1

SUMÁRIO

1 INTRODUÇÃO..................................................................................... 4

2 CONCEITOS DE FORENSE COMPUTACIONAL ............................... 5

2.1 Isolamento, coleta e preservação ................................................. 5

2.2 Coleta ............................................................................................ 7

2.3 Exame ........................................................................................... 8

2.4 Análise .......................................................................................... 9

2.5 Resultado .................................................................................... 10

2.6 Exames e documentos processuais ............................................ 11

2.7 Computador ................................................................................ 12

2.8 Sites ............................................................................................ 13

2.9 Mensagens eletrônicas (e-mails) ................................................ 13

2.10 Aparelhos móveis (celulares) ...................................................... 14

2.11 Redes de computadores ............................................................. 15

2.12 Internet das Coisas (IoT) ............................................................ 16

2.13 Banco de dados .......................................................................... 16

3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS .......... 20

3.1 Aspectos Jurídicos em Computação Forense ............................. 23

3.2 Lab de Computação Forense: Preservação e Análise da Prova

Digital 26

3.3 Duplicação de dados de forma forense ....................................... 27

3.4 Processamento e Análise dos Dados ......................................... 28

3.5 The Sleuth Kit e Autopsy ............................................................. 29

3.6 Princípios da Recuperação de Evidências Digitais ..................... 32

3.7 Técnicas de Recuperação de Arquivos Apagados ...................... 32

2
 3.8 Perícias em Dados Voláteis ........................................................ 35

3.9 Técnicas Antiforenses e Anti-Antiforenses .................................. 37

3.10 Wipe ou Sanitarização de Dados ................................................ 37

3.11 Criptografia e Quebra de Senhas ............................................... 39

3.12 Ataques a Dados Criptografados ................................................ 39

3.13 Esteganografia e Esteganálise ................................................... 42

4 BIBLIOGRAFIA .................................................................................. 44

3
1 INTRODUÇÃO

Prezado aluno!

O Grupo Educacional FAVENI, esclarece que o material virtual é

semelhante ao da sala de aula presencial. Em uma sala de aula, é raro – quase
improvável - um aluno se levantar, interromper a exposição, dirigir-se ao professor
e fazer uma pergunta, para que seja esclarecida uma dúvida sobre o tema tratado.
O comum é que esse aluno faça a pergunta em voz alta para todos ouvirem e todos
ouvirão a resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar,
as perguntas poderão ser direcionadas ao protocolo de atendimento que serão
respondidas em tempo hábil.
Os cursos à distância exigem do aluno tempo e organização. No caso da
nossa disciplina é preciso ter um horário destinado à leitura do texto base e à
execução das avaliações propostas. A vantagem é que poderá reservar o dia da
semana e a hora que lhe convier para isso.
A organização é o quesito indispensável, porque há uma sequência a ser
seguida e prazos definidos para as atividades.

Bons estudos!

4
2 CONCEITOS DE FORENSE COMPUTACIONAL

2.1 Isolamento, coleta e preservação

Com a evolução da internet, as pessoas ao redor do mundo passaram a

usar a maior rede de computadores mundial não apenas para se comunicar, mas
também para realizar tarefas do seu dia a dia. Atualmente, as pessoas fazem
compras on-line em supermercados, farmácias e grandes redes varejistas, além de
realizar diversas transações financeiras pela internet, relativas a serviços públicos
e privados. Tudo isso acontece por meio de computadores pessoais, corporativos,
celulares e tablets. Assim, embora tenha muitos pontos positivos, esse novo
comportamento abre uma grande janela para o crime digital, tornando as pessoas
mais vulneráveis (KOZCIAK, 2020).
Os vestígios de um crime são a chave que permite aos peritos criminais
buscar informações que se tornem evidências e, posteriormente, provas judiciais.
Nos casos de crimes digitais, o analista ou perito forense é o profissional
responsável pela preservação, pelo levantamento de dados e pela análise de
evidências, por meio do uso de técnicas e ferramentas. Apesar da vasta quantidade
de crimes realizados no ambiente digital, não existem no mercado muitos
profissionais especializados para atuar na área forense. Isso ocorre principalmente
devido à qualificação exigida para a realização dessa atividade e à necessidade de
o profissional forense ter dispositivos similares aos utilizados pelos criminosos
digitais (KOZCIAK, 2020).
Segundo Eleutério e Machado (2011, p. 16), diversos profissionais podem
estar envolvidos em um procedimento forense computacional: “peritos particulares,
auditores de sistemas, profissionais de TI e outros. Além disto, juízes, advogados,
delegados, promotores e demais profissionais da área de Direito”. O analista ou
perito forense deve conhecer profundamente as leis e ter conhecimentos técnicos
relativos a sistemas operacionais, redes, programação e técnicas de coleta e
análise de dados.

5
 Apesar de o crime digital ocorrer em um ambiente virtual, ele é um crime
como outro qualquer. Em todos os tipos de crime, parte-se da seguinte premissa:
havendo vestígios a serem analisados, o exame pericial é obrigatório. É o que
consta no Código Penal Brasileiro, art. 158: “Quando a infração deixar vestígios,
será indispensável o exame de corpo de delito, direto ou indireto, não podendo
supri-lo a confissão do acusado” (BRASIL, [1940]).
Além dos conhecimentos técnicos, é de suma importância que o profissional
forense tenha uma excelente postura comportamental, realizando análises isentas
e imparciais. Como afirma Tomás (2009), o perito não deve ter antecedentes que
possam levantar suspeitas a respeito do seu caráter e da sua ética profissional.
Na investigação de crimes computacionais, há a necessidade intrínseca de
busca e apreensão dos equipamentos. Para isso, é fundamental a prévia emissão
de mandados de busca e apreensão pelos órgãos públicos competentes. Com o
mandado em mãos, o perito faz a identificação do local, conduz a ele, seleciona os
equipamentos e os apreende (KOZCIAK, 2020).
Durante todo o procedimento de investigação forense, o manuseio das
informações deve ser realizado dentro de padrões, garantindo que os vestígios
criminais sejam preservados para a correta análise (KOZCIAK, 2020). Para que o
processo investigativo se inicie, é necessário:

 possuir mídias esterilizadas ou uma nova mídia instalada, evitando

possíveis contaminações;
 utilizar ferramentas/softwares para análise forense devidamente
licenciadas;
 garantir que nenhuma fonte de dados seja alterada até a chegada
do perito (caso haja alterações no ambiente, isso deve ser reportado
no laudo);
 fazer toda a análise por meio de imagem ou de disco duplicado, ou
seja, o material original jamais deve ser manipulado (deve
permanecer intacto);

6
  caso o equipamento esteja ligado, mantê-lo ligado para evitar
possíveis perdas de dados;
 apresentar o resultado do exame pericial de forma clara, elucidativa
e em uma linguagem acessível;
 providenciar fotos e filmes do local onde ocorreu o crime, assim
como cópias dos sites, para garantir a coleta de mais detalhes.

Conforme Sousa (2016) apud Kozciak (2020)., as boas práticas em

procedimentos periciais recomendam as fases listadas a seguir.

2.2 Coleta

O ambiente que receberá os dados coletados deve ser adequado a

parâmetros que permitam a transferência fidedigna para a posterior análise. A parte
de infraestrutura, como discos, deve estar funcionando corretamente. Em casos
específicos, quando há orçamento suficiente, é possível copiar as informações.
Para isso, podem ser utilizados duplicadores de disco ou soluções de software
específicas para perícia (KOZCIAK, 2020).
Ao final da fase de coleta, o dispositivo para o qual os dados foram copiados
deve ser devidamente lacrado e armazenado em local apropriado até a Justiça
autorizar o seu descarte ou a sua devolução. Nesse momento, deve ser preenchido
o formulário de cadeia de custódia, com os dados dos equipamentos apreendidos,
como: mídia, marca, modelo, número de série e disco rígido. A data, a hora e o
responsável pelo manuseio e pelo processo forense também devem ser registrados
(KOZCIAK, 2020).
Na Figura 1, a seguir, veja um exemplo de um formulário de cadeia de
custódia. A cadeia de custódia é uma das principais obrigações do perito e é um
documento exigido nas análises forenses computacionais, funcionando como uma
garantia de autenticidade do processo (KOZCIAK, 2020).

7
2.3 Exame

Essa etapa é considerada a mais trabalhosa da investigação. Isso se deve

à quantidade de dados para análise, que geralmente têm diferentes formatos, como:
arquivos criptografados, áudios, vídeos, imagens, arquivos compactados, entre
outros. Os dados coletados na fase anterior devem ser recuperados e catalogados,

8
permitindo uma análise científica que não seja posteriormente questionada
(KOZCIAK, 2020).
O perito deve realizar uma investigação profunda dos fatos no sistema
operacional, assim como considerar todas as hipóteses possíveis, como buscar
arquivos que já tenham sido eliminados do sistema. Esse procedimento se chama
data carving. De acordo com o National Institute of Standards and Technology
(2014, p. 3, tradução nossa), carving é

o processo de reconstrução de arquivos deletados, de um espaço de

armazenamento não alocado, ou extração de arquivos embutidos em um
contêiner de arquivos, baseada no conteúdo do arquivo; metadados do
sistema de arquivos devem ser considerados de forma secundária ou
completamente ignorados.

2.4 Análise

Nessa fase, o perito analisa os dados coletados e examinados nas fases

anteriores. O objetivo é encontrar evidências que comprovem o crime digital. A
análise pode ser a fase mais demorada de todas as que compõem a investigação
(KOZCIAK, 2020).
Dependendo do número de dados e arquivos envolvidos, é necessário
identificar prioridades e definir o que será analisado. Caso contrário, o processo de
análise pode ser inviável, devido ao tempo que se levará para analisar todos os
documentos (KOZCIAK, 2020).
Para analisar os arquivos criptografados, o perito deve utilizar algum
programa de quebra de senha. Ele também pode fazer buscas na memória de
acesso aleatório (Random Access Memory [RAM]) a fim de localizar as senhas
digitadas. Além disso, existem fontes de consulta como a Biblioteca Nacional de
Referência do Software (RDS), que consiste em assinaturas digitais de arquivos
conhecidos e rastreáveis até sua origem. Esse tipo de ferramenta facilita o

9
procedimento e pode diminuir o número de arquivos que deverão ser analisados
(KOZCIAK, 2020).

2.5 Resultado

Nessa etapa final, o perito redige o laudo pericial, apresentando provas e

evidências, que deverão ser utilizadas nos processos judiciais. O laudo deve conter
todos os detalhes que auxiliem o Judiciário na análise do crime. Ele deve ser claro
e apresentar todas as evidências necessárias (KOZCIAK, 2020).
No Quadro 1, a seguir, veja uma síntese dos procedimentos periciais











 Documentar




 Documentar

 Redigir laudo
 Anexar evidências e demais documentos

10
2.6 Exames e documentos processuais

Na etapa de exames, o perito deve definir o modelo ideal de abordagem

para cada tipo de caso, preservando sempre as condições iniciais, que vão garantir
a melhor análise dos vestígios. Nessa etapa, os peritos têm acesso aos
equipamentos apreendidos que foram violados ou que aplicaram qualquer tipo de
violação legal. Assim, o objetivo dos profissionais é analisar, identificar e localizar
todos os arquivos, sistemas e aplicativos que podem conter indícios de crimes
(KOZCIAK, 2020).
Veja o que Eleutério e Machado (2011, p. 51) destaca a respeito dos
materiais questionados, ou seja, dos materiais apreendidos e submetidos a exames
forenses:

Os materiais questionados mais comuns nesse tipo de exame são os

discos rígidos, seguidos pelos CDs e DVDs. No entanto, tais
procedimentos devem ser seguidos para qualquer tipo de equipamento de
armazenamento computacional, incluindo pen drives, cartões de memória,
disquetes, blu-rays, entre outros a serem ainda inventados pelo homem.

Um dos itens mais importantes em uma investigação criminal computacional

é a identificação do IP (Internet Protocol) do criminoso. O IP é o número atribuído
durante o tempo de conexão à internet. Esse número pertence a determinado
acesso durante a conexão na rede de computadores mundial, porém, após a
desconexão, ele é utilizado por outro usuário da internet. Por esse motivo, o perito
precisa identificar a data e o horário da conexão, além do fuso horário e do provedor.
Com base na identificação desses dados, o perito deve providenciar um mandado
judicial para buscar, junto ao provedor, o responsável pela conexão no dispositivo
em que foi cometido o crime (KOZCIAK, 2020).
Para identificar o dispositivo utilizado para o crime, o perito precisa descobrir
o endereço de controle de acesso à mídia, também chamado de “endereço MAC”
(Media Access Control). Esse número identifica a placa de rede e é único para cada
dispositivo (KOZCIAK, 2020).

11
 Independentemente do dispositivo utilizado para a realização do crime,
durante a fase de exame, o perito deve buscar responder a quatro perguntas: o
quê? Quando? Onde? Como? O exame pode ser realizado em diferentes tipos de
dispositivos, com seus respectivos tipos de análise. A seguir, veja quais são os
principais dispositivos (KOZCIAK, 2020).

2.7 Computador

Nesse caso, é necessário analisar toda a estrutura do equipamento,

plataformas físicas ou servidores, buscando arquivos, dados e acessos que podem
caracterizar vestígios de crimes digitais. O grande desafio é o acesso aos
computadores utilizados, que podem estar em território nacional ou em outros
países. Também é desafiador identificar os usuários e atentar ao sincronismo de
horário e ao uso de criptografia complexa para manter o anonimato (FILHO, 2001).

https://wmsit.com.br/

12
 O perito deve buscar: mensagens eletrônicas, imagens, planilhas,
programas de computador, rastros de navegação, etc. Os principais tipos de crimes
cometidos por meio desses dispositivos são: compartilhamento de arquivos de
pornografia infantojuvenil, roubo de senhas (malware) e instalação de programas
de roubo de dados bancários (FILHO, 2001).

2.8 Sites

Nesse caso, os peritos analisam sites existentes, avaliando conteúdos,

publicações, domínio da internet e endereço IP. Conforme Eleutério e Machado
(2011, p. 20) apud Filho (2001)., o exame em sites consiste “principalmente na
verificação e cópia de conteúdo existente na Internet, em sites e servidores remotos
dos mais variados serviços. Além disso, trata-se da investigação do responsável por
um domínio de um site e/ou endereço IP”.
O perito deve: identificar o serviço web, identificar o site hospedeiro,
preservar as evidências, analisar as logs e analisar os aplicativos e serviços da rede.
Os principais tipos de crimes cometidos por meio desses dispositivos são: ataques
a sites, invasões, plágio, phishing (páginas falsas), malware, pornografia e furto de
dados (FILHO, 2001).

2.9 Mensagens eletrônicas (e-mails)

A análise de mensagens eletrônicas envolve mensagens transmitidas,

remetentes, endereços IP, domínios da internet e conteúdos. Conforme Eleutério e
Machado (2011, p. 20), o exame em e-mails corresponde “basicamente à análise

13
das propriedades das mensagens eletrônicas, a fim de identificar hora, data,
endereço IP e outras informações do remetente da mensagem”.
Nesses casos, o grande desafio é relativo à disponibilidade de registros
(logs) suficientes. O perito ainda precisa garantir que os horários estejam
sincronizados e lidar com diversos tipos de tecnologias. Em síntese, o perito deve:
identificar a mensagem eletrônica, identificar o ambiente, preservar as evidências,
verificar a origem da mensagem (cabeçalho) e analisar o corpo do e-mail. Os
principais tipos de crimes cometidos por meio desses dispositivos são: questões
trabalhistas, calúnia, difamação, desonra, concorrência desleal, ameaças anônimas
e espionagem (FILHO, 2001).

2.10 Aparelhos móveis (celulares)

Os aparelhos celulares, devido à sua amplitude tecnológica, já podem ser

comparados a computadores portáteis. Assim, a análise de celulares é similar à
análise realizada em computadores. Ela envolve a análise de mensagens enviadas,
incluindo remetentes, números de telefone, datas, horários e dados relacionados a
chamadas. Os dados analisados dizem respeito a mensagens enviadas por Short
Message Service (SMS) e WhatsApp, por exemplo. Além disso, o perito deve buscar
dados deletados (FILHO, 2001).
Conforme Eleutério e Machado (2011, p. 20) apud Filho (2001)., o exame
em celulares abrange “basicamente a extração dos dados desses aparelhos, a fim
de recuperar e formalizar as informações armazenadas em suas memórias (lista de
contatos, ligações, fotos, mensagens etc.), de acordo com a necessidade de cada
caso”.

14
 https://www.zoom.com.br/

O grande desafio aqui é manter-se atualizado em relação às ferramentas

mobile, que estão em constante modificação. É necessário possuir os
equipamentos adequados para a análise (software e hardware) e atentar à
diversidade de funcionalidades existentes. Os principais tipos de crimes cometidos
por meio desses dispositivos são: invasões, espionagem, calúnia, difamação e
pornografia (FILHO, 2001).

2.11 Redes de computadores

A análise de dados trafegados na rede tem foco no trânsito da informação,

e não no armazenamento, independentemente do dispositivo emissor e do
dispositivo receptor. Nesse caso, é necessário utilizar técnicas e ferramentas para:
reconstrução de sessões, análise de protocolos, manipulação de arquivos,
identificação de origem e destino, identificação de protocolos e dados, além de
recuperação de arquivos capturados no tráfego (FILHO, 2001).
Os grandes desafios são: o acesso aos computadores conectados dentro
de uma rede, a identificação dos usuários e o sincronismo de horários. Os principais

15
tipos de crimes cometidos por meio de redes são: invasões, plágio, pornografia e
furto de dados (FILHO, 2001).

2.12 Internet das Coisas (IoT)

Essa área é muito recente. Ela tem crescido bastante à medida que os
dispositivos conectados à internet (televisão, carros, refrigeradores, etc.) abrem
uma gama de possibilidades de crimes digitais. A investigação forense para tratar
da IoT (do inglês Internet of Things) está sendo desenvolvida para coletar e analisar
evidências nesses dispositivos (FILHO, 2001).
Nesses casos, o desafio é imenso, pois está em jogo uma tecnologia
emergente: não existe um único dispositivo, e sim uma rede hiperconectada. O
perito deve: identificar o dispositivo, preservar as evidências, analisar as logs e
analisar os aplicativos e serviços da rede. Os principais tipos de crimes cometidos
por meio desses dispositivos são: invasões, furto de dados e malware (FILHO,
2001).

2.13 Banco de dados

A análise ocorre em dados e metadados armazenados em bancos de

dados, disponibilizados ou não em servidores. O objetivo é identificar a manipulação
de dados armazenados, como possíveis fraudes financeiras e fiscais praticadas em
uma empresa (FILHO, 2001).
Nesses casos, os grandes desafios são a identificação das tabelas, a busca
por dados excluídos e a identificação das transações realizadas. O perito deve:
identificar as bases de dados envolvidas, preservar as evidências e analisar as logs.
Os principais tipos de crimes cometidos por meio desses dispositivos são: invasões,
furto de dados e vazamento de informações (FILHO, 2001).

16
2.14 Algumas considerações

Conforme Freitas (2003) apud Filho (2001)., em todos os tipos de

dispositivos digitais, a análise pode ser física e/ou lógica. A seguir, veja como cada
uma dessas análises se caracteriza.
 Análise física: tem como objetivo analisar os dados do dispositivo
de armazenamento. Isso ocorre da seguinte forma: pesquisa de
sequência, busca e extração, inclusive de espaço subaproveitado e
livre de arquivos. Esse tipo de análise consiste em buscar todas as
URLs, e-mails encontrados e partes inacessíveis do disco.
 Análise lógica: essa análise é feita arquivo por arquivo. O perito
analisa o conteúdo dos arquivos com o apoio de aplicativos que
ajudam nesse tipo de extração de dados.

A análise forense exige o uso de algumas ferramentas, como:

 software de imagem de disco;

 software ou hardware de escrita;
 ferramentas de hashing;
 software de recuperação;
 software de peneira;
 software de decodificação de criptografia.

O volume de crimes digitais tem crescido diariamente; percebe-se um

aumento significativo de um ano para outro. Isso demonstra uma mudança
comportamental, ou seja, as vítimas têm denunciado os crimes. Para compreender

17
melhor esse contexto, veja o trecho de uma matéria publicada pelo jornal Correio
Braziliense em 4 de agosto de 2019:

Diariamente, são registrados pelo menos 366 crimes cibernéticos em todo

o país. O levantamento mais recente, feito em 2018 pela associação
SaferNet Brasil, em parceria com o Ministério Público Federal (MPF),
contabilizou 133.732 queixas de delitos virtuais, como pornografia infantil,
conteúdos de apologia e incitação à violência e crimes contra a vida e
violência contra mulheres ou misoginia e outros. Em comparação ao ano
anterior, a quantidade de ocorrências deu um salto de quase 110% — em
2017, a associação registrou 63.698 denúncias. Um fator que contribui
para a ação criminosa, na visão de especialistas, é o descuido da
população quanto à utilização de ferramentas que protejam os aparelhos
celulares das invasões de hackers. Apesar de ser impossível estar 100%
protegido, o mínimo de precaução pode reduzir as ameaças à privacidade
de cada um (FERNANDES, 2019, documento on-line).

Na Figura 2, a seguir, você pode ver um mapa mental (diagrama que

representa, a partir de um tema central, todos os itens envolvidos) que exemplifica
a variedade de elementos implicados em uma análise forense computacional. A
profissão de um perito criminal é muito ampla, envolvendo conhecimentos técnicos
e legais em uma grande variedade de assuntos (FILHO, 2001).

18
19
3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS

A defesa de crimes digitais é um processo complexo pelo fato de a internet

não possuir fronteiras, ou seja, qualquer conteúdo é acessado de qualquer lugar do
mundo. O termo ciberespaço surge pela primeira vez no romance “Neuromancer”,
de William Gibson (CIBERESPAÇO, 2019 apud FILHO, 2001). O ciberespaço (ou
espaço cibernético) é uma metáfora que descreve o espaço não físico criado por
diversas redes de computadores (a internet), onde as pessoas podem se comunicar
de muitas formas, seja por mensagens, e-mails, salas de bate-papo, grupos de
discussão, aplicativos de mensagens, dentre outros.
Esse espaço cibernético proporciona muitos serviços e no seu ambiente
transitam informações sigilosas que estão sujeitas a muitas ameaças, devido ao seu
valor e importância. Neste sentido, Nye Junior (2011) apud Filho (2001). observa
que nos países com a internet mais desenvolvida, além dessa gama de recursos e
soluções, também existe uma forte insegurança para governos, empresas e todas
as pessoas dessas nações.
Conforme Rachel (2009), Silveira (2018) e Caldeira (2011) apud Filho
(2001)., um bom ponto a se considerar em crimes cibernéticos é a distinção entre
crimes a distância e crimes plurilocais. Veja:

 nos crimes a distância, a ação e a consumação do crime ocorrem

em lugares distintos, um deles fora do território nacional;
 nos crimes plurilocais, a ação e a consumação também ocorrem em
lugares diversos, mas ambos no território nacional.

Qualquer medida que envolva outros países depende de acionamentos

entre países para coleta, análise e validação de vestígios de crimes digitais. É o
caso, por exemplo, da abertura de dados por empresas como Facebook, Instagram
e WhatsApp. Existem também conflitos dentro do território nacional, geralmente
relativos à competência de cada foro: o foro do local de onde partiu a ofensa, o foro

20
de domicílio do ofendido e do infrator e ainda o foro do local onde o ofendido toma
ciência da ofensa (FILHO, 2001).
No Brasil, têm ocorrido evoluções no âmbito legal. A defesa de ataques
cibernéticos ganhou reforço com a aprovação do Decreto nº. 10.222, de 5 de
fevereiro de 2020, que estabelece a Estratégia Nacional de Segurança Cibernética.
O objetivo desse decreto é tornar o Brasil mais próspero e confiável no meio
digital, aumentando a resiliência local para ameaças cibernéticas e fortalecendo a
segurança do País em âmbito internacional (FILHO, 2001).. Veja o que o decreto
diz a respeito:

Desse modo, estes objetivos estratégicos visam a nortear as

ações estratégicas do País em segurança cibernética, e representam
macrodiretrizes basilares para que o setor público, o setor produtivo e a
sociedade possam usufruir de um espaço cibernético resiliente, confiável,
inclusivo e seguro. São os objetivos estratégicos:
1. Tornar o Brasil mais próspero e confiável no ambiente digital;
2. Aumentar a resiliência brasileira às ameaças cibernéticas; e
3. Fortalecer a atuação brasileira em segurança cibernética no
cenário internacional.
(BRASIL, 2020, documento on-line).

O Decreto nº. 10.222/2020 descreve 10 ações que precisam ser

implementadas (BRASIL, 2020):

1. fortalecer as ações de governança cibernética;

2. estabelecer um modelo centralizado de governança em nível nacional;
3. promover um ambiente participativo e colaborativo entre setor público e
privado;
4. elevar o nível de proteção do governo;
5. elevar a proteção das infraestruturas críticas nacionais;
6. aprimorar o arcabouço legal sobre segurança cibernética;
7. incentivar a concepção de soluções inovadoras em segurança
cibernética;
8. ampliar a cooperação internacional do Brasil em segurança cibernética;

21
 9. ampliar a parceria, em segurança cibernética, entre setor público, setor
privado, academia e sociedade;
10. elevar o nível de maturidade da sociedade no que diz respeito à
segurança cibernética.
Outra iniciativa em andamento é a Lei Geral de Proteção de Dados
Pessoais (LGPD), Lei nº. 13.709, de 14 de agosto de 2018. Essa lei tem como
objetivo contribuir para a governança da segurança cibernética nacional por meio
de normas e políticas públicas relativas à proteção de dados pessoais e à
privacidade, considerando a coleta, o armazenamento, o tratamento e o
compartilhamento de dados pessoais. A previsão é que a LGPD entre em vigor no
Brasil no dia 16 de agosto de 2020 (FILHO, 2001)..
A LGPD tem como base a GDPR europeia: “Seguindo os passos da GDPR
(General Data Protection Regulation), que vale para todos os países da União
Europeia, a LGPD já engatinhava com a criação do Marco Civil da Internet em 2014”
(LGPD..., 2019, documento on-line). A LGPD determina que o usuário tem o direito
de acessar seus dados a qualquer momento, conferindo como eles são tratados e
compartilhados. A lei também determina que o usuário pode atualizar ou corrigir
dados incorretos, deletar dados e transferir dados para outras organizações
(públicas ou privadas) (FILHO, 2001).
As penalizações previstas pela LGPD consideram multas, bloqueios e
sanções para as empresas que descumprirem ou não se adequarem à nova lei.
Além disso, a LGPD extravasa o território brasileiro. Ela pode ser aplicada a
qualquer empresa, e mesmo as empresas estrangeiras que não têm sede no local
estão sujeitas a sanções. A não aplicação da LGPD pode acarretar multas de até
R$ 50 milhões. Por esse motivo, observa-se uma corrida das organizações desde
2018, quando a lei foi aprovada, para adaptar seus sistemas e bancos de dados ao
novo cenário, o que cria muitas oportunidades para profissionais com conhecimento
nesse assunto (FILHO, 2001).
Referindo-se às evoluções legais, Souza Junior (2013, p. 32) ressalta o
empenho dos órgãos governamentais:

22
 A Administração Pública Federal apresenta o real empenho e precaução
na criação de um modelo de segurança cibernética para proteção do
ciberespaço e dos serviços e informações nele existentes, assim se
adaptando ao cenário atual de crimes cibernéticos.

É notável que os órgãos governamentais têm atuado de forma mais enfática

em relação aos crimes digitais. Como você viu, tal atuação se dá por meio da criação
e da aprovação de leis e decretos que suportem judicialmente direitos e deveres no
universo digital. Porém, é nítido que a defesa em processos criminais cibernéticos
tem um caminho longo a percorrer, seguindo a constante evolução do mundo digital
(FILHO, 2001).

3.1 Aspectos Jurídicos em Computação Forense

Por ser uma ciência que mira reportar suas análises e resultados a
determinada instância da justiça, é estreita sua relação com as leis. Algumas delas
afetam diretamente o trabalho dos peritos, pesquisadores e profissionais da área e
precisam ser de conhecimento desse grupo (FILHO, 2001).
Basicamente, quem sabe como a lei fundamental que garante o exame
pericial, temos no Código de Processo Penal - Do exame do corpo de delito e das
perícias em geral- Art. 158 e159 que dizem:

Art. 158. Quando a infração deixar vestígios, será indispensável o exame

de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do
acusado.
Art. 159. O exame de corpo de delito e outras perícias serão realizados por
perito oficial, portador de diploma de curso superior.
§ 1o Na falta de perito oficial, o exame será realizado por 2 (duas) pessoas
idôneas, portadoras de diploma de curso superior preferencialmente na
área específica, dentre as que tiverem habilitação técnica relacionada com
a natureza do exame.
§ 2o Os peritos não oficiais prestarão o compromisso de bem e fielmente
desempenhar o encargo.

23
 § 3o Serão facultadas ao Ministério Público, ao assistente de acusação, ao
ofendido, ao querelante e ao acusado a formulação de quesitos e indicação
de assistente técnico.
§ 4o O assistente técnico atuará a partir de sua admissão pelo juiz e após
a conclusão dos exames e elaboração do laudo pelos peritos oficiais,
sendo as partes intimadas desta decisão.

Dessa forma, no campo criminal, é obrigatório o exame pericial em todo

crime que deixar resquício. Outro ponto relevante, é a probabilidade do perito da
defesa, denominado assistente técnico. Esse profissional pode fazer seu próprio
exame pericial e expor as suas conclusões em relatório próprio para a análise do
judiciário (FILHO, 2001).
Outra lei importante, com relação próxima a um tipo de perícia em
informática, é a que aborda do crime de pedofilia. Tipificado no ECA (Estatuto da
Criança e do Adolescente), nos artigos 240 e 241.

Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por

qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança
ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa.
Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que
contenha cena de sexo explícito ou pornográfica envolvendo criança ou
adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa.
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou
divulgar por qualquer meio, inclusive por meio de sistema de informática
ou telemático, fotografia, vídeo ou outro registro que contenha cena de
sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena –
reclusão, de 3 (três) a 6 (seis) anos, e multa.
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia,
vídeo ou outra forma de registro que contenha cena de sexo explícito ou
pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 1
(um) a 4 (quatro) anos, e multa. § 1o A pena é diminuída de 1 (um) a 2/3
(dois terços) se de pequena quantidade o material a que se refere o caput
deste artigo.

É relevante observar algumas das condutas que são crimes em relação à

pedofilia e qual o papel do perito em computação forense nesses eventos.
Inicialmente, destaca-se que o simples fato de registrar, ou seja, ter fotos de
pedofilia no computador ou smartphone já é crime. A função do perito em relação a
esse episódio é encontrar tais imagens, que podem estar ocultas, apagadas ou
criptografadas. Caso essas imagens sejam localizadas, o próximo passo natural é

24
determinar se o proprietário do dispositivo estava compartilhando essas imagens
com outros usuários, o que compõe um crime mais grave. Esse compartilhamento
pode acontecer especialmente por aplicativos de redes ponto a ponto (P2P). Cabe
ao perito, examinar essa circunstância e documentar todo o cenário localizado
(FILHO, 2001).
A lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da
Internet estipula determinadas regras, das quais as que mais interessam à
computação forense são as que regulam o armazenamento dos registros de acesso
(logs) dos usuários, como demonstrado a seguir.

Art. 1o Esta Lei estabelece princípios, garantias, direitos e deveres para o

uso da internet no Brasil e determina as diretrizes para atuação da União,
dos Estados, do Distrito Federal e dos Municípios em relação à matéria.
…
Subseção I
Da Guarda de Registros de Conexão

Art. 13. Na provisão de conexão à internet, cabe ao administrador de

sistema autônomo respectivo o dever de manter os registros de conexão,
sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um)
ano, nos termos do regulamento.
§ 2o A autoridade policial ou administrativa ou o Ministério Público poderá
requerer cautelarmente que os registros de conexão sejam guardados por
prazo superior ao previsto no caput.
§ 5o Em qualquer hipótese, a disponibilização ao requerente dos registros
de que trata este artigo deverá ser precedida de autorização judicial,
conforme disposto na Seção IV deste Capítulo.

Subseção II

Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão

de Conexão
Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os
registros de acesso a aplicações de internet

Subseção III

Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão

de Aplicações
Art. 15. O provedor de aplicações de internet constituído na forma de
pessoa jurídica e que exerça essa atividade de forma organizada,
profissionalmente e com fins econômicos deverá manter os respectivos
registros de acesso a aplicações de internet, sob sigilo, em ambiente
controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do
regulamento.

25
 A lei nº 12.737, de 30 de novembro de 2012, conhecida como lei Carolina
Diekmann, tipifica, ou seja, torna crime, vários comportamentos relacionados a
atividades de invasão de sistemas de computador, conforme segue.

Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos informáticos

e dá outras providências.
...
“Invasão de dispositivo informático“
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede
de computadores, mediante violação indevida de mecanismo de
segurança e com o fim de obter, adulterar ou destruir dados ou
informações sem autorização expressa ou tácita do titular do dispositivo ou
instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou
difunde dispositivo ou programa de computador com o intuito de permitir a
prática da conduta definida no caput.
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede
mediante representação, salvo se o crime é cometido contra a
administração pública direta ou indireta de qualquer dos Poderes da União,
Estados, Distrito Federal ou Municípios ou contra empresas
concessionárias de serviços públicos. ”

Resumidamente, essa lei trata das invasões de sistemas e composição e

uso de software maliciosos (malware). É função do perito, avaliar os computadores
em que sucederam as invasões, gerar como elas ocorreram e se provável apontar
na direção do responsável por tais crimes (FILHO, 2001).

3.2 Lab de Computação Forense: Preservação e Análise da Prova Digital

O laboratório de computação forense deve ter hardware e software

especializado que proporcione as condições técnicas, de maneira hábil, para se
conseguir e processar os dados digitais, transformando-os em destaques. Essas
tecnologias estão disponíveis em produtos comerciais, softwares desenvolvidos por
peritos e softwares livres (FILHO, 2001).

26
3.3 Duplicação de dados de forma forense

Uma das primeiras atividades a ser concretizada no laboratório é a cópia

dos dados dos equipamentos originais. É nessas cópias que os exames serão
realizados (FILHO, 2001).
Para consolidar uma cópia de forense, todos os bits do equipamento
original devem ser copiados, inclusive de áreas não alocadas do sistema de arquivo.
Bem longe dessa necessidade, a ênfase digital deve ser acessada de maneira que
tenha proteção contra escrita na interface em que ela for conectada. Essa cautela
é precisa para que, ao se conectar a mídia original, nenhum dado seja modificado.
Conectar a mídia original sem proteção de escrita pode alterar dados ou metadados
de arquivos e essas mudanças podem ser questionadas pelas partes envolvidas.
Outra atividade essencial ao fazer a cópia é calcular o hash dos dados originais e o
da cópia. Esses valores precisam coincidir, garantindo-se, com isso, a integridade
e a cadeia de custódia dos destaques digitais (FILHO, 2001).
Têm equipamentos especializados em duplicação pericial. Esses
equipamentos consentem que as cópias sejam feitas de forma bastante simplificada
e garantem as sugestões mencionadas. Determinadas alternativas de
equipamentos que podem ter em um laboratório de computação forense são o Solo
IV, da empresa ICS e o Tableaut TD3 da empresa Guidence Software. Esses
equipamentos têm entradas protegidas contra escrita para conexão das ênfases
originais, vários tipos de adaptadores para as interfaces mais comuns de mídias de
armazenamento, entre elas, adaptadores para conexões IDE, SATA, SAS, USB,
cartões de memória SDCard, entre outros. Possuem também a vantagem de serem
portáteis, podendo ser levados a campo. As figuras 1 e 2 ilustras os equipamentos
(FILHO, 2001).
Se usar um equipamento comercial especializado em duplicação de dados
não for uma alternativa, existem soluções de baixo custo para esse processo. Uma
maneira de concretizar essa cópia é empregar uma distribuição Linux montada para
análises forenses. Estas distribuições consentem que se monte o disco original do

27
suspeito no modo “somente leitura”. Uma vez montado o disco das ênfases, as
cópias podem ser cometidas por programas que seguem essas distribuições, como,
por exemplo, o dd, dc3dd, dcfldd, entre outros. Esses programas farão uma cópia
de todos os bits do disco de origem, inclusive áreas não alocadas. Alguns deles já
realizarão também o cálculo do hash dos dados originais e do arquivo de destino
(FILHO, 2001).
Duas distribuições que fornecem ferramental forense são a Deft Linux
(http://www.deftlinux.net/) e Caine (http://www.caine-live.net/).

3.4 Processamento e Análise dos Dados

Uma fez feita a duplicação pericial dos dados e tendo garantido a sua
integridade por meio do hash, o próximo passo é o processamento e análise de
dados. Essa fase consiste na recuperação dos dados que estão nas mídias, muitos
deles apagados, e a disponibilização desses dados aos peritos de modo que
possam ser feitas pesquisas sobre eles. Dessa forma, as principais ferramentas
dessa etapa do processo deverão entender os sistemas de arquivos envolvidos,
executar técnicas de recuperação de dados apagados, indexar esses dados para
futuras pesquisas e interpretar essas informações de modo que o grande volume
de dados possa ser organizado em subgrupos e tipos para facilitar a análise dos
peritos (FILHO, 2001).

28
 https://csprojetos.com

Para essa tarefa, os principais softwares comerciais são

Encase(https://www.guidancesoftware.com/encase-forensic), FTK
(http://accessdata.com/solutions/ digital-forensics/ forensic-toolkit-ftk), entre outros.
Alternativamente, o IPED (Indexador e Processador de Evidências Digitais) é uma
solução desenvolvida porperitos criminais da Polícia Federal que tem se mostrado
bastante importante e está disponível para o modo de peritos de outras instituições
de segurança pública. Por fim, têm as alternativas livres, como The Sleuth Kit - TSK
- e Autopsy ( http://www .sleuthkit.org/). Avaliaremos esses dois últimos com mais
detalhes na próxima seção (FILHO, 2001).

3.5 The Sleuth Kit e Autopsy

The Sleuth Kit (TSK) é um conjunto de instrumentos de linha de comando e

bibliotecas em C para análise de disco rígidos e recuperação de arquivos. O
Autopsy é um ambiente gráfico que proporciona uma interface mais amigável sobre
o TSK. Ambas as ferramentas são livres, de código aberto e estão em constante
desenvolvimento pelos seus mantenedores (FILHO, 2001).

29
 A relevância didática de ferramentas livres é ressaltada por Fagundes,
Neukamp e Silva (2011), que apontam que o software de código aberto é um modelo
didático, pois promove o pensamento crítico, conta com uma capacidade de
adaptação independente, conta com uma comunidade, na qual possui
compartilhamento de conhecimento e permite ao aluno, mesmo fora do ambiente
acadêmico, acesso às ferramentas de maneira legal.
Segundo Carrier (2006), o TSK é composto por mais de 20 programas,
estilo linha de comando, organizados em grupos. Os grupos em que os programas
são divididos são fundamentados nas entidades das estruturas dos sistemas de
arquivos. São eles: categoria de sistemas de arquivos, categoria de conteúdo,
categoria de metadados, categoria de aplicação e categorias múltiplas.
Pelos comandos do TSK, é possível observar cada uma das entidades do
sistema de arquivos. Para usá-los em sua plenitude, é preciso um entendimento de
como os disco rígidos são estruturados e como as estruturas lógicas dos sistemas
de arquivos trabalham (FILHO, 2001).
Os programas do TSK são excelentes instrumentos para destrinchar os
dados de um disco. Tem um papel didático relevante e servem como os blocos de
construção para ferramentas mais associadas, porém são pouco eficientes para
lidar com vários episódios, nos quais o interesse é a recuperação do maior número
de dados possível e a apropriada visualização deles, em tempo hábil (FILHO, 2001).
Dessa forma nasce a necessidade de se empregar um instrumento que
integre os vários programas do TSK e forneça uma interface mais produtiva. Uma
alternativa é o Autopsy (FILHO, 2001).
O Autopsy emprega as bibliotecas do TSK e oferece uma interface gráfica
intuitiva para o processamento dos dados a constituírem avaliados. Após introduzir-
se com determinados dados sobre o caso, deve-se informar o arquivo de imagem,
que é a cópia forense concretizado conforme narrado antes. Este arquivo pode estar
no formato bruto, também conhecido com raw ou dd ou em algum outro formato
aproveitado por determinado software ou equipamento de duplicação de dados. Um
formato muito popular é o formato E01, introduzido pela EnCase e empregado por
diversos outros programas (FILHO, 2001).

30
 As figuras 3 e 4 ilustram duas telas do Autopsy.

Figura 3: Autopsy

Figura 4: Autopsy

31
3.6 Princípios da Recuperação de Evidências Digitais

Essa seção tem como desígnio exibir conceitos técnicos que aceitem
compreender como as ferramentas frequentes no laboratório de computação
forense conseguem chegar aos resultados que se propõem.
Ter o saber técnico do que está sendo feito e não somente confiar nessas
ferramentas e equipamentos como verdadeiras caixas-pretas, que somente
proporcionam o resultado, permitirá ao perito uma melhor explanação técnica
acerca do que se está periciando, além de ajuda-lo com saberes satisfatórios para
responder a possíveis questionamentos das partes ou do juízo (FILHO, 2001).

3.7 Técnicas de Recuperação de Arquivos Apagados

Apesar das peculiaridades de cada sistema de arquivos e das técnicas para

recuperá-los, essencialmente a recuperação de dados apagados é possível porque
ao se apagar um arquivo, ele é apagado somente logicamente do sistema de
arquivos, ou seja, o espaço ocupado por aquele arquivo é possibilitado para
reutilização, mas por questões de execução o seu conteúdo permanece intacto até
que aquele espaço seja necessário para alocar outro arquivo (FILHO, 2001).
Determinadas técnicas de recuperação de dados levam em conta a
estrutura de dados providas pelos sistemas de arquivos. Para compreender como
esse tipo de recuperação de dados é possível, devemos entender, primeiramente,
o que ocorre em cada sistema de arquivos quando um arquivo é apagado (FILHO,
2001).
Como mostrado por Carrier (2006), nos sistemas de arquivos FAT ao se
extinguir um arquivo, o primeiro caractere na tabela de entrada de diretório é suprido
por 0xe5 e os endereços na tabela FAT são zerados. Para recuperá-lo, deve-se
localizar o nome dele na tabela de diretório, o endereço do primeiro bloco e os

32
metadados que informam o tamanho do arquivo. De posse da informação de qual é
o primeiro bloco e o tamanho do arquivo, a recuperação é trivial. Porém, arquivos
fragmentados podem inviabilizar a recuperação pelo uso somente dessa técnica.
No NTFS, quando um arquivo é apagado, a entrada de diretório na MFT
desse arquivo é marcada como não alocada e os blocos desse arquivo são
adicionados na tabela de blocos livres. Com isso, a estrutura de alocação de
arquivos permanece praticamente intacta, permitindo a recuperação do arquivo até
que a entrada de diretório seja reutilizada (FILHO, 2001).
No Ext2, o i-node do início de diretório é apagado. Para recuperar arquivos
apagados, deve-se observar por i-nodes não alocados. Encontrando-se um i-node
não alocado, ele conterá a lista de blocos daquele arquivo apagado. No Ext3 e Ext4,
o inode da entrada de diretório não é apagado, contudo, os campos com os
endereços dos blocos no i-node são apagados. Assim, tem-se o i-node de
determinada entrada de diretório (nome do arquivo), entretanto não se consegue
obter a lista de blocos que compunham esses arquivos. A recuperação de arquivos
no Ext3 e Ext4 é mais difícil que no Ext2 (FILHO, 2001).
Uma outra técnica promissora de recuperação de arquivos apagados é o
data carving. No processo clássico de data carving, as estruturas do sistema de
arquivos não são levadas em consideração (FILHO, 2001).
Merola (2008) menciona o exemplo de arquivos PDF e JPEG. Os arquivos
PDF têm uma assinatura inicial, ou seja, iniciam sempre da mesma maneira, o que
admite distingui-los de outros tipos de arquivos examinado somente seu conteúdo.
Dessa forma, todos os arquivos PDF principiarão com os caracteres “%PDF”. Essa
assinatura também é conhecida como cabeçalho do arquivo. Alguns arquivos, além
do cabeçalho, têm também um rodapé, ou seja, sempre terminarão com o mesmo
caractere. No caso dos PDFs será “%EOF”. Para arquivos JPEG, teremos os
padrões “0xFFD8” para o cabeçalho e “0xFFD9” para o rodapé.
É com embasamento nas assinaturas dos arquivos que as técnicas
fundamentais de data carving laboram. Uma ferramenta usando essa técnica terá
uma larga base de assinaturas dos mais variáveis tipos de arquivos. Uma vez
identificado o princípio de um arquivo, a ferramenta irá avaliando que tudo o que

33
virá depois dessa assinatura é o corpo do arquivo. Ao localizar o rodapé, a
ferramenta conclui a recuperação daquele arquivo e o processo de repete a partir
do próximo byte, até que todos os bytes não alocados da mídia de armazenamento
sejam processados (FILHO, 2001).
Entretanto, dificuldades podem ser localizadas nesse processo. Arquivos
podem ter cabeçalho, mas não rodapé. Arquivos podem estar também
despedaçados, compactados ou incompletos. Para lidar com essas questões, as
técnicas mais avançadas de data carving fundamentam-se não somente nas
assinaturas dos arquivos, mas também possuem conhecimento das estruturas
internas de cada tipo de arquivo, o que permite às ferramentas tentar encaixar todas
as peças, num verdadeiro quebra-cabeça de bytes e fragmentos de estruturas de
arquivos (FILHO, 2001).
Em relação à recuperação de arquivos nos discos de estado sólido (SSDs),
deve-se observar que a dinâmica de leitura e escrita de dados difere dos discos
rígidos magnéticos tradicionais, impactando nas técnicas de recuperação de
ênfases digitais (FILHO, 2001).
Conforme esclarecido por Gomes (2012), diferentemente dos discos
rígidos, nos quais os dados podem ser apagados e sobrescritos de forma
independente, nos SSDs as páginas na memória flash não podem ser simplesmente
regravadas. Sempre que se necessita gravar dados em uma página já ocupada, a
controladora do SSD precisa primeiro apagar os dados anteriores, levando a célula
ao seu estado original, para só então, realizar a nova intervenção de escrita. Além
disso, não é possível apagar apenas uma página, necessita apagar um bloco de
páginas. Se tiver dados válidos nessas páginas, elas necessitam ser copiadas e
depois reescritas. Todas essas operações podem comprometer a performance do
SSD.
Para lidar com essas características, os SSDs empregam técnicas de coleta
de lixo (garbage collection). O coletor de lixo será executado em segundo plano, pelo
próprio hardware do SSD e será responsável por garantir que sempre possua blocos
livres, em estado original, prontos para escrita. Para garantir isso, uma de suas
tarefas é movimentar dados, realizando uma espécie de desfragmentação do disco.

34
Essa característica tem um impacto negativo sobre a recuperação de arquivos
apagados, tendo em vista que a chance de sobreposição de dados não alocados é
bem maior por conta do coletor de lixo (FILHO, 2001).

3.8 Perícias em Dados Voláteis

Informações importantes podem estar armazenadas somentes na memória

RAM. Se o conteúdo do disco rígido estiver criptografado, fazer a extração e análise
dos dados voláteis pode permitir a obtenção da chave empregada para proteger os
dados do disco. Outras informações como processos em execução e bibliotecas de
software carregadas também podem ser alcançadas por meio desse tipo de análise
(FILHO, 2001).
Silva e Lorens (2009) discorrem sobre a necessidade de um exame pericial
em memória RAM, também conhecido como live forensics, tendo em vista que
circunstâncias específicas justificam a realização de procedimentos de coleta de
vestígios digitais no local em que se encontram instalados os equipamentos
computacionais, enquanto ligados e em funcionamento normal. Instalações de
equipamentos de amplo porte, não convencionais, ou que provoquem o risco de
perda de informações significativas ou ainda, as inviabilizações das perícias são
exemplos dessas situações. Destaca-se, também, a situação cada vez mais
frequente do uso de criptografia nas mídias de armazenamento.
A primeira tarefa a ser concretizada em uma perícia de dados voláteis é
conseguir uma cópia da memória RAM. O termo dump de memória também é usado
para se mencionar a este tipo de cópia. Existem diversas ferramentas que podem
ser usadas para essa tarefa. É interessante que essa ferramenta possa ser
executada na máquina alvo sem a precisão de instalação, para não escrever no
disco e correr o risco de sobrescrever algum dado não alocado. Um exemplo de
ferramenta livre para Windows que faz a cópia de memória é o FTK Imager Lite
(figura 5) (FILHO, 2001).

35
 Figura 5

Alcançada a cópia da memória RAM, é necessário saber interpretá-la. Para

essa tarefa têm softwares que podem auxiliar o perito. Um deles é o framework livre
Volatility (http://www.volatilityfoundation.org/) (figura 6) (FILHO, 2001).

Figura 6

36
 O Volatility é um conjunto de ferramentas abertas, escritas em Python,
destinado à extração de conteúdos digitais armazenados em memória volátil de
sistemas operacionais Windows. Realiza interpretação (parser) de dump de
memória, crash dump, arquivo de hibernação, snapshot de máquinas virtuais etc.
Com o uso desse framework, podem ser alcançados dados referentes a
processos em execução, soquetes de rede abertos, DLLs carregadas para cada
processo, arquivos abertos para cada processo, chaves de registro para cada
processo, memória endereçável de um processo, módulos do kernel do sistema
operacional, chaves criptográficas, entre outros (FILHO, 2001).

3.9 Técnicas Antiforenses e Anti-Antiforenses

Em uma definição de técnicas antiforenses localizada em Velho et al (2016),

os autores classificam-na como um conjunto de técnicas que objetivam inviabilizar,
dificultar, iludir ou impossibilitar que a análise forense suceda de maneira
satisfatória.
Necessariamente, trata-se de formas de manipular os dados digitais de tal
maneira que esses dados sejam destruídos de forma irrecuperável, ou, de
determinada maneira, não possam ser acessados pelo perito, ou ainda, que iludam
o perito em suas conclusões.
Assim, cabe ao perito conhecer sobre essas técnicas, saber identificá-las e
contorná-las sempre que possível. No restante dessa seção são exibidas as
principais técnicas antiforenses e possíveis maneiras de lidar com elas (FILHO,
2001).

3.10 Wipe ou Sanitarização de Dados

37
 Ao se apagar um arquivo, os dados desse arquivo não são verdadeiramente
apagados, são feitas algumas alterações nas estruturas de controle de alocação de
arquivos e aquele espaço ocupado pelo arquivo fica disponível para ser reutilizado,
mas especialmente por motivo de performance, os dados desse arquivo apagado
continuam na mídia de armazenamento, até o momento em que forem reutilizados
por outro arquivo. A partir dessa ocasião, quando os dados são sobrescritos por um
arquivo novo, a recuperação torna-se inviável (FILHO, 2001).
É por isso que há uma maneira de apagar um arquivo de forma
irrecuperável. Para isso, além de ser marcado nas estruturas do sistema
operacional como apagado, o seu conteúdo em todo o disco deve ser sobrescrito.
Existem até mesmo protocolos para realizar essa técnica, conhecida como wipe ou
sanitização de dados. Dependendo da sensibilidade e relevância dos arquivos a
serem apagados, esses protocolos sugerem que a área da mídia de
armazenamento em que os dados estavam armazenados seja sobrescrita várias
vezes. A figura 7 ilustra o programa Disk Wipe, que entrega a técnica de sanitização
de dados em uma mídia completa. Nota-se que se pode propor qual protocolo de
wipe empregar. Na figura, são expostos de cima para baixo os protocolos do menos
para o mais seguro (FILHO, 2001).

Figura 7

38
3.11 Criptografia e Quebra de Senhas

Criptografia acontece a ser cada vez mais popularizada, sendo que vários
sistemas já estão sendo configurados por padrão com seus dados criptografados.
Existe também diversos softwares que podem ser habituais para criptografar
arquivos, partes de uma mídia de armazenamento ou a mídia inteira (FILHO, 2001).
Esses recursos, ressaltantes para a segurança do usuário, concebem um
desafio técnico para os peritos, que necessitam tentar ao máximo localizar
evidências digitais, mesmo que estas permaneçam protegidas por criptografia.
Desse cenário pericial, aparece a necessidade de técnicas de quebra de
criptografia e senhas, tornando essa área mais uma área da computação que deve
ser dominada pelos peritos (FILHO, 2001).
Mas como quebrar a criptografia, tendo em vista que a maior parte dos
sistemas usam criptografia forte, com algoritmos robustos e chaves grandes? A
resposta encontra-se em atacar o elo mais fraco da segurança da informação, o
usuário. Segundo Velho et al (2016), pesquisas mostram que a maioria dos usuários
usa senhas fracas. A capacidade humana de memorização não facilita que usuários
guardem como senhas sequências muitos grandes e aleatórias. Na maioria das
vezes serão usadas expressões que são familiares aos usuários e as senhas
tendem a se repetir em vários sistemas.
Com isso, ao se deparar com conteúdo criptografado, o perito deve ao
menos tentar as técnicas básicas de recuperação de senhas, restringindo-se aos
recursos computacionais e a um prazo de tempo de tentativa estipulado (FILHO,
2001).

3.12 Ataques a Dados Criptografados

Podemos determinar os ataques a sistemas com senha em dois tipos. Os

ataques on-line, que visam sistemas que estão em funcionamento no momento dos

39
ataques. Esse tipo de ataque é menos promissor, já que o tempo de resposta em
que diversas senhas podem ser testadas é alto (FILHO, 2001).
Os ataques offline ou post-mortem, buscam decifrar os dados já adquiridos
das mídias de armazenamento, mas que ainda não estão acessíveis por estarem
criptografados. É um ataque mais promissor que o anterior, pois a taxa de senhas
que podem ser testadas é muito superior. Para a computação forense, esse é o tipo
de ataque que mais interessa e é esse tipo que será discutido no restante da seção
(FILHO, 2001).
Para se quebrar a criptografia no ataque offline deve-se descobrir qual foi a
senha usada pelo usuário para criptografar os dados. Para tanto, as possíveis
senhas são testadas uma a uma. Porém, essa tarefa computacional é altamente
paralelizável. Dessa maneira, quanto mais processadores o perito tiver a disposição
para a tarefa, mais rápido ela poderá ser desempenhada. Hoje em dia, as duas
maneiras mais empregadas para paralisar essa tarefa são por meio de cluster de
computadores ou por meio de placas de processamento gráfico (GPUs) (FILHO,
2001).
Na alternativa de cluster de computadores, usa-se várias máquinas
trabalhando em paralelo e em cooperação para o processamento dos ataques ao
conteúdo criptografado.
Na maioria das vezes usa-se um esquema em que uma das máquinas é um
ponto central que gerencia todas as demais, distribuindo a carga de processamento.
Outra maneira de conseguir elevado nível de paralelização é por meio do
uso de GPUs. As GPUs são projetadas com vários núcleos de processamento para
atividades específicas. Essa arquitetura pode ser usada para paralelizar as
computações necessárias para quebra de senhas. Uma GPU voltada para jogos,
pode ter até aproximadamente 3.000 núcleos (cores). A figura 8 ilustra uma
comparação da arquitetura multicore de uma CPU e de uma GPU (FILHO, 2001).

40
 Figura 8

A figura 9 expõe um teste de desempenho de quatro configurações de

máquinas utilizando GPUs processando quebra de criptografia em vários algoritmos
(FILHO, 2001).

Figura 9 Fonte: www.hashcat.com, acesso em 22/09/2016

41
 Mesmo com todo poder de processamento dos clusters e das GPUs, testar
todas as combinações, num ataque designado força bruta, não é viável para senhas
com um tamanho e complexidade razoáveis (mais de 8 caracteres começa a
inviabilizar a força bruta).
Por conta disso, deve-se tentar antes ataques mais inteligentes, nos quais
a chance de se encontrar a senha seja melhor do que o acaso. O ataque de força
bruta deve ser o último a ser empregado, somente quando todos os outros tiverem
falhado (FILHO, 2001).
Um dos ataques que pode alcançar sucesso é o ataque de dicionário. Nesse
ataque, tenta-se todas as senhas de um determinado dicionário (lista de palavras),
como por exemplo, um dicionário com todas as palavras da língua portuguesa. É
um ataque rápido de ser concretizado. Nesse tipo de ataque, a criatividade é o
limite. Pode-se tentar dicionários temáticos, palavras que sejam da lista de
interesses do alvo e até mesmo procurar dicionários de dados recuperando todas
as palavras de outros dispositivos de informática do alvo que não estejam
criptografados. Não alcançando sucesso, pode-se tentar a abordagem híbrida.
Nesse ataque, cada palavra do dicionário padecerá determinada variação, como
por exemplo, colocar o primeiro caractere em maiúsculo, adicionar números ao final
de cada palavra etc. Novamente, a criatividade é o limite. Vale observar que, quanto
mais variedade for adicionada, maior será o tempo necessário para completar o
ataque (FILHO, 2001).

3.13 Esteganografia e Esteganálise

Esteganografia, ou escrita oculta, pode ser empregada como uma técnica

antiforense. Segundo Velho et al (2016), esteganografia é o estudo de técnicas para
esconder a existência de uma mensagem dentro de outra, uma forma de segurança
por obscurantismo. Ainda segundo esses autores, a informação a ser escondida é
inserida em um arquivo hospedeiro, que precisará ser capaz de sofrer pequenas
alterações em seus bytes e, ainda assim, reter suas principais características.

42
 A esteganálise tem como objetivo descobrir e revelar mensagens ocultas
por técnicas esteganográficas. Sua base é a análise estatística, procurando padrões
de ocorrência do uso de técnicas de esteganografia nas mídias suspeitas (FILHO,
2001).

43
4 BIBLIOGRAFIA

BRASIL. Decreto Nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia

Nacional de Segurança Cibernética. Brasília: Casa Civil da Presidência da
República, 2020. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-
2022/2020/decreto/D10222.htm. Acesso em: 11 abr. 2020.

BRASIL. Ministério da Justiça. Decreto-Lei Nº 2.848, de 7 de dezembro de 1940.

Código Penal. Brasília: Casa Civil da Presidência da República, [1940]. Disponível
em: http://www. planalto.gov.br/ccivil_03/decreto-lei/del2848.htm. Acesso em:
11 abr. 2020.

CALDEIRA, S. Qual a diferença entre crime plurilocal e crime à distância? Sandro

Caldeira, [S. l.], 19 maio 2011. Disponível em:
http://www.sandrocaldeira.com/plus/modulos/
noticias/ler.php?cdnoticia=22&cdcategoria=1. Acesso em: 11 abr. 2020.

CIBERESPAÇO. In: GLOSSÁRIO da Sociedade da Informação. Lisboa: Associação

para a Promoção e Desenvolvimento da Sociedade da Informação, 2019.
Disponível em: https://apdsi.pt/glossario/c/ciberespaço. Acesso em: 11 abr. 2020.

ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São

Paulo: Novatec, 2011. 200 p.

FERNANDES, A. Crimes virtuais e ataques cibernéticos mais do que dobram em

um ano. Correio Braziliense, Brasília, 4 ago. 2019. Disponível em:
https://www.correiobraziliense.
com.br/app/noticia/politica/2019/08/04/interna_politica,775357/crimes-virtuais-e-
ataques-ciberneticos-mais-do-que-dobram-em-um-ano.shtml. Acesso em:
11 abr. 2020.

FREITAS, A. R. Perícia forense aplicada à informática. Orientador: Duval Costa.

2003. 58 f. Trabalho de Conclusão de Curso (Pós-Graduação “Lato Sensu” em
Internet Security) – Instituto Brasileiro de Propriedade Intelectual, São Paulo, 2003.
Disponível em: https:// rl.art.br/arquivos/120158.pdf. Acesso em: 11 abr. 2020.

FILHO, W. L. S. Crimes Cibernéticos e Computação Forense. Disponível em:

http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf. Acesso em: 04/01/2001.

LGPD: O manual para compreender a lei geral de proteção de dados. TOTVS, São
Paulo, 26 set. 2019. Disponível em: https://www.totvs.com/blog/negocios/lgpd-o-
manual- -para-compreender-a-lei-geral-de-protecao-de-dados/. Acesso em:
11 abr. 2020.

44
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Forensic File
Carving Tool Specification: Draft Version 1.0 for Public Comment. Gaithesburg:
NIST, 2014. 12 p. Disponível em:
https://www.nist.gov/system/files/documents/2017/05/09/fc-req- -public-draft-01-of-
ver-01.pdf. Acesso em: 11 abr. 2020.

NYE JUNIOR, J. S. The future of power. New York: PublicAffairs, 2011. 320 p.

PROCESSO de Investigação. Forense Computacional, [S. l.], [20--]. (Projeto

desenvolvido por alunos da disciplina “Direito e Informática” – DIR410011,
ministrada pelo professor Aires J. Rover para alunos do programa de mestrado em
Ciências da Computação da Universidade Federal de Santa Catarina). Disponível
em: https://sites.google.com/a/ cristiantm.com.br/forense/forense-
computacional/processo-de-investigacao. Acesso em: 11 abr. 2020.

RACHEL, A. R. O que se entende por crime à distância? Jusbrasil, Salvador,

25 set. 2009. Disponível em: https://lfg.jusbrasil.com.br/noticias/1912334/o-que-se-
entende-por- -crime-a-distancia-andrea-russar-rachel. Acesso em: 11 abr. 2020.
REIS, F. M. Forense computacional: técnicas para preservação de evidências em
coleta e análise de artefatos. Orientadora: Ana Cristina Azevedo Pontes de
Carvalho. 2013. Monografia (Aperfeiçoamento/Especialização em Computação
Forense) – Universidade Presbiteriana Mackenzie, São Paulo, 2013. Disponível em:
https://monografias.brasilescola.uol.com.br/computacao/forense-computacional-
tecnicas-para-preservacao- -evidencias-coleta-analise-artefatos.htm. Acesso em:
11 abr. 2020.

RIOS, A. Brainstorming para Estudos Forenses. Estudos Forenses – Site de Estudo

de Computação Forense, [S. l.], 7 maio 2012. Disponível em:
https://4en6br.wordpress. com/2012/05/07/brainstorming-para-estudos-forenses/.
Acesso em: 11 abr. 2020.

SILVEIRA, W. P. Como se define o local do crime nos crimes plurilocais e nos

crimes à distância? Jusbrasil, Salvador, 16 abr. 2018. Disponível em:
https://wesl.jusbrasil.com.br/ artigos/566936270/como-se-define-o-local-do-crime-
nos-crimes-plurilocais-e-nos- -crimes-a-distancia. Acesso em: 11 abr. 2020.

SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de

Ciências e Saúde, Taguatinga, v. 5, n. 2, p. 99–111, 2016. Disponível em:
http://www2.ls.edu.br/ actacs/index.php/ACTA/article/view/138. Acesso em:
11 abr. 2020.

SOUZA JUNIOR, A. F. Segurança Cibernética: Política Brasileira e a Experiência

Internacional. Orientador: Rosalvo Ermes Streit. 2013. 120 f. Dissertação (Mestrado
em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica
de Brasília, Brasília, 2013. Disponível em:
https://bdtd.ucb.br:8443/jspui/bitstream/123456789/1417/1/
Alcyon%20Ferreira%20de%20Souza%20Junior.pdf. Acesso em: 11 abr. 2020.
45
TOMÁS, E. M. C. Crimes informáticos: legislação brasileira e técnicas de forense
computacional aplicadas à essa modalidade de crime. Orientador: Mauro Cesar
Sobrinho. 2009. 42 f. Monografia (Especialização em Gestão e segurança em redes
de computadores) – Centro Universitário Euro-Americano, Brasília, 2009.
Disponível em: https://artigos. etc.br/crimes-informaticos-legislacao-brasileira-e-
tecnicas-de-forense-computacional- -aplicadas-a-essa-modalidade-de-crime.html.
Acesso em: 11 abr. 2020.

KOZCIAK, P. C. Conceitos de forense computacional. SAGAH – Soluções

Educacionais Integradas, 2020.

46