Baixe o app para aproveitar ainda mais
Prévia do material em texto
FACULDADE GOVERNADOR OZANAM COELHO PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para obtenção de evidências digitais em sistemas operacionais Microsoft Windows ROBSON MARCHIONI GRÔPPO UBÁ MINAS GERAIS 2011 i ROBSON MARCHIONI GRÔPPO PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para obtenção de evidências digitais em sistemas operacionais Microsoft Windows Monografia apresentada como parte das exigências para obtenção do título de Bacharel em Ciência da Computação da Faculdade Governador Ozanam Coelho, FAGOC. Orientador: Prof. M. Sc. Marcelo Daibert. UBÁ MINAS GERAIS 2011 ii ROBSON MARCHIONI GRÔPPO PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para obtenção de evidências digitais em sistemas operacionais Microsoft Windows Monografia apresentada e aprovada em 12 de Julho de 2011. ______________________ Saulo Campos (Examinador) ______________________ Sérgio Murilo Stempliuc (Examinador) ______________________ Marcelo Santos Daibert (Orientador) ______________________ Waldir Andrade Trevizano (Coordenador) iii AGRADECIMENTOS Gostaria de deixar meus sinceros agradecimentos, primeiramente, a Deus pela saúde e por ter me abonado de conhecimento, capacidade e força para concluir a graduação. Aos meus pais e minha irmã pelo exemplo, incentivo e carinho, pois sem eles a conclusão deste trabalho não seria possível. Ao amigo, professor e mestre, Marcelo Santos Daibert, pelo incentivo e pela dedicação com a qual orientou esse trabalho, tornando assim viável seu término. E a todos aqueles que, direta ou indiretamente, contribuíram para a realização desse trabalho. iv RESUMO O presente trabalho propõe a descrição e utilização de algumas técnicas e ferramentas existentes que auxiliam peritos digitais, administradores de redes, profissionais da área de segurança e tecnologia da informação entre outros profissionais na obtenção de evidências digitais em sistemas Microsoft Windows, além de proporcionar uma base teórica para quem tem interesse na área de perícia em computadores. Tais técnicas e ferramentas são muito úteis para peritos digitais, policiais, delegados, juízes entre outros profissionais na luta contra o crime digital. Neste trabalho serão abordadas técnicas desde o momento em que o equipamento a ser periciado é apreendido pelo perito digital até a fase de confecção do laudo pericial para ser usado em juízo. Juntamente com as técnicas também serão apresentadas ferramentas disponíveis que auxiliam peritos na obtenção de evidências. No final deste trabalho ainda será apresentado um estudo de caso de um crime fictício. Palavras-chave: Crime Digital, Perito Digital, Perícia Forense Computacional, Microsoft Windows. v SUMÁRIO RESUMO.................................................................................................................... iv LISTA DE FIGURAS ................................................................................................. vii LISTA DE TABELAS .................................................................................................. ix LISTA DE SIGLAS ...................................................................................................... x 1. INTRODUÇÃO ...................................................................................................... 1 1.1. O problema e sua importância ....................................................................... 3 1.2. Objetivos ........................................................................................................ 7 1.2.1. Objetivo geral........................................................................................... 7 1.2.2. Objetivos específicos ............................................................................... 7 1.3. Metodologia .................................................................................................... 7 1.4. Organização do trabalho ................................................................................ 9 2. REFERENCIAL TEÓRICO ................................................................................. 10 2.1. A Internet ...................................................................................................... 10 2.2. Ciência Forense ........................................................................................... 12 2.3. Forense Computacional ............................................................................... 13 2.4. Aspectos Legais ........................................................................................... 15 2.4.1. Brasil ...................................................................................................... 16 2.4.1.1. Projetos de Leis ..................................................................................... 23 2.4.1.1.1.Projeto de lei Eduardo Azeredo ........................................................... 23 2.4.1.1.2.Projeto de lei 89/2003 .......................................................................... 25 2.5. Obtenção de Evidências Digitais .................................................................. 26 2.5.1. Aquisição ou Coleta e Preservação ....................................................... 28 2.5.2. Identificação ou Exame ......................................................................... 30 2.5.3. Análise ................................................................................................... 30 2.5.4. Apresentação......................................................................................... 31 2.6. Microsoft Windows ....................................................................................... 31 3. TRABALHOS RELACIONADOS ......................................................................... 39 3.1. Computação Forense com Software Livre: Conceitos, Técnicas, Ferramentas e Estudos de Casos .......................................................................... 39 3.2. Forensic Examination of Digital Evidence: A Guide for Law Enforcement (Exame Forense de Evidência Digital: Um Guia para Aplicação da Lei)................ 39 3.3. Perícia Forense Computacional baseada em Sistema Operacional Windows XP Profissional ....................................................................................................... 40 3.4. Técnicas Forenses ....................................................................................... 40 4. FERRAMENTAS FORENSES ............................................................................ 41 vi 4.1. Softwares ..................................................................................................... 41 4.1.1. EnCase Forensic ................................................................................... 41 4.1.2. FTK ........................................................................................................ 44 4.1.3. Helix ....................................................................................................... 45 4.1.4. CallerIP .................................................................................................. 47 4.1.5. eMailTrackerPro .................................................................................... 48 4.1.6. Recover My Files ................................................................................... 49 4.1.7. Symantec Norton Ghost ........................................................................ 50 4.1.8. Process Monitor ..................................................................................... 52 4.1.9. COFEE.................................................................................................. 53 4.1.10. MD5 Check Utility .................................................................................. 54 4.1.11. NuDetective ........................................................................................... 55 4.2. Hardwares .................................................................................................... 57 4.2.1. FRED ..................................................................................................... 57 4.2.2. Forensic Talon e Forensic Quest ........................................................... 62 4.2.3. Espion Forensics FastBlock 3 FE .......................................................... 64 5. ELABORAÇÃO DO LAUDO PERICIAL .............................................................. 65 5.1. Preâmbulo .................................................................................................... 69 5.2. Histórico ....................................................................................................... 69 5.3. Material ........................................................................................................ 70 5.4. Objetivo ........................................................................................................ 73 5.5. Considerações técnicas/periciais ................................................................. 73 5.6. Exames ........................................................................................................ 74 5.7. Respostas aos quesitos/conclusões ............................................................ 75 6. ESTUDO DE CASO ............................................................................................ 78 6.1. Introdução ao caso ....................................................................................... 78 6.2. Laudo Pericial .............................................................................................. 78 6.2.1. Preâmbulo ............................................................................................. 79 6.2.2. Histórico ................................................................................................. 79 6.2.3. Material .................................................................................................. 79 6.2.4. Objetivo ................................................................................................. 81 6.2.5. Considerações técnicas/periciais........................................................... 81 6.2.5.1. Captura de dados voláteis ..................................................................... 82 6.2.5.2. Integridade do disco rígido (HD) questionado ....................................... 82 6.2.5.3. Algoritmo MD5 ....................................................................................... 84 6.2.5.4. Verificação da integridade da mídia óptica ............................................ 85 6.2.5.5. Visualização do conteúdo da mídia óptica ............................................. 86 6.2.6. Exames .................................................................................................. 86 6.2.7. Respostas aos quesitos ....................................................................... 102 7. CONSIDERAÇÕES FINAIS .............................................................................. 105 7.1. Trabalhos Futuros ...................................................................................... 106 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................ 107 vii LISTA DE FIGURAS Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano. ............................ 4 Figura 1.2: 10 Categorias que Receberam mais Reclamações. ................................. 5 Figura 1.3: Prejuízo e Porcentagem. ........................................................................... 6 Figura 2.1: Relação entre Ciência da Computação, Criminalística e Computação Forense. .................................................................................................................... 13 Figura 2.2: Surgimento do Perito em Forense Computacional. ................................. 14 Figura 2.3: Fases de um processo de investigação. ................................................. 28 Figura 2.4: Exemplo de um formulário de cadeia de custódia. .................................. 29 Figura 2.5: Interface gráfica do Windows 2.03. ......................................................... 32 Figura 2.6: Interface gráfica do Windows 3.1 ............................................................ 32 Figura 2.7: Interface gráfica do Windows 95. ............................................................ 33 Figura 2.8: Interface gráfica do Windows ME. ........................................................... 35 Figura 2.9: Interface gráfica do Windows XP. ........................................................... 36 Figura 2.10: Interface gráfica do Windows Vista. ...................................................... 37 Figura 2.11: Interface gráfica do Windows 7. ............................................................ 38 Figura 4.1: Funcionamento básico do EnCase. ......................................................... 42 Figura 4.2: Tela principal do EnCase. ....................................................................... 43 Figura 4.3: Tela principal do FTK. ............................................................................. 45 Figura 4.4: Tela de abertura do software Helix. ......................................................... 46 Figura 4.5: Tela principal do Helix. ............................................................................ 47 Figura 4.6: Tela principal da ferramenta CallerIP. ..................................................... 48 Figura 4.7: Tela principal da ferramenta eMailTrackerPro. ....................................... 49 Figura 4.8: Interface principal da ferramenta Recover My Files. ............................... 50 Figura 4.9: Processo de espelhamento ou imagem de dados................................... 51 Figura 4.10: Tela principal do software Symantec Norton Ghost. ............................. 52 Figura 4.11: Tela onde a imagem ou espelhamento está sendo realizada. .............. 52 Figura 4.12: Tela do Process Monitor. ...................................................................... 53 Figura 4.13: Tela do software COFEE. ..................................................................... 54 Figura 4.14: Tela da ferramenta MD5 Check Utility. .................................................. 55 Figura 4.15: Tela da ferramenta NuDetective. ........................................................... 57 Figura 4.16: Hardware FRED. ................................................................................... 59 Figura 4.17: Hardware FREDC. ................................................................................ 60 Figura 4.18: Hardware FRED-L e o UltraKit. ............................................................. 61 Figura 4.19: Hardware FREDDIE. ............................................................................. 61 Figura 4.20: Hardware FREDM. ................................................................................ 62 Figura 4.21: Forensic Talon....................................................................................... 63 Figura 4.22: Forensic Quest. ..................................................................................... 63 Figura 4.23: FastBlock 3 FE instalado entre o disco rígido questionado e o computador. .............................................................................................................. 64 Figura 5.1: Principais informações a serem inseridas no preâmbulo do laudo. ........ 69viii Figura 5.2: Exemplo de texto contido na seção histórico. ......................................... 70 Figura 5.3: Disco rígido questionado. ........................................................................ 71 Figura 5.4: Disco rígido questionado com as informações detalhadas. .................... 72 Figura 5.5: Exemplo de texto contido na seção objetivo de um laudo. ...................... 73 Figura 5.6: Exemplo de texto contido na seção considerações técnicas/periciais de um laudo.................................................................................................................... 74 Figura 5.7: Exemplo finalização de laudo, incluindo devolução do material lacrado e assinaturas ................................................................................................................ 77 Figura 6.1: Computador onde foi encontrado o disco rígido questionado. ................ 80 Figura 6.2: Disco rígido apreendido. ......................................................................... 81 Figura 6.3: Disco rígido de destino. ........................................................................... 83 Figura 6.4: Arquivo antes de ser alterado e seu respectivo código hash. ................. 84 Figura 6.5: Arquivo depois de ser alterado e seu respectivo código hash. ............... 84 Figura 6.6: Verificação do arquivo hashes.txt da mídia óptica. ................................. 85 Figura 6.7: Arquivos presentes na mídia óptica. ....................................................... 86 Figura 6.8: Computador suspeito encontrado ligado. ................................................ 87 Figura 6.9: Captura dos dados voláteis sendo feita com a ferramenta COFEE ........ 88 Figura 6.10: Programa COFEE sendo executado no computador suspeito .............. 88 Figura 6.11: Opção Execute runner.exe .................................................................... 89 Figura 6.12: Pasta gerada ao final do processo. ....................................................... 90 Figura 6.13: Categorias dos dados voláteis capturados. ........................................... 90 Figura 6.14: Conteúdo do diretório network e de um documento. ............................. 91 Figura 6.15: Gerando relatório dos dados voláteis. ................................................... 92 Figura 6.16: Conteúdo da pasta Dados Voláteis. ...................................................... 92 Figura 6.17: Conteúdo do arquivo index. .................................................................. 93 Figura 6.18: Programa Process Monitor rodando no computador suspeito. ............. 94 Figura 6.19: HD questionado e de destino conectados no computador para realizar o espelhamento. ........................................................................................................... 95 Figura 6.20: Opção cópia do disco para outro disco. ................................................ 96 Figura 6.21: Processo de espelhamento dos HDs em execução. ............................. 96 Figura 6.22: Formulário de cadeia de custódia. ........................................................ 97 Figura 6.23: Arquivos encontrados nos exames periciais. ........................................ 99 Figura 6.24: Geração dos hashes criptográficos dos dados voláteis. ..................... 100 Figura 6.25: Geração dos hashes criptográficos dos arquivos encontrados no computador suspeito. .............................................................................................. 101 Figura 6.26: Código de integridade gerado do arquivo „hashes.txt‟. ........................ 102 ix LISTA DE TABELAS Tabela 2.1: Ações comuns, tipo e artigo C.P. ........................................................... 22 Tabela 5.1: Exemplo de descrição de um disco rígido em formato tabular. .............. 72 Tabela 6.1: Características do disco rígido apreendido. ........................................... 80 Tabela 6.2: O ciclo de vida esperado dos dados. ...................................................... 82 Tabela 6.3: Características do disco rígido de destino. ............................................. 83 Tabela 6.4: Arquivos encontrados nos exames periciais. ......................................... 98 x LISTA DE SIGLAS ABEAT - Associação Brasileira de Especialistas em Alta Tecnologia ABIN - Agência Brasileira de Inteligência ARPA - Advanced Research and Projects Agency CCB - Código Civil Brasileiro CERT.BR - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil CPB - Código Penal Brasileiro CPC - Código de Processo Civil CPP - Código de Processo Penal ECA - Estatuto da Criança e do Adolescente EFE - Agência de Notícias Internacional FGV - Fundação Getúlio Vargas IBGE - Instituto Brasileiro de Geografia e Estatística IC3 - Internet Crime Complaint Center ONU - Organização das Nações Unidas OSCE - Organização de Segurança e Cooperação da Europa PF - Polícia Federal TI - Tecnologia da Informação 1 1. INTRODUÇÃO Com a grande expansão da Internet no mundo cotidiano assim como os demais avanços tecnológicos deu espaço ao aparecimento do que se conhece como os crimes digitais ou cibercrimes1. Hoje a Internet está presente, não só em casas e lan houses, mas também nos mais diversos estabelecimentos privados e/ou públicos, como por exemplo, shoppings, praças e supermercados, tornando-se acessível e indispensável na vida de milhares de pessoas. Tal revolução na acessibilidade se deu graças à tecnologia wireless (Internet sem fio), que permite que qualquer pessoa portadora de um dispositivo adequado acesse e navegue pela web, desde que o acesso à conexão não seja protegido por senha pelo administrador da rede wireless em questão. Essa medida de proteção, no entanto, pode ser facilmente burlada por alguém que detenha conhecimento suficiente na área. Além da tecnologia wireless descrita, a conectividade tem sido facilitada também por dispositivos cada vez mais portáteis com a capacidade de conexão à rede, como notebooks, netbooks e smart phones. Contra todos esses argumentos, contrapõe-se o fato de cerca de 65% da população brasileira ainda não ter acesso à Internet, de acordo com o Instituto Brasileiro de Geografia e Estatística (IBGE, 2008). A contradição pode ser facilmente explicada pela má distribuição de renda da população brasileira que confronta com os preços relativamente altos de tais aparelhos tecnológicos. Os serviços que a Internet proporciona aos seus usuários são incontáveis, alguns deles são a possibilidade de fazer compras, pagar contas, realizar transações e atualizar dados bancários, realizar pesquisas, comunicar-se com pessoas ao redor do mundo, informar-se através de jornais, noticiários e até mesmo blogs pessoais, entre outros diversos serviços e facilidades sem precisar sair do conforto e segurança de sua residência. 1 São crimes cometidos no âmbito virtual. 2 A Internet deveria ser usada apenas para fins legais, mas infelizmente essa não é a realidade. Uma vez conectado se não houver a devida segurança necessária com o computador ou qualquer outro dispositivo que esteja sendo utilizado para acessar a Internet, como cuidados com o sistema de antivírus que deve estar sempre atualizado e/ou o firewall ativo, há sempre o risco de ser vítima de um criminoso digital motivado pela grande facilidade de ferramentas simples de serem manuseadas, pelo grande uso desses serviços, pela inexistência de legislação própria, pela impunidade, por contar com a falta de informação e/ou conhecimento de usuários que fazem uso desse tipo de serviços e que são presas fáceis para esses criminosos,e principalmente pelo lucro - de acordo com a Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT), e a Polícia Federal (PF), os crimes mais rentáveis no Brasil hoje são os digitais e os lucros são maiores até que os obtidos com o narcotráfico (BELCHIOR, 2008) - e pela crença no anonimato, uma vez que existem técnicas criadas para dificultar o trabalho dos peritos digitais na identificação dos infratores, técnicas denominadas de anti- forenses. Em um passado saudado por muitas empresas, um incidente de segurança computacional só poderia acontecer dentro das dependências da mesma. Era a época de redes locais, onde havia soluções fantásticas (MELO, 2009). Porém, com o crescimento da Internet e das redes de computadores, por mais que uma empresa tenha uma estrutura de segurança física muito boa, não poderá ser dito que a mesma estará totalmente protegida contra esses criminosos, pois eles não precisam mais ir até o local do crime para que o mesmo possa ocorrer. Sandro Melo (2009) relata que com o crescimento da Internet os limites geográficos deixaram de ser um problema para esses criminosos digitais, ampliando-os para o tamanho máximo da própria rede, ou seja, qualquer computador ligado à Internet pode tanto ser vítima de um criminoso quanto ser o próprio. Antes do surgimento dos crimes computacionais as evidências e possíveis provas para resolução de um crime eram obtidas através de meios tradicionais como, por exemplo, impressões digitais, relatórios de toxicologia, documentos em papel, análise de rastro entre outros meios. Tais meios ainda são de suma importância para solucionar o quebra-cabeça em muitos crimes cometidos hoje, no entanto, o avanço da tecnologia e o surgimento do cibercrime trouxeram consigo outro tipo de prova, a evidência digital, provida do cibercrime (FREITAS, 2003). 3 Os incidentes cometidos por meio do uso de computadores vêm crescendo de forma muito rápida e os mesmos deixaram de ter como único objetivo a invasão e pichação de uma home page de um web site como acontecia antigamente. Hoje o objetivo maior desse tipo de incidente de segurança computacional é a obtenção de lucros, que podem ser conseguidos através de invasões nas redes das instituições, através de golpes entre outros diversos meios. Para combater tais ameaças surgiu uma nova área de atuação, denominada de computação forense ou forense computacional (MELO, 2009). A forense computacional é uma área ainda nova, porém, já necessita de muitos profissionais capacitados para atuar no combate a esses novos tipos de fraudes e criminosos. 1.1. O problema e sua importância Paulo Quitiliano presidente da Abeat e coordenador-geral da Conferência Internacional de Perícias em Crimes Cibernéticos, relatou que a tendência é que essas ações criminosas aumentem, graças às novas formas de tecnologia e à já comentada falta de legislação própria (BELCHIOR, 2008). De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.BR), o crime digital cresceu de uma forma muito rápida. Os dados do CERT.BR (2010) confirmam que, em 1999, o total de incidentes reportados foi de 3107, um número muito pequeno comparado com o total de incidentes reportados apenas uma década depois, já que no ano de 2009 houve um pouco mais de 358 mil no total de incidentes reportados, isso apenas no Brasil. No ano de 2010 esse número diminui consideravelmente, porém, no primeiro semestre de 2011 a quantidade de incidentes reportados já ultrapassam o ano de 2010 todo . É possível observar esses dados na Figura 1.1. 4 Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano. Fonte: CERT.BR, 2010. É importante frisar que muitos incidentes não chegam ao conhecimento do CERT.BR, pois ainda vigora entre muitas empresas e instituições brasileiras a prática comum de não divulgarem quando sofrem algum tipo de incidente computacional, evitando assim exporem suas vulnerabilidades publicamente. Além disso, outro ponto que também deve ser levado em consideração é o fato de que a maioria das fraudes relacionadas à “Internet banking” não fazem parte dos totais apresentados na estatística divulgada periodicamente pelo CERT.BR, o que somente demonstra a gravidade deste problema em nosso país (ARAUJO, 2010). Ainda segundo o Delegado José Mariano de Araujo Filho (2010), o CERT.BR considera como um incidente de segurança qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores, sendo que podem ser exemplificados como: ● tentativas de ganhar acesso não autorizado a sistemas ou dados; ● ataques de negação de serviço; ● uso ou acesso não autorizado a um sistema; 5 ● modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; ● desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. Diferentemente do que acontece no Brasil, outros países mais desenvolvidos adotam a prática comum de divulgarem os incidentes que acontecem dentro de suas redes internas, além do prejuízo que tais ações criminosas acarretam (ARAUJO, 2010). Pode-se observar na Figura 1.2 o número de incidentes por meio eletrônico na Internet americana no ano de 2009. A Figura 1.2 ilustra com sua respectiva porcentagem apenas as primeiras dez categorias que receberam o maior número de denúncias. Figura 1.2: 10 Categorias que Receberam mais Reclamações. Fonte: Elaborada pelo autor adaptada de Internet Crime Complaint Center (IC3), 2009. Na Figura 1.3, todos os incidentes reportados foram divididos em categorias levando em consideração o prejuízo (em dólar) que cada um causou. Vale lembrar que esses valores são os que foram relatados, tendo em vista que algumas ações e 6 seus respectivos prejuízos não tiveram seus dados divulgados o que torna esse número ainda maior. Figura 1.3: Prejuízo e Porcentagem. Fonte: Internet Crime Complaint Center (IC3), 2009. Como pode ser notado, o crime digital, é um problema que acontece não apenas no Brasil, mas também no Mundo. As autoridades precisam se preparar cada dia mais para lidar com esses cibercriminos2, que estão sempre desenvolvendo novas formas de cometer fraudes – de acordo a Agência Brasileira de Inteligência (ABIN, 2008), Mikko Hypponen, chefe de pesquisa da finlandesa F-Secure, relatou que, ao desenvolver uma nova ameaça, os fraudadores testam todas as ferramentas de segurança até que a ameaça não seja detectada; ele ainda afirma que é uma guerra desleal, pois “o inimigo tem acesso às nossas armas”. De fato essa é uma guerra bastante injusta, uma vez que além desses criminosos terem acesso aos meios de prevenção, as autoridades e outros profissionais que lutam para combater esses crimes precisam estar preparados para lidar com um novo tipo de ameaça, a qual eles ainda sequer detêm conhecimento. Desse modo é quase inevitável que haja as primeiras vítimas para só então as autoridades descobrirem como combater a ameaça. Para se ter uma ideia mais ampla do tamanho do problema que as autoridades especialistas devem enfrentar no combate às ameaças e no alerta aos usuários, o vírus que é somente uma das armas usadas por cibercriminosos, tem o surgimento de 200 novos tipos por mês, ou seja, são quase 7 vírus que surgem todo 2 Cibercriminosos ou criminosos digitais são pessoas que cometem algum tipo de infração no meio digital. 7 dia, conforme informações divulgadas pela Mcafee (2009), empresa especializada na criação de programas antivírus. O crime digital cresce a cada ano de forma exponencial e paralelamente a isso crescem os prejuízos - de acordo com Kilian Strauss da Organização de Segurança e Cooperação da Europa, OSCE, os danoscausados pelo crime digital estão estimados em cerca de US$ 100 bilhões anuais (REUTERS, 2008). As empresas precisam cada vez mais estarem preparadas para evitar serem vítimas desses criminosos, pois o que eles podem conseguir ao invadir uma rede de uma determinada empresa pode ser importante, pois, como já mencionado, a intenção deles não é somente a difamação de uma empresa pela pichação de seu web site como acontecia antigamente, atualmente os objetivos são focados no lucro. 1.2. Objetivos 1.2.1. Objetivo geral Desenvolver um estudo sobre Perícia Forense Computacional baseada no sistema operacional Microsoft Windows. 1.2.2. Objetivos específicos ● Proporcionar uma base teórica para quem tem interesse na área de perícia em computadores. ● Apresentar as questões jurídicas relacionadas aos crimes digitais. ● Descrever algumas técnicas e ferramentas existentes que auxiliam na obtenção de evidências digitais. ● Conhecer como é feita a confecção do laudo pericial para ser usado em juízo. ● Desenvolver um estudo de caso de um crime fictício na busca de evidências digitais. 1.3. Metodologia A intenção do autor com o desenvolvimento deste trabalho é proporcionar uma base teórica para pessoas que tenham interesse no tema proposto, descrever funcionalidades de algumas ferramentas que podem ser utilizadas durante os exames periciais, expor as questões jurídicas relacionadas aos crimes digitais e 8 auxiliar profissionais na confecção do laudo pericial com um modelo de laudo proposto. Inicialmente, foi realizado um estudo teórico para que o autor tenha algum embasamento, alguma autoridade, para falar sobre o tema proposto. Feito isso, foi apresentada uma introdução sobre o tema, onde é descrito a evolução da tecnologia, o surgimento desse novo tipo de crime e sua real necessidade de combate. Adiante, são apresentadas as leis e os projetos de leis relacionados com os cibercrimes. Para isso, foi realizado um estudo minucioso sobre as leis e os futuros projetos de leis que regem os crimes computacionais, citando leis já existentes na legislação brasileira e que podem ser usadas para enquadrar um crime computacional, além de falar de alguns projetos de leis específicos para os crimes digitais. É de suma importância que o profissional responsável pela realização da perícia tenha conhecimentos jurídicos, para que o mesmo realize o exame de forma segura e não seja indiciado por qualquer tipo de crime. Dando sequência ao trabalho, foi feito um levantamento sobre as ferramentas (softwares e hardwares) existentes atualmente e que podem ser utilizadas durante o processo de análise forense. Foram citadas diversas ferramentas, suas funcionalidades e em que tipos de exames cada uma pode ser utilizada. Para finalizar o trabalho, o perito deve elaborar um laudo pericial, escrito de forma clara e concisa, que irá descrever todos os procedimentos, técnicas, métodos e softwares utilizados durante o exame e apresentar os resultados de forma imparcial. Ciente dessa necessidade, foram realizadas pesquisas buscando por modelos de laudos periciais. Durante tais pesquisas, foram encontrados pré- requisitos presentes na legislação brasileira, que devem ser respeitados, para atuar como perito forense computacional e para confeccionar um laudo pericial. Tais pré- requisitos foram citados e adiante foi apresentado um modelo padrão de laudo que pode ser seguido, explicando o que deve ser feito em cada uma das seções presentes nesse modelo de laudo pericial. No final do trabalho monográfico, após estar ciente de quais técnicas e ferramentas utilizar em cada fase do processo de análise forense, conhecer as leis relacionadas aos crimes digitais e ter noção de como elaborar um laudo pericial, foi apresentado um estudo de caso e através dele foi possível apresentar o 9 funcionamento de algumas ferramentas que podem ser utilizadas para auxiliar o perito durante seu trabalho. 1.4. Organização do trabalho Este trabalho está dividido em seis capítulos e o que foi feito em cada um desses capítulos é descrito a seguir: ● Capitulo 1: No primeiro capítulo encontra-se a introdução do trabalho, onde é descrito a evolução da tecnologia, o surgimento desse novo tipo de crime e sua real necessidade de combate. A seguir são apresentados os sub capítulos, que esclarecem a importância do tema e os problemas relacionados, finalizando o primeiro capítulo desse trabalho, pode-se observar os objetivos da pesquisa. ● Capitulo 2: No referencial teórico é abordado o conceito de alguns temas para que haja um melhor entendimento do trabalho, como por exemplo: A Internet, Ciência Forense, Forense Computacional, leis e projetos de leis relacionados a crimes computacionais entre outros. ● Capitulo 3: Em trabalhos relacionados foram descritos os trabalhos que contribuíram para o desenvolvimento e aplicação deste trabalho. ● Capitulo 4: Neste capítulo foi realizado um levantamento de algumas ferramentas (softwares e hardwares) forenses existentes que possam ser usadas durante uma análise pericial. ● Capitulo 5: No quinto capítulo é descrito um modelo de laudo que pode ser seguido, além de citar os pré-requisitos necessários para atuar com perito forense computacional e para confeccionar um laudo pericial. ● Capitulo 6: Neste último capítulo foi apresentado um estudo de caso utilizando ferramentas forenses específicas. 10 2. REFERENCIAL TEÓRICO 2.1. A Internet “A Internet não é de modo algum uma rede, mas sim um vasto conjunto de redes diferentes que utilizam certos protocolos comuns e fornecem determinados serviços comuns. É um sistema pouco usual no sentido de não ter sido planejado nem ser controlado por ninguém” (TANENBAUM, 2003). A Internet teve seu surgimento quase que ao acaso: foi desenvolvida pela empresa ARPA (Advanced Research and Projects Agency) em 1969, em plena Guerra Fria, com o objetivo de manter a comunicação das bases militares dos Estados Unidos. Na ocasião recebeu o nome de ArpaNet. Com o fim da Guerra, a ArpaNet tornou-se tão inútil que os militares já não a viam como ferramenta importante para mantê-la sob sua guarda. Por não considerarem a ArpaNet fundamental, o acesso aos cientistas foi permitido e, mais tarde, foi cedida a rede para as universidades nacionais as quais, sucessivamente, passaram-na para as instituições de ensino superior de outros países, permitindo que pesquisadores domésticos a acessassem, até que, quando se deu conta, mais de 5 milhões de pessoas já estavam conectadas à rede (BOGO, 2000). Com o surgimento do World Wide Web (WWW), esse meio foi enriquecido. O conteúdo da rede ficou mais atraente com a possibilidade de incorporar imagens e sons (BOGO, 2000). Como já foi descrito a Internet proporciona diversos serviços e facilidades, portanto não é difícil compreender porque o número de usuários cresce de forma exorbitante. Segundo o Ibope Nielsen em dezembro de 2009 o número de internautas era de 67,5 milhões, em setembro o número eram de 66,3 milhões, ou seja, em apenas três meses surgiram mais de 1 milhão de novos brasileiros na Internet (ANTONIOLI, 2010). De acordo com o Jornal Estado de São Paulo (2009) a Organização das Nações Unidas (ONU) relatou que o Brasil é o 5° país com o maior número de conexões com a Internet, mas se considerado o tempo médio de 11 navegação, o Brasil é o primeiro no ranking. Pesquisa realizada pelo Ibope Nielsen em julho de 2009 diz que o tempo médio de navegação dos brasileiros é maior que 48 horas, considerando apenas navegação em sites. Se considerada a navegação em aplicativos como Orkut, MSN, Skype, Emule, Torrent e etc, o tempo médio sobe para 71 horas e 30 minutos. Se comparado com os Estados Unidos, que ocupam o segundo lugar no ranking divulgado pelo Ibope Nielsen Online,em relação ao tempo médio de navegação em apenas sites o Brasil está na frente com mais 6 horas já que os Estados Unidos aparecem com um pouco mais de 42 horas de tempo médio de navegação (CARPANEZ, 2009). Para que o acesso a Internet continue crescendo é necessário que a produção de aparelhos que podem acessá-la também cresça de forma gradativa. O computador, o principal desses aparelhos, terá um crescimento de 60 milhões de unidades em uso para 100 milhões até 2012 e 140 milhões até 2014, segundo estimativas do estudo da Fundação Getúlio Vargas (FGV) e divulgadas por Alexandro Cruz (2010). De acordo com a agência de notícias internacional (EFE, 2009), no Mundo, segundo previsões da Dell (2007) o número de usuários de computadores vai dobrar até 2012. Michael Dell (2007), fundador e presidente da Dell Computers, relatou que, a cada dia 500 mil pessoas entram pela primeira vez na Internet. Segundo a agência (REUTERS, 2009) em uma pesquisa realizada em 11 países (Austrália, Brasil, Canadá, China, Espanha, Estados Unidos, Holanda, Hong Kong, Índia, Reino Unido e Taiwan) pelo grupo mundial de marketing Synovate e divulgada no dia 30 de novembro de 2009, onde foram entrevistadas quase 9 mil pessoas de cada país, a Internet superou a TV como mídia favorita. A web foi considerada indispensável por 70% dos entrevistados. Com base nesses dados concluímos que a Internet e os dispositivos que podem acessá-la tendem a crescer de forma muita rápida não apenas no Brasil, mas no Mundo. Nota-se que atualmente a Internet é um meio que se tornou indispensável na vida de milhares de pessoas e a cada dia ganha mais adeptos. Ela revolucionou o meio da comunicação como nunca antes nenhum outro tipo de mídia conseguiu fazer. 12 2.2. Ciência Forense “A aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade” (MANUAL DE PATOLOGIA FORENSE DO COLÉGIO DE PATOLOGISTAS AMERICANOS, 1990). Conforme o advogado Gustavo D‟Andrea (2007), a palavra forense3 tem uma definição bem simples de ser compreendida, Forense significa tudo aquilo relativo ao foro, ou aquilo que é jurídico, ou relativo a cortes ou tribunais. Porém, na língua inglesa a palavra que corresponde ao nosso forense é forensic. Mas é comum o uso da palavra forensics juntamente com science, que seria uma forma de dizer ciência forense4 em inglês. A prática forense é a aplicação de técnicas científicas dentro de um processo legal. Essas práticas envolvem profissionais altamente especializados que possam localizar vestígios. Porém, as evidências obtidas durante a perícia só podem proporcionar provas conclusivas quando testadas em laboratórios. Como os criminosos desenvolvem vias cada vez mais criativas de driblar a lei, entidades especialistas foram obrigadas a descobrir maneiras mais eficientes de levar esses infratores a julgamento. Mesmo que aparentemente eles não deixem pistas, os profissionais forenses descobriram a algum tempo que isto não é verdade. A ciência forense é uma área muito abrangente, envolvendo as áreas de: ● Criminalística; ● Medicina; ● Química (análise de sangue, gota de saliva, fio de cabelo e etc.); ● Matemática; ● Física (balística de projéteis); ● Biologia (análise de DNA); ● Engenharia; ● Informática (busca de evidências digitais); ● entre outras diversas áreas. 3 Adjetivo correlato aos foros judiciais; o que se utiliza no foro ou nos tribunais. 4 Denomina, na maioria das vezes, o uso da ciência e da tecnologia para a reconstituição e obtenção de provas de crimes. 13 Como o foco do projeto é na área de informática, a ênfase será toda em cima da forense computacional ou computação forense. 2.3. Forense Computacional Sandro Melo (2009, pg. 1,2.) chegou a seguinte conclusão para se referir ao termo Forense Computacional. “O termo Forense Computacional refere-se a uma ramificação da Ciência da Computação. Entretanto a mesma terminologia também pode ser vista como um ramo da Criminalística, compondo uma área de conhecimento comum entre a Ciência da Computação e a Criminalística (MELO, 2009, PG. 1,2.).” Figura 2.1: Relação entre Ciência da Computação, Criminalística e Computação Forense. Fonte: Sandro Melo (2009, pg. 2.). No decorrer dos anos, profissionais de Criminalística passaram a se deparar com computadores durante o processo de análise forense. Atualmente o número de crimes cometidos por intermédio deles só tem aumentado e a tendência é que continuem a crescer cada vez mais. Para que se pudessem auxiliar os peritos criminais durante a análise, profissionais com experiência na área de tecnologia eram contratados com o intuito de que eles realizassem uma análise nos computadores apreendidos em busca de evidências que pudessem ajudar a solucionar o caso. A tecnologia avançou de forma rápida e o uso de computadores cresceu trazendo consigo muitas vantagens. Porém, existem pessoas que tiram proveito dessa nova era tecnológica para cometerem crimes no âmbito virtual. Devido ao aumento significativo dos crimes relacionados ao mundo digital surgiu uma nova 14 área de atuação denominada de computação forense. Reynaldo Ng (2007) analisa o surgimento desse novo campo de atuação da seguinte forma: Figura 2.2: Surgimento do Perito em Forense Computacional. Fonte: Reynaldo Ng (2007, pg. 3.). Ou seja, a inserção da tecnologia para cometer crimes fez com que surgisse para dar apoio na investigação e no combate ao crime, seja ele organizado ou não, a Forense Computacional. Como ainda é uma área que está crescendo, faltam muitos profissionais capacitados para atuação. Segundo a visão de (QUEIROZ; VARGAS, 2010. pg. 10,11.) dentre as qualidades desejadas em um perito podem ser citadas as seguintes: ● Ter formação superior em Ciência da Computação ou áreas afins; ● Conhecimento em línguas estrangeiras é de grande valia (inglês e espanhol são as mais importantes, nessa ordem); ● Boa redação é importante, pois o perito precisa documentar tudo que é feito além de produzir laudos periciais; ● Conhecimento das leis que envolvem os crimes digitais; ● Como o perito deve fazer a confecção do laudo pericial o conhecimento sobre os termos da linguagem de Direito e técnicas de redação jurídicas são importantes; ● Mestrados, Doutorados e Especializações dentro da área são valorizados; ● Experiência profissional; ● Ter interesse aos assuntos relacionados à área é indispensável em qualquer profissão. Porém, na área de perito digital é preciso se atualizar constantemente e possuir um amplo domínio tecnológico. A arte e a ciência de coletar e analisar evidências digitais, rastrear invasores e reconstruir ataques está diretamente ligada a forense computacional, uma nova área de atuação que vêm se tornando cada vez mais importante, pois a prática dos crimes cibernéticos vem aumentando de forma muito rápida, dificultando assim a 15 vida de profissionais de TI (Tecnologia da Informação) e órgãos policiais e judiciários (FARMER; VENEMA, 2007). De acordo com a visão de Freitas (2006) a Forense Computacional está ligada a aquisição, prevenção, restauração e análise de evidências computacionais e pode ser vista como um ramo da criminalística. Tais evidências computacionais podem ser tanto os dados que foram processados eletronicamente e armazenados em mídias computacionais ou até mesmo os componentes físicos. 2.4. Aspectos Legais O substancial aumento no número de crimes digitais cometidos obriga as instituições legais a buscarem meios que atuem em seu combate e/ou redução. A falta de lei própria para esse tipo de crime motiva os cibercriminosos a continuarem cometendo tais infrações.Essa falta de legislação contra os crimes digitais pode ser facilmente explicada pelas autoridades competentes, pois há alguns anos tais delitos inexistiam. Porém, tudo com o passar do tempo evolui e a legislação precisa adaptar-se a evolução e surgimento de novos meios de cometer crimes para que os infratores não saiam impunes. Paulo Marco Ferreira Lima (2005, pg. 3.) diz o seguinte: “A tecnologia muda o homem e o direito, não exatamente no mesmo compasso, provocando muitas vezes surpresa e perplexidade aos feitores e mantenedores do direito.” A frase citada pode ser adequada e comparada com o surgimento dos cibercrimes. Com o avanço tecnológico o homem viu uma nova possibilidade de tirar proveito cometendo delitos no âmbito virtual, porém o direito não acompanhou esse avanço no mesmo ritmo. Vladimir Aras (2002) e Paulo Marco Ferreira Lima (2005, pg. 9.) descrevem o seguinte: “Tanto a máquina quanto a rede são criações humanas e, como tais, têm natureza ambivalente, dependente do uso que se faça delas ou da destinação que se lhes dê. Do mesmo modo que aproxima as pessoas e auxilia a disseminação da informação, a Internet permite a prática de delitos à distância no anonimato, com um poder de lesividade muito mais expressivo que a criminalidade dita convencional. Em face dessa 16 perspectiva e diante da difusão da Internet no Brasil, o Estado deve prever positivamente os mecanismos preventivos e repressivos de práticas ilícitas.” Ambas as citações supracitadas reforçam que a legislação precisa ser adequar ao surgimento desses novos meios de delitos cometidos pelos seres humanos, assim como dito anteriormente. Antes de, o perito, iniciar o processo de captura das evidências digitais, é importante que o mesmo atue conforme a lei determina. No momento em que ele for realizar a perícia em um computador, deve-se tomar bastante cuidado, para que não corra o risco de ser indiciado por invasão de privacidade pelo usuário do sistema, exceto em casos em que há uma autorização judicial para que a perícia possa ser realizada em todos os arquivos da máquina e em casos em que o usuário o autoriza realizar a perícia em todos seus arquivos. 2.4.1. Brasil O primeiro artigo do Código Penal Brasileiro (1940) retrata o seguinte: ● “Art. 1º - Não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal.” De acordo com Leandro Martins de Jesus (2007) o 1° artigo do Código Penal contém dois princípios: Princípio da legalidade5 e princípio da anterioridade6. Ou seja, antes da prática de um crime não há uma lei que o descreva como punível, portanto, não há pena que possa ser aplicável. Como já dito, a legislação brasileira é falha no que se diz respeito à punição para os crimes cometidos no âmbito virtual. Devido à falta de leis próprias para tratar os crimes computacionais à legislação brasileira vem sendo alvo de grandes discursões. Porém, há um grande engano por parte daqueles que acreditam que por não existirem leis específicas para os crimes digitais, eles ficarão desta forma impunes. Mesmo não havendo legislação específica para os cibercrimes, alguns dos principais bens atingidos por delitos, que em tese, poderiam ser cometidos por 5 “Pelo princípio da legalidade, alguém só pode ser punido se, anteriormente ao fato por ele praticado, existir uma lei que o considere como crime.” 6 “Pelo princípio da anterioridade, somente poderá ser aplicada ao criminoso pena que esteja prevista anteriormente na lei como aplicável ao autor do crime praticado.” 17 intermédio do computador, já são protegidos por nossa lei penal (LIMA, 2005). No Código Penal Brasileiro (1940) existem diversos crimes que poderiam ser cometidos com uso do computador e, Paulo Marco Ferreira Lima (2005, pg. 53.) menciona os seguintes: ● “Art. 151 - Devassar indevidamente o conteúdo de correspondência fechada, dirigida a outrem. Pena - detenção, de um a seis meses, ou multa.” ● “Art. 152 - Abusar da condição de sócio ou empregado de estabelecimento comercial ou industrial para, no todo ou em parte, desviar, sonegar, subtrair ou suprimir correspondência, ou revelar a estranho seu conteúdo. Pena - detenção, de três meses a dois anos.” ● “Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem. Pena - detenção, de um a seis meses, ou multa.” ● “Art. 154 - Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem. Pena - detenção, de três meses a um ano, ou multa.” ● “Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento. Pena - reclusão, de um a cinco anos, e multa.” ● “Art. 172 - Emitir fatura, duplicata ou nota de venda que não corresponda à mercadoria vendida, em quantidade ou qualidade, ou ao serviço prestado. (Redação dada pela Lei nº 8.137, de 27.12.1990). Pena - detenção, de 2 (dois) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 8.137, de 27.12.1990)” ● “Art. 297 - Falsificar, no todo ou em parte, documento público, ou alterar documento público verdadeiro. Pena - reclusão, de dois a seis anos, e multa.” ● “Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro. Pena - reclusão, de um a cinco anos, e multa.” ● “Art. 299 - Omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da 18 que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante. Pena - reclusão, de um a cinco anos, e multa, se o documento é público, e reclusão de um a três anos, e multa, se o documento é particular.” De acordo com Reynaldo Ng (2007, pg. 122, 123.) no Código Civil Brasileiro (2002) existem artigos que podem ser interpretados no campo da computação forense, citando os seguintes itens: ● “Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.” ● “Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê- lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes.” ● “Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.” ● “Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.” A pedofilia é outro tipo de crime que gera muita polêmica na sociedade em geral. Mesmo havendo todo tipo de campanha para que sua incidência seja diminuída, é um tipo de delito que ainda ocorre muito na web. No Código Penal (1940) e no Estatuto da Criança e do Adolescente (1990) existem artigos que tratam a pedofilia no meio físico e podem se enquadrar na esfera computacional (ANDRADE, 2008). ● “Art. 218 do CPB. Induzir alguém menor de 14 (catorze) anos a satisfazer a lascívia de outrem. (Redação dada pela Lei nº 12.015, de 2009) Pena - reclusão, de 2 (dois) a 5 (cinco) anos. (Redação dada pela Lei nº 12.015, de 2009)” 19 ● “Art. 218-A do CPB. Praticar, na presença de alguém menor de 14 (catorze) anos,ou induzi-lo a presenciar, conjunção carnal ou outro ato libidinoso, a fim de satisfazer lascívia própria ou de outrem. (Incluído pela Lei nº 12.015, de 2009) Pena - reclusão, de 2 (dois) a 4 (quatro) anos.” (Incluído pela Lei nº 12.015, de 2009)” ● “Art. 218-B do CPB. Submeter, induzir ou atrair à prostituição ou outra forma de exploração sexual alguém menor de 18 (dezoito) anos ou que, por enfermidade ou deficiência mental, não tem o necessário discernimento para a prática do ato, facilitá-la, impedir ou dificultar que a abandone. (Incluído pela Lei nº 12.015, de 2009) Pena - reclusão, de 4 (quatro) a 10 (dez) anos. (Incluído pela Lei nº 12.015, de 2009)” ● “Art. 240 do ECA. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente. (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de 2008)” Porém, no ano de 2008, houve uma alteração no artigo 241 do ECA (Estatuto da Criança e do Adolescente) e, a partir daí, tanto a distribuição, compartilhamento, divulgação e posse de arquivos com conteúdo pornográfico infanto-juvenil passaram a serem tipificados como ato ilícito. A seguir pode ser observado o artigo 241 do ECA. ● “Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de 2008)” ● “Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008) Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. (Incluído pela Lei nº 11.829, de 2008)” 20 ● “Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008) Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Incluído pela Lei nº 11.829, de 2008)” Quando o assunto são provas eletrônicas como provas válidas em um processo jurídico, o Brasil, também não conta com normas específicas, no entanto, o Art. 225 do Código Civil e os artigos 231 e 232 do Código de Processo Penal (1941) podem ser interpretados na esfera da forense computacional (NG, 2007). ● “Art. 225. As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.” ● “Art. 231. Salvo os casos expressos em lei, as partes poderão apresentar documentos em qualquer fase do processo.” ● “Art. 232. Consideram-se documentos quaisquer escritos, instrumentos ou papéis, públicos ou particulares. Parágrafo único. À fotografia do documento, devidamente autenticada, se dará o mesmo valor do original.” Apesar de várias leis se adaptarem aos cibercrimes muitos profissionais alertam para criação de leis exclusivas aos crimes de informática, sobretudo, para as evidências digitais apreendidas garantindo assim a autenticidade e integridade da evidência. Um fator que auxiliou a utilização de evidências eletrônicas foi à criação da Medida Provisória 2.200-2. O primeiro artigo dessa Medida Provisória diz o seguinte: ● “Art. 1. Fica instituída a Infraestrutura de Chaves Públicas Brasileira - ICP- Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras (MEDIDA PROVISÓRIA, 2001).” 21 Essa medida provisória reconhece assinaturas digitais por processos criptográficos assimétricos de chave pública ou privada atribuindo autenticidade e integridade a documentos eletrônicos. A ideia é comprovar a identidade de uma pessoa ou site evitando assim fraudes nas transações eletrônicas. Conforme o segundo parágrafo do décimo artigo não é impedida a utilização de outro meio além do ICP-Brasil de comprovação da autoria e integridade de documentos em formato eletrônico. ● “Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória. Parágrafo 2: O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento (MEDIDA PROVISÓRIA, 2001).” A Tabela 2.1, elaborada por Reynaldo Ng (2007, pg. 123, 124.), possui informações importantes sobre ações que podem parecer simples e que sucedem muitas vezes no dia a dia, mas que acabam passando despercebidas na maioria das vezes, podendo, no entanto podem ser enquadradas em artigos do Código Penal. Ação Tipo Artigo C.P. Falar em um chat que alguém cometeu algum crime (ex. ele é um ladrão.) Calúnia Art. 138 do C.P. Encaminhar um e-mail para várias pessoas de um boato eletrônico Difamação Art. 139 do C.P. Enviar um e-mail para a pessoa dizendo sobre características dela (ex. gorda, feia, vaca, etc.) Injúria Art. 140 do C.P. Enviar um e-mail ameaçando uma pessoa Ameaça Art. 147 do C.P. Enviar um e-mail para terceiros com informação considerada confidencial Divulgação de segredo Art. 153 do C.P. Enviar um vírus que destrua equipamento ou conteúdos Dano Art. 163 do C.P. Copiar um conteúdo e não mencionar a fonte Violação ao direito autoral Art. 184 do C.P. Criar uma comunidade on-line que fale sobre pessoas e religiões Escárnio por motivo de religião Art. 208 do C.P. 22 Acessar sites pornográficos Favorecimento da prostituição Art. 228 do C.P. Criar uma comunidade com intuito de ensinar pessoas a cometerem ações ilícitas Apologia de crime ou criminoso Art. 287 do C.P. Enviar e-mail com remetentes falso (caso comum de spam) Falsa Identidade Art. 307 do C.P. Fazer cadastro com nome falso em uma loja virtual Inserção de dados falsos em sistema Art. 313-A do C.P. Entrar na rede da organização ou de concorrente e mudar informações Adulterar dados em sistema de informações Art. 313-B do C.P. Se você recebeu um spam e resolve devolver com um vírus, ou com mais spam Exercício arbitrário das próprias razões Art. 345 do C.P. Participar de cassino on-line Jogo de azar Art. 50 da L.C.P. Falar em um chat que alguém é isso ou aquilo por sua cor Preconceito ou discriminação raça. Cor, etnia Art. 20 da Lei 7.716/89 Ver ou enviar fotos de crianças nuas on-line Pedofilia Art. 247 da Lei 8.069/90 Usar logomarca de organização em um link na página da Internet, em uma comunidade, em um material sem autorização do titular, no todo ou em parte Crime contra a propriedade industrial Art. 195 da Lei 9.279/96 Emprega meio fraudulento, para desviar clientela de outrem, por exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador Crime de concorrência desleal Art. 195 da Lei 9.279/96 Usar cópia de software sem ter licença para tanto Crimes contra software "Pirataria" Art. 12 da Lei 9.609/98 Tabela 2.1: Ações comuns, tipo e artigo C.P. Fonte: ReynaldoNg, 2007. A inexistência de leis próprias para os crimes computacionais acaba gerando uma falta de consenso entre os profissionais de Direito Eletrônico. Como supracitado, há uma divergência de opiniões sobre quais leis já existentes no Código Penal, Código Civil, dentre outros da Legislação Brasileira, possa-se enquadrar um determinado crime cometido por intermédio do computador. Alguns profissionais da área alertam para criação de um código exclusivo para os cibercrimes, já outros são da opinião que é preciso que haja apenas uma reformulação do Código Penal já existente alertando para lacunas na legislação, como a inexistência de leis específicas sobre proteção de dados, enquanto outros são favoráveis na manutenção deste, pois, entendem que a legislação para o mundo físico contempla praticamente todas as questões do mundo virtual, dispensando assim a criação de novas leis (PINHEIRO; CASTILHO, 2010). 23 José Antônio Milagre (2001) relata o seguinte: “Além das lacunas existentes para os crimes informáticos, o Brasil utiliza Código Penal de 1940, ou seja, da „era do rádio‟.” É notória a necessidade de criação de um Código Penal próprio para os cibercrimes ou no mínimo a restruturação no Código Penal em vigor, que já é bastante ultrapassado, para que se consiga ter um maior consenso entre os profissionais e principalmente para que nenhum crime computacional passe impune. 2.4.1.1. Projetos de Leis Devido à necessidade de criação de legislação apropriada para os cibercrimes projetos estão sendo analisados e discutidos no congresso nacional, porém até o presente momento, nenhum projeto que agregue uma modernização na nossa legislação realizando as alterações necessárias foi sancionado. A seguir serão citados dois projetos de leis em tramitação no congresso nacional. 2.4.1.1.1. Projeto de lei Eduardo Azeredo Elaborado pelo Senador Eduardo Azeredo, trata-se do projeto de lei mais importante sobre tramitação no congresso nacional brasileiro. Até o presente momento é o texto legislativo mais completo já produzido abordando crimes envolvendo computadores. De acordo com Eli Teixeira (2006), os crimes tipificados pelo projeto são os seguintes, com reclusão ou detenção que pode ir de um a quatro anos: ● “Dano por difusão de vírus eletrônico ou digital;” ● “Acesso indevido a dispositivo de comunicação;” ● “Obtenção, guarda e fornecimento de informação eletrônica ou digital obtida indevidamente ou não autorizada;” ● “Violação e divulgação não autorizada de informações depositadas em bancos de dados;” ● “Permissão, com negligência ou dolo, do acesso a rede de computadores por usuário não identificado e não autenticado;” ● “Atentado contra a segurança de serviço de utilidade pública;” ● “Interrupção ou perturbação de serviço telegráfico, telefônico ou de rede de computadores;” ● “Difusão maliciosa de código;” 24 ● “Falsificação de cartão de crédito ou débito ou qualquer dispositivo eletrônico ou digital portátil de armazenamento e processamento de informações;” ● “Falsificação de telefone celular ou meio de acesso a sistema eletrônico ou digital;” ● “Furto qualificado com uso de dispositivo de comunicação, sistema informatizado ou rede de computadores;” ● “Não guardar os dados de conexões realizadas em rede de computadores.” O ato de acessar conteúdos (vídeos, músicas e etc) que sejam protegidos por direitos autorais também é tipificado como delito pelo projeto, estabelecendo penas que vão de um a três anos e que podem ser dobrabas caso haja distribuição do material pelo usuário. Eli Teixeira (2006) alerta para outro ponto do projeto, que provedores de Internet devem exigir identificação de todas as pessoas que assinarem contrato para uso da Internet, além de terem que arquivar por três anos todos os acessos e conteúdos dos internautas, incluindo conversas em salas de bate-papo, messenger e etc. Tais medidas tem como objetivo identificar infratores que possam vir a cometer crimes computacionais, pois o provedores serão obrigados a entregar os dados em caso de processo judicial. Contudo o projeto recebeu críticas de universitários, especialistas em informática e direito, professosres, internautas e também pelos provedores de acesso à Internet. Para muitos esse projeto de lei é uma censura a Internet, controlando todos os passos dos usuários. O combate à pedofilia também é lembrado no projeto do Senador, além de produzir e divulgar material contendo pedofilia, também será crime o armazenamento destas imagens em computadores. Porém, o ponto mais polêmico do projeto está mesmo relacionado ao ato de que os provedores tem que armazenar por três anos todos os dados acessados pelos usuários para fins de investigação. Inicialmente os provedores além de armazenar todo o conteúdo eram obrigados a fiscalizar o uso e denunciar crimes para autoridades competentes. Eduardo Azeredo então resolveu ser mais flexisível e mudar as regras, então o texto aprovado prevê que os provedores de acesso a Internet não são mais obrigados a fiscalizar, tendo somente que repassar denúncias recebidas e, não era mais necessário arquivar todos os todos acessados pelos 25 usuários e, sim apenas os dados sobre a origem, hora e data de acesso (BRESCIANI, 2008). O projeto foi aprovado pelo senado federal, mas no presente momento encontra-se na câmara, sob análise da Comissão de Ciência e Tecnologia, o objetivo é realizar ajustes em pontos considerados polêmicos. 2.4.1.1.2. Projeto de lei 89/2003 Este projeto de lei foi confeccionado pelo deputado Luiz Piauhylino e, pode ser o primeiro projeto que trata de forma ampla e sistematizada os crimes cometidos no âmbito virtual por intermédio de computadores a se tornar lei. O projeto tipifica vários crimes que hoje já são cometidos contra sistemas informáticos ou por meio deles, dentre eles: ● Acesso indevido a meio eletrônico; ● Manipulação indevida de informação eletrônica; ● Difusão de vírus eletrônico; ● Pornografia infantil; ● Atentado contra a segurança de serviço de utilidade pública; ● Interrupção ou perturbação de serviço telegráfico ou telefônico; ● Falsificação de cartão de crédito; ● Falsificação de telefone celular ou meio de acesso a sistema eletrônico. Por entender que o projeto necessitava de alguns aperfeiçoamentos o Senador Marcelo Crivella, membro da Comissão de Constituição, Justiça e Cidadania do Senado Federal, apresentou duas novas emendas para esse projeto de lei: Falsidade Informática e Sabotagem Informática. Na primeira ele diz o seguinte: ● “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou, de qualquer forma, interferir no tratamento informático de dados, com o fim de obter, para si ou para outrem, vantagem indevida de qualquer natureza, induzindo a erro os usuários ou destinatários. Pena - detenção, de um a dois anos, e multa (REINALDO FILHO, 2004).” Já na segunda ele relata: 26 ● “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou, de qualquer forma, interferir em sistema informatizado, com o fim de desorientar, embaraçar, dificultar ou obstar o funcionamento de um sistema informatizado ou de comunicação de dados à distância. Pena - detenção, de um a dois anos, e multa (REINALDO FILHO, 2004)." O artigo relativo à falsidade informática tem por objetivo coibir o envio de spams7 e scams8, já o artigo que abrange a sabotagem informática tem como intuito alcançar outras modalidades de cibercrimes, como por exemplo o denial-of-service attack9. A inserção desses dois novos itens ao projeto de lei trouxeram inegáveis avanços em relação aos crimes cometidos através de redes eletrônicas. Entretanto, esse projeto de lei assim como o elaborado pelo Senador Eduardo Azeredo foi alvo de críticas. Hoje existem dezenas de projetos de leis em trâmite no congressonacional com intuito de coibir e/ou combater os crimes cometidos por meio de computadores. Como os projetos são criados por políticos que na sua grande maioria não possuem conhecimento prévio na área e, portanto, acabam criando projetos de leis que geram muitas polêmicas e que ficam anos e anos sob análise a espera de aprovação. 2.5. Obtenção de Evidências Digitais As evidências são o que de mais importante tem-se para a resolução de um crime, independente do gênero desse. A partir dela(s) pode-se chegar à conclusão que se uma determinada suspeita é verdadeira ou falsa, podendo assim incriminar ou absolver o réu em questão. Na informática quando se tem o intuito de resolver um crime não é diferente, as pistas são chamadas de evidências digitais, pois foram extraídas em meios computacionais. A captura das evidências digitais não é trivial, dessa forma, o perito deve seguir determinados princípios, que foram herdados de bases da Ciência Forense em geral, para que o mesmo garanta a integridade das evidências, que futuramente poderá tornar-se uma prova concreta, podendo assim 7 Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas, geralmente com divulgações de propagandas, mas não exclusivamente. 8 O scam é uma modalidade de spam que não pretende divulgar propaganda, mas causar prejuízo a quem o recebe. Tanto poderá propagar um vírus que danifique a instalação, abrir uma porta (backdoor) para possibilitar invasão ou mesmo instalar um keylogger para furtar informações bancárias. 9 O principal objetivo nesse tipo de ataque é impossibilitar a vítima (um sistema informático) de ter acesso a um particular recurso ou serviço. 27 ser utilizada em juízo. Wagner de Paula Rodrigues (2004) relatou que basicamente estes princípios estão fundamentados em métodos que buscam dar credibilidade aos resultados, fornecendo mecanismos para a verificação da integridade das evidências e da corretude dos procedimentos adotados. Alguns desses princípios segundo ele são: ● Réplicas: Ao examinar, periciar uma evidência obtida, o examinador está sujeito a cometer erros que possam acarretar na invalidação de uma evidência. Dessa forma, realizar a duplicação completa (bit a bit) do dispositivo a ser analisado é sempre recomendável para que seja possível, se necessário, repetir os processos sem que ocorra dano à evidência original; ● Garantia de Integridade: Para que uma evidência tenha sua integridade preservada é aconselhável que haja procedimentos previamente determinados que visem garantir a integridade das evidências coletadas. Enquanto no mundo real as evidências são armazenadas em ambientes cuja entrada é restrita, além de serem tiradas fotos e serem realizadas minuciosas descrições das evidências coletadas com o intuito de verificar sua autenticidade posteriormente, no mundo virtual, além de poder contar com esses procedimentos do mundo real, a autenticidade e a integridade de uma evidência também podem serem verificadas através de utilização de algoritmos de hash criptográfico10 como o MD5 e o SHA-1. Além disso, mídias para somente leitura como CD-ROM e DVD-ROM podem ser usadas para armazená-las; ● Ferramentas Confiáveis: Para que o examinador tenha como garantir a confiabilidade dos resultados obtidos é importante que o mesmo faça uso de ferramentas comprovadamente idôneas. No mundo real não é diferente, os experimentos de uma análise laboratorial devem ser conduzidos em ambientes controlados e comprovadamente seguros a fim de que os resultados não possam ser contaminados por alguma influência externa. Do ponto de vista de organização de processos, a fase de obtenção de evidências digitais pode ser dividida em 4 fases: 10 A criptografia hash permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital de tamanho fixo, chamado de valor hash. O valor hash geralmente é formado por 16 bytes (no caso do MD- 5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes. 28 1 – Aquisição ou Coleta e Preservação 2 – Identificação ou Exame 3 – Análise 4 – Apresentação A Figura 2.3 apresenta cada uma das quatro fases citadas acima. Figura 2.3: Fases de um processo de investigação. Fonte: Elaborada pelo autor. 2.5.1. Aquisição ou Coleta e Preservação Esta é a fase onde o processo tem início, é quando o perito chega ao local onde irá realizar a perícia, ela pode ser chamada de aquisição ou coleta (obter as evidências) e preservação (proteger as evidências), pois nela o perito deve ao mesmo tempo extrair e garantir a proteção das evidências. Na visão de Raffael Vargas (2007), um perito forense computacional experiente deve garantir a autenticidade e a integridade de todas as evidências capturadas pelo mesmo, assegurando-se assim que nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos possíveis maus procedimentos usados durante a investigação, e que nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense, garantindo assim a legitimidade de todas as evidências. A preservação de uma evidência é muito importante para que a mesma tenha algum valor jurídico e possa ser utilizada posteriormente em um tribunal com devida segurança, pois, caso o juiz não aceite à evidência, a mesma não poderá mais ser reapresentada futuramente. 29 Na informática, assim como acontece em outros tipos de crimes, todo o material apreendido na cena do crime deverá ser mantido sob cadeia de custódia11. A Figura 2.4 mostra como seria um formulário de cadeia de custódia de uma evidência eletrônica. Figura 2.4: Exemplo de um formulário de cadeia de custódia. Fonte: Diego Tavares, 2007. No formulário apresentado acima, pode ser observado o código hash do dispositivo analisado, que nesse caso é um HD (Hard Disk) de um Notebook cuja capacidade de armazenamento é de 80GB (Giga Bytes). Como já foi dito anteriormente, o código hash serve para verificar se a integridade e a autenticidade da evidência não foram comprometidas, visto que as mesmas precisam estar intactas para que possam ter algum valor no tribunal. 11 Trata-se de um documento onde se encontra todas as informações da evidência apreendida. 30 2.5.2. Identificação ou Exame Nesta segunda fase, o perito vai examinar todas as evidências que o mesmo adquiriu na primeira fase e terá que extrair somente as informações relevantes para a investigação. É considerada uma fase muito trabalhosa e requer muita habilidade do perito. Os cibercriminosos, para dificultar o trabalho dos peritos na busca de evidências relevantes, fazem uso de algumas técnicas específicas. Uma dessas técnicas anti-forenses, é limpar rastros e eliminar possíveis evidências para que sua identificação possa ser dificultada ou inviabilizada. Nessa segunda fase, onde o perito deve analisar as evidências já adquiridas para determinar quais terão alguma relevância, o mesmo deverá estar atento a uma técnica conhecida como esteganografia12. A esteganografia pode ser usada por criminosos digitais, a fim de ocultar mensagens relevantes dentro de outras com nenhuma importância. Para que essas mensagens não passem despercebidas, o perito deve estar muito atento e apto para identificar e recuperar esses dados. Atualmente, existem muitas ferramentas13 de fácil manuseio para que possa ser feito o uso da técnica de esteganografia. O perito deve estar preparado para que não deixe nenhuma informação importante passar despercebida. 2.5.3. Análise Nesta fase, o investigador detém consigo somente os elementos relevantes para o caso, pois
Compartilhar