Sala de Aula5 _ Estacio

Prévia do material em texto

Computação Forense
Aula 5: O Surgimento da Computação Forense
Apresentação
Não podemos negar que o avanço da tecnologia nos tornou totalmente dependentes do uso de meios eletrônicos. Sendo
assim, a tecnologia elevou a capacidade de cometimento de crimes e a consequente obtenção de provas dos mesmos.
A computação forense ainda é muito recente, carecendo de um aprofundamento nos estudos, nas técnicas aperfeiçoadas
e de regulamentação legal. Com o intuito de apoiar o esclarecimento das investigações relacionadas aos ilícitos
cometidos através de um dispositivo computacional, surgiu a disciplina da Computação Forense.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Objetivo
Analisar os conceitos gerais da Computação Forense, seu nascimento e sua de�nição histórica;
Descrever o processo da Computação Forense, apontando brevemente alguns aspectos acerca da matéria;
Identi�car os fatores preponderantes que in�uenciam na complexidade dos exames periciais.
Conceitos gerias da Computação Forense
Os computadores apareceram pela primeira vez em meados da década de 1940, e o rápido desenvolvimento dessa tecnologia
foi logo seguido por vários crimes informáticos .
Em meados da década de 1960, Donn Parker, da SRI International, começou a pesquisar crimes de computador e atividades
computadorizadas criminosas ou minimamente antiéticas. O trabalho de Parker continuou pelas duas décadas seguintes,
sendo considerado um marco na história da ética da computação.
1
Saiba mais
https://stecine.azureedge.net/webaula/estacio/go0687/aula5.html
O primeiro caso conhecido de um crime de computador foi registrado no Texas, EUA, em 1966, e resultou em uma sentença de
cinco anos. Nas décadas de 1970 e 1980, os computadores pessoais tornaram-se comuns, tanto em casa quanto no local de
trabalho. Posteriormente, os tribunais e cortes de aplicação da lei perceberam o surgimento de uma nova classe de crime: O crime
de computador.
Como todos os crimes, essa nova classe exigia evidências
con�áveis para processos judiciais bem-sucedidos. Assim
surgiu a disciplina Informática Forense, que visa solucionar,
documentar e viabilizar o processo dos crimes informáticos.
- Paul Leland Kirk
Na década de 1990, as cortes de aplicação da lei em todos os países tecnologicamente avançados estavam cientes dos crimes
tecnológicos e tinham um sistema em vigor para inicializar sua investigação e processo.
Muitos centros de pesquisa cientí�ca também foram formados, e a indústria de software passou a oferecer várias ferramentas
especializadas para ajudar na investigação de crimes informáticos.
Com o rápido progresso tecnológico, o crime informático �oresceu. No entanto, é interessante notar que muitas ofensas
naquela época, e até mesmo agora, não são relatadas e, subsequentemente, nunca são processadas.
Comentário
A verdade é que muitas pessoas físicas que são alvos de ataques e roubo de informações sequer relatam a invasão de
computador para as autoridades, principalmente por medo de efetuar uma denúncia em vão. Sugere-se que a incidência de
crimes informáticos é muito maior do que as estatísticas que aparecem na mídia.
 Fonte: JESHOOTS-com / pixabay.
Por que isso acontece?
Não está claro por que há falta de con�ança na capacidade
de aplicação da lei, mas é concebível que o
amadurecimento da computação forense possa aumentar a
capacidade de aplicação da mesma e, em última análise,
levar a uma melhoria no comportamento das pessoas e
organizações.
Processo da Computação Forense
Para os primeiros investigadores envolvidos em crimes computacionais, tornou-se óbvio que, para que as descobertas fossem
úteis como provas judiciais, eles teriam de cumprir as mesmas regras das investigações convencionais.
A primeira coisa que todo investigador deve estar ciente é o Princípio de Troca de Locard: “Qualquer pessoa ou coisa que entra
na cena do crime leva consigo algo da cena ou deixa algo de si quando sai”. Também �cou claro que, ao investigar um crime
computacional, as mesmas regras básicas se aplicam a qualquer outra investigação de cena de crime.
 Cena de crime. Fonte: David von Diemar / unsplash.
O processo de investigação inclui fases de preservação da cena física, levantamento, busca e reconstrução usando evidências
coletadas, todas as quais devem seguir um conjunto rígido de regras e ser formalmente documentadas.
Comentário
Este processo é detalhado, por exemplo, nos Procedimentos Operacionais Padrão do Ministério da Justiça como forma de auxiliar
o ramo forense.
O crime informático tem características que justi�cam um campo separado de conhecimento ou disciplina. Este campo é
comumente conhecido como Computação Forense. Outros nomes também são usados, por exemplo, 'Forense Computacional’
ou 'Forense Digital'.
Atenção
O termo mais amplo, 'forense digital', refere-se a evidências digitais, entendidas como qualquer informação de valor probatório
que seja armazenada ou transmitida em formato digital.
Coleta de evidências
Cada vez mais, quando a mídia noticia algo sobre investigações acerca de fraudes �nanceiras, suspeita de terrorismo e tantos
outros crimes modernos que se desenvolvem através de um computador, é mencionada a importância de se achar o agente
praticante de tal conduta e, para tanto, é muito importante a coleta de todas as evidências disponíveis para elucidar tal fato.
O exame forense de um dispositivo computacional e de outros dados digitais tornou-se uma ferramenta indispensável para a
aplicação da lei, da segurança corporativa e robustez da inteligência cibernética.
 Exame de evidência. Fonte: Pi Supply / unsplash.
Uma de�nição que podemos utilizar para a computação forense é:
Capacidade de adquirir, preservar, recuperar e apresentar dados
processados eletronicamente e armazenados em mídia
computacional.
No entanto, diversos especialistas acham que uma de�nição precisa não é possível porque, cada vez mais, as evidências
digitais são recuperadas de dispositivos que não são tradicionalmente considerados "computadores"; isso é extremamente
cíclico.
Alguns preferem expandir a de�nição de forma a incluir nesse rol a coleta e o exame de todas as formas de dados digitais,
incluindo os encontrados em telefones celulares, PDAs, iPods e outros dispositivos eletrônicos.
Mesmo que �que extremamente complexo traduzir uma de�nição que abarque todos os sistemas de computação tradicionais
(PCs, servidores e outros), descobrimos que os computadores podem estar envolvidos em atividades criminosas de muitas
maneiras diferentes devido à sua natureza ubíqua. Entre outras coisas, um computador pode:
Ser alvo de um crime, incluindo-se o roubo de informações, fraude �nanceira, negação de serviço ou outro ataque direto;
Ser usado para cometer crimes contra outros computadores;
Ser usado para cometer crimes não relacionados a computadores, como a criação de documentos falsos ou a
falsi�cação de moeda;
Ser usado para copiar ou distribuir ilegalmente materiais protegidos por direitos autorais, como músicas ou �lmes;
Ser usado para armazenar documentos ilegais, como pornogra�a infantil ou informações roubadas de agências
governamentais ou corporações;
Conter informações como listas de contato, cópias de documentos falsi�cados ou e-mail que documenta uma rede de
espionagem, os quais os investigadores possam usar para prevenir ou solucionar crimes.
Em crimes que envolvam informações armazenadas ou manipuladas através de um dispositivo computacional, técnicas
forenses são necessárias para extrair e analisar esses dados. Controversamente, um computador pode conter informações
que invariavelmente podem ser usadas para determinar a intenção de um indivíduo em cometer um crime.
Podemos ignorar momentaneamente tais investigações porque esses pontos levantam questões jurídicas e sociais periféricas
ao foco desta matéria. Outrossim, o intuito é apresentar uma visão geral acerca dos processos e problemas relacionados à
computação forense.
De certo modo, a computaçãoforense não é tão fácil quanto
parece. Os especialistas forenses que trabalham com
evidências físicas, como balística, genética, medicina legal,
papiloscopia ou química forense, desenvolveram
procedimentos investigativos testados em tribunais para
coletá-las e processá-las sem que haja qualquer tipo de
contaminação.
- Paul Leland Kirk
Esses padrões são geralmente baseados em décadas de pesquisa cientí�ca e análise empírica. Padrões equivalentes para
computação forense ainda estão surgindo dia após dia, di�cultados pela quantidade limitada de pesquisas acadêmicas
conduzidas, levando-se em consideração que o arcabouço telemático não possui qualquer tipo de fronteira.
 Fonte: Adaptado de freepik.
Coletar e examinar dados digitais, portanto, apresentam
vários problemas exclusivos em comparação com aqueles
que surgem com outros tipos de evidência.
Coleta de evidência física
Os investigadores podem remover alguns
tipos de evidências físicas (amostras de
cabelo ou �bras, por exemplo) de cenas de
crime para analisar em laboratórios. Outros
tipos (como impressões digitais na parede
ou marcas de derrapagem no pavimento)
devem ser examinados no local e
preservados fotogra�camente ou por
outros meios.

Coleta de evidência digital
Ao coletar dados digitais, os investigadores
podem fazer cópias exatas usando
ferramentas de software que clonam
discos em armazenamento removível ou
outras unidades físicas. Isso pode ser
muito útil quando existem evidências
relacionadas a uma investigação que
enfoca um único funcionário no único
servidor de uma empresa.
Embora os investigadores não pudessem apreender o hardware por causa do dano que ele in�igiria à empresa, a cópia dos
dados permitiria o prosseguimento da investigação garantindo que a evidência digital permanecesse inalterada.
De muitas maneiras, a evidência digital tem se mostrado mais difícil de analisar do que a evidência física. Muitos aplicativos de
software comuns modi�cam os dados quando um arquivo é aberto, mesmo que o usuário não tenha feito qualquer intervenção
ou alteração de conteúdo. A simples inicialização de um sistema operacional moderno causa alterações nos arquivos de
registro e con�guração, o que pode alterar as evidências críticas.
O log do sistema, por exemplo, é uma evidência vital que pode mostrar os tempos de login e logout de um suspeito. Quando um
investigador efetua login para iniciar um exame, o sistema também registra essa atividade e altera o conteúdo e os vestígios
relacionados à data e hora do arquivo.
Funções criptografadas de hash
Para minimizar os problemas associados a tais atividades e veri�car a integridade das evidências, os investigadores costumam
usar funções criptográ�cas de hash (comumente MD5 ou SHA) para "fazer impressões digitais" das cópias, sejam de memórias
ou mesmo discos inteiros, antes de copiar dados para outra unidade.
Se descobrirmos evidências na cópia, podemos usar a função hash novamente para veri�car se a cópia é uma duplicata dos
dados originais, provando assim que a mesma evidência existe no disco original.
 O que é Computação Forense?
 Clique no botão acima.
De acordo com Franco et al. (2016, p. 2):
A computação forense é [um ramo] da Criminalística que tem como objetivo [analisar os artefatos e] vestígios
cibernéticos, englobando os elementos que os orbitam. Esse aspecto [peculiar] torna [essa] área multidisciplinar, que
abrange diferentes áreas das Ciências Forenses.
Isso pode ser visto diariamente nos Institutos de Criminalística, onde os peritos de informática interagem com os
peritos da área de contabilidade audiovisual.
Essa cooperação acompanha o próprio movimento de migração do analógico para o digital visto na sociedade
moderna. Até pouco tempo atrás, os peritos daquelas áreas analisavam livros-caixa e �tas VHS. Atualmente,
examinam relatórios eletrônicos extraídos a partir de sistemas contábeis e vídeos codi�cadas no formato H.264.
A própria documentoscopia, que tradicionalmente lidava apenas com os documentos em papel, hoje já trata de
arquivos assinados com certi�cados digitais e montagens feitas eletronicamente.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Exame forense
Um exame forense em um dispositivo informático pode ajudar a mitigar a perda permanente de dados e indicar práticas de
retenção de registros eletrônicos defeituosos. É extremamente importante conduzir uma investigação forense computacional
no intuito de localizar e preservar as evidências eletrônicas ou recuperar informações excluídas.
A perícia informática é normalmente um processo de duas fases:
1
A descoberta, recuperação, preservação e controle de dados
ou documentos eletrônicos.
2
A análise, veri�cação e apresentação de provas em tribunal ou
investigações.
As investigações federais e estaduais de fraude, discriminação, roubo de propriedade intelectual, vírus e sabotagem incluem
pesquisas forenses em computador. O resultado da grande maioria dos casos depende de evidências obtidas por meio da
computação forense.
As investigações forenses computacionais também revelaram tentativas deliberadas de obstruir a justiça ao destruir provas, o
que é uma infração penal.
A computação forense precisa ir além de sua preocupação com abordagens puramente mecanicistas de cópia bit a bit; ela
deve abraçar tecnologias e métodos que permitirão a inclusão de dados transitórios e análise de sistemas ao vivo (live). Essa
nova direção pode exigir uma mudança correspondente nas expectativas se quisermos desenvolver maneiras de coletar e
analisar informações voláteis.
Comentário
A verdade é que existe uma lacuna no que diz respeito a uma literatura que explique e exempli�que a computação forense em
termos não técnicos, pois nossa visão de futuro envolverá uma colaboração interdisciplinar.
Exames Periciais
Novas direções em computação forense
À medida que a tecnologia computacional vem se desenvolvendo numa velocidade extraordinária, ela facilita o processamento
de volumes cada vez maiores de dados, o que não é apenas transitório, mas também não se limita a um local especí�co. Nesse
sentido, as evidências coletadas de sistemas computacionais não são como outras evidências físicas e não podem estar
sujeitas às mesmas regras.
Atenção
Mesmo em casos simples, é enganoso tratar o disco rígido que armazena dados como um sinônimo desses dados. A
computação forense já caminhou muito além da análise de imagens de disco rígido. A análise forense de memória em
dispositivos móveis e a metodologia de investigação do sistema ao vivo estão se desenvolvendo tanto em termos de pesquisa
quanto em ferramentas de software forense especí�cas.
Por exemplo, o Cyber Forensic Field Triage Process Model é um modelo para identi�cação, análise e interpretação a ser utilizado
no local de evidências digitais sem a obrigatoriedade de adquirir uma imagem forense completa. O modelo é projetado para ser
útil em situações nas quais as investigações de todo o sistema precisam ser feitas no local em um curto espaço de tempo.
Coleta e preservação de evidências
A coleta de imagens de memória, invariavelmente, altera os dados que estão sendo coletados. Até agora, nenhum método
universal foi descoberto para evitar isso, e talvez tal método nunca seja desenvolvido. Da mesma forma, a investigação ao vivo
por sua própria natureza modi�ca os dados armazenados na memória, nos discos rígidos e outros dispositivos de
armazenamento.
Deve-se aceitar que isso é inevitável, e as evidências coletadas dessa maneira devem se tornar aceitáveis para os tribunais
desde que todas essas alterações sejam devidamente apontadas em relatório.
Os tribunais examinam as evidências cuidadosamente para garantir que as condenações sejam baseadas apenas nas
evidências mais con�áveis. No entanto, isso não signi�ca que todas as evidências estão 100% preservadas. Isso é
particularmente verdade para evidências circunstanciais.
Uma combinação de evidências que sozinha não resistiriaa um percurso judicial pode ser muito convincente quando
considerada em conjunto. Os tribunais aceitam prontamente evidências com exatidão inferior a 100%. Considere a evidência de
impressão digital, que é bem reconhecida pelos tribunais.
Uma comparação de impressão digital é uma opinião de especialista baseada em pontos de identidade
entre as duas impressões. A análise de impressões digitais, como todos os tipos de evidências de
correspondência a padrões (incluindo balística), não é uma ciência exata.
A evidência de DNA, também amplamente aceita, é expressa em termos de probabilidade estatística, e
novamente não possui 100% de certeza. O importante é que o perito possa explicar ao tribunal o efeito
potencial de uma eventual falta de certeza, ou seja, se a incerteza é ou não fatal para a integridade dos
dados como um todo.
Comentário
Com isso, podemos fazer uma analogia com o campo da computação forense: se os investigadores conseguem tirar uma
imagem da memória indicando a presença de pornogra�a, o fato de a técnica de investigação ter modi�cado os dados da
memória no processo pode não importar.
Só importará para um tribunal se a modi�cação poderia possivelmente ter construído uma imagem pornográ�ca (ou fragmento
de uma) onde não havia nenhuma originalmente. A probabilidade de tal evento espontâneo é tão mínima que os tribunais
podem, no entanto, considerar os dados con�áveis.
 Sistemas computacionais
 Clique no botão acima.
Os sistemas computacionais estão cada vez mais complexos, e a análise de suas partes, como o disco ou a imagem
da memória, pode não revelar prontamente todas as informações disponíveis.
Isso exige uma nova abordagem (novamente, uma que remova a expectativa de certeza), isto é, tentar recriar o
sistema de computador e seu ambiente imediato, reproduzindo as imagens coletadas de forma controlada, e observar
seu comportamento.
Isso tem o potencial de fornecer um insight valioso sobre a relação dinâmica do sistema investigado com as redes
externas de computadores, bem como as con�gurações e funções especí�cas do próprio sistema. A prova obtida
dessa forma não é um objeto físico, como um disco rígido, mas se assemelha mais a uma visita à cena do crime.
Propõe, então, a expansão da de�nição de Computação Forense de forma a incluir a coleção de detalhes de hardware
e software do sistema/computador investigado, com o objetivo de recriar o ambiente o mais �elmente possível, ainda
que não completamente.
Há ferramentas de software disponíveis que permitem a criação de sistemas virtuais seguindo as especi�cações
exigidas. Essas ferramentas podem ser desenvolvidas para criar software forense dedicado, tornando o processo de
reconstrução mais adequado para uma investigação forense. Isso deve ocorrer em paralelo com a análise das
imagens do disco rígido.
A reconstrução do sistema pode fornecer pistas valiosas para a investigação convencional. Mesmo que as provas
fornecidas pela reconstrução não sejam admissíveis em tribunal, pode acelerar signi�cativamente a obtenção de
resultados pelos métodos convencionais.
A complexidade e a evolução da computação
“A ‘Internet das coisas’, segundo previsões, atribuirá endereços lógicos a todos os dispositivos do planeta, criando uma grande
rede na qual tudo estará conectado, desde eletrodomésticos até veículos automotores, abrindo espaço para os temas a serem
discutidos na presente obra e que beiram os limites da �cção cientí�ca.
A reboque dessas revoluções tecnológicas, surgem novas práticas ilícitas e antiéticas que dependem de análises
especializadas dos pro�ssionais de Computação Forense” (FRANCO et al., 2016, p. 3).
 Internet das Coisas. Fonte: TheDigitalArtist / pixabay.
No cenário de 2020, agregado ao evento da pandemia do SARS-CoV-2, de janeiro a setembro, o Brasil sofreu mais de 3,4
bilhões de tentativas de ataque cibernético e, muito provavelmente, grande parte se deu por falta de educação tecnológica ou
conhecimentos básicos de segurança computacional, sendo que aproximadamente 21% desses ataques são denunciados.
 (Imagem: Divulgação/Kaspersky). Disponível em: https://bit.ly/Ataquebrazil20 - Acesso em 06 de dezembro de 2020.
Ataques de ransomware tiveram pico entre março e abril nos
primeiros meses da pandemia. Especialistas a�rmam que as ameaças
vieram para �car.
Se focarmos nos sistemas governamentais, apenas o
SERPRO (Serviço Federal de Processamento de Dados),
maior empresa pública de processamento de dados do País,
registra, por exemplo, uma média de 15 mil tentativas de
ataques por mês.
Esses ataques a sistemas governamentais sempre são
pauta no Fórum Econômico Mundial; seus líderes colocam
os ataques cibernéticos, a incidência massiva de fraude, o
roubo de dados e a desinformação digital como os 10
maiores riscos às Nações.
Chamam atenção as cifras envolvidas aos custos dos
crimes cibernéticos. De acordo com esses números,
veri�ca-se que esse tipo de crime é muito promissor para os
pro�ssionais atuantes na prevenção, resposta a incidentes e
remediação dos crimes cibernéticos.
 Disponível em: https://glo.bo/2Imlvve.
De acordo com Franco et al. (2016, p. 3-4):
Os avanços tecnológicos ampliaram signi�cativamente as
possibilidades de comércio, comunicação e relacionamento
interpessoal, porém a formação de pro�ssionais e a educação
tecnológica não acompanharam o ritmo desse vertiginoso
crescimento.
O trabalho da Perícia Forense Computacional demanda, além
de pro�ssionais capacitados e investimentos em soluções de
TI, tempo para execução dos respectivos exames. Dessa
forma, os pro�ssionais que atuam em Computação Forense
terão de lidar com a variação das complexidades dos exames
periciais.
 Nesse contexto, o autor apresenta alguns fatores que se mostram preponderantes. São eles:
Clique nos botões para ver as informações.
“Relaciona-se à capacidade humana de compreensão e tratamento da informação, dos vestígios e suas análises em nível
de raciocínio, deduções e conclusões. O fator humano é afetado por diversas variáveis, como estado emocional, cansaço,
sono, calor e outros” (FRANCO et. al, 2016).
Fator humano 
Diz respeito às facilidades e di�culdades impostas pela tecnologia, principalmente no tocante à velocidade de
processamento da informação (tempo) como também na limitação de tamanho das mídias de armazenamento atuais
(espaço)” (FRANCO et. al, 2016).
Fator tecnológico 
“Conecta-se aos parâmetros impostos pela legislação no tratamento do vestígio cibernético, já que a análise desse deve
obedecer, além dos princípios cientí�cos, os ditames de ordem legal e processual” (FRANCO et. al, 2016).
Fator legal 
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividade
1. São fases do processo de investigação de uma cena de crime, exceto:
a) Coleta
b) Relatório
c) Documentação
d) Análise
e) Exame
2. É a capacidade de adquirir, preservar, recuperar e apresentar dados que foram processados eletronicamente e armazenados
em mídia computacional.
a) Análise live
b) Antiforense
c) Perícia computacional
d) Duplicação forense
e) Computação forense
3. É afetado por diversas variáveis, como a limitação de tamanho das mídias e a velocidade do processamento das informações.
a) Fator legal
b) Fator tecnológico
c) Fator humano
d) Fator temporal
e) Fator processual
Notas
Crimes informáticos1
O crime informático é amplamente entendido como atos criminosos em que um computador é objeto ou ferramenta para a sua
prática.
Referências
ELEUTÉRIO, P.M.S. Desvendando a Computação Forense. São Paulo – SP: Novatec Editora, 2010.
FRANCO, D.P. et al. Introdução à computação forense. In: VELHO, J. A. Tratado de computação forense. Campinas: Millenium
Editora, 2016. cap. 0, p. 1-15. (Série Criminalística Premium).
Hitchcock, b.e.m. Tiered forensic methodology model for Digital Field Triage by non-digital evidence specialists. Disponível
em: https://bit.ly/Forensicmethodology. Acesso em: 05 dez. 2020.
LI, J.X. Cyber Crime and Legal Countermeasures:A Historical Analysis. Tallinn University. Estônia. Disponível em:
https://bit.ly/CybercrimeHistorical. Acessado em 04 dez. 2020.
Próxima aula
Auditoria de Sistemas.
Explore mais
Leia o texto Handbook of Computer Crime Investigaton Forensics – Tools and Technology, de Eoghan Casey.
javascript:void(0);
javascript:void(0);