Baixe o app para aproveitar ainda mais
Prévia do material em texto
Análise Forense Bootcamp Analista de Ataque Cibernético Fabrício Lana Pessoa Análise Forense – Página 2 de 49 Análise Forense Fabrício Lana Pessoa © Copyright do Instituto de Gestão e Tecnologia da Informação. Todos os direitos reservados. Análise Forense – Página 3 de 49 Sumário Capítulo 1. 4 1.1. Perícia e Ciência Forense 4 1.2. Crimes virtuais 6 1.3. Peritos: tipos e funções 10 1.4. Provas, vestígios, indícios e evidências 13 Capítulo 2. 18 2.1. First Responder 19 2.2. Coletando a evidência 20 2.3. Aquisição 21 2.4. Cadeia de custódia 24 Capítulo 3. 26 3.1. Live Analysis 26 3.2. Dump de memória 28 3.3. Aquisição de disco 29 Capítulo 4. 34 4.1. Dump de Memória 34 4.2. Análise forense de imagem de disco 35 4.3. Forense na nuvem 36 4.4. Análise de redes 37 Análise Forense – Página 4 de 49 4.5. Análise de malware 38 Referências......... 40 Análise Forense – Página 5 de 49 Capítulo 1. Criminalística, Perícia e Computação Forense 1.1. Perícia e Ciência Forense O órgão central de criminalística, responsável pela perícia criminal federal no Brasil, é o Instituto Nacional de Criminalística (INC), situado em Brasília. Vinculado à Polícia Federal, ele é responsável por coordenar as atividades de polícia científica da União, por meio de unidades em todas as capitais do Brasil. O INC é o órgão de investigação da Polícia Federal. Figura 1 – INC, referência em criminalística. Fonte: https://www.apcf.org.br/pericia-criminal/pericia-criminal. Em seus Estados, cada unidade da federação conta com sua equipe de polícia técnica ou científica para apoiar e fornecer suporte às investigações das forças policiais estaduais. Um dos grandes contribuidores para a área de criminalística foi Edmond Locard. Podemos dizer até que todo trabalho de perícia decorre da base estabelecida pelo princípio de Locard. Segundo esse princípio, o indivíduo sempre Análise Forense – Página 6 de 49 https://www.apcf.org.br/pericia-criminal/pericia-criminal interage ou deixa marcas no ambiente com o qual se relaciona, conforme detalhado a seguir. Princípio de Locard Em meados do ano de 1910, Edmond Locard, conhecido também como o Sherlock Holmes da França, um dos pioneiros da Ciência Forense moderna, estabeleceu o famoso princípio de Locard, segundo o qual “todo o contato deixa um traço (vestígio)”. De acordo com ele, é impossível que tenha existido uma interação entre dois “corpos”, sem que qualquer evidência tenha sido deixada ou modificada .1 Quaisquer que sejam os passos, quaisquer objetos tocados, o que quer que seja deixado, mesmo que inconscientemente, servirá como uma testemunha silenciosa. Não apenas as suas pegadas ou digitais, mas o seu cabelo, as fibras das suas calças, os vidros que ele porventura parta, a marca da ferramenta, a tinta, o sangue ou sémen que se deixe. Tudo isto, e muito mais, carrega um testemunho [...]. Esta prova não se esquece. É distinta da excitação do momento. Não é ausente como as testemunhas humanas são. Constituem, per se, numa evidência factual. A evidência física não pode estar errada, não pode cometer perjúrio por si própria, não se pode tornar ausente. Cabe aos humanos, procurá-la, estudá-la e compreendê-la, apenas os humanos podem diminuir o seu valor. (LOCARD, 1910) Desde então, com o estrondoso desenvolvimento científico/tecnológico do século XX, várias iniciativas e publicações relevantes foram realizadas, 1 Kirk, Paul (1953). Crime Investigation: Physical Evidence and the Police Laboratory. Análise Forense – Página 7 de 49 https://books.google.com.br/books/about/Crime_investigation.html?id=WYZtAAAAIAAJ&redir_esc=y impulsionando o desenvolvimento das ciências e perícia forense, tal como conhecemos hoje.2 1.2. Crimes virtuais Em geral, por natureza, crimes virtuais são considerados crimes de meio. Isso quer dizer que não se enquadram em uma nova modalidade ou tipo penal limitado ao ambiente virtual. Via de regra, a materialização da conduta é virtual, mas o crime não. Todavia, vemos que os crimes cibernéticos podem ainda ser classificados como puros, comuns ou mistos :34 1. Crimes cibernéticos puros ou próprios: tem como alvo uma rede, sistema ou computador, tendo como objetivo danificar equipamentos ou obter acesso a dados sigilosos. “A informática (segurança dos sistemas, titularidade das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico tutelado” . Exemplo: Ransonware, construído para criptografar5 arquivos do servidor de banco de dados de uma determinada empresa. 5 JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva, 1998. 4 https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos 3³ https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o- problema-na-tipificacao/ 2 Paul Leland Kirk, bioquímica na área forense (1934). “Physical evidence and the police laboratory” Técnicas para análise na cena do crime, incluindo impressões digitais, fibras, cabelos, sangue, armas de fogo etc. Roland Menzel (1970). Identificação de digitais. “Fingerprint Detection With Laser”. Alec Jeffreys (1985). Primeiro teste de DNA publicado na revista “Nature”, revolucionando os métodos de identificação forense. Análise Forense – Página 8 de 49 https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/ https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/ 2. Crimes cibernéticos comuns, impuros ou impróprios: utilizam a internet apenas como meio. Correspondem, portanto, a crimes já tipificados, realizados agora com auxílio do computador. Exemplo: compartilhamento de fotos de pornografia infantil. Ou ainda, calúnia, injúria, difamação, ameaça, furto, extorsão, estelionato etc. 3. Crimes cibernéticos mistos: o uso da internet ou de dispositivos digitais é uma condição indispensável para a efetivação do crime, embora o objeto visado seja outro. Exemplo: fraude de acesso à conta bancária por meio da internet. Muitas vezes, os delitos cometidos na internet não definem, portanto, a prática de novos crimes, mas somente um local ou meio para realização de atos já existentes e cometidos no mundo real, conforme ilustrado e relacionado a seguir :6 ▪ Calúnia: insultar a honra de alguém (artigo 138 CP). ▪ Difamação: espalhar boatos eletrônicos sobre pessoas (difamação artigo 139 CP). ▪ Injúria: insultar pessoas considerando suas características ou utilizar apelidos grosseiros (artigo 140 CP). ▪ Ameaça (artigo 147 CP). ▪ Furto de dados: utilizar dados da conta bancária de outrem para desvio ou saque de dinheiro (furto artigo 155 CP). 6 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual Análise Forense – Página 9 de 49 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual ▪ Preconceito ou discriminação: comentar em chats, e-mails e outros, de forma negativa, sobre raças, religiões e etnias (artigo 20 da Lei n. 7.716 /89). ▪ Pedofilia: enviar ou trocar fotos de crianças nuas (artigo 247 da Lei n. 8.069 /90, o Estatuto da Criança e do Adolescente - ECA). ▪ Furto estelionato, violação do direito autoral, tráfico de drogas ou armas, incitação ao crime, formação de quadrilha. A figura abaixo retrata uma prática criminosa bastante comum no ano de 2019, utilizada para obtenção de depósitos de bitcoins, a partir de extorsão realizada por e-mail. Figura 2 – Exemplo de “Sextorsion” - Crime de extorsão. Fonte: https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash. Apesar de todos os esforços para punir a prática desses crimes, hackers vendem serviços abertamente na internet, ironizando as leis e as punições existentes para os crimes virtuais descritos anteriormente: AnáliseForense – Página 10 de 49 https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash Análise Forense – Página 11 de 49 Figura 3 – Oferta de serviços para crimes virtuais. Análise Forense – Página 12 de 49 Fonte: https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-cr ime-virtual. 1.3. Peritos: tipos e funções Diferentes tipos de peritos podem realizar o procedimento de perícia, de acordo com sua atuação, conforme detalhado a seguir: I. Perito criminal: é um membro da polícia técnica/científica. Ele examina e analisa tecnicamente vestígios de um crime para apoiar a polícia no processo de investigação. O perito criminal é um servidor público, concursado, que atua para auxiliar na solução de diferentes tipos de crime, em diversas áreas de conhecimento. Tendo sido nomeado em concurso e atuando, portanto, em nome do Estado, ele é também chamado de perito oficial ou perito natural. II. Perito judicial: é um apreciador técnico, assessor do juiz. É a pessoa encarregada de esclarecer, por meio de um laudo, uma questão que pode ser apreciada em detalhes por seus conhecimentos técnicos especializados. Ao contrário do perito criminal, ele não é um servidor do Estado e atua,7 portanto, somente de modo pontual e específico, no caso para o qual foi designado. Desse modo, pode-se dizer que o perito judicial é também um tipo de perito Ad Hoc. III. Assistente técnico: é o profissional contratado por uma das partes para auxiliá-la no decorrer de um processo judicial, com a elaboração de um 7 MIRABETE, J. F. Código de processo penal interpretado. 7. ed. São Paulo: Atlas, 2000. Análise Forense – Página 13 de 49 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual laudo técnico especializado. Em causas cíveis e trabalhistas, ele acompanha a realização da perícia com o perito oficial, mas, no processo penal, o assistente técnico atua somente após a sua conclusão. Nesse caso, ele pode fornecer um novo laudo, apresentar novos elementos e argumentos, ou contestar os procedimentos realizados pela perícia oficial.8 Há que se destacar aqui que, em qualquer caso, mesmo quando não houver contestação, com ou sem a participação de um assistente técnico, o Juiz não é obrigado a acatar ou aceitar as conclusões da perícia, sendo livre, soberano e independente para decidir conforme seu próprio convencimento.9 IV. Perito extrajudicial: é o indivíduo contratado, independente de uma ação judicial ou investigação criminal. Diferencia-se do assistente técnico por atuar de modo independente, sem a necessidade da existência de um processo em curso. Atua com a finalidade de realizar uma análise técnica de determinado fato, o qual demanda conhecimentos específicos para esclarecimento. Muitas vezes, o perito extrajudicial pode ser contratado para realização de uma análise, que dê suporte a advogados na abertura de um processo, auxiliando na fundamentação do seu pedido inicial no judiciário, ou na formulação de quesitos a serem apresentados no processo. De outro modo, também pode ser um recurso útil para auxiliar na solução de conflitos sem demandar a Justiça, servindo como apoio técnico para esclarecimentos 9 “O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte” Art 182 CPP. 8 Art. 159 do CPP §3º. Serão facultadas ao Ministério Público, ao assistente de acusação, ao ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de assistente técnico. (Incluído pela Lei no. 11.690, de 2008) §4º. O assistente técnico atuará a partir de sua admissão pelo juiz e após a conclusão dos exames e elaboração do laudo pelos peritos oficiais. Análise Forense – Página 14 de 49 que possam conduzir partes com interesses contrários a um acordo extrajudicial. Em geral, esse é inclusive um procedimento mais rápido e de menor custo que o acionamento do poder judiciário e a respectiva nomeação de um perito para atuar no processo. Vale ressaltar, por fim, que, conforme descrito acima, a respeito da autonomia do Juiz em relação à perícia, este pode utilizar o parecer ou relatório de um perito extrajudicial como fundamentação para sua sentença, mesmo que em contraposição à perícia oficial ou judicial. V. Testemunha técnica: apesar do nome sugerir outro entendimento, a testemunha técnica não pode ser um indivíduo indicado pelos envolvidos em um processo. Ao contrário disso, ainda que apresentada a partir de requerimento das partes, trata-se de um perito nomeado pelo juízo para prestar testemunho em audiência, dispensando apresentação de laudo pericial. Nesse sentido, no momento em que um perito judicial for dispensado da apresentação do seu relatório e prestar testemunho a respeito de suas análises e conclusões, estará realizando o papel de uma testemunha técnica no processo. 10 A figura a seguir ilustra as diferentes formas de atuação do perito, conforme descrito acima. Cabe ressaltar uma exceção ao esquema apresentado abaixo, a qual refere-se à nomeação de dois peritos para atuar de modo Ad Hoc, em processos criminais, na ausência de perito Oficial. 10 “Art. 464. (...) § 2o De ofício ou a requerimento das partes, o juiz poderá, em substituição à perícia, determinar a produção de prova técnica simplificada, quando o ponto controvertido for de menor complexidade.” Análise Forense – Página 15 de 49 Figura 4 – Formas de atuação de um perito. Em qualquer situação, independente do papel ou do momento em que atuar, o perito deverá apresentar sempre dados objetivos e precisos, em todos os casos sob sua responsabilidade. Cabe a ele conduzir seu trabalho pautado sempre pelo Análise Forense – Página 16 de 49 método científico, sem ocultar ou distorcer fatos, mantendo sempre o seu compromisso com a verdade. Esse é o dever e papel ético de um perito. 1.4. Provas, vestígios, indícios e evidências O objetivo principal de uma perícia deve ser, a partir da identificação e da análise de evidências, esclarecer os fatos, a autoria e a dinâmica de um crime, identificando e relacionando elementos que possam servir como prova válida em juízo. Provas Representam o conjunto de meios idôneos, utilizados para afirmar ou negar a existência de um fato . Podem ser do tipo testemunhal, documental ou11 material (corpo de delito, exames, vistorias). Muitas vezes, provas apresentadas a partir da observação de testemunhas ou dos próprios envolvidos apresentam falhas, o que reforça a importância da prova material, baseada em exames técnicos e científicos. Todavia, em diversas circunstâncias, não é possível obter uma comprovação cabal que indique o cometimento de um crime, como por exemplo a localização de um corpo ou logs de computadores. Nesse sentido, dizemos que mesmo não sendo possível a obtenção desse tipo de prova, a perícia ou o conjunto probatório por ela apresentado tem como função “fornecer ao juiz o conhecimento 11 Da prova no processo penal, 7ª. ed., rev., São Paulo, Ed. Saraiva, 2006. Análise Forense – Página 17 de 49 da verdade, a fim de gerar sua convicção quanto à existência ou inexistência dos fatos.”18 O juiz formará sua convicção pela livre apreciação da prova.12 Vestígios/Evidências Vestígios são decorrentes da conduta humana e do princípio de Locard, segundo o qual todo contato deixa um traço ou evidência. Como sempre existirá a troca entre pessoas e ambiente, um criminoso sempre deixa ou leva algo consigo. Os termos vestígios e evidência são frequentemente utilizados como sinônimos. Todavia, evidências representam vestígios que, após analisados, mostram-se relevantes ou relacionados com o fato investigado. Nesse sentido, diz-se que o vestígio abrange, e a evidência restringe. No campo dos crimes virtuais podemos, por exemplo, detectar vestígios de uma invasão a partir da assinatura de um ataque. Ela é encontrada em padrõesde conexão, tráfego e logs ou reconhecidas por mecanismos de detecção de intrusão. Como exploram, em sua maioria, vulnerabilidades conhecidas, boa parte também deixa um rastro ou registros dos procedimentos utilizados para explorar estas vulnerabilidades. É dessa maneira inclusive que mecanismos de antivírus ou de detecção de intrusão (IDS) alertam ou bloqueiam ferramentas maliciosas ou tentativas de invasão a uma rede. Nesse ponto, vale dizer, então, que malwares ou exploits “também podem ser pegos em função do seu comportamento”, já que, em13 algumas vezes, seguem procedimentos ou padrões conhecidos e comuns. O famoso ransoware wannacry, por exemplo, segue uma sequência de etapas no seu funcionamento, que inclui acesso a sites e alterações de chave no registro, 13 Exploits: ferramentas maliciosas que exploram uma vulnerabilidade da rede ou sistemas para realizar uma invasão ou ataque de rede. 12 Art 155. CPP. Análise Forense – Página 18 de 49 mecanismos de persistência e conexões de rede e específicos, conforme ilustrado na figura a seguir. Nela podemos observar o acesso a URL específica, com tentativas de conexão no compartilhamento IPC$, via protocolo SMB, a criação de serviços e alguns registros do Windows tipicamente, modificados pelo malware.14 Figura 5 – Assinaturas do WannaCry. 14 Detalhamento completo do funcionamento do WannaCry, incluindo toda a engenharia reversa do seu código podem ser obtidos em artigo o Sans Institute. Disponível em: https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-ex ploit-snort-rules_5549. Análise Forense – Página 19 de 49 https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549 https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549 Mesmo outros crimes tecnologicamente mais simples deixam vestígios materiais no computador, telefone ou outro dispositivo digital, que podem ser resgatados a partir da perícia. Exemplo: Logs de acesso a páginas na internet, e-mails, pesquisas no Google, localização e posicionamento, transações bancárias etc. Indícios Indícios são decorrentes de fatos, sinais, marcas ou vestígios, conhecidos e provados, que por sua relação necessária com outro fato provam ou levam a Análise Forense – Página 20 de 49 presumir a sua existência . São circunstâncias conhecidas e provadas que, tendo15 relação com um fato, permitem concluir a seu respeito.16 Espera-se, portanto, que a perícia possa demonstrar possíveis relações entre vestígios ou evidências de um crime, e desse ponto possibilite a compreensão da sua dinâmica e execução. Ainda que não se permita fornecer prova cabal do seu cometimento, que ela forneça indícios suficientes que possam levar a comprovação da sua autoria Exame de Corpo de Delito Ao contrário do que popularmente se pensa sobre o termo, exame de Corpo de Delito não se refere a autópsia ou análise física de um cadáver. Ainda que esse exame possa fazer parte do conceito, Corpo de Delito compreende o conjunto de elementos ou evidências materiais (aquilo que se pode ver, tocar, medir etc.), que, a partir de exame pericial, servirão como suporte para estabelecer materialidade e autoria de um crime. Refere-se ao exame pericial, realizado sobre vestígios materiais. Nos casos em que houver vestígios, a ausência do exame de corpo de delito pode até causar a nulidade do processo . Além disso, deve-se cuidar para17 que exames realizados no local do crime não alterem o “estado das coisas” até a chegada do perito . Esse é o motivo pelo qual inclusive não se deve, por exemplo,18 instalar programas em um computador para sua análise forense, preservando, 18 Art 160 - CPP. 17 Art 564 - CPP. 16 Art.239 CPP. 15 RABELLO, Eraldo. Curso de Criminalística. Porto Alegre: Sagra / Luzzatto, 1996. ISBN 8524104910. Análise Forense – Página 21 de 49 assim, o máximo possível, o seu estado original, conforme demonstraremos nas seções seguintes. Análise Forense – Página 22 de 49 Capítulo 2. Tratamento de Evidências Nesse momento, é importante apresentar a norma ISO 27037. Ela traz diretrizes para identificação, coleta, aquisição e preservação de evidência digital e outras definições importantes, como a distinção entre o processo de coleta e aquisição, conforme demonstrado a seguir: ▪ Coleta: processo de recolhimento dos objetos e ou itens que possam conter potencial evidência digital. ▪ Aquisição: processo de criação de cópia de dados. Imagem ou espelhamento do conteúdo de dispositivos de armazenamento. Utilizada para gerar uma cópia digital da evidência, garantindo a preservação do dispositivo em análise no seu estado original .19 ▪ Dispositivo digital: qualquer mídia ou equipamento eletrônico/telemático utilizado para armazenar ou processar dados digitais ▪ Dados voláteis: dados que são especialmente propensos a alteração e que podem ser facilmente modificados Um dos principais tópicos abordados pela norma, refere-se aos procedimentos a serem tomados no primeiro contato com uma evidência. Esse é o trabalho do First Responder, conforme detalhado a seguir. 19 Estritamente falando, conforme demonstrado acima, coleta e aquisição são termos distintos que se referem a obtenção da evidência por meio físico ou digital. No decorrer deste texto, algumas vezes você vai encontrar estes termos utilizados, coloquialmente, como sinônimos, referindo-se indistintamente a extração dos dados ou remoção de um dispositivo. Análise Forense – Página 23 de 49 2.1. First Responder Tal qual o próprio nome sugere, First Responder é a primeira pessoa a chegar à cena do crime ou local de uma emergência. Também conhecido pela sigla em inglês DEFR (Digital Evidence First Responder), ele é o responsável por identificar, isolar e proteger este ambiente, para garantir a preservação de evidências, que muitas vezes podem ser frágeis ou temporárias. O DEFR é a pessoa que realiza os primeiros procedimentos a serem executados no tratamento de um incidente. É o responsável pela coleta, aquisição e manuseio das evidências. Ele pode ser um policial/investigador, um perito ou mesmo um administrador de uma rede. Os principais papéis do First Responder são: ▪ Isolar, identificar e proteger ativos, um local ou ambiente; ▪ Fotografar ou filmar equipamentos e a “cena do crime”; ▪ Preservar as evidências, especialmente as mais frágeis ou voláteis; ▪ Coletar e documentar informações iniciais sobre o incidente; ▪ Garantir a correta coleta e transporte de evidências. Sua atuação é muito importante para não comprometer os trabalhos da perícia, já que tal qual o próprio criminoso, ao interagir com o ambiente pode involuntariamente gerar ou alterar vestígios e modificar aspectos importantes das evidências, invalidando até mesmo a prova pericial. Análise Forense – Página 24 de 49 Em contato com as evidências, muitas vezes o First Responder pode cometer erros pequenos, que geram, porém, grande impacto na perícia, por exemplo: ▪ Desligar ou reiniciar o computador/dispositivo da vítima; ▪ Manusear incorretamente ou utilizar programas nos dispositivos sob análise; ▪ Não documentar suas ações ou o processo de coleta de dados. Em sua análise inicial, o perito deve, portanto, atentar-se para esses cuidados, documentando todos os seus procedimentos para evitar a modificação ou a destruição de evidências. A relação abaixo apresenta os passos que o perito deve seguir em seu “contato” inicial com a evidência: ▪ Remover cabo de rede ou colocar dispositivos móveis em modo avião, para garantir que nenhum procedimento de wipe ou exclusão de dados possa ser acionado remotamente; ▪ Analisar se há algum processo suspeito em execução que possa estar realizando a criptografia ou exclusão dos dados; ▪ Realizar um dump ou coleta dos dados armazenados em memória RAM; ▪ Analisar logs, estado de conexões de rede, programas e processosem execução; ▪ Se não for possível a coleta (remoção do dispositivo), realizar a aquisição dos dados através de imagem bit a bit com geração do seu respectivo hash; ▪ Jamais instalar programas no dispositivo, ou mesmo executar/abrir arquivos diretamente no equipamento; Análise Forense – Página 25 de 49 ▪ Executar programas somente a partir do seu “flash drive forense”; ▪ Utilizar preferencialmente um checklist para orientar suas ações sempre, detalhando e documentando todos os passos e procedimentos realizados. 2.2. Coletando a evidência Conforme apresentado anteriormente, o processo de coleta compreende a obtenção de objetos que possam conter potencial evidência digital. Trata-se efetivamente do recolhimento dos itens físicos, que serão posteriormente submetidos à análise em laboratório. Caberá ao First Responder avaliar e decidir o melhor procedimento, considerando sua capacitação para remover o dispositivo, além de outras variáveis como custo, tempo e preservação da evidência, ou optar pelo processo de aquisição dos dados. Além da coleta dos dispositivos digitais, deverão ser recolhidos do local outros objetos, observando-se sempre os cuidados necessários para preservação das evidências. Toda abordagem deve ser documentada. Caso o dispositivo seja encontrado ligado, independente da realização da coleta, sempre que possível recomenda-se a realização do procedimento de aquisição dos dados, sobretudo, para preservação das informações voláteis, conforme detalhado a seguir. 2.3. Aquisição Segundo a ISO 27037, o processo de aquisição envolve a geração de uma cópia digital da evidência, com a respectiva documentação dos métodos e dos Análise Forense – Página 26 de 49 procedimentos realizados neste processo. Esses procedimentos devem ser reproduzíveis por outro perito e gerar a menor alteração possível na evidência. O procedimento de aquisição deve produzir uma cópia digital da evidência, certificada através do uso de funções de verificação, de modo tal que produza um mesmo hash que a evidência original. Em situações em que esse processo de verificação não puder ser realizado, o First Responder deverá documentar o método utilizado, justificar o fato e eventuais procedimentos escolhidos. Em algumas situações, pode não ser possível a criação de uma cópia digital da evidência, em função do volume de dados nela contido. Nesse caso, o DEFR deverá realizar uma “aquisição lógica” dos dados, tendo como objetivo o registro e a preservação de dados específicos de determinadas partes de um disco ou diretório, por exemplo. Em qualquer caso, não sendo possível o vínculo do hash entre a evidência e a sua cópia digital, todo o procedimento e os motivos deverão ser documentados e justificados. Live Aquisition: desligar ou não desligar Diante da prática inicial de uma coleta ou aquisição, é frequente o questionamento sobre manter ou não um dispositivo ligado. Isso porque desligá-lo pode significar a perda de dados voláteis ou até mesmo impossibilitar um acesso posterior, já que em uma nova inicialização, o dispositivo pode ser protegido por senha ou criptografia. Por outro lado, não desligar o equipamento pode implicar em permitir a exclusão ou modificação de algum dado, por meio de procedimento remoto ou programa/script local em andamento. Encontrando o sistema ligado e com acesso ao sistema operacional, é importante o perito coletar, por exemplo: Análise Forense – Página 27 de 49 ▪ Data e hora do sistema; ▪ Conexões de rede; ▪ Portas abertas; ▪ Usuários logados; ▪ Processos, serviços ou aplicativos em execução; ▪ Tarefas agendadas; ▪ Arquivos abertos; ▪ Cookies e histórico de navegação; ▪ Cache e outras informações do browser; ▪ Favoritos; ▪ Logs em geral; ▪ Wipe da memória RAM. A simples, mas muitas vezes negligenciada, inspeção, por exemplo, do histórico de comandos e conteúdo armazenado na área de transferência pode revelar detalhes importantes sobre o recente uso do dispositivo, incluindo eventuais tentativas de ocultar provas. Mesmo suspeitando-se de algum procedimento de wipe em execução, que não possa ser interrompido por outro meio, não se deve desligar o computador através dos procedimentos habituais. Isso porque o desligamento a partir de procedimentos comandados pelo sistema operacional, ocasiona a limpeza e remoção dos dados armazenados na área de swap do disco. O swap é uma área de Análise Forense – Página 28 de 49 memória disponível nos discos rígidos, utilizada como um recurso adicional do sistema para armazenar temporariamente conteúdos que estariam guardados na RAM, mas que foram movidos para o HD em função da necessidade de espaço. Comportando-se como uma extensão da RAM no disco, esta área pode conter importantes informações sobre o estado atual da máquina, que se perdem com o desligamento tradicional. Nesses casos, portanto, a recomendação é remover o cabo de força, o que ocasionaria a manutenção dos dados de swap no disco para posterior análise. Vale lembrar que o procedimento de remoção do cabo pode causar outros problemas, devendo, portanto, ser utilizado somente em situações extremas, quando, por exemplo, o perito suspeitar de criptografia, wipe ou exclusão de dados em andamento. 2.4. Cadeia de custódia Segundo a ISO 27037, a cadeia de custódia compreende o registro documental de toda a cronologia de movimentação de um vestígio. Esse documento deve ser criado no momento seguinte à coleta ou aquisição da evidência e deverá conter todo o seu histórico de localização e manuseio, desde o momento em que foi obtido até o seu estado atual. Ele detalha os responsáveis pela sua guarda ou retirada, mantendo o registro completo de sua movimentação desde a coleta. “O propósito de manter o registro de cadeia de custódia é manter a identificação do acesso e movimento da potencial evidência digital a qualquer tempo” .20 20 ISO 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence, página 11, tradução livre. Análise Forense – Página 29 de 49 Segundo a ISO 27097, o registro da cadeia de custódia deverá conter as seguintes informações: ▪ Identificador único da evidência; ▪ Quem acessou a evidência e o tempo e local em que ocorreu; ▪ Quem checou a evidência interna e externamente nas instalações de preservação da evidência e quando isto ocorreu; ▪ Motivo de a evidência ter sido verificada (qual caso e propósito) e a autoridade relevante, se aplicável; ▪ Quaisquer alterações inevitáveis da potencial evidência digital, assim como o nome do indivíduo responsável para tanto e a justificativa para a introdução da alteração; Figura 6 – Formulário de cadeia de custódia. Análise Forense – Página 30 de 49 Fonte: http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.ht ml. Análise Forense – Página 31 de 49 http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html Capítulo 3. Adquirindo e Coletando dados 3.1. Live Analysis A Live Analysis ou análise ao vivo acontece no momento do contato inicial com a evidência. Tem como objetivo obter sua “fotografia” e compreensão da tal qual o estado em que foi encontrada. Na Live Analysis, as evidências são obtidas com o sistema em execução. Nesse tipo de trabalho, o perito poderá obter importantes informações sobre o dispositivo em análise através dos seguintes recursos: ▪ Análise de logs, processos e informações obtidas a partir do Sistema Operacional; ▪ Dump de memória; ▪ Dados do disco, obtidos por meio de uma aquisição lógica. Conforme mencionado acima, para evitar o cometimento de erros, recomenda-se que o perito observe uma cronologia de passos nas suas atividades. A construção dessa rotina pode ser feita individualmente, mas recomenda-se, no mínimo, observar as seguintes práticas: Documentar data e hora: ao iniciar sua atividade, o peritodeverá documentar a data e hora local, bem como gravar um registro com a hora do sistema. Utilizar um flash drive forense: no momento em que iniciar a análise de um dispositivo, o perito deverá utilizar sempre programas que modifiquem o mínimo Análise Forense – Página 32 de 49 possível o estado da memória. Além disso, em hipótese alguma deverá instalar ou executar programas diretamente no objeto que será periciado. Realizar um dump da memória: durante a sua execução, os programas carregam muitos dados importantes na memória RAM. Coletar esses dados para posterior análise pode representar uma parte vital da perícia. Utilize uma mídia completamente limpa: para gravar os dados coletados, recomenda-se utilizar uma mídia completamente limpa. Isso é, um dispositivo que tenha tido todos os dados excluídos, com a sobrescrita de zeros no seu conteúdo. Registre o hash: somente o registro do hash dos programas utilizados, dos arquivos e conteúdos extraídos, scripts e dump de memória, pode garantir a inquestionável correspondência entre os dados periciados e aqueles contidos no dispositivo em análise. No procedimento de “live aquisition”, popularmente chamado de aquisição “a quente” ou “online”, deve-se priorizar a coleta das evidências, segundo a sua volatilidade, conforme recomendações da RFC 3227. ▪ CPU, cache de memória e registros; ▪ Tabelas de roteamento; ▪ Cache ARP; ▪ Estado do processo e processos em execução; ▪ Módulos e estatísticas do kernel; ▪ Memória principal (RAM); Análise Forense – Página 33 de 49 ▪ Arquivos de sistema temporários; ▪ Arquivos de swap; ▪ Configuração e conexões de rede; ▪ Configurações do sistema; ▪ Histórico de comandos; ▪ Arquivos abertos, dados da área de transferência e usuários conectados; ▪ O sistema de arquivos. 3.2. Dump de memória Dados contidos na RAM são considerados voláteis, já que são perdidos quando a máquina/dispositivo é desligada. Por sua natureza dinâmica e temporária, também são apagados ou sobrescritos de acordo com o próprio uso do sistema, motivo pelo qual até mesmo o programa utilizado para coletar o conteúdo da RAM deve ser o mais leve e menos intrusivo possível, para não modificar de modo relevante o conteúdo já existente em memória. Essas alterações devem ser bem documentadas para evitar a destruição de suas evidências legais. A aquisição ao vivo geralmente faz as seguintes modificações em qualquer máquina Windows: ▪ Alterações no registro; ▪ Entradas de memória; ▪ Gravação pequena de dados em uma unidade de disco. Análise Forense – Página 34 de 49 No Windows, uma ferramenta fácil de usar e pouco intrusiva é o Dumpit. Ela é uma fusão de duas ferramentas confiáveis, win32dd e win64dd, combinadas em um único executável, que pode ser executado a partir de um pendrive. Outra ferramenta bastante utilizada é o FTK Imager. Todavia, mesmo em sua opção “portable”, por ser uma ferramenta gráfica, acabará modificando um pouco mais o estado da memória, quando executada. Em sistemas Linux mais antigos, o comando dd pode ser usado para ler o conteúdo da memória física no arquivo do dispositivo /dev/mem. Entretanto, em sistemas Linux recentes (kernel 2.6 em diante), o /dev/mem fornece acesso apenas a um intervalo restrito de endereços em vez da memória física completa do sistema. Para tal, é necessário utilizar o fmem, um módulo do kernel que cria o dispositivo /dev/fmem, semelhante ao /dev/mem, mas sem limitações 3.3. Aquisição de disco Antes de prosseguirmos, é importante destacarmos dois procedimentos distintos para tratamento/obtenção de dados não voláteis: “Live Aquisition” e “Dead Aquisition”. Na primeira situação, o perito coleta os dados a partir do computador ligado, tal qual ele foi oportunamente encontrado no momento da apreensão ou do trabalho do First Responder. Na “dead/offline aquisition”, o dispositivo é desligado, removido e coletado para análise em laboratório. A escolha entre um método ou outro deve ser baseada na análise do perito. Um dos principais parâmetros a ser considerado neste caso é a presença ou não de criptografia, volume dos dados e criticidade dos sistemas. Análise Forense – Página 35 de 49 http://www.forensicswiki.org/wiki/Physical_memory Atualmente, existe uma grande variedade de ferramentas, inclusive de uso livre, para aquisição de dados: ▪ Imager FTK; ▪ Encase Forensics; ▪ X-Ways Forensics; ▪ ProDiscover; ▪ Guymager; ▪ SMART Linux; ▪ Macquisição. Na escolha da ferramenta, a recomendação é utilizar aquela que menos modifica dados na memória. Atualmente, as duas principais ferramentas para geração de imagens de disco são o EnCase Enterprise, da Guidance Software, ou o FTK Imager, do AccessData . Apresentamos a seguir uma breve descrição do FTK21 Imager. FTK IMAGER: O FTK Imager é uma ferramenta desenvolvida pela AccessData (www.accessdata.com), que permite a criação e posterior visualização de uma imagem forense dos dados. Usando o FTK, você pode visualizar imagens forenses de discos rígidos, disquetes, CDs, DVDs e outras mídias de armazenamento criadas com o próprio FTK Imager, ou pode visualizar imagens criadas com outras ferramentas em diferentes formatos. Isso significa que, mesmo que outra 21 https://www.sciencedirect.com/topics/computer-science/forensic-acquisition. Análise Forense – Página 36 de 49 http://www.accessdata.com http://www.guidancesoftware.com http://www.x-ways.net https://www.techpathways.com/ http://guymager.sourceforge.net/ http://www.asrdata.com http://www.blackbagtech.com https://accessdata.com/ https://www.sciencedirect.com/topics/computer-science/forensic-acquisition organização ou pessoa com software diferente tenha criado uma imagem forense, você ainda poderá visualizar o arquivo de imagem e determinar se ele contém alguma evidência. Com o FTK Imager você poderá escolher entre a geração de uma imagem física ou lógica do dispositivo. No primeiro caso, o programa vai gerar uma cópia completa, bit a bit de todos os clusters ou conteúdo do HD. Imagens lógicas, por sua vez, são geradas a partir de partes específicas do disco, selecionadas pelo usuário no momento da sua geração, e que são, portanto, reconhecidas pelo sistema de arquivo em uso, por exemplo, uma unidade lógica a:\, b:\ ou c:\. O FTK Imager possibilita os seguintes tipos de imagem, conforme relacionado abaixo e ilustrado a seguir: ▪ Unidade física: permite escolher uma unidade física como fonte, com todas as partições e espaço não alocado. ▪ Unidade lógica: permite escolher uma unidade lógica como fonte, por exemplo, E: \ drive. ▪ Arquivo de imagem: permite escolher um arquivo de imagem como fonte, por exemplo, se você precisar converter sua imagem forense de um formato para outro. ▪ Conteúdo de uma pasta: permite escolher uma pasta como fonte. Obviamente nenhum arquivo excluído será incluído. ▪ Dispositivo Fernico: permite restaurar imagens de vários CD / DVDs. Análise Forense – Página 37 de 49 Figura 7 – Tipos de imagem. Análise Forense – Página 38 de 49 Dead/Offline Aquisition: Conforme discutido anteriormente, em muitas situações pode não ser possível ou recomendado realizar uma “live Aquisition”. Nesses casos, o perito deverá coletar a mídia/dispositivo e realizar a aquisição dos dados para geração da imagem em laboratório. Esse procedimento geralmente é feito conectando-se o dispositivo que será analisado a uma estação forense. Esse equipamento pode ter diferentes configurações e sistemas operacionais, sendo que alguns fabricantes comercializam appliances especificamente construídos para essa finalidade. São os chamados Análise Forense – Página 39 de 49 FREDs (Forensic Recovery of Evidence Device). Trata-se de hardwares com softwares e recursos especiais para facilitar o trabalho de duplicação e extração de discos, telefones etc. Esses equipamentos possuem hardwares de última geração e uma série de interfaces para captura de discos SATA, IDE, SSD etc. Vale lembrar sempre a importância dese utilizar entre a estação forense e a evidência objeto da extração dos dados, um dispositivo bloqueador de escrita. Com esse procedimento, garante-se a preservação da evidência em seu estado original, evitando possíveis acessos de escrita aos dispositivos feitos pelo Sistema Operacional, sem o conhecimento ou consentimento do usuário. A figura a seguir ilustra alguns dispositivos duplicadores de mídia. Figura 8 – FRED. Análise Forense – Página 40 de 49 Fonte: http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/. https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en. Análise Forense – Página 41 de 49 http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/ https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en%20// Capítulo 4. Análise Forense Nessa unidade, apresentamos as ferramentas utilizadas na disciplina . Nas22 próximas seções, você conhecerá alguns exemplos de softwares utilizados para geração da imagem forense, dump de memória, análise de redes, forense de disco etc. Vale lembrar que, por questões didáticas, detalhes de funcionamento, operação, comandos e uso das ferramentas são apresentados nos vídeos da disciplina. 4.1. Dump de Memória Para realização do dump de memória RAM, apresentamos dois aplicativos: Ftk Imager Lite e o Dumpit. FTK Imager Lite: O FTK Imager é um produto da accessdata, presente na suíte FTK. Segundo o próprio fabricante, seu Foresic ToolKit permite aumentar a velocidade das análises. “Poderoso e comprovado, o FTK processa e indexa dados antecipadamente para uma pesquisa mais rápida. Diferentemente de outras soluções, o FTK usa um banco de dados de casos compartilhados, reduzindo o custo e a complexidade de vários conjuntos de dados.” O FTK Imager é especificamente a aplicação que faz a geração da imagem de disco também, sendo utilizado para dump de memória. A versão Lite refere-se a 22 As descrições das ferramentas são baseadas nas apresentações e comentários da internet, de seus próprios fabricantes oficiais, acrescidas de observações práticas complementares, realizadas pelo autor da disciplina. Análise Forense – Página 42 de 49 sua apresentação portable, portanto executável a partir de mídia externa. Há de se destacar, porém, que se tratando de uma aplicação gráfica, para a atividade de dump de memória, a sugestão é avaliar o uso de ferramentas o mais leves quanto possível, como por exemplo o DUMPIT. https://accessdata.com/. Dumpit: “Este utilitário é usado para gerar um despejo de memória física de máquinas Windows. Ele funciona com máquinas x86 (32 bits) e x64 (64 bits). O despejo de memória bruta é gerado no diretório atual, apenas uma pergunta de confirmação é solicitada antes de iniciar. Perfeito para flash drives forense, para obter respostas rápidas a incidentes.” Volatility: Para análise dos dumps coletados, utilizamos nesta disciplina o Volatility. Volatility é um framework forense para análise de memória, de código aberto para resposta a incidentes e análise de malware. Está escrito em Python e suporta Microsoft Windows, Mac OS X e Linux. O Volatility é mantido pela Volatility Foundation, uma organização sem fins lucrativos, independente, que mantém e promove a análise forense de memória de código aberto. https://www.volatilityfoundation.org/. Diversos exemplos de casos e materiais para análise de memória podem ser encontrados em: https://github.com/volatilityfoundation/volatility/wiki. 4.2. Análise forense de imagem de disco Análise Forense – Página 43 de 49 https://accessdata.com/ https://www.volatilityfoundation.org/ https://github.com/volatilityfoundation/volatility/wiki Para análise da imagem de disco, utilizamos na disciplina o Authopsy. Trata-se de uma ferramenta gráfica, extensível, que suporta a adição de diversos plugins específicos para análises do histórico de navegação, arquivos recentes, chaves de registro, contatos de telefone, e-mail, WhatsApp etc. Por permitir o uso centralizado, os peritos podem trabalhar simultaneamente, “tagueando” arquivos/evidências e compartilhando observações sobre os casos. Segundo o fabricante, o Autopsy® é a principal plataforma forense digital de código aberto de ponta a ponta. Criada pela Basis Technology, com os principais recursos que você espera em ferramentas forenses comerciais, a Autopsy é uma solução rápida, completa e eficiente de investigação em disco rígido, que evolui de acordo com suas necessidades. 4.3. Forense na nuvem Para forense de dados armazenados na nuvem, três abordagens principais são possíveis: ▪ Obtenção dos dados a partir de requisição judicial ao provedor do serviço; ▪ Verificação dos itens de sincronismo com a nuvem nas estações de trabalho; ▪ Acesso às plataformas com suporte de senhas e ferramentas. A análise a partir da requisição realizada ao provedor do serviço, quase sempre é a mais complexa e demorada. Isso porque além de todos os trâmites legais necessários à sua realização, muitas vezes, os provedores não têm mais os dados requisitados ou até mesmo se negam a fornecê-los. É verdade que tratados Análise Forense – Página 44 de 49 internacionais forneceram acordos para o fornecimento dos dados, na mesma medida que o marco civil da internet previu o tempo mínimo em que os dados e logs devem ser armazenados pelos provedores. Todavia, em muitos casos, pelos motivos expostos, o que se vê, sobretudo, em plataformas globais ou internacionais, é que o fornecimento desses dados pelos próprios provedores, embora viável e possível, não é uma solução trivial. A obtenção dos dados contidos na nuvem a partir das pastas de sincronização do usuário, muito provavelmente, é o método mais fácil para obtenção dos dados armazenados nestes serviços. Todavia, embora representem um espelho do conteúdo, dependem da manutenção de um sincronismo e não representam efetivamente uma forense na nuvem, uma vez que o conteúdo obtido tem origem no próprio dispositivo do suspeito. Por fim, a análise forense em nuvem pode ser obtida através do suporte de ferramentas, que acessam os serviços e organizam os dados em uma apresentação amigável ao perito. Nesse caso, a maioria dos softwares necessita da senha de logon nos serviços para realizar este trabalho. Essa foi a abordagem utilizada nesta disciplina. Para obtenção da senha, recorreu-se a uma análise hexadecimal ao dump de memória. Tendo-se obtido login e password dos serviços do Google, a ferramenta Elcomsoft Cloud Explorer foi utilizada para gerar um “takeout archive” dos dados do usuário contidos no Google. 4.4. Análise de redes A principal ferramenta utilizada para captura de tráfego de rede, atualmente, é o Wireshark. O Wireshark é o analisador de protocolo de rede mais utilizado e amplamente utilizado no mundo. Ele permite que você veja o que está acontecendo Análise Forense – Página 45 de 49 na sua rede em um nível microscópico e é o padrão de fato (e geralmente de jure) em muitas empresas comerciais e sem fins lucrativos, agências governamentais e instituições educacionais. O desenvolvimento do Wireshark prospera graças às contribuições voluntárias de especialistas em redes ao redor do mundo e é a continuação de um projeto iniciado por Gerald Combs em 1998. O Wireshark possui um rico conjunto de recursos que inclui o seguinte :23 ▪ Inspeção profunda de centenas de protocolos, com mais sendo adicionados o tempo todo; ▪ Captura ao vivo e análise off-line; ▪ Navegador de pacotes de três painéis padrão; ▪ Multiplataforma: executa no Windows, Linux, macOS, Solaris, FreeBSD, NetBSD e muitos outros; ▪ Os dados de rede capturados podem ser navegados por uma GUI ou pelo utilitário TShark no modo TTY; ▪ Os filtros de exibição mais poderosos do setor; ▪ Análise de VoIP avançada: ‒ (...) ‒ A saída pode ser exportada para XML, PostScript®, CSV ou texto sem formatação. 23 https://www.wireshark.org/ Análise Forense – Página 46 de 49 https://www.wireshark.org/ 4.5.Análise de malware Dentre as atividades mais desafiadoras da forense, a análise de malware pode ser feita de duas formas básicas: estática ou dinâmica. A análise estática é feita a partir de amostras do malware, porém apenas se executar o código. O objeto de estudo ou exame neste caso é o hash e outras assinaturas do arquivo. O malware é avaliado em engenharia reversa por meio da linguagem assembly e seu código hexadecimal. Desse modo, são avaliadas as instruções e as operações de memória, empacotamento do código, entre outras. Na análise dinâmica, envolve a avaliação do malware durante a sua execução em um ambiente controlado. O malware é executado em uma sandbox e todos os desdobramentos de sua operação são estudados e avaliados neste ambiente, com o propósito de entender o seu funcionamento e comportamento. No contexto da disciplina, será realizada uma análise estática, utilizado o volatility para identificar um malware carregado na memória. Análise Forense – Página 47 de 49 Referências CARNEIRO, Adeneele Garcia. Crimes virtuais: elementos para uma reflexão sobre o problema na tipificação. Âmbito Jurídico, 2021. Disponível em: <https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-um a-reflexao-sobre-o-problema-na-tipificacao/>. Acesso em: 13 abr. 2021. CASE, Andrew. Volatility. GitHub, 2020. Disponível em: <https://github.com/volatilityfoundation/volatility/wiki>. Acesso em: 13 abr. 2021. ELEUTÉRIO, Pedro M. da Silva; MACHADO, Márcio Pereira. Desvendando a Computação Forense. 1. ed. São Paulo: Novatec, 2011. JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva, 1998. MIRABETE, J. F. Código de processo penal interpretado. 7. ed. São Paulo: Atlas, 2000. PESSOA, Fabrício Lana. Descomplicando a Perícia Computacional Forense. Belo Horizonte: Edição Própria, (no prelo). RABELLO, Eraldo. Curso de Criminalística. Porto Alegre: Sagra/Luzzatto, 1996. SCHMIDT, Guilherme. Crimes Cibernéticos. Jusbrasil, 2015. Disponível em: <https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos>. Acesso em: 13 abr. 2021. STUMVOLL, Victor Paulo. Criminalística. Ed. Millennium, 2014. Superior Tribunal de Justiça. Justiça usa Código Penal para combater crime virtual. Jusbrasil, 2009. Disponível em: Análise Forense – Página 48 de 49 https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/ https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/ https://github.com/volatilityfoundation/volatility/wiki https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos <https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater- crime-virtual>. Acesso em: 13 abr. 2021. VELHO, Jesus Antônio. Org. Tratado de Computação Forense. São Paulo, Millennium Editora, 2016. VELHO, Jesus Antonio; GEISER, Gustavo Caminoto; ESPÍNDULA, Alberi. Ciências Forenses: uma introdução às principais áreas da criminalística moderna. Ed. Millennium, 2012. Análise Forense – Página 49 de 49 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
Compartilhar