Computação Forense

Prévia do material em texto

1. 	PRINCÍPIOS DA COMPUTAÇÃO FORENSE
A Computação Forense tem como objetivo auxiliar e determinar toda a dinâmica e materialidade de ilícitos relacionados à área da informática, utilizando de técnicas e métodos científicos, com o foco principal na identificação e análise do processo das evidências digitais e matérias de crime (ELEUTÉRIO e MACHADO, 2011).
Forense computacional é a atividade concernente aos exames realizados por profissional especialista, legalmente habilitado, “destinada a determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crimes, por meio de métodos técnico-científicos, conferindo-lhe validade probatória em juízo”. (ELEUTÉRIO e MACHADO, 2011).
A computação forense utiliza-se de métodos para coleta, preservação, identificação, validação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo.
De acordo com Brooks (2014), computação forense é uma disciplina que combina elementos do direito e da computação com objetivo de coletar e analisar dados de sistemas computacionais, redes de computadores, comunicações sem fio e sistemas de armazenamento digitais de tal forma que esses dados sejam válidos na justiça.
“Crimes sempre deixam vestígios!” - é uma frase dita costumeiramente pelas pessoas. Vestígio, segundo o dicionário Michaelis da Língua Portuguesa, é definido como “1 Sinal deixado pela pisada ou passagem, tanto do homem como de qualquer outro animal; pegada, rastro. 2 Indício ou sinal de coisa que sucedeu, de pessoa que passou. 3 Rastros, resquícios, ruínas. Seguir os vestígios de alguém: fazer o que ele fez ou faz; imitá-lo.”. No caso da computação, os vestígios de um crime são digitais, uma vez que toda a informação armazenada dentro desses equipamentos computacionais é composta por bits (números zeros e uns), em uma sequência lógica. (ELEUTÉRIO e MACHADO, 2011).
A perícia forense em computação ou computação forense, pode ser definida, de forma superficial, mas direta, como a área da computação responsável por dar respostas ao judiciário em questões envolvendo sistemas computacionais ou que tenham sido utilizados como meio em atividades sob investigação. Envolve, pois, a obtenção e análise de informações digitais e/ou equipamentos, infraestrutura e mídias computacionais para o uso como evidências em casos cíveis, criminais ou administrativos. (Galvão, 2013).
2.	O PERITO FORENSE
	Os artigos 159 e 160 do Código de Processo Penal (Decreto-Lei N° 3.689, de 3 de outubro de 1941) definem que: “O exame de corpo de delito e outras perícias serão realizados por perito oficial, portador de diploma de curso superior” e “Os peritos elaborarão o laudo pericial, no qual descreverão minuciosamente o que examinarem e responderão aos quesitos formulados”. Em crimes digitais quem realiza esse trabalho é o Perito Criminal em Informática, porém outros profissionais também podem ter a necessidade de realizar os exames ligados à computação, sendo eles: peritos particulares, auditores de sistemas, profissionais de TI, juízes, advogados, delegados, promotores e demais profissionais da área de direito, dos quais devem conhecer como evidências e provas digitais devem ser devidamente coletadas, apresentadas e apuradas. (ELEUTÉRIO E MACHADO, 2011).
	No Paraná, em decorrência da Emenda Constitucional Estadual n° 10 de 24 de outubro de 2001, o Instituto de Criminalística e o Instituto Médico Legal desvincularam-se do departamento da Polícia Civil, passando a constituir a Polícia Científica do Estado do Paraná. Trata-se de uma unidade administrativa, técnica e financeiramente autônoma, subordinada à Secretaria de Estado de Segurança Pública do Paraná.
3.	ETAPAS DA COMPUTAÇÃO FORENSE
Computação Forense é uma ciência que obtém, preserva e documenta evidências de dispositivos de armazenamento digital, como computadores, PDAs, câmeras digitais, telefones celulares e vários dispositivos de armazenamento de memória. Esses autores organizam a Computação Forense em 4 etapas principais: Coleta, Exame, Análise e Relatório. (Eleutério e Machado, 2011) 
Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e coletar os dados e evidências físicas relacionadas com o incidente que está sendo investigado, enquanto estabelece e mantém a integridade das provas.
Exame: identificar e extrair as informações relevantes a partir dos dados coletados utilizando ferramentas e técnicas forenses adequadas.
Análise: analisar os resultados do exame para gerar respostas úteis para as questões apresentadas nas fases anteriores.
Relatório (Resultados): inclui encontrar relevância para o caso. Nessa etapa também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil interpretação por uma pessoa comum, de conhecimento médio.
3.1.		TERMINOLOGIA
	Alguns conceitos relacionados à terminologia adotada na prática da computação forense merecem a citação e definição como complemento. (Galvão, 2013).
Mídias de Provas: engloba todas as mídias que são objeto de investigação, incluindo os dispositivos convencionais e não convencionais de armazenamento de dados (discos rígidos, pendrives, cartões de memória ou qualquer dispositivo capaz de armazenar dados) e dispositivos/meios responsáveis pelo armazenamento e/ou a transmissão de dados voláteis (memórias voláteis e infraestrutura de redes cabeadas ou sem fio).
Mídia de Destino: imagem pericial fidedigna das mídias de provas armazenadas com proteção contra alterações (qualquer procedimento de leitura e/ou gravação que implique em modificação de seus dados) de modo a permitir a verificação de sua integridade e quantas cópias forem necessárias para a análise pericial sem a necessidade de novamente se recorrer às mídias de provas.
Análise ao vivo: atividade pericial realizada diretamente sobre as mídias de provas. Esse tipo de perícia geralmente é realizado quando não se dispõe de recursos e/ou tempo e/ou autorização para a adequada geração da mídia de destino e análise posterior. Embora, nesses casos, os resultados (respostas aos quesitos) sejam mais rápidos, esses resultados são passíveis de contestação judicial em função da impossibilidade de nova perícia posterior por falta de mídia de destino e, naturalmente, alteração das mídias de provas. A análise ao vivo sem alterar as mídias de provas (garantindo a impossibilidade de modificação de mídias de armazenamento durante a perícia, por exemplo, e impedindo a manipulação posterior dessas mídias até que nova perícia possa ser realizada) é uma exceção à citada possibilidade de contestação.
Análise post-mortem (offline): metodologia de perícia mais recomendada e mais utilizada em computação forense, em que a análise é feita sobre as mídias de provas ou até sobre uma cópia dessas mídias, permitindo maior flexibilidade nos procedimentos de análise dos dados sem comprometer a mídia original (mídia de provas).
Análise em aparelhos de telefone celular: É feita a extração dos dados armazenados na memória desses aparelhos como: lista de contatos, ligações, fotos, mensagens, etc. De acordo com a necessidade apresentada por cada caso. (ELEUTÉRIO e MACHADO, 2011).
Análise em sites da Internet: Consiste na verificação e investigação tanto de cópias de conteúdos existentes na internet, também em sites e servidores remotos, como no rastreamento de um domínio de um site através do seu endereço IP. (ELEUTÉRIO e MACHADO, 2011) 
Análise em mensagens eletrônicas (e-mail): Analisar dados das mensagens eletrônicas a fim de identificar hora, data, endereço IP e em certos casos informações confidenciais e valiosas, tanto da mensagem como do remetente. (ELEUTÉRIO e MACHADO, 2011).
4.	ANÁLISE EM LOCAIS DE CRIMES
	São utilizados os processos de mapeamento, correta identificação e preservação dos equipamentos utilizadosque estão no local e em alguns casos é necessário ser feito um exame forense no local do crime, a fim de permitir um exame melhor e mais elaborado no laboratório de análise forense dos equipamentos apreendidos no local (ELEUTÉRIO e MACHADO, 2011).
	Segundo Costa e Garcia (2014), um local de crime relacionado à informática é um local de crime convencional acrescido de equipamentos computacionais que têm relação com o delito investigado. Já mandado de busca e apreensão é uma ordem expedida pela autoridade judiciária para que seja realizada uma diligência, a fim de buscar e apreender pessoas ou objetos de interesse à justiça.
	Dependendo do tipo da situação encontrada, pode-se recomendar, interromper as conexões de rede existentes e retirar a fonte de energia desligando-os, exceto quando da possibilidade de flagrante de delito. No entanto tais ações somente devem ser realizadas quando o perito tiver certeza de que isso não ocasionará em perdas de evidências (ELEUTÉRIO e MACHADO, 2011).
	Quando computadores estiverem ligados, pode ser necessário copiar os dados da memória RAM (Random Access Memory) antes de desligá-los. A memória RAM é volátil, e seus dados são perdidos quando o computador é desligado. Assim, se o perito suspeitar que evidências estejam contidas nesse tipo de memória, ferramentas próprias devem ser utilizadas para realizar tal cópia. A ferramenta Computer Online Forensic Evidence Extractor (COFEE), desenvolvida pela Microsoft, faz o dump (cópia integral) dos dados voláteis contidos na memória RAM do computador a partir do uso de um pen drive, por exemplo (ELEUTÉRIO e MACHADO, 2011).
5. 	ANÁLISE FORENSE EM AMBIENTES VIRTUALIZADOS
De acordo com Pinheiro (2012) a proposta da virtualização é adequada para se trabalhar com imagens virtuais de máquinas reais sem modificá-las. Antigamente esse processo requeria ao perito clonar o hardware (HD), colocá-lo em um novo equipamento e inicializá-lo. Assim sendo, quando da primeira inicialização o perito ainda não podia ter certeza se a imagem clonada estaria adequada à investigação. Dessa forma, sempre que houvesse qualquer suspeita de contaminação do clone, tornava-se necessário refazê-lo a partir de uma cópia válida. Isso tudo era um processo demorado e que poderia ser facilmente contestado, uma vez que a integridade dos dados poderia ser perdida e/ou questionada.
Os sistemas Operacionais e aplicativos executados em ambientes virtualizados deixam diferentes tipos de vestígios computacionais para serem analisados, o que resulta em novas evidências e procedimentos na condução de uma investigação quando da ocorrência de um delito digital. Fator este que se agrava devido à falta de técnicas e/ou procedimentos direcionados à execução de sua análise forense computacional.
6. 	METODOLOGIA
	O uso de um método tem por objetivo, estabelecer condições apropriadas para que um trabalho possa ser desenvolvido. Contribui, para que o desenvolvimento do trabalho esteja dentro dos padrões científicos e acadêmicos (GIL, 2007).
	A pesquisa bibliográfica é desenvolvida com base em material já elaborado, constituído principalmente de livros e artigos científicos. Boa parte dos estudos exploratórios pode ser definida como pesquisas bibliográficas (GIL, 2002).
	O estudo de caso consiste no estudo profundo e exaustivo de um ou poucos objetos, de maneira que permita seu amplo e detalhado conhecimento, tarefa praticamente impossível mediantes outros delineamentos já considerados. (GIL, 2002)
	A pesquisa quantitativa considera que tudo pode ser quantificável, o que significa traduzir em números opiniões e informações para classificá-las e analisá-las. Requer o uso de recursos e de técnicas estatísticas (percentagem, média, moda, mediana, desvio-padrão, coeficiente de correlação, análise de regressão etc.). (PRODANOV e FREITAS, 2013)
	
6.1.		ESTUDO DE CASO
	
6.1.1.		COMPUTAÇÃO FORENSE X SOCIEDADE
	Em um questionamento feito através das redes sociais (Facebook e Whatsapp), foi perguntado se as pessoas sabiam o que é a Computação Forense e conforme observado foram obtidas 52 respostas, onde expressivamente 40,4% responderam que sabiam o que é a CF e 59,6% disseram não saber.
	Em um segundo questionamento feito através das redes sociais (Facebook e Whatsapp), foi perguntado se as pessoas conheciam algum crime onde a Computação Forense tenha auxiliado na resolução e conforme observado foram obtidas 52 respostas onde a maioria disse não conhecer nenhum crime resolvido com ajuda da CF, seguindo o caminho da primeira pergunta. Em contrapartida a minoria, apenas 15,4% dos que responderam disseram conhecer.
	No terceiro questionamento feito através das redes sociais (Facebook e Whatsapp), foi estipulado um comentário caso a resposta do segundo questionamento tenha sido positiva. As principais respostas obtidas foram:
“Caso do sequestro do Telegram dos coordenadores da Lava Jato”
Referente ao caso onde foram interceptadas ilegalmente mensagens trocadas entre o Procurador da República Deltan Dallagnol e o atual ministro da Justiça Sérgio Moro.
“Sequestro de dados ocorrido em 2018 em grandes empresas”
Referente ao ataque de malwares (ransomware) que na verdade ocorreu em 2017 onde grandes empresas como Telefônica e FedEx tiveram dados sequestrados.
“Conheço o caso de uma amiga que foi hackeada e teve suas redes sociais invadidas. A polícia forense investigou por dois anos, conseguiu o IP do agressor e conseguiu chegar até a residência dele. A pessoa foi condenada a prestar serviços comunitários.”
Nesse caso uma pessoa teve suas redes sociais invadidas por um ex-namorado onde o mesmo estava postando mensagens obscenas no perfil da vítima. A polícia forense investigou e chegou ao suspeito.
7.	CONSIDERAÇÕES FINAIS
Diante das informações que aqui foram citadas, conclui-se que: a computação forense tem sido uma importante ferramenta no combate e resolução de crimes cibernéticos...