LIVRO INTRODUÇÃO À COMPUTAÇÃO FORENSE - KROTON

Prévia do material em texto

INTRODUÇÃO À
COMPUTAÇÃO FORENSE
W
B
A
04
59
_v
1.
0
2
Juliane Adélia Soares
Londrina 
Editora e Distribuidora Educacional S.A. 
2020
INTRODUÇÃO À COMPUTAÇÃO FORENSE
1ª edição
3
2020
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Presidente
Rodrigo Galindo
Vice-Presidente de Pós-Graduação e Educação Continuada
Paulo de Tarso Pires de Moraes
Conselho Acadêmico
Carlos Roberto Pagani Junior
Camila Braga de Oliveira Higa
Carolina Yaly
Giani Vendramel de Oliveira
Henrique Salustiano Silva
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Tayra Carolina Nascimento Aleixo
Coordenador
Henrique Salustiano Silva
Revisor
Ariel da Silva Dias
Editorial
Alessandra Cristina Fahl
Beatriz Meloni Montefusco
Gilvânia Honório dos Santos
Mariana de Campos Barroso
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)__________________________________________________________________________________________ 
Soares, Juliane Adélia
S676i Introdução à computação forense/ Juliane Adélia
Soares, – Londrina: Editora e Distribuidora Educacional
 S.A. 2020.
 44 p.
 ISBN 978-65-5903-063-7
1. Computação. 2. Forense. 3. Ataques. I. Título.
 
CDD 006
____________________________________________________________________________________________
Raquel Torres - CRB: 6/2786
© 2020 por Editora e Distribuidora Educacional S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de 
sistema de armazenamento e transmissão de informação, sem prévia autorização, 
por escrito, da Editora e Distribuidora Educacional S.A.
4
SUMÁRIO
Computação Forense para segurança digital ________________________ 05
Processos de análise forense _______________________________________ 21
Identificação e reconstituição de ataques __________________________ 37
Recuperação de desastres __________________________________________ 54
INTRODUÇÃO À COMPUTAÇÃO FORENSE
5
Computação Forense para 
segurança digital
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
Objetivos
• Definir segurança da informação e sua 
aplicabilidade.
• Definir Computação Forense e sua aplicabilidade.
• Definir a atuação da Computação Forense na 
segurança da informação.
6
1. Segurança da informação
Em virtude do grande avanço tecnológico e a dependência cada vez 
maior desenvolvida pelas organizações e usuários em geral quanto 
a utilização de equipamentos e sistemas informatizados, os crimes 
digitais também têm tomado grandes proporções.
Portanto, a segurança da informação precisa estar em constante 
aperfeiçoamento, com o intuito de mitigar esses problemas ao 
máximo. Porém, mesmo com uma segurança bem estruturada 
ainda é possível que ocorram fraudes, litígio ou cibercrimes, sendo 
a Computação Forense uma das ciências mais utilizadas para a 
detecção, investigação e resolução destes delitos.
A segurança da informação (SI) é um conjunto de medidas 
destinadas ao gerenciamento de processos, mecanismos e políticas 
para prevenção, detecção, documentação e combate de ameaças 
de acesso, alteração, interrupção, destruição ou inspeção não 
autorizadas, defendendo a existência e continuidade da informação, 
sendo de maneira original ou processada, presente no espaço virtual. 
A SI, conforme Velho (2016), tem como objetivo proteger os ativos de 
informação e infraestruturas críticas de uma organização.
O valor de uma organização está dentro de seus dados e 
informações; desta forma, a segurança é fundamental para as 
operações comerciais, além de garantir a credibilidade e ganhar a 
confiança dos seus clientes, pois tem como pilares a integridade, 
confidencialidade e disponibilidade. Ou seja, a segurança da 
informação é um ponto crítico para a sobrevivência das organizações. 
Essas informações podem existir em diferentes formatos, como 
impressa, armazenada eletronicamente, falada, ou transmitida via 
correio eletrônico, por exemplo. Independentemente do formato, 
7
meio de armazenamento ou transmissão, elas devem ser protegidas 
adequadamente.
Coelho et al. (2014) definem segurança da informação:
Segurança da informação compreende a proteção das informações, 
sistemas, recursos e demais ativos contra desastres, erros (intencionais 
ou não) e manipulação não autorizada, objetivando a redução da 
probabilidade e do impacto de incidentes de segurança. Todos esses 
controles necessitam ser estabelecidos, implementados, monitorados, 
analisados criticamente e melhorados para que assegurem que os 
objetivos do negócio e a segurança da informação da organização sejam 
atendidos. (COELHO et al., 2014, p. 2)
Os autores complementam que a SI protege as informações de 
vários tipos de ameaças para garantir a continuidade do negócio, 
minimizando riscos e maximizando retornos sobre investimentos. 
Ela é o resultado da implementação de um conjunto de controles, os 
quais compreendem políticas, processos, estruturas organizacionais e 
funções de hardware e software.
A ISO/IEC 27001 estabelece as diretrizes gerais para a gestão da 
informação de uma empresa. Esta norma tem como principal objetivo 
a adoção de um conjunto de requisitos, processos e controles com o 
objetivo de mitigar e gerir adequadamente os riscos da organização. 
A ISO/IEC 27001 é uma norma técnica que por ser adquirida através 
da ABNT (Associação Brasileira de Normas Técnicas).
Os pilares básicos da segurança da informação são compostos 
pela tríade da CIA – figura 1: a confidencialidade (Confidentiality), 
a integridade (Integrity) e a disponibilidade (Availability). Os três 
pilares devem trabalhar em conjunto, pois, se algum deles for 
comprometido, não haverá segurança da informação.
8
Figura 1 – Tríade da CIA
Fonte: elaborada pela autora.
• Confidencialidade: diz respeito ao acesso de dados e 
informações somente por pessoas autorizadas. Para garantir a 
confidencialidade, é necessário identificar quem está tentando 
acessar dados e bloquear tentativas de acessos não autorizados. 
Utilização de senhas, criptografia, autenticação e defesa contra 
ataques de penetração, são técnicas que podem ser utilizadas para 
preservar a confidencialidade.
• Integridade: a integridade visa garantir o estado original dos dados, 
ou seja, que a informação acessada não tenha sido modificada ou 
que seja alvo de fraude. Técnicas utilizadas para confiabilidade, 
também protegem a integridade dos dados, pois, um hacker, por 
exemplo, não conseguirá modificar dados que não puder acessar. 
Mas, além disso, existem ferramentas que ajudam a fornecer 
integridade, como aplicar ferramentas de controle de versões 
de arquivos e serviços de backup de confiança, para que seja 
possível recuperar a versão inicial dos dados caso tenham sofrido 
alterações/exclusões acidentais ou não.
9
• Disponibilidade: é a garantia que os dados estejam disponíveis 
sempre que forem solicitados. A disponibilidade visa garantir 
que, aqueles que possuam permissões adequadas, possam 
acessar as informações a qualquer momento, assegurando sua 
acessibilidade. Para que este princípio seja efetivo, depende do 
funcionamento adequado da rede e a eficácia dos sistemas, sendo 
essencial uma correta manutenção da infraestrutura. Para isso é 
necessário um plano de recuperação de desastres e métodos de 
backup eficientes.
A segurança da informação é alcançada por meio de um processo 
estruturado de gerenciamento de riscos que identifica informações, 
ativos relacionados e as ameaças, além das vulnerabilidades e do 
impacto que um acesso não autorizado pode causar. Faz, também, 
avaliação dos riscos e toma decisões sobre como lidar ou tratar desses 
riscos.Na tentativa de mitigá-los são selecionados, projetados e 
implementados controles de segurança. Por fim, é necessário monitorar 
as atividades e fazer ajustes para solucionar novos problemas, fazer 
alterações ou as melhorias necessárias.
A ABNT NBR ISO/IEC 27001 (2013) destaca algumas boas práticas de 
segurança da informação que visam proteger os dados:
• Atualização constante: as falhas em sistemas desatualizados 
são uma das principais brechas exploradas por hackers, a fim 
de realizar invasões. É essencial que a equipe de SI mantenha 
todos os sistemas atualizados, para proteger informações e 
infraestruturas de tecnologia da informação (TI) de ataques de 
cibercriminosos.
• Testes de backup: para proteger dados críticos de qualquer 
possível desastre ou sequestro que possa ocorrer, a rotina de 
backup é crucial para garantir a recuperação das informações e 
continuidade dos negócios. Para isso, as cópias realizadas devem 
ser funcionais, sendo assim, é necessário que se criem rotinas de 
10
teste de backups, para que seja avaliada a qualidade do processo, 
caso haja necessidade de recuperação.
• Controle de acesso: é ideal criar controles de acesso às 
informações por hierarquia, de acordo com a necessidade de cada 
setor, assim, os funcionários só terão os acessos atribuídos ao 
setor ao qual estão lotados. É importante também a política de 
acesso mínimo, não permitindo que os setores tenham acessos 
às informações que não dizem respeito às suas funções. Desta 
forma, minimiza-se o risco de vazamento ou contaminação de 
informações por falha humana, pois diminui-se o contato de 
pessoas com boa parte dos dados críticos.
• Política rígida de senhas: é importante a criação de políticas rígidas 
de senha, exigindo que os colaboradores utilizem combinações de 
letras, números e caracteres especiais, para evitar senhas simples 
que facilitem a ação de cibercriminosos. Dessa forma, temos maior 
proteção aos dados.
• Investir em boas soluções: a equipe de TI é a principal responsável 
por manter a proteção dos dados, no entanto, não é o suficiente. 
É necessário que se invista em softwares de segurança da 
informação como antivírus completos e firewalls.
• Utilizar criptografia: cibercriminosos utilizam criptografia em seus 
ataques, principalmente na utilização de ransonwares, onde os 
dados são sequestrados e criptografados para evitar o uso. Porém, 
esta técnica também é utilizada como proteção contra invasões. 
Criptografar dados críticos garante que, caso esses dados sejam 
roubados, sua visualização será evitada.
• Focar na educação dos colaboradores: a principal brecha de 
segurança das empresas é o fator humano. Os principais ataques 
focam engenharia social para levar a comportamentos que não 
condizem com as boas práticas. Na engenharia social, o criminoso 
obtém a confiança da vítima, enganando-a para extrair dados 
11
pessoais, por meio de telefone, mensagens, e-mails, por exemplo. 
Por isso, os programas de treinamento de segurança não devem 
ser focados apenas em funcionários operacionais, mas sim em 
todos os níveis da organização.
Enfim, a segurança da informação é importante, pois ela não 
protege apenas de invasores externos, mas previne também o 
comprometimento das informações internamente.
2. Computação forense
Ciência forense, em que ciência significa estudo focado em qualquer 
área do conhecimento e a palavra forense significa relativo a ou 
próprio de foro ou relativo à justiça e aos tribunais, é o uso de métodos 
ou conhecimentos científicos para investigar crimes ou examinar 
evidências que podem ser apresentadas em tribunal. Uma ampla gama 
de disciplinas é compreendida pela ciência forense como Criminologia, 
Medicina Legal e Psicologia. Elas podem ser aplicadas em conjunto, 
de acordo com a necessidade da questão a ser respondida. Segundo 
Athayde (2019), a ciência forense é a busca pela verdade e atua dando 
suporte às investigações que se referem à justiça civil e criminal.
As facilidades disponibilizadas pela tecnologia, velocidade de 
comunicação e pela própria especialização dos criminosos, têm 
impulsionado o aumento de crimes envolvendo equipamentos 
computacionais. Para a Norton (2020):
Crime cibernético é todo crime que é executado online ou principalmente 
online. Isso pode incluir desde os roubos de identidade e outras violações 
de segurança a crimes do tipo pornografia de vingança, cyberstalking, 
assédio, bullying e até mesmo exploração sexual infantil. Os terroristas 
colaboram cada vez mais pela internet, transferindo esses terríveis crimes 
para o espaço cibernético. (NORTON, 2020, p. 1)
12
Com esse avanço tecnológico e o aumento dos crimes digitais, a 
Computação Forense tem crescido muito. Ela foi criada com o objetivo 
de suprir as necessidades de instituições legais, referente à manipulação 
das novas evidências eletrônicas, combinando elementos do direito e 
da ciência da computação para coletar e analisar dados digitais, seja de 
sistemas de computador, redes, comunicações sem fio e dispositivos de 
armazenamento.
A ciência da Computação Forense estuda a aquisição, preservação, 
recuperação e análise de dados em formato eletrônico e armazenados 
em algum tipo de mídia computacional. Isso é realizado por meio 
de métodos científicos e sistemáticos, para que, dessa forma, as 
informações sejam caracterizadas como evidências e, após, como provas 
legais, pois, na criminalística, a Computação Forense trata o incidente 
computacional na esfera penal, determinando as causas do incidente, os 
meios utilizados, quem foi o autor e as consequências causadas.
As aplicações da forense pode ser utilizada para:
• Fins legais: ela pode ser usada para investigar casos de 
espionagem industrial e política, roubo de identidade, extorsão e 
ameaças. Como por exemplo, roubar informações estratégicas de 
uma empresa que fazem que ela tenha um diferencial de mercado, 
para roubar ideias e prejudicá-la.
• Ações disciplinares internas: uso indevido de recursos da 
instituição/empresa. Por exemplo, funcionários acessando 
websites indevidos, ou e-mails, podendo ser vítima de engenharia 
social.
• Em recorrência de uma ação ilegal intencionalmente ou não, em 
um alvo potencial, para investigação, tratamento de evidências, 
produção de laudos periciais e validação de casos criminais, por 
exemplo, um funcionário de um banco que utilize seus privilégios 
para se beneficiar através de fraudes bancárias.
13
A Computação Forense é dividida em processos. Os autores Dalla 
Vecchia (2019) e Athayde (2019), dividem esses processos em etapas 
conforme consideram necessário. O primeiro divide em identificação, 
coleta, exame, análise e resultados, enquanto o segundo divide em 
preparação e planejamento, identificação, preservação, documentação, 
coleta e validação, análise e resultados. Não existe certo ou errado entre 
esses métodos, cabe ao profissional identificar qual a melhor sequência. 
Para fins deste capítulo, serão citadas quatro etapas, conforme Figura 2:
Figura 2 – Processos Computação Forense
Fonte: elaborada pela autora.
1. Coleta: etapa que identifica, isola, etiqueta, registra e coleta os 
dados e evidências relacionadas com o incidente que está sendo 
relacionado.
2. Exame: nesta etapa são identificadas e extraídas as informações 
relevantes a partir dos dados coletados, utilizando ferramentas e 
técnicas forenses adequadas.
3. Análise: etapa em que os resultados do exame são analisados, 
para que sejam geradas respostas para as questões apresentadas 
nas fases anteriores.
4. Relatório (resultados): nesta etapa é encontrada a relevância 
para o caso e redigido o laudo pericial.
A preservação da evidência é fundamental no processo, por isso, na 
Computação Forense existe a possibilidade de duplicação de uma 
14
evidência digital, para que a evidência original não seja comprometida. 
Portanto, a evidência original é guardada e preservada, enquanto toda 
a análise é realizada nas cópias realizadas. Caso a coleta da evidêncianão seja realizada de forma correta ou sem controles metodológicos 
necessários, a evidência pode ser destruída.
Segundo Dalla Vecchia (2019), uma das características mais importantes 
na Computação Forense é a garantia de integridade das provas obtidas, 
isso evita que os laudos sejam invalidados por dúvidas referentes a 
eventuais manipulações ou contaminações do material questionado. 
Sendo assim, o perito responsável pelo caso deve tomar os devidos 
cuidados no manuseio dos equipamentos e mídias recebidos para 
análise. O que, segundo o autor, deve garantir que:
• Nenhuma evidência seja alterada ou destruída, garantindo a 
integridade.
• Seja estabelecida e mantida uma cadeia de custódia, que se refere 
à documentação cronológica ou histórico que registra a sequência 
de custódia, controle, transferência, análise e disposição de 
evidências físicas ou eletrônicas.
• Caso o equipamento esteja em uso, o tempo de intervenção deve 
ser o menor possível, para evitar possíveis incidentes.
• Informação não pertinentes ao escopo da investigação não sejam 
divulgados, por princípios éticos e legais.
• Não seja criada alguma condição que possa inviabilizar uma 
verificação futura em caso de possível auditoria.
• Todo o processo seja documentado para permitir a sua 
reprodução futura, em caso de possível auditoria.
15
Com a Computação Forense é possível analisar, também, casos 
particulares, como os ocorridos em empresas. Neste caso, é 
extremamente importante que a empresa possua em sua Política de 
Segurança a especificação de que o monitoramento e a análise do 
conteúdo armazenado, processado ou trafegado pela rede poderá 
ser realizado sem aviso prévio, sendo assim, ao coletar evidências por 
um possível incidente, os colaboradores não poderão alegar que a 
privacidade foi violada.
3. Computação Forense na segurança da 
informação
O campo da Computação Forense tornou-se um dos campos mais 
importantes e lucrativos dos últimos tempos devido ao aumento da 
taxa de crime cibernéticos. O aumento da integração entre servidores 
em nuvem, computadores, smartphones e tablets tem contribuído 
com a vulnerabilidade dos sistemas. Portanto, com a evolução da 
tecnologia, esses ataques também se tornam mais agressivos, sendo 
assim, as tecnologias em segurança da informação também precisam 
estar a cada dia mais sofisticadas, para tentar mitigar os problemas o 
máximo que for possível.
A Computação Forense é uma das ciências mais utilizadas para a 
detecção de possíveis fraudes, litígios ou cibercrimes e é uma parte 
importante da segurança da informação. Porém, mesmo que os 
especialistas em Computação Forense entendam como os criminosos 
violam a segurança da informação, essa ciência não garante a 
confidencialidade, integridade e disponibilidade dos sistemas da 
informação.
Enquanto a segurança da informação é responsável por impedir 
os ataques e identificar caso algum ataque ocorra, a Computação 
16
Forense investiga os ataques, após o evento, determina como 
eles ocorreram e identifica a parte ou os responsáveis. Ou seja, 
os especialistas forenses apenas detectam como os protocolos de 
segurança foram quebrados.
As empresas têm investido muito em um ambiente operacional mais 
tecnológico e, ao mesmo tempo que isso apresenta vantagens para 
as organizações como maior produtividade e agilidade, também 
aumenta os riscos de ataques, invasões, fraudes e outros tipos de 
ameaça virtual.
Várias medidas de segurança podem ser empregadas por uma 
empresa para preservar seu ambiente computacional ao acesso 
indevido. Porém, mesmo que bem empregadas ainda é possível que 
ocorra algum incidente. Quando isso acontece, deve ser realizada a 
análise para entender qual foi a brecha e procurar criar um ambiente 
mais seguro.
Neste contexto, conforme Madeira (2012), a Computação Forense, 
além da coleta de informações e sua formatação para ser 
apresentada legalmente, também é responsável por promover a 
melhora da segurança nas organizações realizando a interpretação 
de uma falha e entendendo as fragilidades de um sistema, sejam nos 
sistemas em si, como na forma em que é manuseado.
As empresas se esforçam para aumentar a segurança da informação, 
porém, acabam esquecendo de reservar recursos internos que sejam 
destinados à estudar as causas e consequências dos incidentes. Essa 
seria a função da Computação Forense dentro da segurança.
Velho (2016) explica a atuação da perícia forense na segurança da 
informação e apresenta práticas que podem tornar a coleta de dados 
mais objetiva. Para isso, o processo é dividido em etapas, que serão 
citadas abaixo.
17
3.1 Registro de informações
O armazenamento correto das informações é de extrema importância 
para que a veracidade e a integridade das provas sejam garantidas, 
devendo ser realizado em localidade segura e só podendo ser acessada 
por profissionais éticos. As informações que devem ser registradas:
• Esterilização de mídias: formatação ou substituição das mídias 
utilizadas na empresa.
• Certificação do uso de ferramentas licenciadas e aptas para o 
trabalho: por meio desse registro, o perito toma conhecimento 
de todos os equipamentos e recursos utilizados pela empresa. É 
importante destacar que nenhuma alteração pode ocorrer sem o 
seu consentimento.
• Registro operacional: todos os detalhes do local devem ser, 
previamente, registrados por fotografias ou vídeos.
É importante destacar que cada acesso realizado a essas informações, 
deve ser obrigatoriamente registrado e controlado, a fim de evitar que 
qualquer dado possa ser acessado por pessoas não autorizadas.
3.2 Coleta de dados
A coleta dos dados é iniciada somente quando o equipamento 
estiver ligado, não podendo ser desligado, de modo que não ocorram 
modificações nas evidências. A coleta consiste em:
• Isolar a área.
• Coletar as evidências digitais.
• Garantir sua integridade.
18
• Identificar os equipamentos.
• Guardar as evidências de forma adequada e segura.
• Organizar e rotular as evidências por categoria.
• Coletar a cadeia de custódia.
3.3 Ata notarial
A ata notarial é um instrumento público, a partir do qual o tabelião, a 
pedido de pessoa interessada, autentica de forma narrativa os fatos, 
pessoas ou situações e tudo aquilo que atesta por seus próprios 
sentidos, sem a emissão de opinião, juizo de valor ou conclusão. Ou 
seja, ao coletar os dados pode ser feita a solicitação da ata notarial, 
para que o tabelião, em razão da fé pública, confirme a existência das 
informações obtidas que caracterizam os fatos.
3.4 Análise ou processo de investigação
Após a coleta dos dados e registros presentes no armazenamento dos 
equipamentos e dispositivos, essas informações são replicadas em algum 
outro local, de forma a preservar as orignais e, assim, iniciar o processo de 
investigação das copias realizadas. A investigação consiste em:
• Identificar locais, eventos ou pessoas envolvidas.
• Correlacionar locais, eventos ou pessoas.
• Reconstruir a cena.
• Documentar os pontos investigados e seus resultados.
A perícia forence realiza a transformação dos resultados obtidos em 
evidências por meio de laudos, anexando evidências e documentos, 
19
para que possibilite que a empresa acione a justiça para tomar medidas 
contra o infrator.
3.5 Preservação de logs
Implementar uma política de preservação de logs é uma ferramenta 
muito importante para a segurança das organizações. Dessa forma, 
o trabalho de um perito forense digital torna-se mais eficiente, já que 
perder registros das ocorrencias é algo que acontece com frequência, o 
que impossibilita que o profissional realize a sua função.
Preservando os logs é possível analisar os dados, conhecer a sequência 
real dos fatos, de modo a detectar um padrão e encontrar o responsável 
pela ocorrência que está sendo periciada.
Essas informações precisam ser facilmente disponibilizadas para a 
perícia quando forem solicitadas. As melhores práticas para conseguir 
realizar essas ações com êxito são:
• Backupsde e-mails, documentos e banco de dados: como as 
informações geradas pertencem à corporação, precisam passar 
por processos de backups diários, diminuindo, assim, os riscos de 
fraudes e movimentações ilícitas. Isso inclui o backup de todos os 
e-mails, documentos, bem como as aplicações e os banco de dados.
• Monitoramento dos documentos: para garantir o conhecimento de 
vulnerabilidades existentes e possíveis fraudes, a movimentação de 
todos os documentos deve ser armazenada. No repositório de logs 
é necessário manter detalhes dos documentos como: alterações em 
datas e horas, localização e outros dados associados; aplicação da 
capacidade de pesquisa e indexação para localizar arquivos privados; 
recuperação e processamento de arquivos compostos, como 
documentos parados em rascunhos, entre outros.
20
Enfim, a segurança da informação e a Computação Forense devem 
andar juntas, enquanto uma protege as informações, a outra investiga 
e relata as causas das possíveis invasões. Por mais bem protegidas que 
sejam as redes, sempre terá alguma ameaça que conseguirá furar o 
bloqueio, sendo o fator humano a principal brecha de segurança dentro 
das organizações.
Portanto, ao utilizar dos conhecimentos da Computação Forense, 
a segurança da informação conseguirá conhecer as causas de suas 
vulnerabilidades e trabalhar para corrigi-las, para tornar os ambientes 
digitais ainda mais seguros.
Referências Bibliográficas
COELHO, F. E. S. et al. Segurança da Informação: NBR 27001 e NBR 27002. Rio de 
Janeiro: RNP, 2014.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27001: 
2013. Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da 
Segurança da Informação – Requisitos. Rio de Janeiro, 2013.
ATHAYDE, Vallim A. P. de. Forense computacional e criptografia. São Paulo: 
Editora Senac, 2019.
NORTON. Como reconhecer e se proteger contra o crime cibernético. 
NortonLifeLock, [s.l.], [s.d.]. Disponível em: https://br.norton.com/internetsecurity-
how-to-how-to-recognize-and-protect-yourself-from-cybercrime.html. Acesso em: 8 
jul. 2020.
DALLA VECCHIA, Evandro. Perícia Digital: da investigação à análise forense. 2. ed. 
São Paulo: Millennium Editora. 2019.
MADEIRA, Mauro N. Forense Computacional. Palhoça: Unisul, 2012.
VELHO, Jesus A. Tratado de Computação Forense. Campinas: Millennium Editora, 
2016.
https://br.norton.com/internetsecurity-how-to-how-to-recognize-and-protect-yourself-from-cybercrime.html
https://br.norton.com/internetsecurity-how-to-how-to-recognize-and-protect-yourself-from-cybercrime.html
21
Processos de análise forense
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
Objetivos
• Identificar processos e aspectos para análise 
forense.
• Identificar e definir processos da análise forense 
computacional.
• Identificar os desafios da Computação Forense.
22
1. Análise forense
O objetivo da forense computacional é responder a questões 
investigativas ou legais para provar ou contrapor um processo judicial 
ou dentro de organizações. Sendo assim, é necessária a realização 
de uma metodologia padrão, para que seja realizada uma perícia de 
qualidade.
A forense computacional pode ser definida como um exame técnico, 
realizado por um especialista em dados armazenados em mídias digitais. 
Ela utiliza um conjunto de técnicas e procedimentos científicos para 
coletar, analisar e apresentar evidências encontradas. Seu objetivo é a 
busca por informações relativas a eventos passados em investigações 
criminais e cíveis, assim como em casos particulares em que pretendem 
acionar a justiça inicialmente (em organizações). De acordo com 
Dalla Vecchia (2019), a análise dos eventos ocorridos, possibilita a 
reconstrução de ações executadas nos diversos equipamentos e mídias 
de armazenamento.
A Computação Forense realiza identificação e processamento de 
evidências de provas materiais de crimes realizados com o uso de 
recursos computacionais, ou que utilizaram destes meios para a 
prática de outros crimes. Sendo assim, quando ocorrem incidentes 
computacionais que possam indicar algum crime, é por meio dela que o 
incidente será tratado na esfera penal.
O crime digital engloba toda e qualquer atividade ilegal realizada com 
o uso da tecnologia. Os criminosos digitais, que podem ser desde um 
indivíduo desonesto até grupos de crime organizado, que utilizam 
técnicas de engenharia social (por exemplo phishing, sextorsão ou 
bots maliciosos), além de malwares, entre outros, para cometer suas 
atividades ilícitas. Essa é uma das atividades criminosas que mais cresce 
no mundo, podendo afetar indivíduos e empresas.
23
O que distingue o crime digital de uma atividade criminosa tradicional 
é a utilização de computadores e outros meios digitais para a sua 
execução, porém, eles não são necessariamente crimes novos. Por 
exemplo, os criminosos não precisam de um computador para cometer 
fraudes, traficar pornografia infantil, violar a privacidade de alguém, 
essas atividades já existiam antes da popularização dos recursos 
computacionais, porém, os criminosos exploram o poder proporcionado 
por essa tecnologia e a acessibilidade de informações principalmente 
por meio da internet. Ou seja, o crime digital representa uma extensão 
do comportamento criminoso existente, além de algumas atividades 
ilegais novas.
Com a evolução da Internet das Coisas (IoT), a cada dia os dispositivos 
inteligentes se tornam mais populares, o que amplia ainda mais as 
possibilidades para os criminosos digitais, principalmente porque estes 
dispositivos geralmente não possuem estruturas para possuir recursos de 
segurança e acabam se tornando alvos fáceis. Esses ataques podem utilizar 
os dispositivos como portas de entradas para atingir uma rede inteira.
No Brasil, existem algumas legislações que regulamentam o uso e os 
crimes digitais como: o Marco Civil da Internet (Lei n. 12.965/2014) 
que estabelece princípios, garantias, direitos e deveres para o uso da 
internet; e a Lei Carolina Dieckmann (Lei n. 12.737/2012) que criminaliza 
a invasão de aparelhos eletrônicos para obtenção de dados particulares. 
O autor Dalla Vecchia (2019) afirma que os crimes digitais podem ser 
classificados de duas maneiras: próprios e impróprios.
• Crime cibernético próprio ou exclusivamente cibernético: 
esses tipos de crime são aqueles que exigem e dependem, 
necessariamente, da utilização de ambiente computacional. Ou 
seja, caso os dispositivos computacionais não existissem, não seria 
possível a realização dos delitos.
24
Nessa categoria enquadram-se crimes como criação e 
disseminação de vírus e códigos maliciosos, roubo de informações 
sigilosas, negação de serviço, invasão e destruição de banco de 
dados, ataques a sites, entre outros.
• Crime cibernético impróprio ou aberto: esse tipo de crime digital 
é aquele em que o ambiente computacional é utilizado como meio 
para execução da conduta ilícita. Ou seja, o computador é apenas 
uma ferramenta de auxílio aos criminosos na prática dos delitos, 
pois os crimes impróprios poderiam ser cometidos por outros 
meios, mesmo sem o uso da tecnologia. Crimes contra a honra, 
ameaça, falsificação, furto e violação de direito autoral são alguns 
exemplos dessa categoria.
Os locais onde ocorrem os crimes computacionais é um local de crime 
convencional, porém, com equipamentos e dispositivos computacionais 
que podem ter relação com os delitos que estão sendo investigados. Ou 
seja, é uma área física onde ocorreu uma suposta infração e nela podem 
ser encontradas evidências úteis para a investigação.
As evidências encontradas nestes locais, podem esclarecer a autoria, 
a dinâmica e a materialidade do delito. Para que isso seja apurado, 
é necessário que a área seja isolada, realizar a análise da cena, 
documentar os vestígios encontrados e efetuar a coleta.
Quando a investigação verifica a necessidade de realização de perícia 
digital, é realizada a busca e apreensão dos equipamentos envolvidos. Em 
casos de investigações criminaise cíveis é necessário um mandado judicial 
para poder realizar este procedimento. Já em casos particulares, em 
organizações, por exemplo, não se faz necessário. O material apreendido 
não deve ser manuseado ou analisado antes do perito responsável pela 
investigação, ele deve permanecer íntegro até que o perito realize os 
procedimentos adequados de preservação de integridade, coleta e análise 
dos dados e a elaboração de um laudo pericial.
25
A forense computacional é composta por aspectos técnicos e 
legais (conforme Figura 1). Os aspectos técnicos compreendem 
parâmetros técnicos relacionados à identificação, preservação, 
análise e formalização, que correspondem aos processos da forense 
computacional. Infraestrutura de laboratório e materiais de perícia 
também são considerados aspectos técnicos. Para Costa (2011), os 
aspectos legais abrangem parâmetros relacionados às legislações 
envolvidas, como Código Penal, Código de Processo Penal, entre outros.
Figura 1 – Aspectos da forense computacional
Fonte: elaborado pelo autor.
A veracidade dos fatos e a autenticidade dos resultados obtidos em 
uma investigação, devem ser comprovadas pelo perito, em caso de 
ação judicial ou pelo analista responsável em casos particulares pois, a 
maneira que os procedimentos são executados, pode gerar implicações. 
Uma perícia bem realizada não terá valor se todas as etapas não forem 
26
efetuadas corretamente, bem como se as questões legais não forem 
respeitadas.
Para isso, existem padrões metodológicos bem definidos que devem 
ser seguidos. Esse padrão tem como objetivo manter um alto nível de 
qualidade das investigações forenses, de modo a garantir confiabilidade 
e precisão das evidências.
2. Processos da análise forense computacional
O Grupo de Trabalho Científico sobre Evidência Digital (SWGDE–Scientific 
Working Group on Digital Evidence), da Organização Internacional de 
Provas de Computador (IOCE–International Organization on Computer 
Evidence), define a metodologia do processo de análise forense como 
obtenção e coleta de dados, identificação, preservação, análise e 
apresentação. Além disso, observa que estes seis procedimentos podem 
ser utilizados para qualquer tipo de análise conhecida, e serem aceitas 
na comunidade científica internacional.
Jordaan (2013), principal cientista forense do Laboratório de Forense 
Digital e Resposta a Incidentes (DFIRLABS – Digital Forensics and 
Incident Response Laboratory), da África do Sul, define a análise forense 
computacional e, ao mesmo tempo, cita o processo de análise forense 
em cinco etapas, junto ao seu conceito, como: identificação, preservação, 
exame e análise de evidências digitais, usando processos cientificamente 
aceitos e validados, e a apresentação final dessa evidência em um 
tribunal para responder a algumas exigências legais.
Apesar da definição, o termo forense computacional, acaba sendo 
utilizada para descrever qualquer tipo de investigação de ataques 
computacionais, mesmo que a aplicação da lei e/ou o sistema judiciário 
não estejam envolvidos.
27
De acordo com Dalla Vecchia (2019), a metodologia do processo de 
análise forense pode ser dividida em cinco etapas: identificação, coleta, 
exame, análise e resultados.
Como vimos, cada autor define esses processos de acordo com as etapas 
que julgar necessário, não existindo uma definição correta ou errada. 
Desta forma, há vários modelos de processos para análise forense 
computacional, que definem a forma como peritos forenses devem 
proceder em sua busca para coletar e entender as evidências. Portanto, 
para fins deste capítulo serão utilizadas quatro etapas, pois, apesar da 
variação, a maioria dos processos segue basicamente: coleta, exame, 
análise e apresentação dos resultados obtidos, conforme Figura 2.
Figura 2 – Processos análise forense computacional
Fonte: elaborada pela autora.
2.1 Coleta
Esta fase de coletas de dados é a primeira parte da Computação Forense 
e baseia-se na execução de um conjunto de procedimentos para 
28
identificar, isolar a área, preservar dados, coletar, garantir integridade, 
embalar e etiquetar as evidências e registrar a cadeia de custódia.
Esta etapa trata de procedimentos realizados na cena do crime ou 
local da busca e apreensão, em caso de perícia criminal, ou onde 
houver suspeita de dispositivos a serem analisados, quando não for 
considerado um crime. Assim como em um local de crime convencional, 
as evidências e provas devem ser preservadas, os dados contidos no 
material para exames forenses não devem ser alterados. A cadeia de 
custódia é uma das principais obrigações do perito, que deve garantir 
a proteção e integridade da prova, de modo a evitar questionamentos 
quanto à origem ou estado inicial. Qualquer suspeita pode acarretar a 
anulação da prova.
Portanto, a primeira atitude de um perito no local do crime ou ao 
cumprir mandado de busca e apreensão, deve ser a preservação dos 
dados digitais. Para isso, os equipamentos não podem ser utilizados 
de forma alguma para que não se corra o risco de que dados sejam 
apagados, mesmo que sem intenção. Equipamentos que estejam 
desligados devem ser mantidos assim (post mortem, que em latim 
significa após a morte, quando o perito deve proteger as mídias contra 
gravação para realizar a duplicação), porque ao ser ligado, altera 
arquivos, datas de último acesso e criam arquivos temporários, mesmo 
sem executar ação alguma. Equipamentos que se encontrem ligados 
(Live Forensics ou forense ao vivo, que se caracteriza pela coleta de 
dados do equipamento ainda em funcionamento), antes de qualquer 
ação, é necessário a cópia das informações da memória RAM (Random 
Access Memory), pois elas possuem informações voláteis, que podem ser 
perdidas ao desligar o equipamento.
Em seguida, o perito deve fazer o reconhecimento do local e identificar 
quais os dispositivos são úteis para a perícia, como gabinetes de 
computador, notebooks, tablets e mídias como, HDs, pen drives, cartões 
de memória, entre outros. Em alguns casos é necessário que apenas as 
29
mídias sejam apreendidas e, para isso, são necessários alguns cuidados, 
como afirma Dalla Vecchia (2019):
(1) se o equipamento estiver ligado, que a data e o horário dele sejam 
verificados antes de desligar e retirar as mídias internas; (2) se o 
equipamento estiver desligado, que as mídias sejam retiradas e, após, a 
máquina seja ligada (sem nenhuma mídia conectada) para verificar a data 
e o horário, por meio do setup. Todos esses dados devem ser registrados, 
pois serão úteis durante a análise pericial, caso haja inconsistências de datas/
horários em arquivos e registros do sistema. (DALLA VECCHIA, 2019, p. 104)
Porém, como complementa o autor, em algumas situações o 
equipamento é útil ou necessário para a análise, como quando há 
quesitos relacionados ao equipamento, para verificar se possui 
componentes falsificados, por exemplo, ou quando o equipamento é 
projetado para um fim específico e os dados gravados utilizando sistema 
de arquivos proprietário, alguns fabricantes de DVR (equipamentos com 
entrada de captura de vídeo, que grava os vídeos em uma unidade de 
discos).
Em seguida, é necessário que o perito, ou analista responsável, realize 
a coleta física do que será apreendido, com a devida identificação 
detalhada. Para mídias sensíveis, como HDs, devem ser utilizadas 
embalagens especiais, de preferência antiestáticas e com proteção 
contra quedas para que não sejam danificados durante o transporte.
Todos os itens devem ser fotografados ou filmados, assim como todo o 
ambiente em que os dispositivos se encontram, devem ser identificados 
com etiquetas, embalados devidamente e lacrados. Também é 
importante fazer uma descrição detalhada de todos os dispositivos e/
ou equipamentos que foram apreendidos, para caso as etiquetas ou 
fotografias se percam.
Antes de iniciar a análise dos dispositivos apreendidos é necessário 
que se realizem cópias fiéis do material original, a partir de técnicas de30
duplicação, como espelhamento. Uma análise realizada diretamente na 
mídia original, poderia alterar dados e comprometer a prova pericial.
O espelhamento realiza a cópia de todos os bits do dispositivo, inclusive 
a área não alocada pelo sistema de arquivos; dessa forma, o disco 
de destino deve ter capacidade igual ou superior ao que está sendo 
copiado. A partir deste procedimento é possível realizar a recuperação 
de dados que foram excluídos diretamente na cópia, não sendo mais 
necessária a utilização do dispositivo original.
2.2 Exame
Após a coleta dos dados são aplicados procedimentos de aplicação de 
filtros, busca por palavra-chave, recuperação de dados excluídos, entre 
outros. Esses procedimentos devem ser aplicados com o intuito de 
reduzir a quantidade de dados a ser analisada, ou seja, é um filtro para 
que os peritos possam analisar uma quantidade menor de dados.
Ou seja, esta etapa da Computação Forense consiste na recuperação, 
reunião, organização de todas as informações existentes nas cópias 
dos dados. Esta etapa é de extrema importância, pois a análise das 
evidências é realizada a partir dos resultados obtidos no exame. 
Portanto, caso não sejam examinados todas as partes de um disco 
rígido, por exemplo, poderá comprometer todo o processo pericial, 
afetando os resultados finais. O exame realiza a redução dos arquivos, 
que descarta da análise informações que não são relevantes ao escopo 
do exame, como drivers e jogos.
Almeida (2011) afirma que a extração dos dados deve ser realizada 
de maneira minuciosa e com extrema atenção, pois as evidências do 
crime podem estar nas áreas mais improváveis do disco, ou terem sido 
removidas. Sendo assim, o perito não pode se limitar apenas em coletar 
os dados visíveis, porque os dispositivos de armazenamento guardam 
muito mais informações do que as acessadas por um usuário. Dessa 
31
forma, os HDs podem ser divididos em camadas, sendo que na camada 
mais artificial estão os arquivos visíveis dos usuários, e as mais internas 
abrangem arquivos ocultos, criptografados, temporários, apagados, bem 
como fragmentos de arquivos, banco de dados, registro de impressões, 
entre outros. Quanto mais profundo o exame, maior a complexidade 
para exploração das camadas, se fazendo necessário o uso de técnicas 
especiais para recuperação e interpretação dos dados. Almeida (2011) 
conclui:
Ao varrer todos os bits de um dispositivo de armazenamento 
computacional, além de recuperar as informações de arquivos excluídos, 
também é feita a indexação dos dados contidos nele. Ela consiste em 
localizar todas as assinaturas de arquivos conhecidas, organizando-as de 
forma que sejam acessadas e recuperadas rapidamente. Após a execução 
desse processo, é possível saber quais e quantas são as ocorrências de 
cada uma das cadeias alfanuméricas. É criada então uma espécie de 
catálogo contendo cada umas das cadeias encontradas e sua localização, 
possibilitando a realização de buscas rápidas por palavras-chave no 
conteúdo dos dispositivos examinados. (ALMEIDA, 2011, p. 24)
Após a conclusão da coleta e indexação dos dados, o perito deve iniciar 
a análise pericial.
2.3 Análise
Nesta etapa é realizada a busca por vestígios relacionados ao crime 
suspeito nas informações extraídas na etapa de exame. As autoridades 
solicitantes, devem elaborar quesitos claros e específicos, pois há uma 
etapa de análise manual pelo perito e analisar individualmente todo o 
conteúdo do dispositivo de armazenamento seria inviável.
O recomendado é que as autoridades declarem os tipos de arquivos 
procurados e utilizem quesitos como nomes de pessoas ou empresas, 
por exemplo, possibilitando a procura de evidências por meio de 
palavras-chave.
32
O perito deve analisar os resultados manualmente para verificar quais 
os resultados constituem evidências para serem descritos e inseridos 
no laudo pericial. É muito comum que nesta etapa sejam encontrados 
novos elementos úteis para o objetivo da perícia. Quando isso acontece, 
é necessário retornar a etapa anterior e realizar o exame novamente, 
aplicando novos filtros.
Por exemplo: a autoridade declara um quesito X e um quesito Y, por 
serem nomes suspeitos. Após a indexação dos dados, o perito faz a 
busca por X e Y, porém, na análise desses resultados o perito descobre 
que X e Y citam Z como parte da operação. Dessa forma é preciso 
realizar novamente o exame de todos os dados, acrescentando Z e, 
também, a palavra operação que foi citada na comunicação entre X e 
Y. Depois de completar a etapa anterior, é preciso começar a análise 
novamente e buscar pelas novas palavras-chave. O processo deve ser 
repetido quantas vezes for necessário.
É possível observar que a etapa da análise é bastante trabalhosa 
e deve ser feita com muita cautela, pois é nessa fase que se chega 
aos resultados da perícia. Velho (2016) afirma que nesta etapa, a 
intuição, a experiência e as habilidades técnicas do perito adquirem 
maior relevância, portanto, o desenvolvimento da habilidade técnico 
investigativa é tão ou mais importante quanto à seleção de ferramentas 
adequadas, sendo essencial para a execução de um bom trabalho de 
forense computacional.
2.4 Resultados
Após a realização de todos os procedimentos citados anteriormente, 
o resultado deve ser relatado em um laudo pericial ou um parecer 
técnico. É neste documento que são relatados os resultados da perícia, 
bem como a descrição da metodologia utilizada, os procedimentos 
aplicados, relação das evidências encontradas, respostas aos quesitos 
33
questionados pela autoridade solicitante. O laudo pericial é o principal 
documento emitido por um perito oficial.
É importante que o perito tenha habilidades para transformar em texto 
tudo o que foi realizado tecnicamente durante os processos da forense 
computacional. O laudo deve ser de qualidade, apresentar clareza e 
objetividade. O texto redigido deve ser compreensível, evitando de 
utilizar termos técnicos sempre que possível. O resultado deve ser 
imparcial, independente da opinião individual do perito, ele deve apenas 
observar, realizar os procedimentos e relatar o que foi encontrado.
Após o encerramento da perícia e a entrega do laudo, caso as 
autoridades solicitantes tenham alguma dúvida em relação aos quesitos 
respondidos pelo perito, o laudo retorna com essas questões e o perito 
deve realizar os esclarecimentos solicitados.
3. Desafios da Computação Forense
Durante todo o processo da investigação, o perito pode se deparar com 
diversos desafios, que podem vir a atrapalhar ou até impossibilitar a 
apuração dos fatos. Por exemplo, o perito pode encontrar arquivos, 
partições ou containers com senhas, suspeita do uso de esteganografia, 
suspeita de utilização de wipe. Esses desafios consistem em métodos 
de remoção, ocultação ou destruição das evidências, com o intuito de 
atrapalhar os resultados de uma análise forense computacional. Alguns 
desses desafios são citados abaixo:
• Quantidade de arquivos: com o rápido avanço da tecnologia, 
as técnicas de coleta e análise de dados tem dificuldade em 
acompanhar o mesmo ritmo. Atualmente, os dispositivos são 
vendidos em Terabyte (TB), o que aumenta consideravelmente 
o número de informações armazenadas. Almeida (2011) declara 
34
que, em alguns casos, dispositivos com capacidade inferior a 100 
Gigabyte (GB) podem ter mais de um milhão de arquivos.
A possibilidade de manipular e encontrar evidências desejadas 
nessa quantidade de dados é um grande desafio para os peritos. 
É essencial que o profissional tenha conhecimento sobre a 
investigação e que a autoridade solicitante entregue quesitos 
bem claros, pois, analisar de maneira individual todos os arquivos 
contidos nessas mídias se torna inviável.
• Partições ou containers com senha: os containers são um 
conjunto de arquivos criptografados por um software. Geralmente 
é necessário a utilização do mesmo software e a senha correta 
para pode acessar o conteúdo de um container.
Além dos containers,é muito comum que os peritos se deparem 
em arquivos e programas protegidos por senhas que podem 
ocultar possíveis evidências durante uma investigação. É preciso 
que o perito conheça algumas técnicas para que essas senhas 
sejam quebradas e o acesso liberado, como tentativa e erro e 
algumas ferramentas utilizadas para esses fins.
• Criptografia: a criptografia é uma técnica para escrever em 
códigos, ou seja, com o uso de algoritmos matemáticos, que 
transforma uma informação legível em um texto incompreensível. 
A criptografia é utilizada para tentar garantir a privacidade dos 
dados. Quando o perito se depara com essa situação, é necessário 
que ele verifique se existem programas instalados no equipamento 
analisado que executem essa tarefa. Deste modo é possível saber 
qual foi o algoritmo utilizado para a criptografia, ou manipular o 
software para que ele realize a decodificação do conteúdo dos 
dados. Para tal, o perito deve possuir conhecimentos avançados 
sobre criptografia, para poder apurar as ferramentas capazes de 
recuperar a informação original.
35
• Esteganografia: a esteganografia é a arte de esconder mensagens. 
Assim como a criptografia, ela é uma técnica que protege a 
confidencialidade da informação. Porém, a esteganografia 
tem como objetivo que ninguém perceba que a mensagem se 
encontra escondida. Com o uso dessa técnica, torna-se muito difícil 
identificar a presença de uma mensagem oculta, podendo ser 
transmitida sem que seja percebida, já que o arquivo pode estar 
dentro de algum outro arquivo considerado comum para o uso do 
computador.
Existem diversas técnicas de esteganografia, o que dificulta 
a análise de um perito. Nesses casos, ele precisa descobrir o 
tipo utilizado para ocultar o arquivo. Caso não seja possível, o 
procedimento deve ser o mesmo da criptografia, verificar se 
há softwares específicos no dispositivo examinado, para poder 
conhecer a técnica utilizada.
• Wipe: wipe significa limpar, ou seja, essa técnica limpa todo 
o dispositivo de armazenamento e sobrescreve todos os 
setores utilizando 0 ou 1. Caso o wipe seja utilizado, a perícia 
é impossibilitada e o perito não conseguirá acessar os dados 
sobrescritos.
De acordo com Dalla Vecchia (2019), caso se depare com essas 
situações, o perito deverá utilizar softwares e conhecimentos adequados 
para tentar abrir o conteúdo escondido ou protegido, além de verificar 
se houve a destruição dos dados de maneira intencional.
Enfim, a Computação Forense é a resposta para determinar exatamente 
o que aconteceu, o que causou a ocorrência no ambiente digital por 
meio de uma metodologia padrão, seguindo as etapas de coleta, exame, 
análise e resultados. Durante um exame, as etapas do processo podem 
ser repetidas quantas vezes se fizerem necessárias para a resolução da 
questão. Após a finalização da análise, é elaborado um laudo com todas 
36
as questões referentes à investigação, tais como a metodologia utilizada, 
relação das evidências encontradas e respostas aos quesitos solicitadas.
Com a evolução acelerada da tecnologia, inevitavelmente os crimes 
digitais estão acompanhando esse crescimento, portanto, a forense 
computacional se faz cada dia mais necessária.
Referências Bibliográficas
DALLA VECCHIA, Evandro. Perícia Digital: da investigação à análise forense. 2. ed. 
São Paulo: Millennium Editora Ltda. 2019.
VELHO, Jesus A. Tratado de Computação Forense. Campinas: Millennium Editora, 
2016.
COSTA, A. S. L. Computação Forense: a análise forense no contexto da resposta a 
incidentes computacionais. 3. ed. Campinas: Millennium, 2011.
ALMEIDA, Rafael N. Perícia Forense Computacional: estudo das técnicas utilizadas 
para coleta e análise de vestígios digitais. 2011. 48 f. Trabalho de Conclusão 
de Curso (Tecnólogo em Processamento de Dados) – FATEC, São Paulo. 2011. 
Disponível em: http://www.fatecsp.br/dti/tcc/tcc0035.pdf. Acesso em: 18 jul. 2020.
JORDAAN, Jason. Ensuring the Legality of the Digital Forensics Process in 
South Africa. International Journal of Computer Applications, Nova York, 
v. 68, n. 23, abr./2013 Disponível em: http://citeseerx.ist.psu.edu/viewdoc/
download?doi=10.1.1.403.9498&rep=rep1&type=pdf. Acesso em: 18 jul. 2020.
http://www.fatecsp.br/dti/tcc/tcc0035.pdf
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.403.9498&rep=rep1&type=pdf
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.403.9498&rep=rep1&type=pdf
37
Identificação e reconstituição de 
ataques
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
Objetivos
• Entender o que os ataques têm a ensinar.
• Identificar o ataque e sua extensão.
• Entender e reconstruir a ordem dos eventos.
38
1. Ciberataques
A dependência tecnológica está em constante crescimento, 
principalmente nas organizações. A era digital traz inúmeros 
benefícios. Porém, junto com isso, crescem também os riscos de 
segurança cibernética. Novas técnicas para comprometer ambientes 
computacionais surgem a cada dia, com o intuito de quebrar 
barreiras e encontrar vulnerabilidades nos sistemas. Portanto, as 
organizações devem implementar uma boa política de segurança 
para detecção e proteção de ataques.
Um ciberataque, ou ataque cibernético, é um ataque lançado 
por cibercriminosos usando meios digitais para obter acessos 
não autorizados em sistemas de informação de computadores, 
infraestruturas, redes ou qualquer dispositivo digital, com o intuito de 
roubar, alterar, destruir dados sem autorização.
Um ciberataque bem sucedido, pode causar grandes danos aos seus 
negócios, como afetar resultados, a posição da empresa e a confiança 
do consumidor. O impacto de uma violação de segurança pode ser 
financeiro, de reputação ou jurídica.
Perdas financeiras substanciais podem ocorrer devido a roubo de 
informações corporativas, de informações financeiras, de dinheiro, 
interrupção de negociações, perdas de negócios ou contrato, entre 
outros, além de custos associados ao reparo de sistemas, redes e 
dispositivos afetados.
A confiança é um elemento essencial do relacionamento com o 
cliente, pois as violações de segurança podem causar danos à 
reputação. Se a segurança da empresa não é confiável, seus clientes 
39
provavelmente irão migrar para um concorrente, resultando em 
perda de vendas e lucros. O efeito de danos à reputação pode afetar 
fornecedores ou relacionamentos com parceiros e investidores.
Além disso, também há consequências legais para empresas que 
sofrem ataques cibernéticos. A Lei Geral de Proteção dos Dados 
(LGPD) exige a segurança de todos os dados pessoais que a empresa 
possui, seja de colaboradores ou clientes. Se esses dados forem 
comprometidos, acidentalmente ou deliberadamente, poderá resultar 
em sanções regulamentares e pagamento de multas.
Qualquer empresa pode sofrer ciberataques, e suas consequências 
podem ser devastadoras. Portanto, é necessário criar procedimentos 
que descrevam ações a serem tomadas em caso de ocorrência de 
incidentes de segurança, inclusive para incidentes inesperados.
O gerenciamento de riscos é o processo contínuo de identificação, 
avaliação e respostas a riscos. Para isso, as organizações devem 
compreender a probabilidade de ocorrência de um evento e os 
possíveis impactos. Dessa forma, o Instituto Nacional de Padrões e 
Tecnologia (NIST–National Institute of Standards and Technology) (2018) 
apresenta um framework que traz um modelo de gerenciamento de 
riscos, composto por cinco etapas, que vai desde a identificação até a 
resposta e recuperação de incidentes, o qual podemos utilizar como 
modelo para um processo gerenciável de ataques, que também é 
considerado como um incidente em uma organização. A Figura 1 
apresenta as cinco etapas do framework.
40
Figura 1 – Framework de cyber segurança
Fonte: adaptada de NIST (2018).
O NIST (2018) define cada uma das etapas:
• Identificar: nesta etapa é necessário o desenvolvimento de um 
entendimento organizacional para o gerenciamento de riscos de 
segurança cibernética para sistemas,pessoas, dados e recursos. 
Nesta etapa, estão incluídos gerenciamento de ativos, ambiente 
de negócios, governança, avaliação de risco e estratégia de 
gerenciamento de riscos.
• Proteger: é necessário desenvolver e implementar salvaguardas 
apropriadas para garantir a entrega de informações críticas a 
serviços. Esta etapa inclui gerenciamento de identidade e controle 
de acesso, conscientização e treinamento, segurança de dados, 
processos e procedimentos de proteção de informações e 
manutenção.
• Detectar: nesta etapa, deve ocorrer o desenvolvimento e 
implementação de atividades apropriadas para identificar a 
ocorrência de um evento de segurança cibernética. Esta etapa 
41
apresenta anomalias e eventos, monitoramento de segurança 
contínuo e processos de detecção.
• Responder: nesta etapa, deve ocorrer o desenvolvimento e 
implementação de atividades apropriadas para tomar medidas 
em relação a um ataque cibernético detectado. Planejamento 
de respostas, comunicações, análise, mitigação e melhorias são 
apresentadas dentro desta etapa.
• Recuperar: desenvolver e implementar atividades apropriadas 
para manter planos de resiliência e restaurar quaisquer recursos 
ou serviços prejudicados devido a um ataque cibernético, ou 
seja, suporta a recuperação oportuna de operações normais para 
reduzir o impacto de um ciberataque. Nesta etapa, estão incluídos 
planejamento de recuperação, melhorias e comunicações.
A partir deste modelo de gerenciamento de riscos de cyber segurança, é 
possível realizar um processo detalhado de identificação e reconstituição 
de ataques.
2. Identificar o ataque e sua extensão
Incidentes de segurança podem ser causados por qualquer tipo de 
ataque realizado à infraestrutura de informação de uma empresa, 
sendo lógico ou físico. Quando uma máquina está comprometida, 
normalmente ela começa a perder desempenho, pois está sendo 
utilizada pelo hacker ou vírus para fins diferentes para os quais se 
destina. Dessa forma, como diz Venere (2009), a análise forense deve 
tentar identificar sinais de comprometimento, o que pode ajudar a 
empresa a descobrir se outros servidores estão comprometidos também 
ou não, pelos seus comportamentos.
42
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança 
do Brasil – Cert.br (2012), alerta que cada tipo de código malicioso 
(malware) apresenta características próprias que o define e o diferencia 
dos demais tipos, como: forma de obtenção, forma de instalação, meios 
usados para a propagação e ações maliciosas mais comuns que são 
executadas nos dispositivos infectados. Desta forma, o Cert.br (2012) 
apresenta um resumo comparativo das características de cada tipo, 
representados no Quadro 1. Os códigos maliciosos comparados são:
• Vírus: software ou parte de um software que se propaga inserindo 
cópias de si mesmo. Ele se torna ativo ao software contaminado 
ser executado, tornando-se parte de outros programas e arquivos.
• Worm: software que se propaga automaticamente pelas redes, 
enviando cópias de si mesmo de dispositivo para dispositivo. Ele 
se torna ativo pela execução direta de suas copias e, é responsável 
por consumir muitos recursos, devido à grande quantidade de 
cópias de si mesmo que costuma propagar.
• Bot: software que dispõe de mecanismos de comunicação com 
o invasor, que permitem que ele seja controlado remotamente. 
Ele se propaga automaticamente, explorando vulnerabilidades 
existentes em softwares instalados em computadores.
• Trojan: ou cavalo de Troia, é um software que, além de executar 
as funções para as quais foi aparentemente projetado, também 
executa as funções maliciosas sem o conhecimento do usuário. Ele 
é ativado por meio da sua execução direta.
• Spyware: projetado para monitorar as atividades de um sistema 
e enviar as informações coletadas para terceiros. Ele pode ser 
legítimo, quando é instalado em um equipamento para que sua 
utilização seja monitorada, para verificar se os usuários estão 
utilizando de forma correta. Ou malicioso, quando executa 
ações que podem comprometer a privacidade do usuário e do 
43
equipamento, como monitorar e capturar informações, como 
usuário e senha.
• Backdoor: software que permite o retorno de um invasor a um 
computador comprometido, por meio da inclusão de serviços 
criados ou modificados para este fim. Ele pode ser incluído 
pela ação de outros códigos maliciosos que tenham infectado 
o equipamento previamente, ou por atacantes que exploram 
vulnerabilidades nos softwares instalados.
• Rootkit: conjunto de softwares e técnicas que permite esconder e 
assegurar a presença de um invasor ou de outro código malicioso 
em um computador comprometido. Ele é capaz de remover 
evidências de arquivos de log, por exemplo.
Quadro 1 – Códigos maliciosos
Códigos Maliciosos 
 
Ví
ru
s
W
or
m
B
ot
Tr
oj
an
Sp
yw
ar
e
B
ac
kd
oo
r
R
oo
tk
it
 Como é obtido: 
 Recebido automaticamente pela rede. V V 
 Recebido por e-mail. V V V V V 
 Baixado de sites na internet. V V V V V 
 Compartilhamento de arquivos. V V V V V 
 Uso de mídias removíveis infectadas. V V V V V 
 Redes sociais. V V V V V 
 Mensagens instantâneas. V V V V V 
 Inserido por um invasor. V V V V V V
 Ação de outro código malicioso. V V V V V V
 Como ocorre a instalação: 
 Execução de um arquivo infectado. V 
 Execução explícita do código malicioso. V V V V 
 Via execução de outro código malicioso. V V
 Exploração de vulnerabilidades. V V V V
44
 Como se propaga: 
 Insere cópia de si próprio em arquivos. V 
 Envia cópia de si próprio automaticamente pela rede. V V 
 Envia cópia de si próprio automaticamente por e-mail. V V 
 Não se propaga. V V V V
 Ações maliciosas mais comuns: 
 Altera e/ou remove arquivos. V V V
 Consome grande quantidade de recursos. V V 
 Furta informações sensíveis. V V V 
 Instala outros códigos maliciosos. V V V V
 Possibilita o retorno do invasor. V V
 Envia spam e phishing. V 
 Desfere ataques na internet. V V 
 Procura se manter escondido. V V V V
Fonte: Cert.br (2012, p. 31).
O Cert.br (2012) complementa que os principais motivos que levam 
um atacante a desenvolver e a propagar malwares são para obtenção 
de vantagens financeiras, coleta de informações confidenciais, 
autopromoção e vandalismo. Além disso, muitas vezes são usados como 
intermediários, possibilitando a prática de golpes, realização de ataques 
e a disseminação de spam.
Malwares mais sofisticados podem identificar o sistema operacional 
da vítima e implantar um programa malicioso específico. Além disso, 
os desenvolvedores desses códigos maliciosos tentam elaborar 
mecanismos que não deixem vestígios ou que deixem vestígios bastante 
similares aos das atividades legítimas em sistemas e redes.
De acordo com Velho (2016), sistemas de detecção de intrusões (IDS 
– Intrusion Detection Systems) são dispositivos de hardware, software 
ou combinação dos dois, que fazem o monitoramento das atividades 
relacionadas ao sistema ou à rede em busca de atividades não 
autorizadas ou violações de políticas de segurança em uma corporação.
45
O IDS é um dos elementos essenciais à infraestrutura de segurança, 
pois ele monitora a rede e o sistema em busca de sinais que podem 
constituir um ataque de invasão ou um usuário legítimo utilizando 
de suas autorizações para fazer mau uso do sistema. Os sistemas de 
prevenção contra intrusões, também monitoram os pacotes de rede 
que entram no sistema para verificar as atividades maliciosas envolvidas 
nele e enviam as notificações de aviso imediatamente. Além disso, 
ele pode auxiliar os administradores na recuperação de dados, e na 
identificação e rastreamento de ações de um atacante. No sistema ativo, 
pode bloquear automaticamente ataques ou atividades suspeitas, ou 
seja, ao detectar uma possível violação, finaliza a sessão de usuário ou 
reprograma o firewall para bloqueio de tráfego da fonte suspeita.No 
sistema passivo, faz o monitoramento do tráfego que passa através dele, 
ao identificar possíveis ataques ou anormalidades, registra a informação 
e emite um alerta para os administradores de segurança.
Velho (2016) afirma que, quanto à metodologia, existem dois tipos de 
detecções: baseada em padrões e baseada em assinaturas. A primeira 
monitora o tráfego de rede e compara a um padrão de comportamento 
esperado. Esse padrão leva em consideração a banda normalmente 
utilizada, protocolos, portas e conexões mais comuns entre dispositivos, 
se alguma atividade fora do padrão é detectada, o IDS emite um alerta.
Já a segunda metodologia, baseada em assinaturas, monitora os pacotes 
em uma rede, fazendo comparações com assinaturas ou atributos de 
ameaças maliciosas conhecidas. Ou seja, se baseia em um banco de 
dados que reconhece a assinatura de vulnerabilidades já identificadas 
anteriormente. Sendo assim, é extremamente importante que a 
estrutura tenha uma política de atualização contínua desse banco de 
dados, para garantir a continuidade de segurança do ambiente.
Os sistemas de detecção de intrusões possuem duas principais formas de 
atuação, que é o IDS baseado em host (HIDS – Host-based Intrusion Detection 
Systems) e IDS baseado em rede (NIDS – Network Intrusion Detection Systems).
46
O HIDS monitora os pacotes de entrada e saída do dispositivo e alerta 
o administrador caso sejam detectadas atividades suspeitas. Além de 
intrusão externa, ele também detecta acessos indevidos de usuários 
internos, por meio de atividades suspeitas que, de acordo com Velho 
(2016), podem ser falhas de autenticação, tentativas de alteração 
em processos do sistemas e programas em execução, alterações em 
privilégios de usuários, acessos a arquivos não autorizados, correlação 
de eventos e análise de logs. Em nível de sistema operacional eles 
podem detectar trojans e ataques que envolvem problemas de 
integridade dos aplicativos.
O NIDS é posicionado estrategicamente na rede de computadores 
para monitorar seu tráfego e fazer sua análise de acordo com padrões 
de assinaturas conhecidas e comportamentos esperados. Caso um 
ataque seja identificado ou comportamento anormal é observado, um 
alerta é enviado ao administrador da rede ou o próprio NIDS toma 
medidas reativas, realizando o bloqueio ao ataque. Em muitas soluções 
de sistemas de detecção de intrusão de redes, mesmo atuando em 
conjunto com o firewall, algumas ameaças chegam ocultas em tráfego 
autêntico. Um exemplo disso é o protocolo ICMP (Internet Control 
Message Protocol), que é utilizado para transmissão de informações de 
erro ou indicação de congestionamento de pacotes, não sendo esperado 
que transporte dados de aplicações. Sendo assim, dados maliciosos 
podem ser embutidos no campo de dados opcionais, não sendo 
detectado pelo NIDS. Desta forma, a maneira mais eficiente de detecção 
de intrusão é uma solução de HIDS e NIDS combinadas.
Sendo assim, o IDS é uma forma de proteção eficiente em um ambiente 
corporativo, auxiliando de forma efetiva na proteção de ataques. E, 
caso algum incidente ocorra diretamente em uma estação de trabalho, 
coleta os logs de eventos e processos e mantêm consigo evidências 
importantes para uma investigação mais completa. Caso a estação 
atingida seja desligada antes da coleta de dados, apagando vestígios da 
memória, ainda é possível identificar como o arquivo malicioso chegou 
47
naquela máquina, correlacionando eventos do IDS com as demais 
ferramentas, como antivírus, firewall, entre outras.
Para a coleta de dados voláteis, Velho (2016) recomenda uma série de 
boas práticas que tornam esse tipo de coleta mais eficaz: documentar 
tudo o que foi feito, interagir o mínimo e o mais rápido possível com o 
equipamento em análise, usar ferramentas que minimizem o impacto 
no sistema alvo e que garantam a integridade e não repúdio de suas 
saídas, automatizar o máximo possível o seu processo de coleta, realizar 
as coletas pela ordem de volatidade das evidências, ou seja, quanto 
mais volátil, maior a prioridade, não manter dados sensíveis e sem 
cópias nesses dispositivos, considerar comprometido todo e qualquer 
usuário e senha utilizados no processo, evitar ações que possam alterar 
o equipamento periciado e documentar caso não haja alternativa e, por 
fim, não utilizar computadores com suspeita de comprometimento para 
realização da análise.
A coleta desses dados pode ser realizada por meio de ferramentas. No 
ambiente Windows, pode ser utilizada a ferramenta gratuita Redline da 
Mandiant, cujo propósito é a aquisição e análise forense de dados de 
hosts suspeitos de estarem comprometidos. FTK Imager Lite da Access 
Data, o MDD da Mantech, o Memoryze da Mandiante e o Windows 
Toolkit da Moonsols são ferramentas utilizadas para realização do 
dump (despejo) de memória – é uma reprodução de tudo o que está 
na memória em um determinado momento da execução do programa 
e geralmente é feito em um momento de erro –, ou seja, para realizar 
o dump de memória que grava todo o conteúdo do sistema, podendo 
conter dados de todos os processos que estavam em execução no 
momento em que o dump foi coletado.
Aquisição de uma imagem de um disco rígido (ou outra mídia de 
armazenamento) é, em muitos casos, o ponto de partida de uma 
investigação. A mídia de armazenamento a ser analisada deve ser 
clonada bit a bit, e qualquer análise deve ser feita nessa cópia, de forma 
48
a manter a mídia analisada íntegra. Para isso, pode ser utilizada a 
ferramenta FTK Imager que, assim como a coleta de dados da memória, 
também realiza a duplicação dos dispositivos de armazenamento.
Essa mesma ferramenta também pode ser utilizada para a detecção 
e recuperação de arquivos que foram excluídos do dispositivo de 
armazenamento, de modo a poderem ser analisados igualmente 
durante a perícia.
Evidências de redes também devem ser levadas em consideração 
durante uma forense computacional. Confiar apenas em métodos 
baseados em host resultará em conclusões incompletas. Serviços 
de infraestrutura de redes, como DHCP (Dynamic Host Configuration 
Protocol) e DNS (Domain Name Service) são peças centrais no 
funcionamento de uma rede, podendo proporcionar inúmeras 
evidências na investigação de uma intrusão. Servidores DHCP 
fornecem dinamicamente endereços IP a equipamentos de rede. A 
partir dos logs gerados por esse tipo de servidor, o perito é capaz 
de identificar o endereço físico relacionado ao endereço IP de um 
ataque ou evento de interesse, pois é possível realizar o mapeamento 
entre endereço MAC (físico) e endereço IP, além de horários que 
esse endereço IP foi utilizado. Para esse tipo de coleta é possível a 
utilização da ferramenta Wireshark, que é um analisador de protocolo 
que permite a captura e a navegação interativamente no tráfego 
de uma rede de computadores em tempo de execução, além dos 
registros do IDS, caso possua instalado na estrutura.
No sistema operacional Windows, existem muitas ferramentas para 
facilitar e automatizar a análise forense, podendo ser obtidas diversas 
evidências a partir do sistema de arquivos. Os arquivos de prefetch, 
que tem como função armazenar dados de pré-carregamento de 
aplicativos, pode conter muitas evidências forenses, pois serve como 
registro dos programas que foram executados em um sistema, 
independentemente se ainda estão armazenados. A partir disso, é 
49
possível determinar quando um programa foi executado, quantas 
vezes e o diretório de origem. Para análise de arquivos prefetch 
existem algumas ferramentas, como WinPrefetchView da Nirsoft e 
Forensics Prefetch-Parser da Redwolf.
Os logs de eventos do sistema, também são fontes de evidências. 
Para essa análise, existem diversas ferramentas como: PSLogList, que 
permite a conversão de logs de eventos para texto simples de um 
sistema local ou remoto; Log Parser, que permite o uso de consultas 
SQL (Structured Query Language) em logs de eventos.
Atacantes normalmente fazem uso de tarefas agendadaspara 
executar malwares sem a necessidade de utilitários. O agendador 
de tarefas do Windows, proporciona a possibilidade de automatizar 
a execução de programas em uma data e hora específicas ou de 
maneira recorrente. Ele se torna uma fonte de evidências, pois 
registra logs da hora de início e fim das últimas tarefas executadas 
em um arquivo de texto simples, chamado SchedLgU.txt.
No Registro do Windows, estão os dados de configuração do sistema 
operacional e das aplicações executadas, bem como as evidências 
que podem ser obtidas por meio dessas informações guardadas. 
Esse registro pode ser dividido em cinco arquivos principais: 
SYSTEM (informações que o Windows precisa para funcionar), 
SECURITY (armazena dados de acessos dos usuários com privilégios 
administrativos), SOFTWARE (informações de software e configurações 
do Windows), SAM (informações do administrador de contas de 
segurança do sistema) e DEFAULT (configurações do usuário logado no 
sistema). NTUSER.DAT (configurações de aparência do Windows e as 
dos usuários) e USRCLASS.DAT (informações de classe por usuário) são 
arquivos que possuem registros específicos de usuários. Para a análise 
dos Registros do Windows, podem ser utilizadas ferramentas como 
RegRipper e Windows Register Decoder.
50
3. Reconstituição de ataques
É possível encontrar diversos tipos de evidências em um sistema 
comprometido, permitindo ao perito a descoberta do que aconteceu 
no sistema e do responsável pela invasão. Para que a análise seja mais 
confiável, além de evidências encontradas no sistema, deve-se coletá-
las, também, em outros locais, como logs de firewall, roteadores e 
servidores de e-mail.
É importante organizar a reconstituição do ataque e as ações do invasor 
com base nas informações e evidências coletadas. Para se evitar a 
falta de padrão e a ocorrência de erros, é recomendável que se faça 
checklists. Sendo assim, Velho (2016) apresenta algumas sugestões a 
serem seguidos na coleta inicial dos fatos que levaram à detecção de 
uma intrusão, conforme citadas nas tabelas abaixo:
Tabela 1 – Resumo do incidente
• Data e hora, incluindo o fuso horário, que a intru-
são foi relatada.
• Como o incidente foi detectado.
• Data e hora, incluindo o fuso horário, que a in-
trusão foi detectada (em geral se dá anteriormente ao 
relato).
• Identificação unívoca e localização dos computa-
dores afetados.
• Informações de contato da pessoa que relatou o 
incidente.
• Lista de pessoas que acessaram os sistemas 
comprometidos desde a detecção.
• Informações de contato da pessoa que detectou 
o incidente.
• Lista de pessoas cientes do incidente.
• Natureza da intrusão (acesso não autorizado, 
roubo de dados etc.).
• Se a intrusão ainda está em andamento.
• Recursos afetados. 
Fonte: adaptada de Velho (2016).
51
Tabela 2 – Detecção do incidente
• A detecção se deu de forma automática ou ma-
nual?
• As fontes de dados envolvidas estão sendo pre-
servadas?
• Que informação foi dada na detecção inicial? • Há quanto tempo os sistemas de detecção estão 
em operação e quem é responsável por eles?
• Quais fontes de dados contribuíram para detec-
ção?
• Qual a taxa de erros de detecção?
• A fonte de informação de detecção foi validade? 
É confiável?
• Houve alguma mudança recente nas fontes de 
dados? Alterações e atualizações recentes podem ge-
rar alarmes falsos.
Fonte: adaptada de Velho (2016).
Tabela 3 – Detalhes adicionais
Detalhes de sistemas individuais
• Localização física. • Nome e domínio do host.
• Numeração de patrimônio. • Informações críticas armazenadas no sistema.
• Versão. • Se existem backups para o sistema.
• Sistema operacional. • Se o sistema ainda está conectado à rede.
• Função precípua do sistema. • Lista de malwares detectados com data.
• Administrador e usuários do sistema. • Lista de medidas tomadas em caso de detecções 
ocorridas de malwares.
• IPs relacionados. • Se algum dado foi preservado, qual processo utili-
zado e onde está armazenado.
Detalhes de rede
• Lista de todos IPs ou domínios externos malicio-
sos envolvidos.
• Se algum dado foi preservado, qual processo utili-
zado e onde está armazenado.
• Se há monitoramento de rede. • Mudanças em diagramas de rede e configurações.
• Lista de medidas tomadas. 
Detalhes de malwares (esse checklist deve ser feito para cada malware relacionado ao incidente)
• Data e hora da detecção. • Nome e família do malware.
• Como o malware foi detectado. • Se o malware está ativo e se há conexões de rede 
estabelecidas.
• Lista de sistemas onde o malware foi encontrado. • Se há cópia do malware (seja de forma manual ou 
em quarentena).
• Nome do arquivo malicioso e em que diretório foi 
encontrado.
• Se o malware comprometeu terceiros (seja de for-
ma automática ou por ação de empregados).
Fonte: adaptada de Velho (2016).
52
É necessário destacar que os itens citados nas Tabelas 2, 3 e 4 são 
apenas sugestões de tópicos a serem registrados, podendo ser alterados 
e adaptados de acordo com cada caso analisado e de acordo com o que 
o perito julgar importante para cada situação.
Uma linha do tempo contendo os eventos catalogados é fundamental 
para que se entenda todo o quadro geral do incidente quando as 
intrusões são investigadas. A partir delas, torna-se possível manter as 
informações organizadas, auxiliando na identificação de inconsistências.
Os exames periciais ocorrem após uma invasão, ou uma suspeita de 
que tenha ocorrido. Para uma forense computacional eficiente, o perito 
deve estar sempre atualizado em relação às técnicas de ataque, bem 
como as formas de detectá-las. Segundo Velho (2016), o perito deve, 
ainda, conhecer ferramentas que possibilitem a coleta e tratamento das 
evidências de invasões, devendo garantir a preservação dos vestígios e a 
segurança da cadeia de custódia.
Enfim, a identificação e reconstituição dos ataques é de extrema 
importância para as organizações, pois, além de identificar os criminosos 
digitais, é possível fazer a identificação das técnicas e ferramentas que 
são utilizadas para os ciberataques, possibilitando o desenvolvimento 
de novas ferramentas de segurança para detecção e proteção contra 
esses incidentes. Desta forma, as organizações se tornam mais seguras 
e confiáveis para seus clientes.
Referências Bibliográficas
CERT.BR. Cartilha de Segurança para Internet. 2012. Disponível em: https://
cartilha.cert.br/livro/cartilha-seguranca-internet.pdf. Acesso em 28 jul. 2020.
NIST. National Institute of Standards and Technology. Framework for Improving 
Critical Infrastructure Cybersecurity. 2018. Disponível em: https://nvlpubs.nist.
gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf. Acesso em 27 jul. 2020.
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
53
VELHO, Jesus A. Tratado de Computação Forense. Campinas: Millennium Editora, 
2016.
VENERE, Guilherme. Análise forense. Escola Superior de Redes RNP, 2009.
54
Recuperação de desastres
Autoria: Juliane Soares
Leitura crítica: Ariel da Silva Dias
Objetivos
• Definir recuperação de desastres.
• Definir as fases do plano de recuperação de 
desastres (DRP).
• Descrever controles e estratégias na recuperação de 
dados.
55
1. Recuperação de desastres
Todas as organizações estão sujeitas a desastres, que podem ter 
diversas origens. Independentemente do tipo, eles podem causar 
grandes estragos, podendo interromper todas ou parte das operações 
da empresa. Por isso, a recuperação