Aula 1 - Coleta de dados - COMPUTAÇÃO FORENSE

Prévia do material em texto

Computação Forense
Aula 1: Coleta de dados
Apresentação
A computação forense e a investigação digital são áreas de conhecimento da segurança da informação. Segundo Carrier
(2005), a investigação digital é um processo em que uma hipótese é desenvolvida e testada para responder algumas
questões a respeito de uma ocorrência digital, se elas suportam ou desmentem a hipótese apresentada.
A forense computacional é uma extensão da investigação digital, ela é mais formal, pois tem como objetivo levar o
resultado da investigação ao Fórum, e deve ter todo o rigor da lei.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Objetivo
Descrever o que é um material a ser examinado e como garantir a cadeia de custódia;
Identi�car os tipos de material que podem ser periciados.
Introdução
Vamos de�nir o que uma evidência e o que é um indício digital. Veremos como coletar, preservar o local da apreensão, a
integridade da evidência e a integridade da linha de tempo da evidência durante a investigação.
Tipos de dispositivos
Evidência digital
Uma evidência digital pode ter qualquer tamanho, por exemplo, um Byte, um endereço IP, e pode ser coletada de uma memória
volátil, ou seja, a memória RAM ou da memória não volátil como discos rígidos, pendrives, cartões de memória ou qualquer
outro dispositivo capaz de armazenar dados.
Segundo a Secretaria de Estado de Segurança Pública do Paraná (2020), em seu guia de apreensão de equipamentos
computacionais, os tipos de materiais que podem ser apreendidos e ilustrados na Figura 1 são:
"Equipamentos computacionais podem tomar várias formas,
como portáteis (laptop, notebook, notebook, ultrabook,
booktop, wearable, tablet, PDAs, smartphones), desktops
(torre, minitorre, dockstation), servidores (racks, torres,
mainframes), all-in-one (tudo em um), smart tv"
- Secretaria de Estado de Segurança Pública, 2020.
 Figura 1- Tipos de equipamento. Fonte: SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA DO PARANÁ, 2020.
No caso de servidores, storages, ou racks de servidores, muitas vezes não é
viável apreender o equipamento para realizar a coleta em laboratório; neste
caso, o perito deve bloquear o acesso a estes equipamentos pela rede e
realizar uma cópia forense para servir como prova e outra cópia para servir
como cópia de trabalho.
Deve ser extraído o HASH do equipamento original e comparado com o HASH extraído das cópias.
 Figura 2- Discos rígidos. Fonte: SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA DO PARANÁ, 2020.
Os discos rígidos ilustrados na Figura 2, internos ou externos, são potenciais fontes de dados e, sempre que possível, devem
ser apreendidos e realizada a cópia forense, gerando uma imagem do disco.
As mídias removíveis ilustradas na Figura 3, como pendrives, disquetes, cds, dvds, Blu-ray, cartões de memória e outros
dispositivos podem disfarçar a existência de uma memória não volátil. Outros tipos de mídias removíveis podem ser canivetes,
caneta espiã, relógio espião, dentre outros.
Comentário
Da mesma forma que para os discos rígidos, deve ser realizada uma cópia forense das mídias removíveis encontradas, gerando
uma imagem forense que será utilizada para o exame pericial.
 Figura 3 - Mídias Removíveis. Fonte: SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA DO PARANÁ, 2020.
Procedimento para coleta de mídia em computador
Vamos de�nir o que uma evidência e o que é um indício digital. Veremos como coletar, preservar o local da apreensão, a
integridade da evidência e a integridade da linha de tempo da evidência durante a investigação.
Conforme o guia, a apreensão de vestígios digitais da Secretaria de Segurança Pública do Paraná (2020) deve ser realizada da
seguinte forma:
1. Veri�que se o computador está desligado. Se não estiver, desconecte o cabo de força.
2. Posicione-se de frente para a parte traseira do gabinete.
3. Remova os parafusos da lateral direita (se o gabinete tiver tampa inteiriça, remova os demais parafusos).
4. Remova a tampa, puxando para trás e para fora.
5. Localize o disco rígido (HD). Atenção: Se encontrar mais de um HD, as portas que estão conectadas devem ser anotadas e
etiquetadas no HD correspondente. Exemplo: Porta SATA1, SATA 2 etc.
�. Remova os parafusos ou presilhas de �xação.
7. Solte os conectores do HD e remova-o.
�. Veri�que se no gabinete existe mais alguma mídia de armazenamento computacional (cartões de memória, CD/DVD etc.).
9. Preencha o formulário de remessa de mídia de armazenamento e envie juntamente com o HD.
10. Identi�que unicamente o HD colando etiqueta com os dados da origem (proprietário, IP, processo, alvo, desktop).
11. Guarde imediatamente o HD na caixa de proteção, colocando-o entre as camadas de plástico bolha.
12. Identi�que unicamente a caixa colando etiqueta com os dados da origem e destino.
13. Lacre a caixa.
14. Veri�que se tudo está de acordo com a Portaria nº 82/2014 da SENASP e parecer 963/2015 da PRC/PGE-PR.
Mouses, teclados e caixas de som não devem ser apreendidos, a não
ser que tenham cartões de memória embutidos.
Preservação da Evidência
A cópia forense deve ser realizada utilizando ferramentas de cópia bit a bit, de forma a garantir que todos os dados foram
copiados, inclusive os apagados e os espaços em branco. Muitas vezes a evidência está em áreas consideradas apagadas do
disco, mas é possível recuperar esta informação na maioria dos casos.
O Linux é o principal sistema operacional para realizar a cópia forense, pois
é possível fazer a cópia sem montar os discos, evitando que o carimbo de
tempo dos arquivos seja alterado. Ferramentas como dd, dc3dd podem ser
utilizados para a cópia.
Outra maneira de se fazer a cópia é utilizar duplicadores de
mídia, estes equipamentos fazem a cópia integral dos
dados de uma mídia para outra.
 Figura 4 - Duplicador de discos forense. 
Fonte: https://www.mediaduplicationsystems.com/fx2042-hard-drive-duplicator-
p/fx2042.htm#/
Cadeia de custódia
Conforme a resolução da Secretaria Nacional de Segurança (2014), a cadeia de custódia:
É a garantia da integridade da evidência.
É um procedimento que visa garantir a
integridade da manipulação da prova levando
em conta não só os locais onde essa prova
vai transitar, mas também é a continuidade
da linha de tempo da manipulação da prova.
Visa garantir a rastreabilidade dos vestígios,
através dos controles de movimentação.
Começa já na abertura do chamado, quando
há um local de investigação; o rastreamento
do vestígio digital começa a partir do
momento em que ocorre a noti�cação da
ocorrência.




O local da prova deve ser preservado, fazendo primeiro o isolamento da área, a identi�cação dos dispositivos que serão
apreendidos ou examinados e a garantia de que não irá ter nenhuma manipulação dos dados. Se for necessária a preservação
da memória volátil, é preciso afastar usuários da máquina e garantir que o equipamento não será acessado por outros
usuários, a não ser pelo perito.
No caso de não precisar manter os dados da memória RAM, ou seja, os dados voláteis não precisam ser copiados, então o
procedimento é puxar o equipamento da tomada; isto mesmo, o melhor é puxar o equipamento da tomada para garantir que
nenhum ato seja tomado para modi�car os dados, por exemplo, fazer um shutdown normal, pois nesse procedimento podem
ser acionados scripts que rodam no desligamento e apagam os vestígios digitais.
Comentário
Não se preocupe com o funcionamento do sistema operacional, pois este não será inicializado durante o exame pericial.
Após o desligamento da máquina pode ser feita a extração da mídia, qualquer que seja o tipo, por exemplo, um cartão de
memória, um pendrive ou um disco rígido. Deve ser feita a cópia forense, seja ela utilizando um dispositivo de duplicação ou
utilizando um software de cópia forense, por exemplo, software dd ou dc3dd.
Após a conclusão da cópia forense é preciso extrair o HASH do original e da cópia; os resultados devem ser iguais, o que
garante a integridade da cópia.
Atenção
No momento da coleta da prova é importante que aspartes estejam presentes.
O perito deve:
Na sua petição inicial, solicitar ao juiz que noti�que as partes interessadas para que acompanhem a diligência. Este
acompanhamento não é obrigatório, mas isso traz maior transparência e evita que a diligência seja questionada.
Identi�car os participantes da coleta e, posteriormente, indicar a presença deles no laudo do exame pericial. Se a coleta
for realizada em local que tenha ocorrido um crime, a coleta é realizada por peritos policiais, não sendo necessária a
presença das partes.
O transporte do vestígio digital deve ser feito de forma que não possa ser dani�cado no caminho, do local de busca até a sala
de provas ou o laboratório do perito.
As mídias devem ser embaladas em plástico bolha e acondicionadas em caixas, identi�cando-as de forma única.
A partir da abertura do chamado ou intimação, o perito deve preencher a planilha de cadeia de custódia.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
 Figura 5- Exemplo de Cadeia de Custódia. Fonte: Autor.
Quando da ocorrência de um crime digital, os seguintes procedimentos devem ser seguidos:
a. preservação do local de crime;
b. busca do vestígio;
c. reconhecimento do vestígio;
d. �xação do vestígio;
e. coleta do vestígio;
f. acondicionamento do vestígio;
g. transporte do vestígio;
h. recebimento do vestígio.
Comentário
Como vemos em seriados do tipo CSI, o local da coleta deve ser isolado, o indício devidamente identi�cado, a evidência coletada,
lacrada e preenchida a cadeia de custódia. Depois, o perito fará a cópia forense para realizar o exame.
Conforme o Procedimento apresentado em Secretaria Nacional de Segurança (2014), a fase interna compreende todas as
etapas, desde a entrada do vestígio no órgão pericial até sua devolução, juntamente com o laudo pericial, ao órgão requisitante
da perícia, compreendendo, portanto:
a. recepção e conferência do vestígio;
b. classi�cação, guarda e/ou distribuição do vestígio;
c. análise pericial propriamente dita;
d. guarda e devolução do vestígio de prova;
e. guarda de vestígios para contra perícia;
f. registro da cadeia de custódia.
Todas estas etapas devem ser registradas na cadeia de custódia conforme modelo acima. Cada perito ou departamento de
polícia cientí�ca tem seu próprio formulário de cadeia de custódia; no entanto, este formulário deve garantir a continuidade da
linha do tempo e identi�car onde está a evidência a cada momento.
Linha do tempo
Ainda conforme a Secretaria Nacional de Segurança (2014), devem ser tomados os seguintes cuidados no manuseio do
vestígio:
1
Realização por pro�ssionais de perícia criminal ou,
excepcionalmente, na falta destes, por pessoa investida de
função pública, nos termos da legislação vigente.
2
Os peritos devem ter, no mínimo, curso superior, segundo o
novo Código de processo civil.
3
Realização com a utilização de equipamento de proteção
individual (EPI) e materiais especí�cos para tal �m.
4
Numeração inequívoca do vestígio, de maneira a individualizá-
lo.
Também de acordo com a Secretaria Nacional de Segurança (2014), todos os vestígios coletados deverão ser registrados,
individualmente, no formulário de cadeia de custódia, no qual deverão constar, no mínimo, as seguintes informações:
a. especi�cação do vestígio;
b. quantidade;
c. identi�cação numérica individualizada;
d. local exato e data da coleta;
e. órgão e o nome/identi�cação funcional do agente coletor;
f. nome/identi�cação funcional do agente entregador e órgão de destino (transferência da custódia);
g. nome/identi�cação funcional do agente recebedor e protocolo de recebimento;
h. assinaturas e rubricas;
i. número de procedimento e respectiva unidade de polícia judiciária a que o vestígio estiver vinculado.
Ainda segundo a Secretaria Nacional de Segurança (2014), quando o perito for manipular a prova, alguns cuidados devem ser
tomados:
1
O recipiente só poderá ser aberto pelo perito que vai proceder a
análise e, motivadamente, por pessoas autorizadas.
2
Após cada rompimento de lacre, deve se fazer constar na �cha
de acompanhamento de vestígio o nome e documento do
responsável, a data, o local, a �nalidade, bem como as
informações referentes ao novo lacre utilizado.
3
O lacre rompido deverá ser acondicionado no interior do novo
recipiente.
Todos estes cuidados são necessários para a preservação da integridade temporal, e a integridade física da prova. Alguns erros
comuns no manuseio de vestígios digitais são:
Tentar corrigir algo no computador antes de desligar.
Usar softwares não homologados para computação forense.
Abrir o arquivo do vestígio; isto vai alterar o carimbo de tempo e pode alterar o HASH, quebrando a integridade do arquivo.
Usar software de investigação que abra ou altere os arquivos.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividade
1. O material a ser examinado em uma perícia computacional pode ser:
a) Um documento impresso.
b) Um pendrive.
c) Um monitor.
d) Um teclado sem cartão de memória.
e) Uma gota de sangue.
2. Para garantir a integridade do vestígio digital é preciso:
a) Fazer uma cópia utilizando o Windows Explorer.
b) Fazer um backup.
c) Abrir o arquivo e salvar como.
d) Acertar o computador para ficar mais rápido.
e) Fazer uma cópia forense bit a bit.
3. Qual documento deve ser preenchido para garantir a continuidade da linha de tempo e rastreabilidade da evidência digital?
a) Cadeia de Custódia.
b) Cadeia de Caracteres.
c) Cópia Forense.
d) Fotografias do local.
e) Intimação do perito.
Notas
Bones1
São criadas as chaves de animação, ao longo da linha de tempo, para os diversos componentes da hierarquia, e a malha é
aplicada sobre ela, adequando-se ao movimento esperado — como ocorre para nós, quando nossos esqueletos se movem e a
pele segue o movimento que foi imposto.
Referências
AGENCIA NACIONAL DE VIGILÂNCIA SANITÁRIA. Guia de validação de sistemas computadorizados. Brasilia, 2010.
CARRIER, B. File system forensic analysis. Addison-Wesley Professional., Addison-Wesley Professional, 2005.
ESTEVES, C.R.Z. Ministério Público do Paraná. Disponível em: https://criminal.mppr.mp.br/arquivos/File/Pericias_criminais_-
_orientacoes_na_producao_probatoria_-_�nal.pdf. Acesso em 23 nov. 2020.
MICROSOFT. Analisar sua infraestrutura do Azure usando os logs do Azure Monitor. Disponível em:
https://docs.microsoft.com/pt-br/learn/modules/analyze-infrastructure-with-azure-monitor-logs/. Acesso em 23 nov. 2020.
NABIL, M. SIEM Selection Criteria for an e�cient contextual security. International Symposium on Networks, Computers and
Communications (ISNCC), 1-6 - May 2017, 2017.
ONE IDENTIFY, syslog-ng OSE 3.26 Administration Guide, ONE IDENTIFY, 2020.
PRESIDÊNCIA DA REPÚBLICA. Lei nº 12.965, de 23 de abril de 2014. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em 23 nov. 2020.
SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA POLÍCIA CIENTÍFICA DO PARANÁ. Guia Rápido De Arrecadação De
Equipamentos Computacionais. Polícia Cientí�ca Do Paraná, Curitiba, 2020.
SECRETARIA NACIONAL DE SEGURANÇA. Diário O�cial da União. Disponível em:
https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=18/07/2014&jornal=1&pagina=42&totalArquivos=124. Acesso
em 23 nov. 2020.
VAN GENT, R.N. Incidence and determinants of lower extremity running injuries in long distance runners: a systematic review.
British Journal of Sports Medicine, 1 8 2007.
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
Próxima aula
Metodologias utilizadas para identi�cação de manchas de sangue em local de crime;
Morfologia das gotas de sangue em local de crime.
Explore mais
Assista ao �lme Sem Vestígios. 
Leia o texto Perícia Forense computacional em telefones celulares com sistema operacional Android
javascript:void(0);