Forense computacional livro

Prévia do material em texto

Unidade 1 - Introdução à computação forense
Nesta unidade você verá:
// a ciência forense aplicada à computação
// terminologia da computação forense
// evidências digitais
Apresentação
A Forense Computacional tem como responsabilidade combater os crimes que migraram dos meios físicos para os meios virtuais, e assim como as as outras ciências forenses, ela possui métodos e procedimentos científicos específicos. Devido à alta dependência de tecnologia por parte das corporações nos dias de hoje, algumas práticas fraudulentas, antes específicas de áreas que envolviam pagamentos, investimentos, compras, finanças e contabilidade, adequaram-se à nova realidade das grandes bases de dados integradas, das falhas provenientes de sistemas difíceis de monitorar e, muitas vezes, da própria cultura da empresa, que não possui maturidade para gerir estes avanços. 
Apesar de, atualmente, a área de segurança da informação possuir várias ferramentas e metodologias para combater os incidentes gerados por ataques e outros tipos de desvios que acontecem diariamente, não se pode subestimar a capacidade de adaptação do ser humano e suas tentativas de burlar as barreiras e obstáculos que são colocados como medidas de segurança. Por esse motivo, se fez necessária a criação de uma nova categoria da ciência forense, bem como a especialização de novos tipos de profissionais de tecnologia da informação.
AUTOR
O professor Holney Aparecido Decco é especialista em Comunicação Institucional e Corporativa (2009), graduado em Gestão de Sistemas de Informação (2008), pela Universidade Paulista (Unip), e possui Curso de Extensão Universitária em Segurança de Redes de Computadores pela ESAB (2008). 
Dedico esta obra à minha família, aos mestres e pares que enriqueceram e ainda enriquecem minha jornada profissional, assim como à DP Content, pela iniciativa e suporte. Por fim, dedico a você, aluno, na esperança de contribuir para seu aprendizado.
Holney A. Decco
Presidente do Conselho de Administração: Janguiê Diniz
Diretor-presidente: Jânyo Diniz
Diretoria Executiva de Ensino: Adriano Azevedo
Diretoria Executiva de Serviços Corporativos: Joaldo Diniz
Diretoria de Ensino a Distância: Enzo Moreira
Autoria: Holney Aparecido Decco
Projeto Gráfico e Capa: DP Content
DADOS DO FORNECEDOR
Análise de Qualidade, Edição de Texto, Design Instrucional,
Edição de Arte, Diagramação, Design Gráfico e Revisão.
© Ser Educacional 2020
Rua Treze de Maio, nº 254, Santo Amaro
Recife-PE – CEP 50100-160
*Todos os gráficos, tabelas e esquemas são creditados à autoria, salvo quando indicada a referência.
Informamos que é de inteira responsabilidade da autoria a emissão de conceitos.
Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização.
A violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal.
Imagens de ícones/capa: © Shutterstock
Objetivos
UNIDADE 1.
Introdução à computação forense
Holney Aparecido Decco
OBJETIVOS DA UNIDADE
· bullet
Entender o fenômeno da migração dos crimes em ambientes físicos para os ambientes virtuais;
· bullet
Compreender a necessidade da criação de uma nova modalidade de perícia para o cenário atual;
· bullet
Conhecer os métodos científicos relacionados a investigações e identificar as evidências coletadas nas esferas digitais.
TÓPICO DE ESTUDO
A ciência forense aplicada à computação
–
// O profissional de computação forense
// A necessidade da perícia forense
// O caso BTK
// A evolução da tecnologia
// Novos meios de se cometer crimes
Terminologia da computação forense
–
// Terminologia
// Técnicas de eliminação de evidências
Evidências digitais
–
// Artefatos
A ciência forense aplicada à computação
A computação forense consiste na aplicação de técnicas de investigação e análise aliadas a ferramentas específicas para coletar, reunir e preservar evidências de um determinado dispositivo cibernético de forma adequada e para sua apresentação em um tribunal de justiça.
Ela é apenas uma das várias vertentes das ciências forenses existentes, tratando exclusivamente da aquisição e análise dos meios cibernéticos. Seu foco principal é a obtenção de evidências que buscam elucidar crimes e fraudes praticados nestes ambientes. A computação forense tem como principais objetivos:
· 1
1
Salvaguardar dados, por meio de técnicas e metodologias de coleta, preservação e garantia de integridade dos dados coletados em uma investigação a serem apresentados em corte;
· 2
2
Determinar a materialidade, dinâmica e autoria de crimes cometidos em dispositivos computacionais, como dispositivos de processamento de dados (Figura 1), computadores, notebooks, servidores, entre outros;
· 3
3
Determinar a materialidade, dinâmica e autoria de crimes cometidos em dispositivos tecnológicos, como mídias sociais, celulares, roteadores, entre outros;
· 4
4
Apresentar os resultados de uma perícia em forma de laudo técnico para ser apreciada pelas partes envolvidas.
Figura 1. Análise de disco rígido. Fonte: Adobe Stock. Acesso em: 30/06/2020.
Assim, a computação forense é um tipo de ciência pericial e, como tal, deve seguir os mesmos padrões e metodologias estabelecidos para as outras ciências forenses. Em um processo, seja criminal ou cível, a perícia realizada é a primeira a ser contestada pela parte acusada, com vistas a invalidar as evidências adquiridas e apresentadas. Assim sendo, na esfera digital é notória a sensibilidade e a volatilidade dos dados que formam o universo das investigações.
Então, isto significa que a Computação Forense se limita apenas a dados, dispositivos digitais e Internet? A resposta é não. Sua natureza altamente tecnológica e em constante evolução faz com que a Computação Forense auxilie outros tipos de ciências periciais, propiciando exames em dispositivos e situações antes imagináveis, como:
1
Análise de dispositivos médicos como marca-passos, que, por tratarem-se de dispositivos digitais, podem ter dados coletados e periciados;
· 2
2
Análises e reconhecimento de voz (que já podem ser criptografadas) através da utilização de softwares de Computação Forense, que fazem a análise de autoria através de ondas de frequência;
· 3
3
Perícia de acidentes de trânsito, que podem contar com o auxílio de eletrônica embarcada. Atualmente, os veículos possuem várias placas de controle como freios ABS (Anti Blocking System), piloto automático e AutoCheck (temperatura, pressão do óleo e etc.). Por mais absurdo que possa parecer, uma central multimídia de um veículo pode ser a porta de entrada para uma invasão de celular que esteja pareado a ela.
O PROFISSIONAL DE COMPUTAÇÃO FORENSE
O profissional da área é responsável pela coleta, salvaguarda e análise, funções que fazem parte do processo de investigação. Durante as análises (a investigação em si), é primordial que este profissional possua conhecimentos técnicos de sistemas operacionais, tráfego de dados e a localização de logs e registros sistêmicos, para que possa realizar investigações com maior acuracidade e sabendo o que e onde buscar. 
DICA
Dados digitais podem ser manipulados, alterados, deletados e terem informações como autoria e datas modificadas facilmente. Por esse motivo, é primordial que o perito siga os procedimentos à risca, a fim de não correr o risco de perder meses de trabalho e, com isso, permitir que o culpado escape ileso. Vale lembrar que a Computação Forense é um método científico que busca evidenciar que determinado crime ocorreu, sem deixar margem para dúvidas.
Na maioria das vezes, as evidências de uma investigação estão escondidas dos olhos de usuários comuns. Assim, além do conhecimento técnico, também é preciso que o profissional possua conhecimentos em compliance, gerenciamento de risco, código de conduta e aspectos jurídicos de processos. Existem várias frentes de atuação nas quais esse profissional pode atuar, sendo elas:
Perito criminal
–
O perito criminal para agências da lei (âmbitos federal e estadual) atua nas investigações que são conduzidas pelas políciasFederal e Civil. Para ingressar nesta posição, o profissional necessita de formação superior na área e aprovação em concurso público. Se nomeados, estes profissionais atuam apenas nas esferas criminais;
Perito judicial
–
O perito judicial é nomeado em tribunais de justiça de 1ª e 2ª instância, tanto estaduais quanto federais. Sua atuação tem início após a nomeação de um juiz em um tribunal ao qual esteja cadastrado. Sua tarefa principal é a de responder quaisquer perguntas que sejam levantadas pelo juiz. 
Esta posição exige formação superior (mesmo que não seja na área de TI, existem engenheiros de várias categorias atuando nestas posições) e cadastro vigente no tribunal em que atua. O perito só atua em casos de litígio, nunca desempenhando perícias na esfera penal; 
Assistente técnico
–
O assistente técnico, ou especialista em computação forense, trabalha diretamente com as partes e seus advogados em um processo ou investigação interna, atuando como responsável técnico. Ele não possui poder de agente da lei e sua atuação se restringe ao setor privado, em casos de fraudes internas. 
As perícias realizadas na esfera privada são os objetos a serem periciados por peritos judiciais em casos de litígio, se houverem. Apesar de existir uma carência desse tipo de profissional no mercado brasileiro, existem consultorias especializadas e empresas que possuem profissionais especializados em seus departamentos de compliance, auditoria interna e segurança da informação. 
A NECESSIDADE DA PERÍCIA FORENSE
Durante os anos 1970 e 1980, o que viria a ser chamado de computação forense era praticado apenas por poucos agentes da lei, que viam os computadores e dispositivos de alta tecnologia como um hobby.
Era um tempo analógico, em que os computadores não tinham a mesma importância que possuem nos dias de hoje. A consequência disso foi a demora para se criar uma categoria de perícia forense somente para este fim.
As primeiras ações com maior relevância começaram a tomar forma quando as bases de armazenamento de dados chamaram a atenção dos agentes da lei. Antes delas, era difícil para os agentes apreender, armazenar e classificar informações e documentos dos suspeitos, o que fazia com que as investigações se arrastassem por muito tempo e gerassem pilhas e mais pilhas de papel.
Um outro ponto importante foi o desenvolvimento das mídias de armazenamento removíveis, como os primeiros disquetes (Figura 2), que facilitaram o transporte de dados.
Figura 2. Antigos disquetes. Fonte: Adobe Stock. Acesso em: 30/06/2020.
O passo inicial se deu no ano de 1984, quando o FBI deu início ao programa M.M.P (Magnet Media Program), que tinha como foco coletar e analisar apenas dados digitais. Ainda na década de 1980, os primeiros hackers surgiram, gerando a necessidade de se desenvolver técnicas de rastreamento e identificação destes indivíduos. Porém, a computação forense assumiu o seu devido protagonismo no período entre o fim da década de 1990 e meados de 2000. 
Nesse período, duas práticas criminosas começaram a utilizar os meios digitais para se perpetuarem: a propagação de pornografia infantil e os ataques terroristas que sucederam as guerras no Afeganistão e no Iraque, com a frequente apreensão de computadores, notebooks e outros tipos de dispositivos de telecomunicação por soldados estadunidenses.
Em 2006, já estabelecida como uma prática pericial necessária, a computação forense foi incluída na revisão das regras de processo civil dos Estados Unidos, oficializando as práticas de investigações e descobertas digitais.
O CASO BTK
Um dos casos mais emblemáticos, solucionado com o auxílio da Computação Forense, foi a descoberta da identidade do assassino em série conhecido como BTK (sigla para Blind, Torture, Kill - Cegar, Torturar, Matar). Sua carreira de crimes teve início em 1974 e perdurou até 1991, período em que a polícia não conseguiu identificá-lo e prendê-lo.
Seu modus operandi consistia em, primeiramente, espionar a vítima e depois, utilizando uma máscara, invadir sua residência enquanto ela estava dormindo, torturando-a e matando-a e deixando o corpo amarrado para ser encontrado depois. Ele também costumava coletar souvenires das suas vítimas. 
A virada se deu no ano de 2005, quando um jornal da cidade de Wichita (Wichita Eagle) nos Estados Unidos recebeu uma carta de reclamação por não ter atribuído a BTK a responsabilidade do crime de uma de suas vítimas. Para provar seu ponto, ele enviou fotos do local do crime bem como uma cópia da carteira de motorista da vítima. Após esse primeiro contato, e com a certeza de não ser pego ou rastreado, BTK começou a enviar cartas a emissoras de televisão, onde descrevia seus crimes e enviava fotos dos souvenires que recolhia.
Em uma destas cartas enviada à imprensa, BTK perguntou se era possível rastrear disquetes, pois pretendia enviar um conteúdo utilizando esta mídia. A resposta a ele foi a de que não era possível e ele então enviou um disquete com textos e fotos. 
De posse do disquete, os peritos da polícia puderam identificar pelas propriedades dos arquivos de texto (origem, autores, quem havia salvado) que o disquete fora criado em um computador da Igreja Luterana de Cristo em Wichita, e que as pastas haviam sido criadas por um usuário de nome “Dennis”. A partir dessas informações, foi possível chegar até um homem chamado Dennis Rader. 
Os policiais conseguiram material biológico da filha de Rader e compararam com material biológico coletado nas vítimas, conseguindo comprovar que Rader era mesmo BTK. Ao ser pego, ele se limitou a dizer “vocês me pegaram”. Ele foi condenado a sentença de 10 prisões perpétuas.
A EVOLUÇÃO DA TECNOLOGIA
A tecnologia avançou com os anos, causando impacto direto na forma que vivemos, compramos produtos, nos comunicamos, viajamos e aprendemos, entre tantas outras mudanças que foram provocadas por avanços tecnológicos contínuos.
Hoje em dia, fazemos parte de uma sociedade totalmente dependente de tecnologias, que propiciam aos usuários a capacidade de execução de tarefas complexas (em outros tempos, dispendiosas de recursos e tempo) com um simples click do mouse. 
No mundo corporativo, os avanços tecnológicos ajudaram empresas e organizações a economizar tempo e custos de produção, o que tem sido uma vantagem para todos os tipos de negócios. Convém lembrar que, no mundo corporativo, a utilização da tecnologia de maneira correta e assertiva resulta em larga vantagem competitiva.
Para se ter uma ideia clara da rapidez e agilidade de absorção dessa evolução: não mais que 30 anos atrás, eram apenas as grandes empresas que possuíam computadores capazes de executar tarefas e processar grandes porções de dados. Além de excessivamente caros, tais computadores eram ineficazes, se comparados com os atuais, lentos, imprecisos e exigiam um acondicionamento em lugares próprios e preparados para seu funcionamento.
Atualmente, um smartwatch tem mais capacidade de processamento do que os computadores que levaram o homem à lua, na missão Apolo XI, e podemos levar todo esse poder no pulso, para qualquer lugar. Além de toda essa mobilidade, temos também a conectividade. O IoT, ou Internet of Things (internet das coisas), é um conceito que discorre sobre como interagimos com elementos ao nosso redor por meio da atribuição de endereços lógicos (endereços de IP, ou Internet Protocol), possibilitando sua conectividade.
É possível acessar a internet utilizando uma Smart TV, assistir filmes por serviços de streaming no console de vídeo game e apagar uma luz ou desligar o ar condicionado de casa remotamente, mesmo que você esteja a milhares de quilômetros dali. Obviamente, os avanços tecnológicos desempenharam um papel importante na melhoria da condição humana.
Sua praticidade e conectividade encurtou distâncias e trouxe mobilidade e agilidade sobre todos os aspectos. Nos negócios, as engrenagens que fazem o mundo girar, em uma época na qual a tecnologia derrubava postos de trabalho, ela trouxe novas formas e conceitos de se fazer negócio. 
NOVOS MEIOS DE SE COMETERCRIMES
Todos esses avanços, porém, trouxeram consigo um ônus bem desagradável. Por conta desta migração de atos criminosos praticados no mundo físico para o mundo digital, uma nova classe de investigadores, peritos e auditores viram-se obrigados a evoluir também (Figura 3). Falamos de uma área que, até não muito tempo atrás, lidava com bancos de dados de impressões digitais incompletos, análises físicas de cenas de crime, testes de DNA imprecisos e sem aceitação em julgamentos, relatórios em papel, livros caixa e revisões de fitas de VHS, por exemplo.
Figura 3. A evolução dos meios de perícia. 
// Anos 80 
Nesta época, as cenas de crimes eram inspecionadas e catalogadas através de fotos e sem análises mais profundas, graças à tecnologia disponível para tal. As perícias papiloscópicas, por exemplo (ciência forense que estuda a identificação de um ser humano por suas digitais), não contavam com bancos de dados digitalizados. Se um indivíduo cometia um crime em uma localidade distante de sua residência, como em outro Estado, a verificação poderia demorar meses. 
Atualmente, existem bancos de dados digitalizados e integrados para este fim e ferramentas como as fontes de luz que, além de identificarem digitais, também identificam resquícios de pele, pegadas, fios de cabelo e vestígios de sangue, mesmo que a superfície tenha sido lavada ou sanitizada para ocultar tais vestígios. 
Uma outra curiosidade desta época eram as análises balísticas, a ciência forense que estuda armas de fogo, munições e a trajetória dos disparos. Era possível identificar o calibre da arma, qual seu tipo (pistola, revólver, carabina, entre outros) e qual a recenticidade do disparo (ou seja, quando a munição foi disparada) sem grandes problemas.
Porém, para identificar a trajetória do disparo eram utilizados barbantes direcionados pelo ângulo de entrada do projétil. Essa técnica era eficaz se o disparo tivesse sido executado a partir de uma pequena distância; todavia, se o disparo fosse longo, o pêndulo balístico (curva de trajetória do projétil até atingir o alvo) traria resultados inconclusivos. 
Atualmente existem bancos de dados que contêm informações cadastrais sobre armas de fogo, o uso de metalografia (que visa identificar números de série raspados em armas de fogo) e o uso de microscópios comparadores de alta resolução que podem identificar de qual arma de fogo determinado disparo foi efetuado pelas marcas (ranhuras únicas de cada arma de fogo produzida) que o cano deixa nos projéteis.  
// Anos 90
Neste período, a moda eram as câmeras de segurança, que passaram a ser um elemento importante na elucidação de autoria de um crime. O grande problema residia no fato de que a tecnologia das câmeras da época era ruim. Ou seja, haviam gravações, porém as imagens tinham uma péssima definição. Uma questão importante é que em determinado momento, as seguradoras só aceitavam assegurar determinadas propriedades privadas ou residências se estas tivessem pelo menos uma câmera de segurança instalada. 
Como a tecnologia era cara, consequentemente também era sua manutenção; lembrando que além da câmera, era necessário um dispositivo de gravação (um vídeo cassete no caso) e uma mídia (fita VHS) reutilizada com frequência, uma vez que sua capacidade de armazenamento era pequena. A reutilização destas mídias causava a deterioração das imagens a cada regravação.
Vale citar que esta época teve um avanço tecnológico considerável, mas não muito aceito, pela margem de erro que propiciava. Estamos falando das análises de DNA, que tiveram sua fase forense iniciada a partir de dois pontos distintos. O primeiro foi a conclusão dos estudos relacionados a regiões variáveis do DNA, que literalmente são capazes de individualizar uma pessoa por essa análise. 
O segundo ponto foi o desenvolvimento do exame de reação de cadeia de polimerase, que tornou capaz a análise (com alta sensibilidade) de DNA mesmo a partir de pouco material biológico, como com um bastonete com saliva, por exemplo, retratado na Figura 4. 
Os primeiros exames aceitos desta categoria foram os exames que determinavam paternidade, tornando-se uma prática comum aos juízes requisitarem esta ciência. Porém, quando utilizados como evidência, os métodos de coleta e análise disponíveis propiciavam uma margem de erro inaceitável de admissibilidade de uma evidência, principalmente pelo fato de as superfícies de coleta serem não estéreis, expostas a luz solar, fungos, bactérias e conterem traços de elementos químicos como solventes. 
Figura 4. Teste de DNA a partir de saliva. Fonte: Adobe Stock. Acesso em: 04/07/2020.
Por fim, no small data, a quantidade de dados e fontes digitais disponíveis para as coletas e análises era muito reduzida. Os computadores pessoais ainda não eram conectados à internet e não havia a facilidade de produção e disseminação de materiais como textos, fotos e vídeos de maneira tão ampla como atualmente. 
// Atualmente
Os avanços tecnológicos propiciaram o desenvolvimento de ferramentas e recursos nas áreas das ciências periciais que são confiáveis com relação aos resultados que apresentam. Assim, as fontes de dados se multiplicaram e as formas de coleta se tornaram mais seguras e amplamente aceitas em cortes ao redor do mundo. Na área de Computação Forense por exemplo, podemos citar as análises de big data (grandes bases de dados), em que existem ferramentas capazes de processar e analisar quantidades enormes gerados e armazenados em diversas fontes de dados de maneira mais simples e padronizada. 
O big data tornou-se um problema a partir da proliferação da produção de dados e dos diversos espaços de armazenamento disponíveis. Imagine a quantidade de dados que você produz diariamente através do uso de ferramentas de mensagens (como o WhatsApp ou Telegram, que possuem a capacidade de envio de arquivos multimídia e mensagens), mídias sociais (compartilhando fotos, por exemplo), nos dados que você armazena na nuvem (ou cloud) tais como Webmail, Google Drive, YouTube entre outros, seja em seu computador pessoal ou no computador da sua empresa. 
Além da quantidade dos dados, perceba que você utilizou várias plataformas que são distintas, causando uma pulverização dos dados produzidos e espalhados por vários lugares. Isto se dá a nível individual, mas para termos uma ideia clara do tamanho do problema, é necessário multiplicar esse número pelos milhões de usuários destas plataformas.
Ou seja, através dos tempos, pilhas e mais pilhas de papel se transformaram em planilhas, bancos de dados, imagens digitais de alta resolução, biometria e outras tantas formas de arquivos de dados que cabem na palma da mão e que, com o advento da internet, atravessam o mundo em questão de segundos. Durante toda a história humana, os métodos científicos buscaram evoluir, na medida do possível, para fazerem frente a uma classe de criminosos que também evoluiu. Por isso, os procedimentos científicos de perícia tiveram que se modernizar.
CURIOSIDADE
O nascimento do que chamamos de internet ocorreu exatamente às 22h30min. do dia 29 de outubro de 1969, em uma pequena sala na Universidade da Califórnia (UCLA), em Los Angeles. Foi nesse dia que um grupo de professores, alunos e pesquisadores conseguiu enviar com sucesso uma mensagem entre dois computadores localizados a 600 quilômetros de distância um do outro. Considerando sua motivação inicial, que era apenas compartilhar dados entre universidades, ela não foi projetada para ser o que é nos dias de hoje. Por esse motivo, ela é considerada por alguns como uma “terra sem lei”, em que criminosos utilizam o anonimato que ela proporciona para cometerem crimes.
Embora os meios de se cometer crimes tenham evoluído, o mesmo não vale para os crimes em si. Não existem novos crimes, e sim novas maneiras de se cometer crimes. Por exemplo, se alguém invade um computador com o intuito de ler as mensagens em um e-mail pessoal, esse crime seria o equivalente a alguém que abre uma correspondência endereçada a você, ou seja: é um crime de invasão de privacidadeda mesma maneira.
Atualmente, graças à natureza altamente tecnológica da computação forense, o universo dos dispositivos e recursos possíveis de serem investigados se expandiu consideravelmente. Com o uso de suas ferramentas, é possível, por exemplo, efetuar perícias em um marca-passos ou em um veículo que possui qualquer tipo de tecnologia embarcada, como uma central multimídia.
Terminologia da computação forense
Por se tratar de uma ciência, a computação forense possui terminologia própria e procedimentos padronizados, desenvolvidos para fortalecer a cultura de investigações nos meios digitais.
Estes procedimentos visam também a garantia da integridade dos dados a serem analisados. O ponto mais relevante desta padronização de procedimentos se deve ao fato de que, nos dias de hoje, fazemos parte de um mundo conectado. 
Os crimes cibernéticos, e suas características, não são próprios deste ou daquele continente. Pelo contrário, existem relatos de crimes sendo cometidos a milhares de quilômetros de distância de seus alvos. Com a padronização de procedimentos, é possível que a polícia de um determinado país possa efetuar uma investigação e seus resultados possam ser aceitos e utilizados por cortes judiciais ao redor do mundo. Graças à conectividade disponível atualmente, não é incomum que agências federais e empresas privadas de outros países compartilhem informações e realizem investigações correntes ao redor do mundo.
EXEMPLIFICANDO
Vamos utilizar, como exemplo, a investigação interna de uma multinacional. A matriz desta multinacional na Alemanha requisita que a filial na Inglaterra efetue a coleta de dados do equipamento computacional de um colaborador naquela localidade. Se a coleta for feita seguindo os padrões e metodologias corretamente, as evidências coletadas poderão ser apresentadas pela matriz, em seu país de origem, não importando que o colaborador esteja em outra localidade.
TERMINOLOGIA
O que se busca com essa padronização é a mitigação dos riscos e o estabelecimento das melhores práticas na execução de investigações conduzidas por profissionais de computação forense ao redor do mundo. Para que uma norma seja validada, primeiro é necessário que ela seja verificada e certificada por um órgão de renome e aceitação na comunidade científica. No Brasil, quanto à aderência e à validação destas regras, Velho, em sua obra Tratado de computação forense,
No nível nacional, as normas são editadas e emitidas pelo organismo nacional de normalização, que deve ter legitimidade para editar e publicar normas, e ainda, reconhecimento e consenso das instituições e da comunidade científica. No Brasil, podemos citar a Associação Brasileira de Normas Técnicas (ABNT), que foi responsável pela tradução da norma ISO/IEC 27037/2012 (2012, p. 8).
A norma ISO/IEC 27037/2012, após tradução e revisão pela Associação Brasileira de Normas Técnicas (ABNT), recebeu o nome de NBR ISSO/IEC 27037:2013. Essa regra contempla os direcionamentos para identificar, coletar e preservar evidências nos meios digitais. Assim, é necessário conhecer os termos utilizados na computação forense para descrever os diferentes tipos de análise, mídia e procedimentos.
A análise forense é realizada em qualquer tipo de dispositivo computacional ou tecnológico, visando à obtenção de evidências que possam comprovar autoria e materialidade e estabelecer a dinâmica dos acontecimentos que geraram a investigação. De todos os procedimentos que envolvem a Computação Forense, as análises são as que dispendem mais tempo em sua execução. 
A condução de uma análise vai depender do tipo de caso e o que se procura. Existem casos fáceis, como um acesso indevido, por exemplo, em que um simples log de sistema pode comprovar que o acesso indevido realmente se concretizou. Porém, existem casos complexos, que envolvem diversas variantes e que podem perdurar por meses. 
Uma boa tática para garantir a acuracidade das análises é a de manter sempre o foco no caso e delimitar o escopo de artefatos a serem analisados, com base no que se procura. Vale lembrar que um hard disk possui milhões de arquivos; logo, se todos forem analisados, o dispêndio de tempo será enorme.
A análise live (também conhecida como análise viva, a quente ou on-line) é realizada diretamente no dispositivo que contém os dados, que deve estar ligado, com os aplicativos (muitas vezes os alvos das investigações) e o sistema operacional em funcionamento. Ela é utilizada quando se faz necessária a análise e a aquisição de dispositivos com dados em tempo real de execução, como um lançamento indevido em um sistema web based ou um acesso a sites de teor pornográfico ou de pedofilia, por exemplo. 
Em geral, a análise live é feita de maneira emergencial, sendo o aplicativo Problem Steps Recorder, ou PSR (Figura 5), utilizado com frequência. Este é disponível de fábrica no sistema operacional Windows e não possui necessidade de instalação ou acesso por outra mídia removível. Este aplicativo registra todas as interações do usuário com o computador, servindo como um guia de passos executados pelo especialista na busca e coleta da evidência, registrando cada clique executado.
Figura 5. Exemplo de tela do PSR – o gravador de passos.
O PSR (Problem Steps Recorder) é um programa desenvolvido originalmente para auxiliar o usuário a enviar um determinado erro ao responsável técnico por solucioná-lo. Em suma, com o PSR é possível gravar todas as interações do usuário com o ambiente e com isso, quando o erro aparece, o responsável técnico poderá efetuar uma análise do uso do equipamento para poder resolvê-lo. 
Para acessar o PSR, o usuário deve clicar no box “Digite aqui para pesquisar” na barra do Windows e digitar “PSR”. Quando o ícone do programa aparecer, deve-se clicar nele para abrir o programa. 
Após abrir o programa, é só clicar em iniciar gravação e interagir com o ambiente normalmente. Vale lembrar que o PSR não é uma ferramenta de monitoramento, ou seja, ele tem um limite de gravação que é relativamente curto.
Esse tipo de análise raramente é utilizada pois expõe a evidência, aumentando os riscos de modificação e contaminação da cena do crime como um todo. Todavia, é a mais indicada quando o local a ser investigado tem natureza volátil, como arquivos alocados em memória RAM, por exemplo. Em contrapartida à tal volatilidade, e para garantir a integridade de toda a interação do especialista com o dispositivo, deve-se documentar todos os procedimentos realizados, desde o início.
A análise dead (também conhecida como análise post mortem, morta, a frio, off-line ou com o elemento alvo desligado) é o tipo mais comum. É sempre realizada com o dispositivo que contém os dados desligados. Os riscos de modificação e contaminação da cena do crime são menores, pois, com o dispositivo desligado, a coleta dos dados pode ser efetuada sem riscos de contaminação para posteriormente ser levada para um laboratório e analisada. É a análise mais recomendada para quando não há necessidade de aquisição de dados de natureza volátil.
Dentre os tipos de mídia, a mídia não volátil refere-se a qualquer tipo de mídia que tenha a capacidade de armazenar e manter dados, mesmo não possuindo uma fonte de energia. Em geral, são dispositivos que possuem cabeças de gravação e leitura ou memórias SSD (Solid State Drive ou disco de estado sólido). As memórias SSD são encontradas em pen drives e, atualmente, em cartões de memória interna de grande capacidade.
Os SSD são reconhecidamente mais rápidos que os HD (ou hard disks), que possuem cabeças de gravação e leitura que utilizam meios magnéticos para armazenar e ler os dados contidos em seus discos, pois o acesso aos dados é feito diretamente na memória, enquanto os HD dependem da velocidade das rotações do disco.
A mídia volátil refere-se a qualquer tipo de mídia que, para manter seus dados, necessite de uma fonte de energia. Ou seja, após um corte de energia abrupto, ela não consegue manter as informações que armazenou. Um bom exemplo disso são as memórias RAM (Random Access Memoryou memória de acesso randômico), gerenciadas e utilizadas pelo sistema operacional para receber dados transitórios, oriundos das funções do processador.
A mídia removível compreende mídias e repositórios de dados cujo acesso é feito via USB ou cabo. Sua natureza permite que este tipo de mídia seja reconhecido por vários tipos de sistemas operacionais e, na maioria das vezes, é utilizada para transportar dados. Pen drives, CDs, DVDs e hard disks externos são exemplos de mídias removíveis.
A mídia alvo (também conhecida como mídia original ou dispositivo alvo das investigações) é a cena do crime. Basicamente, é o elemento ou a fonte de informações que contém os dados a serem coletados e analisados. 
Por outro lado, a mídia de destino (também conhecida como cópia ou dispositivo que receberá os dados da mídia alvo) é a mídia ou o dispositivo que armazena a coleta dos dados (Figura 6). É nessa mídia que os trabalhos de análise são executados para preservar a integridade dos dados da mídia alvo, podendo ser um hard disk, um pen drive, um DVD ou qualquer outro tipo de mídia removível.
Figura 6. Mídia copiável. Fonte: Adobe Stock. Acesso em: 30/06/2020.
Quanto aos procedimentos, na duplicação pericial (ou cópia, espelhamento, aquisição ou duplicação forense), é realizada a cópia de um dispositivo ou de determinada fonte de informações. A duplicação pericial propicia uma cópia idêntica da mídia alvo. Existem vários softwares e hardwares disponíveis para este fim. O resultado (gerado pela cópia) pode ser feito de duas maneiras dependendo da praticidade no momento da coleta, sendo eles a mídia aberta e a imagem. 
Na mídia aberta é feito um espelhamento da mídia alvo, de maneira que todos seus dados constantes possam ser visualizados sem qualquer tipo de software específico para este fim. Ou seja, quando a cópia é acessada por uma estação de trabalho, os dados são mostrados da mesma maneira que o usuário regular os vê na mídia alvo. Neste tipo de cópia, não é possível comprimir os dados.
Na imagem, os dados constantes na mídia alvo são encapsulados em um arquivo de contêiner, como um arquivo zipado, por exemplo. Neste tipo de cópia, é possível a compressão de dados, ou seja, pode-se gerar uma imagem de uma mídia alvo de 500 gigabytes que, comprimida, terá 200 gigabytes. Para o acesso aos dados constantes nesse arquivo, é necessária a utilização de softwares específicos. Podem ser adquiridos dados de praticamente qualquer tipo de mídia de computador, incluindo discos rígidos, fitas de backup, CD-ROM e disquetes.
O correto é que duas cópias da mídia alvo sejam efetuadas, lacradas e salvaguardadas por questões de hash e preservação dos dados. Por outro lado, no mundo corporativo, é comum que apenas uma cópia seja efetuada (que servirá para as análises), e a mídia alvo é devolvida para o computador do usuário investigado, invalidando o hash da cópia. A questão é entender e prever os desdobramentos do caso, para saber qual a melhor maneira de efetuar a duplicação dos dados a serem analisados. 
Na função de hash criptográfico (ou hash number), o ambiente deste tipo de ciência forense é extremamente volátil e suscetível a modificações que podem alterar o resultado de uma análise. Uma função de hash criptográfico (Figura 7) é unidirecional, aplicada sobre um determinado arquivo ou elemento um algoritmo criptográfico, obtendo como retorno um valor de tamanho fixo, chamado de valor de hash. Por exemplo, quando essa função é aplicada em um arquivo de imagem (de extensão .jpg), o valor de hash resultante seria efetivamente uma impressão digital desse arquivo.
Figura 7. Função de hash criptográfico
As funções hash são de suma importância no campo da computação forense. Um valor de hash é utilizado para garantir que a integridade de um elemento ou arquivo está mantida e sem qualquer adulteração. Se aplicarmos o algoritmo da função de hash em uma mídia de destino resultante de uma duplicação pericial, por exemplo, teremos como retorno o valor “8840e1a5065410deb546e5619c81896d” e, se aplicarmos a mesma função na mídia alvo, o retorno deverá ter o mesmo valor. Isso permite que um especialista demonstre que a evidência original não foi adulterada.
Por fim, a cadeia de custódia (Figura 8) é um documento a ser confeccionado pelo especialista para documentar detalhadamente todos os passos, pessoas, ambientes, mídias e informações, direta ou indiretamente relacionadas à perícia. Nela, constam informações sobre data e hora do início e fim da duplicação forense, o responsável pela cópia, quais os modelos e números de série da mídia alvo e da mídia de destino, qual ferramenta utilizada para a cópia e um histórico de quem manuseou a cópia e o motivo.
Figura 8. Cadeia de custódia.
TÉCNICAS DE ELIMINAÇÃO DE EVIDÊNCIAS
As investigações forenses são sempre reativas, não existindo investigação proativa, a menos que haja algum motivo para estabelecer estes fatos em primeiro lugar. Mas, nesse momento, o crime já aconteceu e o que resta é encontrar indícios dos fatos ocorridos para conseguir comprovar autoria, modo operandi, entre outros. Com os avanços da computação forense, os criminosos passaram a ter uma preocupação extra: a de ocultar seus dados ou apagar suas pegadas digitais para encobrir suas ações.
ASSISTA
O documentário Deep Web, de 2015, dirigido por Alex Winter, conta a história de William Ross Ulbricht, empresário que fomentou o mercado negro virtual de drogas, sob o pseudônimo “Dread Pirate Roberts”.
https://www.youtube.com/watch?v=nxt5291DuLk
Assim, o termo antiforense foi criado e refere-se, essencialmente, a qualquer técnica, dispositivo ou software projetado para dificultar uma investigação efetuada nos meios e mídias digitais. Existem dezenas de maneiras pelas quais os usuários podem ocultar informações. Alguns programas podem enganar os computadores, alterando os cabeçalhos dos arquivos, tal como data de criação e acesso, por exemplo.
Normalmente, um cabeçalho de arquivo (ou atributos de arquivos) não é visível para os usuários regulares embora seja extremamente importante, pois informa ao computador qual é o tipo de arquivo, quem é o autor e quando ele foi criado, modificado, salvo, entre outros. Se um arquivo .mp3 for renomeado para ter uma extensão .gif, por exemplo, o computador ainda saberá que o arquivo é realmente um .mp3 devido às informações no cabeçalho. Por isso, alguns programas permitem alterar as informações no cabeçalho, para que o computador pense que é um tipo diferente de arquivo.
Uma outra maneira de dificultar o acesso às informações é pelo uso de senhas de acesso e pela encriptação de arquivos. Com relação às senhas, é relativamente fácil para um especialista descobrí-las, pois vários softwares forenses possuem módulos para esse fim, entre suas funcionalidades.
Além disso, há várias outras ferramentas específicas, disponíveis no mercado, com a única funcionalidade de quebrar senhas. Porém, quando lidamos com dados criptografados, a dificuldade aumenta consideravelmente. 
As ferramentas de criptografia de dados criam um espaço (volume) criptografado no hard disk do usuário, que pode utilizá-lo para salvar o que desejar. Tudo o que for salvo dentro desta bolha será criptografado. Ou seja, o usuário consegue esconder arquivos e conta com a proteção de uma criptografia forte para isso. Com base nisso, um usuário que detenha um pouco mais de conhecimento pode tomar várias medidas (ou contramedidas) para limpar seus rastros, esconder provas e deletar acessos à internet.
Evidências digitais
Em computação forense, as evidências são um conjunto de dados, arquivos, informações e documentos utilizados para corroborar ou refutar determinada tese ou teoria. 
Uma evidência, para que seja considerada como tal, deve possuir 100% de clareza em seu conteúdo e ser irrefutável em relação ao que deve ser provado. É muito comum que se confunda evidência com indício. Assim:
· 1
1
Uma evidência deve ser inequívoca em relação a determinado ponto a ser exposto;
· 2
2
Um indício é uma pequena parcela de um fato, quepode ser considerado em júri por meio de indução (ou presunção) de que determinado fato ocorreu.
Um hard disk, graças ao seu sistema de dados, é um cemitério de arquivos de infinitos tipos. As evidências são pinceladas entre milhões de arquivos, constantes em uma fonte de dados, analisados. Enquanto um determinado arquivo não é classificado como evidência neste amontoado de dados, ele recebe o nome de artefato.
ARTEFATOS
Artefatos são arquivos que contêm informações com alto potencial de se transformarem em evidências. Em geral, são logs, arquivos sistêmicos e em formatos conhecidos, tais como os oriundos do pacote Office, arquivos de caixas de e-mail eletrônico, histórico de internet e registros de acesso USB, para citar alguns. 
Os artefatos são separados por tipo, de acordo com a sua origem, sendo eles:
· bullet
Artefatos criados pelo usuário;
· bullet
Artefatos sistêmicos;
· bullet
Artefatos oriundos de outras áreas de dados.
Os arquivos criados pelo usuário são gerados mediante uma ação direta do usuário com o sistema operacional e seus aplicativos. Diariamente, são criadas planilhas, documentos de textos, apresentações, e-mails, fotos, filmes, arquivos de áudio e outros tipos de arquivos que são conhecidos e relativamente fáceis de serem identificados e localizados. 
Existem também outros tipos de arquivos nesta categoria, menos óbvios do que os demais, porém mais importantes. Eles são chamados de arquivos de registros e logs de interação. Estes arquivos são registros gerados a partir das ações do usuário em suas interações com os aplicativos e sistemas. Dentre esses tipos de arquivos, podemos citar o histórico de navegação de internet, mas existem muitos outros. 
Se o usuário pluga um pen drive e transfere arquivos para ele, o sistema operacional criará um log dessa ação. Estes arquivos, especificamente, são identificados por sua extensão (.LNK) e podem ser encontrados em abundância em uma duplicação pericial. Da mesma forma, quando um usuário acessa um site, de qualquer conteúdo, as páginas em uma versão menos gráfica (sem os elementos móveis, tais como banners de propaganda) e o histórico de acessos também podem ser encontrados em arquivos, pela sua extensão (.HTM ou .HTML).
Os arquivos sistêmicos são arquivos criados pelo sistema operacional ou qualquer outro aplicativo que interaja com este meio. Eles são a fonte principal de informação em caso de tentativas de invasões, acessos indevidos e aplicações maliciosas. Estes arquivos recebem o nome de logs e podem ser:
DICA
O sistema operacional Windows gerencia e fornece uma avaliação dos arquivos de log com a ajuda do event viewer, que armazena logs sobre aplicativos e mensagens do sistema, erros, mensagens informativas e avisos. Para executar o visualizador de eventos do Windows, digite eventvwr.msc na caixa Executar.
Logs de interação
–
Que são uma fonte importante de evidências, geralmente conectando eventos a pontos no tempo e, partindo da premissa de que um usuário efetuou determinada ação, tornando possível identificar seu autor. 
Os dados do arquivo de log podem também ser usados para investigar anomalias de rede devido a ameaças internas, vazamentos de dados e uso indevido de ativos de TI;
Logs de acesso
–
Que são uma boa fonte de evidência em casos de vazamentos de informação. Muitas vezes, esse tipo de ilícito é executado pelo simples mapeamento do hard disk do usuário (que pode ser até um funcionário de alto escalão), que detém informações confidenciais. 
Quando um usuário obtém acesso a uma determinada fonte de dados, o sistema operacional cria um registro deste acesso; 
Logs de eventos
–
Que servem como uma ótima fonte de evidência, pois contêm todos os registros das atividades do sistema operacional
Por fim, temos os arquivos oriundos de outras fontes de dados. O acesso a este tipo de arquivo é feito apenas por meio de ferramentas específicas de computação forense, uma vez que este tipo de ferramenta dá acesso a áreas de dados protegidos pelo sistema operacional. Basicamente, o próprio sistema operacional cria e administra áreas às quais o usuário não tem acesso para serem utilizadas em diversas funções. 
Quando um usuário envia um arquivo para a lixeira do sistema operacional Windows, por exemplo, o mapa do sistema de arquivos não o exclui como faria com um arquivo apagado. Em vez disso, ele envia este arquivo para uma área administrada pelo sistema operacional chamada bin. Este arquivo fica dentro desta área, à disposição do usuário, que pode recuperá-lo ou excluí-lo de vez, quando esvazia a lixeira.
Arquivos apagados diretamente pelo usuário (sem passar pela lixeira) também fazem parte desta categoria. Para a recuperação deste tipo de arquivo, é necessária a utilização de um software específico, que faz varreduras em espaços não alocados (identificados com status livre pelo mapa do sistema de dados) para recuperá-los.
SINTETIZANDO
Nesta unidade, conhecemos as características de uma das muitas especialidades de perícia científica existentes, a computação forense. Entendemos que, assim como todas as modalidades de perícia científica, a computação forense possui suas regras e procedimentos, que, com o advento da internet e toda a conectividade que ela propicia, tiveram que se adaptar ao mundo globalizado. 
A internet, aliada a outros avanços tecnológicos, trouxe a reboque alguns problemas: as novas maneiras de se cometer crimes. Com o mundo atual passando por uma virtualização de tarefas, documentos e funções, alguns dos crimes que eram praticados nos ambientes físicos (roubos, desvios, vazamentos de informações etc.) migraram para os ambientes virtuais. Consequentemente, uma nova safra de especialistas em investigações surgiu para acompanhar essa tendência. 
Como as cenas do crime agora podem ser um dispositivo celular que você carrega em seu bolso, se fez necessária a criação de métodos, procedimentos e terminologias próprias para essas esferas. Conhecemos os termos mais utilizados nesta categoria de ciência pericial com destaque para os tipos de análise, tipos de mídias, validadores (função de hash criptográfico) e formas de coleta.
Por fim, conhecemos as evidências e os artefatos coletados em dispositivos tecnológicos, e obtivemos algumas dicas sobre como localizar artefatos que geralmente não são visíveis aos olhos dos usuários regulares.
REFERÊNCIAS BIBLIOGRÁFICAS
DOCUMENTÁRIO DEEP Web legendado. Postado por Terminal Hacker. (1h. 26min. 22s.) cor. leg. son. Disponível em: <https://www.youtube.com/watch?v=nxt5291DuLk>. Acesso em: 02 jul. 2020.
FREITAS, A. R. Perícia Forense aplicada a informática - Ambiente Microsoft. Rio de Janeiro: Brasport, 2006.
LAMBOY, C. K. (Org.) Manual de compliance. São Paulo: Via Ética, 2018.
VELHO, J. A. (Org.) Tratado de computação forense. São Paulo: Millenium, 2012.
Unidade 2 - Padrões de exame em Computação Forense
Nesta unidade você verá:
// padrões de exame em computação forense
// a preservação de evidências
// objetos e tipos de exame
Objetivos
UNIDADE 2.
Padrões de exame em Computação Forense
Holney Aparecido Decco
OBJETIVOS DA UNIDADE
· bullet
Compreender os padrões científicos para exames em Computação Forense;
· bullet
Entender a metodologia de planejamento de uma investigação;
· bullet
Conhecer os princípios de algoritmos criptográficos e sua utilização;
· bullet
Identificar quais são os tipos de objetos de exame em Computação Forense.
TÓPICO DE ESTUDO
Padrões de exame em Computação Forense
–
// Fases dos exames em computação forense
// Planejamento da investigação
A preservação de evidências
–
// Breve história da criptografia
// Tipos de hash
Objetos e tipos de exame
–
// Mídias de prova e de destino
// Tipos de exame
Padrões de exame em Computação Forense
A ciência da Computação Forense é considerada a disciplina mais recente na área das Ciências Forenses. Assim como outras disciplinas, a Computação Forense passou por várias mudanças atreladas aos aspectos dos avanços tecnológicos que acontecem em uma velocidade impressionante.
Por esse motivo, essa transiçãode metodologias e procedimentos busca atualizar sua base, criando um conjunto padronizado de técnicas e melhores práticas que podem ser definidas, também, como padrões. Devido à complexidade tecnológica existente nos alvos dos exames, essa porção de tarefas é a que mais recebe parte das atualizações procedimentais. 
Essas atualizações, que recebem o nome de padrões de exame em Computação Forense, são um conjunto de procedimentos para investigações nos meios digitais; seu maior propósito é a garantia da integridade e da qualidade dos passos a serem seguidos, desde a coleta dos dados até a sua salvaguarda e posterior apresentação de resultados. Esses padrões são mais do que simplesmente uma bússola a ser seguida pelos profissionais da área: eles significam, acima de tudo, que as evidências resultantes dos exames serão amplamente aceitas, comprovando materialidade, sem deixar dúvidas relativas à autoria de um crime.
FASES DOS EXAMES EM COMPUTAÇÃO FORENSE
Um exame de computação forense deve priorizar pela qualidade da investigação, que é equivalente à aderência e à atenção do especialista ao seguir os procedimentos, metodologias, técnicas e as leis definidas. O controle de qualidade, nesse sentido, deve ser eficaz e seguir desde a apreensão até a apresentação dos resultados. Quando todos os procedimentos são seguidos à risca, a garantia que o resultado do trabalho será admitido em corte é certo. Assim, deve-se seguir as fases de: apreensão, coleta, análise e apresentação (SWGDE, 2012).
Seguindo a compreensão de que a Computação Forense é uma vertente de outras práticas periciais científicas, os especialistas da área devem seguir os mesmos padrões de áreas correlatas. Assim, a etapa de apreensão, também conhecida como inspeção visual, trata da identificação dos dispositivos que serão investigados, ou seja, a identificação das fontes de dados a serem analisadas, como nos exemplos da Figura 1.
Figura 1. Exemplos de registro.
Existe uma infinidade de fontes de dados possíveis, entretanto, independentemente de quais sejam, todas devem seguir o mesmo procedimento, contemplando o registro do ambiente, como fotografias do dispositivo e anotações de identificações (número de série do dispositivo, modelo, marca, capacidade, entre outras). Um bom exemplo dessa fase é a chegada de um perito em uma cena de crime, uma vez que, antes de qualquer interação, ele identificará todos os elementos do ambiente. 
A fase seguinte, também conhecida como duplicação forense, trata da coleta dos dados a serem analisados. Essa etapa deve ocorrer sem que qualquer tipo de alteração ou dano seja causado à fonte dos dados. Para que isso seja possível, existem ferramentas chamadas bloqueadores de escrita, que impedem que qualquer dado seja gravado na mídia-alvo durante as coletas. Vale lembrar que uma coleta efetuada de maneira incorreta invalidará as evidências, impossibilitando sua admissibilidade em julgamento.
Os métodos de coleta devem seguir os padrões forenses, ou seja, devem ser efetuados com o uso de ferramentas consagradas. Não é uma prática admitida, por exemplo, o “recorte e cole”, porque essa ação não garante, por si só, a integridade e a origem dos dados em uma evidência. Os softwares e hardwares disponíveis para esse fim garantem que toda a coleta seja verificável e, acima de tudo, adquirida de maneira a garantir sua fonte.
Uma coleta, também chamada de clone forense, é uma cópia exata da mídia-alvo, que visa a obtenção de todos os dados, copiando de uma maneira conhecida como cópia bit por bit. O procedimento consiste na duplicação da mídia-alvo em uma mídia separada; no entanto, por que a coleta deve ser feita dessa maneira? Copiar e colar os arquivos não é a mesma coisa? Não: em primeiro lugar, copiar e colar arquivos disponibilizará apenas os dados que estão ativos, ou seja, os dados que existem e que estão acessíveis ao usuário. Nesse universo, esse tipo de cópia (recortar e colar) apenas coleta dados de pastas e arquivos. A coleta forense, por outro lado, adquire os dados de espaços não alocados, o que inclui os arquivos excluídos, sobrescritos e parcialmente substituídos, além de capturar dados do sistema de arquivos – o que não é possível com a cópia normal.
O processo de clonagem de um disco rígido é, em teoria, um processo direto, ou seja, os dados de uma fonte são clonados para uma mídia de destino que receberá essas informações. A mídia de destino deverá ter pelo menos o mesmo tamanho (ou maior) que a mídia-alvo. Apesar de não ser sempre possível, uma vantagem é obter informações com antecedência sobre o tamanho da fonte de dados a ser coletada. 
Nesse sentido, a fonte de dados que será clonada pode ser removida do computador ou não, e essa ação dependerá de como a coleta será feita. Se essa for a maneira escolhida, após a retirada do disco rígido, ele será conectado via cabo a um dispositivo específico de clonagem ou a um outro computador que possua softwares de clonagem. É importante ter algum tipo de bloqueador de escrita antes de conectar o disco rígido ao computador do especialista em computação forense: o bloqueador de escrita é colocado entre o dispositivo de clonagem (PC, laptop ou hardware autônomo) e a fonte de dados (no caso de um hardware) ou em um módulo adicional constante dos softwares de clonagem.
Ademais, a unidade de destino deverá ser limpa via wipe disk antes da coleta dos dados; isso é necessário porque a maioria das ferramentas de exames forenses utilizadas em análises recupera arquivos. Para que arquivos de outras coletas anteriores não se misturem aos da coleta atual, a mídia de destino deve ser sanitizada antes.
Quando a clonagem é concluída, um arquivo com informações sobre a coleta é gerado (Figura 2). Esse arquivo contém informações que indicam se a clonagem foi ou não bem-sucedida, qual foi o tempo gasto para executá-la, os horários de início e fim da coleta, qual a marca, modelo e capacidade das mídias-alvo e destino e os valores de hash.
Figura 2. Exemplo de arquivo de log de clonagem.
Desse modo, existem dois métodos possíveis para efetuar uma coleta, sendo ambas as situações dependentes de bloqueadores de escrita e ferramentas específicas que criarão logs de interação do especialista com a fonte de dados. Esses métodos são:
COLETA FÍSICA - Em que uma imagem completa (ou espelhada) da fonte de dados é gerada. É o método mais apropriado para análises off-line;
COLETA LÓGICA - Em que uma coleção de artefatos esparsos é adquirida. É o método mais apropriado para análises on-line.
O maior risco durante o processo de coleta é o de registrar ou escrever dados na mídia-alvo; qualquer gravação na fonte de dados poderá comprometer a sua integridade e a sua admissibilidade. A coleta adequada é um processo que, se levarmos em consideração a tecnologia envolvida, é demorado. São muitos os possíveis problemas: setores defeituosos e unidades danificadas ou com mau funcionamento e setores de inicialização corrompidos são apenas alguns exemplos de complicações.
A ata notarial (Figura 3) é um documento redigido em cartório que formalizará determinada ação de maneira fiel (com fé pública). Na computação forense, esse documento é redigido na hora da coleta, que é acompanhada por um cartorário (ou tabelião). Um registro de todas as ações do especialista com a mídia de prova é criado, incluindo informações pertinentes aos dispositivos a serem coletados, ao software ou hardware utilizado e à mídia destino.
Esse documento também é muito utilizado para crimes de internet (ofensas, ameaças, divulgações indevidas, entre outros). Nesses casos, o cartorário entra no site em que o suposto crime foi cometido e efetua capturas de tela. Com isso, mesmo que o criminoso tente apagar o que fez, a ata notarial servirá como evidência.
Figura 3. Exemplo de ata notarial.
Para que um bom trabalho seja feito, é necessário utilizar boas ferramentas. Um especialista em Computação Forense não pode ser pego de surpresa e deve sempre estar preparado para atender um chamado de coleta, oferecendo a primeira respostaa uma ocorrência de crime. Por esse motivo, ele conta com uma coleção de ferramentas, comumente chamada de kit de ferramentas de campo. Assim, o especialista precisa dominar todas as suas funções e operações. 
Em linhas gerais, esse kit deve “cobrir todas as bases” e garantir ao especialista que seu trabalho seguirá os padrões necessários para tarefa. Ele é composto por softwares e hardwares de coleta, softwares de coleta e análise on-line, dispositivos removíveis de armazenamento, invólucros para transporte seguro e, por último, mas não menos importante, uma pulseira antiestática, que impedirá que o dispositivo sofra danos pela descarga de eletricidade estática.
Existem plataformas, desenvolvidas em sistema operacional Linux, que possuem várias soluções agregadas de coleta e análise. Esse tipo de solução, desenvolvida em código aberto, recebe o nome de kit ou suite e pode ser baixado diretamente no site dos desenvolvedores, gratuitamente. Outra característica importante dessas soluções é que todas possuem um sistema operacional próprio, o que permite utilizá-las por meio de um pendrive, que carrega o sistema operacional e todas as ferramentas disponíveis.
Para criar uma mídia com essas soluções, basta baixar a plataforma (imagem ISO) e, com o auxílio de uma ferramenta de criação de boot (inicialização), expandir essa imagem para a mídia desejada. Como exemplos de plataformas, elencamos:
Helix
–
É uma plataforma desenvolvida de maneira personalizada pelo sistema operacional de código aberto Ubuntu e conta com uma excelente coleção de aplicativos focados na resposta aos incidentes forenses. Apesar de possuir boas ferramentas, sua versão gratuita, embora ainda disponível, foi descontinuada, isto é, não possui atualizações recentes;
CAINE (Computer Aided Investigative Environment)
–
É uma plataforma desenvolvida pelo sistema operacional de código aberto GNU/Linux e faz parte do kit de ferramentas de campo de várias agências ao redor do mundo (como a Polícia Federal Brasileira);
PALADIN (Sumuri)
–
Foi desenvolvido pelo sistema operacional de código aberto Ubuntu, é a mais completa plataforma da categoria. Ele conta, inclusive, com um decriptador de discos criptografados pelo sistema Bitlocker (Microsoft). Atualmente, é possível adquiri-la em esquema de doação.
EXPLICANDO
Boot é um termo técnico da língua inglesa que faz referência ao processo de inicialização ou arranque de um dispositivo computacional. O processo de boot acontece quando ligamos um dispositivo até o carregamento total do sistema operacional; a principal tarefa do boot é a de inicializar todos os arquivos necessários para o funcionamento de um sistema operacional. Uma outra tarefa que deve ser citada é o carregamento dos drivers que, grosso modo, são os programas que controlam os dispositivos periféricos (tais como mouse, teclado e monitor) e os recursos internos (hard disk, memória RAM, processador e demais memórias disponíveis). 
A etapa de análise, ou exame de mídia, é a fase em que as evidências são obtidas e extraídas. Essa fase tem como base principal a interpretação de informações relativas ao caso, recebidas do solicitante e capazes de evidenciar se um crime ocorreu ou não, de forma incontestável. Na maioria dos casos, existem duas abordagens a serem aplicadas: quando o especialista conhece e quando ele desconhece o tipo de evidência que procura.
Um bom exemplo da primeira abordagem, quando o especialista procura evidências conhecidas e domina seu ambiente, acontece quando o especialista entende que uma invasão ocorreu. Seu conhecimento do ambiente norteará a procura de evidências que comprovem a invasão, entretanto, como ele desconhece a maneira que essa invasão ocorreu, sua busca será mais ampla; nesse caso, as análises englobam vírus do tipo backdoor, vulnerabilidades sistêmicas, programas e logs apagados. O intuito é o de identificar o tipo, a localização (onde partiu o ataque) e, se possível, o atacante.
A segunda abordagem, em que o especialista desconhece o tipo de evidência que deve procurar, é a mais comum. Embora ele possua total domínio do ambiente a ser analisado, o analista deverá cobrir a totalidade dos dados coletados para buscá-las. Podemos utilizar como exemplo um caso de pedofilia: neste tipo de análise, todo e qualquer tipo de artefato que remeta a esse crime pode ser utilizado como evidência. Desde um arquivo de texto com uma lista de contatos, arquivos de multimídia, histórico de internet, arquivos protegidos por senha ou criptografados, caixas de correio eletrônico, acessos ao webmail, entre outros.
As evidências identificadas na análise são utilizadas para fornecer entendimento e reconstruir eventos. Não é incomum que, para apenas um caso, as análises ocorram em diversas fontes de dado; neste caso, as evidências devem ser agregadas e correlacionadas. Não importa quantas fontes existem, as análises devem sempre ser executadas em uma cópia (resultado das coletas), mas nunca na mídia-alvo, para que ela seja preservada.
Existe uma grande variedade de ferramentas disponíveis que podem ser utilizadas pelo especialista durante as análises. Para que uma ferramenta seja apropriada para essa função, ela deve ser confiável e possuir características que garantam que todo o conteúdo a ser analisado seja desvendado e se torne acessível, para que o especialista extraia ao máximo as informações da fonte de dados. Existem, ainda, outras ferramentas com fins específicos que podem ser utilizadas nas análises; entre elas, podemos citar as ferramentas de busca por palavra-chave e de recuperação de dados apagados.
Quando a fase das análises é concluída, é a vez dos resultados serem apresentados; é a etapa de apresentação, conhecida também como “retorno de evidências”. Todas as evidências devem ser acompanhadas por uma descrição detalhada das etapas realizadas, bem como de um ponto explicativo do que significam e qual sua relação com o caso. Uma apresentação de resultados, na forma de relatório ou laudo, deverá conter:
Informações das fases de aquisição e coleta
–
Responsável técnico, fotos do equipamento, números de série, data e hora da coleta, softwares utilizados, hash number resultante da coleta etc.;
Informações pertinentes da fase de análise
–
Identificação e demais dados relativos à mídia objeto de exame, softwares utilizados na análise e as técnicas empregadas;
Evidências encontradas
–
Explicação do que foi encontrado e sua importância para o caso, visando à correlação de um determinado ato a uma evidência, comprovando que o fato aconteceu.
O relatório ou laudo deve ser apresentado em linguagem acessível, ou seja, não são utilizados termos técnicos que exijam um determinado nível de expertise do juiz que analisará as evidências. Essa prática garante que não haverá qualquer tipo de má interpretação das evidências, não abrindo margem para questionamentos quanto à clareza ou ao que realmente ela (evidência) quer provar.
Assim, algumas dicas úteis para a elaboração de um relatório ou laudo são:
· bullet
Tenha conhecimento do caso como um todo. Isso ajuda tanto nas análises quanto ao reportar evidências que sejam relativas ao assunto, evitando falsos-positivos; 
· bullet
Abstenha-se de emitir opiniões pessoais sobre o que foi levantado, bem como sobre punições a serem aplicadas aos culpados;
· bullet
Reporte apenas o que pode ser comprovado, sem especulações;
· bullet
Agrupe as evidências relativas ao mesmo ponto;
· bullet
Não utilize linguagem complexa. Caso seja indispensável o uso de termos técnicos ou siglas, insira a sua definição e significado no texto;
· bullet
Enumere e relate as evidências de maneira clara e organizada.
A NECESSIDADE DA PERÍCIA FORENSE
Um crime ou uma fraude não têm data e hora marcada para acontecer. Por esse motivo, é essencial que o especialista possua um mapa de ações preestabelecido, que trará agilidade e assertividade às investigações. O planejamento deve oferecer flexibilidade ao especialista, afinal, cada caso é diferente do outro. O primeiro passo, antes de qualquer tipo de interação,é o levantamento de informações pertinentes. 
É necessário o conhecimento do contexto do caso, incluindo a identificação clara de quem são os envolvidos e os fatos relevantes sobre o ato denunciado. O conhecimento sobre o ocorrido facilitará o trabalho do especialista quando suas ações operacionais posteriores forem delineadas. Com esse entendimento, portanto, o especialista poderá prosseguir na elaboração do seu planejamento da investigação.
O primeiro passo no planejamento visa à elaboração de um diagrama para a identificação dos envolvidos (incluindo, por exemplo, os alvos da investigação, as testemunhas, as vítimas, os coautores, os chefes, os subordinados, entre outros). Geralmente, também, é incluído nesse passo um levantamento de antecedentes e mais informações relativas ao perpetrador do crime, além de sua rede de relacionamentos e se o especialista possui todas as informações necessárias para efetuar a investigação.
O escopo de trabalho da investigação visa à identificação de todas as fontes de dados passíveis de coleta, informações do crime dispostas em ordem cronológica, procedimentos previstos para a coleta e os resultados que se espera obter com as investigações. Existem, também, diversos impedimentos possíveis (por exemplo, o notebook do criminoso não ser encontrado ou ter sofrido danos sérios).
Por esse motivo, é nesse momento que o especialista faz a checagem da disponibilidade das fontes de dados. Se for o caso, o especialista deverá inteirar-se sobre o aspecto legal (necessidade de um mandato) aplicado na prática, para que seja possível a identificação das restrições legais relativas à sua atuação no caso. O especialista deve possuir uma percepção acurada ao determinar a quantidade de recursos que serão despendidos na investigação. Assim, os três itens mais importantes nesse passo são:
· bullet
O tempo disponível para realizar os procedimentos: o alinhamento entre necessidade x expectativa x tempo deve ser considerado, pois, na maioria das vezes, os requisitantes não possuem capacidade técnica para avaliar a quantidade de trabalho. É primordial, portanto, que sejam trabalhadas metas factíveis;
· bullet
Os equipamentos necessários para os melhores resultados: o uso de ferramentas que não sejam apropriadas resultará em uma investigação rasa e inefetiva. As limitações dos recursos devem ser consideradas e, se o melhor não for possível, o correto é declinar;
· bullet
A mão de obra com conhecimento técnico para atuar no caso: o especialista, às vezes, depara-se com uma nova tecnologia, e assim se vê perante desafios constantes. Não é incomum que uma determinada ferramenta (ou todas) não acompanhe a velocidade da evolução tecnológica e, nesse caso, o melhor a se fazer é aguardar as atualizações necessárias, salvaguardando a fonte original para trabalhos posteriores.
A preservação de evidências
A área de atuação da Computação Forense abrange todos os tipos de crimes cometidos nos meios digitais, incluindo invasões, investigações de artefatos armazenados em qualquer tipo de mídia digital, fabricação de dados e até distribuição de material de conteúdo indevido. Uma das fases mais críticas em um processo de investigação nesses meios, sem dúvidas, é a coleta dos dados; é a primeira parte a ser contestada em um processo, porque é de conhecimento geral que dados digitais, quaisquer que sejam, são facilmente manipuláveis e fáceis de falsificar. 
 Toda essa volatilidade começou a ser questionada há alguns anos, pois era necessário que os investigadores apresentassem uma solução que pudesse garantir que uma evidência coletada fosse verificada na origem dos dados. A solução foi a aplicação de um algoritmo criptográfico (hash number) que permite a comparação entre a origem dos dados e a coleta realizada. Essa simples comparação garante a integridade dos dados, bem como provê autenticidade de origem para todas as evidências extraídas.
EXPLICANDO
As funções de hash podem ser utilizadas de várias maneiras, incluindo sua função original de criptografar dados. Quando essa função é aplicada em uma fonte de dados, ela cria uma espécie de DNA digital no momento da coleta. Como a cópia efetuada de maneira forense é exatamente igual à origem, então, quando aplicada a mesma função na cópia, o “DNA” será o mesmo. Por esse motivo, qualquer manipulação de artefatos (ou conteúdo) pode ser detectada. 
BREVE HISTÓRIA DA CRIPTOGRAFIA
Apesar de se tratar de uma categoria altamente tecnológica, a criptografia não é algo recente. A palavra é derivada da junção de duas palavras gregas, kryptós e gráphein, significando “palavra escondida”. Assim, a criptografia vem sendo utilizada desde que a humanidade percebeu a necessidade de esconder segredos. No início, a principal técnica era a conversão de mensagens a serem passadas de maneira ilegível com a utilização de figuras, por exemplo.
As técnicas de criptografia mais antigas datam do início de nossa civilização, em regiões como Egito e Roma. Em 1900 a.C., os egípcios fizeram uso de hieróglifos (Figura 4), entalhados de uma maneira ilegível ou mesmo sem sentido com o intuito de dificultar a leitura por aqueles que não conheciam o truque para desvendar o seu significado.
Figura 4. Hieróglifos egípcios escritos a mão. Fonte: Adobe Stock. Acesso em: 17/07/2020.
O tipo de criptografia utilizada pelos romanos chamava cifra de transposição de César (Figura 5) e se baseava na ideia de mover letras um número previamente combinado de vezes, escrevendo, assim, uma mensagem pelo deslocamento das letras. De posse da mensagem, o receptor a decodificava, retornando às posições conforme o número combinado e acessando, portanto, a mensagem.
Figura 5. A cifra de transposição de César.
O caso mais notório do uso de criptografia aconteceu durante a Segunda Guerra Mundial. Os alemães adaptaram, para uso militar, uma máquina inventada pelo engenheiro alemão Arthur Scherbius em 1918. O aparato, chamado Enigma (Figura 6), codificava as mensagens com o uso de roletes. O sistema era tão seguro que praticamente todas as comunicações de rádio e telégrafos da Alemanha, bem como dos demais países do Eixo, eram feitas por meio desse método, fazendo com que a quebra do código mudasse o destino da Guerra no Pacífico.
Figura 6. Máquina de encriptação de mensagens Enigma. Fonte: Adobe Stock. Acesso em: 17/07/2020.
ASSISTA
O filme O jogo da imitação, de 2015, conta a história da quebra do código do Enigma por Alan Turing e uma equipe de especialistas alistados pelo governo britânico durante a Segunda Guerra Mundial.
TIPOS DE HASH
Existem inúmeros tipos de algoritmos de função hash. Na aplicação da Computação Forense, os mais utilizados são o MD5 (Message Digest 5) e os SHAs (Secure Hashing Algorithm) 1 e 2. Nesse sentido, primeiro devemos entender exatamente como o hash funciona, utilizando como exemplo uma frase curta e aplicando uma função de hash MD5. Para isso, consideremos a Figura 7, na qual a frase "Bons Estudos" é a fonte original de dados.
Figura 7. Hash A.
Your hash: 6db4263da037c70b38dd582600bf747c
Your string: Bons Estudos
Em seguida, obtemos a mesma função de hash (MD5), porém alteramos o “E” maiúsculo por um “e” minúsculo. Isso feito, obtemos o resultado ilustrado na Figura 8.
Figura 8. Hash B.
Your hash: 15e1c5070d2d44d2ac83cc27706b01a0
Your string: Bons estudos
Perceba que, com a mudança de apenas uma letra, o resultado da função criptográfica mudou completamente, de 6db4263da037c70b38dd582600bf747c (hash A) para 15e1c5070d2d44d2ac83cc27706b01a0 (hash B). Esse exemplo torna claro que, se qualquer modificação for efetuada na origem dos dados, quando comparado com o resultado da coleta, existirá discrepância. Desse modo, a função MD5 (Figura 9) é a mais utilizada, porque o número de hash obtido após a aplicação de sua função resulta em números menores e de fácil armazenamento.
Figura 9. Exemplo de hash MD5.
Your hash: ec3ba888a752de4096182361557f4da2
Your string: Computação Forense
Apesar de ter sido criada para uma função de criptografia, ela é amplamente utilizada paraa verificação de valores originais de maneira unidirecional, ou seja, ela gera um número na fonte da origem dos dados que depois pode ser comparado com fontes coletadas que, pressupõe-se, são idênticas. Sua criação se deu no sistema operacional Unix, para o armazenamento de senhas de usuários em formato criptografado de 128 bits.
Atentemos à expressão que gerou o hash, utilizada na Figura 9, “Computação Forense”. A cadeia de números gerada é o resultado da aplicação do hash criptográfico, ou seja, essa função transformou os caracteres (letras) em uma cadeia de números. Em criptografia, não importa qual a função criptográfica aplicada, um texto claro sempre será convertido em uma sequência de números.
O SHA é uma função de hash que está integrada aos vários aplicativos e protocolos de segurança, tais como o SSL, o SSH e o IPsec. Sua disseminação se deu basicamente após a adoção do governo dos Estados Unidos, que utiliza as funções SHA-1 (Figura 10) e SHA-2 para determinados aplicativos e protocolos de segurança voltados para a proteção de dados e informações confidenciais.
Figura 10. Exemplo de hash SHA-1.
SHA-1 hash of your string: Computação Forense 
60BC02978001AA613A3501A96E433C1BE4E0F9E7
Atualmente, a função SHA-1 está progressivamente deixando de ser utilizada pelo governo dos Estados Unidos, que prefere utilizar o SHA-2 (Figura 11) aliado a outras funções criptográficas (MD5, por exemplo) e protocolos de segurança mais avançados. Embora o uso do SHA-1 esteja em queda no governo, no mundo corporativo ele ainda é amplamente utilizado para verificação de assinaturas digitais.
Figura 11. Exemplo de hash SHA-2.
Computação Forense
D23c76e7e45671aec1b1b413b6851811f9fda254d6382b5f4ab22c90e899
Objetos e tipos de exame
As evidências com maior grau de aceitabilidade pela corte serão sempre as evidências obtidas de maneira correta, oriundas de uma fonte original e com a garantia de integridade acima de qualquer suspeita. Para que isso ocorra, é necessário que se efetue a coleta de dados, em alguns casos, mais de uma vez. Os cuidados com a mídia destino, dessa forma, devem ser os mesmos que os despendidos com a mídia de prova (origem dos dados). 
São comuns acidentes durante uma coleta (por exemplo, um hard disk original com problemas físicos ou lógicos que impedem a coleta dos dados) e, posteriormente, durante as análises (por exemplo, a não utilização de um bloqueador de escrita ou qualquer tipo de pane na mídia de destino). O sucesso de uma investigação se resume à maneira como o especialista manuseia a mídia de prova e a mídia de destino.
MÍDIAS DE PROVA E DE DESTINO
São consideradas mídias de prova os equipamentos que foram utilizados como meio para um crime (e, portanto, contêm registros de uma ação criminosa) e quaisquer tipos de mídia ou de dispositivo de armazenamento digital que contenham as evidências de uma ação criminosa. Antes de iniciar a coleta de uma mídia de prova (como o conteúdo de um hard disk), uma ótima prática é registrar as informações sobre a mídia (tipo, marca, modelo e capacidade), bem como informações sobre o sistema operacional instalado. Se possível, deve-se tirar fotos da mídia coletada.
Uma etiqueta (Quadro 1) deve ser elaborada para essa mídia, contendo as informações coletadas anteriormente, agregadas às informações de data e hora do início/término da coleta, qual software foi utilizado e o resultado da função de hash. Deve-se, também, “ensacar” ou “envelopar” a mídia de prova e lacrá-la; em seguida, elaboramos o documento da cadeia de custódia. Ao término da coleta, a cadeia de custódia deve conter os dados pertinentes ao caso e à coleta, aliados aos dados do responsável pela salvaguarda (o custodiante, a quem a mídia será entregue) da mídia de prova. 
Quadro 1. Exemplos de etiqueta para mídia de prova e mídia de destino.
São consideradas mídias de destino quaisquer tipos de mídia de armazenamento digital que receba o resultado de uma coleta, efetuada, como mencionado, de acordo com os padrões e procedimentos da computação forense. Antes de iniciar a coleta de uma mídia, devemos verificar se a mídia de destino está sanitizada , ou seja, se ela contém algum dado que possa poluir a cópia. Quando uma mídia de destino não é sanitizada (caso exista a necessidade de uma recuperação de dados, por exemplo), evidências de coletas passadas podem ressurgir.
EXPLICANDO
Os dados contidos em um hard disk, ou qualquer outro tipo de mídia de armazenamento, não desaparecem quando apagados ou, de maneira mais radical, quando são formatados. Para que os dados sejam excluídos de maneira segura, a forma correta é a sanitização pelo uso de uma ferramenta de wipe. Este tipo de ferramenta é gratuita e funciona preenchendo todos os espaços com um bit de valor 1, efetuando repasses que preenchem os espaços sucessivamente com bits de outros valores (que não necessariamente serão apenas números). 
É imperativo, também, o registro de informações sobre a mídia e fotos da mídia que receberá o resultado da coleta. Uma etiqueta também deve ser elaborada para essa mídia, contendo as informações relativas ao caso, seguindo as mesmas diretrizes da etiqueta para a mídia de prova, ensacando e lacrando a mídia de destino, que será aberta somente em um ambiente seguro, como o laboratório em que as análises ocorrerão. Da mesma forma, um documento de custódia deve ser elaborado, contendo os dados pertinentes ao caso e à coleta, além dos dados do responsável pela análise (o especialista que realizará os procedimentos em laboratório) da mídia de destino.
TIPOS DE EXAME
Os exames em computação forense podem ser feitos de duas maneiras: ao vivo, em que a origem dos dados permanece ligada ao sistema operacional operante; ou off-line, quando é efetuada para uma mídia de armazenamento e ela é levada para um laboratório de exames. Independentemente do caminho seguido, o especialista deve ter em mente que os procedimentos relativos à computação forense devem ser respeitados e cumpridos à risca.
É na fase dos exames que o especialista demonstra todo seu conhecimento técnico, utilizando-o para “desconstruir” sistemas operacionais e dados. São requeridos conhecimentos técnicos avançados para entender, por exemplo, como funcionam os bastidores de um sistema operacional e como os dados são gravados, excluídos e armazenados em um sistema de arquivos. Vale lembrar que as ferramentas forenses não se operam sozinhas e não possuem interfaces amigáveis aos usuários sem treinamento.
Entretanto, se bem operadas em um laboratório, essas ferramentas podem ser poderosas. Para a obtenção dos melhores resultados nas pesquisas e investigações, os desenvolvedores criaram recursos para o ramo da Computação Forense. Os departamentos de polícia e as agências de investigação selecionam as ferramentas que utilizam com base em vários fatores, incluindo orçamento e especialistas disponíveis na equipe. 
Algumas dessas ferramentas têm seu uso difundido globalmente, figurando como o “estado da arte” no ramo. A seguir, veremos algumas delas, lembrando, é claro, que o intuito é conhecê-las, sem o propósito de influenciar escolhas futuras.
Encase Forensic
–
O Encase Forensic da Guidance Software é provavelmente a mais conhecida e amplamente utilizada ferramenta de computação forense. Concentra uma grande variedade de diferentes funções, desde a aquisição de dados (imagens) e preservação, até pesquisa de palavras-chave e recuperação básica de dados para análise de um disco rígido no nível do byte, possibilitando uma visão de “raio-X” da mídia analisada;
FTK Forensic Toolkit
–
O Forensic Toolkit (FTK) da AccessData também é uma ferramenta de computação forense conhecida e utilizada. Além das funcionalidades de seu concorrente direto (Encase), possui interface intuitiva, ou seja, de fácil manuseio para usuários menos experientes;;
dtSearch
–
O dtSearch, da dtSearch Corp., é um software que possibilita a indexação de grandes volumes de dados para a realização de buscas por palavras-chave – vale lembrar que o Encase e o FTK são deficitáriosnesse quesito. O dtSearch possibilita a escolha dos dados a serem indexados, por exemplo, apenas arquivos de e-mail (PST).
A análise ao vivo é realizada em dispositivos em que seus sistemas operacionais estão funcionando. Apesar de não ser comum, essa prática visa à coleta de informações armazenadas em partes específicas e de natureza volátil que compõem um dispositivo. Diferentemente das análises off-line, o foco da análise ao vivo é a captura de evidências de um crime cometido em tempo real.
Esse procedimento requer cuidado, pois toda essa volatilidade pode se virar contra o especialista. Não é incomum que, durante uma análise, o dispositivo congele (trave) devido ao uso de ferramentas de coletas de dados. Feito de maneira correta, podemos conseguir dados que as análises off-line não conseguiriam. Entre os mais procurados, durante o procedimento, estão as chaves de registro de sistemas, contas de usuários, qualquer tipo de conexão ou acesso ainda em execução e os dados (objetos) dentro da memória RAM.
O essencial para o sucesso desse tipo de procedimento é o conhecimento da cadeia de volatilidade, que define quais tipos de dados devem ser coletados pelo tempo em que estão disponíveis nos sistemas durante as análises. Existem determinados tipos de dados que possuem alta volatilidade e tempo de vida curto; por esse motivo, o especialista deve ter conhecimento da cadeia de volatilidade para capturá-los primeiro. São eles (por tipo):
· bullet
Registros de sistemas e caches diversos;
· bullet
Tráfego de rede e seu estado (incluindo as tabelas de roteamento);
· bullet
Dados estatísticos dos módulos de controle (kernel) dos sistemas operacionais;
· bullet
Conteúdo de memória RAM (recebe o nome de dump, “despejo”, dos dados da RAM para uma mídia de destino específica);
· bullet
Arquivos temporários localizados em áreas controladas pelo sistema operacional.
A análise off-line é realizada em um ambiente de laboratório em que o especialista poderá efetuar a análise com maior amplitude (por possuir mais ferramentas disponíveis) e maior segurança. Uma vez em laboratório, existem vários procedimentos que podem ser executados em mídias de destino com o intuito de buscar evidências que comprovem que um crime ocorreu: a recuperação de dados, a quebra de senha, a pesquisa por strings e palavras-chave, a análise de cabeçalho de arquivos e a análise da linha do tempo.
Ademais, a recuperação de dados é um procedimento que visa restaurar dados excluídos, propositalmente ou não (excluídos ou sobrescritos pelo próprio sistema operacional). Esse tipo de ação é executado na grande maioria dos exames de computação forense, porque o suposto criminoso tende a apagar seus rastros. Quando efetuado de maneira correta, é possível recuperar arquivos na íntegra e porções de arquivos sobrescritos, como mostrado na Figura 12.
Figura 12. Arquivo sobrescrito.
No caso de arquivos sobrescritos, desde que as porções recuperadas contenham informações relativas ao crime cometido, podem ser utilizadas como evidência. Quando um arquivo é sobrescrito, a cadeia lógica (que compõe os dados de um arquivo) apresenta caracteres especiais nos bits que deveriam possuir dados do arquivo original. Os fragmentos de dados podem ser utilizados como evidência, contanto que apresentem uma porção aceitável de um evento que comprove a autoria ou um fato ocorrido.
A quebra de senha é o procedimento que visa o acesso a arquivos protegidos por senha. Como criminosos buscam maneiras de dificultar as investigações, a proteção de arquivos com senha é a mais comum delas. Existem vários tipos de softwares que podem ser utilizados para esse fim, e o sucesso de seu uso está diretamente ligado ao tipo de sistema ou criptografia utilizado para gerar a senha. No geral, esses softwares utilizam um processo chamado “força bruta”, que tentará quebrar a senha, forçando todas as combinações possíveis; na maioria dos casos, esse procedimento consome muito tempo e, por isso, não é indicado para exames ao vivo.
A pesquisa por strings e palavras-chave é um procedimento que visa a diminuição do tempo de exame, bem como maior assertividade na busca por evidências. Se o especialista detém conhecimento sobre os dados que está examinando, ele pode indexar uma determinada parte desses dados. Geralmente, a escolha da porção de dados se baseia em conjuntos de dados, como acessos à internet, logs sistêmicos, números de telefone e cartão de crédito, entre outros, que contêm informações específicas sobre o caso.
É primordial que, ao efetuar esse procedimento, o especialista escolha palavras-chave ou sequências de caracteres que sejam assertivos. Um bom exemplo disso é não utilizar, por exemplo, palavras do tipo “windows” ou “internet”, pois esse tipo de palavra trará como resultado muitos arquivos irrelevantes para o caso
A análise de cabeçalho de arquivos possibilita que o especialista obtenha dados importantes sobre a autoria, a data de criação, a data de modificação etc. Muitas vezes, um caso se resume a identificar que determinado usuário realizou determinadas mudanças ou acessou um arquivo. Por mais simples que possa parecer, esse procedimento é muito útil e pode reduzir o tempo gasto nos exames (a depender do caso) drasticamente.
Por fim, a análise da linha do tempo parte do pressuposto de que ter informações sobre o caso investigado possibilita que o especialista consiga resumir, de maneira considerável, o universo de suas análises, poupando-lhe tempo. A intenção desse procedimento é o de limitar as buscas por evidências, delimitando-as apenas a um determinado período (janela) de tempo.
// Exames em dispositivos celulares
A comunidade da computação forense enfrenta o desafio constante de se manter a par dos últimos avanços tecnológicos em todas as áreas. Os dispositivos celulares, sem dúvidas, figuram atualmente como o maior de todos os desafios enfrentados pelos profissionais da área: esses dispositivos sofrem modificações e evoluem rapidamente, variam em design, em sistemas operacionais, em capacidade de armazenamento e processamento para acomodar mais funções e aplicativos que evoluem na mesma velocidade.
Esse fato acaba por transformar os dispositivos celulares em um grande desafio. Tomemos como exemplo o software mais utilizado para análises desse tipo de dispositivo: o UFED da Cellebrite, o qual a versão atual está pelo menos duas gerações atrasadas dos dispositivos atuais. Quando um dispositivo móvel é parte de uma investigação, muitas questões (e dúvidas) podem emergir:
· 1
1
Qual é o melhor método para efetuar a cópia deste tipo de dispositivo?
· 2
2
Como extrair evidências?
· 3
3
Quais são os dados potencialmente relevantes e onde buscá-los?
A dificuldade começa na hora da aquisição. Nos computadores, a aquisição bit a bit proporciona acesso a todos os dados constantes (não importando se são arquivos de sistema ou se estão protegidos). 
Nos dispositivos celulares, por sua vez, para se ter acesso aos arquivos protegidos de sistemas e aplicativos antes da cópia é necessário efetuar um procedimento considerado instável (se aplicado de maneira errada, pode apagar todos os dados em vez de dar acesso a eles), chamado rooting. Esse procedimento consiste em permitir que usuários de smartphones, tablets e outros dispositivos, que executam os sistemas operacionais mais comuns nesses equipamentos, obtenham controle privilegiado semelhante aos administradores do sistema operacional Windows. Cabe ao especialista decidir entre a cópia parcial do dispositivo (sem efetuar o rooting) ou correr o risco de efetuar o rooting e copiar o dispositivo na sua totalidade. 
Outro problema é o acesso às conversas efetuadas no aplicativo de mensagem WhatsApp, que possui criptografia de ponta a ponta. Sem o rooting é impossível efetuar a cópia de vídeos, documentos, fotos e áudios que tramitam nesse meio; com o rooting, é possível até mesmo recuperar os backups de conversas efetuadas e a chave criptográfica para abri-los. Uma maneira para burlar essa dificuldade é a de, antes da cópia, o especialistaenviar todas as mensagens para um endereço de e-mail (uma das funcionalidades do próprio aplicativo). 
Para os dispositivos celulares que utilizam o sistema operacional iOS (iPhone) também existe um tipo de rooting dedicado apenas aos dispositivos Apple, chamado de jailbreak, igualmente instável e com as mesmas dificuldades dos outros sistemas operacionais.
// Exames em mídias sociais
Os exames em mídias sociais se tornaram cada vez mais comuns em qualquer investigação. Os especialistas utilizam rotineiramente as mídias sociais para coletar provas e construir casos. Graças à riqueza de informações pessoais on-line, os exames em mídias sociais podem ser usados para verificar o caráter de alguém, verificar se há comportamento ilegal ou inadequado, encontrar alguém e provar (ou refutar) um álibi. As investigações de mídia social são incrivelmente poderosas, porque a aderência e a utilização em massa das mídias sociais são quase uma garantia de sucesso de encontrar, além do alvo, informações relevantes. 
Em segundo lugar, as configurações de privacidade complicadas e as regras de sites como o Facebook, aliadas à baixa maturidade de segurança de dados da maioria da população, fazem com que os usuários desses meios não percebam a facilidade de acesso às informações que diariamente são publicadas on-line. Então, quais são os tipos de evidência tipicamente coletadas nas mídias sociais?
· bullet
Declarações relevantes ou comentários;
· bullet
Metadados de postagens que estabelecem tempo e localização de postagem;
· bullet
Postagens relacionadas às atividades ilegais perpetradas no passado;
· bullet
Fotos;
· bullet
Conteúdos que estabeleçam o caráter (por exemplo, opiniões contrárias à lei e a seus agentes, polícia, juízes etc.);
· bullet
Conteúdo racista ou sexista, entre outros.
As mídias sociais, atualmente, são utilizadas por empresas de recrutamento e pelo departamento de RH de empresas que buscam profissionais no mercado. As verificações de antecedentes e as verificações de referências são tão importantes quanto os testes de conhecimento aplicados para potenciais candidatos. 
As investigações de mídia social são uma ótima maneira de estabelecer o caráter, a experiência de trabalho e a educação de um potencial candidato. Nas mídias sociais podem ser encontradas evidências para apoiar ou desacreditar informações sobre educação e empregos anteriores e avaliar se a conduta do candidato condiz com o esperado pela empresa contratante.
Evidentemente, apesar das facilidades que as mídias sociais proporcionam, é preciso cuidado ao efetuar uma pesquisa nesse tipo de ambiente e coletar evidências para serem utilizadas em tribunais ou algum outro processo legal. Lembre-se sempre que os padrões de coleta e exame da computação forense se aplicam a todo e qualquer tipo de investigação, o que inclui as mídias sociais. As evidências devem ser coletadas metodicamente com metadados apropriados e outras informações de validação intactas; nesse caso, uma das formas de validação mais difundidas é a ata notarial, que consiste no acesso à página da evidência e no registro do conteúdo da referida página. Esse documento, por ser oficial, possui força e é amplamente aceito em tribunais. 
SINTETIZANDO
Nessa unidade, conhecemos os padrões e os tipos de exames que são realizados em uma investigação de computação forense. Vimos todas as fases do processo de exame (apreensão, coleta, análise e apresentação) em vários tipos de elementos (discos rígidos, dispositivos celulares e mídias sociais) e percebemos que a qualidade deve estar presente em cada uma dessas fases. Entendemos que um bom planejamento com foco em resultados é primordial, fazendo parte das funções do especialista da área buscar o máximo de informações disponíveis, para antever e otimizar as análises que serão realizadas depois. 
Além disso, entendemos como a função de hash criptográfico é utilizada para garantir a integridade de todos os dados coletados e conhecemos um pouco mais sobre cada um deles. Descobrimos, também, um pouco mais sobre a história da criptografia. Conhecemos os objetos dos exames em buscas de evidências, bem como entendemos os conceitos de mídia de prova e mídia de destino e quais são os procedimentos que devem ser efetuados ao tratarmos de cada uma delas. Por fim, discorremos sobre os tipos de exame e sobre as técnicas para realizá-los.
REFERÊNCIAS BIBLIOGRÁFICAS
LAMBOY, C. K. Manual de compliance. São Paulo: Via Ética, 2018.
O JOGO da imitação. Direção de Monten Tyldum. Estados Unidos: Black Bear Pictures, 2014. (114 min.), son., color.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. SWGDE Model Standard Operation Procedures for Computer Forensics. [s.l.], v. 3, 2012. Disponível em: < https://www.irisinvestigations.com/wp-content/uploads/2016/12/ToolBox/04-ISO%20QUALITY%20MANAGEMENT%20SYSTEM/SWGDE_Model_SOP_for_Computer_Forensics_091312.pdf>. Acesso em: 24 jul. 2020.
VELHO, J. A. Tratado de computação forense. São Paulo: Millenium, 2012.
Unidade 3 – Coleta de evidências digitais
Nesta unidade você verá:
// coleta de evidências digitais
// duplicação forense em mídias
// coleta de dados voláteis
UNIDADE 3.
Coleta de evidências digitais
Holney Aparecido Decco
OBJETIVOS DA UNIDADE
· bullet
Entender o conceito de coleta de dados digitais, bem como as características e propriedades para a sua realização;
· bullet
Compreender os procedimentos necessários ao se executar uma coleta local e uma coleta remota;
· bullet
Conhecer os métodos científicos relacionados à coleta de dados voláteis de elementos em rede e memória.
TÓPICO DE ESTUDO
Coleta de evidências digitais
–
// O conjunto de ferramentas
// A documentação
Duplicação forense em mídias
–
// Duplicação forense em mídias locais
// O processo de duplicação
// Duplicação forense em mídias remotas
Coleta de dados voláteis
–
// Tráfego de rede
// Memória
Coleta de evidências digitais
Ao manusear qualquer mídia alvo, é imperativo que o especialista em Computação Forense não execute nenhum procedimento que venha a alterar as evidências nela contidas. O procedimento de coleta (também conhecido como preservação), então, consiste no isolamento e na proteção da mídia alvo, mantendo-a intacta e inalterada, assim como qualquer cena de crime.
Para que isso seja possível, dada a volatilidade já conhecida dos dados digitais, é efetuada uma cópia (duplicação) bit a bit (exata) da mídia alvo. Essa duplicação irá permitir que o especialista efetue as análises na cópia, mantendo o conteúdo da mídia alvo em segurança. Desse modo, um crime ou uma fraude, quando cometidos nos meios digitais ou com o auxílio de qualquer meio digital, são eventos em que a lei e as políticas de segurança e de conduta são quebradas e violadas em seus termos.
No campo da tecnologia da informação, de modo geral, todos os esforços se movimentaram em busca do aperfeiçoamento de dispositivos. Nos dispositivos de armazenamento, por exemplo, o aumento da capacidade e da velocidade no acesso às informações é constante. Essa característica torna o processo de coleta uma parte importante, senão a mais importante, em casos de investigação no ramo de Computação Forense. Por isso, é necessário que, ao realizar uma coleta, o especialista atente para os princípios e procedimentos que a prática exige, que são:
· bullet
Aderir totalmente às leis relativas ao local onde a coleta será realizada, ao dispositivo a ser coletado e ao envolvimento de especialistas adequados para o cumprimento da coleta;
· bullet
Coletar as evidências de maneira precisa, não importando o dispositivo a ser coletado (celulares, computadores, tablets, notebooks, servidores etc.);
· bullet
Manter notas precisas em relação aos procedimentos executados, incluindo datas e horários. O importante é criar um guia que detalhe todas as interações do especialista com o dispositivo que será coletado;
· bullet
Observar, antes da coleta, se existe falta de sincronismo entre a data e hora do sistema operacional e o UTC (tempo universal coordenado, o horário base em que todos osfusos horários são calculados). Podem haver discrepâncias entre a data e o horário do sistema e da BIOS da placa-mãe. O timestamp (o registro de data e hora de toda ação em um sistema) deve estar coordenado e sincronizado;
· bullet
Estar sempre preparado para testemunhar em um tribunal de justiça, caso seja necessário. Para isso, as notas que o especialista produzirá darão suporte, para comprovar que os procedimentos realizados foram corretos e estão em sintonia com as melhores práticas;
· bullet
Evitar qualquer tipo de alteração nos dados é primordial, o que não se limita apenas ao conteúdo dos dados, mas também a outros fatores, tais como data de acesso, data de criação, data de modificação etc.;
· bullet
Optar, em determinadas situações, por coletar o dispositivo alvo para análise posterior (análise off-line) ou analisá-lo diretamente (análise on-line), coletando os dados voláteis relativos ao caso. A rapidez no julgamento e na decisão sobre qual caminho seguir determinará o fator de sucesso de uma coleta. É necessário preparação e conhecimento técnico para tomar essa decisão, bem como conhecimento do caso em questão, para que se escolha a melhor abordagem;
· bullet
Tomar todo o cuidado, ao optar pela retirada de um disco rígido para coleta, pois estes dispositivos podem apresentar problemas físicos, se mal manuseados;
· bullet
Testar, antes de iniciar seus trabalhos, vários softwares e hardwares de coleta, tendo eles à mão para cada caso. É primordial que se esteja preparado para efetuar uma coleta, independentemente do tipo de dispositivo a ser coletado; e
· bullet
Sob hipótese nenhuma o especialista coletará informações de um dispositivo sem as devidas autorizações. É importante sempre contar com subsídios legais e o apoio de outras instâncias para efetuar a coleta.
A automação é a principal característica de softwares e hardwares de coleta. Quanto mais automático é o sistema, mais rápido e preciso, além de precisar de menos interação do especialista. Portanto, menores serão os riscos de erro humano. Nunca se deve confiar em sistemas do sistema operacional a ser coletado, devendo o especialista sempre utilizar seus próprios recursos.
Desse modo, a coleta de dados pode se tornar, em determinadas situações, um processo muito mais desafiador do que a análise dos dados em busca de evidências. É bom lembrar sempre que o sucesso dessa tarefa depende da combinação das ferramentas certas, da realização das documentações de maneira precisa, do conhecimento técnico e da aplicação dos procedimentos.
O CONJUNTO DE FERRAMENTAS
Ao realizar uma coleta, primeiramente, devemos nos concentrar no conjunto de ferramentas necessárias, que podem ser adquiridas de forma gratuita ou, dependendo das funcionalidades que oferecem, serem pagas. Quando falamos sobre ferramentas, inclui-se também as não tecnológicas, tais como um bom jogo de chaves de fenda, uma pulseira antiestática e uma embalagem apropriada para transporte das mídias resultantes da coleta.
Durante o procedimento de coleta, podem ocorrer várias situações, que nada têm a ver com alta tecnologia. Por exemplo, ao abrir um determinado desktop, o especialista percebe que os parafusos que prendem o disco rígido ao engate estão enferrujados e podem romper, ou o gabinete está empenado, dificultando sua abertura. Abrir um notebook para retirar um disco rígido ou um cartão de memória SSD também não é uma tarefa das mais fáceis.
A mais comum dessas situações analógicas são computadores com lacre de garantia. Nesse caso, o especialista deverá comunicar que o lacre será rompido, portanto o dispositivo perderá a garantia (se ainda vigente) ou optar pela coleta via software. Para prevenir esses e outros problemas que podem surgir, o ideal é que o especialista tenha uma coleção de ferramentas satisfatória, que, preferencialmente, deverá conter:
DICA
Confeccione um checklist e verifique que ele foi cumprido, antes de se dirigir ao local da coleta. Em determinados casos, a rapidez e agilidade necessárias para coletar dados pode ser uma armadilha, fazendo com que o especialista esqueça ferramentas importantes para a execução do trabalho. Manter uma maleta ou mochila com as ferramentas também é uma boa prática. Checar, antecipadamente, se todas as ferramentas indispensáveis estão disponíveis (pois elas também podem se perder ou sofrer acidentes) dará tempo ao especialista de repô-las ou, se for o caso, efetuar as atualizações necessárias.
· Uma câmera digital, que é uma ferramenta excelente, tanto para registrar os números de série e demais características do dispositivo a ser coletado, quanto para provar que o dispositivo está intacto e em boas condições ou que foi alterado e/ou apresenta algum tipo de avaria que possa explicar, posteriormente, as decisões do especialista sobre a forma de coleta escolhida;
· bullet
Uma caixa de ferramentas, contendo chaves de fenda, que podem ser substituídas por parafusadeiras elétricas, por exemplo, de diversos diâmetros e formas (estrela, sextavada, Philips, reta e Allen), alicates de corte e de bico, parafusos extras (é muito comum que essa pequena peça quebre ou tenha a cabeça danificada) e canetas esferográficas e hidrocor (para preencher as documentações e as etiquetas de coleta);
· bullet
Uma lanterna, pois é normal que os dispositivos estejam em lugares totalmente fechados, armazenados esperando um especialista para coletar dados. É uma ferramenta importante também por ocasião do sigilo que uma investigação deve ter. A maioria das coletas no âmbito corporativo é efetuada à noite;
· bullet
Para ter acesso a um disco rígido, o especialista poderá se deparar com vários cabos, presos por cintas plásticas de fixação, que têm a função de evitar que eles fiquem soltos dentro do gabinete do dispositivo. Se não houver alternativa, o especialista deverá romper essas cintas e, ao término da coleta, refazer e organizar os cabos da maneira que estavam anteriormente. Esse procedimento é seguro e comum, pois o conteúdo que será coletado estará salvo dentro da mídia de armazenamento;
· bullet
Se a coleta for efetuada via hardware, é mais fácil e rápido retirar apenas a mídia de armazenamento e deixar os cabos originais conectados na placa-mãe do dispositivo. Por esse motivo, o especialista deverá possuir cabos de força e de dados sobressalentes, para conectar a mídia alvo ao dispositivo duplicador que irá efetuar o trabalho de coleta. Vale lembrar que existem vários tipos de mídias de armazenamento com encaixes distintos, entre eles o SCSI, o IDE e os atuais SATA;
· bullet
Existem vários tipos de embalagens de transporte, que vão desde envelopes antiestáticos até caixas apropriadas, com compartimentos que deixarão a mídia de destino segura. O importante a ser considerado é a proteção, tanto antiestática quanto para eventuais acidentes ou quedas que podem ocorrer durante o transporte até o laboratório, para a realização das análises.
· bullet
Os discos rígidos podem ser internos, externos ou SSD. De preferência, um especialista deverá levantar as informações relativas ao tamanho do dispositivo a ser coletado, mas isso nem sempre é possível. Por esse motivo, é melhor estar preparado, tendo uma quantidade de discos rígidos de diversos tamanhos (comumente de 500 gigabytes e 1 terabyte) que proporcione a certeza de que são suficientes para realizar a coleta. Vale lembrar que esses discos rígidos devem passar pelo processo de sanitização antes de serem utilizados entre um trabalho e outro;
· bullet
Existe uma infinidade de hardwares de coleta, os duplicadores, disponíveis no mercado. Antes de efetuar uma coleta, o especialista deverá verificar se o dispositivo possui todos os cabos necessários para seu funcionamento e checar se será necessário algum tipo de adaptador, para que seja plugado na tomada disponível no local da coleta. Uma boa dica é checar também se a atualização do firmware (uma classe de softwares desenvolvidos especificamente para o controle de dispositivos de hardware) está atualizado. Se estiver desatualizado e a mídia alvo forde um modelo recente, o especialista poderá ter problemas durante a coleta, tais como o não reconhecimento e a não leitura da mídia; e
· bullet
Assim como os hardwares, existe uma infinidade de softwares de coleta. Se a escolha for por softwares gratuitos ou de código aberto, o especialista deverá se certificar de que são apropriados e cumprem com as especificações necessárias. Se forem softwares pagos, a licença não poderá estar expirada, pois as informações do software utilizado figurarão nas documentações da coleta. Imagine um especialista que utiliza, por exemplo, um software pirata para realizar uma coleta. Este fato invalidaria qualquer evidência oriunda de uma coleta. Em ambos os casos, tanto em softwares gratuitos quanto pagos, é necessário verificar se a versão utilizada é a mais atual, pois os problemas que podem ocorrer são os mesmos de um firmware desatualizado.
A DOCUMENTAÇÃO
Os métodos de coleta devem possuir, acima de tudo, transparência em relação às interações do especialista com o dispositivo a ser coletado. A documentação feita antes, durante e depois da coleta irá comprovar, de maneira inequívoca, que os procedimentos foram seguidos, que as ferramentas corretas foram utilizadas e que o especialista mitigou qualquer risco em suas ações, que podem colocar em dúvida as evidências extraídas a partir da coleta. Assim, devemos conhecer, mais a fundo e de maneira cronológica, as documentações relativas ao processo de coleta, que são:
· bullet
O formulário de aprovação;
· bullet
O formulário de notas da coleta; 
· bullet
O formulário de informações de dispositivos;
· bullet
O formulário de evidências;
· bullet
As etiquetas de mídia; e
· bullet
O formulário de cadeia de custódia;
O formulário de aprovação deve conter informações e aprovações relativas à cadeia de aprovação do especialista a determinado dispositivo (no meio corporativo). Quando no meio criminal ou cível, será necessário um mandado de busca e apreensão do dispositivo em questão.
O formulário de notas da coleta é onde o especialista em Computação Forense insere informações relevantes sobre sua interação com o local da coleta, se existem testemunhas (nomear quem acompanhou o processo), o motivo e as funções que irá executar. Por exemplo:
· bullet
No dia XX/XX/XX, este perito (nome do perito ou especialista) comparece em visita a XXXXXXXXX (nome da empresa ou local), situada no endereço (rua ou avenida) XXXXXXXXXXX número XXXX, andar XX (se houver), para efetuar a coleta de dados (cópia forense) do dispositivo XXXXXX (computador ou aparelho celular, de uso privado ou particular), conforme entendimentos e autorizações prévias (no caso de possuir um mandado, deve constar “...conforme mandado expedido na data de XX/XX/XX, número XXXXX”).
Os trabalhos serão acompanhados por XXXXXXXXXXXXXXXXXXX (nome e cargo no caso de empresa).
Data/hora de chegada: XX/XX/XX às XX:XX Horas.
Data/hora de saída: XX/XX/XX às XX:XX Horas.
O formulário de informações de dispositivos deve conter o máximo de informações possíveis de serem reunidas antes da coleta. A ideia principal desse formulário é tornar o dispositivo a ser coletado identificável e, por meio de uma coleção de numerais únicos (números de série do dispositivo e do sistema operacional, do disco rígido, da placa-mãe etc.), mitigar dúvidas relativas à sua origem. Também serão coletados os dados relativos à marca, modelo, tipo, geometria e capacidade do disco rígido (Figura 1), que constam na etiqueta de fábrica desse tipo de mídia.
Figura 1. Dados possíveis de serem coletados em um disco rígido.
O formulário de evidências trará informações únicas a serem inseridas pelo especialista e identificadores sobre a coleta e o caso a ser analisado. Assim, temos como exemplo:
· bullet
Número do caso – XXX.
Nome do caso – XXXXXXXX (fraude financeira, pornografia etc.).
Conteúdo – dados constantes em XXXX (disco rígido, aparelho celular etc.), de capacidade XXX, que conta com XXX de espaço utilizado e XXX de espaço livre.
Coletado por – XXXXXXXXXXXX (nome do especialista).
Data – XX/XX/XXXX.
As etiquetas de mídia (que devem ser numeradas conforme o número de dispositivos a serem coletados) devem possuir informações relativas à coleta, tais como:
· bullet
Número do caso – XXX
Nome do caso – XXXXXXXX (fraude financeira, pornografia etc.).
Número da evidência – X de X (1 de 1, 1 de 2 etc.).
Coletado por – XXXXXXXXXXXX (nome do especialista).
Data/hora de início – XX/XX/XX às XX:XX horas.
Data/hora de término – XX/XX/XX às XX:XX horas.
Número de hash – (MD5 ou SHA XXXXXXXXXXXXXXXXXXX).
O formulário de cadeia de custódia deverá conter as mesmas informações da etiqueta de mídia, com o adendo de informações que identificarão a sequência de custodiantes da mídia que receberá a coleta, sendo elas:
· bullet
Nome do custodiante (o primeiro custodiante normalmente é o próprio especialista, que transportará a mídia coletada para análises em laboratório).
Data – XX/XX/XXXX.
Motivo – (neste campo deverá ser exposto o motivo da custódia, no caso do especialista. Por exemplo: “mídia retirada para análises em laboratório localizado no endereço XXXXXXXXXXX”).
Após as análises, a mídia coletada é entregue às autoridades ou aos advogados das partes. Nesse caso, o texto no campo “nome do custodiante” será o nome de quem retirou a mídia, e o campo “motivo” deverá informar o motivo da retirada (por exemplo “mídia retirada para perícia, conforme solicitado pelo Exmo. Juiz XXXXXXXXXXX).
Duplicação forense em mídias
A coleta de dados digitais, sob qualquer aspecto, teve seu primeiro impulso a partir do ano de 1985. Antes disso, as perícias não eram focadas exclusivamente em dados e, por isso, não existem muitos documentos que atestem as chamadas atividades mistas, consideradas assim pois se baseavam em relatórios impressos, gerados por sistemas e programas de diversas funções.
Nessa época, os computadores eram considerados apenas máquinas de porte e funções industriais, operados, em sua maioria, por grandes corporações, agências do governo e universidades. A estrutura de espaço físico e condições de funcionamento necessárias para acomodar os “monstros” da época (que chegavam a ocupar uma sala inteira) incluíam sistemas de energia e ar-condicionado dedicados apenas a eles. A mão de obra também precisava ser altamente qualificada, incluindo engenheiros eletrônicos, programadores e engenheiros elétricos, pois os aparelhos apresentavam defeitos constantemente.
Longe de serem as estações multimídia portáteis que conhecemos atualmente, essas máquinas apenas processavam dados. O armazenamento era feito em fitas de backup ou em fitas de dados, e tanto a gravação quanto a leitura dos dados armazenados poderiam demorar dias. Vale lembrar que as redes eram apenas locais, com terminais sendo conectados ao computador central (mainframe), sem nenhuma conexão com ambientes externos.
Para mover dados de um local para outro, era necessário transportar os dados fisicamente, em fitas de backup, cassete ou de dados (Figura 2), para as localidades de destino. Essa era uma prática comum, pois os dados eram digitados em um lugar, para serem processados em outro. Na época, já existiam as auditorias de sistema, mas seu foco era voltado na precisão dos dados, ou seja, no resultado dos dados inseridos versus o resultado já processado.
Figura 2. Computador com leitor de cassete. Fonte: Adobe Stock. Acesso em: 08/08/2020.
Foi a prática deste tipo de auditoria (mesmo que limitada), contudo, por meio da coleta de dados a serem analisados em seu estado bruto, que despertou o interesse pelos dados digitais. Foi notado que, nesses dados, além das informações processadas, havia também informações sobre acesso, data de criação e outros tipos de informações que poderiam ser utilizadas em um contexto maior, como, por exemplo, a investigação de irregularidades.
CURIOSIDADE
A primeira suíte de soluções desenvolvida exclusivamente para computação forense recebeu o nome de the coroner’s toolkit (TCT). Essa solução foi desenvolvida por Wietse Venema e Dan Farmer,e servia para coletar e analisar dados digitais. Essa suíte foi desenvolvida para o sistema Unix, possuindo dois grupos distintos de ferramentas, as de coleta e as de análise. Uma das suas funções mais celebradas era poder coletar dados de informações de rede, tais como endereços IP e tabelas de roteamento. Além disso, o coroner’s kit também podia registrar processos em execução e efetuar cópia de dados armazenados em memórias voláteis.
Esse fato também não passou despercebido pelas agências policiais e de controle. No início do uso dessa prática, o FBI (Federal Bureau of Investigation, ou Departamento Federal de Investigações, em português) e o Serviço da Receita Federal ofereciam treinamentos em mainframe e de rotinas de coleta, de forma rudimentar, para voluntários (agentes internos) que detinham conhecimento avançado em programação, pois, nessa fase, ainda não existiam ferramentas, procedimentos ou qualquer metodologia de coleta.
Assim, ferramentas e utilitários do sistema operacional foram utilizados, juntamente com abordagens científicas e investigativas tradicionais de resolução de problemas, em um processo científico artesanal, onde cada elemento envolvido desenvolvia suas próprias ferramentas. Com o desenvolvimento tecnológico dando grandes saltos, no fim da década de 1980, os primeiros computadores pessoais começaram a aparecer, inicialmente de maneira tímida e depois com mais presença de mercado, bem como variações de marcas e modelos. Com eles, uma nova tendência entre os amantes da ciência começou a surgir.
Os chamados hobbistas eram entusiastas que vislumbravam a utilização dos computadores e softwares para outras esferas, que não apenas o uso profissional. Os computadores nessa época, ainda que poderosos, se comparados aos seus antecessores, continham poucas ferramentas e eram muito difíceis de usar. Seus aplicativos eram limitados e sua interface não era amigável, contando com poucos elementos gráficos e necessitando de longas linhas de comando para tarefas simples, como abrir um aplicativo ou salvar um documento.
Entretanto, nem tudo era dificuldade para quem tentava coletar dados nesses tempos. Se, por um lado, os computadores e softwares eram problemáticos, os sistemas operacionais eram bem mais permissivos. Os hobbistas da época focaram em escrever códigos de programação, para acessassem os níveis internos dos sistemas operacionais e do hardware. Essa foi a deixa que serviu para pavimentar o caminho das futuras gerações de especialistas em Computação Forense, por meio da compreensão de que os computadores seriam ótimas ferramentas de investigação.
Os esforços feitos por esses pioneiros, apesar de parecerem básicos e antiquados, se comparados à atual prática de Computação Forense, formaram sua base científica e analítica. Vale lembrar, também, que o entendimento sobre recuperação de dados teve início nessa época. Desde então, a Computação Forense vem crescendo em amplitude, contando, atualmente, com milhares de praticantes e entusiastas, que diariamente executam exames em mídias digitais e porções de dados de vários tamanhos, obtendo como resultado porções cada vez maiores de evidências.
DUPLICAÇÃO FORENSE EM MÍDIAS LOCAIS
Uma coleta de dados em elementos locais (discos rígidos, aparelhos celulares etc.), que possuem mídia de armazenamento interna, é feita pela cópia exata de todos os bits constantes nessas mídias. Por esse motivo, é comum a utilização do termo duplicação bit a bit. Um bit (abreviação de dígito binário) é considerado a menor unidade de medida a ser utilizada para quantificar dados digitais. Um bit equivale a um único valor binário, que pode ser (no caso de linguagem de computador) 1 ou 0.
Fora das linhas de programação de um software, onde um bit pode significar um valor “verdadeiro” ou “falso”, um bit único tem pouca ou nenhuma utilidade. Por questões de sistema de leitura de arquivos no sistema operacional, no armazenamento do computador, os bits têm que estar agrupados em grupos de oito, para que possam ser considerados. Esse agrupamento de oito bits recebe o nome de byte (Figura 3). Cada byte contém oito bits, que, por sua vez, possuem dois valores possíveis, sendo:
28=256 valores diferentes possíveis em um byte.
Figura 3. Exemplo de cadeia de bits.
Em tecnologia da informação, todos os parâmetros que determinam tamanho, velocidade e capacidade utilizam uma tabela chamada medidas de dados. Por exemplo, se você for medir a velocidade da sua internet, a taxa de transferência e de downloads será caracterizada em Mbps (mega bits por segundo), que é equivalente a 1.000.000 bits, ou seja, são recebidos ou enviados X Mbps por segundo.
Assim, medimos a capacidade de armazenamento de uma mídia de armazenamento em gigabytes. Esse número já foi medido em bytes, kilobytes e megabytes, antes de chegarmos nos atuais gigabytes. Para entendermos os valores de cada uma dessas unidades de medida de dados, observemos o Quadro 1. Temos, então, que 1 TB equivale a 1.024 GB, 1.048.576 MB, 1.073.741.824 kB, ou 1.099.511.627.776 bytes.
Quadro 1. Medidas de dados.
Para saber o número exato de bytes de uma determinada fonte de dados (embora os softwares de coleta já façam este serviço), basta multiplicar o número nominal do tamanho da fonte de dados por 1024. Dessa forma, no caso de um disco rígido de 500 gigabytes, por exemplo, temos:
500 · 1024 = 512.000 megabytes
512000 · 1024 = 524.288.000 kilobytes
524.288.000 · 1024 = 536.870.912.000 bytes
O PROCESSO DE DUPLICAÇÃO
Uma duplicação forense é uma cópia exata, que lê e grava todos os bits de um disco rígido. Ou seja, cada bit (não importando se o valor é 1 ou 0) é copiado da mídia alvo para uma mídia limpa, como, por exemplo, outro disco rígido. A duplicação de uma mídia local pode ser bastante demorada. O tempo gasto nesse processo dependerá do tamanho da mídia a ser duplicada e das técnicas e equipamentos utilizados.
DICA
O maior pesadelo que um especialista pode enfrentar ao duplicar dados é um disco rígido com defeito. Pelo uso contínuo, uma vez que se trata de uma máquina, discos são passíveis de apresentar problemas. Entre os problemas que podem ocorrer, podemos esbarrar com setores defeituosos do disco e, às vezes, com unidades completamente danificadas. Nesse caso, o especialista nunca deve tentar fazer a reparação do disco, mesmo que tenha conhecimento técnico para tal, pois, se algo der errado nesse processo, todos os dados poderão ser perdidos.
No âmbito criminal, a duplicação de uma mídia local geralmente é efetuada em laboratório, sendo um ambiente mais estável e seguro, já que é possível o requerimento de um pedido de busca e apreensão mediante uma justificativa plausível. Para que um computador ou qualquer outro tipo de dispositivo seja retirado de um determinado local, é necessário aprovação.
Quando se trata de duplicar uma mídia no âmbito corporativo, o processo muda totalmente. Na maioria dos casos, as evidências estão em computadores corporativos, que são utilizados diariamente pela empresa. Retirar esse dispositivo para levar para um laboratório é inviável, na maioria das vezes, já que um computador corporativo retirado para duplicação não gerará nenhuma receita, sem contar com os gastos extras de reposição para substituir o computador que foi retirado.
Em um projeto de investigações que envolve a coleta de dados, os tomadores de decisão corporativos não irão pagar mais do que o necessário para ter o trabalho feito. Por esse motivo, a duplicação forense será feita localmente, da maneira mais rápida possível, para que essedispositivo esteja livre e operante novamente. Assim, a mídia a ser duplicada (mídia alvo), quando a ferramenta de duplicação é um dispositivo de hardware (Figura 4), é removida do co
mputador para ser conectada a ele e, em seguida, o dispositivo é conectado via cabo ao dispositivo de clonagem ou a outro computador.
Figura 4. Hardware de duplicação de disco rígido. Fonte: Shutterstock. Acesso em: 08/08/2020.
É imperativo que o especialista utilize, nesse caso, algum tipo de bloqueadorde escrita, antes de iniciar o processo. Esse dispositivo é uma peça crucial e pode ser um hardware ou um software (já está incluído no software de duplicação ou podendo ser separado), que irá proteger a mídia alvo durante o processo de duplicação (Figura 5).
Figura 5. Esquema de duplicador de hardware com bloqueador de escrita.
Quando todos os elementos estão conectados, o processo poderá ser iniciado após alguns cliques. Uma das decisões que o especialista deverá tomar é em relação ao formato da imagem resultante da duplicação. Existem três tipos conhecidos (aceitos e seguros) de formato de imagem, sendo eles:
· bullet
O formato E01 é proprietário e oriundo do software Encase Forensic, que é o software de coleta e análise de dados mais utilizado por especialistas e peritos de Computação Forense. Sua estrutura é baseada no conceito de bit stream (fluxo de bits, em português), onde os dados serão gravados de maneira contínua, por meio de um fluxo de dados. No próprio arquivo que é gerado, são incluídas informações relacionadas à imagem que está sendo feita, em um cabeçalho de dados similar ao que é encontrado em arquivos do pacote Office, por exemplo. Além disso, esse formato possui compressão de dados (assim como arquivos zip e rar) já embutida e à disposição do especialista, caso ele tenha que diminuir o tamanho de uma imagem;
· bullet
O formato RAW DD é oriundo do antigo sistema Unix. Antigamente, era conhecido como “destruidor de discos”, pois era acionado por uma linha de comando, na plataforma Unix. Se, durante a digitação da linha de comando, algum caractere fosse inserido por acidente, havia o perigo real do DD destruir todos os dados do disco rígido. Atualmente, é bem seguro, sendo incluído nos softwares de fonte aberta baseados na linguagem Linux. É parte integrante das suítes de soluções forenses de boot; e
· bullet
O formato AD1 é proprietário e oriundo do software de coleta Forensic Toolkit Imager (que pode ser baixado gratuitamente), concorrente direto do Encase Forensic. O AD1 possui as mesmas características do E01, inclusive permite compressão de dados. Uma característica especial desse formato é que, por padrão, ele particiona a imagem em várias partes, caso o especialista desatento não o configure para um arquivo único. Por exemplo, se você for duplicar um disco rígido de 10 GB, sem configurá-lo, você obterá como resultado 10 arquivos de 1 GB cada. Agora, imagine se a duplicação for de um disco rígido de 1 TB de capacidade.
Ao término da duplicação, caso seja bem-sucedida, um relatório com data e hora de início e término do processo, bem como os valores de hash number para a validação, será gerado. Por fim, uma outra maneira de efetuar uma duplicação é pelo uso de suítes de soluções forenses com opção de boot. Nesse caso, o dispositivo que tem a mídia alvo iniciará um sistema operacional alternativo, no qual o especialista acionará as ferramentas de duplicação, sendo a imagem gerada para um disco rígido externo. O disco rígido que receberá a imagem deverá estar sanitizado, por meio do método wipe disk.
DUPLICAÇÃO FORENSE EM MÍDIAS REMOTAS
A duplicação forense em mídias remotas é uma técnica de coleta de dados de maneira forense (bit a bit, com hash number e possibilitando a recuperação de dados, por exemplo) em dispositivos digitais localizados geograficamente à parte ou dentro de uma mesma rede, no mesmo local, porém sem que o especialista necessite ter acesso físico ao dispositivo em questão. As razões principais para que um especialista escolha ou, dependendo do caso, seja forçado a proceder com esse tipo de duplicação forense são:
EXPLICANDO
Em duplicações de mídia de maneira remota, já que o dispositivo continuará sendo utilizado após o término da duplicação, o hash number se encontra no que chamamos de uma “característica incômoda”, não sendo esse um cenário ideal. Nesse caso, o hash number da imagem não poderá ser comparado com o do dispositivo alvo, não deixando, contudo, de ser um hash number. Se a imagem gerada for preservada, o seu hash number pode ser verificado. Assim, esse fato, aliado aos demais documentos que podem comprovar a origem e o estado da mídia alvo na hora da coleta, bem como os procedimentos utilizados e a razão pela qual a coleta foi feita dessa maneira, compõe elementos que podem diminuir dúvidas quanto à integridade da imagem.
· Devido às características das empresas modernas, a conectividade propiciada pela internet tornou os ambientes de tecnologia da informação mais complexos, com mais amplitude de alcance e distribuição, e com operações dispersas em várias localidades;
· bullet
Por questões de praticidade e economia, os analistas de suporte cada vez mais executam atendimentos para a solução de problemas e gerenciam os recursos de maneira remota, sem perder a qualidade e eficiência;
· bullet
O andamento das operações diárias em uma empresa não pode sofrer interrupções. Em determinados casos (servidores de e-mail, por exemplo), o dispositivo a ser duplicado é classificado como de alta disponibilidade, ou seja, deve sempre estar disponível, pois é crucial para os negócios; e
· bullet
Toda investigação deve ocorrer sob o mais alto grau de sigilosidade. A preocupação com a sensibilidade dos envolvidos torna a aquisição de imagens de forma remota mais atrativa.
Como esse tipo de duplicação forense requer acesso lógico ao dispositivo alvo, será necessário que, durante a preparação para o início do processo, o especialista em Computação Forense tenha acesso à rede em que o dispositivo está conectado, o que pode dificultar a duplicação.
As redes de computadores possuem, atualmente, níveis de segurança por usuário de forma hierárquica. Por exemplo, existe uma determinada camada de usuários que não consegue mudar o pano de fundo de seu desktop, mas, por outro lado, usuários de uma outra camada conseguem efetuar esta mudança sem problemas. Esse tipo de gerenciamento de usuários é visto principalmente em redes estruturadas em sistemas operacionais Windows Server. Ao fazer uso desse tipo de estrutura, os administradores de rede conseguem adicionar contas de usuário, computadores e serviço a grupos, possibilitando a aplicação de políticas diferentes para grupos diferentes.
O segundo passo é a instalação de um agente no dispositivo remoto, que é parte integrante do software utilizado para efetuar a duplicação. O papel do agente é criar uma porta dos fundos (backdoor), que permitirá que o especialista consiga acessar o dispositivo remotamente, para efetuar a duplicação. Além dessa função, o agente também gerencia o fluxo e o acesso aos dados que serão coletados, criando uma espécie de camada lógica que irá “esconder” as interações do especialista com o dispositivo, sem que o usuário perceba que uma duplicação está sendo executada.
Por fim, é necessário paciência. A velocidade de uma duplicação com acesso físico ao dispositivo pode ser demorada devido a vários fatores, como o tamanho do disco rígido, por exemplo. Em uma cópia remota, junta-se a isso o fator velocidade da rede. Uma duplicação remota pode durar dias e, dependendo do software utilizado, se o usuário desligar o dispositivo, a duplicação voltará à estaca zero, tendo que ser refeita.
Mesmo com todos esses problemas, existem soluções que executam esse tipo de duplicação com segurança, pois foram desenvolvidas para prever, por exemplo, o desligamento do dispositivo. Uma ótima funcionalidade é o salvamento de pontos de segurança. A cada quantidade X de dados duplicados, a ferramenta cria um ponto de recuperação do processo de duplicação. Ao detectar um shutdown (desligamento), rapidamente é criado um ponto de recuperação que permite à duplicação retornar do ponto onde tinha parado, ao ser ligada novamente.
Existem soluções que possibilitam o acesso remoto a dispositivos, conectados a uma rede ou até mesmo pela internet. Porém, essas soluções fazem parte de uma zona cinza de softwares que beiram o hackerismo e a invasão, o que, em computação forense, são crimes imperdoáveis.
Coleta de dados voláteisTodos sabemos que dispositivos digitais são excelentes fontes de informações. Contudo, cada tipo de dispositivo digital possui características próprias em relação ao quão fundo um especialista em Computação Forense deve “cavar” e o quão rápido ele deve agir para conseguir os dados que necessita. Em geral, discos rígidos e memórias RAM são os alvos mais óbvios para se coletar dados, mas não existem alvos óbvios em uma investigação. O que existe é uma determinada porção de dados a serem coletados, devendo toda fonte possível ser considerada.
Tomados os devidos cuidados e contanto que se tenha acesso ao dispositivo, a taxa de sucesso na coleta de dados em memórias RAM é alta, apesar de sua volatilidade e da instabilidade sempre presente nesse processo. Em casos como esse, o que conta a favor do especialista é que ele, de certa maneira, detém o controle sobre o dispositivo, em um ambiente limitado a uma porção de dados, localizado em um determinado espaço que, com as ferramentas certas, é de fácil localização e acesso.
O problema reside justamente na enorme quantidade de locais e dispositivos em que os dados digitais podem se esconder, trafegar ou serem armazenados. Existem vários outros elementos que devem ser considerados em uma coleta de dados. Os roteadores, por exemplo, possuem listas de acesso, lista de endereços de IP e suas rotas (de tráfegos por acessos de interno para externo, e vice-versa).
Ao assumir o controle de um roteador, um atacante assume o controle da rede em que ele se localiza. Isso inclui acesso a todas as informações contidas em todos os dispositivos conectados a ele (todos os e-mails e todos os documentos de todos os funcionários, bem como as aplicações e os bancos de dados). É possível, por exemplo, que um atacante, utilizando um roteador como porta de entrada, consiga acessar um dispositivo e instalar softwares maliciosos que capturam informações sem que o usuário perceba que isso está acontecendo.
TRÁFEGO DE REDE
A coleta do tráfego de uma rede consiste no registro e análise de pacotes que trafegam por ela, para determinar a origem de ataques contra a sua segurança. Entre os casos mais comuns a serem investigados, podemos citar:
O roubo de propriedade intelectual
–
Pela análise dos pacotes de rede, é possível determinar que houve transferência de dados entre dois agentes, um interno (um usuário) e outro externo (um serviço de armazenamento na nuvem, por exemplo);
O uso de recursos da rede da empresa para cometer crimes
–
É quando um colaborador (usuário) utiliza os recursos da empresa para acessar sites de conteúdo criminoso (com conteúdo que fomenta intolerância religiosa, racial e de gênero), sites de organizações ligadas a redes de terrorismo internacional, redes de pedofilia etc.; e
A tentativa de exploração (invasão)
–
Consiste em um colaborador, que possui um determinado acesso à rede de computadores, tentando acessar áreas às quais não possui permissão de acesso.
A coleta de dados nesse ambiente pode ser feita de duas maneiras: pela coleta de todos os pacotes que trafegam em uma rede, sem nenhum filtro aplicado; ou pela captura de dados filtrados do tráfego de rede (sendo essa mais utilizada). O primeiro método pode estender a coleta por muito tempo e requer um espaço considerável de armazenamento. Devido à grande quantidade de dados coletados, a análise posterior também é mais difícil. No segundo método, por outro lado, com base no conhecimento técnico e do caso a ser analisado, o especialista filtra apenas pacotes de rede que contêm as informações que ele acredita serem possíveis fontes de evidências. Embora esse método possa exigir muito poder de processamento, o espaço de armazenamento necessário é relativamente pequeno.
EXEMPLIFICANDO
Imagine a seguinte situação: um determinado usuário, que está sendo investigado por fraude, tem seu modus operandi descoberto. Ao acessar um determinado recurso de internet para roubar informações, ele faz uso de um software de antiforense para limpar seus rastros de navegação. Além de coletar os dados de tráfego de rede desse usuário, existe uma outra ferramenta que poderá ser utilizada, chamada de monitoramento de atividades, que consiste em tirar fotos da tela do usuário a cada determinados X segundos, enviando para um repositório na rede. Além de tirar fotos, esses softwares de monitoramento contam também com keyloggers (que capturam tudo o que o usuário digitou, incluindo senhas).
A ferramenta mais conhecida e utilizada para a captura de pacotes, o Wireshark (Figura 6), é a ferramenta mais indicada para o primeiro tipo de coleta de tráfego de redes. Apesar do alto nível técnico que envolve os conceitos de leitura de tráfego de redes, o Wireshark é bem fácil e amigável de ser usado. Ele pode ser instalado em um computador conectado à rede e, de imediato, começa a coletar os pacotes que estão trafegando nela. O especialista pode interagir com os dados em tempo real ou analisar os pacotes coletados posteriormente.
Figura 6. Tela do Wireshark. Fonte: Wikimedia Commons. Acesso em: 21/08/2020.
As ferramentas mais utilizadas para o segundo método são chamadas de sniffers, que são softwares, conectados à rede, que monitoram e analisam seu tráfego, capturando pacotes de dados com base em filtros pré-estabelecidos. Existem vários tipos de sniffers para o monitoramento e coleta de pacotes de vários tipos de redes, como, por exemplo, de pacotes de redes wi-fi, redes IP, de roteadores e firewalls. Os sniffers são instalados em um computador conectado à rede que será monitorada.
MEMÓRIA 
A coleta dos dados contidos em memória permitirá que o especialista em Computação Forense consiga identificar, em análises posteriores, determinados tipos de atividades cujos processos possuem ciclo de vida curto. Por esse motivo, são armazenados em locais transitórios de dados. Entre os dados que podemos encontrar em memórias, podemos citar:
· bullet
Os processos em execução – se referem ao armazenamento de dados das chamadas de softwares em execução, incluindo o armazenamento de porções de dados recebidos desses softwares, como imagens oriundas de navegação na internet, por exemplo;
· bullet
Os arquivos em execução – são os arquivos que estão sendo executados no momento da coleta (tais como filmes, áudio, vídeo, planilhas etc.);
· bullet
As portas abertas, os endereços IP e outras informações de rede – as memórias armazenam dados relativos ao tráfego recente de dados em rede (assim como no Wireshark), com a diferença de o tráfego capturado se limitar apenas ao computador em questão; e
· bullet
Os usuários que estão logados no sistema – se, no momento da captura, algum usuário estiver logado ou conectado no computador alvo indevidamente, essas informações serão adquiridas nas memórias.
A coleta de dados das memórias geralmente é obtida por meio de softwares que, ao serem executados, passam por um processo chamado dumping (despejo) dos dados contidos nas memórias. Entre uma infinidade de ferramentas disponíveis, podemos citar:
Suite volatility
–
Possui código aberto para captura e análise de RAM e tem suporte para os sistemas operacionais Windows, Linux e Mac;
Rekall
–
Apresenta ferramentas de aquisição e análise, mas é proprietário (não possui código aberto); e
Helix
–
É uma suíte com boot que possui, além de ferramentas de captura e análise de dados adquiridos em memórias, outras funcionalidades para análises de discos rígidos.
Como a captura desse tipo de mídia é executada com o sistema operacional em pleno funcionamento, o especialista pode optar por efetuar a análise dos dados coletados no mesmo dispositivo em que efetuou a coleta. O foco principal desse tipo de coleta são sempre os dados de tráfego de internet. Todos os dados que são baixados (downloads ou simplesmente dados gráficos de páginas visitadas) sempre passarão pelas memórias RAM.
Dependendo do caso, a análise desse tipo de informação pode ser decisiva em uma investigação. Na memória RAM, é possível coletar dados relativos a acessos e e-mails do Gmail ou Yahoo, conversas realizadasno aplicativo Skype, elementos gráficos, tais como fotos e vídeos, de sites acessados, entre outros. Esses são dados bem valiosos, que seriam impossíveis de serem adquiridos em coletas off-line, devido à sua volatilidade.
SINTETIZANDO
Nesta unidade, exploramos as características de diferentes métodos de coleta de evidências digitais. Como qualquer prática científica aplicada à perícia, essas possuem procedimentos que devem ser seguidos, em consenso com a sua principal característica, a de não poluir nenhuma cena de crime. O conjunto correto de ferramentas, aliado à documentação apropriada, são os princípios básicos para se obter sucesso em uma coleta de dados digitais.
Conhecemos um pouco mais sobre a evolução da prática de Computação Forense na história, por meio do desenvolvimento de ferramentas de coleta e análise, e como esses processos eram realizados nos primórdios da prática. Vimos que existem dois tipos de coleta, a local e a remota, bem como entendemos o uso de medidas de dados, que nomeiam porções de dados pelo seu tamanho. Foram, também, apresentados os tipos de formato de imagem (RAW DD, E01 e AD1), com suas características e peculiaridades.
Por fim, conhecemos a prática de coleta de dados de tráfego de rede, que consiste na captura e análise de todos os pacotes que tramitam dentro de um contexto de computadores conectados, que utilizam, como identificador único, o protocolo de transporte TCP-IP.
REFERÊNCIAS BIBLIOGRÁFICAS
ANSON, S.; BUNTING, S.; PEARSON, S. Mastering Windows network forensics and investigation. Indianapolis: Sybex, 2007.
FARMER, D.; VENEMA, W. Forensic discovery. New Jersey: Addison-Wesley, 2005.
FREITAS, A. R. Perícia forense aplicada à informática: ambiente Microsoft. Rio de Janeiro: Brasport, 2006.
LAMBOY, C. K. (Org.). Manual de compliance. São Paulo: Via Ética, 2018.
VELHO, J. A. (Org.). Tratado de computação forense. São Paulo: Millenium, 2012.
Unidade 4 - Análise de evidências digitais
Nesta unidade você verá:
// análises de evidências digitais
// extração de dados
// data carving em memória e tráfego de redes
UNIDADE 4.
Análise de evidências digitais
Holney Aparecido Decco
OBJETIVOS DA UNIDADE
· bullet
Compreender o procedimento de análise de evidências digitais e quais são os principais pontos de atenção ao analisar dados;
· bullet
Entender a fase de extração de dados e seus procedimentos;
· bullet
Conhecer as técnicas de data carving quando aplicadas a dados voláteis e tráfego de redes.
TÓPICO DE ESTUDO
Análises de evidências digitais
–
// Conhecendo o inimigo
// Sistemas de apoio
// A legislação aplicada
Extração de dados
–
// Recuperação de arquivos apagados
Data carving em memória e tráfego de redes
–
// Data carving em memórias
// Data carving em tráfego de redes
Análises de evidências digitais
A análise de evidências digitais é o processo em que o especialista em computação forense irá buscar elementos probatórios que conectem todos os pontos que contêm uma determinada história ou provem que um fato realmente ocorreu. 
Ao final da análise de cada item do conteúdo de um dispositivo digital, o especialista deve conseguir, se houver evidências, responder a perguntas do tipo:
Quem?
–
A resposta deve indicar o responsável pela ação, quem causou dolo, quem interagiu etc.;
O quê?
–
Aponta para o ato, qual foi o crime cometido, qual foi o resultado;
Quando?
–
Em que ano, mês, dia e hora o fato ocorreu. Em arquivos digitais, estabelecer uma linha do tempo baseada em dados de criação, acesso, modificação, recebimento, envio, visualização, exclusão e início;
Como?
–
Qual foi o modus operandi, como o fato ocorreu e quais meios foram utilizados;
Onde?
–
Onde as evidências que comprovam o fato ocorrido foram encontradas, lembrando que elas devem ser confiáveis e comprovadamente fiéis.
Toda investigação (e posterior análise) começa na demanda, ou seja, na comunicação de que determinado fato ocorreu. Quando um ilícito ou fraude interna acontece, nem sempre as informações chegam diretamente aos agentes de polícia ou à diretoria corporativa para que se possa dar a resposta de maneira rápida. 
Aliado a isso, no caso de fraudes corporativas, existem ainda problemas relativos às maneiras e prováveis motivações de uma denúncia, que, muitas vezes, possuem informações incompletas ou inexatas. 
Este tipo de problema irá impactar as análises porque, quanto mais vaga for a denúncia ou comunicação de crime, maior será a amplitude da investigação. 
Quando falamos de conteúdo de arquivos digitais, estamos falando de milhões de arquivos que devem ser analisados como potenciais fontes de evidência. 
Um disco rígido, por exemplo, além dos arquivos visíveis, ainda contém milhares de arquivos que são recuperados, revelados de esconderijos entre outras tantas situações que podem ocorrer. O tamanho médio de capacidade de armazenamento destes dispositivos é de 1 terabyte de dados, enfim, é uma área enorme para ser coberta.
Um segundo ponto, igualmente importante, é o tempo em que o fato ocorre e a sua comunicação para o tratamento nas investigações. Cenas de crime perdem suas características de rastreabilidade quando a resposta não é rápida o suficiente, potenciais evidências podem simplesmente sumir devido a técnicas antiforenses que dificultam, ainda mais, um trabalho já difícil. É primordial que as fontes de informação sejam documentadas, recolhidas e analisadas o mais rápido possível.
O próximo passo é saber se há informações suficientes para prosseguir com as análises. Esse processo visa garantir que a qualidade e quantidade dos dados é suficiente para que as análises obtenham os resultados esperados. Nessa etapa, também é executado o teste de validação de todo o hardware e software que será utilizado nas análises, para garantir que funcionem corretamente e que não causem qualquer tipo de problema na mídia de destino ou em qualquer informação que ela contenha. 
Existe uma discussão entre os especialistas em computação forense relativa à frequência com que o software e o hardware a serem utilizados devem passar por testes de funcionamento. 
Em sua grande maioria, o entendimento é que antes de cada análise, pelo menos, os equipamentos a serem utilizados devem ser testados. Isso ocorre porque, assim como qualquer outro dispositivo digital ou software, as ferramentas forenses também costumam necessitar de atualizações periódicas, que devem ser checadas sempre, para manter o equipamento sempre atualizado. 
A computação forense necessita, durante uma investigação, de uma grande variedade de ferramentas de software e hardware durante as análises. A partir de agora, vamos conhecer algumas delas e entender para que servem.
// Bloqueadores de escrita
Tableau T35U é um hardware bloqueador de escrita em que os discos rígidos que contêm os dados a serem analisados são conectados. Este modelo de bloqueador de escrita possui slots para discos rígidos de interfaces nos padrões IDE e SATA (caso o disco rígido possua outro padrão de interface, é permitido o uso de adaptadores e também permite conectar discos rígidos com outras interfaces). Além de bloquear a escrita, protegendo a mídia a ser analisada contra gravações, este bloqueador de escrita possui o recurso de emular operações de leitura e gravação, o que é bem útil quando a mídia a ser analisada possui algum software malicioso.
Wiebitech Forensic UltraDock v5 é um bloqueador de gravação de escrita que possui funcionalidades parecidas as do Tableau T35U. A grande vantagem deste dispositivo é possuir uma grande quantidade de interfaces que podem ser conectadas (além de USB, SATA e IDE, podem ser conectadas mídias de interface eSATA e FireWire). 
Além disso, quando uma mídia digital possui uma área oculta, ela é identificada e desbloqueada automaticamente para que o analista consiga extrair dados desta área.
// Softwares de análises de dados
Há quinze anos, pelo menos, os softwares mais utilizados para análises forenses eram o Encase Forensics e o AccessData FTK (Forensic Toolkit). Porém, atualmente, Encase Forensics já não consegue atenderde maneira totalmente satisfatória a demandas que necessitem o exame de dispositivos que utilizem o sistema operacional Windows. Embora seu uso ainda seja relevante para as análises executadas em sistemas operacionais Mac OS ou Linux OS, ou se a análise possuir determinados tipos raros de formatos de arquivos, existem no mercado, ferramentas mais completas e modernas para este fim, com mais funcionalidades e tecnologias mais recentes.
O AccessData FTK, por outro lado, oferece uma boa quantidade de ferramentas para análise do sistema operacional Windows, mas o tempo necessário de indexação e processamento do conteúdo das mídias a serem analisadas são muito extensos, o que prejudica significativamente o tempo em que um especialista pode gastar nas análises.
Mas ainda há utilidade para estas ferramentas, pois, tanto o Encase Forensics quanto o AccessData FTK são hábeis em processar grandes quantidades de dados (cerca de centenas de terabytes).
Entre suas funcionalidades podemos destacar:
· bullet
Pesquisa de palavras-chave de alto nível, indexando todo o conteúdo da mídia, incluindo arquivos deletados;
· bullet
Ambos permitem a análise de vários casos concorrentemente, permitindo que o especialista faça correlações entre eles;
· bullet
Opções de personalização de análises, permitindo a indexação e a criação de casos no nível de pastas ao invés de todo o conteúdo da mídia;
· bullet
Ambos suportam tipos de arquivos de softwares que não são mais utilizados ou estão obsoletos, entre estes, podemos citar os bancos de dados do software de e-mail Lotus Notes.
As ferramentas mais eficientes são aquelas que permitem ao especialista realizar análises em vários tipos de dispositivos digitais. A mobilidade e a grande seara de facilidades oferecida pelos dispositivos móveis os tornaram uma fonte de dados em potencial em qualquer investigação. Por isso, é natural que as ferramentas consideradas melhores ofereçam funcionalidades voltadas para este fim. 
O Magnet Axiom é uma destas ferramentas que, além de se desenvolver gradualmente, inclui módulos inteiros voltados para a investigação de dispositivos móveis. Além disso, ele é um dos poucos que possui funcionalidades de extração de dados de armazenamentos em nuvem. 
O concorrente atual do Magnet Axiom se chama Belkasoft Evidence Center. Ele conta também com módulos específicos para analisar dados de dispositivos móveis e armazenamentos em nuvem.
Importantes funcionalidade destas ferramentas são a detecção e a extração de arquivos criptografados por algoritmos conhecidos. Ambos possuem updates que mantêm a base de algoritmos atualizada. Extração de dados de navegadores de internet, incluindo conversas realizadas em chats, serviços em nuvem, dados de geolocalização, e-mails, dados de redes sociais, extração automática de arquivos e logs sistêmicos e de sistemas de arquivos.  
Figura 1. Softwares de análise de dados.
DICA
Um especialista em computação forense deve possuir uma quantidade de conhecimentos relativos a conceitos, tecnologias, metodologias e, acima de tudo, estar antenado com a sociedade em que vive. Uma das habilidades essenciais é conseguir se inteirar sobre os acontecimentos da sociedade que o rodeia. É preciso ser hábil para sintetizar as múltiplas fontes de dados e rastrear notícias, eventos e tendências. 
É preciso estimular pensamentos estruturados e críticos, que tornarão o especialista capaz de diferenciar situações e tomar decisões relativas a ideias, hipóteses e o que é, de fato, uma evidência. Nas análises, é desejável que o especialista seja capaz de identificar padrões, quantidades e estatísticas básicas para que sempre possa fazer as perguntas certas.
CONHECENDO O INIMIGO
Um especialista em computação forense, pela natureza do seu trabalho, está sempre a par do modus operandi mais conhecido e dos tipos de crimes mais cometidos. Apesar da alta tecnologia envolvida, este tipo de profissional estará antenado com o fator humano dos envolvidos. 
Em outras palavras, um especialista sabe que máquinas não cometem crimes, pois são apenas um instrumento usado pelos indivíduos que os cometem. Entender o perfil do criminoso em uma análise, ajudará o especialista a compreender o crime cometido e ampliará sua visão relativa ao escopo do que deverá perseguir para conseguir as evidências necessárias.
Os criminosos que geralmente figuram nas esferas policiais são mais propensos a cometerem seus crimes, tais como furto, roubo, assassinato, entre outros, totalmente à parte das esferas digitais, embora existam obviamente, criminosos que utilizam os meios tecnológicos para empreenderem esses tipos de crimes. 
Existem também, os considerados crimes cibernéticos, que são próprios dos meios digitais, sendo investigados por agentes policiais. São alguns exemplos:
· bullet
Difamação, calúnia e injúria;
· bullet
Pedofilia e pornografia infantil;
· bullet
Pedofilia e pornografia infantil;
· bullet
Crimes de ódio (racismo, homofobia etc.).
A questão é que os grandes criminosos, que, na maioria das vezes, utilizam os meios digitais como ferramenta para cometer crimes, estão no ambiente corporativo. Não são chamados de criminosos devido a uma postura legislativa das leis do País para puni-los e os crimes que cometem, chamados de crimes de colarinho branco, não são violentos e possuem apenas uma motivação: valores financeiros.
Os criminosos corporativos, em sua grande maioria (sobretudo quando se tratam de criminosos predadores, aqueles que já têm a intenção de cometer uma fraude antes de iniciar suas atividades na empresa), são observadores perspicazes. Eles buscam e sabem perfeitamente como se aproveitar de fraquezas e características comuns nas operações internas de uma corporação, o que também envolve seus colaboradores e a maneira como eles se relacionam com essas pessoas. 
Obviamente, cada crime tem peculiaridades, mas é um dever do especialista conhecer o convívio social corporativo deste criminoso ao se realizar uma análise digital. O criminoso corporativo sempre buscará um bom convívio com todos, na tentativa de ganhar a confiança de seus superiores e pares. Este comportamento demonstra a tendência à dissimulação, que é a base para qualquer ato criminoso.
Para cometer um crime, o criminoso tentará disfarçar, ocultar ou alterar em tudo ou em parte, os atos que resultaram no crime ou o caracterizaram. Pelo bom convívio, ele tentará desacreditar os envolvidos na investigação, o que, muitas vezes, por mais impressionante que seja, se dá de maneira bem-sucedida. 
Para realizar qualquer tipo de crime, os criminosos corporativos fazem uso de ferramentas sociais de alavancas e de técnicas psicológicas que fazem parte de uma seara de ferramentas operacionais específicas. Conhecê-las é uma vantagem para o especialista que poderá utilizar este conhecimento a favor da investigação.
Engenharia social
–
Engenharia social é a habilidade de conseguir acesso a informações confidenciais ou de áreas importantes de uma corporação por meio de habilidades de técnicas de neurolinguística e persuasão. Por mais incrível que pareça, o método mais eficaz e com maior chance de ter sucesso para obter informações confidenciais é o de simplesmente perguntar.
Roubo ou criação de identidades
–
Roubo ou criação de identidades caracteriza-se quando um criminoso pode, em muitas ocasiões, agir contra suas próprias convicções e até criar uma persona em detrimento da aproximação de um indivíduo-chave dentro de uma corporação para obter benefícios desta relação. Isso pode incluir a simulação de situações e fatos, e até uma representação teatral de apoio ao indivíduo-alvo. Uma grande porcentagem de crimes cometidos na internet utiliza esta técnica.
Ameaças e medo
–
Ameaças e medo são usados quando os criminosos são descobertos ou pegos em flagrante. Geralmente, são usados para intimidar os pares ou, mesmo de maneira anônima, agir para atrapalhar uma investigação.
É muito comum os criminosos serem indivíduos com capacidades de sedução e persuasão muito desenvolvidas, com um bom nível (pelo menos aparente)de conhecimento e com uma excelente habilidade na representação teatral de papéis variados.
Quanto mais ambiciosas e sofisticadas as fraudes, maior será o conhecimento e a capacidade dos fraudadores de aproveitarem as ferramentas operacionais mencionadas e as alavancas tecnológicas que elas propiciam.
O comportamento pós-crime também tem características que podem sinalizar que algo errado aconteceu. Após um crime, um criminoso tentará obter o maior período de tempo que conseguir antes de ser descoberto. Existem diversas razões para as quais os criminosos queiram ganhar tempo, dentre elas podemos citar que, quanto mais tempo o criminoso consegue, maior será a dificuldade das vítimas em conseguir provas e informações e, com isso, o criminoso consegue maiores chances de ocultar e fazer com que sejam irrecuperáveis os resultados de seus crimes.
Todo criminoso terá ainda um cuidado especial em relação à ocultação e disfarce do produto das fraudes praticadas. Ele usará todo tipo de artifício para que os benefícios obtidos através dos crimes (seja dinheiro, bens ou outros) não sejam identificáveis pelas vítimas, por agentes da lei ou por aqueles que tentarão recuperar os valores perdidos. 
Para obter sucesso em um crime, os criminosos utilizam os mesmos métodos que os traficantes, por exemplo, como o mecanismo da lavagem do dinheiro do crime. Porém, convém lembrar que os criminosos corporativos são geralmente motivados por ganhos fáceis para adquirirem benesses que, de certa forma, melhorem sua qualidade de vida ou que simplesmente lhes ofereçam a possibilidade de adquirirem objetos de desejo, tais como carros, viagens e idas a restaurantes caros etc. Por estas características, dificilmente encontraremos criminosos corporativos que vivem de seus crimes ou que tenham guardado os valores ou bens com o resultado de suas fraudes.
SISTEMAS DE APOIO
Atualmente, existem o que podemos chamar de especialistas em computação forense robôs. Basicamente, são programas e dispositivos computacionais que, ao invés de analisarem os dados pós-crime, atuam de maneira proativa, ou seja, realizam monitoramento das transações de diversas fontes de dados para prevenir que um crime aconteça. Um sistema de detecção e prevenção de fraudes (crimes de colarinho branco) torna-se um forte aliado de qualquer estratégia de gerenciamento e prevenção de riscos de fraude.
As equipes escolhem ferramentas tecnológicas que contam com funcionalidades baseadas no fluxo de trabalho e nas necessidades de seus negócios. Um especialista em computação forense sabe que a cultura dos negócios, independente qual seja o ramo de atividade, também deverá ser levada em conta ao efetuar uma análise. 
Estes sistemas de detecção de fraude podem auxiliá-lo a entender quais são os tipos de crime mais propícios a acontecer, com base nos comportamentos e ações que a corporação tenta impedir. Além dos dados que esses sistemas contêm (logs, red flags apontados, tentativas de cometer uma fraude que foram impedidas etc.). 
Como estes sistemas funcionam? Para tornar uma estratégia antifraude eficiente, as corporações devem garantir que seus sistemas estejam alinhados com seu negócio. No caso de empresas que prestam ou oferecem seus serviços para compras online, a estratégia de mitigar os riscos à fraude começa no momento das transações, quando os sistemas utilizados efetuam buscas por anomalias, minimizando o risco de perdas. A detecção de anomalias é uma das abordagens mais comuns nos sistemas de dados internos. 
Estes sistemas fazem usos de algoritmos previamente desenvolvidos que se baseiam na classificação de todas as transações que se desviam dos padrões normais e podem ser consideradas potencialmente fraudulentas. As variáveis nos dados que podem ser usadas para detecção de fraude são inúmeras e variam de detalhes de transação a imagens e textos não estruturados. A análise desses parâmetros conta com os algoritmos de detecção de anomalias para responder às seguintes perguntas:
· 1
1
Os clientes acessam os serviços da maneira esperada?
· 2
2
Os canais de ofertas de produtos e serviços disponíveis para aquisição foram utilizados sem nenhum tipo de atalho ou by-pass no processo de transação?
· 3
3
As ações do usuário são normais?
Nesse caso, o sistema identifica anomalias no comportamento do usuário ao efetuar a transação. Por exemplo, se ele tentou efetuar a mesma compra com vários números de cartão de crédito, se utiliza cartões que não estão em seu nome ou se ele vai tentando efetivar a compra até o momento em que encontrar um cartão que seja aceito. 
Um outro exemplo é a detecção de anomalias nas informações. Por exemplo, um usuário que fornece um endereço com um telefone em outro estado ou discrepâncias em dados relativos à idade, endereços etc. Se as transações já são típicas, ou seja, se o mesmo usuário efetua a compra de produtos várias vezes com cartões diferentes, ou se o número de aquisições por transação única é normal. 
Quando os criminosos possuem um meio de pagamento roubado ou fraudado (cartão de crédito, por exemplo) é comum fazerem uso deste de maneira a obter o máximo de vantagens de maneira rápida, antes que as devidas providências sejam tomadas e esta fonte se extinga. 
Todo criminoso terá ainda um cuidado especial em relação à ocultação e disfarce do produto das fraudes praticadas. Ele usará todo tipo de artifício para que os benefícios obtidos através dos crimes (seja dinheiro, bens ou outros) não sejam identificáveis pelas vítimas, por agentes da lei ou por aqueles que tentarão recuperar os valores perdidos. 
Para obter sucesso em um crime, os criminosos utilizam os mesmos métodos que os traficantes, por exemplo, como o mecanismo da lavagem do dinheiro do crime. Porém, convém lembrar que os criminosos corporativos são geralmente motivados por ganhos fáceis para adquirirem benesses que, de certa forma, melhorem sua qualidade de vida ou que simplesmente lhes ofereçam a possibilidade de adquirirem objetos de desejo, tais como carros, viagens e idas a restaurantes caros etc. Por estas características, dificilmente encontraremos criminosos corporativos que vivem de seus crimes ou que tenham guardado os valores ou bens com o resultado de suas fraudes.
Esses tipos de sistemas são simples e conseguem rapidamente interromper uma transação fraudulenta, mitigando as perdas; por outro lado, por vezes, colocam em dúvidas transações legítimas, apesar de supostos red flags e anomalias. Mas existem sistemas mais avançados que combinam vários algoritmos de análises para reduzir as incertezas geradas pelas anomalias. 
Eles podem ser implementados usando vários estilos de aprendizado de máquina e modelos matemáticos subjacentes. Os sistemas avançados não se limitam apenas a encontrar anomalias, mas, em muitos casos, podem reconhecer padrões existentes que sinalizam cenários de fraude específicos. 
Existem dois tipos de abordagens de aprendizado de máquina que são comumente usadas em sistemas antifraude: aprendizado de máquina não supervisionado e supervisionado.
Aprendizado supervisionado
Envolve o treinamento de um algoritmo usando dados históricos de fraudes e comportamentos fraudulentos já identificados. Nesse caso, os conjuntos de dados existentes já possuem variáveis marcadas e o objetivo do treinamento é fazer com que o sistema preveja essas variáveis em dados futuros;
Aprendizado não supervisionado
Processam dados não rotulados e os classificam em diferentes grupos que podem ser para cruzamentos de bases de dados e cadastro até localização geográfica, detectando relações ocultas entre todas as variáveis nos itens de dados imputados pelos usuários no momento da transação.
Eles podem ser usados independentemente ou combinados para criar algoritmos de detecção de anomalias mais sofisticados. Então, como os estilos supervisionado e não supervisionado se combinam para criar sistemas robustos de detecção de fraudes?
// Rotulando dados
Embora a rotulagem de dados possa ser feita manualmente, é difícil para os seres humanos classificarem novas e sofisticadastentativas de fraude por suas semelhanças implícitas. É por isso que os cientistas de dados aplicam modelos de aprendizado não supervisionado para segmentar itens de dados em porções, responsáveis por todas as correlações ocultas. 
Isso torna a rotulagem de dados mais precisa: o conjunto de dados não apenas rotula itens de fraude/não fraude, mas também identifica novos e diferentes tipos de atividades fraudulentas.
Depois que os dados são rotulados, a próxima interação é aplicar esse novo conjunto de dados rotulado para treinar modelos supervisionados que detectarão transações fraudulentas no uso da produção.
A montagem de vários modelos diferentes é uma abordagem comum na ciência de dados. Embora você possa criar um modelo único, ele sempre terá seus pontos fortes e fracos, pois reconhecerá alguns padrões, mas sentirá falta dos outros. 
Para fazer previsões de dados mais precisos, os cientistas de dados geralmente criam vários modelos usando o mesmo método ou combinam métodos totalmente diferentes. Assim, todos os modelos do conjunto analisam a mesma transação e depois identificam qual a melhor decisão a ser tomada.
O uso de conjuntos requer uma grande capacidade de processamento de um enorme volume de dados em pouquíssimo tempo de análise para que a decisão de barrar uma transação possa ser tomada. Verificar todas as transações online poderá prejudicar a experiência do usuário. É por isso que uma boa prática é fazer a verificação em duas etapas. 
A verificação expressa implica uma simples detecção de anomalia ou outro método direto para dividir todas as transações em transações regulares e suspeitas. Como as transações regulares não exigem verificação adicional, o sistema as aprova. Aquelas para que parecem suspeitas são enviadas para verificação posterior. Este método é utilizado, por exemplo, em companhias aéreas, quando a passagem pode até ser marcada, porém o usuário é chamado para esclarecer dúvidas no momento do embarque.
A LEGISLAÇÃO APLICADA
Vivemos em um mundo onde a tecnologia por meio da conexão possibilitada pelo advento da internet trouxe inúmeros benefícios.
Porém, essa tecnologia trouxe a reboque vários tipos de crimes que migraram do mundo real para o mundo virtual. Existe uma falsa sensação de que o anonimato garante impunidade a um determinado grupo de internautas que efetuam crimes de ódio, racismo e outros tantos comportamentos nocivos para milhares de pessoas, famosas ou não. Existem também os criminosos que roubam senhas, sequestram servidores, invadem páginas e muitos outros tipos de crimes. Todos os usuários vítimas destes criminosos podem sempre recorrer à Justiça para garantir o direito à reparação.
Cabe ao especialista em computação forense, ao analisar um caso, conhecer qual a legislação a ser aplicada para que possa, de maneira correta, endereçar suas evidências. 
Vale lembrar que os crimes mais comuns cometidos na internet já eram cobertos pela lei. O fato de serem cometidos nos meios digitais é considerado apenas como uma circunstância adicional. 
Além disso, o especialista deve ter cuidado para não acabar por cometer os mesmos crimes que está investigando. 
Existem dois tipos de legislação consideradas em investigações digitais. A primeira é baseada no entendimento das leis não específicas que, ao serem aplicadas à esfera digital, devem ser acompanhadas de entendimento para que determinado crime possa ser tipificado. 
Como exemplo, imagine uma correspondência sendo aberta por alguém que não é o seu remetente. As leis não específicas tipificam esse ato como invasão de privacidade. 
Quando um e-mail (que nada mais é do que uma carta eletrônica) é invadido ou interceptado por alguém que não possui acesso efetivo a ele, a lei a ser aplicada será a mesma, só transportando o alvo da invasão de privacidade de algo físico para algo virtual. 
Por outro lado, com toda essa evolução da tecnologia, existem algumas normas que são chamadas de leis específicas, que foram desenvolvidas para tipificar os crimes cometidos nos meios eletrônicos. 
Duas leis relacionadas aos crimes na internet foram sancionadas em 2012, alterando o Código Penal e instituindo penas para crimes específicos nesta esfera, sendo:
A primeira delas é a Lei dos Crimes Cibernéticos (Lei 12.737/2012), conhecida como Lei Carolina Dieckmann, que tipifica atos como invadir computadores (hacking), roubar senhas, violar dados de usuários e divulgar informações privadas (como fotos, mensagens etc.) (BRASIL, 2012).
Os crimes previstos na Lei de Crimes Cibernéticos e inclusos no Código Penal (artigo 154-A e art. 298) são:
Violar sistema de segurança (senhas, travas, sistemas de criptografia etc.) para invadir computador, rede, celular ou dispositivo similar sem autorização (independentemente de estar ou não conectado à internet) para obter, adulterar ou destruir dados ou informações ou, ainda, para instalar vírus ou vulnerabilidades no dispositivo. A pena pode variar de três meses a um ano de prisão além do pagamento de multa (BRASIL, 2012).
Ao efetuar uma análise, um especialista deve seguir sempre a lei, não importando qual seja o caso. Há situações em que uma evidência a ser coletada simplesmente aparece como uma oportunidade única. A questão é que, não importando qual seja, nenhuma evidência deverá ser coletada sem as devidas autorizações. Já houve casos no passado em que o especialista foi punido por incorrer em crimes de quebra de sigilo telefônico, bancário e fiscal.
Tenha sempre em mente estas dicas: 
O especialista deve sempre atentar para o fato de que, não importando qual seja a sua opinião sobre a pessoa, ele só poderá atribuir culpa a ela se houver realmente evidências que comprovem que ela cometeu um crime;
O especialista não deve se envolver com as partes. Ele nunca opina, mas apenas comprova, por meio de fatos e evidências, que um crime ocorreu. Ele nunca julga ou professa sua opinião que não seja o seu conhecimento técnico em um tribunal, mesmo assim, se lhe for perguntado;
Um especialista em computação forense não deixa envolver as suas convicções pessoais quando está analisando um caso;
O especialista sempre trabalha dentro da lei. Ele nunca tentará arrumar artifícios ao arrepio das leis vigentes para tentar conseguir evidências de maneira ilegal;
Existe a falsa impressão de que um especialista em computação forense atua como um hacker, invadindo sistemas e quebrando senhas para conseguir acesso a sistemas e outros tipos de elementos assegurados por este recurso. O especialista analisa apenas ao que tem acesso, nunca deverá tentar, de maneira ilegal, obter acesso a informações que não lhe foram disponibilizadas.
Extração de dados
O passo seguinte à verificação da integridade dos dados coletados a serem analisados chama-se extração de dados. Novas tecnologias propiciam um aumento considerável do volume de dados a serem analisados em uma investigação digital. Esse fato torna cada vez mais difícil a análise em busca de evidências. Com a pressão por agilidade nos resultados, o processo de extração deve ser conduzido sempre de maneira inteligente e focada no que o especialista em computação forense deverá evidenciar. 
Como os especialistas de um modo geral possuem uma ideia clara do que devem buscar para comprovar que determinado crime ocorreu, a extração de dados permite que seja feita uma sintonia fina, extraindo tipos de dados determinados, facilitando a análise (Figura 2). 
Se o solicitante da demanda informa que o crime a ser investigado aconteceu na internet, o especialista irá extrair todos os dados pertinentes a registros, históricos e demais artefatos que se correlacionam a esta esfera. 
Isso diminui consideravelmente o tempo de análises, pois a quantidade filtrada de dados a serem analisados é bem menor. Convém lembrar que dispositivos digitais contam com milhões de arquivos e cada filtro que se possa utilizar para minimizar a quantidade de dados a serem analisados é sempre bem-vindo. Independente de qual seja o tipo de dispositivo ou o caso a ser analisado, o especialista pode aplicarfiltros para identificar os arquivos que contêm:
· bullet
Informações gerais do investigado;
· bullet
Lista de contatos do investigado para correlação de dados;
· bullet
Informações sobre os aplicativos instalados e logs gerados por eles;
· bullet
Histórico de ligações realizadas, recebidas e perdidas;
· bullet
Arquivos sistêmicos de registro de utilização e mensagens de erro que possam conter;
· bullet
Notas, calendários e demais informações de atividades do investigado;
· bullet
Registros de senhas e códigos de acesso, informações sobre as credenciais de conta de login de usuário;
· bullet
Conteúdo de mensagens e arquivos multimídia de aplicativos de mensagens;
· bullet
Arquivos de imagens, de vídeo e áudio;
· bullet
Bancos de dados de correio eletrônico e mensagens;
· bullet
Documentos de texto, planilhas, apresentações, outros tipos de arquivos criados pelo investigado;
· bullet
Histórico de navegação na internet, histórico de pesquisa, recuperação de cookies e demais interações;
· bullet
Informações de geolocalização;
· bullet
Informações de conexão em redes LAN e Wi-Fi.
Figura 2. Extração de dados: páginas da Web.
Durante a extração de dados, é uma situação comum o especialista se deparar com arquivos ou com o próprio disco rígido criptografado e protegidos por senha. No caso do disco rígido, cabe ao especialista refazer a coleta, mediante a retirada da criptografia da fonte de dados (Figura 3).
Figura 3. Disco rígido protegido por criptografia.
No caso dos arquivos, após sua extração e identificação ou após a detecção de senha, o trabalho de quebra ou recuperação de senhas tem início. 
Dependendo do tipo de arquivo e do sistema de proteção de senhas que ele possui, existem algumas ferramentas que já identificam e abrem o arquivo de maneira automática, porém, se a senha for protegida por criptografia, por exemplo, a situação muda, pois o especialista terá que aplicar determinadas ferramentas para quebrar estas senhas. Vale lembrar que as melhores ferramentas para esta situação são aquelas contidas em suítes de Linux, tais como o Kali, Helix, CAINE, entre outros.
Um outro tipo de arquivo, que figura como a proteção mais comum adotada pelos usuários regulares, é feito por meio da compactação de arquivos, com proteção por senha. São vários os softwares disponíveis que efetuam esta tarefa, sendo os mais conhecidos o ZIP e o WINRAR. Neste quesito, os arquivos de extensão RAR possuem o algoritmo mais forte de criptografia (padrão AES-128 - criptografia de 128 bits).
RECUPERAÇÃO DE ARQUIVOS APAGADOS
O que é um sistema de arquivos? Recebe o nome de sistema de arquivos o controlador do conjunto de estruturas lógicas e de rotinas de leitura e gravação que tem a função de permitir que um determinado sistema operacional controle o acesso aos arquivos em mídias de armazenamento. Cada sistema operacional conta com um sistema de arquivos que efetua esse gerenciamento de maneira diferente.
O sistema de arquivos é responsável, por exemplo, pela organização dos arquivos em pastas, tipos, nome de arquivos e controle de espaço utilizado e livre de armazenamento (Diagrama 1), permitindo que, para um usuário, esta organização seja clara, de fácil controle e eficiente, permitindo a criação e, se for o desejo do usuário, a exclusão de arquivos. 
 Diagrama 1. Exemplo de estrutura de dados.
Nem sempre o especialista em computação forense deverá recuperar arquivos que foram apagados de propósito, como por exemplo, no caso de usuário que tentou encobrir seus rastros apagando determinados arquivos que contêm informações que possam prejudicá-lo. 
Existem outras situações que acontecem de maneira involuntária, causadas particularmente pelos sistemas operacionais, falhas e erros de gravação de sistemas de arquivos ou defeitos de hardware, que causam problemas de leitura e gravação, tais como:
Exclusão acidental de arquivos ou pastas
–
Cada sistema de arquivos pode atuar de maneira diferente quando a ação do usuário é a de apagar um arquivo. No sistema operacional Windows, por exemplo, o sistema de arquivos NTFS ou FAT apenas marca um determinado espaço que era utilizado por um arquivo que foi apagado como uma área não utilizada. Nestes casos, o principal motivo da exclusão de uma porção de arquivos é a de liberar espaço. Vale lembrar que um usuário regular, recebe informações do sistema operacional sobre a quantidade de espaço de armazenamento que há disponível. Quando o espaço está perto de atingir 100% de utilização, o sistema operacional começa a apresentar inúmeros problemas de desempenho que podem acarretar travamentos e até erros fatais que culminam com a necessidade de reinstalação do dispositivo. Ao perceber isso, o usuário tende a apagar dados para liberar espaço e não é incomum que uma porção de dados seja apagada acidentalmente;
Formatação do sistema de arquivos
–
Quando um problema em um dispositivo ocorre, em nome da agilidade, muitos usuários preferem efetuar um backup de seus arquivos pessoais e formatar o dispositivo, reinstalando posteriormente o seu sistema operacional. O procedimento de formatação consiste na recriação das estruturas do sistema de arquivos, sobrescrevendo informações logo após o seu restabelecimento. Para um especialista, a recuperação dos arquivos após uma formatação não é uma tarefa difícil pois, mesmo que sobrescritos (desde que não totalmente sobrescritos) é possível a recuperação de dados em larga escala;
Dano lógico de um sistema de arquivos
–
Este tipo de problema ocorre devido a problemas causados por falhas de software. Atualmente, os sistemas de arquivos oferecem uma proteção extra contra danos lógicos. Porém, quando ocorrem, a recuperação destes dados pode ser um desafio ao especialista. O procedimento correto a ser efetuado neste caso é a recuperação total do sistema de arquivo, que permitirá a reconstrução das estruturas de arquivos;
Perda de informações sobre uma partição
–
Este tipo de falha geralmente causa uma mensagem de erro informando que o disco rígido não possui um sistema de arquivo de dados reconhecido. Também é uma falha lógica e pode ser recuperada de maneira total.
A probabilidade de uma recuperação íntegra e bem-sucedida depende muito da situação específica que ocasionou a perda dos dados. Por esse motivo, o especialista deverá ter o conhecimento necessário para identificar a causa para utilizar os procedimentos e as ferramentas certas para recuperação. 
Vale lembrar que a recuperação de dados toma um longo tempo para ser concluída e isso deve ser levado em consideração antes de executar esse processo.
Figura 4. Tipos de arquivos deletados.
Data carving em memória e tráfego de redes
Apesar de existirem vários tipos de sistemas de arquivos, uma peculiaridade encontrada em todos eles é o que chamamos de metadados, ou seja, o conjunto de informações de um arquivo, como autoria, data e local de criação, conteúdo, formato, tamanho, dentre outros. 
Este conjunto de dados é utilizado pelo sistema de arquivos para, além de identificar o arquivo, organizá-lo e posicioná-lo na estrutura dos dados, registrar as localidades físicas no dispositivo em que cada arquivo está armazenado. 
Lembrando que, um arquivo sempre é particionado em pequenas porções e espalhado entre os vários agrupamentos de dados livres, incorrendo em vários locais diferentes para um mesmo arquivo.
CURIOSIDADE
Pelo uso de técnicas de leitura de metadados é possível que um especialista consiga efetuar uma análise de um determinado arquivo de imagem. Embora não seja possível aos usuários regulares terem acesso total às informações dos metadados, existem softwares (como o AnalogExif, por exemplo) que conseguem colher informações que geralmente ficam escondidas. Entre elas, podemos citar qual foi o dispositivo que tirou a foto, dados técnicos relativos a pixels, formato, densidade etc., bem como data e hora (incluindo segundos) em que a foto foi tirada.
O data carving é um procedimento utilizado em computação forense que visa à extração de dados de um dispositivo de armazenamento sem qualquertipo de auxílio do sistema de arquivos que gerencia os dados. A grande vantagem desse mecanismo é recuperar dados de espaços não alocados, não importando se o arquivo está completo ou se foi sobrescrito, ou seja, o data carving irá ler o conteúdo sem que nenhuma informação de arquivo seja necessária (metadados).
O alvo desse mecanismo é o espaço não alocado, que se refere à uma área do dispositivo de armazenamento que, em geral, já não contém informações do arquivo, pois se ele foi excluído, o sistema de arquivos o ignora. 
Quando um dispositivo de armazenamento apresenta falhas, danos ou ausência na estrutura de sistemas de arquivos, o data carving buscará dados na totalidade do dispositivo de armazenamento, uma vez que este processo irá entender que todo o espaço, que não contém uma estrutura de dados, é um espaço não alocado.
DATA CARVING EM MEMÓRIAS
As análises realizadas em qualquer tipo de memória (que é um dispositivo de armazenamento temporário e volátil) quando são coletadas por um especialista em computação forense, têm por característica a falta de estrutura dos seus dados. Os discos rígidos, por exemplo, por conta do sistema de arquivos contêm uma estrutura predefinida e de fácil visualização e compreensão, o que facilita o trabalho do especialista em uma análise.
Memórias voláteis, ao contrário, ao invés de manterem os dados, alocam e desalocam os dados que recebem em áreas diferentes conforme as porções ficam livres.
Com isso, é difícil prever onde uma determinada informação estará alocada, pois ao sofrer refresh, automaticamente um espaço receberá novos dados, sendo que este processo se repete milhares de vezes e de maneira contínua. Existem procedimentos e ferramentas para recuperar dados de memórias voláteis na mesma velocidade em que elas são modificadas. 
Obviamente os especialistas devem tomar os devidos cuidados ao coletar estes dados, pois praticamente toda a interação do usuário com o dispositivo modificará os dados das memórias, o que pode fazer com que o processo de coleta finalize com resultados imprevisíveis.
Porém, uma das soluções encontra-se na técnica de coleta de dados de memórias voláteis que é efetuada por meio de um processo de dumping (despejo) e é realizada com o dispositivo-alvo ligado. Para que a recuperação de dados deste tipo de mídia volátil seja possível, o especialista irá coletar dados de uma outra área, conhecida como área de swap.
A área de swap (ou arquivo de swap) é um local do disco rígido reservado pelo sistema operacional como uma área de troca rápida. Neste local, estão armazenados (temporariamente de maneira menos volátil que uma memória volátil) todos os dados que, em algum momento, passaram pela memória física do dispositivo e que, por questão de otimização do uso das memórias, foram armazenados nele. 
No sistema operacional Windows, o arquivo que recebe estes dados chama-se pagefile.sys. Vale lembrar que a estrutura do arquivo de dumping, coletado com o dispositivo ligado, é idêntica à do arquivo pagefile.sys (área de swap).
Como recuperar este arquivo? Basicamente, com o uso de ferramentas de coleta de dados. O FTK Imager possui a funcionalidade de capturar dados de memórias voláteis com a opção de coletar também os dados do arquivo pagefile.sys. Acompanhe o processo:
· 1
1
Primeiramente, como mostra a Figura 5, abra o FTK Imager e clique no ícone de coleta de memória;
Figura 5. Processo de captura de dados de memória.
· característica a 2
2
Em seguida (Figura 6), marque a opção Include pagefile e clique em Capture memory; 
Figura 6. Opções de captura de memória.
· 3
3
Conforme indica a Figura 7, o processo terá início.
Figura 7. Copiando memória. 
Ao término da coleta, serão criados dois arquivos. O primeiro é o memdump.mem (arquivo de dumping), o segundo é o pagefile.sys (arquivo da área de swap). A maioria das ferramentas de análise forense possui a funcionalidade de visualização destes arquivos.
Para executar o processo de data carving nestes arquivos, basta copiá-los para uma suíte de boot do sistema operacional Linux e executar um programa chamado Foremost (exclusivo para Linux apenas). A interface é amigável, bastando apenas apontar para os arquivos e iniciar o data carving.
DATA CARVING EM TRÁFEGO DE REDES
Em uma investigação, as informações sobre as redes nas quais um determinado dispositivo foi conectado fornecem aos especialistas em computação forense uma infinidade de dados relevantes. O mesmo ocorre quando se sabe quais foram os padrões de interação desse dispositivo com a rede.
Podemos citar, por exemplo, um conjunto de endereços de protocolo de internet (TCP-IP) de destino que se correlaciona com o endereço de TCP-IP de origem, nos quais este dispositivo navegou (na Web) ou acessou via P2P (em inglês, peer to peer), Torrent, entre outros.
O foco do processo de data carving em elementos de uma rede é o de buscar resíduos de conexões e acessos. O processo de coleta de dados de tráfego de rede se assemelha muito ao que é efetuado nas memórias voláteis, uma vez que os dados de tráfego de rede também são considerados voláteis. 
O primeiro passo é o de coletar as informações na forma de dumping (com um pendrive de flash boot que irá reiniciar o roteador e efetuar o dumping) ou se houver disco rígido no roteador, coletá-lo normalmente. 
De posse dos dados, a ferramenta que deverá ser utilizada contém as mesmas características do Foremost (utilizado para memórias voláteis de dispositivos) e se chama Tcpxtract. Ela também pode ser utilizada na coleta de dados de tráfego de rede e também só está disponível para o sistema operacional Linux.
EXPLICANDO
O protocolo TCP-IP é o responsável pelo envio e recebimento de pacotes em um contexto de redes de computadores e internet. Trocando em miúdos, este protocolo é um tipo de linguagem de programa que tem como principal função a troca de informação entre dois dispositivos. Com a internet, o protocolo TCP-IP ganhou uma função extra: gerenciar pacotes enviados e recebidos pela Web. Atualmente, conta com 4 camadas: a de aplicação, que recebe e envia informações entre programas; as camadas de transporte e rede, que recebem os dados; e a camada de interface, que recebe e envia pacotes pela rede.
SINTETIZANDO
Nessa unidade, abordamos as características e os conhecimentos necessários para que um especialista em computação forense consiga efetuar uma análise forense computacional. Observamos as leis que, além de permearem os investigados, também se aplicam aos especialistas que efetuam as investigações. Conhecemos os investigados sob uma ótica das corporações que, atualmente, figuram como as maiores vítimas dos criminosos que utilizam os meios digitais para cometerem os crimes. Destacamos a importância de uma nova fonte de dados (sistemas de prevenção à fraude) que oferece ao especialista informações preciosas sobre as tentativas de fraudes que uma corporação sofre todos os dias.
Quanto à extração de dados, entendemos a importância deste procedimento que auxilia os especialistas a conseguirem focar suas investigações com base na extração e análise de dados que apenas possuem informações relevantes ao caso que está sendo investigado. Vimos também como é possível a recuperação de dados, por meio do entendimento do sistema que controla toda a estrutura de dados de uma mídia de armazenamento (sistema de arquivos).
Além disso, descobrimos um novo processo de recuperação de dados chamado data carving, que busca dados a serem recuperados em áreas de espaço não alocado. Por fim, entendemos que o processo de data carving também pode ser efetuado em memórias voláteis e em tráfego de redes.
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL. Lei nº. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Diário Oficial da União, Brasília, DF, Poder Executivo, 03 dez. 2012. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm>. Acesso em:02 set. 2020.
FREITAS, A. R. Perícia forense aplicada à informática: ambiente Microsoft. Rio de Janeiro: Brasport, 2006.
SWGDE. SWGDE model standard operation procedures for computer forensics. Scientific Working Group on Digital Evidence, 3. ed., [s.l.], 13 set. 2012. 
VELHO, J. A. Tratado de computação forense. São Paulo: Millenium, 2016.