perÍcia em informÁtica aula 06 – exames forenses em dispositivos de armazenamento computacional...
TRANSCRIPT
PERÍCIA EM INFORMÁTICA
Aula 06 – Exames forenses em dispositivos de armazenamento computacional - Formalização
Curso de Sistemas de Informação.
Prof. Diovani Milhorim
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Preservação• Extração• Análise• Formalização
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• É a fase final dos exames forenses, que consiste na elaboração do laudo pelo perito, apontando o resultado e apresentando as evidência digitais encontradas no material examinado.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura:• Preâmbulo• Histórico• Material• Objetivo• Considerações técnica/periciais• Exames• Respostas aos quesitos/conclusões.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Preâmbulo
• É a primeira seção do laudo, que tem por objetivo realizar a identificação do laudo, detalhando os envolvidos no exame, incluindo os peritos signatários, a autoridade solicitante, a unidade de criminalística envolvida, o número do processo e/ou inquérito policial e outras ilnformações necessárias para a correta identificação do laudo diante do processo ao qual ele está vinculado.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Preâmbulo
Título do laudo
(subtítulo)
Número do laudo – unidade de criminalística
Data do laudo, Peritos Designados, Autoridades solicitantes, Número do processo/inquérito policial, outros números (protocolos), Data da solicitação
Transcrição dos quesitos formulados ou da solicitação.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Histórico (opcional)
• A seção histórico é opcional . Deverá conter a descrição dos eventos passados relacionados ao laudo ou ao material examinado.
• Ex:
• Local de apreensão do material• Material relacionado ao laudo de número xxx• Laudos anteriores e suas respectivas datas.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Histórico
1 – Histórico
Em 17 de julho de 2012, os peritos designatários se deslocaram até o forum do município de xxxxxxxx/UF, a fim de retirar o disco rígido de um computador que, conforme solicitação do Juiz Dr. XXX, deverá ser periciado. Naquela ocasião, os peritos foram recebidos pelo Sr. YYY, por volta das 8:30 h da manhã, que mostrou o computador em questão. Após a abertura do gabinete e a retirada do disco rígido questionado, o mesmo foi lacrado no envelope de segurança de número 48766253, sendo prontamente acondicionada e levada para esta unidade de criminalística.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Material
• Nesta seção devem ser detalhados todos os materiais analisados no laudo.
• A descrição deve ser a mais detalhada possível para garantir que não existirá troca de um material por outro.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Material
• Atenção
• Em caso de gabinetes, todos os componentes internos devem ser detalhados.
• Se material vier acompanhado do laudo de apreensão isto deve ser informado.
• Quando material vier lacrado isto deverá ser informado. • Descrever estado de conservação do material.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Objetivos
• Descreve sucintamente os objetivos do exame a ser realizado.
• E a solicitação contiver quesitos, os peritos devem resumir a quesitação formulada nesta seção.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Objetivos
3 – Objetivos
Os exames visam fornecer características do material encaminhado bem como recuperar e identificar documentos de texto, planilhas eletrônicas e mensagens de correio eletrônico relacionadas à empresa de nome xxxxx, CNPJ xxxxxx, entre outros presentes no material encaminhado ao exame.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Considerações técnicas/periciais
• Nesta seção se explicam os conceitos, técnicas e procedimentos necessários ao entendimento do laudo.
• Ex:• Necessidade de anexos digitais.• Conceito de hash.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Exames.
• Principal seção do laudo. • Todos os procedimentos, técnicas e métodos utilizados
pelo perito para a localização de evidências devem ser relatados nesta seção.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Exames.
• Seção deve descrever por exemplo:• Técnicas de preservação• Mecanismos de recuperação• Informar sistema operacional instalado.• Detalhar passos realizados para se obter evidências.• Todos os procedimentos técnicos.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Respostas aos quesitos/conclusões.
• Esta seção poderá ter dois nomes:
• Respostas aos quesitos: Se a autoridade solicitante formulou quesitos específicos que devem ser respondidos.
• Conclusões: caso os quesitos não tenham sido especificados.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Respostas aos quesitos/conclusões.
• A respostas aos quesitos devem ser muito bem elaboradas, sem margem para dupla interpretação ou ambiguidade.
• O uso de linguagem técnica deve ser restrita. A conclusões devem ser entendidas por pessoas que não possuem conhecimento técnico aprofundado.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Respostas aos quesitos/conclusões.
• Quando o perito não encontrar evidências desejadas no material examinado, isto deve ser claro na conclusão.
• Ex:• “Após realização dos procedimentos descritos nos exames,
evidências não foram encontradas.”
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Respostas aos quesitos/conclusões.
• Recomenda-se fazer referências à seção de exames para informar sobre os procedimentos e técnicas utilizadas.
• Ex: “Conforme detalhado na seção Exames...”
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Respostas aos quesitos/conclusões.
• Responda aos quesitos de forma objetivas.• Ex:
• Foram encontrados arquivos de planilhas eletrônicas relacionadas à movimentação financeira da empresa X?
“Sim. Conforme detalhado na seção Exames, diversas planilhas eletrônicas forma encontradas no material examinado. Tais planilhas forma copiadas na mídia óptica anexa e podem ser acessadas a partir da categoria Planilhas”
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização:
• Laudo – estrutura: Respostas aos quesitos/conclusões.
Nesta seção se dá a finalização do laudo.
Com o Laudo, os Peritos devolvem todo material encaminhado a exame devidamente lacrado no envelope de segurança 0006658.
Nada mais havendo a lavrar, os peritos encerram o presente Laudo que, elaboradoem dezessete páginas e uma mídia ótica (DVD) em anexo, lido e achado conforme assinam acordes.
Pedro da silva João da silvaPerito criminal federal – mat. Xxxxx Perito criminal federal – mat. yyyy
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Formalização: Exercício:
• O Juiz Dr. João Matias silva da comarca de Uberaba-MG requereu a perícia de um disco rígido (HD) da marca samsung (modelo HD403LJ, n. de série hdt4567) com capacidade de 500 GB a fim de se determinar a existência de evidências de crime de pedofilia.
• Os peritos José da silva e Carlos Souza retiraram a evidência no forúm da cidade no dia 21/08/2013. O material encontrava-se lacrado com n. de lacre 3456.
• Exames foram realizados com uso do software Autopsya e foram localizados dois arquivos com nomes Cecilia.jpg e Maria.jpg, que comprovam o crime.
• Elabore o laudo a ser encaminhado ao Juiz solicitante.