UNIVERSIDADE TUITI DO PARANÁ

Mauricio Emanuel dos Santos

FORENSE COMPUTACIONAL COM ÊNFASE NO EMBASAMENTO

JURÍDICO PARA MATERIALIZAÇÃO DE PROVA VIRTUAL

CURITIBA

2012

UNIVERSIDADE TUITI DO PARANÁ

Mauricio Emanuel dos Santos

FORENSE COMPUTACIONAL COM ÊNFASE NO EMBASAMENTO

JURÍDICO PARA MATERIALIZAÇÃO DE PROVA VIRTUAL

Monografia apresentada como requisito para conclusão e obtenção do título de Especialista no Curso Redes de computadores e segurança de

redes – Administração e Gerência.

CURITIBA 2012

AGRADECIMENTOS

Em primeiro lugar, agradeço a Deus e a Nossa Senhora pela benção de ter

concluído a especialização, minha filha Ana Beatriz a qual dedico este trabalho, pois

pensando nela obtive forças para não decidir, meus professores (Amaral, Frota e

Luiz), a meu inestimável amigo Junior, pois sem ele grande parte de trabalho não

seria possível, e a todas as pessoas do meu convívio que mesmo sem contribuírem

diretamente incentivaram-me a concluir o trabalho.

RESUMO

palavras-chave: perícia,crime,lei,juridico. Este trabalho, busca demonstrar quais as metodologias para combate ao crime eletrônico (crime virtual). Como embasamento jurídico traz informações referente ao direito eletrônico, formas de analogia e riscos que empresas ou pessoas correm ao disponibilizar acessos a Internet sem o correto monitoramento. Também existe a intenção em exemplificar quais são os tipos de petições que devem ser feitas aos representantes da lei para aquisição de evidencias, conservação de prova, metodologias para não repúdio e elaboração de conclusões que possam ter credibilidade para a tomada de decisões do responsável legal.

ABSTRACT

key word: perícia,crime,lei,juridico.

This work, which seeks to demonstrate the methodologies to combat electronic crime (cybercrime). How juriti foundation provides information concerning the right electronic forms of analogy and risks that people run businesses or provide access to the Internet without proper monitoring. There is also the intention to illustrate the kinds of petitions that must be made to law enforcement for the acquisition of evidence, preservation of evidence, methodologies for non-repudiation and drawing conclusions that may be credible for the decisions of the guardian.

LISTAS DE FIGURAS

FIGURA 1 - REDE DISTRIBUIDA IMUNE A ATAQUE .……………………………..124

FIGURA 2- FORMADO DO CABEÇALHO - IP……………………………………….142

SUMÁRIO

1.INTRODUÇÃO ................................................................................................. 10

2.A INTERNET ................................................................................................... 12

2.1. TECNOLOGIA .............................................................................................. 13

2.2. INTERNET PROTOCOL – IP ........................................................................ 14

2.3. ENDEREÇO IP ........................................................................................... 155

2.4. DISTRIBUIÇÃO DOS IPS NA INTERNET .................................................... 15

2.4.1.Escassez do IP .......................................................................................... 15

2.4.2.Endereçamento dinâmico .......................................................................... 16

2.4.3.Mascaramento IP ....................................................................................... 16

3.DIREITO DIGITAL ........................................................................................... 19

3.1. CRIMES ELETRONICOS ............................................................................. 19

3.1.1.Crimes (esfera criminal – código penal) ..................................................... 20

3.1.1.1.Delegacia especializada ......................................................................... 21

3.1.1.2.Policiais ................................................................................................. 222

3.1.2.Delitos (esfera civil – código civil) ............................................................ 223

3.1.2.1.Petição - medidas cautelares ................................................................ 233

3.1.2.1.1.Quebra de sigilo ................................................................................. 245

3.1.2.1.2.Busca e apreensão de equipamentos e/ou dados ............................. 255

3.1.3.Impactos quando não há logs de registro ................................................ 255

4.FORENSE COMPUTACIONAL ..................................................................... 266

4.1. ASPECTO LEGAIS ..................................................................................... 277

4.2. ASPECTO TECNICO .................................................................................. 277

4.3. METODOLOGIA DE ANALISE DO CRIME DIGITAL .................................. 288

4.4. IDENTIFICAÇÃO DAS EVIDENCIAS ....................................................... 2929

4.5. COLETAS DAS EVIDENCIAS .................................................................... 300

4.5.1.Incidente em ambiente corporativo .......................................................... 311

4.5.2.Incidente que necessite de diligência ...................................................... 311

4.6. PREVENÇÃO DA EVIDENCIAS ................................................................. 322

4.7. ANÁLISE DE EVIDENCIAS ........................................................................ 344

4.7.1.Perito oficial civil ...................................................................................... 344

4.7.2.Perito policial ............................................................................................ 344

4.7.3.Auxiliares técnicos ................................................................................... 355

4.7.4.Metodologia de análise ............................................................................ 355

4.7.4.1.Técnicas de análise .............................................................................. 366

4.7.4.1.1.Cronologia .......................................................................................... 366

4.7.4.1.2.Busca por arquivos ............................................................................ 366

4.7.4.1.3.Buscas através de conteúdos ............................................................ 377

4.7.4.1.4.Buscas através de alocações indefinidas, danificadas ou “livres” ...... 377

4.7.4.1.5.Organização ....................................................................................... 388

4.7.5.Análise de evidência não esperadas ......................................................... 39

4.8. ELABORAÇÃO DO LAUDO ..................................................................... 3939

5.DESAVIO DA PERICIA FORENSE COMPUTACIONAL ................................ 411

5.1. DISPOSITIVOS DE ARMAZENAMENTOS CRIPTOGRAFATO E SENHA . 421

5.2. CLOUD COMPUTING ................................................................................ 431

5.3.SENHAS DE SOFTWARE OU SISTEMA OPERACIONAL ........................ 432

5.4.AUMENTO DOS DADOS ............................................................................ 432

6.EXEMPLO DE RATREAMENTO DIGITAL .................................................... 432

6.1.O CASO ..................................................................................................... 442

6.2.IDENTIFICAÇÃO DOS RASTROS ............................................................. 443

6.2.1.Identificar responsavel pelo forum ........................................................... 443

6.2.2.Materializar a existencia da foto ............................................................... 453

6.2.3.Identificação do Endereço IP do POST.................................................... 453

6.2.4.Identificação do sendereços IPs do e-mail

cadastrados.............................464

6.2.5.Identificação física do endereço IP .......................................................... 454

6.2.6.Levantamento de provas .......................................................................... 454

6.2.7.Busca e apreensão .................................................................................. 455

6.2.8.Análise das evidencias............................................................................. 455

6.3.LAUDO PERICIAL ...................................................................................... 456

7.CONCLUSÃO ................................................................................................ 477

REFERENCIAS .................................................................................................. 48

10

1. INTRODUÇÃO

Em 1994, foi aberto a rede mundial de computadores (Internet) para todas as

pessoas civis e não acadêmicas. Até esta data, a Internet era restrita a pessoas do

meio acadêmico. A grande rede, como também é conhecida, foi aberta

comercialmente ao público brasileiro em 1995.

Inicialmente, a utilização da grande rede era simples. Buscava interligar

empresas filiais ou parceiras à infra-estrutura das empresas matrizes. Com a

popularização da Internet, foram surgindo novas utilizações, como exibição de seus

produtos, contatos, casos de sucesso, pesquisas e outras formas de expressão

através de páginas pessoais ou profissionais.

No início, não foram considerados quais os impactos da popularização da

Internet e como criminosos poderiam fazer uso dela, logo, não foi mensurado quais

os danos que as empresas e pessoas poderiam estar sujeitas ao acessar a grande

rede sem as devidas precauções.

Devido a esta falta de cuidado inicial, pessoas de má índole e oportunistas,

com algum conhecimento computacional, começaram a utilizar o meio digital para

cometer crimes, os quais foram chamados de crimes eletrônicos ou crimes

cibernéticos. A grande maioria dos criminosos virtuais possui conhecimento limitado

na área de informática, pois esta é uma área que exige constante atualização devido

a sua constante evolução.

Sem conhecimento aprimorado, criminosos deixam identificações (rastros)

que permitem o monitoramento, busca e identificação do(s) culpado(s).

De uma forma geral, todo e qual acesso na Internet, criminoso ou não, grava

informações de acesso, ou seja, forma de identificar quem fez o acesso.

11

Obviamente que enquanto parte da evolução tecnológica vislumbra a

identificação do usuário, outros visam utilizar a tecnologia para encobrir dados.

Neste momento é que profissionais devidamente capacitados, leis específicas e

cooperação entre empresas que fornecem serviços de tecnologia devem agir em

conformidade.

Como o crime eletrônico afeta o mundo real o(s) causador(es) do dano devem

ser localizados, identificados e punidos conforme a lei. Embora a legislação

brasileira não possua legislação específica para o mundo virtual, já é possível punir

culpados virtuais no mundo real através de analogias.

Para buscar os culpados virtuais, demonstrar tecnicamente a possibilidade e

a forma do crime e efetuar as devidas analogias surgiram novas profissões, como:

investigador forense computacional, advogado especialista em crime virtual e

segurança da informação.

Além dos especialistas surgiram metodologias de tratamento das evidências,

as quais devem ser seguidas para que a prova virtual possa ser considerada no

mundo real (materialização da prova).

Para auxiliar os profissionais que atuam contra criminosos virtuais foi

elaborado este documento, o qual, busca identificar os principais passos para

rastrear, coletar, armazenar e analisar evidencia forense.

Este documento cita modelos de petições jurídicas para que o profissional de

tecnologia da informação possa tomar as providências cabíveis a cada situação,

levando com credibilidade as evidências e conclusões para os responsáveis legais

(juízes).

12

2. A INTERNET

Como já é de conhecimento, a Internet surgiu devido há uma necessidade

militar, onde o governo americano viu a necessidade de criar uma rede de

comunicação imune a ataques, visto que aumentou a proximidade governamental

entre Cuba e a União das Repúblicas Socialistas Soviéticas (URSS) – hoje Rússia –

enquanto a proximidade geográfica entre Cuba e os Estados Unidos da América

(EUA) não era possível de ser desconsiderada.

Surgiu então a idéia da rede distribuída, elaborada pelo cientista da ARPA

(Advanced Research Project Agency) Paul Baran. A rede chamou-se ARPANET.

Figura 1 - Rede distribuída, imune a ataques. Independente qual ponto fosse destruído, a rede continuaria a funcionar.

Em 1969, já eram quatro grandes instituições conectadas (UCLA, USCBA,

UTAH e Stanford) as redes militares de forma descentralizada (distribuída).

Após o período de tensão entre URSS e EUA, após década de 70, os EUA

permitiram que os pesquisadores da ARPANET interligassem outras faculdades para

abranger novas pesquisas e novos pesquisadores, inclusive ocorreram às primeiras

13

conexões internacionais. Foram desenvolvidas novas aplicações (FTP e e-mail) e o

tráfego aumenta consideravelmente o que resulta na saída da rede militar (crIou-se a

MILNET).

Sem a rede militar, a ARPANET pode crescer de forma livre, propiciando que

simples alunos tivessem acesso a rede.

Com o passar dos anos, o nome ARPANET deixa de ser utilizado, passa a ser

usado NSFNET, ocorre a abertura da rede para pessoas comuns e companhias. A

NSFNET muda o nome para INTERNET (1987).

Mais e mais pessoas tiveram acesso a esta rede, a qual hoje, interliga todas

as nações do mundo.

2.1 TECNOLOGIA

O envio de dados era feita através da tecnologia de pacotes, ou seja, a

informação era repartida em vários pacotes os quais poderiam ser enviados por

caminhos diferentes (rede roteável).

O que permitia o acesso de qualquer dispositivo de rede era a convenção de

um protocolo de comunicação, este protocolo foi chamado de INTERNET

PROTOCOL – IP.

O Internet Protocol é uma tecnologia aberta, regulamenta, a qual qualquer

pessoa tem acesso a sua estrutura e maneira de funcionamento. Desta forma,

diferentes empresas fabricantes de componentes de rede, implementaram esta nova

tecnologia em seus produtos propiciando que qualquer dispositivo de rede

(independente de marca ou modelo) capaz de compreender o novo protocolo

comunique-se com outro dispositivo via qualquer rede (inclusive a grande rede –

Internet).

14

2.2 INTERNET PROTOCOL – IP

O protocolo de internet é um conjunto de regras que estabelece como deve

ocorrer a troca de informações. Este conjunto de regras é acessível a qualquer

fabricante de dispositivos de rede, pois a intenção do protocolo é que equipamentos

de diferentes fabricantes possam comunicar-se através da rede IP.

Em analogia ao ser humano, podemos dizer que o ato da conversa segue um

protocolo, o qual inicia-se com uma apresentação “oi, olá ou tudo bem, como vai”,

continua com a troca de informação “assunto” e finaliza-se “tchau, até breve ou até

mais”.

Para existir a conectividade entre duas maquinas, utilizando o protocolo de

Internet, deve existir uma rede IP. A rede IP é estabelecida entre dispositivos de rede

que possuem configuração de endereço IP.

O IP é o elemento comum encontrado na Internet pública dos dias de hoje. É descrito no RFC 791 da IETF, que foi pela primeira vez publicado em Setembro de 1981. Este documento descreve o protocolo da camada de rede mais popular e atualmente em uso. Esta versão do protocolo é designada de versão 4, ou IPv4. (Wikipedia, 2011)

Figura 2- Formato do cabeçalho do IP

15

2.3 ENDEREÇO IP

A fim de identificarmos cada dispositivo de rede foi desenvolvido o endereço

IP, que é formado por um conjunto de quatro octetos binários.

187.5.128.108 = 10111011.00000101.10000000.01101100

O endereço IP tem o intuito de identificar especificamente um único

equipamento em uma rede, ou seja, um endereço IP pode ser disponibilizado para

apenas um equipamento de rede num dado espaço de tempo e como para existir a

comunicação na Internet é necessário possuir um endereço IP, dá-se o princípio do

rastreamento digital (via IP).

2.4 DISTRIBUIÇÃO DOS IPS NA INTERNET

Cada operadora de internet que está habilitada a disponibilizar acesso a

grande rede possui um range de IPs para disponibilizar aos seus clientes.

Como dito, o endereço IP é um endereço único para o momento, ou seja, o

computador que estiver ligado a Internet através de um determinado endereço IP as

14h:32m:54s do dia 5 de setembro de 2009, este será único, não existindo nenhuma

outra máquina com este mesmo endereço no mesmo momento.

As provedoras de serviços de Internet armazenam informações referentes à

data e hora de conexão de cada cliente. Este padrão de data e hora segue o padrão

GMT (Greenwich Mean Time), à hora de Greenwich.

2.4.1 Escassez do IP

Existem mais dispositivos que podem conectar-se a internet do que

endereços IPs disponíveis, sendo assim, foram criados algumas alternativas para

suprir esta necessidade.

16

As duas comuns são:

Endereçamento dinâmico e

Mascaramento de IP.

2.4.2 Endereçamento dinâmico

O endereçamento dinâmico ou 1IP DINÂMICO, surgiu devido ao fato que

alguns equipamentos não possuem a necessidade de permanecer conectados à

internet durante todo o tempo, mas sim, são ligados quando surgem determinadas

necessidades. Desta forma, as operadoras de Internet, fazem o rodízio dos IPs,

atribuindo IPs livres a medida que são solicitados.

2.4.3 Mascaramento IP

É a forma comum de compartilhamento do recurso da internet, geralmente,

utilizada em casas onde existe mais de um dispositivo que faz acesso a internet ou

em meios coorporativos.

O equipamento que se conecta a Internet é chamado de gateway. Este

equipamento possui duas ou mais placas de rede e faz o redirecionamento dos

pacotes entre a rede interna e a Internet (rede externa).

A quantidade de placas de rede deste equipamento é intimamente ligada a

quantidade de redes que serão ligadas à internet e a quantidade de 2links que serão

utilizadas.

Uma empresa que possui apenas um link de internet e apenas uma rede

interna utilizará um gateway com duas placas de rede. Onde a primeira placa de

1IP DINÂMICO – Endereço IP que pode ser modificado a cada nova conexão na internet.

2LINKS – Link de conectividade com a operador – meio de acesso a operadora para acesso na

internet.

17

rede é ligada ao modem, o qual possui conectividade com a operadora e

disponibiliza o acesso a internet. Esta placa de rede ligada ao modem receberá o IP

válido na internet, onde passará sua informação única e própria de 3MAC ADDRESS

(endereço MAC).

A outra placa de rede é conectada à rede local através de um dispositivo de

compartilhamento (4hub/switch). Desta forma, outros equipamentos de rede ligados

ao hub ou switch terão acesso ao gateway.

Atualmente, muitos modems fazem o trabalho de modulação de sinal (de

analógico para digital e vice-versa) e o trabalho de gateway de rede. Inclusive,

muitos modems já possuem dispositivos de compartilhamento de sinal em rede local

(switch acoplado).

Independente se o modem faz apenas a modulação ou também o trabalho de

gateway (compartilhamento da Internet), para o rastreamento digital, levam-se em

consideração duas cruciais informações disponibilizadas no protocolo IP, as quais

são:

ENDEREÇO IP

MAC ADDRESS

Como já dito, o endereço IP é o endereço do dispositivo de rede na rede, ou

seja, na Internet.

O MAC ADDRESS é a identificação única do dispositivo físico de rede (placa

de rede ou modem). O início do endereço MAC revela o fabricante do equipamento e

o restante a sua numeração, a qual é única.

Embora existam formas de alterarmos o MAC ADDRESS, geralmente,

3MAC ADDRESS – endereço físico único do dispositivo de rede.

4Hub ou Stwitch – dispositivo de rede que faz a interligação física de diversos dispositivos de rede.

18

nenhuma pessoa altera esta configuração.

Mesmo em casos que a informação de endereçamento físico (MAC

ADRRESS) é forjada, pouco é afetado na materialização da prova digital, tendo em

vista que a informação de endereçamento IP identificará a pessoa que contratou o

serviço de Internet, logo, através da investigação forense no computador, é possível

encontrar dados que comprovem algum delito ou crime digital.

Como é de conhecimento de muitos, existem algumas formas de acessar a

Internet através de outros equipamentos (ex.: sistemas de Proxy web – externos,

utilização de máquinas infectadas por vírus de computador, servidores em nuvem e

outros) o que dificulta o rastreamento do infrator, no entanto, o crescente aumento

da tecnologia no combate a vírus e a interpretação da lei atribuindo ao proprietário

do ponto de acesso à Internet a co-responsabilidade aos crimes efetuados através

de sua infra-estrutura, está diminuindo o não monitoramento e não cooperação. Já

ocorreram casos que empresas que fornecem serviços de navegação anônima (web

Proxy) forneceram os registros de utilização para identificar os criminosos virtuais.

19

3. DIREITO DIGITAL

Direito da informática é um campo do Direito que se propõe a estudar aspectos jurídicos do uso de computadores, com fundamentos no crescente desenvolvimento da Internet e na importância da tecnologia da informação e da informática nas relações jurídicas, sendo por isso, uma nova área do estudo do Direito.(PECK,2010, p.10)

Por ser uma nova área do estudo do direito, não existe uma legislação

específica para direito digital. Para punir criminosos virtuais, estão sendo utilizadas

analogias com a legislação existente.

Atualmente, no congresso nacional, tramitam várias propostas de leis que

podem auxiliar os juristas em suas decisões. No momento, o que existe, são

jurisprudências, que são decisões sobre determinado assunto e que são adotadas

por demais juristas para casos iguais ou semelhantes.

3.1 CRIMES ELETRÔNICOS

Entende-se por Crime Eletrônico ou Informático, qualquer tipo de crime que seja praticado ou provido através dos meios informáticos e/ou internet. Apesar da falta de uma legislação específica que trate sobre os crimes eletrônicos, quase que em sua maioria, eles são passíveis de qualificação penal perante a legislação vigente, uma vez que a título de exemplo, um crime de estelionato não deixa de ser estelionato por ter sido praticado com o advento da internet.( safernets 2011)

Pesquisa conduzida pela IBM aponta que 100% dos usuários temem

o cibercrime mais que delitos físicos. Relatório da IBM de 2006 prevê a evolução do Cyber Crime. Lucro faz cibercrime se estabelecer mundialmente.(SANTOS,2009, p.12)

A grande maioria dos atos criminosos é refletida no mundo material, logo,

difamação via meio comum ou eletrônico continua sendo difamação.

Alguns casos, como o caso de difamação via meio virtual, juristas entendem

que ocorre agravante, tendo em vista que uma informação inserida na Internet sai do

controle de quem inseriu. Inserir em páginas eletrônicas que “FULANO” é devedor

não possui o impacto de espalhar número limitado de folhetos ou difusão por grupos

de amigos. A informação inserida na Internet pode ser replicada por terceiro de

20

maneira exponencial. Sendo assim, em eventual ação, é possível adicionar como

co-autores qualquer pessoa que replicar a difamação.

Este mesmo princípio aplica-se a lei da pedofilia. Qualquer pessoa que

recebe imagens de pessoas que aparentem ter idade inferior a 18 anos não comete

crime, no entanto, se armazenar ou distribuir as imagens recebidas comete o crime

de pedofilia, sendo passivo de punições impostas pela lei.

3.1.1 Crimes (esfera criminal – código penal)

Crime, em termos jurídicos, é toda conduta típica, antijuridíca - ou ilícita - e culpável, praticada por um ser humano.Em um sentido vulgar, crime é um ato que viola uma norma moralNum sentido formal, crime é uma violação da lei penal incriminadora.No conceito material, crime é uma ação ou omissão que se proíbe e se procura evitar, ameaçando-a com pena, porque constitui ofensa (dano ou perigo) a um bem jurídico individual ou coletivo.(Wikipedia,2011)

Os crimes na esfera criminal são tratados por policiais através de inquéritos.

As investigações (digitais ou não) são gerenciadas por policiais e não por perito(s)

determinado por representante legal (juiz).

Para existir um crime eletrônico necessita existir uma vítima. Para tanto, a

vítima precisa registrar uma denúncia (B. O. - boletim de ocorrência). Para existir a

denúncia precisa existir a correta analogia do crime eletrônico com o crime no

mundo físico. Exemplo: calúnia, injúria e difamação – código penal artigos 138, 139,

140, ameaça e extorsão – código penal artigo 158, estelionato (fraude eletrônica) –

código penal artigo 171.

Existem alguns tipos de infrações que não são tipificados na esfera criminal,

mas sim na esfera civil (delitos eletrônicos).

21

3.1.1.1 Delegacia especializada

Em algumas capitais do Brasil já existem delegacias especializadas em

crimes eletrônicos, no entanto, atualmente muitas delas não possuem equipamentos

especializados para análise forense. Além disso, a ênfase maior é para CRIMES e

não DELITOS eletrônicos.

Algumas delegacias não atendem ao público, apenas fornecem suporte e/ou

policiais especializados para outras delegacias quando os delitos são no “universo

virtual”.

Exemplo: DICAT - DF

A DICAT é uma Divisão especializada em crimes tecnológicos que tem como atribuição assessorar as demais unidades da Polícia Civil do Distrito Federal. Como Divisão, a DICAT não atende ao público, não registra ocorrências nem instaura inquéritos policiais. A finalidade da DICAT é prestar apoio às Delegacias de Polícia do DF nas investigações de crimes que envolvam o uso de alta tecnologia, como computadores e Internet, agindo sob provocação das Delegacias que necessitarem de auxílio no "universo virtual", por exemplo. Ou seja: qualquer Delegacia do Distrito Federal poderá fazer o Registro da Ocorrência, investigar, e qualquer dificuldade ou necessidade de um apoio mais técnico, solicita auxílio à DICAT.

Desse modo, a vítima de crime cibernético no Distrito Federal pode procurar qualquer uma das Delegacias de Polícia (as não especializadas) para efetuar registro da ocorrência.

Por fim, a DICAT recebe denúncias de crimes cibernéticos (que são repassadas aos órgãos competentes) e presta esclarecimentos sobre condutas a serem adotadas por vítimas de crimes cibernéticos no DF, quando informados ou solicitados por e-mail.(safernet,2011)

No entanto, algumas alianças entre empresas de software e policia

especializada para combater crimes específicos. Em 2006, na 5ICCyber, foi realizada

a apresentação de método de investigação pró-ativo de combate à pedofilia no

Brasil. Trata-se do Sistema de Rastreamento de Exploração Infantil (CETS - Child

Exploitation Tracking System) – fruto de uma aliança da Microsoft do Brasil e Polícia

5 ICCYBER – evento tecnológico onde os representantes de empresas de software/hardware os as

próprias empresas divulgam suas evoluções nas áreas de segurança e investigação forense.

22

Federal.

3.1.1.2 Policiais

Embora existam diversos investimentos por parte do governo na preparação

de policiais para investigação de crimes virtuais, ainda são encontrados policiais com

pouco preparo ou pouco conhecimento na área de informática.

Por ser a área de informática considera “jovem”, ou seja, estar em constante

evolução, é difícil manter policiais atualizados e bem preparados. Além disso, para

oferecer cursos ou equipamentos para as delegacias e policiais é necessário romper

barreiras burocráticas, vencer licitações e outros.

3.1.2 Delitos (esfera civil – código civil)

A bem da verdade, no que tange à ação civil ex delicto, o crime precisa existir em tese para autorizar a propositura da ação de reparação, ou seja, havendo mero indício de culpa, sem a exigência, sequer, de instauração de inquérito policial, independendo da prescrição criminal, inclusive, de absolvição em processo crime.(boletimjuridico,2011)

Ocorre delito civil quando não requer instauração de inquérito policial para

apurar os fatos, ou seja, os danos causados foram apenas materiais, logo, a ação

civil visa restaurar o dano causado.

Vale destacar que algumas ações civis geram ações criminais, como é o caso

da ação de calúnia, injúria e difamação, onde o autor da ação alega que sofreu

danos morais e/ou materiais. Este tipo de ação, eventualmente, possui o dolo

necessário para ação criminal.

Em sua maioria, crimes eletrônicos iniciam através de ações civis, pois a

Internet, num primeiro momento possui apenas um número IP sem identificação

pessoal.

23

Desta forma, visando a rastreamento digital do infrator, pessoas que sofreram

a infração entram na esfera civil solicitando identificação dos culpados. Para tanto,

são acionados peritos oficiais (determinados pelo representante legal – juiz) para

que o mesmo efetue análise das evidências.

A parte proponente da ação pode possuir auxiliar técnico para a ação. O

auxiliar técnico seria a pessoa indicada pela parte para discutir assuntos de mérito

técnico com o perito oficial.

A fim de retirar o eventual infrator do anonimato, existem algumas petições

que são comumente utilizadas. As petições são solicitações feitas ao juiz para que

ele determine a medidas cautelares. Um exemplo é a ação de quebra de sigilo, a

qual pode ser direcionada há operadoras de internet, empresas de e-mail gratuitos,

empresas de serviço de hospedagem de páginas eletrônicas (blogs, fóruns e

outras).

3.1.2.1 Petição - medidas cautelares

Medida cautelar é o procedimento judicial que visa prevenir, conservar, defender ou assegurar a eficácia de um direito.

É um ato de precaução ou um ato de prevenção promovido no judiciário, onde o juiz pode autorizar quando for manifesta a gravidade, quando for claramente comprovado um risco de lesão de qualquer natureza, ou na hipótese de ser demonstrada a existência de motivo justo, amparado legalmente.

As Medidas Cautelares poderão ser "Preparatórias", quando são requeridas antes da propositura do processo principal, ou ainda "Incidentes", quando são requeridas depois de proposto o processo principal.

Quando a Medida de Ação Cautelar é proposta em caráter preparatório haverá um prazo para que o Autor promova a ação principal, sob pena de ficar sem efeito a providência deferida pelo Juiz.(PECK,2010,p. 30)

A Internet ou dispositivos de armazenamento digital são passivos de

modificações, logo, provas existentes podem ser removidas, adulteradas ou

corrompidas. Visando preservar possíveis provas existentes no meio eletrônico são

solicitadas medidas cautelares para quebra de sigilo ou buscas e apreensão de

24

dados e/ou equipamentos.

3.1.2.1.1 Quebra de sigilo

Medida cautelar de quebra de sigilo são solicitações por parte da lei, para que

as empresas particulares quebrem seu contrato de sigilo de informação e identifique

o usuário que fez determinada conexão ou inseriu determinada informação em data

e hora específicas. Em alguns casos, para comprovar o delito recorrente, pede-se o

histórico de inserções ou conexões.

Exemplos de caso onde deve utilizar a medida cautelar para quebra de sigilo:

A) E-mails contendo injúria, calúnias ou difamações; com possibilidade de

roubo de informação; contendo informações sigilosas; contendo vírus que causem

prejuízos ao empreendimento corporativo; redirecionamentos ilegais para páginas

falsas com o intuito de estelionato; contendo ameaças e outras.

Utiliza-se a quebra de sigilo para identificar o IP que fez o envio de e-mail e

quais são os dados cadastrais da conta de e-mail, alem dos históricos de acessos.

B) Inserções de dados em sites públicos (blogs, fórum ou similares) contendo

informações sigilosas de empresas, fotos ou qualquer tipo de informação que ossa

causar prejuízo moral ou financeiro a terceiros.

Utiliza-se a quebra de sigilo para verificar o IP e os dados cadastrais da

pessoa que inseriu os dados.

C) Utilizada ações de quebra de sigilo para que operadora de serviços de

Internet (provedoras de acesso) forneçam o endereço físico onde esta instalado o

ponto de acesso que, em data e hora específica, trafegava na Internet com IP

25

determinado.

3.1.2.1.2 Busca e apreensão de equipamentos e/ou dados

A busca e apreensão de dados e/ou equipamentos se faz necessária após

identificação do local onde o crime ocorreu. Em muitos casos, quando é dentro de

shoppings, restaurantes, cyber cafés ou similares, onde não são fornecidos pelos

estabelecimentos dispositivos de acesso há Internet (computadores), mas sim um

ponto de conexão (sem fio ou não), a busca e apreensão são destinadas para fitas

de vigilância e servidores que fazem a autenticação do acesso a Internet. Muitas

vezes, estes servidores de controle são inexistentes, causando transtornos para

quem disponibilizou o acesso a Internet, visto que o rastreamento tem seu fim no

ponto de acesso à Internet e não ao computador.

No caso da inexistência de recursos tecnológicos (logs) que identificariam o

real infrator, o responsável pelo ponto de acesso à Internet poderá ser acusado

como co-responsável pela infração, tendo em vista, o responsável teria o meio de

efetuar o controle de acesso, porém, não o fez.

Infelizmente, é comum encontrarmos acessos via rede sem fio abertos ou

com segurança falha. Estes pontos de acesso podem ser alvos de oportunistas para

efetuarem crimes eletrônicos sem serem totalmente rastreados.

3.1.3 Impactos quando não há logs de registro

Embora no Brasil não exista lei federal que obrigue o responsável pela

conexão na Internet manter histórico dos acessos por usuário, em muitos casos,

empresas ou pessoas físicas são apontados como culpados por fornecerem o meio

de infração sem o devido controle do meio.

26

As motivações para exercer o controle em São Paulo certamente não são as mesmas dos Estados Unidos ou da China, entretanto a fiscalização se faz necessária, pois a linha que separa o acesso aos games de outros conteúdos impróprios está ao alcance das mãos, ou melhor, do mouse. Exemplo concreto aconteceu em Minas, onde uma casa foi multada em R$ 6 mil, por permitir que menores assistissem vídeos pornográficos. Há relatos, inclusive, de clonagem de cartões dentro deste tipo de estabelecimento.

(justicasp.gov.br,2011)

No estado de São Paulo, existem algumas leis voltadas para o meio

eletrônico. Empresas que fornecem conexões à internet (lan house, cyber cafés,

cyber offices e outros) são obrigadas, por lei estadual, a manter histórico (com

cadastro pessoal – RG, CPF, endereço de e-mail e endereço real) das pessoas que

utilizaram seus serviços. Em caso de menores de 18 anos, o acesso deve ser

monitorado para que não ocorram infrações contra o menor ou adolescente.

4. FORENSE COMPUTACIONAL

A prova eletrônica é hábil a comprovar a ocorrência de um fato e, se colhida corretamente, faz prova mais eficaz do que aquela colhida por outro meio. Para o correto uso e admissibilidade da prova eletrônica em Juízo, devem ser observados os padrões técnicos de manuseio, coleta e guarda. As provas eletrônicas somente estarão a salvo de serem declaradas inválidas, caso sejam mantidas suas integridade e autenticidade no procedimento de captura de evidências. (PECK,2010, p. 60)

A forense computacional é recente e existem poucos trabalhos divulgados

(em especial, no Brasil). Mas pesquisas neste sentido estão em constante crescente,

pois a impunidade digital obriga pesquisadores, policiais e profissionais se

aprimorarem dia-a-dia.

De acordo com Freitas (2006) a forense computacional é o ramo da

criminalística que compreende a aquisição, prevenção, restauração e análise de

evidências computacionais, quer sejam os componentes físicos ou dados que foram

processados eletronicamente e armazenados em mídias computacionais.

Um modelo proposto por Ubrich e Valle (2005), que procede de uma estrutura

27

hierárquica de duas classes multiníveis (aspectos legais e aspectos técnicos).

Na classe dos aspectos legais encontram-se as exigências legais, baseadas

na área de Direito, às quais devem estar sujeitos os procedimentos periciais. Já a

classe dos aspectos técnicos corresponde às questões práticas da área

computacional.

4.1 ASPECTO LEGAIS

O aspecto legal pode ter duas vertentes, civil e criminal (penal). Quando o

crime digital é considerado um delito e o causador deve ser punido com multa, o

processo ocorre na esfera civil. Quando o crime digital é considerado crime e o

causador deve ter seu direito de liberdade restrito, ele ocorre na esfera penal.

Em sua maioria, crimes eletrônicos iniciam na esfera civil e depois são

enviados para a esfera penal.

Pedidos de quebra de sigilo ou coleta antecipada de provas são medidas

cautelares (liminares) deferidas por juízes da esfera civil.

Em caso penal, os pedidos de coleta antecipada de provas são feitos por

policiais e não por peritos oficiais.

4.2 ASPECTO TÉCNICO

Os aspectos técnicos, como: forma de coleta, forma de preservação, análise

das informações e análise da forma que o crime ocorreu são feitas por profissionais

especializados.

Como a área de informática é muito extensa, dependendo do caso, exige-se

mais de um profissional qualificado.

Geralmente, não são recomendados para exercer a função de auxiliares

28

técnicos profissionais generalistas. O correto é analisar o caso e contratar auxiliar

técnico hábil para efetuar a análise do caso.

Um profissional pouco capacitado pode interferir de forma negativa no caso,

deixando provas fundamentais de lado e errando na análise do crime, o que afeta

diretamente o embasamento jurídico.

Já ocorreram casos que o autor da ação virou réu, pois os fatos não foram

comprovados, logo, julgado improcedente. O réu da ação anterior moveu ação civil

contra o antigo autor, solicitando reparos por dano morais e materiais.

4.3 METODOLOGIA DE ANÁLISE DO CRIME DIGITAL

Antes de buscarmos as evidências, devemos analisar como o crime deve ter

ocorrido, ou seja, analisar o incidente. Se o computador foi invadido, coletar os logs

e analisar a forma que a invasão ocorreu, a fim de que nenhum dado importante

possa ser descartado.

Caso algum arquivo seja furtado e postado em páginas, antes de qualquer

ação, deve ser analisado se o arquivo postado foi adulterado ou possui qualquer

registro que possa ser útil.

As etapas de uma investigação forense pode ser separada conforme abaixo:

Identificação

o Identificar o objeto do exame.

o Selecionar as evidências a ser periciado.

Coleta

o Mapeamento do que foi coletado, os atores envolvidos, datas e locais.

o Adequada manipulação das evidências.

o Proteger.

29

Preservação das evidências

o Cópia

o Metodologia de trabalho

o Utilizar tecnologias para ganho de tempo.

Análise

o Conhecimento do perito.

o Uso de softwares especializados.

Apresentação

o Laudo do pericial do que foi encontrado na análise (relatório).

o Destinatário – linguagem adotada – objetivo

o Apresentação padronizada

4.4 IDENTIFICAÇÃO DAS EVIDÊNCIAS

A metodologia de identificação deve conter todas as informações pertinentes

ao local, a data e ao tipo de hardware, software ou dados encontrados.

É importante catalogar, através de imagem (desenho – croqui, foto ou vídeo),

todo o ambiente e demonstrar através de fluxograma cronológico cada objeto

encontrado durante a apreensão ou cópia.

Vale destacar que todo o procedimento deve ser acompanhado pelo(s)

oficial(is) de justiça e pelo suposto infrator ou responsável legal.

Independente do ambiente (corporativo ou residencial) é obrigação do perito

isolar o perímetro, ou seja, deve ser solicitado (através do oficial de justiça) que seja

fornecido acesso total a tudo e que ninguém mexa no ambiente.

Em alguns casos, onde a diligência de busca e apreensão é para a

informação e não para o hardware, o infrator tenta corromper dados ou dificultar o

30

procedimento desligando a chave geral de energia, ocultando pequenos dispositivos

de armazenamento entre outros, desta forma, é importante que o perito possua

ferramentas (software ou hardwares) que supra eventuais problemas energéticos,

necessidades de extração de dados de memórias voláteis, falhas de hardware ou

extração de dados de equipamentos móveis (celulares, pendrive e outros).

4.5 COLETA DAS EVIDÊNCIAS

A metodologia de aquisição de evidência deve ser cuidadosa e transparente

para as partes envolvidas.

Todo tipo de dispositivo eletrônico pode conter evidência, logo, todo cuidado

básico (com estática, tensão e etc) deve ser considerado.

Outro cuidado deve ser na preservação da informação, a integridade da cópia

e o não repúdio da informação. Sendo assim, toda cópia ou extração de dados não

deve ser feita sem algum equipamento (hardware) que garanta a integridade do

dispositivo principal. Equipamentos que garantem a integridade do dispositivo

principal são chamados de write blocker (bloqueadores de escrita). Estes

dispositivos permitem apenas que sejam feitas cópia binárias ou extrações de

dados, garantindo através de hardware bloqueador de escrita que nenhum dado foi

implantado ou modificado.

A cada coleta, registros fotográficos devem ser feitos, em caso de apreensão

de equipamentos físicos (hardware), as imagens devem ser feitas antes e após o

procedimento de lacre.

Em caso de apreensão de dados (informações ou programadas), deve-se

fotografar o procedimento inicial (montagem do ambiente com o dispotivos write

blocker), a processo de cópia (demonstrando a não interferência humana no

31

hardware e após (a fim de demonstrar que permaneceu funcionando, logo, não foi

danificado pelo perito).

Neste último caso, cópia de dados, é um dever do perito que seja gerado

documento que comprove que o arquivo copiado é o mesmo encontrado no

equipamento. Para isto, o perito deve ter conhecimento de cópia binária e/ou cálculo

comparativo de arquivos.

Para facilitar o trabalho forense existe um equipamento que já possui um write

blocker (preserva a evidência), faz a cópia binária da informação e, no término do

procedimento, gera um cálculo matemático (6hash) do dispositivo de origem e do

dispositivo de destino. Se o cálculo possuir o mesmo resultado para ambos os

dispositivos, a integridade da cópia estará garantida. Este equipamento é chamado

de duplicador (duplicators).

4.5.1 Incidente em ambiente corporativo

Caso o incidente ocorra dentro do ambiente corporativo e a resultante do caso

seja a demissão do funcionário por justa causa seguido ou não de processo civil ou

criminal, a coleta da evidência, obrigatoriamente, deve ser feita na presença do

funcionário e de um tabelião. Desta forma, além do funcionário não poder alegar que

não participou da coleta, logo, ela pode ter sido adulterada, existirá a presença do

tabelião, gerando uma ata notarial dos procedimentos efetuados. A ata notarial é um

documento que possui fé pública e pode ser usado como prova judicial.

4.5.2 Incidente que necessite de diligência

6 Informação HASH – cálculo matemático. Se dois arquivos ou conteúdos possuírem o mesmo cálculo

hash, significa que os arquivos ou conteúdos são idênticos. Existem duas metodologias de cálculos HASH, o MD5, o qual, em raríssimos casos ocorre – para arquivos diferentes – resultados iguais – apresentando falsos positivos, e o SHA1, método mais confiável que o MD5.

32

Caso o incidente gere diligência na casa de terceiro para levantamento

antecipado de provas, toda a diligência deve ser feita diretamente pelo(s) oficial(is)

de justiça e perito(s) oficial(is) (em caso de ação civil) ou por perito(s) policial(is) (em

caso de ação penal).

Os auxiliares técnicos das partes apenas observam os procedimentos dos

perito(s) oficial(is) ou policial(is), qualquer interferência poderá causar dúvidas

quanto ao procedimento.ou idoneidade.

Diligências da esfera civil, além do perito é essencial oficial de justiça, o qual

estará com o mando judicial expedido pelo juiz. O oficial de justiça é o representante

do juiz in loco. Caso ocorra resistência na coleta das informações o oficial poderá

solicitar força policial.

4.6 PREVENÇÃO DAS EVIDÊNCIAS

A preservação das evidências deve ocorrer para garantir a integridade do

dado, ou seja, antes de ocorrer qualquer análise da evidência uma cópia binária

deve existir.

É altamente recomendado que sejam efetuadas duas cópias binárias, uma

para backup e outra para análise.

A cópia binária consiste em efetuar cópia de todos os bits do(s) dispositivo(s)

de armazenamento. A cópia binária consiste em copiar todas as alocações binárias

do dispositivo de armazenamento, independente se são dados ou espaços vazios.

Deste modo, se for considerar a cópia de HDs, o dispositivo que receberá a cópia

deve ser do mesmo tamanho ou maior. Recomenda-se maior, pois há mínima

divergência entre quantidades de 7bits para dispositivos com capacidades, na teoria,

7 Bits – menor partícula de um dado

33

iguais. Esta mínima diferença pode ocasionar erro na cópia binária.

Deve-se considerar a possibilidade do sistema operacional acessar o dado e

modificar a última data de acesso, destruindo a prova. Para evitar, em toda cópia

deve ser utilizado o equipamento write blocker.

Alguns peritos utilizam write blockers e softwares que efetuam cópias

binárias. Esta junção faz o mesmo trabalho de um duplicador. Obviamente que cópia

através de software é mais lento que a cópia efetuada por duplicador, no entanto, a

integridade ainda é garantida através do cálculo hash.

Em resumo, os três principais pontos que garantem a integridade da

materialização da prova são:

Uso do write blocker: Utilizado para garantir que a evidencia estava em

estado imutável durante a cópia binária.

A cópia binária: Garante que é executado a cópia completa de todos os

bits da evidência.

Cálculo hash: Baseando-se nos bits da evidência e da cópia obtêm-se

o mesmo resultado, o que garante que ambas são idênticas no

conteúdo binário, dado e informação.

Criada a duplicação da evidencia, resta armazená-la de forma adequada,

preservando a evidência original e cópia de segurança, trabalhando na segunda

cópia.

Em muitos casos da esfera civil, o fórum civil ou o perito oficial fica como fiel

depositário da evidência principal. Caso o fórum civil não considere que possua um

ambiente competente para a preservação e o perito oficial não concorde em possuir

tal responsabilidade, o juiz poderá determinar que a parte autora arque com

despesas de armazenamento especialista de terceiros.

34

Na esfera penal, quem armazena os dados é a própria policia especializada

ou sua empresa terceira ganhadora da licitação.

A cópia de segurança da evidência é armazenada pelo perito examinador,

pois caso precise gerar nova cópia para análise, terá fácil acesso a evidência.

4.7 ANÁLISE DE EVIDÊNCIAS

Nesta parte, considera-se a expertise do perito examinador.

4.7.1 Perito oficial civil

Na esfera civil, os auxiliares técnicos orientam os advogados para enviar

questionamentos (quesitos) para orientar a busca das informações pelo perito. Após

o envio de quesitos iniciais, caso as respostas não estejam conforme o esperado é

possível as partes envolvidas apresentarem quesitos complementares ou

esclarecimentos referentes às respostas dos peritos.

É importante salientar que o perito oficial na esfera civil é remunerado. Quem

faz o pagamento da remuneração inicial (para a diligência e resposta aos quesitos

iniciais do autor) é o autor da ação. O perito oficial pode solicitar novo complemento

de remuneração a cada apresentação de quesitos complementares ou

esclarecimentos. Quem faz o pagamento da remuneração suplementar é quem

solicita novos quesitos ou esclarecimentos.

Existem casos, onde o autor comprova que não possui recursos para

remunerar o perito, o juiz solicita ao perito que não faça cobranças pelo seu trabalho.

4.7.2 Perito policial

Na esfera criminal, quem apresenta os quesitos é o procurador (a união, o

estado ou o município é o autor), podendo a parte acusada questionar as respostas

35

do perito policial e solicitar quesitos complementares ou esclarecimentos. O perito

policial, além de apresentar o laudo, é testemunha de acusação, pois presenciou a

materialização das provas científicas.

Neste caso, não há cobrança de remuneração por parte do perito policial, pois

o mesmo é remunerado pelo estado.

4.7.3 Auxiliares técnicos

Em qualquer tipo de ação (civil ou criminal) é dever do auxiliar técnico solicitar

sua cópia binária para apresentar o seu laudo.

4.7.4 Metodologia de análise

Independente de qual expert faça a análise (policial, oficial ou auxiliar), deve

ser utilizada ferramenta forense com comprovada eficiência e boa reputação. O

dispositivo de análise deve ser a cópia (de preferência a segunda cópia).

Vale destacar que em caso de ferramenta proprietária, quem fará a utilização,

obrigatoriamente, precisará possuir a licença da ferramenta (software ou hardware).

Caso não possua (hardware ou software pirata), qualquer prova adquirida através

desta ferramenta será ser descartada, tendo em vista que nenhuma prova poderá

ser adquirida através de ilegalidade.

Em caso de utilização de ferramentas gratuitas deve ser considerada a

credibilidade do distribuidor.

A Microsoft possui um pequeno conjunto de aplicativos que podem auxiliar em

investigações forenses, este conjunto de aplicativos é distribuído gratuitamente e é

executado em sistema operacional MS-DOS.

Atualmente, existem várias ferramentas de análise forense, inclusive de

36

análise em rede. As mais conhecidas são: Encase, Forense Toolkit (FTK) e Helix.

A metodologia de análise variará de caso para caso, no entanto, em todos os

casos alguns procedimentos são fundamentais.

4.7.4.1 Técnicas de análise

A correta compreensão do caso é o ponto chave para a análise forense.

Em sua maioria, ferramentas forenses necessitam indexar os dispositivos de

armazenamento. Este processo é demorado e varia de ferramenta para ferramenta e

de acordo com o recurso de hardware disponível. É comum determinada ferramenta

encontrar evidencias diferentes de outra ferramenta, mas nenhuma poderá, em um

mesmo setor de armazenamento, encontrar dado diferente.

4.7.4.1.1 Cronologia

Faz parte das boas práticas identificar a cronologia dos fatos e dos arquivos,

comparando dados informados no processo com data/hora de criação, data/hora de

acesso e data/hora de alteração dos arquivos. Destaca-se que existem programas

que permitem adulterar estas informações, portanto, estabelecer fluxograma

cronológico dos fatos expostos, poderá identificar eventuais adulterações.

4.7.4.1.2 Busca por arquivos

Se a busca for por arquivos copiados de forma ilegal, todas as datas, horas,

hash, metadados devem ser considerados.

Dados sobre dados. Metadados descreve como, quando e por quem um determinado conjunto de dados foi coletada, e como os dados são formatados.(Webopedia,2011)

Nestes casos, os cálculos hash servirão para comprovar que o arquivo

encontrado na evidência é o mesmo arquivo copiado de forma ilegal.

37

O metadados (metadata) traz informações sobre o arquivo. No caso de

fotos/vídeos, o metadados revela informações (número de série, marca, modelo,

data e hora) do dispositivo que capturou as imagens.

Em caso de adulteração, o cálculo hash do arquivo não servirá, pois não será

o mesmo, portanto, o cálculo hash deve ser feito a partir de porções do conteúdo.

Caso não seja identificado porções exatamente iguais, as analogias deve ser feita

através da interpretação do perito (especialmente em casos de plágios).

No caso de adulteração de imagens é verificado as tonalidades dos 8pixels,

composição, sobreposição, estrutura dos pixels entre outras características.

4.7.4.1.3 Buscas através de conteúdos

Em sua maioria, as buscas são feitas por palavras chaves, as quais são

buscadas no conteúdo dos arquivos, espaços danificados ou “livres”. Portanto, listas

de palavras devem ser cuidadosamente elaboras de acordo com o entendimento do

caso.

Se a busca for por desvios monetários, devem ser utilizados o recurso de

expressões regulares, onde podem ser criados padrões ($$$.$$$.$$$.$$$.$$$.$$).

Estes padrões são pesquisados no conteúdo do arquivo, podendo trazer um menor

número de falsos positivos.

4.7.4.1.4 Buscas através de alocações indefinidas, danificadas ou “livres”

As ferramentas forenses também possuem o recurso de buscarem

informações (expressões regulares, palavras chaves e outros) em espaços

indefinidos dentro do dispositivo de armazenamento, ou seja, setores não

8 Pixel – menor partícula da imagem.

38

identificados como arquivos podem conter informações importantes (trechos e e-

mails, documentos, páginas eletrônicas, partes de imagens, programas e outros),

este recurso de busca informa o setor onde a informação está armazenada, logo,

comprovada de existência. Geralmente, estes arquivos não possuem data e hora

identificadas, mas através da cronologia de fatos e arquivos semelhantes é possível

aproximar sua cronologia.

Em certo caso o acusado inseriu informações de terceiros em site

administrado em nuvem, logo, a comprovação do acesso deu-se através de

conteúdo localizado, via expressão regular para data e hora (DD/MM/AAAA

HH:MM:SS) em espaço não identificado. O conteúdo identificado foi à página

eletrônica que é exibida após a confirmação de usuário e senha de administração

(logon).

Há também o recurso de buscas hexadecimais e binárias, podendo então,

serem gerados padrões para busca ou análises em setores danificados.

4.7.4.1.5 Organização

Faz parte das boas práticas criar documento cronológico de análise, desta

forma, na elaboração do laudo, será possível identificar qual o momento (data/hora)

que informações importantes foram localizadas.

Em análise de incidentes (invasão de servidores, ataques externos e etc) a

investigação forense inicia-se internamente, pelo corpo técnico da empresa, logo,

anotações deste nível demonstra o foco da investigação e a periodicidade do

incidente.

Em perícias, estas anotações demonstram o raciocínio do expert, sendo

assim, possível identificar se sua metodologia ou foco de investigação mudou de

39

acordo com algum fato novo encontrado.

4.7.5 Análise de evidência não esperadas

Em algumas análises ocorre a busca por determinado delito ou crime, mas

encontra-se outro(s) delito(s) ou crime(s). O perito tem a obrigação moral de analisar

e informar ao juiz as novas evidências.

Exemplo: O perito está analisando um caso de fraude bancária dentro de uma

empresa (ação civil que poderá originar em uma criminal). Durante a análise é

localiza imagens de pessoa(s) com idade aparente inferior a 18 (dezoito) anos. O

perito deve investigar se o dispositivo de armazenamento possui outras imagens,

conversas eletrônicas, histórico de visitas a páginas de internet entre outras análises

que comprovem a pedofilia e, em seguida, comunicar o juiz sobre a existência de um

possível delito ou crime. Em caso de eventual dúvida, o juiz também deve ser

notificado, tendo em vista que sempre será o representante da lei que determinará

se haverá necessidade de inquérito policial.

4.8 ELABORAÇÃO DO LAUDO

O laudo em si é um relatório de todas as evidências, informações, vídeos,

fotos e outros dados catalogados.

Para a elaboração do laudo, algumas práticas são adotadas:

Formato não técnico. Quem irá interpretar o laudo, geralmente, não

possui conhecimento técnico, logo, sua compreensão está intimamente

ligada com a linguagem utilizada em sua construção.

Auto explicativo

Faz uso de:

40

o Figuras explicativas,

o Desenhos – croquis de ambientes,

o Fotos

o Vídeos e

o Fluxogramas (se possível, com cronologia).

O laudo técnico é um documento, logo, precisa demonstrar qual é o seu foco,

seu objeto, ou seja, uma conclusão em seu término. No entanto, não é usual utilizar

afirmações que imponham culpa a qualquer uma das partes.

A conclusão não deve ser feita de forma taxativa, como:

“Foi comprovado à cópia ilegal de informação pela parte ré” ou

“Foi comprovada a pedofilia”.

Quem faz tais afirmações é o advogado de acusação ou o juiz em seu

veredicto.

As afirmações usuais seriam:

“No dispositivo XYZ analisado em DD/MM/AAAA HH:MM foram

encontrados arquivos (semelhantes, iguais, de mesmo conteúdo, de

conteúdo semelhantes ou outro – depende do caso), os quais é

alegado que pertence a parte autora.”

“No dispositivo XYZ analisado em DD/MM/AAAA HH:MM foram

encontradas imagens de pessoas com aparência inferior a 18 (dezoito)

anos.”

41

Por fim, o laudo deve possuir um padrão de escrita, explicação e

apresentação.

O laudo técnico é um documento que deve conter data, hora, local e

assinatura do seu criador (o perito examinador).

5. DESAFIOS DA PERICIA FORENSE COMPUTACIONAL

Embora existam diversos avanças tecnológicos e na legislação, ainda existem

algumas divergências, como por exemplo:

5.1 DISPOSITIVOS DE ARMAZENAMENTO CRIPTOGRAFADO E SENHAS

É de conhecimento que a criptografia é uma técnica utilizada para embaralhar

dados, logo, foi criada para que determinado dado não seja visualizado por pessoas

não autorizadas.

As senhas, também foram criadas para proteger informações, não permitindo

acessos não autorizados.

No entanto, e se um infrator estiver escondendo dados através de senhas e

de dispositivo criptografado?

Sabe-se que a legislação brasileira não obriga o infrator a construir provas

contra si, logo, não são obrigados a fornecerem senhas ou acessos a dispositivos

criptografas.

Esta lei, torna-se um empecilho para a aplicação de outras leis, tendo em

vista que senhas geradas conforme as normas de segurança ou criptografias acima

de 256bits são praticamente impossíveis de serem identificadas.

5.2 CLOUD COMPUTING

42

Esta tecnologia, computação em nuvem, deixa na Internet todos os dados.

Portanto, em caso de abuso legal, qual legislação será a vigente, visto que muitos

dados não ficam no Brasil. Qual a jurisdição para aplicação da lei? Como obter

dados de servidores onde as empresas gestoras não estão sob lei nacional?

Tentar punir um infrator que está no Brasil administrando servidor na china é

difícil, pois ele não precisará fornecer as senhas de acesso e as medidas cautelares

não terão efeito contra uma empresa que tem seus servidores em território chinês e

apenas disponibiliza acesso via Internet, logo, os dados só serão obtidos via

cooperação. No entanto, se não houver cooperação, não há dados.

5.3 SENHAS DE SOFTWARE OU SISTEMAS OPERACIONAIS

A cada momento, surgem novos sistemas operacionais ou alteram-se

sistemas existentes, obrigando as empresas de software forense a desenvolverem

ferramentas para cada tipo de sistema.

5.4 AUMENTO DOS DADOS

Devido ao aumento da tecnologia para suportar o aumento da quantidade de

dados, a tecnologia forense não evoluiu na mesma velocidade, logo, é simples e

rápido gerar dados e armazenar em dispositivos cada vez maiores. No entanto, a

análise de todo este volume de informação ainda é demorado e lento pelos

softwares e profissionais da área.

6. EXEMPLO DE RASTREAMENTO DIGITAL

6.1 O CASO

Em página eletrônica foram encontradas foto de produto em desenvolvimento,

43

logo, ainda não divulgado ao público, sendo considerado segredo industrial. A foto

foi postada por usuário da página eletrônica (fórum de discussão).

6.2 IDENTIFICAÇÃO DOS RASTROS DIGITAIS

6.2.1 Identificar responsável pelo fórum

De forma discreta, sem mencionar qualquer informação sobre o possível

delito, o auxiliar técnico ou advogado da empresa, deve identificar quem possui os

registros (históricos, logs de IP e dados cadastrais) de cada membro que envia

informações (posts). Se é a empresa que fornece o serviço de fórum ou o

administrador do fórum.

Também é analisado o funcionamento do fórum:

A forma de cadastro (se exige e-mail verdadeiro ou não)

Método de envio de imagem (se sofre adulteração ou não)

Entre outras análises técnicas

6.2.2 Materializar a existência da foto

O auxiliar técnico ou advogado(s) da empresa deve entrar em contato com

um tabelião e solicitar a produção de ata notarial, a fim de possuir um documento

com fé pública, que em determinado momento, é possível visualizar, através de

página eletrônica determinada, informações contendo segredo industrial de empresa

proprietária. Neste ato, se necessário, é feito o download da imagem e exibido as

informações de metadados e efetuado o cálculo hash.

6.2.3 Identificação de endereço IP do POST

A empresa lesada pela divulgação de segredo industrial solicita ao juiz,

44

medida cautelar para quebra de sigilo contra o administrador ou empresa que

administra o fórum de discussão com o intuito de possuir os dados cadastrais e o

endereço IP (com data/hora GMT de inserção e, se possível, MAC ADDRESS de

conexão) do responsável pelo envio da foto contida no POST especificado.

Neste momento, caso o método de envio adultere a foto e o administrador

mantenha cópia dos originais enviados (ou log), pode-se solicitar o log do arquivo

verdadeiro enviado ou o próprio arquivo.

6.2.4 Identificação dos endereços IPs do e-mail cadastrado

De acordo com os dados fornecidos pelo administrador do fórum e se o e-mail

de cadastro for verdadeiro, a empresa autora poderá solicitar ao juiz, nova medida

cautelar para quebra de sigilo a fim de que a detentora do domínio do e-mail

(gratuito ou não) informe quais os dados de cadastro pertinentes ao usuário de e-

mail e quais os históricos de acesso (se possível, a partir do cadastro), fornecendo o

endereço IP (GMT) e endereço físico de conexão (MAC ADDRESS).

6.2.5 Identificação física do endereço IP

Com o(s) endereço(s) IP(s), data/hora (GMT) e através de página eletrônica

especializada em identificar gratuitamente que endereços IPs pertencem a qual

operadora, solicita-se ao juiz, nova medida cautelar para quebra de sigilo destinada

a(s) operadora(s), a fim de identificar os dados cadastrais e o endereço MAC do

dispositivo de rede que conectou-se na operadora em data/hora (GMT) específicos.

6.2.6 Levantamento de provas

Com os dados cadastrais oferecidos pela operadora foi identificado o

45

endereço físico de instalação, logo, solicita-se ao juiz, medida cautelar de busca e

apreensão de computadores e equipamentos eletrônicos de armazenamento para

produção antecipada de provas.

6.2.7 Busca e apreensão

Seguindo todas as boas práticas de documentação, aquisição e preservação

de evidências e com o oficial de justiça, ocorre a busca e apreensão.

Neste momento, documentam-se quais são os endereços físicos (MAC

ADDRESS) do modem, access point, roteadores (sem fio ou não), computadores,

celulares e outros dispositivos que permitem ou possuem acesso à internet.

6.2.8 Análise das evidências

Através das medidas cautelares, já foram possíveis materializar:

A existência do acesso e a inserção da informação (no caso, foto) em

página eletrônica (ata notarial);

Qual a conexão responsável pela inserção;

Qual a localização física e responsável real pelo ponto de internet;

Para finalizarmos a materialização de provas para este caso, podemos:

Comparar o Mac Address encontrado in loco com o informado pela

operadora, confirmando hardware de rede.

Nos dispositivos de armazenamento devem ser localizadas:

o Acessos ao fórum específico com o usuário específico.

o Acessos ao fórum específico com o usuário específico e POST

específico.

46

o Cópia da imagem (objeto da ação) contida no post salva no

dispositivo.

o Declarações que informem ou façam menção a origem da

imagem

o Forma de aquisição da imagem

o Entre outros pontos relevantes para o caso

6.3 LAUDO PERICIAL

Elabora-se o laudo contendo todas as informações e nas conclusões inseri

todas as analogias e rastreamentos comprovados.

Em nenhuma hipótese pode ser inserido nas conclusões informação que

partem apenas de interpretação sem fundamentação técnica.

47

7. CONCLUSÃO

Concluímos que todo trabalho de investigação forense exige não somente

conhecimento técnico sobre a matéria de informática, mas também conhecimento

jurídico para saber como agir em cada momento.

Cada materialização de prova digital em prova real requer conhecimento

técnico, no entanto, para se obter documentos que obriguem os prestadores de

serviço a cooperarem ou fornecerem informações de cunho sigiloso, deve-se

conhecer a legislação para poder requerer tais informações.

É de conhecimento que a legislação brasileira não possui uma legislação

específica para o meio digital, mas já houve diversos avanços neste sentido,

inclusive, alguns estados possuem leis estaduais que visam garantir a rastreamento

do infrator virtual, punindo o ser humano real.

No entanto, existem alguns desafios que a legislação deve enfrentar como,

por exemplo, a nova tecnologia de servidores em nuvem (cloud computing).

Os criminosos virtuais, a fim de fugir dos rigores da lei, utilizam-se das

divergências.

O uso criminoso da evolução tecnológica gerou a necessidade real da

evolução investigativa, a qual ainda está em grande processo de transformação e

evolução. Novas metodologias, ferramentas de apoio (software e hardware) surgem

a cada dia.

Desta forma, é preciso que os profissionais mantenham capacitados para

utilizar as ferramentas e compreenderem como os crimes ocorrem, e por fim,

utilizarem as ferramentas de apoio para garantir a confiabilidade, integridade,

disponibilidade e o não repúdio a informação, punindo os infratores conforme a lei.

48

REFERÊNCIAS

WIKIPEDIA. Protocolo de Internet. Disponivel em: <

http://pt.wikipedia.org/wiki/Protocolo_de_Internet >. Acesso em 22 nov. 2011

PECK,Patricia. Direito Digital, 4 ed. São Paulo: Saraiva, 2010.

SAFERNET. Crimes Eletronicos: a responsabilidade do usuário. Disponível em :<

http://www.safernet.org.br/site/noticias/crimes-eletr%C3%B4nicos-responsabilidade-

usu%C3%A1rio >. Acesso em 20 nov. 2011.

SANTOS,Coriolano de Almeida Camargo,As múltiplas fases dos Crimes Eletronicos

e dos Fenomenos Tecnologicos e seus reflexos no universo jurídico,São

Paulo:OABSP ,2010

WIKIPEDIA. Crime. Disponível em: < http://pt.wikipedia.org/wiki/Crime >. Acesso

em 17 nov 2011.

BOLETIMJURIDICO. Delitos. Disponível em: <

http://www.boletimjuridico.com.br/doutrina/texto.asp?id=400 >. Acesso em 01 nov

2011.

SECRETARIA DA JUSTIÇA E DA DEFESA DA CIDADANIA.Lanhouse e Cidadania. Disponivel em:< http://www.justica.sp.gov.br/Modulo.asp?Modulo=526 >.Acesso em 04 nov. 2011

WIKIPEDIA. Direito da Informatica. Disponível em: <

http://pt.wikipedia.org/wiki/Direito_da_inform%C3%A1tica >. Acesso em 04 nov. 2011

COMSUMIDORBRASIL. Medidas Cautelares. Disponível em:

49

<http://www.consumidorbrasil.com.br/consumidorbrasil/textos/familia/cautelares.htm#

Incidentes >. Acesso em 20 nov. 2011

WEBOPEDIA. Metadata. Disponível em: < http://www.webopedia.com/TERM/M/metadata.html >. Acesso em 06 nov.2011