PPTCap5Periciaforenseaplicadaainformatica

Prévia do material em texto

30/7/2010
1
Professor - Ricardo Leocádio
1Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
“Perícia Forense aplicada a 
informatica”
• Neste capítulo iremos ver o conceito 
sobre o que é pericia forense 
computacional, como realizar e encontrar 
evidências.
Objetivos
• Apostila de acompanhamento da 
disciplina, das páginas 74 a 77
Documentos
Professor - Ricardo Leocádio
2Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
ISO 27001
30/7/2010
2
Professor - Ricardo Leocádio
3Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Assuntos que circundam uma 
perícia
PERÍCIA
Materialização 
da prova
DIREITO
Leis
Procedimentos
TECNOLOGIA
Informática 
Forense
Leitura obrigatória 
desse conteúdo. 
Página 74 a 77
Professor - Ricardo Leocádio
4Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Pirâmide do rigor das provas
Penal
Civil
Administrativo
FORMALIDADE / 
RIGIDEZ
PUNIÇÃO
Maior Prisão
Intermediário Pecuniária
Menor Administrativa
PROCESSO
30/7/2010
3
Professor - Ricardo Leocádio
5Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A Perícia no contexto da pirâmide
Penal
Civil
Administrativo
PERITO
Dois Peritos Oficiais do Estado *
Nomeado pelas partes ou pelo Juiz *
Capacitado e de confiança.
PROCESSO
Professor - Ricardo Leocádio
6Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Integração área Juridica x Tecnológica 
• Área de Security – detecta a fraude 
/ téc. forense
+
• Área Jurídica – analisa e tipifica o ato
–Demanda Adm, Civil ou Penal?
–Efetividade no corpo comprobatório 
levado a juízo
30/7/2010
4
Professor - Ricardo Leocádio
7Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
FORENSICS é a análise “pos-mortis”. O seu conceito genérico é
o estudo sobre algum objeto com fins legais.
Ele tem o objetivo genérico de saber a hora da morte, as causas
da morte, análise e coleta de evidências, análise de históricos,
cena do crime, dentre outros objetos inerentes ao estudo
jurídico e legal.
COMPUTER FORENSICS é o ato do levantamento e coleta de
dados e evidências que possam ser considerados provas
jurídicas e legais numa análise pós-morte. São efetuadas
análises por profissionais altamente capacitados para
determinar os passos a serem tomados para que sejam
coletados os referidos dados com a menor perda possível.
Conceito
Professor - Ricardo Leocádio
8Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
COMPUTER FORENSICS envolve a preservação, identificação,
extração (coleta) e documentação de provas e evidências
armazenadas no computador na forma de informações magnéticas
codificadas (dados).
Muitas vezes, a evidência ou a prova foram criadas de forma
transparente pelos sistemas operacionais, sem o conhecimento do
operador. Algumas informações podem ser atualmente escondidas
para a visualização, então as ferramentas e programas especiais
forensics e as técnicas são requeridas para preservar, identificar,
extrair (coletar) e documentar as evidências relatadas.
A preservação dos dados é extremamente importante para que os
objetivos sejam alcançados.
Objetivo
30/7/2010
5
Professor - Ricardo Leocádio
9Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Com o crescimento de ataques feitos contra sistemas computacionais,
emergiu a necessidade de elementos que pudessem comprovar a
origem dos mesmos, trazendo a imputabilidade dos atos praticados.
Em 1996, os primeiros profissionais passam a ser procurados por
órgãos governamentais e surgem os grupos de desenvolvimento de
ferramentas de análise forensics.
As primeiras firmas especializadas aparecem em meados de 1996 e
vêm se estabelecendo no mercado como importantes meios de atingir
os objetivos de comprovação de ataques e fraudes no mercado
internacional.
Histórico
Professor - Ricardo Leocádio
10Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Nos anos seguintes, várias ferramentas e técnicas forma surgindo no
mercado internacional obedecendo às necessidades das legislações da
área de informática e combatendo os novos tipos de ataque no intuito
de preservar os dados.
Em 2000, Dan Farmer (Earthlink) e Wietse Venema (IBM) começam a
escrever artigos publicados pelo jornal Doctor Dobb, incluindo sistemas
operacionais Unix e Windows, além das análises de várias ferramentas
que foram desenvolvidas no decorrer dos anos por empresas
especializadas, grupos de estudos e profissionais autônomos.
Histórico - Continuação
30/7/2010
6
Professor - Ricardo Leocádio
11Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
1. Definições de perícia, perito e assistente técnico.
A palavra perito quando definida pelo dicionário do célebre
Aurélio Buarque de Holanda Ferreira nos traz as seguintes
expressões:
• Aquele que é sabedor ou especialista em determinado
assunto.
• Aquele que se acha habilitado para realizar perícia.
• Aquele que é nomeado judicialmente para exame ou vistoria.
Professor - Ricardo Leocádio
12Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Podemos ainda definir como: “Pessoa qualificada, idônea, isenta,
especialista, em um ou mais ramos do conhecimento, que auxilia o
Juiz ou as partes processuais na busca da verdade científica (real)”.
Jorge Ramos de Figueiredo.
“Profissional legalmente habilitado, idôneo e especialista, convocado
para realizar uma perícia”.
Joaquim da Rocha Medeiros Junior
“A perícia Judicial” Editora Universitária de Direito, 2006.
30/7/2010
7
Professor - Ricardo Leocádio
13Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Assistente Técnico:
“Profissional legalmente habilitado, indicado e contratado pela parte
para orientá-la, assistir os trabalhos periciais em todas as fases da
perícia e, quando necessário, emitir seu parecer técnico.”
2. Pré-requisitos legais
As Leis processuais brasileiras, tanto civis (CPC) quanto penal (CPP)
tratam dos requisitos exigidos para a atuação na área pericial, a
seguir vejamos:
CAPÍTULO-V – CPC
DOS AUXILIARES DA JUSTIÇA
Art. 139. São auxiliares do juízo, além de outros, cujas atribuições
são determinadas pelas normas de organização judiciária, o escrivão,
o oficial de justiça, o perito, o depositário, o administrador e o
intérprete.
Professor - Ricardo Leocádio
14Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art.145 Parágrafo 2º “Os peritos comprovarão sua especialidade na
matéria que deverão opinar mediante certidão do órgão profissional
em que estiverem inscritos. (redação incluída pela Lei 7.270 de
1984)”.
Art.145 Parágrafo 3º “Nas localidades onde não houver profissionais
qualificados que preencham os requisitos dos parágrafos anteriores,
a indicação dos peritos será de livre escolha do Juiz. (redação
incluída pela Lei 7.270 de 1984)”.
Código de Processo Civil
Art.145 Parágrafo 1º “Os peritos serão escolhidos entre profissionais
de nível universitário, devidamente inscritos no órgão de classe
competente, respeitado o disposto no Capitulo VI Seção VII, deste
código (redação incluída pela Lei 7.270 de 1984).
30/7/2010
8
Professor - Ricardo Leocádio
15Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Código de Processo Penal:
"Art. 159. O exame de corpo de delito e outras perícias serão, em
regra, realizados por perito oficial.
1o Na falta de perito oficial, o exame será realizado por duas pessoas
idôneas, escolhidas, de preferência, dentre as que tiverem habilitação
técnica
2o Os peritos não oficiais prestarão o compromisso de bem e
fielmente desempenhar o encargo.
3o Serão facultadas ao Ministério Público e seu assistente, ao
querelante, ao ofendido, ao investigado e ao acusado a formulação de
quesitos e indicação de assistente técnico,que atuará a partir de sua
admissão pelo juiz. "(NR).
Professor - Ricardo Leocádio
16Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
"Art. 212. As perguntas serão formuladas pelas partes
diretamente à testemunha, não admitindo o juiz aquelas que
puderem induzir a resposta, não tiverem relação com a causa ou
importarem na repetição de outra já respondida.
Comentários:
Apesar de não haver a exigência textual na Lei civil, a idade
mínima para o exercício do profissional perito é de 18 anos
completos, em face da responsabilidade cível e penal de acordo
do com a reforma do Código Civil em 2002.
30/7/2010
9
Professor - Ricardo Leocádio
17Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
É do entendimento dos tribunais brasileiros que NÃO é possível
exigirem do profissional de informática o competente registro no
órgão ou entidade de classe vez que a profissão ainda não fora
regulamentada no país.
Considera-se para fins legais, a formação superior (universitária) em
cursos seqüenciais (2 anos de duração), tecnólogos (2 anos e meio
de duração) e bacharelado tradicional (4 anos em média),bem como
cursos de Pós Graduação (Especialização, Mestrado ou Doutorado),
desde que devidamente registrados e reconhecidos pelo Ministério
da Educação e Cultura (MEC).
Professor - Ricardo Leocádio
18Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
3. Os campos de atuação do perito.
A atuação do profissional de computação forense dar-se-á das seguintes
formas:
•Funcionar como perito do Juiz das varas cíveis e trabalhistas, ou seja,
nomeado pelo Juiz do processo para proceder nos exames e diligências
técnicas.
•Funcionar como assistente técnico das partes, que compreende em auxiliar os
advogados e partes processuais a elaborar quesitos, acompanhar a (as)
diligências e exames nas defesas de seus interesses.
•Funcionar como consultor ou perito extrajudicial, neste caso, o laudo técnico,
ou como muitas vezes chamado de “parecer” é produzido de forma particular, e
não de forma judicial, e anexado a petição do advogado dentro do processo.
•Funcionar como perito extrajudicial em comissões de sindicância que apurem
faltas ou transgressões disciplinares de funcionários particulares ou públicos.
•Funcionar como professor em cursos de formação de peritos.
30/7/2010
10
Professor - Ricardo Leocádio
19Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
4. Como apresentar suas credenciais.
No caso do profissional de perícia, chamamos de credenciais tudo
aquilo que comprova suas habilidades e especialidades técnicas.
•Caso seja nomeado perito “ad-hoc” na justiça criminal (inquérito
policial) o profissional deve apresentar-se ao Delegado titular do feito
munido de cópia do seu documento de Identidade Civil ou profissional,
cópia do seu certificado de conclusão de curso superior e cópia do seu
certificado de curso em computação forense.
•Caso seja nomeado perito do Juiz na justiça cível ou trabalhista, o
profissional deve apresentar todo o seu currículo profissional
devidamente comprovado ao Juiz no momento em que ingressar com
petição para proposta de honorários.
Professor - Ricardo Leocádio
20Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
5. Legislação aplicada ao perito da esfera cível.
Seção-II
Do Perito
Segundo o Código de Processo Civil brasileiro, na sua Seção II, Artigo
145: “Quando a prova do fato depender de conhecimento técnico ou
científico, o juiz será assistido por perito, segundo o disposto no Artigo
421.” (CPC)
Os parágrafos 1º, 2º e 3º já foram analisados quando do estudo
dos pré-requisitos legais
Artigo 146: “O perito tem o dever de cumprir o ofício, no prazo que lhe
assinala a Lei, empregando toda a sua diligência; pode, todavia,
escusar-se do encargo alegando motivo legítimo.” (CPC)
30/7/2010
11
Professor - Ricardo Leocádio
21Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Exemplos de motivos legítimos:
•Quando se tratar de perícia relativa à matéria sobre a qual se
considere inabilitado para apreciar.
•Quando se tratar de questão em que sua resposta possa trazer
desonra própria, de cônjuge, parente, amigo íntimo, ou expô-los ao
perigo de demanda ou prejuízo patrimonial.
•Sempre que os fatos importem em violação de segredo
profissional.
•Já estar comprometido anteriormente com outras perícias que lhe
impeçam de cumprir com os prazos.
Professor - Ricardo Leocádio
22Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Parágrafo único: “A escusa será apresentada dentro de 5 (cinco)
dias, contados da intimação ou do impedimento superveniente, sob
pena de se reputar renunciado o direito a alegá-la (Artigo 423).
(Redação dada pela Lei número 8.455, de 1992). (CPC)
Artigo 147: “O perito que, por dolo ou culpa, prestar informações
inverídicas, responderá pelos prejuízos que causar à parte, ficará
inabilitado, por 2 (dois) anos, a funcionar em outras perícias e
incorrerá na sanção que a Lei penal estabelecer. (CPC)
30/7/2010
12
Professor - Ricardo Leocádio
23Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
SEÇÃO VII
Artigo 420: “A prova pericial consiste em exame, vistoria ou
avaliação.
Parágrafo único: “O Juiz indeferirá a perícia quando: I- a prova do
fato não depender de conhecimento especial de técnico; II- for
desnecessária em vista de outras provas produzidas; III- a
verificação for impraticável.” (CPC)
Artigo 421: “O juiz nomeará o perito, fixando de imediato o prazo
para a entrega do laudo. (Redação dada pela Lei número 8.455, de
1992). (CPC)
Professor - Ricardo Leocádio
24Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Parágrafo 1º: “Incube as partes, dentro de 5 (cinco) dias, contados da
intimação do despacho de nomeação do perito: I- indicar o assistente
técnico; II- apresentar quesitos. (CPC)
Parágrafo 2º: “Quando a natureza do fato permitir, a perícia poderá
consistir apenas na inquirição pelo juiz do perito e dos assistentes, por
ocasião da audiência de instrução e julgamento a respeito das coisas
que houveram informalmente examinado ou avaliado (Redação dada
pela Lei número 8.455, de 1992).” (CPC)
Artigo 422: “O perito cumprirá escrupulosamente o encargo que lhe
foi cometido, independente de termo de compromisso. Os assistentes
técnicos são de confiança da parte, não sujeitos a impedimento ou
suspeição Redação dada pela Lei número 8.455, de 1992).” (CPC)
30/7/2010
13
Professor - Ricardo Leocádio
25Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Artigo 423: “O perito pode escusar-se (Artigo 146), ou ser recusado
por impedimento ou suspeição (Artigo 138, Inciso III); ao aceitar a
escusa ou julgar procedente a impugnação, o juiz nomeará novo
perito. Redação dada pela Lei número 8.455, de 1992).” (CPC)
Artigo 424: “O perito poderá ser substituído quando: I- Carecer de
conhecimento técnico ou científico; II- Sem motivo legítimo, deixar
de cumprir o encargo no prazo que lhe foi assinado. Redação dada
pela Lei número 8.455, de 1992).” (CPC)
Parágrafo único: “No caso previsto no inciso II, o juiz comunicará a
ocorrência a corporação profissional respectiva, podendo, ainda,
impor multa ao perito, fixada tendo em vista o valor da causa e o
possível prejuízo decorrente do atraso no processo (Redação dada
pela Lei número 8.455, de 1992).” (CPC)
Professor - Ricardo Leocádio
26Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Artigo 425: “Poderão as partes apresentar, durante a diligência,
quesitos suplementares. Da juntada dos quesitos aos autos dará o
escrivão ciência à parte contrária. (CPC)
Artigo 426: “Compete ao juiz: I- indeferir quesitos impertinentes; II
– formular os que entender necessários ao esclarecimento da causa.(CPC)
Artigo 427: “O juiz poderá dispensar prova pericial quando as
partes, na inicial e na contestação, apresentarem sobre as questões
de fato pareceres técnicos ou documentos elucidativos que
considerar suficientes (Redação dada pela Lei número 8.455, de
1992).” (CPC)
30/7/2010
14
Professor - Ricardo Leocádio
27Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Artigo 429: “Para o desempenho de sua função, podem o perito e
os assistentes técnicos utilizar-se de todos os meios necessários,
ouvindo testemunhas, obtendo informações, solicitando
documentos que estejam em poder de parte ou em repartições
públicas, bem como instruir o laudo com plantas, desenhos,
fotografias e outras quaisquer peças. (CPC)
Artigo 431-A: “As partes terão ciência da data e local designados
pelo juiz ou indicados pelo perito para ter início à produção da
prova.” (CPC)
Artigo 431-B: “Tratando-se de perícia complexa, que abranja mais
de uma área de conhecimento especializado, o juiz poderá nomear
mais de um perito e a parte nomear mais de um assistente
técnico.” (CPC)
Professor - Ricardo Leocádio
28Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Artigo 432: “Se o perito, por motivo justificado, não puder
apresentar o laudo dentro do prazo, o juiz conceder-lhe-á, por uma
vez, prorrogação, segundo o seu prudente arbítrio.” (CPC)
Artigo 433: “O perito apresentará o laudo em cartório, no prazo
fixado pelo juiz, pelo menos 20 (vinte) dias antes da audiência de
instrução e julgamento.” (CPC)
Parágrafo único: “Os assistentes técnicos oferecerão seus pareceres
no prazo comum de 10 (dez) dias, depois de intimadas as partes da
apresentação do laudo. (CPC)
30/7/2010
15
Professor - Ricardo Leocádio
29Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Artigo 435: “A parte, que desejar esclarecimento do perito e do
assistente técnico, requererá ao juiz que mande intimá-lo a
comparecer à audiência, formulando desde logo as perguntas, sob
forma de quesitos” (CPC)
Parágrafo único: “O perito e o assistente técnico só estarão
obrigados a prestar os esclarecimentos a que se refere este artigo,
quando intimados 5 (cinco) dias antes da audiência. (CPC)
Artigo 437: “O juiz poderá determinar, de ofício ou a requerimento
da parte, a realização de nova perícia, quando a matéria não lhe
parecer suficientemente esclarecida.” (CPC)
Artigo 438: “A segunda perícia tem por objetivo os mesmos fatos
sobre que recaiu a primeira e destina-se a corrigir eventual omissão
ou inexatidão dos resultados a que esta conduziu”. (CPC)
Parágrafo único: “A segunda perícia não substitui a primeira,
cabendo ao juiz apreciar livremente o valor de uma e outra”. (CPC)
Professor - Ricardo Leocádio
30Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 134 dispõe sobre os impedimentos para atuar como perito
(CPC):
• Atuar em processo onde esteja postulando, como advogado da
parte, ou seja, parte, seu cônjuge ou qualquer parente seu,
consangüíneo ou afim, em linha reta ou na colateral, até o 3º Grau.
Quando membro de órgão de direção ou de administração de
pessoa jurídica que seja parte na causa.
• Quando amigo íntimo ou inimigo capital de alguma das partes.
Quando alguma das partes for sua credora ou devedora, de seu
cônjuge ou de parente de ambos até o segundo grau.
• Quando herdeiro presuntivo, donatário ou empregador de alguma
das partes.
• Quando receber dádivas antes ou depois de iniciado o processo.
• Quando houver aconselhado alguma das partes acerca do objeto
da causa ou subministrar meios para atender a despesas do litígio.
• Quando interessado no julgamento de causa em favor de uma das
partes e/ou suspeição de parcialidade.
30/7/2010
16
Professor - Ricardo Leocádio
31Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
6. Legislação aplicada ao perito na esfera criminal
(de acordo com as modificações no CPP em junho de 2008)
Da legalidade da prova pericial (grifo nosso)
"Art. 157. São inadmissíveis, devendo ser desentranhadas do
processo, as provas ilícitas, assim entendidas as obtidas em
violação a princípios ou normas constitucionais. (CPP)
1o São também inadmissíveis as provas derivadas das ilícitas,
quando evidenciado o nexo de causalidade entre umas e outras, e
quando as derivadas não pudessem ser obtidas senão por meio das
primeiras. (CPP)
Professor - Ricardo Leocádio
32Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
§ 2o Preclusa a decisão de desentranhamento da prova declarada
ilícita, serão tomadas as providências para o arquivamento
sigiloso em cartório. (CPP)
§ 3o O juiz que conhecer do conteúdo da prova declarada ilícita
não poderá proferir a sentença. (CPP)
Art. 112. O juiz, o órgão do Ministério Público, os serventuários
ou funcionários de justiça e os peritos ou intérpretes abster-se-
ão de servir no processo, quando houver incompatibilidade
ou impedimento legal, que declararão nos autos. Se não se
der a abstenção, a incompatibilidade ou impedimento poderá ser
argüido pelas partes, seguindo-se o processo estabelecido para a
exceção de suspeição. (CPP)
30/7/2010
17
Professor - Ricardo Leocádio
33Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
O Artigo 159 e seus parágrafos já foram estudados quando
dos pré-requisitos legais
Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão
minuciosamente o que examinarem, e responderão aos quesitos
formulados. (CPP)
Parágrafo único. O laudo pericial será elaborado no prazo máximo
de 10 dias, podendo este prazo ser prorrogado, em casos
excepcionais, a requerimento dos peritos. (CPP)
Professor - Ricardo Leocádio
34Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 169. Para o efeito de exame do local onde houver sido
praticada a infração, a autoridade providenciará imediatamente para
que não se altere o estado das coisas até a chegada dos peritos, que
poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos. (CPP)
Parágrafo único. Os peritos registrarão, no laudo, as alterações do
estado das coisas e discutirão, no relatório, as conseqüências dessas
alterações na dinâmica dos fatos.
30/7/2010
18
Professor - Ricardo Leocádio
35Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 170. Nas perícias de laboratório, os peritos guardarão
material suficiente para a eventualidade de nova perícia. Sempre
que conveniente, os laudos serão ilustrados com provas
fotográficas, ou microfotográficas, desenhos ou esquemas. (CPP)
Art. 175. Serão sujeitos a exame os instrumentos empregados
para a prática da infração, a fim de se Ihes verificar a natureza e
a eficiência. (CPP)
Art. 176. A autoridade e as partes poderão formular quesitos até
o ato da diligência. (CPP)
Professor - Ricardo Leocádio
36Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 177. No exame por precatória, a nomeação dos peritos far-se-
á no juízo deprecado. Havendo, porém, no caso de ação privada,
acordo das partes, essa nomeação poderá ser feita pelo juiz
deprecante. (CPP)
Parágrafo único. Os quesitos do juiz e das partes serão transcritos
na precatória.
Art. 180. Se houver divergência entre os peritos, serão
consignadas no auto do exame as declarações e respostas de um e
de outro, ou cada um redigirá separadamente o seu laudo, e a
autoridade nomeará um terceiro; se este divergir de ambos, a
autoridade poderá mandar proceder a novo exame por outros
peritos. (CPP)
30/7/2010
19
Professor - Ricardo Leocádio
37Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 181. No caso de inobservância de formalidades, ou no caso de
omissões, obscuridades ou contradições, a autoridade judiciária
mandará suprir a formalidade, complementar ouesclarecer o
laudo. (CPP)
Parágrafo único. A autoridade poderá também ordenar que se
proceda a novo exame, por outros peritos, se julgar conveniente.
Art. 182. O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou
rejeitá-lo, no todo ou em parte. (CPP)
Professor - Ricardo Leocádio
38Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 212. As perguntas serão formuladas pelas partes
diretamente à testemunha (inclusive ao perito), não admitindo o
juiz aquelas que puderem induzir a resposta, não tiverem relação
com a causa ou importarem na repetição de outra já respondida.
(CPP)
Art. 275. O perito, ainda quando não oficial, estará sujeito à
disciplina judiciária. (CPP)
Art. 276. As partes não intervirão na nomeação do perito. (CPP)
30/7/2010
20
Professor - Ricardo Leocádio
39Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 277. O perito nomeado pela autoridade será obrigado a aceitar
o encargo, sob pena de multa, salvo escusa atendível. (CPP)
Parágrafo único. Incorrerá na mesma multa o perito que, sem justa
causa, provada imediatamente:
a) deixar de acudir à intimação ou ao chamado da autoridade;
b) não comparecer no dia e local designados para o exame;
c) não der o laudo, ou concorrer para que a perícia não seja feita,
nos prazos estabelecidos.
Professor - Ricardo Leocádio
40Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
BASE JURÍDICA
Art. 278. No caso de não-comparecimento do perito, sem justa
causa, a autoridade poderá determinar a sua condução. (CPP)
Art. 279. Não poderão ser peritos (CPP):
I - os que estiverem sujeitos à interdição de direito mencionada nos
números. I e IV do art. 69 do Código Penal;
II - os que tiverem prestado depoimento no processo ou opinado
anteriormente sobre o objeto da perícia;
III - os analfabetos e os menores de 21 anos.
Art. 280. É extensivo aos peritos, no que Ihes for aplicável, o
disposto sobre suspeição dos juízes. (CPP).
30/7/2010
21
Professor - Ricardo Leocádio
41Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
O objeto da análise são sistemas que sofreram qualquer incidente de
segurança.
Esses elementos são considerados “mortos”, ou seja, já sofreram o
incidente.
Objeto
Professor - Ricardo Leocádio
42Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Visualização do ambiente no estado anterior ao incidente de segurança;
 Ações enumeradas pela International Association of Computer
Investigation Specialists (IACIS);
 Verificação do sistema operacional utilizado e cópias de segurança
existentes;
 Verificação física do objeto da análise, como estado de comunicação,
serviços e utilização de memória e disco;
 Efetivação de cópias de partições ou clusters que contenham os dados a
serem analisados;
 Utilização de ferramentas que não adulterem o sistema e o status do
mesmo;
 Levantamento de manuseio do equipamento após o incidente de
segurança.
Procedimentos Usuais
30/7/2010
22
Professor - Ricardo Leocádio
43Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 É expressamente importante a PRESERVAÇÃO da EVIDÊNCIA!
 As evidências computacionais são frágeis e suscetíveis a alterações ou
perda por qualquer ato ou conjunto de atos. O profissional estará
sujeito às teorias do bit stream backup, que prevê a preservação de
todos os níveis de evidências que possam existir.
 É importante documentar todos os passos seguidos e todos os dados
coletados!
 O cuidado não está apenas o que foi feito, mas no que ainda pode ser
feito, como os trojans e arquivos corrompidos!
Procedimentos Usuais 
Professor - Ricardo Leocádio
44Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 A verificação de estruturas de arquivos e discos com ferramentas
pré-instaladas facilitam o processo de investigação, como o Tripwire.
 Utilização de DUMP de memória.
 Dump é o ato de copiar dados não formatados, analisados ou
interpretados (raw data) de um lugar para outro, para que possam
ser lidos e interpretados, sem afetar o estado em que se encontram.
Comumente, o processo de visualizar os dados da memória,
principal para a tela ou para a impressora, é chamado de dump.
Procedimentos Usuais 
30/7/2010
23
Professor - Ricardo Leocádio
45Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Altamente ético;
 Conhecimento de aspectos de segurança;
 Conhecimento avançado do sistema operacional e do equipamento
a ser analisado;
 Conhecimento avançado de informática, protocolos e redes;
 Conhecimento avançado das ferramentas a serem utilizadas;
 Conhecimento de aspectos legais.
Perfil do Profissional
Professor - Ricardo Leocádio
46Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 As ferramentas e métodos forensics podem ser utilizados para
identificar senhas, autenticações e entradas no sistema, além de
outras informações que são abstraídas através de um dump da
memória do computador através de uma operação transparente,
que pode ser utilizada em qualquer equipamento pessoal.
 Essas ferramentas têm provado serem dispositivos valiosos para
auxiliar a área jurídica na identificação de evidências
comprobatórias nos processos e suas interligações. Podem
identificar arquivos alterados ou criados e associar a determinadas
circunstâncias, como quem criou ou originou a modificação.
 É importante relatarmos que algumas ferramentas e técnicas
utilizadas de forma errônea podem destruir essas provas.
Ferramentas Forense
30/7/2010
24
Professor - Ricardo Leocádio
47Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Dentre as ferramentas utilizadas, podemos citar:
 The Coroner’s Toolkit, também conhecida pelo acrônimo TCT. É
uma coletânea de ferramentas orientadas tanto para capturar
quanto para analisar dados em Sistemas Unix. Essa ferramenta
roda em SUN Solaris, FreeBSD, RedHat Linux, BSD/OS, OpenBSD
e SunOS 4.x. Porém, ela requer PERL 5.004 ou versão posterior
instalado no sistema.
 DD, ferramenta de duplicação de disco, também conhecida para
efetuar cópia e backup. Ela permite um manuseio de disco sem
que interfira nos dados existentes, transportando os dados para
áreas específicas nos ambientes UNIX.
 CHKROOTKIT é uma ferramenta que permite verificação contra
worms (vírus), como o Lion.
Ferramentas Forense 
Professor - Ricardo Leocádio
48Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 ForensicToolkit14, ferramenta desenvolvida pela COTSE para
análise forensics
 USERDUMP, ferramenta para dump desenvolvida para Windows.
WinHex – software de Forensics para profissionais de segurança.
 Evidor – um coletor de evidências
 DM – Gerenciador de Base de Dados do Sistema Operacional de
Disco – programa de Domínio Público;
 ShowFL – Analisador do Programa de listagem de arquivos da NTI
com identificação de hora/uso;
 FILTER – Filtro de Dados Binários e Ferramenta de documentação;
 NTAView – Programa utilizado com o Net Threat Analyzer Program
In Internet Related Investigations da NTI (New Technologies
Incorporation);
 SPACES – Ferramenta simples para ser utilizada em análises de
criptografia.
Ferramentas Forense
30/7/2010
25
Professor - Ricardo Leocádio
49Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Alguns programas são utilizados no exterior por força de
valor legal:
 DiskSig – Programa CRC que valida a ocorrência de
espelhamento de imagens de backup.
 GetTime – Programa utilizado para documentar a hora e a data
CMOS.
 Net Threat Analyzer – Programa de análise de Forensics
Internet utilizado para identificar tentativas através da Internet.
Essa ferramenta é ideal para policiar escolas e provê
substanciais alterações no programa IPFilter.
Ferramentas Forense 
Professor - Ricardo Leocádio
50Contato- antonio.gomes@prof.unibh.br
Auditoriae Segurança de Sistemas
As dificuldades encontradas no processo de investigação possuem um
leque amplo e diversificado, dentre os quais:
 Como toda a área de Informática, o maior desafio que encontramos é
a falta de regulamentação e legislação específica que possam dar uma
maior garantia sobre os atos praticados nessa esfera;
 Falta de profissionais gabaritados nessa área;
 Inexistência de conhecimento da maior parte dos administradores
sobre os riscos de efetuar uma varredura própria no sistema;
 O atendimento imediato as solicitaçõs pelas autoridades policiais, bem
como a demora no atendimento;
Obstáculos / dificuldades
30/7/2010
26
Professor - Ricardo Leocádio
51Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Obstáculos / dificuldades
 Rastreamento do beneficiário das informações furtadas;
 Formulação dos quesito relativos a exames periciais em
elementos de hardware e software por parte da autoridade
policial que ajudem no processo de investigação e resolução do
fato ocorrido;
 Violação da prova por desconhecimento de policiais e pelo
corpo técnico da empresa.
Professor - Ricardo Leocádio
52Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Como pudemos notar, FORENSICS trata de algo que ocorreu
comprovadamente. As diferenças básicas entre o FORENSICS e o
RESPONSE TEAM são:
 Forensics versa sobre atuação em incidente de segurança após o fato
ter se consumado e na busca de provas para embasarem o aspecto
jurídico e legal;
 Response Team versa sobre um provável incidente de segurança que
está ocorrendo ou que acaba de ocorrer, visando a estabilização dos
elementos atingidos e a normalização dos mesmos, bem como
preparar o campo para a equipe de Forensics.
 Forensics versa sobre incidente ocorrido e o principal não é o fator
velocidade, mas o fator qualidade e quantidade;
 Response team, pelo fator emergencial, necessita de velocidade e
nem sempre pode atingir a qualidade necessária par ao aspecto legal;
Forencics X Response Team
30/7/2010
27
Professor - Ricardo Leocádio
53Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Response Team – A equipe de observação presta os primeiros
socorros num incidente e os membros da equipe de resposta são
responsáveis por assumir o comando da situação e estabilizá-la
para que não se torne pior;
 Forensics – A equipe de investigação proporciona uma análise
detalhada e a respectiva solução para o ocorrido;
 Normalmente, as equipes de FORENSICS e RESPONSE TEAM
podem ser a mesma, mas, mesmo nos casos que elas não sejam o
mesmo grupo, devem manter sintonia para atingir o objetivo
comum de desvendar o gerador do incidente com o maior número
de provas possíveis.
Forencics X Response Team 
Professor - Ricardo Leocádio
54Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Perícia Forense aplicada a redes
No Manual de Patologia Forense do Colégio de Patologistas
Americanos (1990), a ciência forense é definida como “a
aplicação de princípios das ciências físicas ao direito na busca
da verdade em questões cíveis, criminais e de
comportamento social para que não se cometam injustiças
contra qualquer membro da sociedade”.
Portanto, define-se a perícia forense aplicada a redes como o
estudo do tráfego de rede para procurar a verdade em
questões cíveis, criminais e administrativas para proteger
usuários e recursos de exploração, invasão de privacidade e
qualquer outro crime promovido pela contínua expansão das
conexões em rede.
30/7/2010
28
Professor - Ricardo Leocádio
55Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Perícia Forense aplicada a redes
Professor - Ricardo Leocádio
56Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Análise Pericial
A análise pericial é o processo usado pelo investigador para
descobrir informações valiosas, a busca e extração de dados
relevantes para uma investigação. O processo de análise
pericial pode ser dividido em duas camadas: análise física e
análise lógica.
A análise física é a pesquisa de seqüências e a extração de
dados de toda a imagem pericial, dos arquivos normais às
partes inacessíveis da mídia. A análise lógica consiste em
analisar os arquivos das partições. O sistema de arquivos é
investigado no formato nativo, percorrendo-se a árvore de
diretórios do mesmo modo que se faz em um computador
comum.
30/7/2010
29
Professor - Ricardo Leocádio
57Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Análise Física
Durante a análise física são investigados os dados brutos da
mídia de armazenamento. Ocasionalmente, pode-se
começar a investigação por essa etapa, por exemplo,
quando se está investigando o conteúdo de um disco rígido
desconhecido ou danificado. Depois que o software de
criação de imagens tiver fixado as provas do sistema, os
dados podem ser analisados por três processos principais:
uma pesquisa de seqüência, um processo de busca e
extração e uma extração de espaço subaproveitado e livre
de arquivos. Todas as operações são realizadas na imagem
pericial ou na copia restaurada das provas. Com freqüência,
se faz pesquisas de seqüências para produzir listas de
dados. Essas listas são úteis nas fases posteriores da
investigação. Entre as listas geradas estão as seguintes:
Todos os URLs encontrados na mídia. Todos os endereços de
e-mail encontrados na mídia. Todas as ocorrências de
pesquisa de seqüência com palavras sensíveis a caixa alta e
baixa.
Professor - Ricardo Leocádio
58Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
O Processo de Busca e Extração
Alguns tipos de caso podem beneficiar-se de uma forma
especializada de pesquisa de seqüência, o processo de busca e
extração. Este é o segundo dos três que se usa durante a analise
física.
O aplicativo analisa uma imagem pericial em busca de cabeçalhos
dos tipos de arquivos relacionados ao tipo de caso em que se estiver
trabalhando. Quando encontra um, extrai um número fixo de bytes a
partir do ponto da ocorrência.
Por exemplo, se estiver investigando um indivíduo suspeito de
distribuição de pornografia ilegal, analisa-se a imagem pericial e se
extrai blocos de dados que comecem com a seguinte seqüência
hexadecimal:
$4A $46 $49 $46 $00 $01
Esta seqüência identifica o início de uma imagem JPEG. Alguns
formatos de arquivos (entre eles o JPEG) incluem o comprimento do
arquivo no cabeçalho.
30/7/2010
30
Professor - Ricardo Leocádio
59Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
O Processo de Busca e Extração
Isto é muito útil quando se está extraindo dados brutos de uma
imagem pericial. Esta capacidade de extração forçada de
arquivos é incrivelmente útil em sistemas de arquivos
danificados ou quando os utilitários comuns de recuperação de
arquivos apagados são ineficientes ou falham completamente.
Professor - Ricardo Leocádio
60Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Análise Lógica
Durante um exame de arquivos lógicos, o conteúdo de cada partição
é pesquisada com um sistema operacional que entenda o sistema de
arquivos. É neste estágio que é cometida a maioria dos erros de
manipulação das provas. O investigador precisa estar ciente de todas
as medidas tomadas na imagem restaurada. É por isto que quase
nunca se usa diretamente sistemas operacionais mais convenientes,
como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo
básico é proteger as provas contra alterações.
Montar ou acessar a imagem restaurada a partir de um sistema
operacional que entenda nativamente o formato do sistema de
arquivos é muito arriscado, pois normalmente o processo de
montagem não é documentado, não está à disposição do publico e
não pode ser verificado.
A imagem restaurada precisa ser protegida e é por isso que se
monta cada partição em Linux, em modo somente leitura. O sistema
de arquivos montado é então exportado, via Samba, para a rede
segura do laboratório, ondeos sistemas Windows, carregados com
visualizadores de arquivos, podem examinar os arquivos. É claro que
a abordagem é ditada pelo próprio caso. Se fizer uma duplicata
pericial de um sistema Irix 6.5, é provável que se evite usar o
Windows para visualizar os dados.
30/7/2010
31
Professor - Ricardo Leocádio
61Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Entendendo onde ficam as provas
Locais onde se podem descobrir informações valiosas para uma
investigação em três áreas :
• Espaço de arquivos lógicos : Refere-se aos blocos do disco rígido que,
no momento do exame, estão atribuídos a um arquivo ativo ou à
estrutura de contabilidade do sistema de arquivos (como as tabelas
FAT ou as estruturas inode).
• Espaço subaproveitado : Espaço formado por blocos do sistema de
arquivos parcialmente usados pelo sistema operacional. Chamamos
todos os tipos de resíduo de arquivos, como a RAM e os arquivos
subaproveitados, de espaço subaproveitado.
• Espaço não-alocado : Qualquer setor não tomado, esteja ou não em
uma partição ativa.
Professor - Ricardo Leocádio
62Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Perícia Forense para obtenção de 
evidências 
Diariamente há diversos tipos de casos de fraudes e crimes
(Cyber Crimes), onde o meio eletrônico foi em algum momento
utilizado para este fim. A missão da perícia forense é a obtenção
de provas irrefutáveis, as quais irão se tornar o elemento chave
na decisão de situações jurídicas, tanto na esfera civil quanto
criminal. Para tanto, é critico observar uma metodologia
estruturada visando à obtenção do sucesso nestes projetos.
Dentre os vários fatores envolvidos no caso, é necessário
estabelecer com clareza quais são as conexões relevantes como
datas, nomes de pessoas, empresas, órgãos públicos, autarquias,
instituições etc., dentre as quais foi estabelecida a comunicação
eletrônica. Discos rígidos em computadores podem trazer a sua
origem (imensas quantidades de informações) após os processos
de recuperação de dados.
30/7/2010
32
Professor - Ricardo Leocádio
63Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Preservação
Todas as evidências encontradas precisam obrigatoriamente ser
legítimas, para terem sua posterior validade jurídica. Sendo assim,
todo o processo relativo à obtenção e coleta das mesmas, seja no
elemento físico (computadores) ou lógico (mapas de armazenamento
de memória de dados) deve seguir normas internacionais.
Parte-se sempre do princípio de que a outra parte envolvida no caso
poderá e deverá pedir a contra-prova, sobre os mesmos elementos
físicos, então o profissionalismo destas tarefas será critico na
seqüência do processo, lembrando sempre que, caso o juiz não
valide a evidência, ela não poderá ser re-apresentada.
Professor - Ricardo Leocádio
64Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Cadeia de Custódia
• Final – só quando chega a prova a 
justiça
• Preservação laudo e mídia 
– Todas as páginas rubricadas
– Vínculo com a mídia através de cálculo 
de hash
– Cópia do laudo e da mídia com o Perito
30/7/2010
33
Professor - Ricardo Leocádio
65Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Análise
Será a pesquisa propriamente dita, onde todos os filtros de camadas
de informação já foram transpostos e pode-se deter especificamente
nos elementos relevantes ao caso em questão.
Novamente, deve-se sempre ser muito profissional em termos da
obtenção da chamada “prova legítima”, a qual consiste numa
demonstração efetiva e inquestionável dos rastros e elementos da
comunicação entre as partes envolvidas e seu teor, além das datas,
trilhas, e histórico dos segmentos de disco utilizados.
Professor - Ricardo Leocádio
66Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Apresentação
Tecnicamente chamada de “substanciação da evidência”, ela consiste
no enquadramento das evidências dentro do formato jurídico como o
caso será ou poderá ser tratado.
Os advogados de cada uma das partes ou mesmo o juiz do caso
poderão enquadrá-lo na esfera civil ou criminal ou mesmo em ambas.
Desta forma, quando se tem a certeza material das evidências, atua-
se em conjunto com uma das partes acima descritas para a
apresentação das mesmas.
30/7/2010
34
Professor - Ricardo Leocádio
67Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Exemplo
• Perícia simples em um arquivo do Word
• Perícia forense aplicada a informática 
em servidores Web. (apêndice A)
Professor - Ricardo Leocádio
68Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganografia
Para não serem descobertos, os chamados piratas de computador ou
hackers passaram a inovar em suas técnicas nas trocas de informação.
Hoje, uma das técnicas mais eficazes se chama: esteganografia. Tal
técnica utiliza textos, imagens, sons e vídeos para esconder
informações de forma que as mesmas passem desapercebidas aos
olhos humanos.
As marcas d’água digitais são similares à esteganografia no que tange
à ocultação de dados, os quais parecem ser parte do arquivo original e
não são facilmente detectáveis por qualquer pessoa. (lembre da cédula
de dinheiro).
Finalmente, a esteganografia pode ser usada para manter a
confidencialidade da informação valiosa, para proteger os dados de
possíveis sabotagens, roubo, ou apenas visualização desautorizada.
30/7/2010
35
Professor - Ricardo Leocádio
69Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganografia
A esteganografia pode ser usada por razões ilegítimas, por exemplo,
roubar dados e esconder em um arquivo e emiti-los para fora por
meio de um inocente e-mail.
Além disso, uma pessoa, com um passatempo de salvar arquivos
pornográficos, pode esconder a evidência com o uso de
esteganografia. E, para finalidades terroristas, pode ser usado como
meio de comunicação secreta.
Da mesma maneira que um criptoanalista aplica criptanálise na
tentativa de decodificar ou resgatar a mensagem criptografada, o
esteganoanalista aplica a esteganoanálise na tentativa de descobrir
a existência de informações escondidas. Na criptografia, a
comparação é realizada entre porções (possivelmente nenhuma) de
plaintexts (texto em claro) e porções de textos cifrados.
A esteganoanálise visa descobrir e tornar inútil, mensagens secretas
ocultas em um recipiente.
.
Professor - Ricardo Leocádio
70Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganografia
Na esteganografia, comparações são realizadas entre o estego-objeto,
o recipiente e possíveis partes da mensagem. A mensagem na
esteganografia pode ou não estar criptografada, caso esteja, a
mensagem é extraída e então técnicas de criptoanálise são aplicadas
O dado embutido (embedded data) é a informação que alguém deseja
enviar em segredo. Este dado geralmente fica escondido em uma
mensagem aparentemente inocente, chamada de recipiente ou de
objeto cobertura (container ou cover-object), produzindo um estego-
objeto (stego-object) ou estegorecipiente (stego-carrier), ou seja, um
arquivo com uma mensagem embutida.
Uma estego-key (stego-key) ou simplesmente chave é utilizada para
controlar o processo de esconder, assim como, para restringir
detecção e/ou recuperação do dado embutido, somente para quem a
conhece, ou conheça parte dela.
O termo recipiente é dado a qualquer tipo de informação digital que é
transmitida por um sistema digital ou analógico, assim como arquivos
de texto, áudio, vídeo, figuras, por exemplo, BMP, GIF, JPEG, MP3,
WAV, AVI ou outros tipos.
30/7/2010
36
Professor - Ricardo Leocádio
71Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganografia
Professor - Ricardo Leocádio
72Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganografia
A Internet é um canal vasto para disseminação de informação.
Imagens são utilizadas em toda a rede com diversospropósitos, elas
provêem excelentes recipientes para esconder informações.
Ferramentas de esteganografia podem ser caracterizadas em dois
grupos: Imagem de Domínio e Transformação de Domínio.
Ferramentas de Imagem de Domínio envolvem métodos que aplicam
inserção do último bit significativo e manipulação de distorção. Estes
métodos são comuns na esteganografia e são caracterizados como
“sistemas simples”.
Ferramentas utilizadas neste grupo incluem StegoDos, S-Tools,
Mandelsteg, EzStego, Hide and Seek, Hide4PGP, Jpeg-Jsteg, White
Noise Storm, e Steganos.
Os formatos de imagens tipicamente utilizados nestes métodos de
esteganografia são de lossless e o dado pode diretamente ser
manipulado e recuperado.
30/7/2010
37
Professor - Ricardo Leocádio
73Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganografia
Ferramentas de Transformação de Domínio incluem aquelas que
envolvem manipulação de algoritmos e transformação de imagens,
assim como Transformação do Co-seno Discreto (TCD), e
transformação wavelet. Estes métodos escondem a mensagem em
áreas mais significativas do recipiente e podem manipular as
propriedades da imagem, por exemplo, sua luminosidade. Estas
técnicas são mais robustas que as técnicas de Imagem de Domínio.
Contudo, existe uma relação entre a informação adicionada à imagem
e a robustez obtida. Vários métodos de Transformação de Domínio são
independentes do formato e podem suportar a conversão entre os
formatos.
O método de compressão Lossless é utilizado quando existe uma
necessidade que a informação original permaneça intacta. A
mensagem original pode ser reconstruída exatamente igual. Este tipo
de compressão é tipicamente utilizado em imagens GIF e BMP
Professor - Ricardo Leocádio
74Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Esteganoanálise
A esteganoanálise visa descobrir e tornar inútil, mensagens secretas
ocultas em um recipiente.
Ao utilizar esteganografia, a qualidade do objeto é degradada e tal
degradação pode ser perceptível aos sentidos dos seres humanos e
demonstrar certas características semelhantes, o que torna possível
padronizar uma espécie de assinatura permitindo a detecção dos
métodos e dos softwares utilizados. Tais assinaturas podem acusar a
existência de uma mensagem embutida, o que acaba com a finalidade
da esteganografia, que é esconder a existência de uma mensagem.
30/7/2010
38
Professor - Ricardo Leocádio
75Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 http://www.fish.com/forensics/
 http://www.porcupine.org/forensics/
 http://www.forensics.com/
 http://www.forensics-intl.com/
 http://www.computerforensics.com/fed-guide.htm
 http://www.computerforensics.com/resources.htm
 http://www.timberlinetechnologies.com/products/forensics.html
 http://www.ddj.com/
 http://www.teleport.com/~peterc/law.html
 http://edatadiscovery.com/
 http://www.modulo.com.br/
 http://www.ccs.neu.edu/groups/acm/lectures/Forensics_NU/
Sites de referência