tipificao de crimes, a Lei Azeredo regulamenta tambm que deve haver a guarda, por parte dos provedores e durante trs anos, dos dados de acessos dos usurios (logs) e que sites de contedo colaborativo, como Youtube, Orkut e Facebook, possuem responsabilidades pelas informaes inseridas e atos praticados dentro de sua rede. Porm, esta lei alvo de crticas de diversos setores da sociedade, onde inclusive ganhou o apelido de AI-5 Digital. Juristas e deputados dizem que ela define crimes j existentes, como dano e estelionato, que regulamenta o compartilhamento de arquivos (tarefa atribuda reforma da lei de Direitos Autorais que est sendo revista pelo Ministrio da Cultura) e que, de acordo com o parlamentar Paulo Teixeira, grande parte dos tipos penais propostos apresenta redao significativamente aberta e muitas vezes sob a forma de tipos de mera conduta, cuja simples prtica - independentemente do resultado obtido ou mesmo da especfica caracterizao da inteno do agente - j corresponderia consecuo da atividade criminosa. Outro deputado, Emiliano Jos diz que o projeto tem um contedo antidemocrtico, que atende aos interesses da rea de direitos autorais dos EUA, alm da Federao Brasileira de Bancos (Febraban) e dos grandes escritrios de advocacia. Alm disso, o projeto tira o anonimato da rede, que um direito da cidadania contempornea. J os provedores so contra devido aos custos relativos contratao e manuteno de pessoal para atender e processar os pedidos judiciais ou de autoridades para acesso aos dados de conexo, alm das empresas de menor porte no possurem infraestrutura necessria para o armazenamento dessas informaes por tanto tempo. Grupos de ativistas, de direitos do

40 consumidor e relacionados privacidade alegam que a aprovao da lei como est cria um ambiente de vigilantismo e significa um perigo para o anonimato e para a privacidade na internet. Eles consideram que havendo a guarda de logs, porm sem regulamentao de acesso e uso dessas informaes (nenhum artigo da lei normatiza as condies de segurana para esse armazenamento), as empresas podem utilizar esses dados dos usurios para outros fins, alm de acharem exagerado o tempo de 3 anos. Outros pontos do projeto tambm so motivos de controvrsias, como o que sugere que os provedores noticiem, de modo sigiloso, s autoridades casos de usurios que tenham conduta suspeita na rede, dando ao provedor o poder de polcia. De acordo com o texto proposto, as pessoas que praticam atividades cotidianas na internet, como, por exemplo, o compartilhamento de msica, ou que possuam computadores infectados por um vrus e o espalharem, mesmo de forma no intencional, podem ser severamente punidas. Diante de tantas polmicas, o Ministrio da Justia fez uma consulta pblica (tanto online quanto offline) durante o ano de 2010, da qual participaram advogados, acadmicos e defensores dos direitos civis na internet, para definir as relaes entre usurios, provedores e autoridades e servir como base de princpios para a legislao sobre questes eletrnicas. O resultado da consulta se tornou um projeto de lei civil, conhecido como o Marco Civil da Internet, que estabelece um conjunto claro de direitos e responsabilidade dos usurios, define fortes princpios de neutralidade da rede e protege os intermedirios de serem responsabilizados criminalmente devido a contedos gerados pelos usurios. O Marco Civil tido como mais brando e com regras mais completas e proporcionais. Em relao polmica guarda dos registros de conexo, ele prev que ela seja feita pelas empresas capazes de atribuir os endereos IPs, companhias conhecidas no jargo do setor como Autonomous System (AS), e pelo prazo de um ano, podendo ser estendido. Alm disso, para obter o log preciso uma ordem judicial. Havendo um crime naquele horrio e a suspeita do usurio ter cometido essa violao, necessria outra ordem judicial para a associao entre o nmero do IP e o dono do nmero. Na proposta do ex-senador Azeredo, os dados poderiam ser obtidos por uma simples requisio de autoridade, policial ou no. Outra divergncia entre as duas leis que o Marco Civil isenta claramente os provedores de responsabilidades por informaes e atos de terceiro. O Marco Civil da Internet no surgiu para ser um contraponto ao projeto de lei 84/99, mas um complemento, tanto que diz expressamente que a tipificao dos crimes na web precisa ser regulamentada por outras leis. Os dois projetos poderiam funcionar juntos, mas h vrias contradies entre eles, principalmente opinies contrastantes sobre o que a rede e o que deve ser preservado nela.

41 Grande parte dos direitos garantidos pelo Marco Civil pode inviabilizar excessos da legislao de crimes digitais. Atualmente, vem sendo organizado por deputados envolvidos na redao do Marco Civil e que se opem viso de Azeredo um projeto de lei alternativo para enquadrar delitos virtuais ainda no existentes na legislao. Esse grupo espera apressar a aprovao do Marco Civil para s depois apresentar o seu contraponto mais ponderado, porm ainda incompleto e pouco desenvolvido. Esse projeto alternativo, oficialmente protocolado na Cmara em 29/11/2011, mais enxuto por considerar que os outros crimes j esto em outras leis e que regulao demais pode travar a inovao, a criatividade e potencial democrtico da internet, resumindose a tipificar apenas trs crimes: 1) Invadir rede de computadores, dispositivo de comunicao ou sistema informatizado; 2) Utilizar, alterar ou destruir as informaes obtidas ou causar dano ao sistema informatizado; e 3) Inserir ou difundir cdigo malicioso em dispositivo de comunicao, rede de computadores ou sistema informatizado sem a autorizao de seu legtimo titular. Apesar de estar em estgio inicial, o projeto pode tramitar com rapidez e tem chance de ultrapassar a Lei Azeredo e entrar em vigor antes, dependendo do nvel de consenso entre os parlamentares. Embora a popularizao dos computadores no Brasil tenha ocorrido h pouco mais de quinze anos, j foi suficiente para provocar grandes mudanas nos quadros sociais e comportamentais, exigindo das autoridades aes perante os novos desafios surgidos. Entre essas demandas, est a criao e alterao de leis para regulamentar o uso das novas tecnologias e evitar que haja supresso de direitos. Com a aprovao do Marco Civil, de um projeto de lei que tipifica os chamados crimes de alta tecnologia e a reforma da lei de direitos autorais, proposta pelo Ministrio da Cultura, o Brasil pode ser o pas com a legislao mais progressista de internet no mundo e tornar-se lder em cultura digital, de acordo com Lawrence Lessig, criador da licena Creative Commons, e maior autoridade em direitos autorais na era digital.

42

Concluso

Desde o seu surgimento, a humanidade, utilizando-se de sua capacidade nica de raciocnio, criou procedimentos, mtodos, mecanismos e ferramentas para auxili-la na execuo de atividades, sejam elas caar, trabalhar ou se divertir. Surgido em 1946, com 30 toneladas, ocupando uma rea de 180m2 e com o intuito de realizar clculos balsticos, o computador, juntamente com a internet, revolucionou o nosso modo de se comunicar, adquirir e transmitir informaes, criando a chamada Era Digital ou Era da Informao. Ao longo do tempo, seus componentes e arquitetura foram incorporados por outros dispositivos, como celulares, TVs, aparelhos hospitalares etc, permitindo a eles novas funcionalidades e melhor desempenho. Atualmente, a facilidade e a velocidade com que o computador processa, armazena e transmite dados por toda a sua rede, tornou-o um bem de consumo muito desejado e por diversas vezes indispensvel em muitas empresas e casas de todo o mundo. Estimase que no mundo existam 2,5 bilhes de computadores em uso, sendo 85 milhes s no Brasil, e a tendncia que essa expanso continue nos prximos anos. Governos e empresas, ao notarem esse progresso, passaram a oferecer diversos servios aos seus cidados e clientes, como emisso de documentos, transaes bancrias, vendas de produtos, entre outros, gerando assim uma enorme quantidade de dados sigilosos. Porm, esse grande volume de informaes pessoais circulando pelas redes do mundo inteiro atraiu criminosos, que comearam a se especializar e at recrutar pessoas com conhecimentos na rea de computao para a realizao de novas prticas ilegais. Como em qualquer rea, a preveno , sem dvida, a melhor maneira para combater tais ataques. Deve-se, no s dispor de equipamentos e sistemas de alta tecnologia, como tambm instruir as pessoas a os utilizar com segurana. Entretanto, quando ela se torna ineficaz ou inexistente e ocorre um ataque, necessrio que haja uma investigao para apurao e anlise dos vestgios deixados e, desse modo, esclarecer o que aconteceu, como e quem praticou tais atos ilcitos. A Percia Forense Computacional a rea que envolve a anlise e coleta de vestgios e evidncias digitais em equipamentos computacionais envolvidos em procedimentos ilcitos e crimes de qualquer natureza. Dentro dessa viso, este trabalho de graduao apresentou os principais conceitos sobre o assunto, descreveu como deve ser a atuao do perito durante a investigao, detalhou os principais tipos de exames forenses, incluindo os principais

43 procedimentos que podem ser realizados, e discutiu os principais aspectos jurdicos e legais relacionados com crimes cibernticos e presentes na Percia Forense Computacional. Os dispositivos de armazenamento computacional, principalmente os discos rgidos, tm aumentado de tamanho, e as tcnicas forenses devem ser cada vez mais apuradas, a fim de realizar uma investigao com maior qualidade. Inmeros so os crimes cometidos com o uso de equipamentos computacionais. Assim, a Percia Forense Computacional deve estar preparada para identificar e apontar as possveis evidncias digitais deixadas na cena do crime, transpondo desafios e relatando a materialidade, a dinmica e a autoria dos delitos. Porm, necessrio que a legislao brasileira tambm se aprimore cada vez mais, pois no h, entre nossas leis, itens que possam coibir ou mesmo punir alguns delitos praticados por hackers, como a disseminao de vrus. A aprovao de leis que tipifiquem crimes cibernticos urgente, no s para dinamizar os processos como para reduzir a sensao de impunidade de criminosos em questes que se mostram dbias e no terminam em condenao. O projeto 84/1999, conhecido como Lei Azeredo, veio para cobrir essa lacuna, porm trouxe tipos de pena abrangentes, causando insegurana jurdica e desestmulo inovao. Tecnicamente, possvel criar o crime baseado nas noes de direitos e deveres do cidado garantidas pela Constituio, porm, faz pouco sentido definir crimes antes de garantir direitos e deveres do cidado no ambiente online. Surge ento o Marco Civil da Internet, um importante projeto de lei, elaborado aps diversas consultas sociedade, que busca estabelecer regras, direitos, deveres e princpios para o uso da rede de computadores. Ele traz um equilbrio entre o direito liberdade de expresso e os interesses relacionados a privacidade e segurana. O Marco Civil no um contraponto propostas de enquadramento dos crimes na internet, pelo contrrio, ele diz explicitamente que a tipificao precisa ser regulamentada por outras leis. Na ltima dcada, essa abordagem pioneira criada pelo Brasil para polticas digitais foi encarada por muitos pases ao redor do mundo como um modelo para promover a inovao e a abertura online. O nico entrave a demora por parte do poder legislativo e executivo para apresentar, deliberar e aprovar tais polticas.

44 Referncias Bibliogrficas

FARMER, Dan / VENEMA, Wietse. Percia Forense Computacional. 1 ed. So Paulo: Pearson Prentice Hall, 2007. ELEUTRIO, Pedro Monteiro da Silva / MACHADO, Marcio Pereira. Desvendando a Computao Forense. 1 ed. So Paulo: Novatec, 2011. SANTOS, Moacyr Amaral. Primeiras linhas de direito processual civil. So Paulo: Saraiva, 2004. CARROLL, Ovie L.; BRANNON, Stephen K.; SONG, Thomas. Computer Forensics: Digital Forensic Analysis Methodology. United States Attorneys Bulletin. Volume 56, Nmero 1, 2008. DAOUN, Alexandre Jean; GISELE, Truzzi De Lima. Crimes informticos o direito penal na era da informao. ICoFCS 2007 Proceedings of The Second International Conference Of Forensic Computer Science Volume 2, Nmero 1. 2007. FREITAS, Andrey. Percia Forense Aplicada Informtica. Trabalho de Curso de PsGraduao Lato Sensuem Internet Security. IBPI. 2003. NOBLETT, Michael G. Report of the Federal Bureau of Investigation on development of forensic tools and examinations for data recovery from computer evidence. Proceedings of the 11th INTERPOL Forensic Sciense Symposium. 1995. PEREIRA, Evandro; FAGUNDES, Leonardo. Forense Computacional: fundamentos, tecnologias e desafios atuais. Simpsio Brasileiro em Segurana da Informao e de Sistemas computacional. Rio de janeiro: 2007. VARGAS, R. G. Processos e Padres em Percia Forense Aplicado a Informtica. REIS, Marcelo Abdala dos; GEUS, Paulo Lcio. Forense Computacional: Procedimentos e Padres. Instituto de Computao da Universidade Estadual de Campinas. Disponvel em: <http://www.las.ic.unicamp.br/paulo/papers/2001-SSI-marcelo.reis-forense.padroes.pdf> Acesso em: 28 mai. 2008 GADELHA, Julia. A evoluo dos computadores. Disponvel em: <http://www.ic.uff.br/~aconci/evolucao.html> Acesso em: 23 abr. 2011. Evoluo dos computadores. Disponvel em: <http://www.idealdicas.com/evolucao-doscomputadores/> Acesso em: 23 abr. 2011. MEIRELLES, Fernando S. 22 Pesquisa Anual do Uso de TI, 2011. Disponvel em: <http://eaesp.fgvsp.br/sites/eaesp.fgvsp.br/files/GVpesqTI2011PPT.pdf> Acesso em: 26 abr. 2011.

45 CRUZ, Elaine Patricia. Pesquisa mostra que Brasil tem 85 milhes de computadores em uso. Disponvel em: <http://agenciabrasil.ebc.com.br/noticia/2011-04-19/pesquisa-mostraque-brasil-tem-85-milhoes-de-computadores-em-uso> Acesso em: 26 abr. 2011. BRASIL. Decreto-Lei N 3.689, de 3 de outubro de 1941. Disponvel em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del3689.htm> Acesso em: 26 abr. 2011. Wikipedia. Data remanence. Disponvel em: <http://en.wikipedia.org/wiki/Data_remanence> Acesso em: 08 nov. 2011. Aker Security Solutions. Como efetuar excluso segura dos dados do disco (Wipe)?. Disponvel em: <http://www.aker.com.br/108/10802002.asp?ttCD_CHAVE=457> Acesso em: 08 nov. 2011. National Institute of Standards and Technology. Guidelines for Media Sanitization. Gaithersburg, 2006. Disponvel em: <http://csrc.nist.gov/publications/nistpubs/80088/NISTSP800-88_rev1.pdf> Acesso em: 08 nov. 2011. National Software Reference Library. Introduction to the NSRL. Disponvel em: <http://www.nsrl.nist.gov/> Acesso em: 08 nov. 2011. Microsoft. NTFS Technical Reference. Disponvel em: <http://technet.microsoft.com/enus/library/cc758691(WS.10).aspx/> Acesso em: 08 nov. 2011. HUDSON, Andrew. NTFS: A File System with Integrity and Complexity. Disponvel em: <http://www.osnews.com/story/24076/NTFS_A_File_System_with_Integrity_and_Complexit y> Acesso em: 08 nov. 2011. Wikipedia. Rainbow table. Disponvel em: <http://en.wikipedia.org/wiki/Rainbow_table> Acesso em: 08 nov. 2011. ATWOOD, Jeff. Rainbow Hash Cracking. Disponvel em: <http://www.codinghorror.com/blog/2007/09/rainbow-hash-cracking.html> Acesso em: 08 nov. 2011. CALR FILHO, Marcos Muniz. Kerberos - Autenticao em Sistemas Distribudos. Disponvel em: <http://www.gta.ufrj.br/grad/99_2/marcos/criptografia.htm> Acesso em: 08 nov. 2011. CASTELL, Thiago; Vaz, Vernica. Assinatura Digital. Disponvel em: <http://www.gta.ufrj.br/grad/07_1/ass-dig/TiposdeCriptografia.html> Acesso em: 08 nov. 2011. FONSECA, Thiago. Esteganografia. Disponvel em: <http://www.gta.ufrj.br/grad/07_2/thiago_castello/AplicaesdaEsteganografia.html> Acesso em: 08 nov. 2011. CHIRIGATI, Fernando; KIKUCHI, Rafael; GOMES, Talita. Esteganografia. Disponvel em: <http://www.gta.ufrj.br/grad/09_1/versao-final/stegano/tecnicas.html> Acesso em: 08 nov. 2011.

46

FERRO, Hugo; SANTOS, Nathlia. Percia Forense Computacional: a importncia do perito ao se analisar um cenrio. Disponvel em: <http://www.viajus.com.br/viajus.php?pagina=artigos&id=3980> Acesso em: 08 nov. 2011. TOMS, Eliane. Crimes Informticos: Legislao brasileira e tcnicas de forense computacional aplicadas essa modalidade de crime. Disponvel em: <http://www.artigos.etc.br/crimes-informaticos-legislacao-brasileira-e-tecnicas-de-forensecomputacional-aplicadas-a-essa-modalidade-de-crime.html> Acesso em: 08 nov. 2011. REINO, Alfredo. Informtica Forense. Disponvel em: <http://doc.jurispro.net/articles.php?lng=pt&pg=9717> Acesso em: 08 nov. 2011. O Brasil contra o Cibercrime. Disponvel em: <https://www.safernet.org.br/site/sites/default/files/resumo-da-apresentacao_PLSAzeredo_Valor-16-10-2006.pdf> Acesso em: 08 nov. 2011. SILVA, Vandeler. Cdigo Penal Brasileiro. Disponvel em: <http://www.infoescola.com/direito/codigo-penal-brasileiro/> Acesso em: 08 nov. 2011. BRASIL. Decreto-Lei N 2.848, de 7 de dezembro de 1940. Disponvel em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/Del2848.htm> Acesso em: 08 nov. 2011. BRASIL. Lei N 12.030, de 17 de setembro de 2009. Dispe sobre as percias oficiais e d outras providncias. Disponvel em: <http://www.planalto.gov.br/ccivil_03/_Ato20072010/2009/Lei/L12030.htm> Acesso em: 08 nov. 2011. Lei de crimes virtuais deve agilizar processos e reduzir impunidade. Gazeta de Limeira. Disponvel em: <http://www.gazetadelimeira.com.br/Noticia.asp?ID=50081> Acesso em: 08 nov. 2011. Agncia Cmara. Falta de lei sobre crimes digitais leva impunidade, diz especialista. Disponvel em: <http://tecnologia.uol.com.br/seguranca/ultimas-noticias/2010/12/29/falta-delei-sobre-crimes-virtuais-leva-a-impunidade-diz-especialista.jhtm> Acesso em: 08 nov. 2011. NUNES, Emily; CARDOSO, Ismael. Comisso da Cmara retira da pauta PL sobre crimes na internet. Disponvel em: <http://tecnologia.terra.com.br/noticias/0,,OI5462517EI12884,00-Comissao+da+Camara+retira+da+pauta+PL+sobre+crimes+na+internet.html> Acesso em: 08 nov. 2011. BIDDLE, Ellery. Brazil: Cybercrime Law Could Restrict Fundamental Rights, Internet Openness. Disponvel em: <http://advocacy.globalvoicesonline.org/2011/11/08/brazilcybercrime-law-could-restrict-fundamental-rights-internet-openness/> Acesso em: 08 nov. 2011. POSSETI, Helton. PL 84/99, do senador Azeredo, deve ser superado pelo Marco Civil da Internet. Disponvel em: <http://www.teletime.com.br/24/08/2011/pl-84-99-do-senadorazeredo-deve-ser-superado-pelo-marco-civil-da-internet/tt/237850/news.aspx> Acesso em: 08 nov. 2011.

47 CARDOSO, Ismael. Lei Azeredo "imprecisa", diz autor de projeto alternativo. Disponvel em: <http://tecnologia.terra.com.br/noticias/0,,OI5310037-EI12884,00Lei+Azeredo+e+imprecisa+diz+autor+de+projeto+alternativo.html> Acesso em: 08 nov. 2011. Terra. Lei de cibercrimes causa polmica em seminrio na Cmara. Disponvel em: <http://tecnologia.terra.com.br/noticias/0,,OI5311374-EI12884,00Lei+de+cibercrimes+causa+polemica+em+seminario+na+Camara.html> Acesso em: 08 nov. 2011. CABRAL, Rafael. Trs projetos e duas leis. Disponvel em: <http://blogs.estadao.com.br/link/tres-projetos-para-duas-leis/> Acesso em: 08 nov. 2011. CABRAL, Rafael. Marco Civil da Internet versus Lei Azeredo. Disponvel em: <http://blogs.estadao.com.br/link/marco-civil-versus-lei-azeredo/> Acesso em: 08 nov. 2011. GROSSMANN, Lus. Sem acordo ou apoio, Cmara congela projeto de crimes cibernticos. Disponvel em: <http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=28521&sid=18> Acesso em: 08 nov. 2011. RAMALHO TERCEIRO, Ceclio da Fonseca Vieira. O problema na tipificao penal dos crimes virtuais. Disponvel em: <http://jus2.uol.com.br/doutrina/texto.asp?id=3186> Acesso em: 24 jun. 2008.