Perícias Forenses em

Equipamentos Computacionais e
Vestígios Cibernéticos
 EMENTA

● Visão Geral da Computação Forense no Paraná

– Estrutura e funcionamento
– Tipos de Exames
– Por que demora?

● Cuidados a serem tomados, e potenciais riscos

– Apreensão
– Exame “manual”

● Estudo de casos reais

● Tempo para perguntas
VISÃO GERAL DA COMPUTAÇÃO FORENSE
NO PARANÁ
 COMPUTAÇÃO FORENSE

● É a sub-área da Criminalística que visa a coleta,

recuperação e análise de informações armazenadas em
meio eletrônico
– Monitores, impressoras, rádios, etc. NÃO são
examinados pela Computação Forense
● Hoje os computadores, celulares e outros dispositivos
eletrônicos são usados por quase TODAS as pessoas
● Isto faz com que praticamente todos os crimes possam
ter algum tipo de evidência em meio eletrônico
– Logo, não investigamos apenas crimes cibernéticos,
hackers, etc.
 COMPUTAÇÃO FORENSE NO
PARANÁ
Tipos de Exame
Cidade Dispositivos Discos Número de Peritos
Móveis Rígidos Outros

Curitiba Sim Sim Sim 7 (5 de computação)

Londrina Sim Sim Sim 3 (1 de computação)

Maringá Sim Não Não 2 (1 ad hoc)

Francisco
Sim Não Não 1
Beltrão

(total de 14 peritos com formação em Computação no quadro do IC)

 COMPUTAÇÃO FORENSE NO
PARANÁ

Direção Geral da
Polícia Científica

Direção do Instituto
de Criminalística

Direção da Capital Direção do Interior

Computação
Computação Londrina Forense
Forense
Maringá
Francisco Beltrão

– A gerência dos exames de Computação Forense não é centralizada em Curitiba

– Tecnicamente começamos a buscar uma uniformidade nos exames realizados no Estado
 COMPUTAÇÃO FORENSE NO
PARANÁ
Tipos de Exame (Entradas /
Cidade Devoluções + Saídas em 2017)
Dispositivos Móveis Discos Rígidos Outros
2563 / 333 / 471 /
Curitiba
648 + 917 62 + 115 126 + 454
1151 / 117 / 287 /
Londrina
2 + 764 0 + 57 3 + 278
579 /
Maringá Não Não
4 + 359
626 /
Ponta Grossa* Não Não
0 + 486
Francisco 381 /
Não Não
Beltrão 0 + 345

*A Seção de Computação de Ponta Grossa foi desativada em 2018, e seus

exames transferidos para Curitiba
 COMPUTAÇÃO FORENSE NO
PARANÁ
● Atualmente, a Computação Forense de Curitiba tem a
seguinte quantidade de materiais aguardando perícia:
– Dispositivos Móveis: 13.052
– Discos Rígidos: 1.637
– Outros: 2.468

● Por Fila de Prioridade:

– Prioridade Absoluta: 1.412
– Prioridade Legal: 1.918
– Fila Geral: 13.827
 COMPUTAÇÃO FORENSE NO
PARANÁ
● Metodologia de trabalho:
– Exames são classificados por ordem cronológica em
3 filas
● Prioridade Absoluta, Prioridade Legal e Geral

● Fila de celulares da prioridade absoluta zerada

– Somos obrigados a “furar” as filas por ordem judicial,

“sob pena de desobediência” e/ou “multa”
● “Explosão” no número de reiterandos

● Teremos que criar a “Fila dos fura-filas”?

– Única solução: Mais peritos

● Modelo matemático indica a necessidade de 18

peritos para atender a demanda de Curitiba

TIPOS DE EXAME
 EXAMES DA COMPUTAÇÃO
FORENSE
● A capacidade dos equipamentos evolui à uma taxa exponencial
– Lei de Moore: A capacidade de processamento dobra a cada 18
meses
● São perícias que usualmente demandam muito tempo
– Complexidade dos dados
– Quantidade de dados
– Interpretação dos vestígios (dinâmica dos fatos)
● As evidências digitais são extremamente voláteis
– O simples ato de ligar um computador altera centenas de
arquivos
– Por isso, é exigida a duplicação dos dados, e o trabalho forense
na cópia, pois a princípio é uma perícia reproduzível por
terceiros (assistentes técnicos)
 EXAMES DA COMPUTAÇÃO
FORENSE
● Via de regra, o sigilo da comunicação de dados digitais é protegido pela
Constituição Federal
– É necessária autorização judicial para a “quebra” deste sigilo telemático
– Só podemos examinar o que está gravado nos materiais apreendidos
● webmails, redes sociais, dropbox, google drive estão “na nuvem”
● Marco Civil da Internet
– Requer autorização judicial para acesso a dados “na nuvem”
– Autoridade policial / MP pode solicitar a preservação de registros
– Provedores de conexão à Internet guardam registros por 1 ano
– Provedores de aplicações na Internet guardam registros por 6 meses
 EXAMES DA COMPUTAÇÃO
FORENSE
● Exames em discos rígidos
– “Exame em mídia de armazenamento computacional”
– São os exames mais demorados, devido à maior capacidade de
armazenamento, maior diversidade de vestígios, maior número de
técnicas e ferramentas passíveis de utilização
● Exames em dispositivos móveis
– Respondem pela maioria das solicitações de exames recebidas pelo IC
– São os exames mais importantes para o processo investigativo, uma
vez que a vida do proprietário fica registrada no aparelho
● Outros exames:
– Mídias de armazenamento diversas (pendrives, cartões de memória,
discos de backup, etc.)
– Exames em bancos de dados / sistemas de informação
– Exames em local na Internet (“nuvem”)
EXAMES DA COMPUTAÇÃO
FORENSE
 PROCEDIMENTOS DOS
EXAMES
● Para efetuar uma perícia de Computação Forense, vários
passos são necessários:
– Análise “live” do sistema suspeito
● Se necessário, e durante a apreensão

– Apreensão dos equipamentos

– Duplicação Pericial / Extração de dados
– Pré-Processamento dos dados
– Filtragem de dados e Análise Pericial
● Sempre (que possível) nas cópias!

● Normalmente offline (análise do sistema de arquivos)

– Documentação dos Resultados = LAUDO PERICIAL

PROCEDIMENTOS DOS
EXAMES
 EXAMES EM DISCOS RÍGIDOS

● A duplicação dos discos rígidos é feita utilizando um

duplicador de disco com bloqueio de escrita
 EXAMES EM DISCOS RÍGIDOS

● Duplicação dos discos rígidos:

– Cópia bit-a-bit de um disco de origem para um disco de destino
(de maior capacidade que o de origem)
– Operação demorada e proporcional à capacidade de
armazenamento
● Duplicar um disco de 3TB pode levar mais de 10h
● Pré-Processamento da aquisição
– Interpretação e indexação dos dados extraídos
● Softwares: EnCase, FTK, IEF, PhotoRec, IPED
● Operação demorada (vários dias)
● Permite navegar nos sistemas de arquivos, e efetuar buscas por
palavras-chave
– Inviável se disco estiver criptografado, e a senha não for conhecida
“Somente extração / Espelhamento”
 EXAMES EM DISPOSITIVOS
MÓVEIS
● A extração de dados é feita com equipamentos forenses
específicos (Cellebrite UFED, MSAB XRY, Boxes, etc.)
 EXAMES EM DISPOSITIVOS
MÓVEIS
● Nenhuma ferramenta é completa
– Ritmo acelerado de introdução de novos modelos no mercado
– Pouca penetração de mercado de alguns modelos ou fabricantes
– Diversidade de Aplicativos e versões dos mesmos
– Resultado: Suporte não existente ou apenas parcial para alguns
modelos de equipamento
● O ideal é o uso do maior número de ferramentas diferentes ao
mesmo tempo
● Os métodos de extração (Lógica, File System, Física) podem
fornecer resultados diferentes para o mesmo aparelho
– Normalmente devido à decodificação dos arquivos brutos extraídos
● Desenvolvemos a ferramenta “MobileMerger” para organizar e
limpar as diversas extrações das diversas ferramentas
 EXAMES EM DISPOSITIVOS
MÓVEIS

● O Cellebrite não é mágico!

● “Conectar o celular e apertar um botão para gerar um laudo”
– Mentira! Propaganda enganosa!
– A partir do Android 7, não extrai mais o WhatsApp
● Atualmente, ele está até mesmo danificando celulares (param de inicializar)
● Nem chegamos na parte de análise do que foi extraído!
– Interpretação de bancos de dados, fragmentos de mensagens/arquivos apagados,
procedência de vestígios, dinâmica dos fatos...
CUIDADOS A SEREM TOMADOS,
E POTENCIAIS RISCOS
 BUSCA E APREENSÃO
● O CNJ determinou que deve ser apreendido apenas o disco rígido nos
casos usuais de perícia
● O mandado de busca e apreensão deve explicitar a apreensão dos
equipamentos eletrônicos, e de preferência a autorização de acesso aos
dados contidos em seu interior (quebra do sigilo telemático)
– Se necessário, requisitar também acesso a dados “na nuvem” ou na
operadora
● Preservação dos vestígios
– Possibilidade de apagamento remoto (celulares, ambientes de rede
corporativa)
– Arquivos e discos criptografados
● Devem ser copiados antes de desligar os equipamentos
– Dispositivos “camuflados”
– Conexões de rede ativas / compartilhamento de arquivos
● Devem ser documentados antes de desligar os equipamentos
BUSCA E APREENSÃO
 BUSCA E APREENSÃO
● Preservação dos vestígios
– Nem sempre é permitida a apreensão de certos equipamentos,
neste caso é (teoricamente) possível uma duplicação dos dados
no local (apreensão de dados)
● A capacidade de armazenamento está tornando inviável a
duplicação no local
– A escassez de peritos faz com que somente possamos
acompanhar as buscas e apreensões como exceção, e não
como regra
– Há a possibilidade de criarmos um treinamento adicional para os
agentes que participam das buscas e apreensões
 BUSCA E APREENSÃO
● Identificação dos vestígios
– GAECO de Curitiba criou uma ficha de apreensão de celulares /
tablets
● Documentação de senhas e números de linhas telefônicas
– Identificar o local exato onde o material foi localizado pode
ajudar na priorização e realização dos exames
● O material estava com o investigado? Estava à vista ou
guardado? Estava ligado? Aparentava uso frequente? Quem
é o provável proprietário?
● “Fixação do vestígio”
 QUESITAÇÃO

● Durante a apreensão arrecada-se tudo

– Importância de “fixar” cada material para a fase seguinte
● Triagem
– Autoridade solicitante precisa estudar o caso buscando uma priorização
dos materiais
● Quem é o alvo principal?
● Quais os equipamentos que ele efetivamente usava?
● Quais os vestígios de interesse? (WhatsApp, emails,
documentos...)
● Basta “somente a extração” ou é necessária uma análise técnica?
– Peritos não conhecem o caso, e podem auxiliar numa análise técnica
● “Boas perguntas produzem boas respostas”
● Em geral, é mais conveniente uma sucinta descrição do fato sendo
apurado, do que quesitos muito específicos
 EXAME “MANUAL”
● Atualmente há um grande número de solicitações de restituição de
celulares, como o seguinte exemplo:
– “...retorno do aparelho apreendido para a autoridade policial de xxx/PR, a fim de
que sejam transcritas eventuais mensagens de texto e voz enviadas e recebidas
dos referidos terminais e que apresentem qualquer conotação criminosa, bem
como impressas as imagens/fotografias de igual natureza, perfazendo laudo
pericial simplificado...”
● Isto apresenta uma série de riscos:
– Se não forem tomadas precauções tais como colocar o aparelho em modo avião
e retirar o cartão SIM, o aparelho pode sofrer apagamento remoto, ter seus
registros modificados, ser permanentemente bloqueado por exaustão de
tentativas de senha, etc.
– Não serão recuperados eventuais arquivos ou registros apagados, o que pode
mudar o sentido de algumas conversas ou deixar de recuperar evidências
relevantes para o caso
– A grande quantidade de mensagens e arquivos torna este “exame” MUITO
demorado, e altamente sujeito a erro humano
 EXAME “MANUAL”
● Isto apresenta uma série de riscos:
– Eventual interpretação errônea dos vestígios, por falta de conhecimento
técnico específico
● Exemplo 1: A foto de um “tijolo” de maconha encontrada no aparelho foi
criada com o mesmo? Ou recebida em uma conversa de WhatsApp?
Ou baixada automaticamente no aparelho devido à navegação na
Internet resultante da busca por “combate ao tráfico de drogas”?
● Exemplo 2: Uma foto de pornografia infantil foi constatada. Ela foi
criada pelo usuário do aparelho? Enviada para alguém? Foi
intencionalmente armazenada? Ou foi baixada automaticamente em
um grupo do WhatsApp no qual o usuário foi adicionado por terceiros e
o usuário do aparelho nem sabia que a imagem existia em seu
aparelho?
– Não serão analisados vestígios não óbvios, como registros de bancos de
dados
– Possibilidade de questionamento da defesa sobre o manuseio da prova não
ter sido realizado por perito oficial; e se reencaminhado para perícia,
questionamento sobre a cadeia de custódia.
 EXAME “MANUAL”
● Em geral, além de ser solicitada a restituição para a “perícia
simplificada”, também se requer que o aparelho seja restituído
desbloqueado
– Isto demonstra um claro desconhecimento sobre os procedimentos
técnicos do exame de dispositivos móveis
– A remoção de senha é parte do exame pericial, pois não é um
procedimento trivial
● A ferramenta forense pode não ser capaz de remover a senha
● A ferramenta pode destruir o aparelho na tentativa de remover a senha
● A ferramenta pode ser capaz de extrair todas as informações do
aparelho, mas não ser capaz de determinar a senha
● A ferramenta pode levar horas para extrair e processar todas as
informações, para então determinar a senha
● A ferramenta pode remover a senha sem determiná-la
● Isto varia conforme o modelo de aparelho, versão do sistema
operacional, versão do firmware, etc.
ESTUDO DE CASOS
 ESTUDO DE CASOS
●
Exemplo 1: Homicídio em Posto de Gasolina
– Segundo o BO, o vigilante de um posto de gasolina atirou em uma pessoa dentro
de um carro parado no posto. A vítima entrou em óbito no hospital. Segundo o
dono do posto, o sistema de câmeras de vigilância não estava funcionando. Os 3
discos rígidos do sistema de câmeras somente foram apresentados pelo dono do
posto vários dias após os fatos. Ao todo, a Delegacia de Homicídios apreendeu
21 discos rígidos, com o intuito de localizar as possíveis gravações do fato.
– O exame pericial conseguiu demonstrar que o sistema de vigilância encontrava-
se ligado e não indicava nenhuma anomalia, quando foi abruptamente desligado
em horário compatível com o crime.
– Dois dias depois, o disco rígido que continha as gravações da data do crime foi
substituído por outro, que não estava em uso há mais de 1 ano, e que também
continha gravações antigas de um posto de gasolina.
– Foi possível determinar a marca, modelo e número de série do disco substituído,
e que não ele era nenhum dos 21 discos rígidos apreendidos.
– Dono do posto foi condenado por fraude processual, e o vigilante por homicídio
 ESTUDO DE CASOS
● Exemplo 2: Adolescente que matou a tia
– Um adolescente foi preso em flagrante após matar a própria tia a facadas. Em
seu depoimento, alegou que um colega, também adolescente, sabia que ele iria
cometer esse crime. O celular do adolescente preso foi destruído pelo mesmo,
mas o celular do colega suspeito foi apreendido e encaminhado para a perícia.
Em seu depoimento, o colega alegou que achava que era uma brincadeira do
adolescente preso.
– O exame do celular do colega retornou uma série de evidências relacionadas ao
crime (todas elas apagadas).
● Havia uma foto da vítima, ainda viva, ensanguentada e caída no chão no
local do crime e fotos da faca (arma do crime), horas antes da mesma ser
utilizada.
● Havia todo o histórico de conversação via WhatsApp entre os dois colegas,
onde o crime era planejado com a antecedência de vários dias. Havia o claro
apoio do colega ao adolescente que cometeu o crime, inclusive pedindo
para que o crime fosse filmado.
● Logo após cometer o crime, o adolescente enviou a foto da tia ao colega, e
uma mensagem dizendo que estava sendo preso.
● Em seguida, o colega apagou todas as conversações, e fez buscas na
Internet sobre termos como “incentivar alguém a matar” e “cúmplice de
assassinato”.
 ESTUDO DE CASOS
● Exemplo 3: Gravação de adolescente tomando banho
● Foi encaminhado a exame um celular para busca de vídeos ou fotos de
adolescentes tomando banho
● Durante o exame, contatou-se um vídeo gravado no ambiente de um
banheiro
● Imediatamente após este vídeo, foi criado outro arquivo de vídeo muito
grande, mas que estava corrompido (nenhum programa era capaz de
reproduzi-lo)
– Constatou-se que o arquivo estava corrompido pois a gravação de
vídeo foi abortada por falta de espaço no celular
– Foi efetuada uma pesquisa por programas capazes de reparar arquivos
de vídeo incompletos
– O vídeo foi reparado, e apresentava quem escondeu o celular, o celular
sendo escondido e a gravação da adolescente tomando banho
● A “mera extração” não materializaria o delito
 ESTUDO DE CASOS
● Exemplo 4: Esposa incriminando o marido
● Foi encaminhado a exame um computador para investigação acerca de
acessos a conteúdo erótico / pornográfico envolvendo crianças ou
adolescentes por parte de um suspeito, que foi denunciado pela esposa.
● Durante o exame, demonstrou-se que os acessos ao conteúdo ilícito
ocorreram:
– Em um período de tempo restrito (incomum para pedófilos)
– Simultaneamente com a navegação em sites voltados ao público
feminino através de outro navegador de Internet, inclusive com buscas
acerca de divórcio e custódia dos filhos.
● Durante depoimento posterior à entrega do laudo pericial, a esposa
confessou que fez os acessos com o intuito de incriminar o marido e
garantir a guarda dos filhos no divórcio.
● A simples “constatação de arquivos de pornografia infantil” incriminaria um
inocente
 ESTUDO DE CASOS
● Exemplo 5: Mensagens de tráfico de drogas “plantadas”
● Foi encaminhado a exame um celular para constatação de mensagens relativas ao
tráfico de drogas
● Durante o exame, foram constatadas mensagens de texto SMS suspeitas
– Estranhamente todas no mesmo dia (data da prisão), trocadas com um número
de telefone que jamais havia sido contactado antes e que não se encontrava na
agenda
– Nenhuma outra mensagem de texto, áudio ou fotografia possivelmente
relacionada ao tráfico de drogas foram constatadas
● Análise do BO indica que as mensagens suspeitas foram trocadas 9 horas após a
prisão, e o celular se encontrava no batalhão da PM (análise das coordenadas GPS)
– Detalhe: O acusado não foi levado a uma Delegacia da Polícia Civil, foi levado
diretamente à Vara Descentralizada de Santa Felicidade
– Durante a perseguição ao suspeito, a viatura da PM bateu em uma Land Rover
– O BO dizia que o suspeito caiu da moto, arremessou “algo” em um terreno baldio,
depois de busca no terreno, foi encontrada uma “bucha” de maconha, e dada voz
de prisão em flagrante ao suspeito
 ESTUDO DE CASOS
● Outros Exemplos:
– Conversações do WhatsApp não passíveis de recuperação, mas análise das
fotografias indicava a tomada de uma fotografia de um “tijolo” de maconha com o
aparelho em exame, e imediato envio da mesma através do WhatsApp para
algum contato (análise da linha do tempo, metadados EXIF, pastas de
armazenamento dos arquivos)
– Análise dos bancos de dados de mídias de aparelhos celulares permitem
comprovar a criação de vídeos suspeitos (pedofilia), armazenados no cartão de
memória
– Encaminhados pendrives e cartões de memória em caso que “apura ocultação de
cadáver e homicídio ou suicídio” em Cascavel. Cadáver encontrado em uma
plantação de soja, sem marcas de violência. Buscas na residência encontraram
uma carta de suicídio, periciada e dada como autêntica. Foram reconstruídas
conversas de WhatsApp enviadas por e-mail, gravadas no pendrive e depois
apagadas que permitiram datar a carta de suicídio 2 meses antes do encontro de
cadáver, além da recuperação de documentos, fotografias, listas de contatos, etc.
PERGUNTAS?
 CONTATO

● Perito Alexandre Vrubel

– Seção de Computação Forense de Curitiba
– [email protected]
– Telefone: (41) 3281-5556
 REFERÊNCIAS BIBLIOGRÁFICAS

● AYERS, Rick; BROTHERS, Sam; JANSEN, Wayne. Guidelines on mobile forensics.

Gaithersburg: NIST Special Publication 800-101 Revision 1, 2014.
● AYERS, Rick. Computer Forensic Tool Testing (CFTT) Program. Disponível em:
<http://www.cftt.nist.gov/mobile_devices.htm>. Acesso em: 01 abr. 2015.
● BRASIL. Secretaria Nacional de Segurança Pública. Procedimento operacional
padrão – perícia criminal: POP Nº 3.2 Exame pericial de equipamento computacional
portátil. Brasília, 2013.
● BROTHERS, Sam. How cell phone “forensic” tools actually work: Cell phone tool
leveling system. In: U. S. DEPARTMENT OF DEFENSE CYBERCRIME
CONFERENCE, Atlanta, 2011. Trabalho Apresentado. Atlanta: 2011.
● CELLEBRITE. What happens when you press that button: Explaining Cellebrite UFED
data extraction processes. Disponível em:
<https://www.cellebrite.com/collateral/Explaining_Cellebrite_UFED_
Data_Extraction_Processes.pdf>. Acesso em: 28 mar. 2015.
● FGV-EAESP. 26ª Pesquisa Anual do Uso de TI 2015. Disponível em:
<http://eaesp.fgvsp.br/ensinoeconhecimento/centros/cia/pesquisa>. Acesso em: 20
abr. 2015.
 REFERÊNCIAS BIBLIOGRÁFICAS

● FRIEDRICH–ALEXANDER-UNIVERSITAT, Department Informatik. FROST: Forensic

recovery of scrambled telephones. Disponível em: <https://www1.informatik.uni-
erlangen.de/frost>. Acesso em 31 mar. 2015.
● G1. Número de linhas celulares no Brasil cresce 3,5% em 2014. Disponível em:
<http://g1.globo.com/tecnologia/noticia/2015/02/numero-de-linhas-celulares-no-brasil-
cresce-35-em-2014.html>. Acesso em: 29 mar. 2015.
● IBGE. Projeção da população do Brasil e das unidades da federação. Disponível em:
<http://www.ibge.gov.br/apps/populacao/projecao/>. Acesso em: 29 mar. 2015.
● ISO/IEC 27037. Information technology – Security techniques. Guidelines for
collection, acquisition, and preservation of digital evidence. Switzerland: 2012.
● VRUBEL, Alexandre. Using XSLT filters to improve productivity and quality on cell
phone forensics. In: VI INTERNATIONAL CONFERENCE ON FORENSIC
COMPUTER SCIENCE, Florianópolis, 2011. Anais. Florianópolis: ABEAT, 2011. p.
132.
● WILLASSEN, Svein. Forensic analysis of mobile phone internal memory. In:
INTERNATIONAL CONFERENCE ON DIGITAL FORENSICS, Orlando, 2005.
Advances in Digital Forensics, Vol. 194, XVIII, 2006. p.313.