Prévia do material em texto
Neste módulo, você estudará sobre os métodos para a correta preservação, coleta e análise de equipamentos digitais apreendidos como fonte de provas, de acordo com o que está estabelecido nas normas atuais de computação forense, de modo a não prejudicar a investigação e o futuro processo penal. Pronto para começar? Objetivos do módulo Ao final do estudo deste módulo, você será capaz de: • Identificar a melhor maneira de resguardar informações em ambientes de infor- mática, visando auxiliar em investigações; • Identificar quais são os equipamentos relevantes para serem apreendidos, no caso de busca e apreensão em ambientes de informática; • Compreender a cadeia de custódia das provas digitais apreendidas para inves- tigações; • Utilizar os meios legais para colher informações sobre os investigados em am- bientes tecnológicos. Estrutura do módulo Este módulo possui as seguintes aulas: Aula 1 – Busca e apreensão de equipamentos de informática Aula 2 – Dispositivos de armazenamento portáteis Aula 3 – Recuperação de dados deletados Aula 4 – Análise de informações de equipamentos apreendidos Módulo 5 PRESERVAÇÃO DA PROVA DIGITAL 1.1 Prova digital Em qualquer procedimento de busca e apreen- são, os agentes da lei têm como obrigação a busca inces- sante pela prova do crime. Quando o crime envolve recur- sos digitais, então podemos falar em “prova digital”, que, no contexto deste curso, é considerada como: Qualquer informação de valor probatório, que é armazenado ou transmitido de forma digital, por exemplo, arquivos, fotos, vídeos, históricos armazenados em um disco rígido de um computador, vídeo digital, áudio digi- tal, pacotes transmitidos pela rede de comunicação, entre outros. NOTA Cabe deixar claro que o conteúdo deste módulo servirá para dar uma noção básica de como proceder na busca da prova digital e como resguardá-la. Para as ques- tões de processo penal e justiça, qualquer relatório emitido a partir desse conhecimento apenas serve como uma pré- via da atividade criminosa ou como base para a represen- tação judicial por novos mandados de busca, apreensão ou interceptação telefônica e telemática, não substituindo em hipótese alguma o laudo pericial que é o documento formal somente emitido e assinado pela figura do Perito Criminal. Ressalta-se que Perito Criminal é somente pes- soa investida oficialmente no cargo e aprovado em con- curso público ou, conforme o CPP – Código de Processo Penal, profissional de notório saber ou capacidade técnica, designado pela autoridade judiciária para atuação como perito “ad-hoc” ou auxiliar de perícia. Lembrando que as partes envolvidas em um processo penal podem lançar mão de peritos privados para produção de prova e contra- prova. 1.2 Cumprimento de mandados de busca e apreensão Nas ações de busca e apreensão, a primeira e principal preocupação é com a segurança do policial que está cumprindo o mandado. Não há que se descuidar da segurança pelo fato de o ambiente ou o alvo não inspirar violência. Todo o cuidado sempre é pouco. É importante para os policiais e outras autorida- des que vão cumprir os mandados de busca e apreensão estar sempre de posse de equipamentos de segurança e todo o aparato policial, destacando-se o armamento, co- lete a prova de balas, algemas, lanternas, câmeras de foto e filmagem, luvas, etiquetas, envelopes, lacres e, é claro, equipamentos de informática, principalmente para cópias. Para o cumprimento do mandado em si, é preci- so preocupar-se com a volatilidade das evidências busca- das. No ambiente digital, as provas são muito mais volá- teis, pois as evidências podem estar em uso no momento do início do cumprimento do mandado, de modo que se o AULA 1 Busca e apreensão de equipamentos de informática alvo simplesmente puxar o equipamento da tomada pode estar destruindo as provas. Também é fortemente recomendado que todo dispositivo eletrônico encontrado no ambiente alvo da busca seja desconectado de qualquer acesso a redes de comunicação para evitar que dados sejam apagados remo- tamente. Os aparelhos de telefonia celular e smartphones devem sempre ser colocados em “modo avião”, onde estão isentos de conexões externas via rede. Por último, é importantíssimo que a equipe que esteja cumprindo o mandado se atente para as questões legais, para que no final de um futuro processo penal, as provas obtidas durante a busca não sejam contestadas pela defesa do acusado. Uma situação simples, mas que pode destruir todo o trabalho se não for executada antes de deflagrar a operação é o a apresentação de testemu- nhas populares para acompanhar todo o procedimento de busca e apreensão. Esse procedimento é obrigatório pelo Código de Processo Penal e se não for feito pode ser seve- ramente questionado e anulado todo o processo. 1.3 Apreensão de equipamentos ou dispositivos de informática No caso de apreensão de equipamentos ou dis- positivos há quatro itens que precisam ser observados: Item 1 - Não contaminar os dispositivos a serem apreendidos, que poderão conter as prova do crime; Item 2 - No caso de computadores de mesa (desktops), analisar a situação para decidir se será apreen- dido todo o gabinete ou somente o disco rígido; Item 3 - Observar se o equipamento a ser apre- endido está executando algum aplicativo de criptografia; Item 4 - Certificar de que a informação não será alterada após a apreensão. Veja a seguir sobre cada um deles. ITEM 1 Não contaminar os dispositivos a serem apreen- didos, que poderão conter as prova do crime. • No caso do item 1, deve-se evitar que os equi- pamentos a serem apreendidos sejam ligados. Isso poderá gerar registros de que o equipa- mento foi manuseado após o início do cumpri- mento do mandado. O advogado de defesa do criminoso poderá utilizar como argumentos esses registros, alegando que algo poderia ter sido modificado depois que o acusado perdeu a posse do equipamento apreendido. • No ambiente oficial de análise de provas di- gitais ou perícia forense computacional, os profissionais especializados farão acesso para efetuar a análise do equipamento, mas utiliza- rão bloqueadores de escrita para evitar deixar rastros que contaminem a prova. • Nos casos em que monitor de um equipamento a ser apreendido esteja em descanso de tela, é conveniente mexer no teclado ou mouse para ver se há algo na tela que está em andamento e que seja relevante para a investigação. Se for identificado algum conteúdo relevante, outros métodos serão utilizados para resguardar as informações (esse assunto será abordado mais adiante: memórias voláteis). ITEM 2 No caso de computadores de mesa (desktops), analisar a situação para decidir se será apreendido todo o gabinete ou somente o disco rígido. • No caso do item 2, a equipe de investigação deve verificar, analisar e optar pelo mais con- veniente, de acordo com o seu bom senso. Na maioria dos casos, não é necessário apreender todo o gabinete, pois isso pode ocupar muito espaço para o transporte e guarda do equipa- mento. Mas isso vai depender muito da situ- ação. Em caso de dúvida, é sugerido buscar ajuda de um especialista. De qualquer forma, o dispositivo apreendido deve ser muito bem identificado, com o máximo de detalhes pos- sível, por escrito numa fita ou etiqueta adesiva colada ao dispositivo e, se possível, deve-se fotografar antes e depois da apreensão e des- montagem para evitar confusões sobre a ori- gem do dispositivo apreendido. • Deve-se observar se o equipamento do clien- te ainda tem selo de garantia, pois a violação do lacre de garantia pode invalidá-la. Mas isso não é prioridade frente à relevância da infor- mação ali armazenada. Se algo importante for encontrado, a questão da garantia nunca será empecilho para a violaçãode um lacre e con- sequente acesso ao dispositivo e à informação nele contida. ITEM 3 Observar se o equipamento a ser apreendido está executando algum aplicativo de criptografia. • No caso do item 3, é conveniente verificar se o alvo está disposto a colaborar cedendo as senhas de login do equipamento e as senhas. Caso contrário, a análise do conteúdo em tela torna-se ainda mais relevante e deve ser anali- sado mais detalhadamente, principalmente se houver algum indício de que as informações estejam criptografadas. • Caso seja encontrado algo relevante, um es- pecialista deve ser convocado para fazer o “dump” de memória (cópia do conteúdo da memória volátil) e cópia dos dados criptogra- fados antes de desligar o equipamento. Se isso não for feito, talvez a equipe que fará a análise não conseguirá ler as informações, pois a crip- tografia muitas vezes não pode ser quebrada. Porém, é importante lembrar que qualquer in- tervenção no equipamento apreendido deve ser muito bem justificada. ITEM 4 Certificar de que a informação não será alterada após a apreensão • No caso do item 4, é importante que todo dis- positivo de armazenamento apreendido saia do local da apreensão com uma assinatura digital, para que no futuro, possa ser provado que os dados não foram alterados durante o processo de análise. • A assinatura digital pode ser gerada por uma “função hash”, que cria um código único (có- digo hash) gerado para cada conteúdo sobre o qual é aplicado. Desta forma, sempre que a função hash for aplicada sobre o mesmo con- teúdo, gerará o mesmo código hash. Isso iden- tifica unicamente um conteúdo, pois qualquer alteração posterior sobre esse mesmo conteú- do alterará também o hash. O aplicativo WinMD5Free – na figura ao lado, a função hash foi aplicada sobre o arquivo D:\Temp\winmd5free. zip, gerando um código hash único para esse arquivo. Se o arquivo sofrer alguma modificação, isso poderá ser verifi- cado com nova aplicação da função hash, que certamente gerará um código hash diferente do anterior. O procedimento para cumprimento de um man- dado de busca e apreensão é algo muito subjetivo. É preci- so que a equipe observe cada caso para analisar as ações a serem tomadas. Por exemplo, há casos em que um compu- tador quebrado (jogado no chão, golpeado com martelo, jogado de cima de um prédio, atropelado por um cami- nhão, etc), queimado ou jogado dentro da piscina, pode ser recuperado. O trabalho de perícia forense computacional poderecuperar equipamentos nessas situações e fazer a leitura de dados que podem ser importantíssimos para a investigação. É claro que um trabalho de recuperação des- se porte só pode ser efetuado por profissionais especializa- dos. É sugerido que procure a ajuda de um especialista ou Perito Criminal da área de informática. Assim, a equipe que estiver cumprindo um man- dado, não deve descartar a possibilidade de recuperação de dados, mesmo nos casos mais extremos. Se por um lado é conveniente apreender todo o material que gere a mínima suspeita de conter evidên- cias do crime, por outro lado, há uma preocupação em não apreender equipamentos que serão inúteis para a investi- gação. A apreensão de grandes volumes gerará um traba- lho desnecessário para as equipes que analisarão os dispo- sitivos apreendidos, gerando desperdício de mão de obra especializada, tempo e dinheiro. 1.4 Descrição dos equipamentos apreendidos É muito importante que o ambiente alvo de bus- ca e apreensão seja previamente analisado, bem como as pessoas investigadas. Nesse tipo de análise, a equipe de in- vestigação conhece bem a cena em que irá executar a mis- são e as pessoas com as quais deverá lidar. Ao chegar ao ambiente é conveniente que a equipe de investigação des- creva detalhadamente e, se possível, fotografe o ambiente, antes e depois das apreensões. Cada objeto apreendido deve ser enumerado e também fotografado no seu local original para registrar onde foi apreendido e as condições anteriores à apreensão. Todos os dispositivos apreendidos devem ser catalogados, identificados e descritos. Notebooks e outros dispositivos que tiverem fonte de energia devem ser apre- endidos juntamente com suas fontes, pois as fontes de energia muitas vezes são específi- cas e somente elas são capazes de fazer o dis- positivo funcionar no caso da análise futura. As mídias, tais como CDs, DVDs, Blu-rays, HDs ex- ternos, pendrives, zipdrives, fitas DAT, equipamentos de jo- gos como Xbox e Playstation que hoje são verdadeiros com- putadores devem ser apreendidas para posterior análise. É preciso que a equipe de investigação esteja atenta para o armazenamento de informações na Internet, pois atualmente há muitos serviços até gratuitos, onde é possível armazenar informações. Criminosos eventualmente podem utilizar esses espaços para armazenar conteúdos ligados ao crime. Nesse caso, não há que ser falar em apreensão no ambiente alvo do mandado, mas sim em descobrir onde o alvo guarda para que as informações possam ser solicitadas ao provedor. 1.5 Apreensão de servidores em redes corporativas No caso de computadores de grande porte que, são utilizados como servidores de aplicações em ambien- tes corporativos, é conveniente ter um especialista no as- sunto, pois há diversas tecnologias diferentes e igualmente complexas. Cada uma deles requer um procedimento para desligamento, navegação e análise. Um equipamento de grande porte é totalmente diferente de um computador pessoal. O desligamento re- pentino de um equipamento desse tipo pode causar muito prejuízo, inclusive à sociedade. Em um ambiente bancário a apreensão do ser- vidor principal poderá não ter tanta importância para a investigação, já que nem sempre contém dados de possíveis crimes e a sua apreensão pode- rá parar todo o sistema de compensação e paga- mento bancário, causando prejuízos aos clientes, que estão alheios à prática do crime investigado. 2.1 Busca e apreensão de dispositivos de armazenamento portáteis Durante o cumprimento de um mandado de busca e apreensão em ambientes com equipamentos de informática é preciso ter o máximo cuidado na verificação, localização e identificação dos dispositivos de armazena- mento, pois existem os mais variados tipos de mídias de armazenamento e diversos tamanhos e formatos. Atualmente, as memórias SD SD – Secure Di- gital - tipo de cartão de memória flash muito utilizado e MicroSD, utilizadas em aparelhos celulares, máquinas AULA 2 Dispositivos de armazenamento portáteis fotográficas, vídeo games e outros equipamentos são do tamanho de uma unha ou até menores. Nunca tente acessar o conteúdo do dispositivo, pois o simples acesso após o início do cumprimento do mandado pode deixar vestígios que o advogado de defesa do investigado vai alegar que a prova foi contaminada ou pode ter sido alterada, podendo invalidá-la. A equipe que estiver cumprindo o mandado de busca e apreensão deve ficar atenta aos vários formatos de pendrives existentes. Veja a seguir alguns exemplos de pendrive. Dependendo da situação esses dispositivos po- dem guardar as informações que incriminarão o suspeito. Os dados guardados na memória do computa- dor são gravados nos dispositivos de memória. Quando se fala em volatilidade, pode-se classificar as memórias em dois tipos básicos: • Memórias voláteis: são as memórias que não guardam nada quando são desligadas da ener- gia ou bateria. Elas são memórias mais rápidas e por isso são usadas para guardar o que está sendo utilizado instantaneamente no com- putador. Geralmente, são as memórias RAM (Random Access Memory – Memória de aces- so aleatório). • Memórias não voláteis: as memórias não vo- láteis não perdem dados com o desligamento da energia ou bateria.São utilizadas para guar- dar grande quantidade de informações para serem utilizadas no futuro. Um HD (Hard Disk – Disco Rígido ou Winchester), uma memória flash, ROM ou suas variações, um CD/DVD, blu-ray, fitas magnéticas, disquetes, pendrives, memórias SD (usadas em celulares). 3.2 Recuperação de dados em memórias não voláteis Também é importante ressaltar o apagamento simples de arquivos com comandos de “deletar” ou “for- matar” não torna impossível a recuperação dos mesmos nos equipamentos de armazenamento. A recuperação é possível nesses casos, porque os sistemas operacionais não apagam completamente as informações do dispositi- vo de armazenamento, mas tão somente a referência que endereça a informação armazenada. Antes de receber qualquer informação, as me- mórias não voláteis são formatadas (assumem um forma- to de escrita/leitura de dados), de acordo com um sistema de arquivos. Na formatação ela é dividida em espaços me- nores chamados trilhas. Cada um desses espaços tem um endereço físico designado pelo sistema de arquivos, no sistema operacional. Quando os dados são gravados em um arquivo, o endereço da trilha onde o arquivo inicia é guardada numa espécie de tabela. Quando o usuário pre- cisa acessar um arquivo, o sistema operacional sabe qual o endereço inicial de gravação do arquivo a ser acessado. Quando o usuário solicita que um arquivo seja deletado ou apagado, o sistema operacional simplesmen- te libera os endereços de memória ocupados pelo arquivo deletado, mas não apaga o conteúdo da informação em si. Isso possibilita que a informação deletada seja recupera- da; http://www.clubedohardware.com.br/artigos/Recu- perando-Dados-Apagados/560 com ajuda de aplicativos específicos para isso. Existem alguns aplicativos que executam esse tipo de recuperação de informações http://info.abril.com. AULA 3 Recuperação de dados deletados 3.1 Memórias voláteis e não voláteis br/noticias/blogs/download-da-hora/windows/6-aplica- tivos-para-recuperar-dados-apagados/ (exemplo: Easeus- Partition Recovery, Recuva, DataRecovery). Em contra- partida também existem aplicativos utilizados para limpar completamente o disco evitando esse tipo de recuperação (exemplo: wipe, clean). Esses fazem o apagamento do mesmo arquivo http://www.clubedohardware.com.br/ artigos/549 várias vezes e sobrescrevem informações irre- levantes no mesmo endereço várias vezes, evitando que a informação original possa ser recuperada. Durante a análise das informações contidas em dispositivos apreendidos, o especialista responsável pela análise terá que tentar fazer a recuperação para descobrir informações que já tenham sido deletadas, e que possam ser relevante para a investigação. 3.3 Recuperação de dados em memórias voláteis Como você já estudou, num ambiente de busca e apreensão é preciso observar o conteúdo da memória volátil das máquinas antes de desligá-las. É raro de aconte- cer, mas a equipe de investigação, durante o cumprimento de um mandado de busca e apreensão ou durante um fla- grante, pode se deparar com informações muito relevantes para a investigação em memória volátil. Essas informações se perderão se o equipamento for desligado. Sendo assim, diante desta situação, siga os se- guintes passos: 1. Faça uma análise prévia do conteúdo que estava sendo utilizado no momento da apreensão. 2. Caso exista algum conteúdo em memória vo- látil que seja suspeito ou importante para a in- vestigação, por exemplo, uma tela da Internet que o alvo esteja utilizando no momento da apreensão, ou fotos que estejam sendo visuali- zadas, ou textos que começaram a ser escritos, deve ser feito o procedimento de “dump”na memória volátil. Gravação do conteúdo da memória volátil em uma memória não volátil, para que a informação possa ser transportada e depois acessada e analisada num ambiente propício. 3. Desligue o equipamento para apreen- dê-lo e transportá-lo para o local onde será analisado. Há aplicativos específicos para executar este procedimen- to (exemplo: hexwin). Neste caso, é aconselhável acionar um perito ou especialista para que o procedimento seja executado com eficiência. 4.1 Análise de equipamentos e mídias A análise de um equipamento apreendido deve ser feita somente por pessoa especialista, na área de tec- nologia da informação ou Perito Criminal e com equipa- mento (hardware ou software) apropriado para extração das informações, tais como UFED (UniversalForensicEx- tractionDevice), MDD (ManTechMemory DD), Volatility, Norton Ghost, dd, EnCase, FTK entre outros diversos dis- positivos e softwares exclusivos para extração de dados de equipamentos apreendidos e análise dos mesmos. Queiroz e Vargas (2010) citam, em seu livro “In- vestigação e Perícia Forense Computacional”, as seguintes ferramentas de trabalho em computação forense digital: Helix (e-fense), CallerIP, RecoverMy Files, EmailTracker- Pro, FTK Imager, Registry Monitor e GetDataBack. A análi- se dessas ferramentas não é o objetivo deste curso, já que estamos em um nível básico, mas talvez de um futuro mó- dulo avançado com esse mesmo tema. Para iniciar a análise de um dispositivo de armazenamento apreendido, é necessária a cópia do conteúdo para um dispositivo de igual ou maior capa- cidade de armazenamento e que, notadamente, seja de mesma natureza (exemplos: de HD para HD, de CD para CD, de DVD para DVD, de blu-ray para blu-ray, de MicroSD para MicroSD, de disquete para disquete, de zipdrive para zipdrive, de pendrive para pendrive, etc). Embora seja aconselhado que as cópias sejam efetuadas utilizando equipamentos específicos para esse fim, há softwares simples e sistemas operacionais gratui- tos que apresentam características reconhecidamente fa- voráveis para a tarefa e realizar a análise forense computa- cional. Há algumas distribuições de sistemas operacionais baseados em Linux, tais como Helix, BackTrack que per- mitem acessar conteúdos e fazer cópias ou até mesmo a análise sem deixar registros de acesso. Os equipamentos apreendidos não podem conter registros de acesso de datas posteriores ao cumprimento da apreensão, sob pena de contestação da defesa do inves- tigado, que pode alegar que o equipamento foi acessado podendo ter sido alterado após a apreensão. Isso pode invalidar qualquer prova retirada do equipamento. Computação Forense é a ciência que estuda a utilização de informações armazenadas em meio digital como prova de crimes. Para saber mais sobre análise das informações em equipa- mentos apreendidos veja o vídeo “A arte da perícia digital”. http://www.youtube.com/watch?feature=endscreen&NR =1&v=3FFnD8Bluv8 AULA 4 Análise de informações em equipamentos apreendidos Finalizando... • Prova digital é considerada, no contexto desse curso, como qualquer informa- ção de valor probatório, que é armazenado ou transmitido de forma digital, por exemplo, arquivos, fotos, vídeos, históricos armazenados em um disco rígido de um computador, vídeo digital, áudio digital, pacotes transmitidos pela rede de comunicação, entre outros. • Para o cumprimento do mandado em si, é preciso preocupar-se com a volatili- dade das evidências buscadas. No ambiente digital, as provas são muito mais voláteis, pois as evidências podem estar em uso no momento do início do cum- primento do mandado, de modo que se o alvo simplesmente puxar o equipa- mento da tomada pode estar destruindo as provas. • No caso de apreensão de equipamentos ou dispositivos há quatro itens que precisam ser observados. São eles: não contaminar os dispositivos a serem apreendidos, que poderão conter as prova do crime; no caso de computadores de mesa (desktops), analisar a situação para decidir se será apreendido todo o gabinete ou somente o disco rígido; observar se o equipamentoa ser apre- endido está executando algum aplicativo de criptografia e certificar de que a informação não será alterada após a apreensão. • Ao chegar ao ambiente é conveniente que a equipe de investigação descreva detalhadamente e, se possível, fotografe o ambiente, antes e depois das apre- ensões. Cada objeto apreendido deve ser enumerado e também fotografado no seu local original para registrar onde foi apreendido e as condições anteriores à apreensão. Todos os dispositivos apreendidos devem ser catalogados, identifi- cados e descritos. • No caso de computadores de grande porte que são utilizados como servidores de aplicações em ambientes corporativos, é conveniente ter um especialista no assunto, pois há diversas tecnologias diferentes e igualmente complexas. Cada uma deles requer um procedimento para desligamento, navegação e análise. • Durante o cumprimento de um mandado de busca e apreensão em ambientes com equipamentos de informática é preciso ter o máximo cuidado na verifica- ção, localização e identificação dos dispositivos de armazenamento, pois exis- tem os mais variados tipos de mídias de armazenamento e diversos tamanhos e formatos. • Também é importante ressaltar o apagamento simples de arquivos com coman- dos de “deletar” ou “formatar” não torna impossível a recuperação dos mesmos nos equipamentos de armazenamento. A recuperação é possível nesses casos, porque os sistemas operacionais não apagam completamente as informações do dispositivo de armazenamento, mas tão somente a referência que endereça a informação armazenada. • Durante o cumprimento de um mandado de busca e apreensão ou durante um flagrante, pode se deparar com informações muito relevantes para a investi- gação em memória volátil. Essas informações se perderão se o equipamento for desligado. Sendo assim, diante desta situação, siga os seguintes passos: faça uma análise prévia do conteúdo que estava sendo utilizado no momento da apreensão; caso exista algum conteúdo em memória volátil que seja suspeito ou importante para a investigação, (por exemplo, uma tela da Internet que o alvo esteja utilizando no momento da apreensão, ou fotos que estejam sendo visualizadas, ou textos que começaram a ser escritos) deve ser feito o procedi- mento de “dump” na memória volátil. Só após esse procedimento, desligue o equipamento para apreendê-lo e transportá-lo para o local onde será analisado. MÓDULO 1 1 - (x) Registro de eventos com endereços IP, datas e horas. 2 - (x) registro de endereços eletrônico, data e hora de acesso do usuário. 3 - (x) unir esta informação a outras obtidas por meio tradi- cional para apontar a autoria. 4 - (x) endereço IP, endereço URL e endereço de E-mail. 5. F / F / V / V MÓDULO 2 1 - ( x ) A “lei dos cybercafés” não especifica as punições para quem não cumpre as normas vigentes e não estabe- lece o órgão governamental competente para fiscalizar o cumprimento. 2 - ( x ) Por meio do endereço IP é possível definir a região onde o criminoso utilizou a Internet. 3 - ( x ) A maior fonte de informações sobre criminosos na Internet são os provedores de acesso e os provedores de serviço na Internet. 4 - ( x ) O MLAT é um acordo de assistência legal mútua entre os países que facilita o levantamento de informações em ambiente estrangeiro. MÓDULO 3 1 - Orientação para resposta: Provedores de serviços são as empresas que fornecem al- gum tipo de serviços na Internet, tais como e-mail, portal de notícias, chat, comunicação instantânea, entretenimen- to, comércio eletrônico, homebank, entre outros. Esses provedores podem apontar qual o endereço IP utilizado pela conexão onde o suspeito de um crime utilizou a Inter- net para acessar o serviço no momento da prática delitu- osa. As maiores empresas do ramo são Google, Microsoft, Yahoo, UOL, entre outras. Provedores de acesso são as empresas que disponibilizam os meios físicos de transmissão de dados e os equipamen- tos de rede de comunicação que possibilitam ao usuário acessar a Internet. Esses provedores podem identificar o endereço completo de instalação do acesso à Internet que utilizou determinado endereço IP na respectiva data e ho- rário do fato delituoso. As maiores empresas neste ramo são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras. 2 - (x) Os provedores sempre guardam os registros de eventos por 5 anos, de acordo com a legislação vigente no Brasil. GABARITO 3 - ( x ) Endereços IP dinâmicos são compartilhados entre os vários clientes de um provedor de acesso de forma que é extremamente necessário que sejam vinculados a data e horário para que o cliente responsável seja identificado. 4 - Orientação para resposta: Expanda o cabeçalho de uma mensagem de sua caixa de e- -mail pessoal (identifique como proceder no seu programa de leitura de e-mail ou seu serviço de webmail). Identifique o IP válido que equivale ao IP da conexão de origem da mensagem. Utilize sites de geo-localização de IP como http//en.utrace.de para identificar a localização geográfica aproximada. 5 - Orientação para resposta: Expanda o cabeçalho de uma mensagem de sua caixa de e- -mail pessoal (identifique como proceder no seu programa de leitura de e-mail ou seu serviço de webmail). Identifi- que o IP válido que equivale ao IP da conexão de origem da mensagem. Utilize sites de geo-localização de IP como http//en.utrace.de para identificar a localização geográfica aproximada. 6 - Orientação para resposta: 6.1. Pesquise nos sites http://registro.br ou http://whois.sc para identificar o provedor responsável por cada um dos endereços IP fornecidos pela Microsoft. Utilize a tabela de conversão para converter os horários de uso dos en- dereços IP dos timezones da Microsoft para os brasileiros (atente-se para a questão do horário de verão). 6.2. utilize sites de geo-localização para identificar a região aproximada dos endereços IP. MÓDULO 4 1. (x) Na Internet, principalmente em sites de redes sociais, geralmente são descartados como fonte de informação em investigações porque os perfis são fechados e não expõem o usuário. 2. (x) Busca sistemática equivale à fazer pesquisas fre- quentes e lidar com os crimes na Internet mesmo que não haja nenhum registro oficial de vítimas. MÓDULO 5 1 - (x) Os computadores a serem apreendidos devem ser imediatamente puxados da tomada. 2 - Orientação para resposta Lembre-se de que o computador pode conter aplicativos de criptografia e que o conteúdo está somente na me- mória volátil. Lembre-se também que o dispositivo ar- mazenado deve ser preservado para que não seja conta- minado após o início da operação de busca e apreensão. Lembre-se ainda que a análise do material apreendido não deve ser feita no dispositivo original, mas sim em uma cópia feita bit-a-bit. 3 - (x) Todos os dispositivos apreendidos devem ser identi- ficados, catalogados, fotografados e cuidadosamente des- critos. MÓDULO 6 1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati- vos não originais. 2. (x) A engenharia reversa trabalha tentando descobrir como o malware se comunica com o atacante. 3. (x) No caso de o alvo utilizar comunicação criptografada não é possível acessar o conteúdo por meio de intercepta- ção telemática. 4. b / d / a / h / f / e / g / c